SOU 2014:23
Rätt information på rätt plats i rätt tid
Till statsrådet och chefen för Socialdepartementet Göran Hägglund
Vid regeringssammanträde den 15 december 2011 beslutade regeringen att tillsätta en särskild utredare med uppdrag att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten (dir. 2011:111). Utredaren fick även ett deluppdrag bestående i att analysera förutsättningarna för att på internet eller genom elektronisk direktåtkomst öka tillgängligheten till vissa personuppgifter i Socialstyrelsens register över hälso- och sjukvårdspersonal (HOSP-registret).
Till särskilt utredare förordnades hälso- och sjukvårdsdirektören Lena Lundgren. Utredningen har antagit namnet Utredningen om rätt information i vård och omsorg (S 2011:13).
Den 29 mars 2012 beslutade regeringen genom tilläggsdirektiv till utredningen (dir. 2012:23) att deluppdraget angående HOSPregistret skulle redovisas senast den 31 maj 2012. Utredningen överlämnade delbetänkandet Bättre behörighetskontroll (SOU 2012:42) den 31 maj 2012.
Genom beslut i tilläggsdirektiv vid regeringssammanträde den 2 maj 2013 beslutade regeringen att utredaren i ett deluppdrag ska utreda om det är lämpligt att beträffande personer som saknar förmåga att motsäga sig eller samtycka till nödvändig behandling av personuppgifter införa regler i patientdatalagen som gör att de trots denna oförmåga kan ingå i sammanhållen journalföring m.m. (dir. 2013:43). Regeringen beslutade att denna del av uppdraget ska redovisas i ett delbetänkande senast den 5 juni 2013.
Utredningen överlämnade delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45) den 5 juni 2013.
Regeringen beslutade även att utredaren ska, för den del av uppdraget som handlar om att identifiera nödvändiga förutsättningar
för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten, i en delredovisning beskriva de möjligheter som befintlig lagstiftning ger för att praktiskt kunna utbyta uppgifter där så anses nödvändigt. Delredovisningen överlämnades till regeringen den 31 december 2013 och återfinns i bilaga 4 till detta slutbetänkande.
Regeringen beslutade vidare att utredningstiden förlängs för huvuddelen av uppdraget som ska redovisas senast den 30 april 2014.
Som huvudsekreterare i utredningen anställdes fr.o.m. den 6 februari 2012 juristen Patrik Sundström. Som sekreterare i utredningen anställdes fr.o.m. den 13 februari 2012 juristen Maria Jacobsson. Som sekreterare på halvtid i utredningen anställdes fr.o.m. 1 april 2012 rådmannen Eva Karlsson Helghe och fr.o.m. 23 april 2012 läkaren Inger Nordin Olsson. Inger Nordin Olsson entledigades som sekreterare den 1 juni 2013.
Utredningen får härmed överlämna slutbetänkandet Rätt information på rätt plats i rätt tid (SOU 2014:23).
Till betänkandet fogas ett särskilt yttrande av experten Maria Bergdahl.
Uppdraget är härmed slutfört.
Stockholm i april 2014.
Lena Lundgren
/Maria Jacobsson Eva Karlsson Helghe Patrik Sundström
Förteckning över vilka som deltagit i utredningens arbete
Om inte annat anges har förordnandet gällt från och med den 12 mars 2012.
Experter
Medicinskt ansvariga sjuksköterskan Eva Backlund Juristen Maria Bergdahl, fr.o.m. 4 september 2013 Juristen Marit Birk, fr.o.m. 20 september 2012 Handläggaren Annica Blomsten Verksamhetschefen Mats Brådman Landstingsdirektören Mats Brännström, t.o.m. 7 juli 2013 Socialdirektören Karl Gudmundsson Tillsynschefen Erik Janzon, t.o.m. 4 september 2013 Juristen Tora Nissen, t.o.m. 20 september 2012 Överläkaren Mikael Rolfs Juristen Febe Westberg Chefläkaren Karin Strandberg Nöjd, fr.o.m. 7 juli 2013 Enhetschefen Inger Nordin Olsson, fr.o.m. 24 oktober 2013 Vice vd, Anders Ekholm, fr.o.m. 1 november 2013
Sakkunniga
Rättssakkunnige Maria Arnell, t.o.m. 4 september 2013 Kanslirådet Rickard Broddvall, t.o.m. 10 september 2012. Departementssekreteraren Anna Brooks, fr.o.m. 10 september 2012 Departementsrådet Anders Ekholm, t.o.m. 1 november 2013 Ämnesrådet Jimmy Järvenpää Ämnesrådet Gert Knutsson, t.o.m. 10 september 2012. Kanslirådet Henrik Moberg, fr.o.m. 10 september 2012 Departementssekreteraren Maria Wästfelt
7
Innehåll
Sammanfattning ................................................................ 27
Bakgrund
1 Vårt uppdrag och arbete .............................................. 51
1.1 Vårt uppdrag ............................................................................. 51 1.2 Utredningens arbete ................................................................ 53 1.2.1 Sakkunnig- och expertgrupp ........................................ 54 1.2.2 Samråd med statliga utredningar ................................. 55 1.2.3 Metodstöd m.m. ........................................................... 55 1.2.4 Delbetänkandet Bättre behörighetskontroll ............... 56 1.2.5 Delbetänkandet Rätt information – Kvalitet och
patientsäkerhet för vuxna med nedsatt beslutsförmåga .............................................................. 56
1.2.6 Delredovisningen enligt direktiv 2013:43 – Stöd vid tillämpningen av gällande rätt ................................ 58
1.3 Betänkandets disposition ......................................................... 59
2 Rätt information på rätt plats i rätt tid – några utgångspunkter .......................................................... 61
2.1 Inledning................................................................................... 61 2.2 Individen och individens behov i centrum ............................. 62 2.3 Informationshantering som en integrerad del i verksamheten............................................................................ 64
Innehåll SOU 2014:23
8
2.4 Informationshantering rörande personer med nedsatt beslutsförmåga .......................................................................... 64 2.5 Den tekniska utvecklingen ger nya möjligheter ..................... 65 2.6 Bättre resultat för individen – en balansgång mellan kvalitet, säkerhet och personlig integritet .............................. 66
3 Kort om regelverket och om ansvaret för tillsynen........... 69
3.1 God vård och omsorg .............................................................. 69 3.1.1 Målen för hälso- och sjukvården och
socialtjänsten ................................................................. 69
3.1.2 Ledningssystem för kvalitet ......................................... 70
3.2 Informationshantering och personuppgiftsbehandling ......... 72 3.2.1 Informationshantering för en god vård och
omsorg ........................................................................... 72
3.3 Tystnadsplikt och sekretess ..................................................... 75 3.4 Tillsyn av vård och omsorg ...................................................... 76
Hälso- och sjukvård
4 En hälso- och sjukvård i utveckling ............................... 79
4.1 Inledning ................................................................................... 79 4.1.1 Riksrevisionens rapport ................................................ 80 4.2 Hälso- och sjukvårdens organisation ...................................... 80 4.2.1 Landstingens ansvar ...................................................... 81 4.2.2 Kommunernas ansvar.................................................... 82 4.2.3 Privata vårdgivare m.m. ................................................ 83 4.2.4 Vårdval och valfrihetssystem ........................................ 85 4.2.5 Ett växande antal privata vårdgivare ............................. 86 4.2.6 Ökad specialisering ....................................................... 88 4.2.7 Vårdval – ökade möjligheter för medborgarna ............ 88 4.2.8 Vårdprocesser sträcker sig allt mer över
vårdgivargränser ............................................................ 89
4.2.9 Sammanfattande reflektioner ....................................... 90
Innehåll
9
5 Informationshantering inom hälso- och sjukvården ......... 91
5.1 Bakgrund .................................................................................. 91 5.2 Den rättsliga regleringen av informationshanteringen .......... 93 5.2.1 Begreppet vårdgivare .................................................... 93 5.2.2 Informationshantering inom en vårdgivares
verksamhet (inre sekretess) ......................................... 94
5.2.3 Informationshantering mellan vårdgivare ................... 95 5.2.4 Informationshantering mellan vårdgivare – sammanhållen journalföring ......................................... 97 5.2.5 Enskilds möjlighet att ta del av uppgifter genom direktåtkomst .............................................................. 100 5.2.6 Socialstyrelsens föreskrifter (SOSFS 2008:14) ......... 100 5.2.7 Verksamhetsuppföljning m.m. inom en vårdgivares verksamhet ............................................... 101 5.2.8 Verksamhetsuppföljning över vårdgivargränser ....... 102 5.2.9 Särskilt om nationella kvalitetsregister ...................... 103
6 En ändamålsenlig informationshantering – iakttagelser och reflektioner ...................................... 107
6.1 Bakgrund ................................................................................ 107 6.1.1 Vårt uppdrag och våra utgångspunkter ..................... 109 6.2 Strukturförändringarna i vården påverkar behov och möjligheter till informationsutbyte ...................................... 110 6.3 Informatik och it-frågor ........................................................ 112 6.4 Patientdatalagen och tillämpningsproblemen ...................... 115 6.5 Bristande efterlevnad av regelverket ..................................... 119 6.6 Kunskap, kompetens, ledning och styrning ......................... 121 6.7 Sammanfattande reflektioner ................................................ 122
7 En ny lag: hälso- och sjukvårdsdatalag ....................... 123
7.1 Bakgrund ................................................................................ 123 7.1.1 Kort om våra utgångspunkter för denna typ av
lagstiftning .................................................................. 124
7.1.2 Vårt uppdrag m.m. ...................................................... 125
Innehåll SOU 2014:23
10
7.2 Våra överväganden och förslag .............................................. 126 7.2.1 En ny lag ersätter patientdatalagen ............................ 126 7.2.2 Lagens innehåll, tillämpningsområde och
förhållande till personuppgiftslagen .......................... 128
7.2.3 Lagens syfte ................................................................. 131 7.2.4 Viktiga definitioner ..................................................... 133 7.2.5 Övriga bestämmelser som förs över från patientdatalagen .......................................................... 139
8 Grundläggande bestämmelser om behandling av personuppgifter ........................................................ 141
8.1 Bakgrund ................................................................................. 141 8.2 Våra överväganden och förslag .............................................. 142 8.2.1 Vissa grundläggande bestämmelser förs över
oförändrade från patientdatalagen ............................. 142
8.2.2 Personuppgiftsansvar .................................................. 144 8.2.3 Sökbegrepp .................................................................. 145 8.2.4 Tillåtna ändamål för behandling av personuppgifter m.m. ................................................. 150 8.2.5 Att antalsberäkna och identifiera personer för forskning inom hälso- och sjukvården ...................... 158
9 Säker och ändamålsenlig hantering av personuppgifter . 171
9.1 Bakgrund ................................................................................. 171 9.2 Våra överväganden och förslag .............................................. 172 9.2.1 Ansvar för den som arbetar hos en vårdgivare –
inre sekretess ............................................................... 173
9.2.2 Ansvar för att uppgifter är tillgängliga när de behövs .......................................................................... 177 9.2.3 Ansvar för att skydda uppgifterna vid överföring via internet m.m. ......................................................... 178 9.2.4 Ansvar för informationssystemens utformning ........ 181 9.2.5 Ansvar för behörighetstilldelning .............................. 184 9.2.6 Ansvar för kontroll av elektronisk åtkomst .............. 187 9.2.7 Tillsyn över en säker och ändamålsenlig hantering av personuppgifter ...................................................... 189
Innehåll
11
10 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga ............................................ 193
10.1 Bakgrund ................................................................................ 193 10.1.1 Vårt uppdrag ............................................................... 195 10.2 Generellt om personuppgiftsansvar ...................................... 196 10.3 Personuppgiftsansvar vid samverkan mellan olika aktörer..................................................................................... 198 10.3.1 Patientdatautredningens resonemang m.m. .............. 200 10.3.2 Några exempel från Datainspektionens tillsyn
m.m. ............................................................................. 203
10.4 Våra överväganden och förslag .............................................. 206 10.4.1 Krav på risk- och sårbarhetsanalys,
överenskommelse och tydliggörande av personuppgiftsansvar .................................................. 206
11 Elektroniskt utlämnande av personuppgifter ................ 221
11.1 Bakgrund ................................................................................ 221 11.2 Våra överväganden och förslag .............................................. 222 11.2.1 Vissa bestämmelser om utlämnande förs över
från patientdatalagen .................................................. 222
11.2.2 Grundläggande bestämmelser om direktåtkomst förs över till hälso- och sjukvårdsdatalagen .............. 224 11.2.3 Direktåtkomst vid källdatagranskning i samband med kliniska prövningar m.m. ................................... 230
12 Ett tydligare ansvar för patientjournalen och dess innehåll ................................................................... 237
12.1 Vårt uppdrag m.m. ................................................................. 237 12.2 Gällande rätt om ansvaret för patientjournalen och dess innehåll ................................................................................... 240 12.2.1 Grundläggande förutsättningar ................................. 240 12.2.2 Ansvaret för uppgifterna i patientjournalen ............. 241 12.2.3 Patientens avvikande mening ska antecknas ............. 242 12.2.4 Patientjournalen som allmän handling ...................... 244 12.2.5 Bevarande och gallring av journalhandlingar ............ 245
Innehåll SOU 2014:23
12
12.2.6 Signeringskravet – kontrolläsning och bekräftelse av uppgifternas riktighet ............................................. 248 12.2.7 Rättelse av felaktiga uppgifter .................................... 251 12.2.8 Att ta bort uppgifter från patientjournalen ............... 253
12.3 Kort om patientjournalens utformning ................................ 254 12.4 Våra överväganden och förslag .............................................. 256 12.4.1 Vissa bestämmelser om journalföring förs över
från patientdatalagen ................................................... 256
12.4.2 Ny bestämmelse om patientjournalen ....................... 259 12.4.3 Patientjournalen är även en informationskälla vid undervisning och utbildning ....................................... 260 12.4.4 Förtydliganden i fråga om vem bestämmelserna om patientjournalen riktar sig till .............................. 261 12.4.5 Patientens möjlighet att bidra med uppgifter i patientjournalen .......................................................... 263 12.4.6 Vårdgivarens ansvar för patientjournalen m.m. förtydligas .................................................................... 264 12.4.7 Vårdgivarens ansvar för utformningen av patientjournalen förtydligas ....................................... 266 12.4.8 Vårdgivaren ska säkerställa att uppgifter är korrekta och att felaktigheter rättas .......................... 268 12.4.9 Den som för journal ska kontrollera sina uppgifter ...................................................................... 271 12.4.10 Vårdgivare ska få utplåna uppenbara felaktigheter i patientjournalen .................................. 274
13 En informationshantering med patienten i centrum ...... 281
13.1 Bakgrund ................................................................................. 281 13.2 Några utgångspunkter för utredningen ................................ 282 13.3 Utredningens reflektioner kring gällande rätt ...................... 284 13.3.1 Exempel 1. Konsekvenser för
informationsutbytet beroende på olika driftformer inom ett landstings ansvarsområde ........ 285
13.3.2 Exempel 2. Möjligheterna till aktiv hälsostyrning i län med liten eller stor mångfald av aktörer ............ 288 13.3.3 Exempel 3. Möjligheterna att kvalitetssäkra vårdprocesser över vårdgivargränser .......................... 290
Innehåll
13
13.3.4 Exempel 4. Hantering av vårddokumentation i samband med byte av utförare ................................... 291
13.4 Våra överväganden och förslag .............................................. 294 13.4.1 Inledning ..................................................................... 294 13.4.2 Förbättrade möjligheter till direktåtkomst mellan
vårdgivare inom en huvudmans ansvarsområde ........ 294
13.4.3 Patientens rätt att spärra information inom och mellan vårdgivare inom huvudmannens ansvarsområde ............................................................. 305 13.4.4 Ökade möjligheter för kommuner och landsting att fullgöra sitt ansvar för hälso- och sjukvården ..... 317 13.4.5 Informationsöverföring vid verksamhetsövergångar .............................................. 323 13.4.6 Kommunalt ansvar för omhändertagna patientjournaler i kommunal hälso- och sjukvård eller hos elevhälsan ..................................................... 328 13.4.7 Bevarande och gallring vid direktåtkomst inom en huvudmans ansvarsområde .................................... 330
14 En ny sammanhållen journalföring ............................. 333
14.1 Bakgrund ................................................................................ 333 14.1.1 Kort om behovet av ett förändrat och förenklat
regelverk ...................................................................... 336
14.2 Våra överväganden och förslag om att göra uppgifter tillgängliga i system för sammanhållen journalföring .......... 337 14.2.1 Tydligare reglering av regelverkets
tillämpningsområde och innebörd ............................. 337
14.2.2 Förenklad utformning av bestämmelserna ................ 341 14.2.3 Grundläggande bestämmelse om att göra uppgifter tillgängliga ................................................... 342 14.2.4 Grundläggande bestämmelse om patienten inte endast tillfälligt saknar förmåga att ta ställning ........ 347 14.2.5 Patientens rätt att motsätta sig sammanhållen journalföring ............................................................... 353 14.2.6 Förbud för vårdnadshavare att motsätta sig sammanhållen journalföring ....................................... 359
14.3 Våra överväganden och förslag om åtkomst till uppgifter i sammanhållen journalföring ................................................ 362
Innehåll SOU 2014:23
14
14.3.1 Våra inledande reflektioner kring gällande rätt ......... 362 14.3.2 En ny reglering för åtkomst till uppgifter i sammanhållen journalföring (skede 2) ...................... 371 14.3.3 Åtkomst till uppgifter i samband med vård av vuxna med nedsatt beslutsförmåga ............................ 384 14.3.4 Åtkomst till uppgifter i samband med vård av vuxna med tillfälligt nedsatt beslutsförmåga ............. 385 14.3.5 Att ta del av uppgifter om vilken vårdgivare som ansvarar för uppgifter som inte är tekniskt åtkomliga ..................................................................... 388 14.3.6 Bevarande och gallring ................................................ 391 14.3.7 Övriga bestämmelser .................................................. 392
15 Rätt information om läkemedel – på väg mot en samlad läkemedelslista ............................................. 395
15.1 Bakgrund ................................................................................. 395 15.1.1 Vårt uppdrag ................................................................ 397 15.1.2 Kort om nationell läkemedelsstrategi ........................ 398 15.2 Kort om läkemedelsbehandling ............................................. 400 15.2.1 Omfattning m.m. ........................................................ 400 15.2.2 Kort om risker och läkemedelsrelaterade problem
m.m. ............................................................................. 401
15.3 Hur ser ordinatörens beslutsunderlag ut? ............................ 404 15.3.1 Våra reflektioner ......................................................... 408 15.4 Hur ser patientens informationsunderlag ut? ...................... 410 15.4.1 Våra reflektioner ......................................................... 413 15.5 På väg mot en samlad läkemedelslista – Nationell ordinationsdatabas.................................................................. 414 15.6 Problembeskrivning – våra reflektioner av gällande rätt...... 415 15.6.1 Åtkomst till journaluppgifter/läkemedelslista .......... 415 15.6.2 Åtkomst till läkemedelsförteckningen ...................... 423 15.6.3 Särskilt om utbyte av läkemedel (generikabyte) ....... 427 15.6.4 Åtkomst till receptregistret ........................................ 432 15.6.5 Våra sammanfattande reflektioner kring gällande
rätt ................................................................................ 435
15.7 Våra överväganden och förslag .............................................. 436
Innehåll
15
15.7.1 Utredningens förslag i andra delar m.m. ................... 436 15.7.2 Behov av åtgärder som leder till harmoniserade regler ............................................................................ 440 15.7.3 Patientens spärrmöjligheter bör inte omfatta uppgifter om ordinerade läkemedel ........................... 442 15.7.4 Ändringar som görs på apotek ................................... 459 15.7.5 Uttag av läkemedel som görs utomlands ska registreras i Läkemedelsförteckningen ...................... 465 15.7.6 Bevarande och gallring av uppgifter .......................... 467 15.7.7 Farmaceuters tillgång till läkemedelsförteckningen ............................................ 468 15.7.8 Övriga rekommendationer för utvecklingen mot en samlad läkemedelslista m.m. ................................. 474
16 Förbättrad tillgång till varningsinformation .................. 477
16.1 Bakgrund ................................................................................ 477 16.1.1 Informationshanteringen ........................................... 478 16.1.2 Vårt uppdrag m.m. ...................................................... 479 16.2 Våra överväganden och förslag .............................................. 480 16.2.1 Varningsinformation bör undantas från
patientens spärrmöjligheter ........................................ 480
16.2.2 Nationella insatser för en strukturerad, entydig och enhetlig varningsinformation .............................. 488
17 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården ......................................................... 491
17.1 Bakgrund ................................................................................ 491 17.2 Nationella kvalitetsregister .................................................... 494 17.2.1 Exempel på användning av nationella
kvalitetsregister ........................................................... 495
17.2.2 Kort om regelverket och dess framväxt .................... 497
17.3 Reflektioner kring möjligheterna att använda patientuppgifter i lokalt kvalitetsarbete ................................ 500 17.3.1 Lagstiftningen ger möjligheter till
kvalitetssäkring och kvalitetsutveckling .................... 501
17.4 Våra överväganden och förslag rörande nationella kvalitetsregister ...................................................................... 505
Innehåll SOU 2014:23
16
17.4.1 Bestämmelser om nationella kvalitetsregister förs över till hälso- och sjukvårdsdatalagen ...................... 505 17.4.2 Patientens möjlighet att bidra med uppgifter i registreringen............................................................... 512 17.4.3 Tydligare bestämmelser om personuppgiftsansvar för nationella kvalitetsregister .................................... 513 17.4.4 Kvalitetsregister ska få användas för att följa upp vård som ges av flera olika vårdgivare ........................ 519 17.4.5 Kvalitetsregister ska kunna användas för patienter med nedsatt beslutsförmåga ....................... 528 17.4.6 Att utvidga ett nationellt kvalitetsregister ................ 535 17.4.7 Förändringar av personuppgiftsansvaret för central behandling av personuppgifter ...................... 542
Socialtjänst
18 En socialtjänst i utveckling ........................................ 547
18.1 Vad är socialtjänst? ................................................................. 547 18.2 Kommunernas ansvar för socialtjänsten ............................... 548 18.3 Ansvar för Statens institutionsstyrelse (SiS) ........................ 554 18.4 Ansvar för landstingen ........................................................... 554 18.5 Samverkan med andra huvudmän .......................................... 555 18.6 Privata utförare i socialtjänsten ............................................. 556 18.6.1 Valfrihetssystem i socialtjänsten ................................ 557 18.7 Sammanfattande reflektioner ................................................ 560
19 Informationshantering inom socialtjänsten .................. 563
19.1 Bakgrund ................................................................................. 563 19.2 Dokumentation och handläggning för rättssäkerhet, kvalitet och insyn ................................................................... 564
19.3 Informationshantering i olika skeden ................................... 565 19.4 Den rättsliga regleringen av dokumentation och personuppgiftsbehandling ..................................................... 567
Innehåll
17
19.4.1 Socialstyrelsens föreskrifter SOSFS 2006:5 .............. 568 19.4.2 Lagen om behandling av personuppgifter inom socialtjänsten ............................................................... 569 19.4.3 Förordningen om behandling av personuppgifter inom socialtjänsten ..................................................... 573 19.4.4 Direktåtkomst och utlämnande på medium för automatiserad behandling .......................................... 575
19.5 Sekretess på socialtjänstens område...................................... 576 19.5.1 Sekretess mellan myndigheter och självständiga
verksamhetsgrenar ...................................................... 578
19.5.2 Sekretess i förhållande till privata utförare av socialtjänst ................................................................... 579
20 En ändamålsenlig informationshantering – iakttagelser och reflektioner ...................................... 581
20.1 Bakgrund ................................................................................ 581 20.2 Informatik och it .................................................................... 581 20.3 Samtycke till insatser – en utgångspunkt för informationshanteringen ....................................................... 583
20.4 Övergripande nämndstruktur påverkar informationshanteringen ....................................................... 585 20.5 Valfrihet och mångfald påverkar informationshanteringen ....................................................... 586
20.6 Informationshantering i samband med rådgivning och annat stöd ............................................................................... 587 20.7 Verksamhetsuppföljning och kvalitetssäkring ..................... 589 20.8 SoLPUL och SoLPULF – ett svårtillgängligt regelverk ...... 591 20.9 Kunskap, kompetens, ledning och styrning ......................... 592 20.10 Sammanfattande reflektioner ................................................ 593
21 En mer ändamålsenlig sekretessreglering i socialtjänsten .......................................................... 595
21.1 Bakgrund ................................................................................ 595
Innehåll SOU 2014:23
18
21.1.1 Kort om kommunens ansvar och organisation ......... 597 21.1.2 Något om tidigare lagstiftningsarbeten ..................... 598
21.2 Våra överväganden och förslag rörande sekretessregleringen i socialtjänsten ..................................... 599 21.2.1 Omotiverade konsekvenser av dagens reglering ....... 599 21.2.2 Alternativa lösningar ................................................... 602 21.2.3 Förslag till en mer ändamålsenlig
sekretessreglering i socialtjänsten ............................. 604
21.2.4 Frågan om sekretess mellan LSS och övrig socialtjänstverksamhet ................................................ 607 21.2.5 Frågan om sekretess mellan LSS och den kommunala hälso- och sjukvården i boenden med särskild service ............................................................. 609 21.2.6 Frågan om sekretess mellan hemtjänst och kommunal hemsjukvård ............................................. 611 21.2.7 Frågan om en sekretessbrytande regel i förhållande till hälso- och sjukvården m.m. .............. 613 21.2.8 Förslag till en sekretessbrytande regel när den enskilde inte kan samtycka ......................................... 616
21.3 Våra överväganden och förslag om kommunens möjligheter att följa upp socialtjänst i enskild verksamhet .............................................................................. 622 21.3.1 Det kommunala huvudmannaansvaret ...................... 623 21.3.2 Förslag om uppgiftsskyldighet från enskilda
verksamheter till kommunen...................................... 625
22 En ny lag: socialtjänstdatalag ..................................... 631
22.1 Bakgrund ................................................................................. 631 22.1.1 Kort om våra utgångspunkter för denna typ av
lagstiftning ................................................................... 633
22.2 Våra överväganden och förslag .............................................. 635 22.2.1 En samlad reglering i en ny lag ................................... 635 22.2.2 Bestämmelser om handläggning och
dokumentation ligger kvar i befintlig lagstiftning .... 636
22.2.3 Lagens tillämpningsområde ........................................ 637 22.2.4 Definition av socialtjänst ............................................ 643 22.2.5 Syftet med lagen .......................................................... 645 22.2.6 Förhållandet till personuppgiftslagen ........................ 647
Innehåll
19
23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten ............ 651
23.1 Bakgrund ................................................................................ 651 23.2 Våra överväganden och förslag .............................................. 652 23.2.1 Tillåtna ändamål för behandlingen av
personuppgifter ........................................................... 652
23.2.2 Sammanställningar av personuppgifter ..................... 663 23.2.3 Personuppgifter som får behandlas i socialtjänsten ............................................................... 670 23.2.4 Den enskildes inställning till personuppgiftsbehandlingen ...................................... 674 23.2.5 Behandling av personuppgifter vid råd och service .......................................................................... 677 23.2.6 Personuppgiftsansvar ................................................. 679 23.2.7 Sökbegrepp .................................................................. 680
24 Säker och ändamålsenlig hantering av personuppgifter 685
24.1 Bakgrund ................................................................................ 685 24.2 Våra överväganden och förslag .............................................. 686 24.2.1 Ansvar för den som arbetar i socialtjänsten – inre
sekretess ...................................................................... 688
24.2.2 Ansvar för att uppgifter är tillgängliga när de behövs .......................................................................... 690 24.2.3 Ansvar för att skydda uppgifterna vid överföring via internet m.m. ......................................................... 691 24.2.4 Ansvar för informationssystemens utformning ....... 696 24.2.5 Ansvar för behörighetstilldelning .............................. 698 24.2.6 Ansvar för kontroll av elektronisk åtkomst .............. 701
25 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga ............................................ 705
25.1 Bakgrund ................................................................................ 705 25.1.1 Vårt uppdrag m.m. ...................................................... 707 25.2 Våra överväganden och förslag .............................................. 708 25.2.1 Krav på risk- och sårbarhetsanalys,
överenskommelse och tydliggörande av personuppgiftsansvar .................................................. 708
Innehåll SOU 2014:23
20
26 Elektroniskt utlämnande av personuppgifter ................ 717
26.1 Bakgrund ................................................................................. 717 26.2 Våra överväganden och förslag .............................................. 718 26.2.1 Utlämnande på medium för automatiserad
behandling ................................................................... 718
26.2.2 Utlämnande genom direktåtkomst ............................ 720 26.2.3 Utlämnande av uppgifter till tredje land .................... 723 26.2.4 Vissa bestämmelser om utlämnande från Statens institutionsstyrelse ...................................................... 724
27 Nya möjligheter till informationsutbyte i socialtjänsten . 727
27.1 Bakgrund ................................................................................. 727 27.2 Våra överväganden och förslag .............................................. 728 27.2.1 Direktåtkomst mellan myndigheter i samma
kommun ....................................................................... 728
27.2.2 Direktåtkomst mellan olika utförare i socialtjänsten ............................................................... 732 27.2.3 Personer med nedsatt beslutsförmåga ....................... 738 27.2.4 Tillåtna ändamål vid direktåtkomst till uppgifter hos annan verksamhet ................................................. 740 27.2.5 Personuppgiftsansvar .................................................. 743 27.2.6 Bevarande och gallring ................................................ 744 27.2.7 Sekretessbrytande regel .............................................. 745
28 Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten ........................................................... 751
28.1 Bakgrund ................................................................................. 751 28.2 Våra överväganden ................................................................. 754
29 Allmänna frågor om enskildas rättigheter m.m. ............ 763
29.1 Bakgrund ................................................................................. 763 29.2 Våra överväganden och förslag .............................................. 764 29.2.1 Enskildas rätt att ta del av uppgifter .......................... 764 29.2.2 Information om personuppgiftsbehandlingen .......... 764
Innehåll
21
29.2.3 Information om åtkomst till den enskildes uppgifter ...................................................................... 766 29.2.4 Rättelse ........................................................................ 768 29.2.5 Skadestånd ................................................................... 769
30 Socialstyrelsens behandling av personuppgifter ........... 771
30.1 Bakgrund ................................................................................ 771 30.2 Våra överväganden och förslag .............................................. 771 30.2.1 Ny lag om Socialstyrelsens behandling av
personuppgifter i verksamhet avseende utredningar av vissa dödsfall ...................................... 771
30.2.2 Lagens tillämpningsområde ....................................... 772 30.2.3 Personuppgiftsansvar ................................................. 773 30.2.4 Tillåten personuppgiftsbehandling ............................ 773
Informationsutbyte mellan hälso- och sjukvården och
socialtjänsten
31 Behov av en mer sammanhållen informationshantering ............................................... 775
31.1 Bakgrund ................................................................................ 775 31.1.1 Individens behov som utgångspunkt ......................... 775 31.1.2 Det delade ansvaret för hälso- och sjukvård och
socialtjänst ................................................................... 777
31.1.3 Stora krav på informationsöverföringen ................... 783
31.2 Rättsliga krav på samverkan mellan huvudmän.................... 784 31.2.1 Samverkan på övergripande nivå ................................ 785 31.2.2 Samverkan på individuell nivå .................................... 786 31.3 Utredningens iakttagelser och reflektioner när det gäller integrerade verksamheter ...................................................... 788 31.3.1 Vård och omsorg om äldre i särskilt boende och i
hemmet ........................................................................ 789
31.3.2 Vård och omsorg om personer med psykisk sjukdom och funktionshinder .................................... 796 31.3.3 Vård och omsorg om personer med missbruk och beroendeproblem ........................................................ 800 31.3.4 Vård och omsorg om barn och unga ......................... 803
Innehåll SOU 2014:23
22
32 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst ........................... 807
32.1 Bakgrund ................................................................................. 807 32.2 Vilka förändringar behövs? .................................................... 808 32.2.1 Kort om nuvarande regelverk ..................................... 809 32.2.2 Kort om utredningens förslag i övriga delar ............. 809 32.2.3 Vad behövs ytterligare? .............................................. 811 32.3 Våra överväganden och förslag .............................................. 811 32.3.1 Inledande utgångspunkter .......................................... 811 32.3.2 Två alternativa möjligheter bör tillhandahållas ......... 812 32.3.3 Särskilda kapitel i lagstiftningen ................................. 814 32.3.4 Utlämnande genom direktåtkomst mellan hälso-
och sjukvård och socialtjänst ska vara möjligt .......... 815
32.3.5 Direktåtkomst avseende vuxna med inte endast tillfälligt nedsatt beslutsförmåga ................................ 825 32.3.6 Direktåtkomst är tillåten endast så länge det konkreta behovet finns ............................................... 828 32.3.7 Direktåtkomst ska föregås av risk- och sårbarhetsanalys och överenskommelse om skyddet för uppgifterna .............................................. 829 32.3.8 Bevarande och gallring vid direktåtkomst ................. 830 32.3.9 Fråga om absolut sekretess ......................................... 831 32.3.10 Gemensam vård- och omsorgsjournal för personer med behov av både socialtjänst och hälso- och sjukvård ................................................... 832 32.3.11 Innehållet i en gemensam vård- och omsorgsjournal m.m. ................................................ 842 32.3.12 Överenskommelse om gemensam vård- och omsorgsjournal .......................................................... 844 32.3.13 Att ta del av uppgifter genom direktåtkomst eller i en gemensam vård- och omsorgsjournal ....... 845 32.3.14 Bevarande och arkivering av gemensam vård och omsorgsjournal .......................................................... 849 32.3.15 Sekretessbrytande bestämmelser för att möjliggöra förslagen ................................................. 850 32.3.16 Gemensam vård- och omsorgsjournal och sammanhållen journalföring ..................................... 852
Innehåll
23
Ökad kommunikation med medborgare
33 Kommunikation mellan vård- och omsorgsaktörer och medborgare ............................................................. 855
33.1 Bakgrund ................................................................................ 855 33.1.1 Vårt uppdrag ............................................................... 856 33.1.2 En utveckling med flera mål ....................................... 857 33.2 Några utvecklingsarbeten inom området ............................. 859 33.2.1 E-tjänster och erfarenheter från landstinget i
Uppsala ........................................................................ 859
33.2.2 Mina vårdkontakter .................................................... 861 33.2.3 Omsorgsdagboken ...................................................... 863 33.2.4 Mina vårdflöden .......................................................... 863 33.2.5 Din journal på nätet – förstudien .............................. 864 33.2.6 Hälsa för mig – ett personligt hälskonto .................. 868 33.2.7 Internationell utblick .................................................. 869
33.3 Några reflektioner kring informationsflöden och aktörer..................................................................................... 871
33.4 Kort genomgång av gällande rätt .......................................... 875 33.4.1 Patientens rätt att ta del av sin journal i hälso-
och sjukvården ............................................................ 876
33.4.2 Elektroniskt utlämnande av uppgifter till patienten ...................................................................... 877 33.4.3 Krav på säkerhetsåtgärder m.m. i hälso- och sjukvården ................................................................... 878 33.4.4 Individens rätt till uppgifter om uthämtade läkemedel ..................................................................... 880 33.4.5 Individens rätt till information i socialtjänsten ........ 880 33.4.6 Elektroniskt utlämnande till individen i socialtjänsten ............................................................... 881 33.4.7 Krav på säkerhetsåtgärder m.m. i socialtjänsten ....... 882
33.5 Våra överväganden och förslag .............................................. 883 33.5.1 Direktåtkomst för enskilda i socialtjänsten .............. 883 33.5.2 Direktåtkomst för patienter och frågan om
sekretess mot patienten själv...................................... 886
33.5.3 Tydlig information och överenskommelser med den enskilde ................................................................. 894
Innehåll SOU 2014:23
24
33.5.4 Begreppet personligt hälskonto – behov av definition? .................................................................... 896 33.5.5 Personuppgiftsansvar för vårdgivare och den som bedriver socialtjänst .................................................... 899 33.5.6 Personuppgiftsansvar när utlämnade uppgifter lagras i ett personligt hälsokonto ............................... 900 33.5.7 Hantering av uppgifter i ett personligt hälsokonto – för privat bruk ...................................... 902 33.5.8 Personuppgiftsansvar för den som tillhandahåller ett personligt hälskonto .............................................. 903 33.5.9 Hälsokonto och allmänna handlingar ........................ 906 33.5.10 Vem kan tillhandahålla ett personligt hälsokonto? ............................................................... 910 33.5.11 Den enskildes möjlighet att förfoga över sin direktåtkomst m.m.................................................... 911
Övriga överväganden och förslag
34 Internationellt informationsutbyte .............................. 925
34.1 Bakgrund ................................................................................. 925 34.2 Våra överväganden om elektroniskt utlämnande till vårdgivare i andra länder ........................................................ 926 34.2.1 Utlämnande med den enskildes samtycke ................. 926 34.2.2 Elektroniskt utlämnande på medium för
automatiserad behandling till andra länder ................ 928
34.2.3 Får ett elektroniskt utlämnande göras genom direktåtkomst? ............................................................ 933 34.2.4 Är detta förenligt med EU-rätten? ............................ 938
34.3 Våra övervägande om elektroniskt utlämnande till apotek i andra länder .............................................................. 942 34.3.1 Utlämnande med den enskildes samtycke ................. 942 34.3.2 Får ett elektroniskt utlämnande göras genom
direktåtkomst? ............................................................ 946
34.3.3 Är detta förenligt med EU-rätten? ............................ 949
35 Socialstyrelsens läkemedelsregister ............................ 951
35.1 Bakgrund ................................................................................. 951 35.1.1 Vårt uppdrag ................................................................ 952
Innehåll
25
35.2 Rättslig reglering av läkemedelsregistret .............................. 952 35.2.1 Hälsodataregistren ...................................................... 954 35.3 Läkemedelsregistrets användning m.m. ................................ 957 35.4 Uppföljning, utvärdering och kvalitetssäkring m.m. ........... 961 35.5 Våra överväganden och förslag .............................................. 966 35.5.1 Utvecklingen på området ........................................... 966 35.5.2 Nya ändamål bör införas i läkemedelsregistret ......... 969 35.5.3 Uppgift om förskrivningsorsak bör få registreras
i läkemedelsregistret ................................................... 972
36 Patientrapporterade mått .......................................... 977
36.1 Bakgrund ................................................................................ 977 36.1.1 Att mäta och samla in patientupplevelser ................. 978 36.2 Vårt uppdrag ........................................................................... 980 36.3 Våra överväganden ................................................................. 980
37 Datainspektionens befogenheter ................................ 985
37.1 Vårt uppdrag ........................................................................... 985 37.1.1 Datainspektionens befogenheter ............................... 986 37.1.2 Datainspektionens skrivelse till regeringen .............. 987 37.2 Datainspektionens praxis ...................................................... 988 37.3 Bakgrunden till nuvarande reglering ..................................... 990 37.4 Våra överväganden och förslag om utökade befogenheter för Datainspektionen ...................................... 993
27
Sammanfattning
Inledning
Inom hälso- och sjukvården och socialtjänsten finns ett växande behov av att samverka i olika former. För den enskilde individen är ett bra och samlat omhändertagande ofta beroende av stöd och insatser från såväl landsting och kommun som privata vårdgivare eller privat utförare av socialtjänst. Det gäller även i äldreomsorgen, psykiatrin, missbruks- och beroendevården och i verksamheter för funktionshindrade. Arbetet med barn och unga ställer också stora krav på samverkan mellan hälso- och sjukvården och socialtjänsten.
Stora strukturförändringar har genomförts inom hälso- och sjukvården och socialtjänsten de senaste åren. Reformer som bl.a. fritt vårdval och omreglering av apoteksmarknaden har lett till många nya vårdmottagningar, vårdcentraler och apotek där verksamheten i allt större utsträckning utförs av privata aktörer. Även inom socialtjänsten har andelen privata utförare ökat, bl.a. som en följd av lagen (2008:962) om valfrihetssystem. En individ som rör sig inom och mellan hälso- och sjukvården och socialtjänsten möter därför allt fler vårdgivare och utförare inom socialtjänsten både nationellt och internationellt.
Hälso- och sjukvården och socialtjänsten är två av de mest informationsintensiva och komplexa sektorerna i samhället. Det medför nya och ökade behov och krav på hur information ska hanteras. Idag spänner informationshanteringen därför över ett mycket större område än tidigare. Vi har gått från en tid när det många gånger har handlat om att uppgifter om enskilda ska dokumenteras, till en tid när det i större utsträckning även handlar om hur uppgifter som har dokumenterats kan och bör användas för att skapa bästa möjliga resultat för individen och för andra i liknande situationer. De tekniska landvinningarna och den ständigt ökande informationstillgången har bland annat medfört att det idag
Sammanfattning SOU 2014:23
28
är möjligt att göra sådant som tidigare var omöjligt eller som åtminstone i praktiken var alltför resurskrävande för att kunna genomföras. Det kan handla om att information om den enskilde individen elektroniskt sambearbetas med andra kunskapskällor, t.ex. nationella riktlinjer, och resulterar i att yrkesutövaren snabbt och säkert får en direkt rekommendation för sitt ställningstagande. Inte minst inom hälso- och sjukvården finns flera exempel på framväxten av olika former av kliniska beslutsstöd där en effektiv informationshantering på systemnivå kan bidra till öka säkerheten och kvaliteten i vården.
Den tekniska utvecklingen har även medfört helt nya möjligheter att arbeta preventivt för att förebygga ohälsa. Med hjälp av information om enskilda och deras sjukdomshistoria, riskfaktorer och aktuella behandlingsriktlinjer m.m. kan tekniken bidra till att sjukdomar upptäcks tidigare och kan behandlas snabbare samt att enskilda individer får ett mer individanpassat stöd och omhändertagande. Informationshanteringen i hälso- och sjukvården och socialtjänsten är därför av avgörande betydelse såväl för kvaliteten och säkerheten i den vård och omsorg enskilda individer erbjuds, som för möjligheterna att arbeta preventivt och förebygga ohälsa och låg livskvalitet.
Centralt i hälso- och sjukvården och socialtjänsten är också att ständigt utveckla och säkra kvaliteten i verksamheten i syfte att skapa ännu bättre resultat för de som idag och i framtiden har behov av vård och omsorg. Inte sällan behöver dokumenterade uppgifter om enskilda individer, diagnoser, åtgärder, bakgrunden till genomförda insatser, resultaten av insatser och enskildas och närståendes upplevelser av hälsorelaterad livskvalitet m.m. ligga till grund för ett sådant förbättringsarbete. Det är såväl ett grundläggande allmänt intresse som ett uttryckligt krav i lagstiftningen att systematiskt och fortlöpande utveckla och säkra kvaliteten i socialtjänsten och hälso- och sjukvården.
Sammantaget är en effektiv och ändamålsenlig informationshantering en av grundförutsättningarna för en jämlik vård och omsorg av hög kvalitet i hela landet. Det innebär att satsningar och förbättringsarbeten för säkerhet, tillgänglighet och evidensbaserade arbetssätt i vård och omsorg även behöver inkludera frågor om informationshantering.
För att medborgare ska få säkra insatser av hög kvalitet behöver yrkesutövare inom hälso- och sjukvården och socialtjänsten på ett säkert och ändamålsenligt sätt ha tillgång till uppgifter om individen
SOU 2014:23 Sammanfattning
29
och information om de insatser som han eller hon fått tidigare. Utan tillgång till sådana uppgifter ökar risken för bl.a. bristande beslutsunderlag, felbehandlingar och allvarliga interaktioner mellan läkemedel och andra insatser. I det dagliga arbetet med att ge individer den vård och de insatser som i enskilda fall behövs är personalens hantering av information om dessa individer även integrerat med de konkreta arbetsuppgifterna. Personalen behöver såväl ta del av uppgifter som dokumentera uppgifter för att kunna utföra sitt arbete på ett ändamålsenligt och säkert sätt. Om verksamheten exempelvis använder elektroniska beslutsstöd där information om individen sambearbetas med andra kunskapskällor för att ge specifik vägledning eller behandlingsrekommendationer, blir informationshanteringen närmast en oskiljaktig del av själva arbetets utförande. De regler som gäller avseende själva utförandet av insatserna för individen måste därför vara i harmoni med de regler som gäller för hantering av informationen om honom eller henne.
De organisatoriska gränser som finns mellan olika aktörer i hälso- och sjukvården och socialtjänsten för med sig juridiska och tekniska hinder när det gäller hantering av personuppgifter. Men den enskilde ska inte riskera att få mindre säkra insatser eller insatser av lägre kvalitet inom hälso- och sjukvården och socialtjänsten för att en eller flera personalkategorier som utför insatserna inte har tillgång till rätt information vid rätt tillfälle. Rätt information i rätt tid för rätt användare är en nyckel till personalens möjligheter att göra ett bra arbete för den enskilde.
Bra samverkande verksamheter kan ge fördelar för individen. Genom samarbete i tvärprofessionella team sammansatta utifrån individens behov, tätt samarbete med övriga stödfunktioner och tillgång till personal dygnet runt m.m. kan den enskildes behov tillgodoses på ett sätt som uppfyller krav på kontinuitet, säkerhet och respekt för den enskilde. För att detta ska vara möjligt behövs det ett regelverk för informationshanteringen som har individen och individens behov i centrum.
Ytterligare en förutsättning för hög kvalitet och säkerhet hälso- och sjukvård och socialtjänst är att både själva insatserna och informationshanteringen bygger på respekt för den enskildes självbestämmande och integritet. Med hänsyn till såväl individens integritet som till förtroendet för hälso- och sjukvården och socialtjänsten kan det aldrig bli fråga om att information om individen ska kunna spridas okontrollerat. De fördelar som ett utlämnande av eller tillgång till uppgifter innebär måste alltid vägas mot de nackdelar och
Sammanfattning SOU 2014:23
30
risker som kan uppkomma. Det handlar om att upprätthålla en balans mellan olika intressen som framför allt integritetsskydd, hälsa, livskvalitet, autonomi och jämlikhet.
Utredningens utgångspunkt är att värden som kvalitet och säkerhet inte står i motsats till behovet av skydd för den personliga integriteten. I själva verket handlar det om ett samspel där ett välbalanserat integritetsskydd är en förutsättning för hög kvalitet och säkerhet. Den relevanta frågan handlar därför om hur integritetsskyddet närmare bör utformas för att stimulera en socialtjänst och hälso- och sjukvård där medborgare får insatser av så hög kvalitet och säkerhet som möjligt.
Utredningens förslag i korthet
Två nya lagar; en socialtjänstdatalag och en hälso- och sjukvårdsdatalag
Socialtjänstdatalagen
En särskild s.k. registerlagstiftning innebär i många fall en bättre garanti för utformningen av integritetsskyddet när det gäller behandlingen av integritetskänsliga personuppgifter. Därutöver ger en sådan författning även möjligheter att utforma närmare förutsättningar för hur personuppgiftsbehandlingen bör gå till för att de övergripande syftena med informationshanteringen ska kunna uppnås. Personuppgiftsbehandling som rör ett stort antal registrerade personer och har ett särskilt integritetskänsligt innehåll bör vara reglerade i lag. Det ligger i linje med 2 kap. 6 § regeringsformen
Utredningen föreslår att en ny lag om behandling av personuppgifter inom socialtjänsten ska införas, med namnet socialtjänstdatalag. Lagen ska gälla för kärnverksamheten i socialtjänsten, d.v.s. det som utförs av kommunala myndigheter, enskilda verksamheter och Statens institutionsstyrelse. Sådan personuppgiftsbehandling som görs av andra aktörer på socialtjänstens område, t.ex. Socialstyrelsen och Inspektionen för vård och omsorg ska inte regleras av socialtjänstdatalagen.
Lagen syftar till att främja en informationshantering som tillgodoser god kvalitet, rättsäkerhet och kostnadseffektivitet i socialtjänsten. På en övergripande nivå ska förutsättningarna öka för en mer ändamålsenlig och sammanhållen informationshantering inom och mellan socialtjänsten och hälso- och sjukvården. Det handlar både
SOU 2014:23 Sammanfattning
31
om att se till att personuppgifter kan behandlas för att se till att individer i behov av socialtjänst får insatser av hög kvalitet och om att säkerställa behovet av skydd för den personliga integriteten. Författningsstrukturen och det materiella innehållet bör överensstämma i stort med den författningsreglering om behandling av personuppgifter som vi föreslår för hälso- och sjukvården.
Det innebär att socialtjänstdatalagen bland annat innehåller bestämmelser om personuppgiftsansvar, vilka personuppgifter som får behandlas, tillåtna ändamål för personuppgiftsbehandlingen, utlämnande genom direktåtkomst, inre sekretess, behörighetsstyrning, åtkomstkontroll och rättigheter för den enskilde.
Hälso- och sjukvårdsdatalagen
I detta betänkande finns ett stort antal förslag som syftar till att öka förutsättningarna för en mer ändamålsenlig och sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Det handlar bland annat om förslag som ska minska tillämpningsproblemen med nuvarande lagstiftning, reducera de negativa konsekvenserna av regelverkets organisatoriska fokus, stärka integritetsskyddet och tydliggöra ansvaret för att rätt information finns på rätt plats i rätt tid. Utredningens förslag i sin helhet kommer därför att ha en omfattande påverkan på innehållet i den nu gällande patientdatalagen (2008:355). Under arbetets gång har det blivit uppenbart att våra förslag skulle medföra så många förändringar att det skulle inverka negativt på den befintliga strukturen i patientdatalagen och göra den svåröverskådlig.
Utredningen lämnar i betänkandet förslag som ska underlätta informationsutbytet mellan hälso- och sjukvård och socialtjänst. Regleringen av personuppgiftsbehandlingen inom och mellan hälso- och sjukvården och socialtjänsten underlättas om vi lämnar förslag till en ny lagstiftning för båda dessa områden samtidigt.
Utredningen anser att det är en fördel om de lagar som reglerar behandlingen av personuppgifter i hälso- och sjukvården respektive socialtjänsten liknar varandra så mycket som möjligt avseende struktur och innehåll. Det underlättar tillämpningen och förståelsen för lagstiftningens bakomliggande ändamål, både för de registrerade och för de som ska tillämpa lagstiftningen.
Vårt förslag innebär att många bestämmelser ska överföras materiellt oförändrade från patientdatalagen till den nya lagen. Det
Sammanfattning SOU 2014:23
32
har gett oss tillfälle att överväga och vid behöv föreslå förenklad utformning och språkliga justeringar i paragraferna. Utredningen föreslår att den nya lagen ska ha namnet hälso- och sjukvårdsdatalag.
En informationshantering som utgår från individens behov
Förbättrade möjligheter till direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde
Behovet av informationsutbyte om en patient är i dag störst på det lokala planet, i hemkommunen och inom det egna landstinget. Den hälso- och sjukvård som utförs av landsting, kommuner och privata vårdgivare kräver ett tätt och fortlöpande samarbete i individuella vårdsituationer. En av grundförutsättningarna för att patienter ska känna trygghet i hälso- och sjukvården är att den vårdgivare patienten möter har tillgång till all aktuell och relevant information som behövs för att han eller hon ska få en god och säker vård.
Dagens organisationsinriktade lagstiftning motverkar dock ett sådant informationsutbyte. Även om i princip all hälso- och sjukvård är offentligt finansierad av kommuner och landsting uppställer lagstiftningen hinder för informationsutbytet mellan vårdgivare som är offentligt finansierade. För patienter som bor i kommuner eller landsting med få privata leverantörer i det offentligfinansierade systemet ger lagstiftningen bättre förutsättningar för en ändamålsenlig och sammanhållen informationshantering än för patienter som bor i ett landsting eller en kommun med en stor mångfald av vårdgivare.
Vi anser att alla medborgare som väljer vårdgivare, t.ex. en privat vårdcentral med offentlig finansiering, ska kunna lita på att den vårdgivaren har lika goda legala möjligheter som en landstingsdriven vårdcentral att t.ex. utbyta information med det landstingsdrivna sjukhuset. För att möjliggöra detta föreslår utredningen att det ska vara tillåtet att utbyta nödvändiga uppgifter om en patient på samma enkla sätt oavsett hur vården i ett landsting eller i en kommun är organiserad. Vi föreslår att det ska bli tillåtet för offentligfinansierade vårdgivare inom en huvudmans ansvarsområde att utbyta uppgifter om en patient med hjälp av direktåtkomst med stöd av samma regler oavsett om verksamheten drivs offentlig eller privat. Inom det egna landstinget eller inom
SOU 2014:23 Sammanfattning
33
den egna kommunen ska informationen kunna följa patienten på ett enkelt och säkert sätt som är till nytta för honom eller henne.
För att tillgodose patienternas behov av integritetsskydd föreslår vi att patienten ska få en rätt att begränsa den elektroniska åtkomsten inom och mellan dessa vårdgivare, på ett sådant sätt att verksamheter som i praktiken inte heller deltar i patientens vård och behandling inte heller får ta del av uppgifterna. En sådan spärr kan sedan hävas med patientens samtycke eller i en nödsituation där patienten inte kan lämna samtycke.
Jämlik tillgång till sammanhållen journalföring
En konsekvens av utredningens förslag om förbättrade möjligheter till direktåtkomst mellan vårdgivare inom en och samma huvudmans ansvarsområde är att tillämpningsområdet för reglerna om sammanhållen journalföring krymper. Istället för som idag gälla vid allt informationsutbyte genom direktåtkomst mellan vårdgivare kommer reglerna att tillämpas för informationsutbytet mellan vårdgivare som finansieras av olika huvudmän, t.ex. en kommunalt finansierad vårdgivare och en landstingsfinansierad vårdgivare eller två vårdgivare som finansieras av olika landsting.
Genom sammanhållen journalföring kan viktig information om patienterna finnas tillhands i den stund och på den plats behovet för patienten uppstår. En förutsättning för det är dock att patienten inte motsatt sig informationsutbytet. I sådant fall får uppgifterna inte finnas tekniskt åtkomliga för andra vårdgivare i systemet för sammanhållen journalföring. Med hänsyn till patientens rätt till självbestämmande och integritetsskydd ska den förutsättningen enligt utredningens förslag alltjämt vara gällande, men med två undantag. Utredningen föreslår att uppgifter om ordinerade läkemedel och uppgifter som ger en varning om att patienten har visat intolerans eller har en överkänslighet som innebär allvarlig fara för patientens liv eller hälsa, alltid ska få finnas tekniskt åtkomliga så att uppgifterna kan nås i de situationer det behövs för patientens vård.
Ett problem med gällande bestämmelser om sammanhållen journalföring är att patientdatalagen saknar bestämmelser om hur personer som inte endast tillfälligt saknar beslutsförmåga ska kunna dra nytta av en sådan informationsdelning och de fördelar det kan medföra. En person som i det aktuella avseendet har
Sammanfattning SOU 2014:23
34
nedsatt beslutsförmåga kan varken informeras om sammanhållen journalföring eller ta ställning till om vårddokumentationen ska få delas på det sättet.
För att den som har nedsatt beslutsförmåga ska ha samma möjligheter som andra individer att dra nytta av ett mer patientsäkert och effektivt informationsutbyte föreslår vi ett undantag i hälso- och sjukvårdsdatalagen som innebär att vårdgivare, under vissa förutsättningar, kan göra personuppgifter tillgängliga i system för sammanhållen journalföring även om patienten inte kan ta emot information och ta ställning till åtgärden.
För att en vårdgivare, som står i begrepp att ge patienten vård och behandling, ska få ta del av uppgifter i system för sammanhållen journalföring krävs idag att patienten lämnar ett särskilt samtycke till själva åtkomsten och användandet av uppgifterna. Utredningen föreslår att kravet på särskilt samtycke till personuppgiftsbehandlingen inte överförs till hälso- och sjukvårdsdatalagen. I stället ska patientens samtycke till själva hälso- och sjukvårdsinsatserna utgöra grunden för vilka uppgifter hos andra vårdgivare som det är tillåtet att ta del av. Om patienten har kommit överens med vårdgivaren om en viss hälso- och sjukvårdsinsats, t.ex. ordination av läkemedel mot sömnproblem, ska hälso- och sjukvårdspersonalen även få ta del av den information om patienten som behövs för att med en hög patientsäkerhet kunna fatta bästa möjliga beslut om patientens behandling. Patienten ska därmed fortfarande på en övergripande nivå förfoga över vilka uppgifter som hälso- och sjukvårdspersonalen får ta del av. Eftersom hälso- och sjukvårdspersonalen endast får ta del av de uppgifter som behövs för att de ska kunna utföra sitt arbete, kommer patientens självbestämmande alltjämt att vara grunden för vad som är lagligt i fråga om att ta del av uppgifter hos andra vårdgivare. Yrkesutövaren får bara ta del av de uppgifter som behövs för att kunna ge den vård som patienten vill ha. Förslaget innebär alltså ingen förändrad eller ökad rätt för hälso- och sjukvårdspersonal att ta del av de aktuella uppgifterna.
En konsekvens av detta förslag är att det blir möjligt att ta del av uppgifter genom sammanhållen journalföring även i samband med vård och behandling av en person som har nedsatt beslutsförmåga. Om hälso- och sjukvårdspersonalen anser att en viss vårdinsats kan ges trots att patienten inte kan uttrycka sitt samtycke till vården, får personalen också ta del av de uppgifter som behövs för att den aktuella vården ska kunna ges på ett patientsäkert sätt och med hög kvalitet.
SOU 2014:23 Sammanfattning
35
Vidare föreslår utredningen att det ska vara tillåtet att ta del av uppgifter genom direktåtkomst hos andra vårdgivare om uppgifterna behövs för att kvalitetssäkra den vård som patienten har fått.
Nya former för informationsutbyte inom socialtjänsten
Även när det gäller informationshanteringen inom socialtjänsten finns anledning att göra den mer ändamålsenlig genom att låta informationen följa individen i stället för organisationsgränserna.
Utredningen anser att socialtjänsten behöver ha legala förutsättningar för en ändamålsenlig samverkan i den individinriktade verksamheten. Olika utförare som sida vid sida arbetar tillsammans för att ge den enskilde insatser av god kvalitet kan behöva utbyta uppgifter på ett effektivt och säkert sätt. De olika utförarna av socialtjänst behöver en mer sömlös informationshantering som ser till att uppgifter finns tillgängliga när de behövs, där de behövs utan omotiverad tidsfördröjning. Inte minst för att tillgodose individens behov av kontinuitet kan tillgång till rätt information i rätt tid vara avgörande.
Utredningen föreslår därför att det i en kommun som väljer att organisera socialtjänsten i flera olika nämnder och kommunalägda bolag ska vara tillåtet att utbyta personuppgifter mellan nämnderna och bolagen genom direktåtkomst. De kommuner som i dag har organiserat socialtjänsten i en och samma nämnd, har redan stora möjligheter till ett sådant ändamålsenligt och effektivt informationsutbyte som förslaget om direktåtkomst syftar till att möjliggöra för alla kommuner. Även denna fråga handlar om att öka förutsättningarna för en jämlik socialtjänst av hög kvalitet för alla, oavsett hur myndighetsstrukturen i de olika kommunerna ser ut.
För att ytterligare förbättra möjligheterna till ändamålsenliga arbetssätt inom socialtjänsten föreslår utredningen att det under vissa förutsättningar även ska vara tillåtet med direktåtkomst mellan olika utförare av socialtjänst oavsett om de är kommunala eller privata. Denna form av direktåtkomst ska endast omfatta det informationsutbyte som behövs i samband med genomförandefasen i socialtjänsten, exempelvis när den enskilde får insatser genomförda av två eller flera utförare. Med hänsyn till behovet av självbestämmande och skydd för den personliga integriteten ska den enskildes samtycke krävas för informationsutbytet.
Sammanfattning SOU 2014:23
36
Med våra förslag får alla kommuner – oavsett hur myndighetsstrukturen ser ut och oavsett i vilken mån privata utförare av socialtjänst anlitas – samma möjlighet att arrangera informationshanteringen inom socialtjänsten på ett sätt som ser till att individens behov av rättssäkerhet och god kvalitet tillgodoses. Vidare kan informationshanteringen bli mer kostnadseffektiv eftersom uppgifter, under vissa förutsättningar, får utbytas på ett sätt som minskar de administrativa insatserna som exempelvis sekretessprövningar och utlämnanden på medium för automatiserad behandling ger upphov till. Direktåtkomst innebär även att behovet av dubbeldokumentation, d.v.s. att samma uppgift behöver dokumenteras flera gånger på flera ställen, minskar.
Genom utredningens förslag får socialtjänsten motsvarande möjligheter att hantera och utbyta information som hälso- och sjukvården har haft sedan 2008.
Direktåtkomst mellan hälso- och sjukvård och socialtjänst och gemensam vård- och omsorgsjournal
Många individer har idag behov av insatser både från hälso- och sjukvården och socialtjänsten. Inte minst för äldre personer, personer med funktionshinder, personer med missbruks- eller beroendeproblematik eller personer med psykisk ohälsa krävs ofta en omfattande samverkan över organisatoriska och professionella gränser för att den enskilde individen ska få sina behov av hälso- och sjukvård och socialtjänst tillgodosedda. Det har även under en längre tid införts nya rättsliga krav på samverkan mellan huvudmännen i dessa frågor. För att sådan samverkan ska fungera och leda till bättre resultat för den enskilde måste det finnas rättsliga förutsättningar som medger en ömsesidig tillgång till relevant information över vårdgivargränser, utförargränser och huvudmannagränser.
En utgångspunkt för utredningen är att regelverket om informationshantering ska ge verksamheterna möjlighet att arbeta integrerat fullt ut för att så långt som möjligt kunna använda den gemensamma kompetensen för att ge god och säker vård och omsorg till den enskilde. Organisationsgränser och olika regelverk bör så lite som möjligt hindra det informationsutbyte som behövs i detta syfte. Där är vi inte idag.
Trots att det exempelvis i samband med Ädelreformen uttalades att många personer har så sammansatta behov av hälso- och sjuk-
SOU 2014:23 Sammanfattning
37
vård och socialtjänst att det inte går att skilja på vad som är vad, innebär dagens regler för informationshantering att yrkesutövare i vård och omsorg ändå måste ta ställning till dessa svåra gränsdragningsfrågor och dela upp dokumentation om en och samma individ i två olika delar. Beroende på var uppgifter om den enskilde sedan dokumenteras uppstår risker genom bristande tillgång till relevant information och avsaknad av en samlad bild av individens hälsosituation. Utredningen lägger därför förslag om ett regelverk som i större utsträckning utgår ifrån individen och individens behov istället för organisations- och verksamhetsgränser.
För att tillgodose behoven i en sådan komplex verksamhet som vård och omsorg för personer med behov av både hälso- och sjukvård och socialtjänst, bör regelverket tillhandahålla flera olika möjligheter till en mer effektiv, ändamålsenlig och sammanhållen informationshantering. Därför bör verksamheterna få välja den form av informationshantering som ger de bästa förutsättningarna för att kunna tillgodose enskildas behov av en god och säker vård och omsorg. Utredningen föreslår därför att vårdgivare i hälso- och sjukvården och utförare i socialtjänsten ska kunna välja form för gemensam informationshantering; antingen i form av direktåtkomst mellan hälso- och sjukvård och socialtjänst eller i form av en gemensam vård- och omsorgsjournal.
Utredningens förslag innebär att t.ex. ungdomsmottagningar kan välja att använda möjligheten till direktåtkomst mellan hälso- och sjukvård och socialtjänst som ett sätt att utbyta uppgifter mellan de olika aktörer som deltar i insatserna för den unge. Det kan vara en ändamålsenlig form för informationshantering i den verksamheten så att de unga får insatser av god kvalitet. Genom förslaget blir det även möjligt för en primärvårdsläkare att med direktåtkomst ta del av det som dokumenterats om den äldre på ett särskilt boende i form av exempelvis hur den äldre sovit, ätit, druckit och i övrigt mått. Sådant som kan vara helt avgörande vid exempelvis ordination av läkemedel eller utvärdering av redan ordinerade behandlingar.
Andra verksamheter som bedrivs integrerat mellan hälso- och sjukvård och socialtjänst kan ha så stora behov av att dokumentera på ett samlat sätt att en gemensam vård- och omsorgsjournal är ett bättre alternativ än direktåtkomst. Utredningen gör bedömningen att det inte minst i särskilda boenden för äldre kan förenkla och förbättra informationsförsörjningen för de deltagande aktörerna om alla dokumenterar i en gemensam vård- och omsorgsjournal. På så sätt
Sammanfattning SOU 2014:23
38
skapas bättre förutsättningar för en god och säker verksamhet för de äldre som får sina behov av vård och omsorg tillgodosedda på boendet. Innehållet i en gemensam vård- och omsorgsdokumentation ska motsvara både det som ska dokumenteras i en patientjournal och det som ska noteras i en social journal.
Den enskilde individens tillgång till uppgifter om sig själv och möjligheterna att förfoga över dessa
Utredningens utgångspunkt är att våra förslag ska stimulera en utveckling av fler e-tjänster som på olika sätt kan öka servicen och tillgängligheten gentemot medborgarna samt stärka individens inflytande och delaktighet i hälso- och sjukvården och socialtjänsten. Enligt gällande rätt får en vårdgivare ge en patient direktåtkomst uppgifter om sig själv. Vi föreslår även uttryckliga bestämmelser som ger den som bedriver verksamhet inom socialtjänsten möjlighet att ge individen direktåtkomst till sina personuppgifter. Individen ska även få medges direktåtkomst till dokumentation om den åtkomst som förekommit (loggar).
Normalt gäller inte sekretess till skydd för en enskild individ i förhållande till individen själv. I hälso- och sjukvården finns dock bestämmelser i offentlighets- och sekretesslagen (2009:400) samt patientsäkerhetslagen (2010:659) som i vissa fall medför att sekretess eller tystnadsplikt kan bedömas föreligga även mot individen själv. Motsvarande sekretessbestämmelse mot individen själv finns inte för uppgifter inom socialtjänsten.
Utredningen anser att bestämmelsen om sekretess mot patienten själv är inte är förenlig med ett tidsenligt förhållande mellan hälso- och sjukvården och patienten. Eventuella risker med att ta bort sekretessen väger förhållandevis lätt jämfört med de vinster det för med sig, såväl vad gäller ökade fundamentala patienträttigheter som möjligheten för patienten att med hjälp av effektiva och säkra e-tjänster kunna ta del av viktig information om sitt hälsotillstånd. Förslaget medför också att dessa möjligheter kommer att vara likvärdiga avseende uppgifter såväl inom hälso- och sjukvården som socialtjänsten. Vi föreslår därför att bestämmelserna om sekretess och tystnadsplikt mot patientens själv tas bort. Förslaget innebär ingen förändring i vilka övriga uppgifter som får lämnas ut till en enskild. Exempelvis kan det, precis som idag, föreligga sekretess för uppgifter om andra personer som nämns i den enskildes patientjournal eller personakt i socialtjänsten.
SOU 2014:23 Sammanfattning
39
Vidare bedömer utredningen att många individer kan ha stor nytta av att ge närstående tillgång till korrekta och aktuella uppgifter som dokumenterats i hälso- och sjukvården och socialtjänsten. Med tillgång till rätt information får närstående bättre förutsättningar att vara ett stöd i frågor om hälso- och sjukvård och socialtjänst samt får ökade möjligheter att bevaka den enskildes intressen. Hälso- och sjukvårdsdatalagen och socialtjänstdatalagen bör innehålla bestämmelser som uttryckligen medger att individen kan förfoga över sin direktåtkomst. Det ska vara möjligt för individen att låta någon annan ta del av korrekta och aktuella uppgifter på ett ändamålsenligt sätt. Det kan exempelvis vara värdefullt när närstående hjälper till att stödja familjemedlemmar eller andra med sådant som har med hälso- och sjukvård att göra. Den närstående kan exempelvis vara behjälplig med individens medicinering och annan egenvård och därmed ha ett behov av att ta del av aktuella uppgifter genom direktåtkomst. Vidare kan det handla om att hjälpa till med att boka tider, förnya recept, följa en remiss eller helt enkelt att bara ta del av och hålla sig uppdaterad om de journalanteckningar som görs om individen.
En informationshantering som stödjer tillgänglighet, säkerhet och skyddet för den personliga integriteten
Förtydligat ansvar för hantering av personuppgifter inom hälso- och sjukvården och socialtjänsten
Utredningen föreslår att socialtjänstdatalagen och hälso- och sjukvårdsdatalagen ska innehålla flera bestämmelser om ansvaret för en säker och ändamålsenlig hantering av personuppgifter. Det handlar både om att se till att uppgifter finns tillgängliga och att uppgifter hanteras så att obehöriga, vare sig det är inom eller utom verksamheten, inte kan komma åt dem. I de respektive lagarna ska finnas flera bestämmelser som uttrycker vad som innefattas i detta ansvar för säker hantering av personuppgifter.
En vårdgivare och den som bedriver verksamhet inom socialtjänsten är ytterst ansvariga för informationshanteringen och för verksamheten som helhet och ska se till att uppgifterna hanteras på ett sådant sätt att de är tillgängliga för de som behöver uppgifterna i sitt arbete. Själva syftet med dokumentationen går förlorad om uppgifterna inte finns tillgängliga där de behövs, exempelvis för att se till att enskildas behov tillgodoses. Därför måste de ansvariga
Sammanfattning SOU 2014:23
40
vara medvetna om sitt ansvar och arbeta systematiskt med att säkerställa att personuppgifterna finns tillgängliga i verksamheten. Det behöver t.ex. finnas väl utarbetade skydd mot avbrott i systemen, reservplaner och robusta rutiner för tilldelning av behörigheter m.m.
Mot bakgrund av behovet av ett starkt skydd för den personliga integriteten ska även uttryckas ett ansvar för att uppgifter hanteras och förvaras så att inte obehöriga får tillgång till dem och för att överföring av uppgifter görs på ett säkert sätt så att ingen obehörig kan ta del av dem.
Krav på behörighetsstyrning och åtkomstkontroll
På socialtjänstens område saknas idag, till skillnad mot hälso- och sjukvården, uttryckliga regler om krav på att anpassa yrkesutövarnas behörigheter för elektronisk åtkomst till uppgifter om enskilda efter de behov av uppgifter som yrkesutövaren har för att kunna utföra sitt arbete. Det saknas även uttryckliga bestämmelser om krav på loggning och kontroll av att ingen otillåten åtkomst till uppgifter om enskilda har förekommit. Med hänsyn till behovet av skydd för den personliga integriteten ska det både i socialtjänstdatalagen och i hälso- och sjukvårdsdatalagen finnas tydliga bestämmelser om krav på behörighetsstyrning och åtkomstkontroll. Yrkesutövare i hälso- och sjukvården och socialtjänsten ska så långt möjligt ha en behörighet som är begränsad och anpassad till vad som behövs för att en god och säker hälso- och sjukvård eller socialtjänst kan utföras.
Genom utredningens förslag tydliggörs exempelvis att det, även om sekretessen mellan myndigheter i socialtjänsten i samma kommun tas bort, alltid finns ett ansvar för den som bedriver verksamheten att se till att den interna elektroniska tillgången till uppgifter inte är större än den enskilda yrkesutövarens behov.
Yrkesutövarens ansvar – inre sekretess
I socialtjänstdatalagen ska, på motsvarande sätt som redan idag gäller inom hälso- och sjukvården, tydliggöras när en yrkesutövare får ta del av uppgifter om enskilda individer. Den som arbetar inom socialtjänsten får ta del av dokumenterade uppgifter om en enskild endast om han eller hon behöver uppgifterna för sitt arbete inom
SOU 2014:23 Sammanfattning
41
socialtjänsten och uppgifterna ska användas för något av de ändamål som är tillåtna enligt socialtjänstdatalagen, exempelvis för att handlägga ärenden om enskilda. Motsvarande bestämmelse överförs från patientdatalagen till hälso- och sjukvårdsdatalagen.
Skydd för personuppgifter vid samverkan mellan flera personuppgiftsansvariga
I nuvarande regelverk saknas uttryckliga krav som anger hur vårdgivare inom hälso- och sjukvården eller utförare i socialtjänsten som samverkar kring behandling av känsliga personuppgifter ska agera tillsammans för att se till att uppgifterna skyddas. Enligt utredningens uppfattning är det viktigt att samverkande aktörer tar ett gemensamt ansvar för informationssäkerheten och skyddet för personuppgifterna, så att inte integritetsförluster uppstår för enskilda.
Mot den bakgrunden föreslås att samverkande aktörer inom hälso- och sjukvård och socialtjänst som medger varandra direktåtkomst eller på annat sätt samarbetar vid behandling av personuppgifter ska göra en risk- och sårbarhetsanalys och komma överens om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Av överenskommelsen ska framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.
Krav på informationssystemens utformning
I de båda lagarna som föreslås ska uttryckas ett ansvar för den som bedriver verksamheten att se till att de informationssystem som innehåller personuppgifter är lätta att använda, stödjer arbetet, underlättar arbetet med att utveckla verksamhetens kvalitet och underlättar samverkan och utbyte av uppgifter. Dessutom ska informationssystemen vara utformade på ett sådant sätt att de enskildas integritetsskydd tillgodoses.
Sammanfattning SOU 2014:23
42
En informationshantering som bidrar till bättre resultat för individer i behov av hälso- och sjukvård och socialtjänst
Förbättrade möjligheter till kvalitetssäkring och kvalitetsutveckling inom en huvudmans ansvarsområde i hälso- och sjukvården
Genom vårt förslag om direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde blir förutsättningarna för informationshantering i den individinriktade patientverksamheten lika för alla vårdgivare inom detta område, oavsett om vårdgivarens verksamhet drivs i privat eller i offentlig regi. Det blir alltså möjligt hålla ihop informationshanteringen på ett lokalt och regionalt plan, såväl i den individinriktade verksamheten som när det gäller olika övergripande kvalitets- och förbättringssträvanden i landstinget eller kommunen. Inom det område som patienten oftast söker vård – inom det egna landstinget eller inom den egna kommunen – ska informationen nu kunna följa patienten på ett enkelt och säkert sätt. Utredningen anser att informationen i verksamheterna ska kunna bidra till bättre resultat för alla patienter, oavsett hur hälso- och sjukvården är organiserad.
För att ytterligare förstärka dessa möjligheter föreslår utredningen en tystnadspliktsbrytande uppgiftsskyldighet som gör att en privat vårdgivare kan lämna ut de uppgifter till huvudmannen som behövs för att denne ska kunna leva upp till sitt ansvar som huvudman enligt hälso- och sjukvårdslagen (1982:763). Förslaget syftar till att förbättra kommuner och landstings möjligheter att planera, följa upp och kvalitetssäkra den hälso- och sjukvård kommunen eller landstinget har huvudmannaansvaret för. Genom förslaget får kommuner och landsting samma förutsättningar att ta ansvar för hälso- och sjukvården oberoende av om verksamheten drivs av kommunen eller landstinget själv eller av en privat vårdgivare med offentlig finansiering. Det blir möjligt att följa upp patientens vårdprocesser oavsett hur vården i landstinget eller kommunen är organiserat. Det ger också förutsättningar för alla huvudmän att planera och erbjuda preventiva insatser på ett jämlikt sätt till alla invånare.
SOU 2014:23 Sammanfattning
43
Viss kvalitetssäkring möjlig i system för sammanhållen journalföring
Enligt nuvarande regelverk får åtkomst till uppgifter i system för sammanhållen journalföring endast användas för ändamålen vård och behandling av patienten samt för att utfärda intyg. En konsekvens av ändamålsbegränsningen är att det inte är tillåtet att ta del av uppgifter hos andra vårdgivare genom direktåtkomst för att exempelvis följa upp och kvalitetssäkra den egna verksamheten. Samtidigt har det blivit tydligt att det kan finnas behov av att ta del av uppgifter i sammanhållen journalföring för att kvalitetssäkra den egna verksamheten. Det handlar inte om behov av att generellt ta del av patientuppgifter hos andra vårdgivare, utan om att ta del av uppgifter om patienter som vårdats både i den egna verksamheten och hos andra vårdgivare. Det är idag vanligt förekommande att flera vårdgivare arbetar tätt tillsammans i vården av samma patienter. För att en vårdgivare i ett sådant samarbete ska kunna följa upp och säkra kvaliteten av sina insatser föreslår utredningen att det ska vara tillåtet att ta del av uppgifter genom direktåtkomst hos andra vårdgivare om uppgifterna behövs för att kvalitetssäkra den vård som patienten har fått.
Förbättrade möjligheter till kvalitetssäkring och kvalitetsutveckling i socialtjänsten
Våra förslag till förbättrade möjligheter till informationsutbyte inom socialtjänsten ger på flera olika sätt bättre möjligheter till kvalitetssäkring och verksamhetsuppföljning inom socialtjänstens område. Förslagen ger ökade möjligheter till ett lokalt kvalitetsarbete exempelvis hos enskilda utförare av socialtjänst, genom att det i socialtjänstdatalagen tydliggörs att enskilda verksamheter får behandla personuppgifter för att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten. Detta gäller redan för de offentliga verksamheterna idag och med utredningens förslag får alla som bedriver socialtjänst samma möjligheter.
Dessutom ger flera av utredningens förslag ökade möjligheter till ett mer övergripande kvalitetsarbete hos den ansvariga kommunen. Genom förslaget att ta bort sekretessgränserna mellan olika nämnder på socialtjänstens område i en och samma kommun, ges nya möjligheter för kommunen att göra en mer samlad verksamhetsuppföljning och kvalitetssäkring. Förslaget innebär att
Sammanfattning SOU 2014:23
44
alla kommuner, oavsett hur de valt att organisera sin myndighetsstruktur inom socialtjänsten, får samma legala möjligheter att följa upp, säkra och utveckla kvaliteten i den socialtjänst invånarna erbjuds.
Vidare föreslår utredningen att en kommun, som i egenskap av huvudman ansvarar för socialtjänsten, ska ha samma möjligheter att följa upp kvaliteten i socialtjänsten oavsett om den enskildes insatser utförs av en privat eller av en offentlig utförare. För att möjliggöra detta föreslås en tystnadspliktsbrytande uppgiftsskyldighet för enskilda verksamheter på socialtjänstens område att lämna ut de uppgifter som den ansvariga kommunen behöver. Förslaget innebär ingen inskränkning i den enskilda verksamhetens eget ansvar för det systematiska kvalitetsarbetet, men gör det möjligt för kommunen att genomföra en samlad uppföljning av all socialtjänstverksamhet som kommunen ansvarar för gentemot dess invånare.
I praktiken innebär våra förslag även förutsättningar för att implementera system för kvalitetssäkring och uppföljning som gör det möjligt att följa upp och jämföra socialtjänstens verksamhet i olika delar av landet.
Förbättrad möjlighet att använda nationella kvalitetsregister för att kvalitetssäkra den hälso- och sjukvård som ges av flera vårdgivare
Många patienter får idag sitt behov av hälso- och sjukvård tillgodosett av flera olika vårdgivare. Det är inte ovanligt exempelvis att en patient med cancer vårdas växelvis på ett sjukhus i det egna landstinget och växelvis på ett universitetssjukhus i ett annat landsting. Även den hälso-och sjukvård som riktar sig till äldre, personer med missbruks- och beroendeproblematik och till personer med psykisk ohälsa är ett typexempel på processer som går över vårdgivargränser.
Det är viktigt att lagstiftningen tillhandahåller goda möjligheter för vårdgivare att ta ansvar för och kvalitetssäkra den hälso- och sjukvård som patienter får i dessa situationer. Patienter ska inte riskera att få en osäkrare vård eller vård av lägre kvalitet bara för att flera olika vårdgivare är iblandade i patientens process. Utredningen föreslår därför förbättrade möjligheter att använda nationella eller regionala kvalitetsregister för att kvalitetssäkra den hälso-och sjukvård som patienten erbjuds och som utförs av flera vårdgivare. En vårdgivare ska få ha direktåtkomst till sådana uppgifter om en patient som vård-
SOU 2014:23 Sammanfattning
45
givaren själv registrerat i ett kvalitetsregister och till uppgifter om samma patient som andra vårdgivare registrerat i samma register.
Säkra läkemedelsförskrivningar och tillgång till varningsinformation
Läkemedelsbehandlingar är förenade med stora risker. För den enskilde patienten kan fel läkemedel eller en olämplig kombination av läkemedel föra med sig allvarliga konsekvenser för hälsa och livskvalitet. Det behov av vård som orsakas av felaktigt använda läkemedel utgör en allt större del av de samlade hälso- och sjukvårdskostnaderna. Målet och intentionen med en samlad information om patientens läkemedelsbehandling är att kunna ge honom eller henne en adekvat och anpassad behandling utifrån det tillstånd och det behov av vård som patienten har. Det förutsätter att den som exempelvis ska ordinera ett läkemedel har tillgång till en samlad information om patientens aktuella läkemedelsbehandling.
För patientens liv och hälsa är det även särskilt nödvändigt att den hälso- och sjukvårdspersonal som patienten möter känner till om patienten har sådana överkänsligheter som kan medföra allvarlig fara för patienten om denne utsätts för ämnet som ger överkänsligheten. För en patient som exempelvis är så överkänslig mot vissa läkemedel att en felaktig läkemedelsordination kan leda till bestående eller allvarliga men eller till patientens död, är hälso- och sjukvårdspersonalens tillgång till sådan varningsinformation helt nödvändig.
Utredningen föreslår därför att uppgifter om ordinerade läkemedel och uppgifter som ger en varning om att patienten har visat intolerans eller har en överkänslighet som innebär allvarlig fara för patientens liv eller hälsa, alltid ska få finnas tekniskt åtkomliga för en vårdgivare så att uppgifterna kan nås i de situationer det behövs för patientens vård. En patient kan därmed inte motsätta sig att sådan information finns tekniskt åtkomlig. Förslaget innebär ingen ökad rätt för hälso- och sjukvårdspersonal att ta del av uppgifter, utan endast att uppgifterna får finnas åtkomliga så att det är möjligt att ta del av dem när det behövs för patientens vård. Genom förslaget blir förutsättningarna för yrkesutövares åtkomst i journalsystemens läkemedelslistor även i stort överensstämmande med vad som gäller för åtkomst till motsvarande uppgifter i receptregistret och läkemedelsförteckningen.
Sammanfattning SOU 2014:23
46
En informationshantering som ger förutsättningar för forskning och kliniska prövningar
Utredningen föreslår en möjlighet till direktåtkomst för källdatagranskning (monitorering) vid forskning inom hälso- och sjukvården. Sådant utlämnande får endast göras avseende patienter som har samtyckt till deltagande i forskningsstudien och till den personuppgiftsbehandling som görs inom ramen för studien, samt till utlämnandet av uppgifter för källdatagranskningen. Denna form av direktåtkomst är integritetsvänlig eftersom monitoreringen kan bedrivas utan att uppgifterna sprids utanför vårdgivarens organisation. Informationshanteringen kan bli säkrare, effektivare och genomföras med hjälp av moderna tekniska lösningar.
Utredningen föreslår även att det av hälso- och sjukvårdsdatalagens ändamålsbestämmelse uttryckligen ska framgå att personuppgiftsbehandling för att antalsberäkna möjliga deltagare i forskning inom hälso- och sjukvården är tillåtet. Vidare ska det vara tillåtet att behandla personuppgifter för att identifiera möjliga deltagare som kan erbjudas medverkan i en forskningsstudie, om studien är godkänd av regional eller central etikprövningsnämnd. Förslaget innefattar även ett krav på vårdgivare att ta fram närmare riktlinjer som beskriver hur den här personuppgiftsbehandlingen ska gå till. Det bör dessutom vara en uppgift endast för ett fåtal personer i vårdgivarens verksamhet att antalsberäkna och identifiera personer inför kliniska prövningar.
En informationshantering som stödjer yrkesutövare inom hälso- och sjukvård och socialtjänst i deras arbete
Kunskap, kompetens, ledning och styrning
Utredningen har uppfattat att det såväl inom hälso- och sjukvården som socialtjänsten finns ett behov av ökad kunskap och kompetens när det gäller förutsättningarna för att hantera och utbyta information. Det finns såväl en osäkerhet om vad som är tillåtet i ett enskilt fall till en mer utbredd okunskap om vilka tekniska lösningar för att t.ex. utbyta information mellan olika aktörer som finns och är tillåtna enligt lagstiftningen.
Det finns därför behov av en mer aktiv och målmedveten ledning och styrning i dessa frågor. Vi bedömer att behovet av kompetensutveckling och kunskapsstyrning på detta område finns
SOU 2014:23 Sammanfattning
47
såväl på den mer verksamhetsnära nivån som på de olika ledningsnivåerna i hälso- och sjukvården och socialtjänsten. Vårdgivare och de som bedriver verksamhet inom socialtjänsten behöver bygga upp strukturer som på olika sätt stödjer ett ändamålsenligt arbetssätt vad gäller dokumentation och informationshantering. Dessa ansvariga aktörer måste förmedla till medborgarna och till personalen på vilket sätt de vill använda information i verksamheten, vilka verktyg som ska användas i detta syfte, hur säkerhetskraven ska uppfyllas och vad verksamheterna vill åstadkomma med informationshanteringen.
Mot denna bakgrund har utredningen i en delredovisning (bilaga 4) beskrivit de möjligheter som befintlig lagstiftning erbjuder för att hantera uppgifter inom och mellan hälso- och sjukvård och socialtjänst. I stället för en traditionell och mer teoretisk genomgång av gällande lagstiftning har vi valt att utforma delredovisningen som ett praktiskt verktyg anpassat för en verksamhetsnära nivå. Förhoppningen är att delredovisningen kan bidra till att de som är verksamma inom hälso- och sjukvård och socialtjänst får en ökad kunskap om hur personuppgifter kan användas och hanteras i syfte att bidra till god vård och omsorg
Ändamålsenliga former för informationsutbyte
Utredningen olika förslag för att underlätta ett säkert och ändamålsenligt informationsutbyte vid samverkan inom och mellan hälso- och sjukvård och socialtjänst kommer att ge yrkesutövarna bättre förutsättningar att ge enskilda individer god och säker hälso- och sjukvård och socialtjänst och på det sättet en större trygghet i arbetssituationen. De rättsliga förutsättningarna för samverkan avseende informationshanteringen kommer att bli mer överensstämmande med de krav på samverkan runt individen som finns i lagstiftningen.
Rätt information på rätt plats i rätt tid
Utredningen har ovan redovisat flera förslag som medför ökade förutsättningar för yrkesverksamma att utföra sitt arbete på ett sätt som ger bästa möjliga resultat för individer i behov av hälso- och sjukvård eller socialtjänst. Utöver det kan även nämnas att hälso-
Sammanfattning SOU 2014:23
48
och sjukvårdsdatalagen och socialtjänstdatalagen föreslås innehålla bestämmelser om vad som gäller för yrkesutövarnas åtkomst till uppgifter om enskilda. Det ska bland annat vara tydligt att vårdgivaren och den som bedriver verksamhet inom socialtjänsten ansvarar för att anpassa och begränsa behörigheten för åtkomst till vad som behövs för att den som arbetar i hälso- och sjukvården eller socialtjänsten ska kunna fullgöra sina arbetsuppgifter. Genom en välutvecklad behörighetsstyrning kan en yrkesutövare snabbt och säkert få tillgång till den information som behövs för att fatta bästa möjliga beslut kring en individ, utan att samtidigt exponeras för uppgifter som är oväsentliga i sammanhanget.
Utredningen föreslår även att det i de båda lagarna ska uttryckas ett ansvar för den som bedriver verksamheten att se till att de informationssystem som innehåller personuppgifter är lätta att använda, stödjer arbetet, underlättar arbetet med att utveckla verksamhetens kvalitet och underlättar samverkan och utbyte av uppgifter. För att medborgare ska få en god och säker hälso- och sjukvård och socialtjänst krävs att de som ansvarar för verksamheten även tar ett tydligt ansvar för att se till att yrkesutövarna i praktiken får de verktyg och förutsättningar för informationshantering som behövs för att de mål som gäller för verksamheten ska kunna uppnås.
Ett tydligare ansvar för patientjournalen och dess innehåll
Det ska framgå av hälso- och sjukvårdsdatalagen att vårdgivaren har det yttersta ansvaret för patientjournalen. Vårdgivaren ansvarar för att journaler förs i verksamheten, för deras innehåll och för att de hanteras och förvaras i enlighet med lag. Vårdgivarens ansvar omfattar att uppgifter används på ett sådant sätt att de bidrar till en god och säker vård.
De bestämmelser som reglerar journalföring och hantering av personuppgifter i hälso- och sjukvården syftar till att journalerna ska kunna användas som ett tillförlitligt arbetsredskap i vården Det är därför nödvändigt att rätt uppgifter och korrekta uppgifter finns i journalen och att dessa uppgifter inte förvanskas eller utplånas annat än med stöd av särskilda bestämmelser.
Den som för journal ansvarar idag för sina uppgifter och att de är korrekta, oavsett om en administrativ kvittens (signering) är synlig eller inte. Utredningen föreslår att signeringskravet, som det
SOU 2014:23 Sammanfattning
49
är utformat i dag, ska tas bort. Av lagen ska följa att den som för patientjournal ansvarar för sina uppgifter och ska kontrollera att uppgifterna är korrekta. Denna kontroll ska antingen göras i direkt anslutning till att yrkesutövaren själv för in sin anteckning eller i samband med genomläsning av vad t.ex. en läkarsekreterare fört in. Detta innebär att vårdgivaren får ta ansvar för om det behövs någon synlig kvittering av att genomläsningen gjorts. Vårdgivaren kan ställa krav på sådan signering av vissa anteckningar om det är motiverat med hänsyn till verksamhetens krav på patientsäkerhet.
Vårdgivaren ska ha tydliga rutiner för hur ansvaret för uppgifternas riktighet ska upprätthållas i verksamheten. Det är nödvändigt för informationsöverföringen inom och mellan verksamheter och vårdgivare att det finns tillit till att dokumentationen är korrekt och användbar. Vårt förslag innebär att såväl vårdgivaren som yrkesutövaren även fortsättningsvis har ett ansvar för att uppgifterna i en patientjournal är korrekta.
51
1 Vårt uppdrag och arbete
1.1 Vårt uppdrag
Regeringen beslutade den 15 december 2011 (dir. 2011:111, bilaga 1) att tillsätta en särskild utredare för att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten.
Utgångspunkter för uppdraget ska bland annat vara att efter en avvägning mellan verksamheternas behov av information och skyddet för den enskildes personliga integritet kartlägga vilken typ av information som bedöms vara nödvändig att behandla genom till exempel utlämnande genom direktåtkomst. I uppdraget ingår att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. I uppdraget ingår även att peka ut vilka hinder för en sådan informationshantering som finns i dag och i förekommande falla i vilka lagar dessa hinder finns. Med utgångspunkt från kartläggningen och de identifierade förutsättningarna och hindren ska utredaren föreslå sådana lagstiftningsåtgärder som medger att behörig personal och beslutsfattare inom hälso- och sjukvården och socialtjänsten får ha tillgång till nödvändiga uppgifter för den aktuella behandlingen inom eller över både organisatoriska och nationella gränser.
I utredningens uppdrag ingår bland annat att utreda hur personuppgiftsansvaret ska regleras i framtiden och då även personuppgiftsansvaret för känsliga personuppgifter som den enskilde själv rapporterar in. Utredningen ska också analyser vilka hinder som finns för vårdgivare i Sverige att på elektronisk väg lämna ut personuppgifter till andra länder. Utredningen ska även se över om det är lämpligt att införa regler i patientdatalagen (2008:355) beträffande personer som saknar förmåga att motsätta sig eller samtycka till nödvändig behandling av personuppgifter. I upp-
Vårt uppdrag och arbete SOU 2014:23
52
draget ingår även att undersöka om det är lämpligt att införa sekretessbrytande bestämmelser i socialtjänsten motsvarande de som redan gäller i hälso- och sjukvården.
Vidare ska utredningen föreslå hur ändamålen för behandling av personuppgifter i läkemedelsregistret kan anpassa till ändamål som gäller för övriga hälsodataregister. Slutligen ska utredningen överväga om det bör införas en möjlighet för vårdgivare att ansöka om journalförstöring och, om det behövs lämna förslag till sådan reglering. Utredaren har även möjlighet att ta upp frågor som inte nämns i direktivet men som denne anser behöver analyseras eller regleras för att uppdraget ska kunna fullgöras på ett tillfredställande sätt.
Utredaren fick även som deluppdrag att analysera förutsättningarna för att på internet eller genom elektronisk direktåtkomst öka tillgängligheten till vissa personuppgifter i Socialstyrelsens register över hälso- och sjukvårdspersonal (HOSP-registret).
I tilläggsdirektiv den 29 mars 2012 (dir. 2012:23, bilaga 2) beslutade regeringen att klargöra och delvis förändra gränsdragningen mellan utredningen och Utredningen om stärkt ställning för patienten genom nu patientlagstiftning (S 2011:03, dir. 2001:25)och att förlänga tiden för överlämnande av delbetänkandet avseende utredningsfrågorna om register över hälso- och sjukvårdspersonal (HOSP-registret) till den 31 maj 2012.
Utredningen överlämnade delbetänkandet Bättre behörighetskontroll (SOU 2012:42) den 31 maj 2012.
I tilläggsdirektiv den 2 maj 2013 (dir. 2013:43, bilaga 3) beslutade regeringen att förkorta tiden för den del av uppdraget som handlar om att utreda om det är lämpligt att införa regler i patientdatalagen beträffande personer som saknar förmåga att motsäga sig eller samtycka till nödvändig behandling av personuppgifter så att de trots denna oförmåga kan ingå i sammanhållen journalföring m.m. Denna del av uppdraget skulle redovisas i ett delbetänkande senast den 5 juni 2013. I den del som av uppdraget som handlar om att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten skulle utredningen i en delredovisning beskriva de möjligheter som befintlig lagstiftning ger för att praktiskt kunna utbyta uppgifter där så anses nödvändigt. Delredovisningen skulle lämnas till regeringen senast den 31 december 2013. För huvuddelen av uppdraget förlängdes utredningstiden att redovisas senast den 30 april 2014.
SOU 2014:23 Vårt uppdrag och arbete
53
Utredningen överlämnade i delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45) den 5 juni 2013.
Den 31 december 2013 överlämnade utredningen en delredovisning om vilka möjligheter som gällande rätt ger för att kunna hantera och utbyta uppgifter inom och mellan hälso- och sjukvård och socialtjänst.
1.2 Utredningens arbete
Utredningen har antagit namnet Utredningen om rätt information i vård och omsorg (S 2011:13).
Det övergripande uppdraget är enligt direktivet att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Utredningen har på olika sätt inhämtat kunskap och fått del av erfarenheter om de frågor som behandlas i utredningens arbete. Arbetet har bedrivits öppet och utåtriktat och har fortlöpande kommunicerats med berörda statliga myndigheter, kommuner, landsting, Sveriges Kommuner och Landsting, privata utförare och organisationer.
Utredningen har genomfört ett flertal möten och studiebesök i landsting och kommuner. Studiebesök har även gjorts hos privata vårdgivare, privata utförare av socialtjänst och hos olika organisationer.
Utredningen har haft möten och dialoger med Datainspektionen, Socialstyrelsen, Sveriges Kommuner och Landsting och Inspektionen för vård och omsorg. Samtal har ägt rum med eHälsomyndigheten (f.d. Apotekens Service Aktiebolag) kring utvecklingen av det personliga hälsokontot, Hälsa för mig.
Utredningen har även haft ett stort antal möten med företrädare för olika organisationer, vårdgivare och huvudmän. Kontakter har även tagits med vård- och omsorgsproducenter och enskilda patientorganisationer, yrkesföreningar, fackliga organisationer, patient- och brukarorganisationer och arbetsgivare- och intresseorganisationer. Flera olika typer av referensgruppsmöten har arrangerats på initiativ av utredningen.
Utredningen har även aktivt deltagit och hållit föredrag vid ett stort antal konferenser och seminarier såsom bland annat Almedalen, Normkonferansen (Norge), Senior i Centrum, Vitalis, konferensen
Vårt uppdrag och arbete SOU 2014:23
54
för Nationell Ehälsa, Datainspektionens konferens om patientdatalagen, konferensen Dagar om Lagar, Sveriges Kommuner och Landstings konferens Barnen och lagen, Nationella rådslaget om aktiv hälsostyrning, Nationella Kvalitetsregisterkonferensen, Stockholms läns landstings seminarium om informationssäkerhet och seminarier arrangerade av Svenska Läkaresällskapet.
Utredningen har vid en studieresa till USA tagit del av erfarenheter från hälso- och sjukvårdsorganisationerna Kaiser Permanente och Intermountain Healthcare.
Utredningens arbete har bedrivits med den övergripande målsättningen att skapa förutsättningar för en informationshantering som bidrar till bättre resultat för individer som är i behov av hälso- och sjukvård eller socialtjänst. I detta har vi inriktat arbetet på att
• särskilt beakta vad som krävs för att äldre personer, personer med missbruk eller beroenden, personer med psykisk sjukdom och funktionsnedsättning samt barn ska få en god och säker vård och omsorg,
• se över hur behandlingen av personuppgifter regleras inom hälso- och sjukvården och föreslå författningsändringar för att möjliggöra en välfungerande och sammanhållen reglering,
• se över hur behandlingen av personuppgifter regleras inom socialtjänsten och föreslå författningsändringar för att möjliggöra en välfungerande och sammanhållen reglering, och
• möjliggöra ett utökat utbyte av personuppgifter mellan socialtjänsten och hälso- och sjukvården.
1.2.1 Sakkunnig- och expertgrupp
Utöver utredningens sekretariat har en expertgrupp deltagit i utredningsarbetet. I februari 2012 tillsatts en expertgrupp med representanter från berörda departement, myndigheter och organisationer. Till gruppen förordnades sakkunniga från Socialdepartementet, Justitiedepartementet och Utbildningsdepartementet. Därutöver förordnades experter från Sveriges Kommuner och Landsting (SKL), Socialstyrelsen, Inspektionen för vård och omsorg, Datainspektionen, Statens Medicinsk-Etiska Råd (SMER), Famna, Karolinska Universitetssjukhuset, Vårdföretagarna, Norrköpings kommun, Landstinget i Jämtland, Norrbottens läns landsting.
SOU 2014:23 Vårt uppdrag och arbete
55
Expertgruppen har träffats för sammanträden vid 10 tillfällen under utredningens arbete. Under utredningstiden har även två tvådagars internatsammanträde hållits.
1.2.2 Samråd med statliga utredningar
Utredningen har under arbetets gång haft dialog med ett stor antal statliga utredningar, bland annat följande.
• Statistikutredningen 2012 (Fi 2011:05).
• Informationshanteringsutredningen (Ju 2011:11).
• Statens vård- och omsorgsutredning (S 2011:01).
• Läkemedels- och apoteksutredningen (S 2011:07).
• Patientmaktsutredningen (S 2011:03).
• Utredningen om beslutsoförmögna personers ställning i hälso- och sjukvård, socialtjänst och forskning (S 2012:06).
• Utredningen om en kommunallag för framtiden (Fi 2012:07).
• Utredningen om tillgänglig och säker information i hälso- och sjukvård och socialtjänst (E-hälsokommittén) (S 2013:17).
• Utredningen om framtida valfrihetssystem inom socialtjänsten
(S 2012:08).
• Utredningen om nationell samordning av kliniska studier
(U 2013:04).
• E-delegationen (N Fi 2009:01).
• Utredningen en nationell samordnare för effektivare resursutnyttjande inom hälso- och sjukvården (S 2013:14).
1.2.3 Metodstöd m.m.
I utredningsuppdraget har vi sett behov av en tankemodell för hur man kan göra avvägningar mellan de olika etiska värden som representeras av patientintegritet och patientsäkerhet. Prioriteringscentrum vid Linköpings universitet har fått i uppdrag att ta fram en sådan modell, vilken presenteras i rapporten Att prioritera mellan olika värden – En modell för avvägningar mellan
Vårt uppdrag och arbete SOU 2014:23
56
patientintegritet, patientsäkerhet och andra etiska värde inom hälso- och sjukvården (Prioriteringscentrums rapportserie 2013:4) Arbetet har genomförts av professor Lars Sandman i dialog med företrädare för utredningen, medarbetare inom Prioriteringscentrum samt den expertgrupp kring behörighet, spärr och logg inom ramen för patientdatalagen som finns i Västra Götalandsregionen.
1.2.4 Delbetänkandet Bättre behörighetskontroll
Den 21 maj 2012 överlämnade utredningen delbetänkandet Bättre behörighetskontroll (SOU 2012:42).
Legitimation för yrke inom hälso- och sjukvården är förbehållen sådana yrkesgrupper som har kvalificerade arbetsuppgifter och ett särskilt ansvar för patienternas säkerhet i vården. Socialstyrelsen är ansvarig för ett register (HOSP-registret) över dessa yrkesutövare.
Flera olika intressenter frågar efter uppgifter ur registret. Det grundläggande syftet med att hämta in uppgifter om hälso- och sjukvårdspersonalens behörighet är gemensamt; att på olika sätt trygga patientens säkerhet.
Utredningen lämnade i betänkandet olika förslag för att möjliggöra direktåtkomst till uppgifter registret för allmänheten, vårdgivare, Apotekens Service AB (i dag eHälsomyndigheten) och Transportstyrelsen.
1.2.5 Delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga
Den 5 juni 2013 överlämnade utredningen delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45).
Dagens regelverk om informationshantering i hälso- och sjukvården medför att personer som inte själv kan ta ställning till frågor om informationsutbyte riskerar att få vård på osäkrare villkor och av lägre kvalitet än personer som har förmåga att ta ställning i dessa frågor.
Utredningen lämnade i betänkandet förslag till ändringar i patientdatalagen för att göra det möjligt för vuxna med nedsatt
SOU 2014:23 Vårt uppdrag och arbete
57
beslutsförmåga att dra nytta av fördelarna med sammanhållen journalföring.
Utredningen föreslog att vårdgivare ska få göra uppgifterna tillgängliga i system för sammanhållen journalföring även om en patient inte endast tillfälligt saknar förmåga att förstå information om sammanhållen journalföring och ta ställning till personuppgiftsbehandlingen. Av respekt för den enskildes rätt till självbestämmande och integritetsskydd får detta endast göras under förutsättning att det inte är uppenbart att patienten skulle ha motsatt sig sådan personuppgiftsbehandling. Om det för vårdgivaren finns omständigheter som pekar på att den enskilde uppenbarligen hade motsatt sig sammanhållen journalföring ska ett tillgängliggörande av uppgifter inte vara tillåtet. Sådana omständligheter kan exempelvis handla om att närstående lämnar välgrundad information om saken, exempelvis i samband med vårdplanering, inflyttning på särskilt boende eller inför planerad hälso- och sjukvård m.m. För hälso- och sjukvårdspersonalen handlar det således om att agera utifrån vad som är känt om den enskildes inställning och personalens bedömning av vad som är bäst för patienten.
Utredningen föreslog vidare att vårdgivare ska få en möjlighet att i enskilda situationer när patienten är i behov av vård ta del av vårddokumentation, t.ex. uppgifter om vilka läkemedel patienten har, som en annan vårdgivare gjort tillgängliga i system för sammanhållen journalföring, även om patienten inte endast tillfälligt saknar förmåga lämna samtycke till personuppgiftshanteringen. Av hänsyn till behovet av skydd för den personliga integriteten får personuppgiftsbehandlingen endast genomföras under förutsättning att uppgifterna kan antas ha betydelse för den vård och behandling som är nödvändig med hänsyn till patientens hälsotillstånd. Det handlar således om sådan informationshantering som behövs för att patienten i enskilda fall ska få bästa möjliga vård och omhändertagande.
När det gäller deltagande i nationella och regionala kvalitetsregister föreslog utredningen att det ska vara tillåtet för vårdgivare att behandla personuppgifter i ett nationellt eller regionalt kvalitetsregister även om den enskilde inte endast tillfälligt saknar förmåga att ta ställning till den information som lämnas om registreringen. Av hänsyn till behovet av skydd för den personliga integriteten bör sådan personuppgiftsbehandling endast få göras under förutsättning att den enskildes inställning till person-
Vårt uppdrag och arbete SOU 2014:23
58
uppgiftsbehandlingen så långt möjligt klarlagts och att det inte är uppenbart att den enskilde skulle ha motsatt sig sådan personuppgiftsbehandling. Precis som när det gäller sammanhållen journalföring är patientens närstående en viktig informationskälla när personalen ska försöka utreda vilken inställning patienten kan tänkas ha i frågan. Om det med ledning av vad som går att ta reda på om den enskildes inställning framstår som uppenbart att patienten hade motsatt sig, får personuppgiftsbehandlingen inte genomföras.
Förslaget gör det möjligt att använda personuppgifter avseende en person som har nedsatt beslutsförmåga i kvalitetsregister i syfte att förbättra kvaliteten i vården, både för den enskilde patienten själv och för andra med liknande sjukdomar eller skador. Genom förslaget tillhandahålls därmed lika goda förutsättningar att förbättra vården, omhändertagandet och livskvaliteten för personer med nedsatt beslutsförmåga och deras närstående, som det finns för personer som kan ge uttryck för sin inställning i dessa frågor.
1.2.6 Delredovisningen enligt direktiv 2013:43 – Stöd vid tillämpningen av gällande rätt
Den 31 december 2013 överlämnande utredningen en delredovisning som beskriver de möjligheter som befintlig lagstiftning ger för att kunna utbyta uppgifter inom och mellan hälso- och sjukvård och socialtjänst.1 Delredovisningen återfinns i bilaga 4.
Utredningen valde att ta fram ett praktiskt användbart verktyg i form av frågor och svar. Syftet med materialet är att ge stöd till den verksamhetsnära nivån i hälso- och sjukvården och socialtjänsten. Materialet speglar utredningen bedömning av gällande rätt den 31/12 2013.
Delredovisningen består av en omfattande powerpointpresentation med omkring 80 frågor och svar om informationshanteringen inom och mellan hälso- och sjukvården och socialtjänsten samt tre promemorior. De tre promemoriorna behandlar studerandes möjligheter att ta del av och använda patientuppgifter, möjligheten att använda patientuppgifter för att följa upp, säkra och utveckla resultatet för patienterna i hälso- och sjukvården och möjligheten att ta del av andra vårdgivares uppgifter i system för sammanhållen journalföring. Promemoriorna förklarar mer utför-
1 Delredovisningen återges i bilaga 4 till detta betänkande
SOU 2014:23 Vårt uppdrag och arbete
59
ligt vad som gäller för användningen av personuppgifter inom dessa områden än vad som är möjligt att inom ramen för en powerpointpresentationen.
Materialet med frågor och svar är fritt för var och en att använda och anpassa efter de behov och förutsättningar som finns i den egna verksamheten. Utredningen betraktar därför denna del av delredovisningen som ett råmaterial som kan förädlas och vidareutvecklas för att på ett ändamålsenligt sätt användas i samband med utbildning av personal, vid framtagandet av IT-stöd och när verksamhetsnära riktlinjer för informationshanteringen utformas m.m. Materialet finns att hämta på http://www.sou.gov.se/sb/d/18347.
Förhoppningen är att delredovisningen kan bidra till att de som är verksamma inom hälso- och sjukvård och socialtjänst får en ökad kunskap om hur personuppgifter kan användas och hanteras i syfte att bidra till god vård och omsorg.
1.3 Betänkandets disposition
Utredningens uppdrag består av tre huvuddelar; informationshanteringen inom hälso- och sjukvården, informationshanteringen inom socialtjänsten och informationshanteringen mellan hälso- och sjukvården och socialtjänsten. Utredningen har valt att låta betänkandets disposition ge uttryck för uppdragets olika delar.
I kapitel 4–17 redogör utredningen för utgångspunkter, överväganden och förslag rörande hälso- och sjukvårdens informationshantering. I kapitel 18–30 behandlar utredningen motsvarande frågor inom socialtjänstens område. Informationshanteringen rörande personer som har behov av både hälso- och sjukvård och socialtjänst avhandlas i kapitel 31 och 32. I kapitel 33 återfinns utredningens utgångspunkter, överväganden och förslag med avseende på hälso- och sjukvårdens och socialtjänstens ökade elektroniska kommunikation med medborgare. I kapitel 34–37 samlas överväganden och förslag rörande ett antal övriga frågor; internationellt informationsutbyte, patientrapporterade mått, Datainspektionens befogenheter och Socialstyrelsens läkemedelsregister.
Utredningens författningsförslag redovisas i kapitel 38. Frågor om ikraftträdande och konsekvenser av utredningens förslag återfinns i kapitel 39 och 40. I kapitel 41 återfinns författningskommentaren.
61
2 Rätt information på rätt plats i rätt tid – några utgångspunkter
2.1 Inledning
Den hälso- och sjukvård och socialtjänst som utförs av landsting, kommuner och privata utförare kräver ett tätt och fortlöpande samarbete både i frågor som rör enskilda individer och i frågor som rör planering, kvalitetssäkring, förebyggande hälsoarbete m.m. För att individer ska få säkra insatser av hög kvalitet behöver behörig personal ha tillgång till rätt uppgifter på rätt plats i rätt tid, över organisatoriska och andra gränser. Samtidigt har utmaningarna för att åstadkomma detta blivit än större i takt med en ökad mångfald av aktörer, en ökad valfrihet för de enskilda, en ökad subspecialisering och en ökad rörlighet hos dem som söker hälso- och sjukvård och socialtjänst. Utredningen har även vid möten med patient- och anhörigföreningar samt vid genomgångar av tillsynsrapporter kunnat konstatera att den information som behövs för att en individ ska få en god vård och omsorg inte alltid finns tillhands.
Utredningens övergripande uppdrag har varit att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten samt vilka hinder mot en sådan informationshantering som finns i dag. Den uttalade målsättningen har varit att skapa förutsättningar för en informationshantering som bidrar till ännu bättre resultat för individer som är i behov av hälso- och sjukvård eller socialtjänst.
Rätt information på rätt plats i rätt tid – några utgångspunkter SOU 2014:23
62
2.2 Individen och individens behov i centrum
Utredningen har i arbetet med att ta fram förslag för att skapa bättre förutsättningar för en ändamålsenlig informationshantering inom och mellan hälso- och sjukvård och socialtjänst särskilt beaktat vad som krävs för att äldre personer, personer med missbruk eller beroenden, personer med psykisk sjukdom och funktionsnedsättning samt barn ska få en god och säker hälso- och sjukvård och socialtjänst.
I detta arbete har vår utgångspunkt varit att den enskilde inte ska riskera att få mindre säkra insatser av lägre kvalitet inom hälso- och sjukvården och socialtjänsten för att en eller flera personalkategorier som utför insatserna inte har åtkomst till rätt information vid rätt tillfälle. Rätt information i rätt tid för rätt användare är en nyckel till personalens möjligheter att göra ett bra arbete för den enskilde. Bra samverkande verksamheter kan ge fördelar, exempelvis tvärprofessionella team sammansatta utifrån individens behov, tätt samarbete mellan övriga stödfunktioner och personal dygnet runt m.m. Detta kräver ett regelverk med individen och individens behov i centrum.
Om individen och hans eller hennes behov lyfts fram blir det uppenbart att informationshanteringen bör vara anpassad till hur det konkreta arbetet för att tillgodose behoven ser ut. I dag utgår de regler som gäller för hantering och utbyte av information från hur hälso- och sjukvården är organiserad i stället från hur informationen behöver vara tillgänglig för att erbjuda säkra insatser till individen.
Vi har försökt att lyfta blicken och så långt möjligt bortse från de organisatoriska aspekterna och i stället ställa oss frågan: hur skulle en sådan verksamhet bäst byggas upp om den inte behövde ta hänsyn till befintliga organisationsgränser eller befintlig lagstiftning om informationshantering? Under hela utredningens arbete har vi i samtal med utredningens experter och sakkunniga samt i möten med myndigheter och olika organisationer återvänt till denna frågeställning. För oss har det handlat om att försöka skapa en kreativitet som inte är begränsad av de hinder som uppställs i dag, utan som är inspirerad av den möjlighet som utredningen har fått att försöka skapa förutsättningar för en informationshantering som bidrar till ännu bättre resultat för individer i hälso- och sjukvård och socialtjänst.
SOU 2014:23 Rätt information på rätt plats i rätt tid – några utgångspunkter
63
Om vi, för att endast ta ett exempel, tänker oss att vi skulle starta en verksamhet för äldre personer med omfattande behov av hälso- och sjukvård och socialtjänst, hur skulle den på bästa sätt utformas för att skapa förutsättningar för ett samarbete mellan olika kompetenser för att ge goda insatser till individen? Vi är inte övertygade om att vi skulle sträva efter att bygga upp en verksamhet med inbyggda sekretessgränser och olika hinder för utbyte av information mellan olika personalgrupper eller med olika hinder för att utbyta information med hjälp av modern teknik eller hinder genom krav på att information ska dokumenteras på olika ställen. I stället ser vi framför oss en verksamhet där all personal har goda förutsättningarna att ge den äldre personen de allra bästa insatserna. Det förutsätter att både dokumenterandet och utbytet av information mellan de som arbetar i verksamheten fungerar på ett ändamålsenligt sätt. Det måste vara tillåtet att ge information och ta emot information om den enskilde individen och hans eller hennes behov och vilka insatser som planeras och har genomförts. För att informationsutbytet ska kunna göras på ett snabbt, säkert och enkelt sätt behöver de som samarbetar kring den enskilde kunna använda modern informationsteknik.
Utredningen har med hjälp av denna ideala verksamhet som målbild försökt hitta lösningar som utgår från individens behov i stället från hur hälso- och sjukvården och socialtjänsten är organiserad i dag. Det handlar om att stödja en utveckling som ser till att rätt information finns på rätt plats i rätt tid.
Många faktorer måste samspela
Utredningen inser att många olika faktorer behöver samspela för att det ska vara möjligt att utveckla en informationshantering som bidrar till att skapa ännu bättre resultat för individer i hälso- och sjukvården och socialtjänsten. Förutom att lagstiftningen behöver stimulera en önskad utveckling finns även behov av att nödvändiga faktorer som ledning och styrning, professionskulturer, arbetssätt, IT-utveckling, informatik m.m. drar åt samma håll. Det vilar därmed ett stort ansvar på hälso- och sjukvårdens och socialtjänstens aktörer att tillsammans vidta åtgärder och arbeta tillsammans över organisatoriska och professionella gränser för att i praktiken kunna ta tillvara lagstiftningens intentioner.
Rätt information på rätt plats i rätt tid – några utgångspunkter SOU 2014:23
64
2.3 Informationshantering som en integrerad del i verksamheten
Enligt utredningens erfarenheter finns i dagsläget inte alltid överensstämmelse mellan förutsättningarna för att ge hälso- och sjukvård eller socialtjänst och förutsättningarna för att hantera den information om individer som behövs för att vården eller insatserna ska kunna ges på bästa möjliga sätt. I våra möten med företrädare för olika verksamheter och med personal inom hälso-och sjukvården och socialtjänsten framkommer inte sällan att man upplever att regelverket för informationshantering inte stimulerar det faktiska arbetet.
Utredningen har i olika sammanhang försökt analysera detta. Problembilden är komplex och det finns utmaningar i flera olika dimensioner. En utmaning handlar sannolikt om det rättsliga regelverkets utformning. Det finns därför skäl att överväga hur regelverket kan utformas så att frågor om yrkesutövningen i hälso- och sjukvården och socialtjänsten vad gäller ställningstagandet till vård eller andra insatser, går hand i hand med ställningstaganden till informationshantering.
2.4 Informationshantering rörande personer med nedsatt beslutsförmåga
Personer med nedsatt beslutsförmåga behöver enligt utredningens uppfattning särskild uppmärksamhet från lagstiftarens sida. Begreppen integritet och självbestämmande är centrala både i hälso- och sjukvårdslagstiftningen och i socialtjänstlagstiftningen. Det grundläggande kravet är att verksamheten ska bygga på respekt för patientens självbestämmande och integritet. De båda begreppen kompletterar varandra – från livets början till livets slut. Däremot kan förmågan att vara självbestämmande skifta under en människas liv, och den kan skifta från individ till individ. Personer som har förmåga att vara självbestämmande kan också bestämma över och försvara sin integritet. Om förmågan till självbestämmande sviktar är det nödvändigt att andra människor blir det skydd som bevarar och försvarar, upprättar och återupprättar integriteten.
Såväl vård- och behandlingsinsatser och insatser inom socialtjänsten liksom en stor del av informationshanteringen i dessa verksamheter förutsätter att den enskilde själv kan ta ställning och
SOU 2014:23 Rätt information på rätt plats i rätt tid – några utgångspunkter
65
ge uttryck för sin vilja i olika avseenden. Men personal inom hälso- och sjukvården och socialtjänsten möter varje dag personer som av en eller annan anledning tillfälligt eller mer varaktigt saknar möjlighet att ge uttryck för sin vilja att exempelvis få en viss vård- och behandlingsinsats eller hemtjänstinsats. En sådan person har ofta även nedsatt förmåga ta emot information och lämna samtycke till den informationshantering som sådana insatser ibland förutsätter.
Utredningen utgångspunkt är att en individ som av en eller annan anledning saknar möjlighet att samtycka till eller motsätta sig en viss informationshantering ska inte, varken nu eller i framtiden, få sämre insatser eller insatser på osäkrare villkor än andra individer.
Vi anser de förutsättningar som gäller för att kunna genomföra insatser i hälso- och sjukvården och socialtjänsten måste överensstämma med de som gäller för att hantera den information som behövs i en sådan situation. I situationer där det exempelvis är möjligt att ge vård till någon som inte kan samtycka till åtgärden, måste lagstiftningen även göra det möjligt för den som ska ge vården att ta del av den information som behövs för en god och säker vård.
Det handlar om nödvändiga förutsättningar för individens säkerhet och om personalens möjlighet att göra gott och undvika skada. Samtidigt måste både insatserna och informationshanteringen utföras med respekt för den enskildes självbestämmande och integritet.
2.5 Den tekniska utvecklingen ger nya möjligheter
Informationshanteringen i vård- och omsorgssektorn handlar i dag om så mycket mer än att yrkesutövare ska dokumentera sina bedömningar, ställningstaganden, åtgärder och beslut kring enskilda individer och att någon annan yrkesutövare i ett senare skede ska ta del av dessa för eventuellt vidare utredning och beslut.
Enligt utredningens uppfattning har vi gått från en tid när det många gånger har handlat om att dokumentera uppgifter om enskilda, till en tid när det i större utsträckning även handlar om
hur uppgifter som har dokumenterats kan användas för att skapa
bästa möjliga resultat för individen och för andra i liknande situationer. De tekniska landvinningarna har bland annat medfört
Rätt information på rätt plats i rätt tid – några utgångspunkter SOU 2014:23
66
att det i dag är möjligt att göra sådant som tidigare var omöjligt eller som åtminstone i praktiken var alltför resurskrävande för att kunna genomföras.
Det kan handla om att med teknikens hjälp, på systemnivå, hantera information om enskilda individer tillsammans med inbyggda kunskapskällor för att få bättre stöd för beslut i mötet med patienter i hälso- och sjukvården eller individer i socialtjänsten. I stället för en manuell eller elektronisk hantering som förutsätter att en fysisk person tar del av all tillgänglig information för att försöka göra korrekta bedömningar, t.ex. avseende en patients risk att drabbas av en viss sjukdom, finns i dag möjligheter att utföra ett sådant arbete på systemnivå så att yrkesutövaren endast får del av själva resultatet och de rekommendationer som föranleds av det. Med hjälp av tillgänglig information om patienter, deras sjukdomshistoria, riskfaktorer och aktuella behandlingsriktlinjer m.m. kan tekniken bidra till att förebygga ohälsa. En effektiv informationshantering kan göra att sjukdomar upptäcks tidigare och kan behandlas snabbare.
Sammantaget kan konstateras att informationshanteringen i hälso- och sjukvården och socialtjänsten, med hjälp av den tekniska utvecklingen, kan ha en stor betydelse såväl för kvaliteten och säkerheten i den vård och omsorg enskilda individer erbjuds, som för möjligheterna att arbeta preventivt och förebygga ohälsa och låg livskvalitet. Samtidigt är nya möjligheter ofta förknippande med nya risker, exempelvis i form av otillräckligt skydd för den personliga integriteten. Det behöver därför göras en ständig avvägning mellan den nytta som en åtgärd syftar till att åstadkomma och de olika risker som en sådan åtgärd kan föra med sig.
2.6 Bättre resultat för individen – en balansgång mellan kvalitet, säkerhet och personlig integritet
En effektiv informationshantering i syfte att skapa bästa möjliga resultat för de individer som har behov av hälso- och sjukvård eller socialtjänst ger även upphov till frågor om hur en sådan informationshantering förhåller sig till andra värden. Inte sällan uppstår ett behov av att finna en balans mellan sådant som kvalitet, säkerhet och skydd för den personliga integriteten.
Inte minst har relationen mellan patientsäkerhet och personlig integritet varit under debatt och diskussion. Alltsedan patientdata-
SOU 2014:23 Rätt information på rätt plats i rätt tid – några utgångspunkter
67
lagen trädde ikraft har det i den allmänna debatten höjts röster för att integritetsskyddet tillmäts en sådan stor betydelse att patientsäkerheten riskerar att hotas. Ibland har patientsäkerhet och integritetsskydd även framställts som varandras motsatser.
Enligt utredningens uppfattning är står värden som kvalitet och säkerhet inte nödvändigtvis i motsats till skyddet för den personliga integriteten. I själva verket handlar det om ett samspel där ett välbalanserat integritetsskydd är en förutsättning för hög kvalitet och säkerhet. Skyddet för den personliga integriteten är, enligt vårt synsätt, viktigt för att åstadkomma en patientsäker hälso- och sjukvård och en god socialtjänst. Om målet är att skapa en god vård och omsorg, är skyddet för den personliga integriteten ett medel för att nå detta mål. Utredningen bedömer därför att integritetsskyddet hela tiden behöver anpassas för att på bästa sätt skydda dessa andra värden och möjliggöra en utveckling mot en god vård och omsorg.
Relationen kan också beskrivas på ett sådant sätt att hög kvalitet och säkerhet i de flesta fall förutsätter ett gott integritetsskydd, medan ett gott integritetsskydd är fullt möjligt att uppnå i en verksamhet av låg kvalitet och säkerhet. Det skulle exempelvis innebära en förstärkning av patienternas integritetsskydd att förbjuda hälso- och sjukvården att föra patientjournaler, samtidigt som möjligheterna att bedriva en patientsäker verksamhet skulle bli väsentligt sämre eller rent av obefintliga.
Men en fullständig urholkning av integritetsskyddet skulle också ge betydligt sämre förutsättningar att bedriva en patientsäker hälso- och sjukvård eller en god socialtjänst, bland annat eftersom enskilda som inte känner trygghet med hur känsliga uppgifter om dem hanteras skulle kunna välja att undanhålla information för den som ska fatta ett viktigt beslut om den enskildes insatser, vård eller behandling.
Detta innebär att det inte är en fråga om antingen eller, utan snarare om hur integritetsskyddet bör utformas för att ge så goda förutsättningar som möjligt att bedriva en verksamhet av hög kvalitet som ständigt utvecklas och förbättras. Det handlar om att konstruera och upprätthålla ett integritetsskydd som faktiskt bidrar till att skydda och stimulera en god hälso- och sjukvård och socialtjänst. Utredningens förslag i detta betänkande handlar således inte i sak om att stärka integritetsskyddet i vård och omsorg. Å andra sidan är det, enligt utredningens perspektiv, inte heller helt ändamålsenligt att tala exempelvis om att patient-
Rätt information på rätt plats i rätt tid – några utgångspunkter SOU 2014:23
68
säkerheten får företräde framför integritetsskyddet. Förslagen handlar om att öka förutsättningarna att skapa bättre resultat för individer i behov av hälso- och sjukvård eller socialtjänst. I detta ingår integritetsskydd som en viktig beståndsdel. Våra förslag avspeglar därmed den avvägning som vi bedömer är rimlig för att åstadkomma en – för individen – mer ändamålsenlig och sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. I förslagen inryms utredningens bedömningar av hur integritetsskyddet närmare bör utformas för att på bästa sätt skydda värden som kvalitet och säkerhet.
69
3 Kort om regelverket och om ansvaret för tillsynen
3.1 God vård och omsorg
3.1.1 Målen för hälso- och sjukvården och socialtjänsten
Socialtjänstens och hälso- och sjukvårdens verksamheter har samma målsättning; att stärka människors hälsa i vid bemärkelse. Målet för hälso- och sjukvården är enligt 2 § hälso- och sjukvårdslagen (1982:763), förkortad HSL, en god hälsa och en vård på lika villkor för hela befolkningen. Tandvården har motsvarande mål enligt 2 § tandvårdslagen (1985:125), det vill säga en god tandhälsa och en tandvård på lika villkor för hela befolkningen.
Hälso- och sjukvården ska enligt 2 a § HSL bedrivas så att den uppfyller kraven på en god vård. Detta innebär att den särskilt ska vara av god kvalitet med en god hygienisk standard och tillgodose patientens behov av trygghet, vara lätt tillgänglig, bygga på respekt för patientens självbestämmande och integritet, främja goda kontakter mellan patienten och hälso- och sjukvårdspersonalen samt tillgodose patientens behov av kontinuitet och säkerhet i vården. Vården och behandlingen ska så långt möjligt utformas och genomföras i samråd med patienten. Olika insatser för patienten ska samordnas på ett ändamålsenligt sätt. Varje patient som vänder sig till hälso- och sjukvården ska, om det inte är uppenbart obehövligt, snarast ges en medicinsk bedömning av sitt hälsotillstånd.
De övergripande målen och grundläggande värderingarna för socialtjänstens samtliga verksamheter uttrycks i 1 kap. 1 § socialtjänstlagen (2001:453), förkortad SoL. I denna inledande paragraf sägs att samhällets socialtjänst ska främja människors ekonomiska och sociala trygghet, jämlikhet i levnadsvillkor och aktiva deltagande i samhällslivet på demokratins och solidaritetens grund. Vidare ska
Kort om regelverket och om ansvaret för tillsynen SOU 2014:23
70
socialtjänsten inriktas på att frigöra och utveckla enskildas och gruppers egna resurser, under hänsynstagande till människors ansvar för sin och andras sociala situation. Verksamheten ska bygga på respekt för människors rätt till självbestämmande och integritet.
I lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, ställs krav på att verksamheten ska främja jämlikhet i levnadsvillkor och full delaktighet för de funktionshindrade som omfattas av lagen. Målet är att den enskilde ska kunna leva som andra.
Dessa övergripande kvalitetskrav på vården och omsorgen specificeras sedan ytterligare i andra författningar som reglerar verksamheterna.
3.1.2 Ledningssystem för kvalitet
Verksamheter som bedriver hälso- och sjukvård, tandvård, socialtjänst eller verksamhet enligt LSS är skyldiga att systematisk och fortlöpande arbeta med att göra sina verksamheter bättre och säkrare. I hälso- och sjukvårdslagen, tandvårdslagen, socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade finns likalydande bestämmelser som anger att kvaliteten i verksamheten systematiskt och fortlöpande ska utvecklas och säkras.
I 3 kap. 1 § patientsäkerhetslagen (2010:650), förkortad PSL, finns bestämmelser som uttrycker att vårdgivaren ska planera, leda och kontrollera verksamheten på så sätt att kravet på god vård i hälso- och sjukvårdslagen och tandvårdslagen upprätthålls. Vårdgivaren är alltså ytterst ansvarig för att verksamheten drivs på ett säkert sätt och med hög kvalitet. Enligt 1 kap. 3 § PSL är
vårdgivare:
• statlig myndighet, landsting eller kommun som bedriver hälso- och sjukvård i egenregi
• annan juridisk person än staten, landsting eller kommun som bedriver hälso- och sjukvård, till exempel aktiebolag eller stiftelser. Detta omfattar även juridiska personer som ägs av ett eller flera landsting eller kommuner
• enskild näringsidkare som bedriver hälso- och sjukvård.
Varje sådan vårdgivare ska ha ett ledningssystem för den hälso- och sjukvårdsverksamhet som denne bedriver. Vårdgivaren ska även
SOU 2014:23 Kort om regelverket och om ansvaret för tillsynen
71
enligt 2 kap. 1 § Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården säkerställa att det i ledningssystemet finns en dokumenterad informationssäkerhetspolicy.
Enligt definitionen i Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete är den som bedriver socialtjänst:
• socialnämnd eller motsvarande kommunal nämnd, i fråga om sådan socialtjänst som kommunen bedriver i egen regi
• Statens institutionsstyrelse, då den myndigheten bedriver socialtjänst
• annan juridisk person än staten eller kommun som bedriver socialtjänst, till exempel aktiebolag eller stiftelser. Detta omfattar även juridiska personer som ägs av en eller flera kommuner, och
• enskild näringsidkare som bedriver socialtjänst.
Alla som bedriver socialtjänst ska ha ett ledningssystem för sin verksamhet. Det gäller både vid myndighetsutövning till exempel ärendehandläggning och vid genomförandet av vård eller insatser. Motsvarande skyldighet har vårdgivare och den som bedriver verksamhet enligt LSS.
Socialstyrelsens föreskrifter och allmänna råd om ledningssystem för systematiskt kvalitetsarbete är gemensamma för hälso- och sjukvård, tandvård, socialtjänst och verksamhet enligt LSS. Tanken är att gemensamma reglera ska underlätta för verksamheter som bedriver både hälso- och sjukvård och socialtjänst eller verksamhet enligt LSS att ta fram av ändamålsenliga och verksamhetsanpassade ledningssystem.
Ledningssystemet ska användas för att systematiskt och fortlöpande utveckla och säkra verksamhetens kvalitet. Den som bedriver verksamheten ska med stöd av ledningssystemet planera, leda, kontrollera, följa upp, utvärdera och förbättra verksamheten.
Det är alltid vårdgivaren eller den som bedriver socialtjänst eller verksamhet enligt LSS som har ansvaret för att det finns ett ledningssystem.
Kort om regelverket och om ansvaret för tillsynen SOU 2014:23
72
Socialstyrelsen har gett ut ett meddelandeblad1 och en handbok2till stöd i arbetet med att ta fram ett ledningssystem för kvalitet.
3.2 Informationshantering och personuppgiftsbehandling
3.2.1 Informationshantering för en god vård och omsorg
För att den enskilde individen ska kunna erbjudas god vård och omsorg måste de ansvariga verksamheterna dokumentera och i övrigt hantera information om individen och hans eller hennes behov och om de insatser som planeras och genomförs. Även resultaten för individen måste dokumenteras och följas upp. För att verksamheten ska kunna utveckla sin kvalitet behöver resultaten också följas upp på verksamhetsnivå.
När en person får insatser inom vård och omsorg är dokumentationen en integrerad del av genomförandet. Vård- och omsorgspersonal tar del av nödvändiga uppgifter om individen innan mötet med honom eller henne samt även under och efter arbetets genomförande. Uppgifter kan behöva dokumenteras och på olika sätt användas under hela detta förlopp. I bästa fall kan informationssystemet fungera som beslutsstöd direkt arbetssituationen. Det är därför naturligt att se de konkreta insatserna för en individ inom vård och omsorg och den informationshantering som hör ihop med dessa, som beståndsdelar av samma insats. Verksamhetsfrågor och frågor om informationshantering hör ihop. De är tillsammans nödvändiga för att tillgodose den enskildes behov.
Generellt kan sägas att informationshanteringen i vård och omsorg har gått från en tid när ett stort fokus låg på att uppgifter om enskilda dokumenterades, till en tid när mer och mer uppmärksamhet även riktas på hur dokumenterade uppgifter kan användas för att skapa bästa möjliga resultat för enskilda individer och för nästkommande i liknande situationer. Den elektroniska utvecklingen har gett hälso- och sjukvården och socialtjänsten möjligheter att bedriva en bättre, säkrare och mer effektiv verksamhet än vad som tidigare var möjligt.
1 Meddelandeblad nr 11/2011, Information om Socialstyrelsens nya föreskrifter och allmänna råd om ledningssystem för systematiskt kvalitetsarbete (SOSFS 2011:9). 2 Ledningssystem för systematiskt kvalitetsarbete, Handbok för tillämpningen av föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete.
SOU 2014:23 Kort om regelverket och om ansvaret för tillsynen
73
En ändamålsenlig informationshantering bidrar därmed inte endast till att upprätthålla verksamhetens kvalitet och säkerhet, utan även till att kvaliteten och säkerheten kontinuerligt utvecklas.
Informationshantering i hälso- och sjukvården
Förutsättningarna för hälso- och sjukvårdens informationshantering regleras i ett antal olika regelverk. På en övergripande nivå har lagstiftning som offentlighets- och sekretesslagen (2009:400), förkortad OSL, arkivlagen (1990:782) och tryckfrihetsförordningen (1949:105) betydelse.
När vård- och omsorgspersonal dokumenterar, tar del av eller följer upp resultat m.m. innefattar det även behandling av personuppgifter. För hälso- och sjukvårdens personuppgiftsbehandling finns i dag en sammanhängande reglering i patientdatalagen (2008:355), förkortad PDL. Lagen gäller för alla vårdgivare, oavsett huvudman, och har karaktären av en ramlagstiftning som anger vilka grundläggande principer som ska gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård. Lagen innehåller även bestämmelser om patientjournaler och om nationella och regionala kvalitetsregister. Kompletterande bestämmelser finns i patientdataförordningen (2008:360) och i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Socialstyrelsen har även gett ut en handbok till stöd för tillämpningen av föreskrifterna.3 Därtill gäller personuppgiftslagen (1998:204) utöver bestämmelserna i patientdatalagen.
Även i samband med förskrivning och uttag av läkemedel hanteras personuppgifter. I lagen (1996:1156) om receptregister anges att E-hälsomyndigheten med hjälp av automatiserad behandling får föra ett register över förskrivningar av läkemedel och andra varor för människor (receptregister). Lagen är tillämplig på den behandling av personuppgifter som E-hälsomyndigheten gör i samband med utlämnande av uppgifter om förskrivningar. I lagen finns även bestämmelser bland annat om att uppgifter från receptregistret får lämnas till Socialstyrelsens läkemedelsregister som reglerar i förordningen (2005:363) om läkemedelsregister. I
3 Handboken – Ett stöd för vårdgivare, verksamhetschefer, medicinskt ansvariga sjuksköterskor och hälso- och sjukvårdspersonal som ska tillämpa Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.
Kort om regelverket och om ansvaret för tillsynen SOU 2014:23
74
förordningen (2009:625) om receptregister finns närmare bestämmelser.
Läkemedelsförteckningen innehåller uppgifter om samtliga läkemedel som patienter hämtat ut på apotek under de senaste 15 månaderna. Registret talar om ifall patienten har hämtat ut det läkemedel som en ordinatör har ordinerat och dokumenterat i patientjournalen. Det är eHälsomyndigheten som är personuppgiftsansvarig för läkemedelsförteckningen och behandlingen av personuppgifter regleras av lagen (2005:258) om läkemedelsförteckning.
Informationshantering i socialtjänsten
Den rättsliga regleringen för informationshantering i socialtjänsten är inte är lika omfattande som den för hälso- och sjukvården. Exempelvis regleras inte dokumentationsfrågorna särskilt utförligt i socialtjänsten, medan det för hälso- och sjukvårdens del finns en lång tradition av detaljerade författningsbestämmelser kring journalföringens innehåll m.m. De regler som styr handläggning och dokumentation i socialtjänsten återfinns framför allt i förvaltningslagen (1986:223), socialtjänstlagen och de särskilda lagarna med särskilda bestämmelser vid vård av unga (1990:52), förkortad LVU, om vård av missbrukare (1988:870) i vissa fall, förkortad LVM, samt om stöd och service till vissa funktionshindrade. Därutöver har lagstiftning som offentlighets- och sekretesslagen, arkivlagen och tryckfrihetsförordningen även betydelse för socialtjänstens informationshantering.
Socialstyrelsen har utfärdat föreskrifter och allmänna råd (SOSFS 2006:5) om dokumentation vid handläggning av ärenden och genomförande av insatser enligt SoL, LVU, LVM och LSS. Det finns även en handbok som syftar till att underlätta tillämpningen av det regelverk som gäller för handläggning av ärenden och dokumentation av socialtjänstens insatser för enskilda.4
Socialtjänstens hantering av personuppgifter regleras av personuppgiftslagen och av närmare bestämmelser i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten (SoLPUL) och förordningen (2001:637) om behandling av personuppgifter i socialtjänsten (SoLPULF).
4 Handläggning och dokumentation inom socialtjänsten (Socialstyrelsen).
SOU 2014:23 Kort om regelverket och om ansvaret för tillsynen
75
3.3 Tystnadsplikt och sekretess
Såväl hälso- och sjukvårdspersonal som personal i verksamheter inom socialtjänsten och LSS kommer i kontakt med uppgifter om enskilda personer. För att var och en med tillit och trygghet ska kunna vända sig till vården och omsorgen måste uppgifter om enskilda skyddas mot obehörig åtkomst.
Offentlighets- och sekretesslagen, innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Lagen innehåller inskränkningar i den offentlighetsprincip som regleras i tryckfrihetsförordningen Sekretess inom den offentliga vården regleras alltså i offentlighets- och sekretesslagen.
Enligt 25 kap. 1 § OSL gäller sekretess inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider men. Regler om tystnadsplikt för hälso- och sjukvårdspersonalen inom den enskilda (privata) hälso- och sjukvården finns i 6 kap. PSL.
I patientdatalagen finns bestämmelser om hur den som arbetar i vården får använda sin åtkomst till personuppgifter i informationssystemen. Den som arbetar åt en vårdgivare får enligt 4 kap. 1 § PDL endast ta del av dokumenterade personuppgifter om han eller hon deltar i vården av en patient eller av annat skäl behöver uppgifterna i sitt arbete inom hälso- och sjukvården.
Inom socialtjänsten gäller sekretess för uppgift om enskilds personliga förhållanden om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men (26 kap. 1 § första stycket OSL). Bestämmelser som reglerar sekretessen i privat drivna verksamheter finns i 15 kap. SoL.
I verksamhet enligt SoL samt LSS ska handlingar som rör enskildas personliga förhållanden enligt 11 kap. 5 § andra stycket SoL samt 21 a § LSS förvaras så att obehöriga inte får tillgång till dem.
Det skydd som personuppgifter har av reglerna om sekretess och tystnadsplikt kan den enskilde själv förfoga över genom att ge tillstånd till att skyddade uppgifter ändå får lämnas ut (12 kap. 2 § OSL).
Det finns bestämmelser om självbestämmande och integritet för den enskilde individen i socialtjänsten (inklusive verksamhet enligt LSS) och hälso- och sjukvården. I dessa framgår att vården och
Kort om regelverket och om ansvaret för tillsynen SOU 2014:23
76
omsorgen ska bygga på respekt för individens självbestämmande och integritet. Det innebär i korthet att man behöver en persons samtycke för att utföra åtgärder, till exempel om man behöver samverka kring en individ. Bestämmelserna gäller helt oberoende av sekretess, men de påverkar möjligheten att lämna ut uppgifter om den enskilde individen. Det gäller såväl inom som mellan myndigheter. Bestämmelserna finns i 2 a § HSL, 1 kap. 1 § tredje stycket SoL samt 6 § LSS. Om samverkan över sekretessgränser behövs kan det vara lämpligt att, i samband med inhämtandet av samtycke till den åtgärden, samtidigt inhämta det samtycke som i många fall behövs för att kunna lämna ut sekretessbelagda uppgifter över sekretess- eller tystnadspliktsgränser. Bestämmelserna gäller även för verksamhet i privat regi, det vill säga för privata vårdgivare och enskilda verksamheter.
I hälso- och sjukvården gäller att om en enskild på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut hindrar inte sekretess att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvård till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område (25 kap. 13 § OSL). Motsvarande sekretessbrytande bestämmelse finns inte för socialtjänsten.
3.4 Tillsyn av vård och omsorg
Från den 1 juni 2013 har Inspektionen för vård och omsorg (IVO) tillsynsansvaret för hälso- och sjukvården och dess personal samt socialtjänst och för verksamhet enligt LSS. Syftet med tillsynen är att granska att befolkningen får vård och omsorg som är säker, har god kvalitet och bedrivs i enlighet med lagar och andra föreskrifter.
Säker vård och omsorg omfattar även säker hantering av personuppgifter. För att en säker verksamhet ska kunna bedrivas måste uppgifter finnas tillgängliga där de behövs för att ge god vård och omsorg. Kvalitet inom hälso- och sjukvården och socialtjänsten förutsätter också en säker hantering av personuppgifter så att obehöriga inte får del av dessa. Insatser av hög kvalitet kan inte ges utan tillit mellan de som erbjuder insatserna och den enskilde.
SOU 2014:23 Kort om regelverket och om ansvaret för tillsynen
77
I förordningen (2013:176) med instruktion för Inspektionen för vård och omsorg beskrivs myndighetens tillsynsansvar. Bestämmelser om IVO:s tillsyn finns också i patientsäkerhetslagen, socialtjänstlagen och i lagen om stöd och service till vissa funktionshindrade.
Datainspektionen ska verka för att skydda människors personliga
integritet vid behandling av personuppgifter. Datainspektion utövar i detta syfte tillsyn över personuppgiftsbehandlingen inom vård och omsorg. Bestämmelser om Datainspektionens tillsyn finns i förordningen (2007:975) med instruktion för Datainspektionen och i PUL.
Såväl IVO som Datainspektionen har alltså tillsyn över informationshanteringen inom vård och omsorg och ska samverka i dessa tillsynsfrågor.5
Läkemedelsverket har tillsyn inom bland annat området läke-
medel och medicintekniska produkter. I förordning (2007:1205) med instruktion för Läkemedelsverket beskrivs tillsynsuppdraget. Enligt förordningen (1993:876) om medicintekniska produkter har Läkemedelsverket tillsyn över att lagen (1993:584) om medicintekniska produkter följs. I tillämpningsområdet för Socialstyrelsens föreskrifter (SOSFS 2008:1) om användning av medicintekniska produkter i hälso- och sjukvården ingår informationssystem som är anslutna till medicintekniska produkter.
Arbetsmiljöverket har tillsyn över att vårdgivare och att de som
bedriver socialtjänst och verksamhet enligt LSS följer arbetsmiljölagen (1977:1160). I arbetsmiljölagen finns regler om skyldigheter för arbetsgivare och andra skyddsansvariga om att förebygga ohälsa och olycksfall i arbetet.
Det är alltså åtminstone fyra olika myndigheter som bedriver tillsyn av de verksamheter som är ansvariga för god vård och omsorg. Det förutsätts i förvaltningslagen (1986:223) att myndigheter ska samverka med varandra.
79
4 En hälso- och sjukvård i utveckling
4.1 Inledning
Behovet av informationsutbyte kring individen är i dag störst på det lokala planet, i hemkommunen och inom det egna landstinget. De verksamheter som bedriver sjukvård behöver alla ha tillgång till rätt information om patienterna, för att kunna ge bästa möjliga vård i varje situation. Huvudmannen som har ansvar för befolkningen i området och finansierar verksamheterna, oavsett om de sedan drivs i offentlig eller i privat regi, behöver ha tillgång till rätt uppgifter för att kunna planera behovet av insatser, men även för att kvalitetssäkra verksamheten och dess olika processer alldeles oavsett om individens resa har passerat offentliga och privata aktörer.
Det övergripande uppdraget är enligt utredningsdirektivet att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten.
I direktivet anför regeringen att en enskild som rör sig inom och mellan hälso- och sjukvården och socialtjänsten möter allt fler vårdgivare, utförare inom socialtjänsten etc., både nationellt och internationellt. Med nuvarande lagstiftning innebär fler aktörer fler gränser mellan aktörer, vilket kan skapa juridiska och andra hinder för tillgång till personuppgifter.
Vidare anförs att den enskilde inte ska riskera att få mindre säkra insatser av lägre kvalitet inom hälso- och sjukvården och socialtjänsten för att en eller flera personalkategorier som utför insatserna inte har åtkomst till rätt information vid rätt tillfälle. Rätt information i rätt tid för rätt användare är en nyckel till personalens möjligheter att göra ett bra arbete för den enskilde. Bra samverkande verksamheter kan ge fördelar som exempelvis tvär-
En hälso- och sjukvård i utveckling SOU 2014:23
80
professionella team sammansatta utifrån individens behov, tätt samarbete mellan övriga stödfunktioner, personal dygnet runt m.m. Detta kräver ett regelverk med individen och individens behov i centrum.
4.1.1 Riksrevisionens rapport
Under 2011 presenterade Riksrevisionen sin rapport Rätt information
vid rätt tillfälle inom vård och omsorg – samverkan utan verkan?1. I
rapporten granskas de statliga insatserna som gjorts för att vårdpersonal ska ha tillgång till all relevant patientinformation vid rätt tillfälle. Riksrevisionen anför i granskningen bl.a. att vårdens organisering har kommit att bli avgörande för informationsutbytet:
Regeringen har som ambition att öka andelen privata aktörer inom vård och omsorg. Med flera aktörer blir det allt viktigare att säkerställa ett effektivt utbyte av information över organisationsgränserna. Det har i granskningen framkommit att val av organisation får konsekvenser för hanteringen av patientinformation. Granskningen visar att det i ett landsting med få vårdgivare är enklare att få tillgång till patientinformation då patientdatalagen ställer hårdare krav vid informationsutbyte mellan olika vårdgivare än inom en vårdgivare.
Mot den bakgrunden rekommenderade Riksrevisionen regeringen att analysera de konsekvenser som det ökade antalet privata vårdgivare får för målet att behörig personal ska ha rätt information vid rätt tillfälle och överväga om det behövs någon ytterligare författningsreglering.
4.2 Hälso- och sjukvårdens organisation
Med hälso- och sjukvård avses enligt hälso- och sjukvårdslagen (1982:763), förkortad HSL, åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Begreppet hälso- och sjukvård omfattar således såväl de sjukdomsförebyggande och hälsofrämjande åtgärderna som den egentliga sjukvården. I fråga om tandvård finns särskilda bestämmelser.
Den svenska hälso- och sjukvården karaktäriseras av en stark decentralisering. Staten ansvarar för den övergripande hälso- och sjukvårdspolitiken, men det är de 21 landstingen/regionerna samt
1 RiR 2011:19.
SOU 2014:23 En hälso- och sjukvård i utveckling
81
de drygt 290 kommunerna som tillsammans ansvaret för hälso- och sjukvården i landet. Den svenska modellen innebär att i princip all hälso- och sjukvård som ges i landet är offentligt finansierad antingen av landsting eller av kommuner. Detta gäller alldeles oavsett om det sedan är landstinget, kommunen eller en privat vårdgivare som bedriver själva hälso- och sjukvårdsverksamheten. Den rent privata hälso- och sjukvården, d.v.s. som inte finansieras med offentliga medel, är visserligen något på framväxt men utgör fortfarande en mycket liten del av den totala hälso- och sjukvårdsproduktionen.
Målet för hälso- och sjukvården är en god hälsa och en vård på lika villkor för hela befolkningen. Vidare ska vården ges med respekt för alla människors lika värde och för den enskilda människans värdighet (2 § HSL).
4.2.1 Landstingens ansvar
Landstingen har enligt hälso- och sjukvårdslagen ett omfattande ansvar och ska på ett övergripande plan erbjuda en god hälso- och sjukvård åt dem som är bosatta inom landstinget samt verka för en god hälsa hos hela befolkningen. Vidare ska de som är bosatta i landstinget erbjudas en vårdgaranti som försäkrar att den enskilde inom viss tid får kontakt med primärvården (tillgänglighetsgaranti), besöka läkare inom primärvården (besöksgaranti), besöka den specialiserade vården (besöksgaranti), och planerad vård (behandlingsgaranti).
I landstingens planeringsansvar ingår att planera sin hälso- och sjukvård med utgångspunkt i befolkningens behov av sådan vård. Planeringen ska även avse den hälso- och sjukvård som bedrivs av privata och andra vårdgivare.
Andra grundläggande krav på landstingen är att det ska finnas sjukhus för sådan hälso- och sjukvård som kräver intagning i vårdinrättning, s.k. sluten vård. Annan hälso- och sjukvård benämns öppen vård. Primärvården ska som en del av den öppna vården utan avgränsning vad gäller sjukdomar, ålder eller patientgrupper svara för befolkningens behov av sådan grundläggande medicinsk behandling, omvårdnad, förebyggande arbete och rehabilitering som inte kräver sjukhusens medicinska och tekniska resurser eller annan särskild kompetens. Dessutom ska landstingen, enligt 5 § HSL, organisera primärvården så att alla som är bosatta inom
En hälso- och sjukvård i utveckling SOU 2014:23
82
landstingen kan välja utförare av hälso- och sjukvårdstjänster samt få tillgång till och välja en fast läkarkontakt (vårdvalssystem). Sådana vårdvalssystem ska utformas så att alla utförare behandlas lika, om det inte finns skäl för annat. Ersättningen från landstinget till utförare inom ett vårdvalssystem ska följa den enskildes val av utförare.
I Sverige har vi i dag nio regionsjukhus, omkring 20 länssjukhus och 40 länsdelssjukhus. Inom slutenvården finns cirka 20 000 vårdplatser. För primärvården finns drygt 1 000 vårdcentraler.
Landstingens ansvar för läkarinsatser
Landstingen har ett särskilt ansvar för läkarinsatser. Det ställer stora krav på samverkan med kommuner och privata utförare av såväl hälso- och sjukvård som socialtjänst.
Av hälso- och sjukvårdslagen följer att landstingen ska till kommunerna inom landstinget avsätta de läkarresurser som behövs för att invånare som bor i särskilt boende eller deltar i dagverksamhet enligt 3 kap. 6 § socialtjänstlagen (2001:453), förkortad SoL, får en god hälso- och sjukvård. Samma krav på läkarinsatser gäller även för hemsjukvården. Även om kommunen tagit över ansvaret för hälso- och sjukvårdsinsatser för de som bor kvar i hemmet har landstinget ansvar för de läkarinsatser som den enskilde är i behov av.
4.2.2 Kommunernas ansvar
Varje kommun ska erbjuda en god hälso- och sjukvård åt de äldre eller funktionshindrade som efter beslut av kommunen bor i särskilt boende. Även i sådan dagverksamhet som avses i 3 kap. 6 § SoL ska kommunen ansvara för hälso- och sjukvård åt dem som vistas i verksamheten.
När det gäller hälso- och sjukvård i hemmet (hemsjukvård) ligger det primära ansvaret på landstingen även om kommunerna i 18 § HSL har fått befogenheter att erbjuda dem som vistas i kommunen hemsjukvård. Landstingen har även möjlighet att, genom en överenskommelse med en kommun, överlåta skyldigheten att erbjuda hemsjukvård. I dag har samtliga län utom Stockholm kommunaliserat hemsjukvården. Hemsjukvård är avsedd för personer som behöver långvariga insatser från både hälso- och sjukvården och socialtjänsten.
SOU 2014:23 En hälso- och sjukvård i utveckling
83
Insatser av mera tillfällig karaktär som hälso- och sjukvårdspersonal utför i hemmet har inte räknats som hemsjukvård (prop. 1990/91:14). Enligt statistik från Socialstyrelsen var det i december 2009 168 000 personer som fick hemsjukvård.
Det är dock inte möjligt att inom ramen för en sådan överenskommelse om hemsjukvården överlåta sådan hälso- och sjukvård som bedrivs av läkare. Det innebär att landstinget, även efter en kommunalisering av hemsjukvården, står för de läkarinsatser som den enskilde behöver. Den kommunala hemsjukvården har då att samarbeta med läkare på vårdcentraler, mottagningar och sjukhus för att den enskilde ska få de insatser som behövs.
En kommun får även sluta avtal med någon annan, exempelvis en privat vårdgivare, om att utföra de uppgifter som kommunen ansvarar för. Kommunen ska planera sin hälso- och sjukvård med utgångspunkt i befolkningens behov. Planeringen ska även avse den hälso- och sjukvård som erbjuds av privata och andra vårdgivare.
4.2.3 Privata vårdgivare m.m.
Fram till mitten på 1990-talet var det huvudsakligen landstingen och kommunerna som själva både ansvarade för och utförde hälso- och sjukvården i landet. Även om landsting och kommuner alltjämt ansvarar för hälso- och sjukvården har utvecklingen gjort att det blivit vanligare att landsting och kommuner anlitar privata aktörer som utförare av hälso- och sjukvård. Bland de privata aktörerna finns allt ifrån vinstdrivande bolag till ideella och idéburna aktörer. Det ökade antalet privata vårdgivare återfinns framför allt inom primärvården, men även sjukhus som S:t Görans sjukhus och sjukhuset i Simrishamn drivs av privata aktörer. Även i den kommunala hälso- och sjukvården ökar antalet privata utförare av den sjukvård som exempelvis bedrivs i särskilt boende eller i hemsjukvården. Det förekommer även att flera olika privata vårdgivare i samverkan, t.ex. inom ramen för en mottagning eller ett mindre sjukhus, erbjuder hälso- och sjukvård.
Fortfarande är det dock landstingen och kommunerna som finansierar verksamheten, men med andra aktörer som utförare. De offentliga aktörerna är som huvudmän och beställare ansvariga för uppföljning och kontroll av de privata vårdgivarnas offentligfinansierade verksamheter. Utredningen om en ny kommunallag för framtiden anför i SOU 2013:53 att det av bestämmelser i bl.a.
En hälso- och sjukvård i utveckling SOU 2014:23
84
kommunallagen (1991:900), hälso- och sjukvårdslagen, socialtjänstlagen och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, framgår att kommuner och landsting genom avtal får lämna över viss uppgift till privata utförare. När kommuner och landsting lämnar över verksamhet till privata utförare så kvarstår, enligt den utredningen, det kommunala huvudmannaskapet för verksamheten. Det kan indirekt utläsas av 6 kap. 7 § kommunallagen, i vilken det anges att de kommunala nämnderna har ett ansvar att kontrollera att verksamheten bedrivs på ett tillfredsställande sätt, även när en kommunal angelägenhet har lämnats över till någon annan.2Ansvaret gentemot kommunmedlemmarna ligger alltjämt på kommunen eller landstinget som huvudman även om vissa uppgifter inom den kommunala verksamheten lämnats över till en privat utförare. Kommunen eller landstinget bestämmer om verksamhetens mål, inriktning, omfattning och kvalitet när den utförs av en privat utförare. Den privata utföraren tillhandahåller en kommunal tjänst och kommunen eller landstinget behåller det övergripande ansvaret på samma sätt som när den bedriver verksamhet i egen regi.3Kostnad och kvalitet för samma vårdinsats för den enskilde ska exempelvis inte skilja sig åt mellan en offentlig och en privat utförare.
Privata vårdgivare med offentlig finansiering grundar sin verksamhet på i huvudsak någon av följande avtalsrelationer med landstinget eller kommunen:
1. vårdval enligt lagen (2008:962) om valfrihetssystem, förkortad
LOV,
2. upphandling enligt lagen (2007:1091) om offentlig upphandling,
förkortad LOU,
3. ersättningsetablering enligt lagen (1993:1651) om läkarvårds-
ersättning, förkortad LOL, och enligt lagen (1993:1652) om ersättning för fysioterapi,
4. direktavtal.
Hälso- och sjukvård kan även bedrivas helt i privat regi utan att något avtal föreligger med landstinget eller kommunen och utan inslag av offentlig finansiering. Denna sektor av hälso- och sjukvården är emellertid mycket liten. I dessa fall ansvarar följaktligen
2SOU 2013:45 Privata utförare – Kontroll och insyn s. 99. 3SOU 2013:45 Privata utförare – Kontroll och insyn s. 105.
SOU 2014:23 En hälso- och sjukvård i utveckling
85
inte heller landstinget eller kommunen i egenskap av huvudman för verksamheten.
4.2.4 Vårdval och valfrihetssystem
Riksdagen antog 2009 propositionen Vårdval i primärvården4. Detta har inneburit att landstingen och Gotlands kommun senast den 1 januari 2010 skulle ha infört vårdvalssystem som ger patienten rätt att välja mellan olika vårdgivare i primärvården. Alla vårdgivare, som uppfyller de krav landstingen ställer, har rätt att etablera sig i primärvården. Bestämmelserna i lagen om valfrihetssystem ska följas när landstingen utformar sina valfrihetssystem.
Landstingen ska således, enligt 5 § HSL, organisera primärvården så att alla som är bosatta inom landstinget kan välja utförare av hälso- och sjukvårdstjänster samt få tillgång till och välja en fast läkarkontakt. Landstinget får inte begränsa den enskildes val till ett visst geografiskt område inom landstinget.
Hur det övergripande målet för vårdvalet formuleras kan skilja något mellan landstingen. I några betonas befolkningens tillgänglighet till vård och mångfald, medan andra framhåller målen att stärka patientens ställning och den nära vården.
I vårdvalsuppdraget framhåller alla landsting hälsofrämjande och sjukdomsförebyggande insatser, ökad tillgänglighet, att invånarnas behov ska vara styrande för verksamheten, att vårdenheten ska medverka till en samordnad eller sammanhållen vårdprocess, och att den vårdenhet som invånaren är listad hos ska vara ett naturligt förstahandsval när invånaren söker hälso- och sjukvård.
I exempelvis Stockholms läns landstings modell Vårdval Stockholm beslutas regler för auktorisering och vårdval av landstingsstyrelsen alternativt hälso- och sjukvårdsnämnden. Mottagningar som godkänns får avtal att driva sjukvård inom sitt område. Reglerna för auktorisering är desamma för privat och landstingsdriven verksamhet. Med den auktoriserade mottagningen sluts ett avtal där mottagningen förbinder sig att följa de åtaganden och regler som landstinget ställer. Avtalen gäller tills vidare och kan tidigast sägas upp efter fyra år.
Medan det för landstingen är obligatoriskt att införa valfrihetssystem i primärvården är det frivilligt för kommunerna att göra det inom den kommunala hälso- och sjukvården och socialtjänsten.
En hälso- och sjukvård i utveckling SOU 2014:23
86
Samtidigt har många kommuner i dag infört valfrihetssystem inom vård och omsorgssektorn.
4.2.5 Ett växande antal privata vårdgivare
Uppskattningsvis finns omkring 10 000 privata vård- och omsorgsföretag i landet i dag. Vid en kartläggning som gjordes av Vårdföretagarna 2001 utfördes omkring 5 procent av vårduppdragen av privata företag. Enligt Vårdföretagarna svarar i dag privat vård och omsorg för cirka 12 procent av den totala hälso- och sjukvården. År 2010 drevs omkring 26 procent av primärvården och 14 procent av äldreomsorgen i privat regi.
Variationen i landet, mellan landsting och kommuner, är dock stor. I en del län förekommer endast ett ringa antal privata utförare, medan några län visar upp en stor mångfald aktörer.
Av hälso-och sjukvårdsnämnden i Stockholms läns landstings totala kostnader för köpt hälso- och sjukvård 2011 stod privata vårdgivare för 32 procent av de totala kostnaderna. Fördelningen mellan privat utförd och offentligt utförd hälso- och sjukvård, uppdelad på olika delar av hälso- och sjukvården, ser ut som följer inom SLL år 2011.
1. Somatisk specialistsjukvård, 81 % landsting, 19 % privat.
2. Psykiatri, 80 % landsting, 20 % privat.
3. Primärvård, 40 % landsting, 60 % privat.
4. Geriatrik, 49 % landsting, 51 % privat.
5. Övrig vård, 36 % landsting, 64 % privat.
Ytterligare uppgifter från Stockholms läns landsting gör gällande att det, förutom offentliga vårdleverantörer, finns drygt 3 000 verksamheter som bedriver hälso- och sjukvård i länet.5 Av dessa har 560 leverantörer olika vårdavtal med landstinget, 1 400 erbjuder vård med stöd av nationella taxan samt 1 100 utför tandvård med offentlig finansiering. Vidare visar utvecklingen en tendens i ett ökat antal leverantörer. År 2008 fanns det i länet 453 unika leverantörer som tillsammans hade 1 260 vårdavtal för driften av sina verksamheter. År 2011 hade antalet ökat till 564 leverantörer och 1 695 avtal. Vid en analys av utvecklingen i Stockholm mellan år 2000 och 2010 kan konstateras att de privata vårdgivarnas andel framför allt har ökat
5 Rapporten Vårdmarknad och företagsklimat, 2012, Stockholms läns landsting.
SOU 2014:23 En hälso- och sjukvård i utveckling
87
inom geriatriken, där cirka 50 procent av vården producerades av privata vårdgivare år 2010 jämfört med några få procent tio år tidigare. Även inom primärvården har ökningen varit stor, från omkring 30 procent år 2000 till 60 procent 2010.
Även i Landstinget i Östergötland har antalet privata vårdgivare ökat de senaste åren. Från 2008 till 2012 har antalet privat drivna vårdcentraler med finansiering från landstinget ökat med 50 procent, från sex stycken till nio vårdcentraler. Av landstingets 43 vårdcentraler drivs således drygt 20 procent i privat regi.
Vidare kan uppmärksammas Landstinget i Uppsala län där privata vårdgivare med offentlig finansiering står för omkring 40 procent av vårdutbudet i primärvården.
Socialstyrelsen har haft regeringens uppdrag att följa upp valfrihetssystemen inom primärvård och socialtjänst ur ett patient- och befolkningsperspektiv. I slutrapporten från 2012 framkommer bl.a. följande om den utveckling som har skett6.
Sedan landstingen införde sina respektive vårdvalssystem har 208 vårdcentraler i privat regi etablerats till och med oktober 2011. Under motsvarande tid har antalet vårdcentraler i offentlig regi minskat med 17 stycken. Nettotillskottet uppgår alltså till 191 vårdcentraler, vilket motsvarar omkring 19 procent av det totala antalet.
I de 191 vårdcentralerna ingår även filialer. En filial är en del av eller underavdelning till en vårdcentral och har inga listade patienter, utan dessa är listade hos ”huvudmottagningen”. Filialen bedriver verksamhet med fast adress på annan ort och har i de flesta fall ett mer begränsat utbud av primärvårdstjänster jämfört med huvudmottagningen.
Antalet vårdcentraler som drivs av privata utförare har mer än fördubblats efter vårdvalsreformen 2009. Det har skett dels genom att nya vårdcentraler har etablerats men framför allt genom att vårdcentraler som tidigare drivits i offentlig regi numera drivs i privat regi. Av det totala antalet vårdcentraler drivs nästan hälften av privata utförare. Den största utvecklingen har skett efter 2009. Siffror från Myndigheten för tillväxtpolitiska utvärderingar och analyser visar att antalet vårdcentraler innan vårdvalet infördes var 1 022 och av dem drevs 288 i privat regi. År 2011 finns det 1 213 vårdcentraler i landet och av dem drivs nu 602 i privat regi.
6 Socialstyrelsens rapport Valfrihetssystem ur ett befolknings- och patientperspektiv (2012).
En hälso- och sjukvård i utveckling SOU 2014:23
88
Privatiseringen av primärvården har därmed gått i en snabb takt mellan 2009 och 2011.
4.2.6 Ökad specialisering
Det råder ingen tvekan om att komplexiteten i hälso- och sjukvården ökar bland annat i takt med nya medicinska landvinningar och utvecklingen av nya läkemedel och medicintekniska produkter. Människans liv blir allt längre och i takt med tiden ökar förekomsten av kroniska sjukdomar och multisjuka patienter. Dagens hälso- och sjukvård ställer stora krav på samverkan och samarbete för att lösa de utmaningar som står för dörren. Det ställs stora krav på hälso- och sjukvårdens aktörer för att de ska kunna säkra framtidens vård, möta den snabba medicinska utvecklingen, tillgodose behovet av hög kompetens på alla områden och samtidigt balansera kostnaderna för verksamheten och utvecklingen.
Detta har bl.a. lett till ökade behov av att koncentrera verksamheter, eftersom resurser saknas för att med tillräckligt hög kvalitet tillhandahålla samma utbud överallt. Den rådande utvecklingen i samhället och i hälso- och sjukvården har mot denna bakgrund medfört en ökad specialisering.
4.2.7 Vårdval – ökade möjligheter för medborgarna
I och med valfrihetsreformen har samtliga medborgare fått rätten att välja en utförare av hälso- och sjukvårdstjänster. För många innebär det ett val av vårdcentral. Men även personer som bor i ordinärt boende och som samtidigt får hälso- och sjukvårdsinsatser i hemmet omfattas av vårdvalet oavsett om insatserna utförs under kommunens eller landstingets ansvar.
I en vårdgivares skyldigheter ingår i regel ansvar för läkarinsatser till enskilda personer som vårdas inom den kommunala hälso- och sjukvården. Läkarinsatser i särskilda boenden omfattas i de flesta landsting av ett grundåtagande i vårdvalet. Det innebär att den enskilde har rätt att välja vårdgivare även om man bor i särskilt boende.
Medborgarnas ökade valmöjligheter medför en del nya krav på vård- och omsorgsaktörerna. Förutsebarheten och möjligheten att planera och dimensionera olika verksamheter är i dag mer
SOU 2014:23 En hälso- och sjukvård i utveckling
89
komplicerad. Samtidigt som landsting och kommuner behöver ha en flexibilitet för att möta medborgarnas valfrihet måste den övergripande planeringen och nödvändiga stödsystem vara robusta och garantera en högkvalitativ och jämlik vård. Dagens mångfald av utförare gör tillsammans med medborgarnas valmöjligheter att behovet av att systematiskt hålla ihop de system, processer, rutiner etc. som är nödvändiga förutsättningar för en god och säker vård är ännu större än tidigare.
4.2.8 Vårdprocesser sträcker sig allt mer över vårdgivargränser
En konsekvens av den ökade specialiseringen och mångfalden av utförare är att det i dag snarare är regel än undantag att patienten möter flera olika vårdgivare under en och samma vårdprocess. Patienten möter olika offentliga och privata utförare som tillsammans har uppdraget att leverera högkvalitativ vård för den enskildes bästa. För ett antal år sedan var situationen annorlunda. Då stod kommuner och landsting för i princip all hälso- och sjukvård som utfördes. Vårdprocesserna gick då typiskt sett inte över vårdgivargränser utan hölls i större utsträckning inom landstingets eller kommunens verksamhet. I takt med privatiseringen har detta dock kommit att förändras. Det är särskilt märkbart inom framför allt primärvården.
I dag kan patienten på sin resa genom vården, t.ex. inom ramen för en remisshantering, passera flera olika privata och offentliga aktörer. Det kan handla om att patienten remitteras från en privat driven vårdcentral för att först utredas på en landstingsdriven mottagning och efter det på en privat driven specialistmottagning för att sedan återvända till den remitterande vårdgivaren. Det kan även förekomma att patienten behöver söka vården akut för samma hälsoproblem och då få hjälp av ytterligare en aktör.
Vårdprocesser är inte heller alltid på förhand definierade på ett sådant sätt att det är möjligt att förutse vilka aktörer som kommer att vara inblandade i patientens vård och behandling. Vid exempelvis misstänkt cancer kan processen se olika ut och inledas utifrån symptom som inte omedelbart förknippas med cancer. Det kan i ett inledande skede vara fråga om en omfattande remisshantering, t.ex. från en primärvårdsmottagning till ett laboratorium, från akutmottagning till röntgen, från vårdavdelning till MR-undersökning på länssjukhus och vidare till kirurgi, patologi och onkologi.
En hälso- och sjukvård i utveckling SOU 2014:23
90
När det gäller primärvården pekar exempelvis Socialstyrelsen i sin rapport om Valfrihetssystem ur ett befolknings- och patientperspektiv (2012) på att det ännu finns få svenska studier som visar hur olika befolkningsgrupper använder sig av de möjligheter ett valfrihetssystem kan ge och på vilka grunder eller kriterier enskilda personer väljer. Av en undersökning som Konkurrensverket låtit göra kring vårdval i primärvården7framgår att kontinuitet generellt ansågs vara en viktig faktor i vård och omsorg av dem som deltog i undersökningen, men särskilt bland de äldre. Yngre personer lade större vikt vid att snabbt kunna få läkartid för sig eller sina barn. Patientens val och rörlighet kan därmed hänga mycket samman med faktorer som i vilket skede i livet patienten befinner sig, vilka socioekonomiska förutsättningar individen har etc. Vård-och omsorgsproducenterna måste därför kunna leverera en högkvalitativ vård och omsorg till individer med olika förutsättningar och som gör olika val för att initiera en vårdprocess.
4.2.9 Sammanfattande reflektioner
Gemensamt för många av dagens vårdprocesser är att behoven av både tät samverkan och flexibilitet är stora. Inte sällan framförs risker med att mångfald, vårdvalssystem och vård- och omsorgsprocesser med flertalet aktörer kan medföra att individen får ta ett större eget ansvar för att hålla samman processen i gränssnitten mellan de olika aktörerna. I en alltmer specialiserad vård med en mångfald av utförare ökar behovet att hålla samman informationen i enskilda vård- och omsorgsprocesser. Tillgång till rätt information om patienten är kritiskt i varje del av kedjan, hos varje aktör som möter individen. ITsystem måste kunna kommunicera, rutiner och arbetssätt måste vara ändamålsenliga och till viss del gemensamma, samma termer och begrepp måste användas av olika aktörer m.m. Det är avgörande för patientsäkerheten att ha en helhetsbild över patientens hälsoproblem oavsett hur patientens resa genom vård och omsorgssystemet har startat och oavsett vilka aktörer som passeras under resan. Det ligger även ytterst i varje medborgares intresse att vård- och omsorgsproducenterna kan hålla ihop de system, processer, rutiner och den information som krävs för att patienter ska få en god vård och omsorg.
7 Konkurrensverkets rapportserie 2010:3.
91
5 Informationshantering inom hälso- och sjukvården
5.1 Bakgrund
Informationshanteringen är av fundamental betydelse för hälso- och sjukvården. Grunden utgörs traditionellt sett av patientjournalföringen, som har avgörande betydelse för kvaliteten och säkerheten i hälso- och sjukvården. Syftet med att föra en patientjournal är i första hand att bidra till en god och säker vård för patienten. Patientjournalen är därmed primärt ett arbetsinstrument för hälso- och sjukvårdspersonalen. Samtidigt är journalen även en viktig informationskälla för patienten, t.ex. för att ge patienten större kunskap om sin hälsosituation och för att öka patientens delaktighet i vården. Den har även stor betydelse för möjligheterna till uppföljning och kvalitetssäkring av verksamheten samt för forskningen. Patientjournalen är också ett viktigt underlag vid tillsyn eller i rättsliga sammanhang.
Samtidigt kan konstateras att hälso- och sjukvårdens informationshantering i dag är så mycket mer än den egentliga patientjournalföringen. Det handlar inte längre endast om att i efterhand dokumentera bedömningar, ställningstaganden och vidtagna åtgärder kring enskilda patienter. I dag handlar det även mycket om hur hälso- och sjukvården kan använda redan dokumenterade uppgifter om patienter och information exempelvis om de landvinningar som görs inom den medicinska forskningen för att skapa ännu bättre resultat för patienterna.
Informationshanteringen kan därför sägas vara en grundläggande förutsättning för effektiva kunskaps- och beslutsstöd i den patientinriktade verksamheten. Nya tekniska lösningar har medfört att hälso- och sjukvården kan få bättre bedömningsunderlag på ett säkrare och mer effektivt sätt än vad som över huvud taget är möjligt vid manuella genomgångar av patientjournaler och forskningsrön.
Informationshantering inom hälso- och sjukvården SOU 2014:23
92
Den elektroniska utvecklingen har även medfört att det i dag kommit att handla mer och mer om hur informationen presenteras för användarna, dvs. hälso- och sjukvårdspersonalen, och hur informationssystemen i övrigt bör vara uppbyggda för att vara användbara i verksamheten.
Därutöver har frågor om hur uppgifter om patienter kan användas för att utveckla och säkra kvaliteten i hälso- och sjukvården under en längre tid ökat i aktualitet. Utvecklingen av nationella kvalitetsregister, öppna jämförelser m.m. har bland annat satt ljuset på hur viktigt det är att mäta vad som görs i verksamheten för att få underlag till förbättringsarbeten.
Vidare har en stor utveckling kommit att ske vad gäller patienters tillgång till information om dem själva. Från att ha handlat om att lämna ut journalkopior manuellt på papper, handlar frågorna i dag om direkt tillgång till uppgifter på internet och särskilda tekniska lösningar som exempelvis gör att informationen kan förädlas och visualiseras på sätt som motsvarar enskilda patienters behov. Den dokumentation som skapas i hälso- och sjukvården är därmed även på väg att bli en grundförutsättning för att stärka patienters delaktighet i vården och öka patienters kännedom om deras hälsosituation. En del av hälso- och sjukvårdens informationshantering handlar därför om att tillhandahålla förutsättningar för patienter att förstå och kunna fatta informerade beslut som påverkar hälsa och livskvalitet.
Sammantaget kan konstateras att frågorna om hälso- och sjukvårdens informationshantering har blivit fler och kommit att spänna över bredare områden än tidigare. Det har även medfört ett större fokus på lagstiftningen på området och på frågan om vad som är rättsligt möjligt i frågor om användning av uppgifter om patienter.
I detta kapitel redogörs översiktligt för den nuvarande rättsliga regleringen av hälso- och sjukvårdens informationshantering. Längre fram i betänkandet återfinns utredningens närmare redogörelser och analyser av olika delar av gällande rätt.
SOU 2014:23 Informationshantering inom hälso- och sjukvården
93
5.2 Den rättsliga regleringen av informationshanteringen
För hanteringen av personuppgifter inom hälso- och sjukvården finns i dag en sammanhängande reglering i patientdatalagen (2008:355), förkortad PDL. Lagen gäller för alla vårdgivare och har karaktären av en ramlagstiftning som anger vilka grundläggande principer som ska gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård.
Patientdatalagen kompletteras av Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.
5.2.1 Begreppet vårdgivare
I patientdatalagen görs en åtskillnad mellan informationshanteringen inom en vårdgivares verksamhet respektive mellan olika vårdgivare. Förutsättningarna för informationshantering i ett enskilt fall är därmed bl.a. beroende av om det rör sig om en hantering uteslutande inom den egna vårdgivarens verksamhet eller om information exempelvis behöver inhämtas från en eller flera andra vårdgivare.
Med vårdgivare avses en fysisk eller juridisk person som bedriver hälso- och sjukvård. Det är statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
Inom den allmänna hälso- och sjukvården är det således den juridiska personen landstinget eller kommunen som är vårdgivare. Sådana kommunala företag som avses i 2 kap. 3 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, dvs. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande, är egna juridiska personer och utgör självständiga vårdgivare. Som exempel på sådana vårdgivare kan nämnas Södersjukhuset AB och Danderyds sjukhus AB. Även privata utförare av offentligfinansierad hälso- och sjukvård, som exempelvis Capio, Aleris och Praktikertjänst, är självständiga vårdgivare. Detsamma gäller för även enskilda personer som bedriver husläkarmottagningar, mottagningar för sjukgymnastik m.m.
Informationshantering inom hälso- och sjukvården SOU 2014:23
94
Några exakta uppgifter om hur många vårdgivare det finns i dag i Sverige har inte varit möjligt att få fram. En siffra som har nämnts i olika sammanhang är att det finns omkring 10 000 privata vård- och omsorgsföretag i Sverige. Om samtliga dessa är att betrakta som vårdgivare i lagstiftningens mening är emellertid oklart. Hur som helst kan dock konstateras att antalet sinsemellan självständiga vårdgivare har ökat väsentligt de senaste åren. Bara i Stockholm finns omkring 1 000 vårdgivare som driver sin verksamhet med offentlig finansiering.
5.2.2 Informationshantering inom en vårdgivares verksamhet (inre sekretess)
Inom en vårdgivares verksamhet kan information utbytas mellan olika aktörer och olika enheter, exempelvis mellan sjukhus och vårdcentraler eller mellan olika enheter inom ett sjukhus, utan hinder av sekretess. Det finns således ingen sekretessgräns som hindrar ett informationsflöde inom en vårdgivares verksamhet, i det s.k. inre sekretessområdet.
Det betyder emellertid inte att det är fritt fram att utbyta information mellan alla som arbetar inom en och samma vårdgivares verksamhet. Av den grundläggande bestämmelsen i 4 kap. 1 § PDL om inre sekretess följer att den som arbetar hos en vårdgivare får ta del av uppgifter om en patient endast om han eller hon deltar i vården och behandlingen av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
Vidare följer av kraven på behörighetsstyrning att personalens behörighet för åtkomst till patientuppgifter ska begränsas till vad som behövs för att den enskilde anställde ska kunna fullgöra sina arbetsuppgifter. Dessutom finns integritetsskyddande bestämmelser om åtkomstkontroll, som ställer krav på att åtkomsten till patientuppgifter dokumenteras (loggas) samt systematiskt och återkommande kontrolleras.
Även om det inte finns några sekretessgränser för informationsutbytet inom en vårdgivares verksamhet har patienten en möjlighet att själv begära att den elektroniska åtkomsten till patientens uppgifter begränsas. Den rätten beskrivs ofta som att patienten kan lägga en inre spärr. Rättigheten följer av 4 kap. 4 § PDL och innebär att vårddokumentation som dokumenterats hos en vårdenhet eller inom en
SOU 2014:23 Informationshantering inom hälso- och sjukvården
95
vårdprocess inte får göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall ska uppgiften genast spärras.
En sådan spärr får hävas av behörig befattningshavare hos vårdgivaren om patienten samtycker till det. Spärren får även hävas i sådana situationer där patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.
Lagstiftarens tanke med reglerna om inre spärrar har varit att skapa en bestämmelse som slår fast de principer som uttrycks i 2 § hälso- och sjukvårdslagen om att verksamheten ska bygga på respekt för patientens självbestämmande och integritet. Patientdatautredningen anförde i sitt betänkande (s. 373) att det för en del patienter inte skulle räcka med en möjlighet att i efterhand kontrollera vilken åtkomst till patientens uppgifter som förekommit. De patienterna bör enligt utredningen ha en möjlighet att motsätta sig att journaluppgifter görs elektroniskt tillgängliga för andra vårdenheter alternativt vårdprocesser än den vid vilken patienten vårdats under en specifik tidsperiod.
Den inre spärren handlar dock inte om huruvida uppgifter om en patient alls bör få utbytas mellan olika vårdenheter, t.ex. kliniker eller sjukhus hos en och samma vårdgivare. Bestämmelsen reglerar endast själva sättet för informationsutbytet, dvs. elektronisk åtkomst. Några nya interna sekretessgränser uppstår inte och spärrarna innebär inget hinder mot att personal vid olika vårdenheter eller vårdprocesser tar kontakt med varandra på motsvarande sätt som görs när förutsättningar för elektronisk åtkomst helt saknas.
5.2.3 Informationshantering mellan vårdgivare
Av bestämmelserna om sekretess och tystnadsplikt i offentlighets- och sekretesslagen respektive patientsäkerhetslagen (2010:659) följer att sekretess råder mellan olika vårdgivare för uppgifter om hälsotillstånd eller andra personliga förhållanden. Det innebär något förenklat att det exempelvis råder sekretess mellan ett offentligt drivet sjukhus och en privat driven vårdcentral, eller mellan olika offentliga vårdgivare samt mellan olika privata vårdgivare. Uppgifter om enskilds hälsotillstånd eller andra personliga
Informationshantering inom hälso- och sjukvården SOU 2014:23
96
förhållanden får då i huvudsak utbytas med stöd av den enskildes samtycke eller genom att tillämpa en sekretessbrytande bestämmelse.
I offentlighets- och sekretesslagen finns exempelvis sekretessbrytande bestämmelser som innebär att sekretessen inte hindrar att uppgift lämnas från en myndighet som bedriver hälso- och sjukvård i en kommun till en annan sådan myndighet i samma kommun. Motsvarande bestämmelse finns även för olika myndigheter som bedriver hälso- och sjukvård inom ett landsting. Dessa bestämmelser möjliggör för kommuner och landsting att organisera sin verksamhet i olika myndigheter utan att det för den skull uppstår sekretessgränser dem emellan. Bestämmelserna gäller dock enbart den hälso-och sjukvård som landstinget eller kommunen själv bedriver genom dessa myndigheter och kan inte tillämpas på sådan hälso- och sjukvård som utförs av privata vårdgivare med offentlig finansiering. Mellan de offentliga och privata aktörerna råder alltjämt sekretess.
Om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar sekretessen inte att en uppgift som behövs för att den enskilde ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en privat vårdgivare eller privat utförare av socialtjänst. Det är en sekretessbrytande bestämmelse som inte ska tillämpas generellt och i vida omfattning, utan i stället med stor försiktighet då det framstår som direkt påkallat att bistå en enskild och den enskilde kan tänkas motsätta sig ett utlämnande eller att saken brådskar och det inte finns tid att inhämta ett samtycke.
Hur uppgifter får utbytas, vare sig uppgiftsutbytet grundas på ett samtycke eller en sekretessbrytande bestämmelse, regleras bl.a. i patientdatalagen. I lagen medges dels att uppgifter som får lämnas ut kan lämnas ut elektroniskt, dels att vårdgivare under vissa förutsättningar får ha direktåtkomst till varandras vårddokumentation.
SOU 2014:23 Informationshantering inom hälso- och sjukvården
97
5.2.4 Informationshantering mellan vårdgivare – sammanhållen journalföring
Genom patientdatalagen och sekretessbrytande bestämmelser i OSL har vårdgivare fått möjligheten att under vissa förutsättningar ta del av varandras vårddokumentation genom direktåtkomst, s.k. sammanhållen journalföring.
Kännetecknande för direktåtkomst är bl.a. att den som önskar ta del av information hos exempelvis en annan vårdgivare på eget initiativ kan bereda sig åtkomst till informationen. Uppgifterna finns således potentiellt tillgängliga att ta del av utan att den som gjort uppgifterna tillgängliga behöver fatta ett formellt beslut om utlämnande till förmån för den som önskar ta del av uppgifterna. Enkelt uttryckt handlar sammanhållen journalföring således om att dela med sig av sin egen vårddokumentation och/eller ta del av vårddokumentation som andra vårdgivare har gjort tillgänglig. Sammanhållen journalföring ger därmed inte uttryck för tanken om ”en patient – en journal”, utan regelverket förutsätter att vårdgivare för sin egen journal och ansvarar för hanteringen av den.
Det är frivilligt för vårdgivare att samarbeta och skapa system för sammanhållen journalföring. Samtidigt måste en rad förutsättningar vara uppfyllda för att vårdgivare ska få nyttja möjligheterna att dela vårddokumentation genom direktåtkomst.
För det första gäller att patienten har en rätt att – efter ha blivit informerad om vad sammanhållen journalföring innebär – motsätta sig att vårddokumentation om honom eller henne görs tillgänglig för andra vårdgivare genom direktåtkomst. Det krävs således inget samtycke för att vårdgivare ska kunna dela med sig av patienternas uppgifter genom direktåtkomst, utan regleringen ger i stället uttryck för individens rätt att motsätta sig, s.k. opt-out.
Patienten har således att välja på att tyst samtycka eller uttryckligen motsätta sig att uppgifter görs tillgängliga för andra vårdgivare genom direktåtkomst. En grundläggande förutsättning i sammanhanget är dock att patienten informeras om att han eller hon faktiskt har något att ta ställning till. Sådan information ska lämnas innan uppgifterna görs tillgängliga i system för sammanhållen journalföring. Hur sådan information ska lämnas regleras inte i lagstiftningen, utan det är upp till hälso- och sjukvårdens aktörer att hitta lämpliga former som är väl avvägda och anpassade till olika förutsättningar.
Informationshantering inom hälso- och sjukvården SOU 2014:23
98
Genom praxis från Datainspektionen har det tydliggjorts att vårdgivarnas informationsplikt är central och de informationsinsatser som väljs måste vara anpassade för att kunna nå de patienter vars uppgifter avses ingå i sammanhållen journalföring. Exempelvis förekommer informationsinsatser i de olika länstidningar som finns, i kallelser till patientbesök, genom affischer och broschyrer på sjukhus och vårdcentraler. Vårdgivare som avser att tillgängliggöra patientuppgifter rörande patienter som finns i andra län än det i vilket vårdgivaren är verksam, kan även behöva använda sig av region- eller rikstäckande informationsinsatser för att nå patienterna. Som ett exempel på detta kan nämnas Karolinska Universitetssjukhuset som bl.a. informerat genom annonser i Dagens Nyheter.
Om patienten motsätter sig sammanhållen journalföring ska vårdgivaren spärra uppgifterna, dvs. se till att uppgifterna över huvud taget inte är elektroniskt tillgängliga genom direktåtkomst för andra vårdgivare. Åtkomst till sådana spärrade uppgifter får då ske på samma sätt som t.ex. då journaler fördes på papper, dvs. att uppgifterna kan lämnas ut efter sekretessprövning. Beslut om ett sådant utlämnande ska, efter förfrågan från patienten eller en vårdgivare som önskar ta del av uppgifterna, fattas av den vårdgivare som har spärrat uppgifterna. Om uppgifterna får lämnas ut kan det ske manuellt eller elektroniskt.
Vårddokumentation rörande de patienter som efter att ha blivit informerade valt att inte motsätta sig den sammanhållna journalföringen får däremot göras tillgängliga genom direktåtkomst. I sådant fall finns patientens uppgifter potentiellt tillgängliga för den som i en viss situation möter patienten och då har ett behov av att ta del av uppgifter en annan vårdgivare har gjort tillgängliga. För att personal i en sådan situation få bereda sig åtkomst till uppgifter som en annan vårdgivare har gjort tillgängliga krävs att
1. uppgifterna rör en patient som vårdgivaren har en aktuell
patientrelation med,
2. uppgifterna kan antas ha betydelse för att förebygga, utreda eller
behandla sjukdomar och skador hos patienten, och
3. patienten samtycker till det.
Det första kravet ovan, att det finns en aktuell patientrelation, är inte en regel om s.k. inre sekretess utan anger endast under vilka förutsättningar vårdgivaren som sådan får använda den direktåtkomst
SOU 2014:23 Informationshantering inom hälso- och sjukvården
99
som vårdgivaren medgetts genom systemet för sammanhållen journalföring. Härigenom begränsas den legala räckvidden i förhållande till den faktiska tillgången till andra vårdgivares uppgifter till att enbart omfatta de patienter som vårdas eller behandlas inom den egna verksamheten. Begreppet patientrelation är inte definierat i lagstiftningen. I Patientdatautredningens betänkande1 anförs att det normalt inte borde uppstå några tveksamheter huruvida en aktuell patientrelation föreligger eller inte. Enligt utredningen bör en patientrelation t.ex. anses avslutad då en intagen sjukhuspatient skrivs ut som färdigbehandlad utan inplanerade återbesök, efterkontroller eller liknande. Vidare ansåg utredningen att detsamma bör gälla om patienten skrivs ut för fortsatt vård eller uppföljning hos primärvård i annan vårdgivares regi och att man vid tveksamheter får överlåta till rättstillämpningen att från fall till fall bedöma om en patientrelation är pågående eller inte.
Vidare krävs att personalen som avser att ta del av uppgifter om patienten bedömer om uppgifterna kan antas ha betydelse för patientens vård eller behandling. Rekvisitet ”kan antas” är ett förhållandevis lågt ställt krav, men kräver ändå att ett ställningstagande görs. Genom bestämmelsen tydliggörs även att direktåtkomsten endast får användas för vårdändamål och inte för andra syften som exempelvis kvalitetssäkring och verksamhetsutveckling. Däremot får direktåtkomsten även användas för att utfärda sådant intyg om vården, som patienten begär.
Det tredje villkoret för åtkomst är att patienten samtycker till det. Med samtycke avses här ett aktivt samtycke från patienten till att direktåtkomst till en annan vårdgivares vårddokumentation används. Vidare följer att det ska vara fråga om ett samtycke enligt personuppgiftslagen (1998:204), dvs. att samtycket ska vara frivilligt, särskilt och otvetydigt. Kravet på att det ska vara ett samtycke enligt personuppgiftslagen innebär bl.a. att det endast är patienten själv, eller en legal ställföreträdare, som kan lämna ett samtycke. Något formellt krav på att samtycket ska vara uttryckligt eller att det ska dokumenteras finns däremot inte.
1 Patientdatautredningens huvudbetänkande; Patientdatalag, SOU 2006:82 s. 301.
Informationshantering inom hälso- och sjukvården SOU 2014:23
100
5.2.5 Enskilds möjlighet att ta del av uppgifter genom direktåtkomst
I äldre lagstiftning fanns bestämmelser som omöjliggjorde för vårdgivare att ge patienter direktåtkomst till journaluppgifter om patienten själv. Genom patientdatalagen har dock möjliggjorts för vårdgivare att medge en enskild direktåtkomst till sådana uppgifter om den enskilde som får lämnas ut till honom eller henne och som behandlas för ändamålet vårddokumentation. Bestämmelsen innebär således en möjlighet för en vårdgivare, ingen skyldighet, att erbjuda patienten direktåtkomst till journaluppgifter.
För att understryka att en sekretessprövning i enlighet med 25 kap. 6 § OSL är nödvändig i samband med att uppgifter lämnas ut till patienten, vare sig det görs manuellt eller elektroniskt, anges i patientdatalagen att direktåtkomsten endast får avse uppgifter som
får lämnas ut till patienten.
Under samma förutsättningar får patienten även medges direktåtkomst till dokumentation om den åtkomst till uppgifter som förekommit om den enskilde, s.k. logglistor.
5.2.6 Socialstyrelsens föreskrifter (SOSFS 2008:14)
Socialstyrelsen har med stöd av bl.a. patientdataförordningen (2008:360) utfärdat föreskrifter som kompletterar patientdatalagens bestämmelser om vårdgivares behandling av personuppgifter i hälso- och sjukvården.2
Föreskrifterna, som delvis har utfärdats efter samråd med Datainspektionen, innehåller bestämmelser om ansvar för informationssäkerhet, rutiner för journalföring och rutiner för hantering av patientuppgifter. Dessutom finns särskilda bestämmelser om enskild verksamhets upphörande.
I kapitlet om informationssäkerhet finns exempelvis krav på behörighetsstyrning och åtkomstkontroll samt att vårdgivare som använder öppna nät (t.ex. Internet eller Sjunet) för att hantera patientuppgifter ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att
2 Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.
SOU 2014:23 Informationshantering inom hälso- och sjukvården
101
1. överföring av patientuppgifter görs på ett sådant sätt att ingen
obehörig kan ta del av uppgifterna, och
2. åtkomst till patientuppgifter föregås av stark autentisering.
Vidare finns detaljerade krav på hur åtkomst till patientuppgifter får gå till såväl inom en vårdgivares verksamhet som när direktåtkomst till sammanhållen journalföring nyttjas. Bland annat ställs krav på att patientuppgifter inte görs tillgängliga utan att användaren gör ett antal aktiva val, dvs. ställningstaganden till om han eller hon har rätt att ta del av de aktuella uppgifterna.
Det finns även närmare bestämmelser som rör patientens möjlighet att genom direktåtkomst få ta del av sina patientuppgifter, dvs. journaluppgifter som rör patienten själv. Vårdgivare som medger en enskild direktåtkomst ska även ansvara för att det finns ett system för bedömning av de uppgifter som kräver ett särskilt skydd i förhållande till den enskilde och som inte ska lämnas ut genom direktåtkomst.
När en enskild verksamhet ska upphöra finns bestämmelser om att vårdgivaren ska säkerställa att de patientjournaler som finns i verksamheten tas om hand på ett sådant sätt att obehöriga inte kan ta del av dem. Om journalerna inte kan tas om hand på ett sådant sätt ska vårdgivaren ansöka hos Socialstyrelsen om omhändertagande av patientjournalerna.
5.2.7 Verksamhetsuppföljning m.m. inom en vårdgivares verksamhet
I och med patientdatalagens ikraftträdande undanröjdes några hinder i äldre lagstiftning för vårdgivares möjligheter att följa upp, utveckla och kvalitetssäkra sin verksamhet. Av lagens ändamålsbestämmelse framgår att vårdgivare, inom sin egen verksamhet, får hantera personuppgifter för att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. Ofta innebär det att personuppgifter som dokumenterats för vård- och behandlingsändamål i den individinriktade verksamheten, sedan används för verksamhetsuppföljning på olika nivåer inom vårdgivarens verksamhet. Men det kan även vara aktuellt att hantera andra personuppgifter, som inte samlats in i vården av patienten, för att utveckla verksamheten. De begränsningar till samkörning av olika register,
Informationshantering inom hälso- och sjukvården SOU 2014:23
102
t.ex. journalsystem och patientadministrativa system, som fanns i tidigare lagstiftning har också tagits bort.
Dessutom har de sekretessbrytande bestämmelserna mellan olika nämnder i en kommun eller ett landsting gjort det möjligt för landsting och kommuner att följa upp sin verksamhet, även om verksamheten drivs av flera olika nämnder eller sådana kommunala företag som avses i 2 kap. 4 § OSL.
Även om det nu finns bättre förutsättningar för vårdgivare att hantera personuppgifter för att följa upp sin egen verksamhet gäller alltjämt de grundläggande kraven i personuppgiftslagen. Det innebär exempelvis att det bara är tillåtet att basera verksamhetsuppföljningen på personuppgifter om det inte är tillräckligt med hänsyn till ändamålet att använda indirekt utpekande eller avidentifierade uppgifter.
5.2.8 Verksamhetsuppföljning över vårdgivargränser
I patientdatalagen finns, förutom regelverket för regionala och nationella kvalitetsregister, inga särskilda bestämmelser som syftar till att möjliggöra verksamhetsuppföljning över vårdgivargränser.
Patientdatautredningen ansåg exempelvis inte att det var motiverat att tillåta direktåtkomst vid sammanhållen journalföring för andra ändamål än patientvård eller för att på patientens begäran utfärda intyg. Inga andra ändamål är således tillåtna, inte ens med patientens samtycke.
Samtidigt anförde utredningen3att det sagda inte hindrar vårdgivare A från att följa upp den egna verksamheten genom att använda den egna vårddokumentationen och, om det verkligen bedöms vara nödvändigt, den vårddokumentation hos vårdgivare B som vårdgivare A med patientens samtycke tagit del av genom sin direktåtkomst och som lagts till grund för det egna arbetet. Resonemanget utvecklades emellertid inte ytterligare och det får därmed anses oklart hur och under vilka närmare förutsättningar en sådan uppföljning skulle ske.
I övrigt är verksamhetsuppföljning över vårdgivargränser, åtminstone teoretiskt, möjligt om en sekretessprövning utfaller i bedömningen att uppgifterna kan lämnas ut till den vårdgivare som ska göra den gemensamma uppföljningen. Det låter sig dock inte göras några generella uttalanden kring i vilka fall ett sådant utläm-
SOU 2014:23 Informationshantering inom hälso- och sjukvården
103
nande kan göras. Jämfört med vad som gäller i den individinriktade verksamheten torde en sekretessprövning enligt OSL oftare leda till bedömningen att uppgiften inte kan lämnas ut, om syftet med utlämnandet är verksamhetsuppföljning och inte att bereda den enskilde nödvändig vård och behandling.
5.2.9 Särskilt om nationella kvalitetsregister
Genom patientdatalagen har hanteringen av personuppgifter i nationella och regionala kvalitetsregister reglerats. Med nationella kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.
Kvalitetsregistren ska även möjliggöra jämförelser inom hälso- och sjukvården på nationell eller regional nivå. I linje med detta gäller bestämmelserna i 7 kap. patientdatalagen för nationella eller regionala kvalitetsregister i vilka personuppgifter samlats in från flera vårdgivare. Regelverket ger därmed stöd för en särskilt form av verksamhetsuppföljning över vårdgivargränser.
Ett grundläggande krav för att få registrera uppgifter i ett nationellt kvalitetsregister är att patienten inte motsatt sig det. Det är således fråga om samma förutsättningar för s.k. opt-out som gäller vid sammanhållen journalföring. För att den enskilde ska kunna tillvarata sin rätt att ta ställning till medverkan i den verksamhetsuppföljning som görs i ett kvalitetsregister är den personuppgiftsansvarige skyldig att, innan uppgifterna registreras, lämna patienten utförlig information om den hantering av personuppgifter som gäller för det aktuella kvalitetsregistret.
Informationsplikten innebär således att de personuppgiftsansvariga aktivt måste uppmärksamma patienten på villkoren för registrering, t.ex. genom att hänvisa till och tillhandahålla den relevanta informationen. Information ska bl.a. lämnas om ändamålet med registret, vilka kategorier av uppgifter som behandlas, vem som är personuppgiftsansvarig, att registreringen är frivillig, att patienten när som helst har rätt att få uppgifter om sig själv utplånade ur registret, vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till m.m.
När personuppgifter registreras i ett kvalitetsregister innebär det att uppgifterna, såväl i offentlighets- och sekretesslagens som i personuppgiftslagens mening, lämnas ut från den inrapporterande
Informationshantering inom hälso- och sjukvården SOU 2014:23
104
vårdgivaren till den mottagande aktören. För att möjliggöra detta utlämnande har det införts en bestämmelse i offentlighets- och sekretesslagen som bryter sekretessen när uppgifter lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen.
Personuppgifter i nationella kvalitetsregister får primärt behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Det handlar således i första hand om att följa upp medicinsk och annan kvalitet i själva vårdinsatserna. Som huvudregel får kvalitetsregister därmed endast innehålla sådana personuppgifter som behövs för de ändamål för vilket det enskilda kvalitetsregistret verkar för, exempelvis att säkra och utveckla kvaliteten i vården av en viss diagnos, t.ex. diabetes, eller för en viss åtgärd, t.ex. höftoperationer.
Samtidigt får de personuppgifter som samlats in för det primära ändamålet även behandlas för vissa andra, sekundära ändamål, nämligen för framställning av statistik och forskning inom hälso- och sjukvårdsområdet. Med det särskilda ändamålet framställning av statistik avses inte sådana uppgifter som sammanställs statistiskt t.ex. i de kontinuerliga återrapporteringar eller i de årsböcker som framställs i själva kvalitetssäkringsarbetet. Sådan statistikframställning omfattas av det primära ändamålet kvalitetssäkring. Det särskilda statistikändamålet avser således statistik som kan användas för andra syften än att förbättra vårdens kvalitet.
Att det är tillåtet att personuppgifter som samlats in för kvalitetssäkring även används i forskning inom hälso- och sjukvårdsområdet innebär emellertid inget undantag från övriga rättsliga krav för att forskning på känsliga personuppgifter ska få äga rum. Det innebär att krav på etikprövning alltjämt gäller om forskning ska göras på uppgifter som registrerats i nationella kvalitetsregister.
Vidare anges i patientdatalagen att uppgifter även får behandlas för att lämnas ut till någon som ska använda uppgifterna för något av de tidigare nämnda tillåtna primära eller sekundära ändamålen. Dessutom anges som ett sista tillåtet ändamål visst fullgörande av uppgiftsskyldighet som följer av lag eller förordning.
Det är uttryckligen förbjudet att behandla personuppgifter i nationella kvalitetsregister för andra ändamål än de nämnda, dvs. för
1. att systematiskt och fortlöpande utveckla och säkra vårdens
kvalitet,
2. framställning av statistik,
SOU 2014:23 Informationshantering inom hälso- och sjukvården
105
3. forskning inom hälso- och sjukvården,
4. utlämnande till den som ska använda uppgifterna för något av
ändamålen i punkterna 1–3, och
5. fullgörande av någon annan uppgiftsskyldighet som följer av lag
eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen.
Det ska uppmärksammas att det finns ett undantag från ovanstående förbud att behandla personuppgifter för andra ändamål än de uppräknade, nämligen om den enskilde har lämnat ett särskilt och uttryckligt samtycke till en personuppgiftsbehandling för andra ändamål.
Personuppgiftsansvaret för den behandling av personuppgifter som föranleds av registrering i nationella kvalitetsregister kan sägas vara uppdelad på två nivåer, en lokal och en central nivå. För den personuppgiftsbehandling som vårdgivare utför när de samlar in och registrerar uppgifter i ett nationellt kvalitetsregister, eller annars behandlar registrerade personuppgifter, är respektive vårdgivare själv personuppgiftsansvarig. I detta personuppgiftsansvar ingår att personuppgifterna hanteras i enlighet med patientdatalagens krav, exempelvis att information har tillhandahållits patienten, att patienten inte motsatt sig registrering, att uppgifterna är korrekta m.m.
För den centrala behandlingen av inrapporterande uppgifter från samtliga medverkande vårdgivare ansvarar emellertid en eller flera utpekade personuppgiftsansvariga. Av patientdatalagen följer att endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister (7 kap. 7 § PDL). Det har fått till följd att det för varje nationellt kvalitetsregister har utsett en centralt personuppgiftsansvarig myndighet, i de flesta fall en landstingsstyrelse eller en sjukhusstyrelse om sjukhuset är att betrakta som en egen myndighet. Till det centrala ansvaret hör exempelvis ansvar för övergripande säkerhetsfrågor, för att felaktiga uppgifter rättas, för att utplåning kan göras på patientens begäran, för att gallring och arkivering görs i enlighet med lagstiftningen m.m.
Patientdatalagen medger att en vårdgivare får ha direktåtkomst till de uppgifter som vårdgivaren lämnat till ett regionalt eller nationellt kvalitetsregister. Direktåtkomsten kan användas av den
Informationshantering inom hälso- och sjukvården SOU 2014:23
106
inrapporterande vårdgivaren för att lokalt arbeta med att utveckla och säkra verksamhetens kvalitet.
Till skillnad mot vad som gäller för vårddokumentationen anges som huvudregel att uppgifter i kvalitetsregister ska gallras när de inte längre behövs för ändamålet kvalitetssäkring. Arkivmyndigheten kan dock genom beslut bestämma att uppgifterna ska bevaras under längre tid för historiska, statistiska eller vetenskapliga ändamål.
107
6 En ändamålsenlig informationshantering – iakttagelser och reflektioner
6.1 Bakgrund
När patientdatalagen (2008:355), förkortad PDL, trädde i kraft hade den varit efterlängtad i många år. Patientjournallagen (1985:562) och vårdregisterlagen (1998:544) som hade gällt fram till dess var omoderna och svåra att tillämpa på modern kommunikation. Regelverket för hälso- och sjukvårdens hantering av personuppgifter ansågs splittrad och otydlig.1Det var därför många som såg fram mot den nya lagen. Nu skulle det äntligen bli möjligt att initiera utvecklingsarbeten för en modern informationshantering där ändamålsenliga tekniska lösningar skulle användas för utbyte av information över vårdgivargränserna. Till viss del handlade det även om att sådant informationsutbyte som redan hade börjat utvecklats skulle bli laglig, exempelvis utbyte av uppgifter genom direktåtkomst mellan vårdgivare.
Samtidigt med att patientdatalagen trädde i kraft den 1 juli 2008 började även Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården att gälla. I föreskrifterna finns mer detaljerade krav på vårdgivarna avseende informationssäkerhet och journalföring. Under våren 2009 gavs Socialstyrelsens handbok till föreskrifterna ut på internet.
Såväl Socialstyrelsen, Datainspektionen och Sveriges Kommuner och Landsting (SKL) genomförde under första åren olika satsningar för att informera om den nya lagen; konferenser, utbildningsdagar genomfördes och olika former av informationsmaterial togs fram.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
108
Entusiasmen var stor från myndighetshåll, i kommuner och landsting, bland privata vårdgivare och bland leverantörer och itutvecklare. Patientdatalagen erbjöd nya möjligheter till informationsutbyte mellan olika vårdgivare och tydliggjorde hur vårdgivare måste arbeta med att tilldela behörigheter och kontrollera hur åtkomsten används. Lagen erbjöd dessutom nya möjligheter för patienterna att förfoga över hur åtkomsten till uppgifterna skulle få användas. Och gjorde det tillåtet för vårdgivarna att ge patienten själv elektronisk åtkomst till sin journal. En annan nyhet var att de nationella och regionala kvalitetsregistren blev reglerade i lag.
Sverige har kommit långt när det gäller användning av it-system som stöd i den dagliga verksamheten och för utveckling samt när det gäller säkerhet och behörighet. Staten och huvudmännen har gjort stora investeringar för att skapa goda grundförutsättningar för en mer ändamålsenlig informationshantering. Satsningar har gjorts och görs på exempelvis it-infrastruktur, säkerhetslösningar och för att införa en nationell informationsstruktur och ett nationellt fackspråk. Vidare håller man nu på att införa bl.a. nationell patientöversikt, sammanhållna journalsystem och elektroniska beslutsstöd inom hela vård- och omsorgssektorn.
Landstingen har arbetat med att införa it-stöd för vårddokumentation under många år och i dagsläget finns elektroniska journalsystem vid i princip alla sjukhus samt inom hela primärvården. It-kostnaderna i landstingen uppgick till uppskattningsvis 8 miljarder kronor 2012, vilket är 3 procent av den totala kostnaden för landstingens hela verksamhet. Antalet it-system inom hälso- och sjukvården är relativt stort. Utöver elektronisk journalhantering, där det i dag finns sex större system i Sverige, finns en mängd olika dokumentationssystem, t.ex. för läkemedelshantering, mödrahälsovård, operationsplanering, akutsjukvård och patientadministration.
Det finns alltså i stort en positiv utveckling när det gäller ehälsa. Men det finns också många utmaningar. Huvudmännen för vård och omsorg använder fortfarande många gamla system för informationshantering. System som inte är helt anpassade till de krav som måste ställas på modern informationshantering. Datainspektionen har t.ex. i sin tillsyn observerat att vårdgivarna har haft problem med att anpassa it-systemen till de krav som ställs patientdatalagen. Även Riksrevisionen har pekat på ett antal
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
109
utmaningar för hälso- och sjukvårdens informationshantering.2Vidare har i många olika sammanhang uppmärksammats att lagstiftningen upplevs hindra en önskad utveckling. Utredningen har även kunnat konstatera att det, på flera olika nivåer i hälso- och sjukvården, finns en relativt utbredd osäkerhet kring hur patientdatalagen ska tillämpas. Nya organisatoriska förutsättningar är ytterligare en faktor som har kommit att påverka möjligheterna till en ändamålsenlig informationshantering i hälso- och sjukvården.
6.1.1 Vårt uppdrag och våra utgångspunkter
Utredningen har som ett övergripande uppdrag att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten samt vilka hinder (juridiska, tekniska etc.) för en sådan informationshantering som finns i dag och i förekommande fall i vilka lagar dessa hinder finns.
Under utredningens arbete har det blivit tydligt att många faktorer måste samspela om hälso- och sjukvården ska få till stånd en informationshantering som bidrar till ännu bättre resultat för patienterna. Lagstiftningen spelar naturligtvis en viktig roll för att tillhandahålla möjligheter och ställa krav som är väl anpassade till de behov som finns för att patienten ska få en god och säker vård alldeles oavsett vilka vårdgivare patienten möter på sin resa genom hälso- och sjukvården. Andra grundläggande faktorer som i olika grad har direkt påverkan på förutsättningarna för en ändamålsenlig informationshantering är exempelvis hälso- och sjukvårdens organisatoriska strukturer, ledning och styrning, professionskulturer, arbetssätt, itutveckling och informatik. Utredningens utgångspunkt är att alla dessa faktorer måste beaktas när frågor om informationshantering analyseras.
I det följande redogör vi översiktligt för ett antal faktorer som utredningen bedömer som centrala för möjligheterna att skapa en ännu mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården.
2 Riksrevisionens rapport (RiR 2011:19) Rätt information vid rätt tillfälle inom vård och omsorg – samverkan utan verkan.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
110
6.2 Strukturförändringarna i vården påverkar behov och möjligheter till informationsutbyte
Hälso- och sjukvården har alltsedan patientdatalagen trädde i kraft genomgått stora strukturförändringar, varav en av de mest markanta är ökningen av andelen privata vårdgivare. Siffror från SKL visar att landstingens köp av vårdtjänster från privata leverantörer har ökat från 18 miljarder kronor till cirka 32 miljarder kronor under perioden 2006–2012. Vi har i tidigare avsnitt redovisat att det bara i Stockholms läns landsting finns, förutom offentliga vårdleverantörer, omkring 3 000 privata verksamheter som bedriver hälso- och sjukvård (inklusive företagare på nationella taxan och inom tandvården). Även om mångfalden av privata och offentliga vårdgivare skiljer sig åt i olika delar av landet pekar den sammantanga utvecklingen på att mångfalden ökar och att de privata vårdgivarna blir fler. Samtidigt är det, i allt väsentligt, kommuner och landsting som finansierar såväl de offentliga som de privata vårdgivarnas verksamhet. Tillsammans med det ökade antalet vårdgivare har även specialiseringen inom hälso- och sjukvården ökat.
Utvecklingen har medfört att det ofta är fler aktörer än tidigare inblandade i vården av samma patient. Det finns många exempel på detta och här kan bland annat nämnas den mångfald av vårdgivare i ambulanssjukvården som exempelvis finns i Stockholms läns landsting. Det är i dag inte ovanligt att den privata vårdgivare som står för insatserna i ambulansen assisteras av en akutbil med läkare eller sjuksköterskor från en annan privat vårdgivare. För patienter som är i behov av koordinerade insatser från primärvården och specialistvården är det i dag snarare regel än undantag att samarbetet inbegriper två eller fler självständiga vårdgivare. Bara i byggnaderna som utgör Danderyds sjukhus finns i dag, såvitt utredningen kunnat bedöma, åtminstone sex olika vårdgivare som samarbetar i vården av patienterna. Utvecklingen ser i stort likadan ut i den landstingsfinansierade och i den kommunalt finansierade hälso- och sjukvården. Även i kommunal hälso- och sjukvård har antalet vårdgivare som bedriver hälso- och sjukvård i särskilda boenden eller i hemsjukvården ökat. Inte sällan kan även två eller fler vårdgivare i kommunal hälso- och sjukvård behöva samarbeta tätt i vården av patienterna, exempelvis om en vårdgivare står för verksamheten under dagtid och en annan under kvällstid. Eftersom landstingen fortfarande är den aktör som står för läkarinsatserna i särskilda boenden och i hemsjukvården har patienter i den kommunala hälso- och sjukvården dessutom alltid
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
111
behov av insatser från en vårdgivare från den landstingsfinansierade hälso- och sjukvården.
Sammantaget har de organisatoriska förändringarna påverkan både på behoven av och möjligheterna till en ändmålsenlig informationshantering. I vården av enskilda patienter finns i dag ett grundläggande behov av att kunna utbyta information mellan två eller fler vårdgivare. Samtidigt är de rättsliga förutsättningarna för att utbyta information olika utformade beroende på om vården ges av flera eller endast av en vårdgivare. Möjligheterna att utbyta information är med den lagstiftning vi har i dag beroende av hur vården är organiserad. Samtidigt som det kommit nya möjligheter att göra nödvändig information tillgänglig i hälso- och sjukvården så innebär strukturförändringarna att förutsättningarna för nödvändigt informationsutbyte har blivit sämre. Rådande regelverk innebär att villkoren för en effektiv och säker informationshantering är starkt beroende av hur landstinget eller kommunen organiserar sig. Ett landsting eller en kommun med få privata vårdgivare i sitt offentligfinansierade system har i dag väsentligt bättre legala förutsättningar för en ändamålsenlig informationshantering än ett landsting eller en kommun med många privata utförare i den offentligt finansierade verksamheten.
Regelverkets organisatoriska fokus har inte endast påverkan på möjligheterna att hantera och utbyta information i den individinriktade patientvården, utan även på möjligheterna att säkra och utveckla kvaliteten i den hälso- och sjukvård som patienterna erbjuds. Inte sällan behöver dokumenterade personuppgifter om enskilda individer, diagnoser, åtgärder, bakgrunden till genomförda insatser, resultaten av dessa och patienters samt närståendes upplevelser av hälsorelaterad livskvalitet m.m. ligga till grund för ett ständigt förbättringsarbete. Dagens hälso- och sjukvård med patientrörlighet, valfrihet för individer, ökad mångfald av vårdgivare och en ökad specialisering ställer delvis nya krav på kvalitetssäkringen. Även den informationshanteringen behöver därför ta sin utgångspunkt i och följa patienten i dennes möten med kommunala, landstingsdrivna och privata vårdgivare under ett visst vårdåtagande eller vårdprocess.
Det finns mot denna bakgrund anledning att analysera hur det rättsliga regelverket kan utformas så att en ändamålsenlig informationshantering kan åstadkommas oavsett hälso- och sjukvårdens organisation och alldeles oberoende om den enskilde patienten får sitt hälso- och sjukvårdsbehov tillgodosett av en eller fler vårdgivare.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
112
6.3 Informatik och it-frågor
Det har under utredningens arbete blivit tydligt att såväl hälso- och sjukvården som socialtjänsten har behov av att utveckla och implementera ett nationellt fackspråk och en mer strukturerad dokumentation. Det är på många sätt en grundläggande förutsättning för ökad kvalitet och säkerhet samt möjligheter till jämförelser. I ett vidare perspektiv påverkar det även möjligheterna till en jämlik hälso- och sjukvård för alla, oavsett vilket landsting eller vilken kommun medborgaren bor i eller vilken vårdgivare medborgaren väljer för att få sitt behov av hälso- och sjukvård tillgodosett. Eftersom en strukturerad dokumentation enligt ett nationellt fackspråk på ett annat sätt än en informationshantering med mer fria ramar, kan bli kunskapsstyrande och mer direkt påverka arbetssätt och arbetsflöden i hälso- och sjukvården, kan det i viss mån även betraktas som en demokrati- och rättvisefråga.
Hälso- och sjukvårdens informationshantering handlar i dag om så mycket mer än att yrkesutövare i efterhand ska dokumentera sina bedömningar, ställningstaganden och åtgärder kring enskilda patienter. Genom en mer strukturerad journalföring kan hälso- och sjukvårdspersonalen i större utsträckning dokumentera i anslutning till hälso- och sjukvårdsinsatserna och då få stöd direkt i arbetsflödet. Förutom att en strukturerad dokumentation kan bidra till att det blir lättare att göra rätt, kan det även leda till en mer jämlik vård genom att det blir styrande för hur all personal ska agera och dokumentera i olika situationer.
Utredningen har under arbetet exempelvis besökt de amerikanska hälso- och sjukvårdsorganisationerna Kaiser Permanente och Intermountain Healthcare för att bland annat ta del av deras utvecklingsarbeten kring informationshantering och förbättringsarbete i hälso- och sjukvården. En av erfarenheterna från besöket var bland annat det målmedvetna arbetet som lagts ner just på att få informationshanteringen att stödja de centrala arbetsprocesserna i verksamheten. Intermountain Healthcare hade exempelvis infört strukturerad dokumentation med kopplade beslutsstöd för ett 30-tal olika processer i hälso- och sjukvården. För att ständigt utveckla arbetet och se till att den strukturerade dokumentationen hela tiden förändras och anpassas i takt med att ny kunskap genereras om vad som betraktas som hög kvalitet och säkerhet i verksamheten fanns även fastställda och implementerade organisatoriska strukturer för denna typ av kunskapsstyrning. Enligt utredningens bedömning finns
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
113
flera paralleller mellan dessa organisationers strävan efter att skapa en informationshantering som leder till bättre resultat för patienterna och den utveckling som vi har kunnat se även i Sverige.
En ändamålsenlig hantering av dokumenterade uppgifter kan enligt utredningen exempelvis leda till att olika former av anpassade beslutsstöd tas fram och används i den patientnära verksamheten. Beslutsstöd som exempelvis utifrån den enskilda patientens förutsättningar, tillsammans med inbyggda kunskapskällor, kan ge hälso- och sjukvårdspersonalen bättre bedömningsunderlag på ett säkrare och mer effektivt sätt än manuella journalgenomgångar. Informationshanteringen i hälso- och sjukvården blir då inte enbart fokuserad på att uppgifter dokumenteras, utan även hur de används för att skapa bästa möjliga nytta för patienten. Dessutom ökar möjligheterna till uppföljning för att utveckla och säkra kvaliteten i hälso- och sjukvården samt göra jämförelser över landet.
Vidare kan konstateras att informationshanteringen i hälso- och sjukvården i dag även handlar mycket om hur informationen presenteras för hälso- och sjukvårdspersonalen. Med en mer strukturerad dokumentation ökar sannolikt förutsättningarna för att utforma journalsystemens gränssnitt efter de individuella användarnas behov, så att den enskilde yrkesutövararen snabbt och säkert får tillgång till de uppgifter som är nödvändiga för arbetets utförande. Förutom att det kan bidra till en ökad kvalitet och effektivitet i hälso- och sjukvården medför det även att patienternas behov av skydd för den personliga integriteten tillvaratas, genom att uppgifter som användaren inte har behov av inte heller exponeras i lika stor utsträckning som i dag.
Denna utveckling mot en mer strukturerad dokumentation enligt ett nationellt fackspråk kan därmed även ha en avgörande påverkan på möjligheterna att utveckla ett ändamålsenligt system för tilldelning av behörighet för åtkomst, så att varje användare i systemen får en individuell behörighet som är anpassad och begränsad till den åtkomst som behövs för att utföra arbetet.
I sammanhanget kan även nämnas att Myndigheten för vårdanalys har genomfört en studie som identifierar de huvudsakliga utvecklingsområden för en mer effektiv användning av läkares tid och kompetens inom hälso- och sjukvården i Sverige.3 Ett av de utvecklingsområden som identifierat är att it-stöden måste förbättras. Läkare arbetar i it-system som inte upplevs som användar-
3 Myndighetens för vårdanalys rapport (2013:9); Ur led är tiden. Fyra utvecklingsområden för en mer effektiv användning av läkares tid och kompetens.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
114
vänliga. Konkreta brister som nämns i rapporten är dålig överskådlighet, dålig läsbarhet, osäkerhet om innebörden av menyer och flikar, avsaknad av sökfunktioner, osäkerhet om begrepp och termer och dålig intuitivitet. Informationen i systemen är inte strukturerade och presenterade på ett sätt som underlättar arbetet. Av rapporten framkommer även att läkare använder flera olika itsystem, men att kompabiliteten mellan systemen upplevs som bristfällig. Flera parallella system medför ständiga in- och utloggningar. Information överförs inte alltid automatiskt mellan olika system, vilket leder till konsekvenser ut effektivitets- arbetsmiljö- och patientsäkerhetsperspektiv.
Dessa iakttagelser bekräftas av rapporten Störande eller stödjande.4I rapporten presenteras tio punkter som behöver prioriteras i arbetet med att utveckla eHälsosystemens användbarhet. Av prioriteringsområdena kan t.ex. nämnas att it-systemen måste förvaltas, utvärderas och tillsynas och kontinuerligt optimeras i förhållande till användbarheten i den verksamhet som ska stödjas.
Utredningen har även identifierat ett behov av ökad kunskap om lagstiftningen i samband med framtagandet av journalsystem och enskilda tekniska funktioner. Genom våra kontakter med företrädare för hälso- och sjukvården har vi kunnat ta del av exempel där it-stöd inte har utformats på ett ändamålsenligt sätt. Det finns med avseende på detta både exempel på när it-stöden inte gör det möjligt för användarna att bedriva sitt arbete i enlighet med de krav som ställs upp i integritetsskyddslagstiftningen och exempel där kraven i lagstiftningen har implementerats på ett olämpligt eller alltför långtgående sätt. Eftersom journalsystemen ofta är det gränssnitt där hälso- och sjukvårdspersonalen möter den tillämpade juridiken, blir effekterna av olämplig eller felaktig implementering extra stora. Det kan enligt utredningens uppfattning inte uteslutas att brister i it-stödens utformning i vissa delar kan spilla över på hälso- och sjukvårdspersonalens frustration över vad de upplever som rättsliga hinder.
Sammantaget finns mot ovanstående bakgrund anledning att analysera vilka åtgärder, i form av förändrad lagstiftning och andra insatser, som ytterligare kan stimulera en önskad utveckling i frågor som relaterar till informatik och it.
4 Störande eller stödjande. eHälsosystemens användbarhet 2013. Slutrapport från projektet eHälsosystemens användbarhet 2013.
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
115
6.4 Patientdatalagen och tillämpningsproblemen
Informationshanteringen inom hälso- och sjukvården ska vara organiserad så att den tillgodoses patientsäkerhet, god kvalitet samt främjar kostnadseffektivitet. Personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem. Det är så patientdatalagens syfte är uttryckt (1 kap. 2 § PDL).
Patientdatalagen ska alltså främja kvalitet och patientsäkerhet i vid bemärkelse. God och säker vård innefattar såväl professionella vårdinsatser som säker hantering av de uppgifter som hör samman med hälso- och sjukvårdsinsatserna. Säker hantering av information innebär således både att uppgifterna måste finnas tillgängliga när det behövs och att de måste skyddas från obehörigas åtkomst.
En tillgänglighetsreform som inte fullt slagit igenom
Patientdatalagen ersatte patientjournallagen och vårdregisterlagen. Patientjournallagen reglerade journalföringen och vårdregisterlagen reglerade automatiserad behandling av personuppgifter i s.k. vårdregister. Den nya lagen har bland annat tillfört nya möjligheter till informationsutbyte mellan vårdgivare samt preciserat de integritetsskyddkrav som ska gälla vid hantering av så känsliga personuppgifter som det är fråga om inom hälso- och sjukvården. I patientdatalagen finns dock inga uttryckliga krav på vårdgivarna att se till att vårddokumentationen är tillgänglig och användbar eller att informationssystemen som används i verksamheten ska vara ändamålsenliga. De regler som är till för att skydda uppgifterna från obehörig åtkomst blev genom den nya lagen betonade, medan lagens övriga syften inte uttrycktes genom materiella regler. Det här kan enligt utredningens bedömning vara en av orsakerna till att lagen inte har uppfattats som den tillgänglighetsreform som den är tänkt att vara.
Patientdatalagen syftar till att främja både patientsäkerhet och integritet vid behandling av personuppgifter. Detta kommer för det mesta inte fram i den allmänna debatten. Det är ofta de bestämmelser i lagen som syftar till att skydda uppgifterna från obehörig spridning som blir omdiskuterade eller föremål för frågor om tillämpning. Lagens syfte att säkerställa att rätt uppgifter också
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
116
finns tillgängliga för behöriga användare har tenderat att hamna i skymundan bakom den nog så viktiga integritetsfrågan.
För att en lagstiftning ska få avsedd effekt på ett sådant sätt att lagstiftningens intentioner förverkligas är det, enligt vår bedömning, viktigt att lagstiftningens olika värden är uppenbara för dem som ska tillämpa lagstiftningen. Det kan därför finnas skäl att överväga om regleringen av hälso- och sjukvårdens personuppgiftsbehandling på ett tillräckligt tydligt sätt lyfter fram vikten av att den som arbetar i hälso- och sjukvården har tillgång till den information som behövs för att ge patienten bästa möjliga vård och omhändertagande och hur det kan göras utan att för den skull låta skyddet för den personliga integriteten hamna i skymundan.
Tillämpningsproblem
Allt sedan patientdatalagens ikraftträdande har det även pågått en allmän diskussion huruvida lagen är ändamålsenlig med hänsyn till syftet med lagen och förutsättningarna i hälso- och sjukvården. Av de frågor från yrkesverksamma och representanter för vårdgivare som kommer in till exempelvis Socialstyrelsen, Datainspektionen, regeringskansliet och Sveriges Kommuner och Landsting framgår att det finns en osäkerhet om hur lagen ska tillämpas. Även utredningen har genom hela arbetets gång i samband med möten, konferenser och studiebesök bevittnat att det finns både en osäkerhet kring lagens tillämpning, men även ett missnöje med hur lagen i olika avseenden är utformad. Vårdgivare har även framfört att de saknat stöd vid tolkning av lagen vilket skapat problem i tillämpningen. Detta lyser också igenom i den debatt om lagen som förts av hälso- och sjukvårdspersonal bl.a. i Läkartidningen.5
Det har även i debattartiklar i dagspress höjts röster för att patientdatalagen inte är ändamålsenlig och bör ändras.6Företrädare för Sveriges Yngre Läkares Förening, SYLF, har även i en debattartikel uttalat att föreningen anser att patientdatalagen är för strikt utformad och riskerar att försämra patientsäkerheten.7Vidare har representanter för Läkarförbundets centralstyrelse och ordföranden i SYLF m.fl. i Dagens Medicin framfört att patient-
5 Flera artiklar i Läkartidningen, bl.a. i nr 15 2013 Patientdatalagen ger ansvariga tjänstemän
huvudbry.
6 Exempelvis Svenska Dagbladet, 2012-12-30, Läkare förbjuds att läsa journaler. 7 Svenska Dagbladet, 2012-10-25, Patientdatalagen är alltför strikt formad.
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
117
datalagen skapar en onödig osäkerhet bland vårdpersonal, patienter och allmänhet och av den anledningen borde moderniseras.8
Att det finns oklarheter i tillämpningen av patientdatalagen har även uppmärksammats i en rapport från 2013 framtagen av Svensk sjuksköterskeförening, Svenska Läkaresällskapet, Sveriges Läkarförbund, Vårdförbundet och Kommunal.9 Det behövs rättsligt stöd för att kunna hantera och utbyta information på ett enkelt, säkert och etiskt försvarbart sätt. I dag finns det enligt rapporten oklarheter ute i verksamheterna om vad som är juridiskt möjligt. Användare av it-system uppfattar att lagstiftningen förhindrar informationsdelning, uppföljning, utvärdering och kvalitetssäkring av den egna verksamheten.
Även Riksrevisionen konstaterade i sin rapport Rätt information
vid rätt tillfälle inom vård och omsorg – samverkan utan verkan? att
vägledningen för att tillämpa lagen har varit otillräcklig.
I rapporten Ur led är tiden har Myndigheten för vårdanalys identifierat att värdet av viss patientrelaterad administration kan ifrågasättas i relation till arbetsinsatsen.11Kraven på patientrelaterad dokumentation upplevs ha ökat, särskilt vad gäller patientjournalens innehåll. Särskilt kravet på signering av journalanteckningar ifrågasätts. Det nämns att flera landstingsföreträdare tvivlar på om signeringskravet verkligen bidrar till en högre patientsäkerhet eftersom de är tveksamma till om läkare i detalj går igenom sina anteckningar vid signering.
Utredningens delredovisning enligt direktiv 2013:43
Utredningens övergripande uppdrag är att lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Det handlar bland annat om se till att yrkesutövare inom båda områdena, i rätt tid får tillgång till den information om den enskilde som behövs för att kunna ge god vård och omsorg och för att kunna följa upp kvaliteten i verksamheten.
Bland annat mot bakgrund av vad som redovisas ovan om osäkerheten i tillämpningen har utredningen fått i uppdrag att
8 Dagens Medicin, 2012-10-25, Modernisera patientdatalagen och tillämpa den bättre. 9Störande eller stöjdande? Om eHälsosystemens användbarhet 2013. 10 RiR 2011:9. 11 Myndighetens för vårdanalys rapport (2013:9); Ur led är tiden. Fyra utvecklingsområden för en mer effektiv användning av läkares tid och kompetens.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
118
analysera vari tillämpningsproblemen ligger och hur dessa ska lösas. I utredningsdirektivet anför regeringen bland annat att det kan finnas behov av att förtydliga eller förändra relevant lagstiftning. Det kan också behöva utredas vilka behov som finns av exempelvis information, utbildning eller kompetenshöjande insatser av olika slag om vad den berörda lagstiftningen innebär samt överväga andra åtgärder än lagändringar.
Vidare fick utredningen i tilläggsdirektivet 2013:43 regeringens uppdrag att i en delredovisning beskriva de möjligheter som befintlig lagstiftning ger till en ändamålsenlig informationshantering. Utredningen överlämnade delredovisningen den 31 december 2013 i form av en omfattande powerpointpresentation med frågor och svar samt tre utförligare promemorior. I stället för en traditionell och mer teoretisk genomgång av gällande lagstiftning valde utredningen således att utforma delredovisningen som ett praktiskt verktyg anpassat för en verksamhetsnära nivå. Förhoppningen är att delredovisningen kan bidra till att de som är verksamma inom hälso- och sjukvård och socialtjänst får en ökad kunskap om hur personuppgifter kan användas och hanteras i syfte att bidra till god vård och omsorg.
Sammantaget utgör delredovisningen en del i utredningens uppdrag att analysera tillämpningsproblemen och lämna förslag till hur de kan lösas samt vilka behov av kunskapshöjande insatser som bedöms finnas.
Ytterligare behov av analys
Utredningen anser att patientdatalagen erbjuder många möjligheter att arbeta på ett ändamålsenligt sätt med vårddokumentation. Samtidigt visar såväl brister i efterlevnaden av lagstiftningen som vårdgivares och hälso- och sjukvårdspersonalens osäkerhet kring lagstiftningens tillämpning på att det finns skäl att ytterligare analysera om lagstiftningen i tillräckligt stor utsträckning stimulerar en önskad utveckling. De finns därför anledning att överväga behoven av att modernisera regleringen av informationshanteringen i hälso- och sjukvården och formulera regelverket på ett sådant sätt att det både blir mer pedagogiskt, dvs. enklare att tillämpa, och mer tydligt kring vad som ska uppnås.
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
119
6.5 Bristande efterlevnad av regelverket
Av tillsynsmyndigheternas granskningar har det framkommit att det finns brister i hur patientdatalagen implementerats och följts, framför allt avseende lagens integritetsskyddande bestämmelser.
Datainspektionen har allt sedan patientdatalagen trädde i kraft haft en aktiv tillsyn av hur lagen implementerats i hälso- och sjukvården. I denna tillsyn har Datainspektionen funnit en rad brister som gäller patienternas möjlighet att spärra information, hur patienterna informerats om vad sammanhållen journalföring innebär samt att vårdpersonalen har fått alltför omfattande behörighet att ta del av uppgifter.12Det har vidare vid tillsynen framkommit att vårdgivarna har stora problem att anpassa sina it-system till patientdatalagen. Brister har även funnits bland annat vad gäller efterlevnaden av bestämmelser om personuppgiftsbehandling i nationella och regionala kvalitetsregister.
Datainspektionen blev exempelvis sommaren 2013 klar med en uppföljande nationell kontroll av vårdgivare och hur dessa kan spärra känsliga patientuppgifter när en patient begär det. Granskningen visade att vårdgivare har börjat satsa ordentligt på att införa de möjligheter till spärrar som måste finnas enligt patientdatalagen. Det var en förbättring jämfört med Datainspektionens granskning av spärrhanteringen år 2012. Vid den tidpunkten visade tillsynen att ingen av landstingen uppfyllde sina skyldigheter fullt ut mot patienterna.
Ett annat exempel är Datainspektionens granskning av behörighetstilldelningen på Karolinska Universitetssjukhuset i Stockholm. Granskningen visade enligt inspektionens bedömning att personalen hade för vid behörighet att komma åt patientuppgifter.13
Socialstyrelsens tillsyn genomförde 2011 tillsyn av sex av landets universitetssjukhus avseende informationssäkerheten. Vid samtliga sjukhus fanns brister som hade kunnat leda till att patienter kommer till skada. Exempelvis framkom att ett journalsystem hade räknat fram fel dos medicin. Vidare att personalen inte hade kunnat läsa eller skriva in uppgifter i journalen på grund av driftstopp. Ett annat exempel på brist var journalsystem som inte klarat att snabbt ge en översikt av de uppgifter som krävs för att göra en bedömning av kritiskt sjuka
12 Datainspektionens beslut 2011-06-01, dnr 461-2010 och ett antal beslut på grund av Datainspektionens nationella projekt om spärrar i IT-system inom hälso- och sjukvården 2012 med uppföljning 2013 m.m. 13 Datainspektionens beslut 2013-08-26, dnr. 920-2012.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
120
patienter. Resultatet pekade på brister i driftsäkerheten beroende på kvalitetsproblem i systemutvecklingen, bristande kontinuitetsplaner samt bristande styrning av informationssäkerhetsarbetet.14
Samtliga kommuner och landsting samt sjukvårdsregioner i landet blev 2010–2012 granskade i Socialstyrelsens nationella tillsyn av vård och omsorg om äldre. Resultatet av denna granskning presenteras i en slutrapport från Inspektionens för vård och omsorg 2013.15 I rapporten konstateras att äldre personer med stora, sammansatta behov av vård och omsorg är ofta omgivna av en mängd olika aktörer och personal. Tillsynen visade att det var ovanligt att mottagande verksamheter i öppenvården och inom äldreomsorgen fick uppgifter om läkemedel eller annan viktig information om den äldre senast samma dag som han eller hon skrivs ut från sjukhuset. Det visade sig även att det fanns risker för brister i informationsöverföring och patientsäkerhet vid utskrivning inför kvällar eller helger.
I rapporten konstateras att det ställs stora krav på personalen att informera och samordna insatserna när det finns flera aktörer med olika ansvar och uppdrag runt den äldre, särskilt i de delar av landet som har många privata utförare av vård och omsorg. Socialstyrelsen konstaterar att det som krävs för att säkerställa kvaliteten på de insatser som den äldre behöver, och för att förebygga att äldre drabbas av vårdskador i hälso- och sjukvården, är fungerande system för informationsöverföring och vårdplanering där olika yrkesgrupper i kommunen, öppenvården och den slutna vården samverkar i samråd med den äldre själv.
Dessa olika exempel från tillsynsmyndigheterna visar enligt utredningens bedömning att vårdgivarna måste ta ett större ansvar för informationshanteringen. Konsekvensen av de brister som Datainspektionen och Inspektionen för vård och omsorg iakttagit (och tidigare Socialstyrelsen) är patientsäkerhetsrisker. För att kunna erbjuda en god och säker vård behöver hanteringen av personuppgifter och informationssystemens ändamålsenlighet vara införlivat i det kontinuerliga och systematiska arbetet med att förbättra kvaliteten i vården. Mot den bakgrunden finns det enligt utredningens bedömning ett behov av en ökad ledning och styrning från vårdgivares sida i dessa frågor. Det finns därför skäl att överväga om lagstiftningen på ett tydligare sätt än i dag behöver
14Tillsynsrapport 2012, Socialstyrelsen. 15 Äldre efterfråga kontinuitet, Nationell tillsyn av vård och omsorg av äldre, Slutrapport 2013.
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
121
uttrycka det ansvar vårdgivarna har för en säker och ändamålsenlig hantering av personuppgifter inom hälso- och sjukvården.
6.6 Kunskap, kompetens, ledning och styrning
Utredningen uppfattar att det, på motsvarande sätt som är fallet för socialtjänsten, finns ett behov av ökad kunskap och kompetensutveckling inom hälso- och sjukvården när det gäller förutsättningarna för att hantera och utbyta information. Det kan handla om allt ifrån en osäkerhet på vad som är tillåtet i ett enskilt fall till en mer utbredd okunskap om vilka tekniska lösningar för att t.ex. utbyta information mellan olika aktörer som står till buds och är tillåtna enligt lagstiftningen.
Mycket av detta handlar ytterst, som vi ser det, om en mer aktiv och målmedveten ledning och styrning i frågorna. Vi bedömer därför att behovet av kompetensutveckling och kunskapsstyrning på detta område finns såväl på den mer verksamhetsnära nivån som på de olika ledningsnivåerna i hälso- och sjukvården. Många gånger handlar det om att i organisationen bygga upp en struktur som på olika sätt stödjer ett ändamålsenligt arbetssätt vad gäller dokumentation och informationshantering. Inte minst behöver det stödet finnas i samband med framtagandet och utvecklingen av de verksamhetssystem som ska användas i vården.
Samtidigt som vi ser ett behov av ökad kunskap och en mer aktiv ledning och styrning kan vi även konstatera att det pågår en önskvärd utveckling på olika områden. Det är viktigt att denna utveckling fortsätter.
Det finns heller ingen anledning att ifrågasätta att det i hälso- och sjukvården finns respekt för och insikt om att de personuppgifter som hanteras många gånger är integritetskänsliga och behöver hanteras varsamt och i enlighet med regler om sekretess och tystnadsplikt. Vi bedömer att detta medvetande är högt och att det är en självklar och naturlig del av verksamhetskulturen att värna den enskildes intressen. Kunskapsbehovet finns snarare i den mer aktiva och verksamhetsnära tillämpningen av lagstiftningen. Inte minst för att verksamheten ska kunna införa ändamålsenliga it-stöd behövs en ökad kunskap om hur uppgifter om enskilda får hanteras i en verksamhet och utbytas med andra verksamheter.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
122
6.7 Sammanfattande reflektioner
Utredningen bedömer att de problem och utmaningar som lyfts fram i det föregående är mångfacetterade och kan behöva lösas genom flera olika insatser. Även om det finns mycket som fungerar bra kan utredningen därför konstatera att det finns ett antal faktorer som har stor betydelse för målsättningen att skapa en ännu mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården.
De faktorer vi sammanfattningsvis vill lyfta fram är följande.
• Behovet av att införa ett nationellt fackspråk och en informationsstruktur som stödjer ett evidensbaserat arbete.
• Behovet av att reducera de negativa konsekvenserna av regelverkets organisatoriska fokus.
• Behovet av att de rättsliga förutsättningarna för samverkan kring enskilda patienter ligger i linje med de krav på samverkan som finns i lagstiftningen och de behov som finns för patienten.
• Behovet av att de rättsliga förutsättningarna för att säkra och utveckla hälso- och sjukvårdens kvalitet ligger i linje med de krav som finns i lagstiftningen.
• Behovet av en mer pedagogisk lagstiftning, dvs. som är lättare att tillämpa.
• Behovet av en lagstiftning som tydligare uttrycker de bakomliggande intentionerna och inte bara förhindrar det oönskade, utan även stimulerar det önskade.
• Behovet av ökad kunskap, ledning och styrning ifråga om möjligheterna att hantera och utbyta information.
• Behovet av att det finns rättsliga och andra förutsättningar för att göra patienter informerade och delaktiga i sin hälsa och sin hälso- och sjukvård.
123
7 En ny lag: hälso- och sjukvårdsdatalag
7.1 Bakgrund
Den nuvarande regleringen av personuppgiftsbehandlingen inom hälso- och sjukvården finns framför allt i patientdatalagen (2008:355), förkortad PDL. Dessutom gäller i vissa delar även bestämmelserna i personuppgiftslagen (1998:204), förkortad PUL. Utöver det finns närmare bestämmelser om hälso- och sjukvårdens personuppgiftsbehandling i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.
Genom patientdatalagens ikraftträdande den 1 juli 2008 upphävdes den tidigare patientjournallagen (1985:562) och vårdregisterlagen (1998:544). Patientdatareformen innebar bland annat att materiella bestämmelser om journalföring samlades tillsammans med bestämmelser om personuppgiftbehandling och åtkomst till personuppgifter i elektroniska journalsystem m.m. Medan bestämmelserna om journalföringen i allt väsentligt fördes över oförändrade från 1985-års patientjournallag utformades till stora delar helt nya bestämmelser om behandlingen av personuppgifter. Den kanske största nyheten som infördes var dock möjligheten för olika vårdgivare att utbyta patientuppgifter med varandra genom direktåtkomst, s.k. sammanhållen journalföring och det särskilda regelverket om nationella och regionala kvalitetsregister. Dessutom infördes ett antal grundläggande integritetsskyddsbestämmelser som tydliggör vad som gäller ifråga om inre sekretess, behörighetsstyrning och åtkomstkontroll. Tillsammans med nya möjligheter för vårdgivare tydliggjordes därmed vilka krav som generellt bör gälla vid behandling av sådan integritetskänslig information som det är fråga om inom hälso- och sjukvården.
En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23
124
7.1.1 Kort om våra utgångspunkter för denna typ av lagstiftning
I de regelverk som styr hur personuppgifter får användas och utbytas finns ett antal olika intressen som behöver balanseras och så långt möjligt tillgodoses. Vår generella utgångspunkt är att regelverkets övergripande målsättning bör vara att bidra till ännu bättre resultat för patienter i hälso- och sjukvården. Det handlar om att informationshanteringen ska medverka till ökad kvalitet och patientsäkerhet och till bättre resultat samt till att invånarna får en mer jämlik hälso- och sjukvård.
Både för individens del och för verksamheten är det nödvändigt att personuppgifter används och i övrigt hanteras på ett sådant sätt att behovet av personlig integritet tillgodoses. Det handlar om självklara krav som t.ex. att uppgifter skyddas och inte kan kommas åt av obehöriga, att det bara är den personal som behöver använda uppgifterna i sitt arbete som tar del av dem, att det finns ett systematiskt arbetssätt för att upptäcka och beivra obehörig åtkomst, att uppgifter om enskilda inte kan användas på ett otillbörligt sätt och att uppgifter inte kan hanteras på omotiverat sätt med hänsyn till den risk för integritetsintrång och den nytta som den aktuella hanteringen för med sig. En grundläggande utgångspunkt är därför att en lagstiftning av detta slag ska ge uttryck för en balans och en proportionalitetsbedömning där risken vid personuppgiftsbehandlingen alltid vägs mot nyttan med densamma.
Generellt bedömer vi att den enskildes intresse av en god och säker vård och ett välfungerande integritetsskydd inte står i någon motsats till de intressen för kvalitet, tillgänglighet, förtroende och effektivitet m.m. som kan finnas i verksamheten och i samhället i övrigt. På en övergripande nivå anser vi därför att ett starkt integritetsskydd är en förutsättning för en ändamålsenlig informationshantering inom hälso- och sjukvården. Det skulle på många sätt vara en farlig utveckling om den enskilde kände en sådan otrygghet i hur uppgifter hanterades att han eller hon skulle välja att hålla inne med information som kunde vara viktig för möjligheterna att tillgodose den enskildes behov på bästa sätt. Med det sagt vill vi understryka att utredningen inte uppfattat några signaler om att det skulle finnas något tillitsproblem när det gäller hälso- och sjukvårdens informationshantering. Tvärtom har våra kontakter med både enskilda, patientorganisationer och verksam-
SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag
125
heterna själva stärkt bilden av att förtroendet för hälso- och sjukvården och det sätt information hanteras på är högt.
För att återkoppla till inledningen i detta avsnitt vill vi betona att vår utgångspunkt är att lagstiftningen inom detta område ska stödja en informationshantering som främjar god kvalitet, effektivitet och ett starkt integritetsskydd. Det ställer inte endast krav på hur intentionerna bakom lagstiftningen motiveras, utan även hur enskilda paragrafer utformas och formuleras. Vid utredningens kontakter med företrädare för hälso- och sjukvården har det tydligt framkommit att yrkesutövare på olika nivåer har svårt att läsa lagens bestämmelser och förstå den avvägning mellan olika intressen som ligger bakom bestämmelsen. Vi har försökt dra lärdom av detta när vi utformat våra förslag om förändrad lagstiftning.
Samtidigt är det viktigt att understryka att en registerlagstiftning, som detta är fråga om, delvis behöver anpassas och förhålla sig till vad som gäller enligt andra författningar. Inte minst personuppgiftslagen och dess definitioner och terminologi kommer att vara styrande för hur motsvarande begrepp används och formuleras i lagen. Det innebär att språket i vissa delar kan bli mer byråkratiskt och svårtillgängligt än vad som egentligen är önskvärt i en lagstiftning som i stor utsträckning ska tillämpas av de som primärt inte är skolade i personuppgiftslagstiftningen. Utredningen bedömer att det bland annat av det skälet är viktigt att denna typ av lagstiftning åtföljs av ett mer konkret och verksamhetsnära tillämpningsstöd.
7.1.2 Vårt uppdrag m.m.
I utredningens uppdrag ingår bland annat att identifiera nödvändiga förutsättningar för en mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården. Av direktiven framgår även att utredaren har möjlighet att ta upp frågor som inte nämns i direktiven men som enligt utredaren behöver analyseras eller regleras för att uppdraget ska utföras på ett tillfredsställande sätt.
De snart sex år som förflutit sedan patientdatalagen trädde ikraft har bland annat kännetecknats av brister i implementeringen av lagstiftningen och en osäkerhet om lagens tillämpning i olika delar. Tillsynsmyndigheternas beslut har satt ljuset på brister i frågor om exempelvis fullgörandet av informationsplikter gentemot patienter, behörighetsstyrning och patientens spärrmöjligheter
En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23
126
m.m. Även regelverkets avsaknad av särskilda bestämmelser för vad som ska gälla för personer som saknar förmåga att själv ta ställning till frågor om informationsutbyten och behandling av personuppgifter, har varit i fokus de senaste åren. Från vårdgivare och hälso- och sjukvårdspersonal har framhållits att lagen i vissa delar är svårtillgänglig och det finns en osäkerhet och otrygghet i hur lagen närmare är tänkt att tillämpas. Det har bland annat framkommit att det finns en osäkerhet i frågor om när personal får ta del av uppgifter om patienter antingen för att de på något sätt är delaktiga i patientens vård eller för att de har ett behov av att följa upp och kvalitetssäkra genomförda insatser.
Vidare har den strukturomvandling som ägt rum i hälso- och sjukvården sedan patientdatalagens ikraftträdande medfört nya krav på informationshanteringen i hälso- och sjukvården. Det kan därmed även ur detta perspektiv finnas anledning att analysera om den nuvarande lagstiftningen är ändamålsenligt utformad för att möta den komplexa verksamhet som hälso- och sjukvården utgör och där den organisatoriska kartan är ständigt föränderlig.
Mot bakgrund av utredningens uppdrag lämnas i detta betänkande ett större antal förslag som i allt väsentligt syftar till att öka förutsättningarna för en mer ändamålsenlig och sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Det handlar bland annat om förslag som syftar till att minska tillämpningsproblemen, reducera de negativa konsekvenserna av regelverkets organisatoriska fokus, stärka integritetsskyddet och tydliggöra ansvaret för att rätt information finns på rätt plats i rätt tid. De många förslagen medförde att det blev nödvändigt för utredningen att analysera om våra samlade förslag till lagstiftningsförändringar kunde införlivas i patientdatalagen eller om det måste bedömas som nödvändigt med en helt ny lagstiftning för personuppgiftsbehandlingen på hälso- och sjukvårdens område.
7.2 Våra överväganden och förslag
7.2.1 En ny lag ersätter patientdatalagen
Vårt förslag: Patientdatalagen ska upphävas och ersättas av en
ny lag; hälso- och sjukvårdsdatalagen. Bestämmelser i patientdatalagen som inte påverkas av utredningens förslag ska överföras till den nya lagen.
SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag
127
Följdändringar måste göras i flera andra lagar med anledning av att patientdatalagen upphävs och ersätts av den nya lagen.
Utredningens förslag i sin helhet kommer att ha en omfattande påverkan på innehållet i den nu gällande patientdatalagen. Under arbetets gång har det blivit mer och mer uppenbart att våra förslag kommer att medföra så många förändringar att det skulle inverka på den befintliga strukturen i patientdatalagen och göra den svåröverskådlig. Även om utredningen inte till en början haft för avsikt att föreslå en ny reglering för personuppgiftsbehandlingen i hälso- och sjukvården har det således i takt med arbetets framskridande kommit att bli allt tydligare att det behövs. Vi bedömer därför att patientdatalagen, framför allt på grund av konsekvenserna av utredningens samlade förslag, bör upphävas i stället för att omarbetas. Det är inte här möjligt att närmare redogöra för de förslag som utredningen lämnar och som bedöms medföra ett behov av en ny lagstiftning, utan vi får hänvisa till vad som redovisas längre fram i detta betänkande.
Lämpligheten i att föreslå en ny lag i ett skede när patientdatalagen fortfarande kan betraktas som förhållandevis ny kan naturligtvis ifrågasättas. Mot bakgrund av den kritik som patientdatalagen utsatts för genom åren gör utredningen dock bedömningen att en ny lagstiftning kan medföra positiva effekter på en ändamålsenlig och integritetsskyddande personuppgiftbehandling. Det kan dessutom konstateras att hälso- och sjukvården har varit föremål för sådana omfattande strukturella och organisatoriska förändringar sedan patientdatalagen trädde ikraft 1 juli 2008 att även denna omständighet utgör ett skäl för att se över lagstiftningens ändamålsenlighet. Det primära skälet är dock att de förslag utredningen lämnar svårligen kan sorteras in i patientdatalagen.
Vi föreslår därför en ny lag för vårdgivares behandling av personuppgifter i hälso- och sjukvården; hälso- och sjukvårdsdatalag. I sammanhanget kan nämnas att utredningen även föreslår en ny lag för personuppgiftsbehandlingen på socialtjänstens område; socialtjänstdatalag. Vi anser att det är en fördel om de lagar som reglerar behandlingen av personuppgifter i hälso- och sjukvården respektive socialtjänsten liknar varandra så mycket som möjligt avseende struktur och innehåll. Det underlättar tillämp-
En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23
128
ningen och förståelsen för lagstiftningens bakomliggande ändamål, både för de registrerade och de som har att tillämpa lagstiftningen.
Utredningen lämnar också förslag för att underlätta informationsutbytet mellan hälso- och sjukvård och socialtjänst. Förutsättningarna att harmonisera regleringen av personuppgiftsbehandlingen inom och mellan hälso- och sjukvården och socialtjänsten förbättras av att vi lämnar förslag till en ny lagstiftning för båda områdena samtidigt. Vi föreslår att bestämmelser om informationshantering vid vård av personer med sammansatta behov av hälso- och sjukvård och socialtjänst ska regleras i ett eget kapitel i den nya lagen.
Vidare innebär utredningens förslag att många bestämmelser bör överföras materiellt oförändrade från patientdatalagen till hälso- och sjukvårdsdatalagen. Samtidigt ger detta ett tillfälle att överväga och vid behov föreslå förenklad utformning och språkliga justeringar i paragraferna.
Utredningen föreslår att den nya lagen ska ha namnet hälso- och sjukvårdsdatalagen. Vi anser att det namnet beskriver lagens tillämpningsområde på ett tydligt sätt samtidigt som det är jämförligt med namnet på den lag som reglerar personuppgiftshanteringen inom socialtjänsten; socialtjänstdatalagen.
7.2.2 Lagens innehåll, tillämpningsområde och förhållande till personuppgiftslagen
Vårt förslag: Hälso- och sjukvårdsdatalagen ska inledas med en
bestämmelse som översiktligt beskriver vilka områden som lagen reglerar och en innehållsförteckning. Lagens tillämpningsområde ska regleras i en egen bestämmelse. I lagen ska finnas en bestämmelse som reglerar förhållandet till personuppgiftslagen. Bestämmelserna om tillämpningsområdet och förhållandet till personuppgiftslagen överförs i princip oförändrade från patientdatalagen. I hälso- och sjukvårdsdatalagen ska dock uttryckligen anges att lagen i tillämpliga delar även gäller för en huvudmans behandling av personuppgifter i hälso- och sjukvården.
SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag
129
Lagens innehåll
Förslaget till hälso- och sjukvårdsdatalag omfattar bestämmelser om olika aspekter av personuppgiftsbehandling inom hälso- och sjukvården. Det innebär att det finns bestämmelser om personuppgiftsansvar, olika typer av direktåtkomst, åtkomstkontroll, journalföring, nationella kvalitetsregister och rättigheter för den enskilde m.m. I vårt förslag är lagen indelad i 13 kapitel. För att göra lagen mer överskådlig och lättare att använda bör den inledas med en översiktlig beskrivning av innehållet. Av den anledningen föreslår vi att det i lagens inledning tas in en innehållsförteckning.
Beskrivningen av lagens innehåll är av allmän karaktär och ska läsas som en enkel anvisning om vilka områden som lagen omfattar. Det kan vara informativt för t.ex. yrkesutövare att redan i inledningen få veta att det i denna lag finns bestämmelser om patientjournaler och nationella kvalitetsregister.
Lagens tillämpningsområde
Vidare föreslår utredningen att det juridiska tillämpningsområdet regleras i en egen bestämmelse efter de inledande bestämmelserna om innehållet. Hälso- och sjukvårdsdatalagen ska tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården.
Utredningen avser inte att ändra tillämpningsområdet för den föreslagna lagen jämfört med patientdatalagen1förutom att vi föreslår att det uttryckligen ska anges att lagen i tillämpliga delar även ska gälla för en huvudmans behandling av personuppgifter inom hälso- och sjukvården. Med huvudman i hälso- och sjukvårdsdatalagen avses den som enligt hälso- och sjukvårdslagenansvarar för att erbjuda hälso- och sjukvård. Det innebär i praktiken att det handlar om landsting och kommuner. Kommuner och landsting omfattas i egenskap av huvudmän i dag av patientdatalagen genom lagens definition av begreppet vårdgivare. Av 1 kap. 3 § patientdatalagen följer bl.a. att landsting och kommun är vårdgivare i fråga om sådan hälso- och sjukvård som landstinget eller kommunen har ansvar för. Samtidigt avses med vårdgivare, enligt samma bestämmelse, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård.
1Prop. 2007/08:126 s. 49 f. och 222.
En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23
130
Vi anser att det underlättar tillämpningen av hälso- och sjukvårdslagstiftningen i allmänhet att skilja mellan landstingens och kommunernas ansvar i egenskap av huvudmän för hälso- och sjukvården och deras ansvar som vårdgivare när de faktiskt bedriver hälso- och sjukvård. Eftersom det inte finns några formella hinder för landsting eller kommuner att överlåta all drift av den individinriktade hälso- och sjukvårdsverksamheten på en eller flera enskilda vårdgivare, kan det i framtiden uppkomma en situation när landstinget eller kommunen inte längre bedriver hälso- och sjukvård. Eftersom landsting och kommuner i ett sådant läge alltjämt har ett huvudmannaansvar för hälso- och sjukvården och ett behov av att behandla personuppgifter för att fullgöra sitt uppdrag och ta sitt ansvar, bedömer vi att hälso- och sjukvårdsdatalagen behöver omfatta huvudmäns behandling av personuppgifter inom hälso- och sjukvården.
Det innebär exempelvis att lagens grundläggande ändamålsbestämmelser och bestämmelserna om vilka personuppgifter som får behandlas samt om sökbegrepp även gäller vid en huvudmans behandling av personuppgifter inom hälso- och sjukvården. Vidare gäller bestämmelserna i lagens 4 kap. om inre sekretess, behörighetsstyrning och åtkomstkontroll i samma utsträckning också för en huvudman. Se vidare avsnitt 7.2.4 angående utredningens överväganden kring begreppet huvudman.
Vårt förslag innebär att bestämmelsen om det juridiska tillämpningsområdet renodlas jämfört med gällande bestämmelse i patientdatalagen. Den nuvarande 1 kap. 1 § patientdatalagen är i själva verket både en bestämmelse om tillämpningsområdet och en beskrivning av innehållet. Vårt förslag innebär att vi delar upp bestämmelsen så att den befintliga upplysningen om att lagen innehåller bestämmelser om journalföring i stället tas med i den inledande bestämmelsen som beskriver innehållet.
Förhållandet till personuppgiftslagen
Utredningen föreslår att den nuvarande bestämmelsen i patientdatalagen, om den lagens förhållande till personuppgiftslagen överförs oförändrad till hälso- och sjukvårdsdatalagen.
Personuppgiftslagen är generellt tillämplig på behandling av personuppgifter. Det är dock möjligt att meddela avvikande bestämmelser i lag eller förordning som gäller i stället för person-
SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag
131
uppgiftslagens bestämmelser. En grundläggande förutsättning är dock att de avvikande bestämmelserna inte strider mot bestämmelserna i dataskyddsdirektivet.
Utredningen föreslår att hälso- och sjukvårdsdatalagen ska innehålla vissa sådana avvikande särbestämmelser som det bedöms föreligga behov av när det gäller behandling av personuppgifter inom hälso- och sjukvården. Särregleringen i hälso- och sjukvårdsdatalagen föreslås enbart komplettera personuppgiftslagen. Hälso- och sjukvårdsdatalagen kommer då att gälla utöver personuppgiftslagen. Detta innebär att när reglering saknas i hälso- och sjukvårdsdatalagen är personuppgiftslagens bestämmelser tillämpliga. Motsvarande förhållande gäller mellan patientdatalagen och personuppgiftslagen.2
7.2.3 Lagens syfte
Vårt förslag: I hälso- och sjukvårdsdatalagen ska det finnas
bestämmelser som uttrycker lagens syfte. Lagen syftar till att främja en informationshantering som tillgodoser god kvalitet, patientsäkerhet och kostnadseffektivitet. Lagen ska särskilt främja att den som arbetar hos en vårdgivare säkert, snabbt och enkelt får tillgång till de personuppgifter som han eller hon behöver för att kunna utföra sitt arbete och att personuppgifter utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras.
Den nu gällande syftesbestämmelsen i 1 kap. 2 § PDL är, enligt utredningens bedömning, inte utformad som en syftesbestämmelse i egentlig mening. Den anger snarare hur informationshanteringen ska vara organiserad och hur personuppgifter ska utformas och hanteras. Bestämmelsen talar också om hur dokumenterade uppgifter ska hanteras och förvaras. Den nuvarande paragrafen är därför mer av materiella bestämmelser än en portalparagraf om vad lagen ska åstadkomma. Särskilt bestämmelsen i sista stycket, om att personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem, är en viktig materiell bestämmelse som vi vill ta hand om på ett annat sätt än som en formulering i en syftesbestämmelse.
En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23
132
Utredningen anser att det tydligt ska framgå av syftesbestämmelsen att lagen ska leda till att vården blir säkrare och av högre kvalitet. En säker vård värnar patientens personliga integritet och skyddar patienten mot fysiska och psykiska vårdskador. Det ska framgå att lagen är en tillgänglighetsreform som ska se till att rätt uppgifter finns på rätt plats i rätt tid för rätt personer. Av syftesbestämmelsen ska det framgå att såväl rätt tillgång till rätt uppgifter som skydd för den personliga integriteten är grundläggande förutsättningar för att lagens intentioner ska kunna uppnås.
Enligt utredningens förslag ska lagen syfta till en informationshantering som tillgodoser god kvalitet, patientsäkerhet och kostnadseffektivitet i hälso- och sjukvården. Vårdgivarens behandling av personuppgifter inom hälso- och sjukvården ska således tillgodose samma krav som gäller för all hälso- och sjukvårdsverksamhet.3Utredningens förslag innebär endast en viss omformulering av det krav som i dag finns uttryckt i 1 kap. 2 § PDL.
Därutöver anser utredningen att syftesbestämmelsen ska betona att lagen särskilt ska främja att den som arbetar hos en vårdgivare säkert, snabbt och enkelt får tillgång till de personuppgifter som han eller hon behöver för att kunna utföra sitt arbete. Vi anser att det är en viktig signal att uttryckligen nämna detta syfte för att tydliggöra att lagens bestämmelser syftar till att möjliggöra en ändamålsenlig informationshantering. Det är inget nytt motiv för denna lagstiftning, men denna aspekt går ofta förlorad i den kritik mot lagen som kommer från de som är verksamma inom hälso- och sjukvården.4
Det brukar hävdas att patientdatalagen gjort det svårare att arbeta på ett ändamålsenligt sätt med informationshanteringen i hälso- och sjukvården. Patientdatalagen reglerar dock egentligen inga begränsningar i förhållande till vad som gällde innan lagen trädde ikraft. I stället har den erbjudit nya möjligheter till informationsutbyte. Trots det har lagen kommit att av många uppfattas som en hämsko i arbetet. Det finns förstås också viss kritik från det andra perspektivet; att lagen har öppnat för alltför stora möjligheter att utbyta patientuppgifter. Men den kritiken har inte varit lika omfattande. För att det ska bli en tydligare balans mellan patientsäkerhets- och integritetsperspektivet anser vi att tillgänglighetsaspekten bör bli mer uttryckligt beskriven i lagen.
3 Regeringens proposition Förstärkt tillsyn över hälso- och sjukvården, prop. 1995/96:176 s. 54 ff. 4Prop. 2007/08:126 s. 34.
SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag
133
Det redan i dag gällande kravet på att personuppgifter utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras, ska naturligtvis också komma till uttryck i den nya lagen.
7.2.4 Viktiga definitioner
Vårt förslag: I hälso- och sjukvårdsdatalagen ska det införas
definitioner av begreppen huvudman, informationssystem, nationella och regionala kvalitetsregister, patientjournal samt vårddokumentation. Begreppet vårdgivare förtydligas och begreppet sammanhållen journalföring får en definition som stämmer överens med det tillämpningsområde som föreslås. Övriga begrepp som definieras i patientdatalagen förs över oförändrade till hälso- och sjukvårdsdatalagen.
I patientdatalagens inledande kapitel återfinns en rad definitioner av centrala uttryck som används i lagen. Utredningen bedömer att även hälso- och sjukvårdsdatalagen ska innehålla en paragraf som samlat definierar de viktiga begreppen. Förutom att vi föreslår att vissa begrepp som definieras i patientdatalagen förs över oförändrade eller med endast någon språklig justering, föreslår vi att det i hälso- och sjukvårdsdatalagen ska tas in en rad nya begrepp som definieras. Vilka dessa begrepp är och hur de bör definieras redovisas i det följande.
Huvudman
Det finns i dag inte någon entydig och mer precis legaldefinition av huvudmannabegreppet i hälso- och sjukvården. Vid införandet av hälso- och sjukvårdslagen (1982:763), förkortad HSL, konstaterades att den som har ett författningsreglerat ansvar för att vård meddelas är huvudman. Någon övrig vägledning för frågan om huvudmannaskapets innebörd, omfattning gavs inte och inte heller lämnades någon ytterligare definition av begreppet.5
Samtidigt finns det genom regleringen i hälso- och sjukvårdslagen åtminstone en indirekt definition av begreppet huvud-
5Prop. 1981/82:97 Om hälso- och sjukvårdslag m.m., s. 33.
En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23
134
man, dvs. den som har ett författningsreglerat ansvar för att vård meddelas. Med huvudman enligt hälso- och sjukvårdslagen får därmed avses den som enligt lagen ansvarar för att erbjuda hälso- och sjukvård.
Mot den bakgrunden och med det som förebild föreslår utredningen att begreppet huvudman ska definieras i hälso- och sjukvårdsdatalagen. Utredningens förslag till definition utgår alltså från huvudmännens ansvar, som det är reglerat i nu gällande hälso- och sjukvårdslag. Med huvudman i hälso- och sjukvårdsdatalagen avses således den som enligt hälso- och sjukvårdslagen ansvarar för att erbjuda hälso- och sjukvård. Det innebär i praktiken att det handlar om landsting och kommuner.
I hälso- och sjukvårdslagen regleras för närvarande endast huvudmannaskapet för landsting och kommuner. Den hälso- och sjukvård som enligt lag ska tillhandahållas av andra huvudmän än landsting och kommun är dock av mer begränsad karaktär och har även delvis andra syften än det huvudmannaansvar som följer av hälso- och sjukvårdslagen. Utredningen bedömer därför att det i hälso- och sjukvårdsdatalagen är tillräckligt att hänvisa till det huvudmannaansvar som landsting och kommuner har enligt hälso- och sjukvårdslagen.
Huvudmannen har det yttersta ansvaret för att säkerställa att vård erbjuds till i hälso- och sjukvårdslagen angiven personkrets. Vården kan utföras i egen regi, men huvudmannaansvaret innebär ingen skyldighet för huvudmannen att själv bedriva verksamheten, utan driften kan ligga på en fristående vårdgivare. Inom en huvudmans geografiska ansvarsområde kan därmed en eller flera vårdgivare bedriva verksamhet.
Såväl Utredningen om en kommunallag för framtide n6 som Patientmaktsutredningen7har föreslagit att huvudmannens ansvar bör uttryckas tydligare i lagstiftningen. Utredningen om en kommunallag för framtiden har föreslagit att det uttryckligen ska regleras i kommunallagen (1991:900) att kommunen respektive landstinget behåller sitt huvudmannaskap när vården av en kommunal angelägenhet överlämnats till en annan utförare och att huvudmannaskapet innefattar en skyldighet att följa upp och kontrollera privata utförare.
Vi anser att det underlättar tillämpningen av hälso- och sjukvårdslagstiftningen i allmänhet att skilja mellan landstingens och kommunernas ansvar i egenskap av huvudmän och deras ansvar i egenskap av vårdgivare. Eftersom det inte finns några formella
6SOU 2013:53; Privata utförare – kontroll och insyn. 7SOU 2013:44; Ansvarfull hälso- och sjukvård.
SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag
135
hinder för landsting eller kommuner att överlåta all drift av den individinriktade hälso- och sjukvårdsverksamheten på en eller flera enskilda vårdgivare, kan det i framtiden uppkomma en situation när landstinget eller kommunen inte längre är att betrakta som vårdgivare. Eftersom landsting och kommuner i ett sådant läge alltjämt har ett huvudmannaansvar för hälso- och sjukvården och ett behov av att behandla personuppgifter för att fullgöra sitt uppdrag och ta sitt ansvar, bedömer vi att hälso- och sjukvårdsdatalagen behöver omfatta huvudmäns behandling av personuppgifter inom hälso- och sjukvården. Det är därför relevant att definiera begreppet i den lag som föreslås.
Längre fram i betänkandet föreslår utredningen även förbättrade möjligheter till informationsutbyte mellan vårdgivare som bedriver hälso- och sjukvårdsverksamhet inom en huvudmans ansvarsområde. Även för att kunna utforma de förslagen är begreppet huvudman nödvändigt att definiera.
Informationssystem
Utredningen föreslår att begreppet informationssystem definieras i lagen. Vårdgivaren är ansvarig för hur personuppgifter hanteras i verksamheten. Ett informationssystem är ett verktyg för hantering av personuppgifter. Det är ett system som insamlar, bearbetar, lagrar eller distribuerar och presenterar information. Vi föreslår i betänkandet att vårdgivarens ansvar för att informationssystemen är ändamålsenliga ska uttryckas i hälso- och sjukvårdsdatalagen. Det medför att begreppet behöver definieras i lagen.
Sammanhållen journalföring
Utredningens förslag om möjlighet till direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde innebär att tillämpningsområdet för sammanhållen journalföring minskar och innebär också att den definition av begreppet som finns i patientdatalagen blir felaktig. Vi föreslår därför en ändrad definition. Med sammanhållen journalföring avses enligt utredningens förslag en möjlighet för vårdgivare, som bedriver hälso- och sjukvård som olika huvudmän ansvarar för eller som är privat finansierad, att ha direktåtkomst till varandras vårddokumentation.
En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23
136
Vårddokumentation
Patientjournaler och annan dokumentation som behövs i och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall kallas i förarbetena till patientdatalagen för vårddokumentation.8 Ändamålen för vilka sådan dokumentation ska behövas motsvarar de första två punkterna i bestämmelsen om för vilka ändamål personuppgifter får behandlas inom hälso- och sjukvården.
Sådan dokumentation har en särställning i patientdatalagen eftersom vissa bestämmelser hänvisar till ändamålet vårddokumentation – även om själva begreppet inte används i bestämmelserna. I stället hänvisas i lagen till ändamålsbestämmelsens två första punkter (2 kap. 4 § 1 och 2 PDL). Det gäller t.ex. bestämmelsen om vad en patientjournal maximalt får innehålla (3 kap. 5 § PDL), bestämmelsen om vilka personuppgifter som en patient får spärra inom en vårdgivares verksamhet (4 kap. 4 § PDL), bestämmelsen om vilka uppgifter som en vårdgivare får ta del av genom sammanhållen journalföring (6 kap. 1 § PDL) och bestämmelsen om utlämnande genom direktåtkomst till enskilda (5 kap. 5 § PDL)
Utredningen anser att det kan vara en fördel att ett begrepp med en definition som stämmer överens med den som används i förarbeten till patientdatalagen finns med i en ny hälso- och sjukvårdsdatalag. Ett begrepp som definieras i lagens inledning kan sedan användas i bestämmelserna utan ytterligare förklaring. Definitionen knyter an till bestämmelsen om tillåtna ändamål för behandling av personuppgifter, som förs över från patientdatalagen. De bestämmelser i lagen som ska hänvisa till begreppet blir enklare att formulera och att läsa om begreppet kan användas utan hänvisning till ändamålsbestämmelsen.
Med vårddokumentation ska således avses dokumentation som innehåller personuppgifter som behandlas för
• att fullgöra de skyldigheter som anges i 3 kap. HSL och upprätta annan dokumentation som behövs i och för vården av patienter, och
• administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall.
SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag
137
Vårdgivare
Utredningen har valt att utgå ifrån den befintliga definitionen i patientdatalagen men föreslår en något ändrad formulering. Ändringen är påkallad av utredningens förslag att definiera begreppet huvudman.
Med vårdgivare avses enligt utredningens förslag ”statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, landstinget eller kommunen bedriver samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.”
Uttrycket har ansvar för som finns i den nu gällande definitionen i patientdatalagen kan tolkas på flera olika sätt, och är därför olämpligt i definitionen av vårdgivare. Vårdgivare har ansvar för den vård som denne bedriver. Landsting och kommun har som huvudman också visst ansvar, naturligtvis för de egna vårdgivarnas verksamhet, men även för sådan hälso- och sjukvårdsverksamhet som de som huvudmän överlåtit på annan. Huvudmannen ansvarar alltid primärt för att vårdbehoven tillgodoses inom dennes ansvarsområde. Ett visst kontrollansvar kvarstår av denna anledning hos huvudmannen. Huvudmannen har således också visst ansvar för vård som vårdgivaren bedriver. För att kunna skilja på det ansvar som de offentliga aktörerna har i sin egenskap av huvudmän respektive i sin egenskap av vårdgivare har utredningen därför anslutit sig till Patientmaktsutredningens9 förslag till definition. I denna tydliggörs att vårdgivare är den som bedriver viss hälso- och sjukvårdsverksamhet. Utredningens förslag till definition ska därmed läsas i ljuset av att utredningen även föreslår en definition av huvudmannabegreppet.
Begreppet hälso- och sjukvårdsverksamhet har använts i stället för
hälso- och sjukvård, för att undvika en konflikt med definitionen av
begreppet hälso- och sjukvård. I uttrycket ”bedriver hälso- och sjukvårdsverksamhet” ligger att åtgärderna är av regelbundet återkommande karaktär. En näringsidkare som inom ramen för en verksamhet som i sig inte utgör hälso- och sjukvård med viss regelbundenhet utför hälso- och sjukvårdande åtgärder kan anses vara vårdgivare beträffande dessa åtgärder.10
En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23
138
Definitionen omfattar samtliga vårdgivare, både vårdgivare underställda en offentlig huvudman, och vårdgivare med en privat huvudman (med eller utan offentlig finansiering).
För den hälso- och sjukvård som ett landsting eller en kommun själv bedriver är således den juridiska personen landstinget eller kommunen vårdgivare. Sådana bolag, föreningar och stiftelser där kommuner och landsting utövar ett rättsligt bestämmande inflytande, t.ex. äger mer än 50 procent, är egna juridiska personer och utgör därför självständiga vårdgivare om de bedriver hälso- och sjukvård. Som exempel på sådana vårdgivare kan nämnas Södersjukhuset och Danderyds sjukhus.
Juridiska personer, t.ex. bolag eller stiftelser, som bedriver hälso- och sjukvård med privat eller offentlig finansiering är också självständiga vårdgivare. Som exempel kan nämnas bolag som Capio, Aleris, Praktiktertjänst och ett mycket stort antal andra privata vårdgivare.
En fysisk person som bedriver hälso- och sjukvårdsverksamhet i en enskild firma eller ett aktiebolag, en stiftelse, ett handelsbolag eller liknande är också en självständig vårdgivare. Som exempel kan nämnas tandläkare med egen mottagning eller en fysisk person som etablerat en mottagning med stöd av lagen om läkarvårdsersättning (1993:1651), den s.k. nationella taxan.
Statliga myndigheter som Statens institutionsstyrelse, Kriminalvården eller Totalförsvarets pliktverk är självständiga vårdgivare om de bedriver hälso- och sjukvårdsverksamhet.
Mot bakgrund av ovanstående kan konstateras att enskilda läkare som exempelvis är anställda på ett sjukhus eller en vårdcentral inte är att betrakta som vårdgivare i hälso- och sjukvårdsdatalagens mening. En vårdgivare är alltid en organisation och ska därmed inte förväxlas med den person som kanske rent faktiskt utför åtgärderna.
Nationella och regionala kvalitetsregister
Eftersom regelverket för personuppgiftsbehandling i nationella och regionala kvalitetsregister förs över från patientdatalagen till den nya lagen bör begreppet nationella kvalitetsregister finnas med i listan över definitioner.
Med kvalitetsregister avses en automatiserad och strukturerad samling personuppgifter som inrättats särskilt för ändamålet att
SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag
139
systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Med ett nationellt eller regionalt kvalitetsregister avses ett kvalitetsregister till vilket personuppgifter har samlats in från flera vårdgivare och som möjliggör jämförelser inom hälso- och sjukvården på nationell eller regional nivå.
Definitioner som överförs oförändrade
Utredningens bedömning är att samtliga begrepp som definieras i patientdatalagen även ska definieras i hälso- och sjukvårdsdatalagen. Det innebär att det, utöver vad som redovisats ovan, finns ett antal begreppsdefinitioner som ska föras över oförändrade till den nya lagen. Dessa begrepp är journalhandling och patientjournal.
Med patientjournal ska således avses en eller flera journalhandlingar som rör samma patient.
Med journalhandling ska avses framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.
7.2.5 Övriga bestämmelser som förs över från patientdatalagen
Vårt förslag: Bestämmelserna om rättigheter för den enskilde i
8 kap. patientdatalagen ska föras över till hälso- och sjukvårdsdatalagen med någon mindre justering. Bestämmelser om bevarande av journalhandlingar och om omhändertagande och återlämnande av journalhandlingar i 3, 6 och 9 kap. ska föras över från patientdatalagen. Bestämmelserna om skadestånd och överklagande i 10 kap. patientdatalagen ska också föras över.
I 8 kap. patientdatalagen finns bestämmelser om patientens rättigheter som inte berörs av utredningens förslag i övrigt och som enligt vår mening ska föras över till hälso- och sjukvårdsdatalagen. Bestämmelsen om rätten till journalförstöring ändras på så sätt att den även ska tillämpas med avseende på uppgifter i en gemensam vård- och omsorgsjournal, se avsnitt 32.3.10.
En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23
140
I vårt förslag till hälso- och sjukvårdsdatalag vill vi samla bestämmelserna om överlämnande, omhändertagande och bevarande av journalarkiv i ett eget kapitel. Motsvarande bestämmelser i 3,6 och 9 kap. PDL ska därför föras över till detta kapitel i den nya lagen. När det gäller bestämmelsen om bevarande om gallring i 6 kap. PDL ska den överföras och utvidgas till att gälla för bevarande och gallring av handlingar som är tillgängliga vid alla former av direktåtkomst som regleras i den nya lagen. När det gäller ansvaret för omhändertagna journaler som i dag regleras i 9 kap. 3 § PDL har ett nytt stycke införts om patientjournaler i verksamheter som bedrivits med en kommun som huvudman eller i elevhälsan, se avsnitt 13.4.6. I övrigt ska paragrafen överföras med oförändrad innebörd.
Bestämmelserna om skadestånd och överklagande berörs inte heller av våra förslag och ska därför föras över oförändrade till den nya lagen.
141
8 Grundläggande bestämmelser om behandling av personuppgifter
8.1 Bakgrund
Utredningens utgångspunkt är, som anförts i det föregående, att en lagstiftning på detta område bör utformas på ett sätt som bidrar till att stödja utvecklingen mot en ändamålsenlig informationshantering i hälso- och sjukvården. Både för patienter och för personal och ledning inom hälso- och sjukvården behöver de grundläggande förutsättningarna för informationshantering och personuppgiftsbehandling vara tydliga. Det innebär bland annat att hälso- och sjukvårdsdatalagen ska kunna ge svar på vilka personuppgifter som får dokumenteras och vad de får användas till. I en sådan komplex verksamhet som hälso- och sjukvården är det dock inte möjligt att i detalj förutse och reglera varje form av personuppgiftsbehandling. Däremot finns goda förutsättningar att utforma hälso- och sjukvårdsdatalagen på ett motsvarande sätt som patientdatalagen (2008:355), förkortad PDL, d.v.s. som en ramlagstiftning där den yttersta ramen för det tillåtna när det gäller behandling av personuppgifter inom hälso- och sjukvården anges.
I detta avsnitt redogörs för ett antal av dessa mer grundläggande och övergripande frågeställningar som avses gälla generellt inom hälso- och sjukvårdsdatalagens tillämpningsområde. Till övervägande del handlar det om att överföra befintliga bestämmelser från patientdatalagen.
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
142
8.2 Våra överväganden och förslag
8.2.1 Vissa grundläggande bestämmelser förs över oförändrade från patientdatalagen
Vårt förslag: Vissa av de grundläggande bestämmelserna om
behandling av personuppgifter som finns i 2 kap. patientdatalagen ska föras över i sak oförändrade till hälso- och sjukvårdsdatalagen. Det rör bestämmelser om kapitlets tillämpningsområde, den enskildes inställning till personuppgiftsbehandlingen och vilka personuppgifter som får behandlas.
Utredningen föreslår ett antal grundläggande bestämmelser om behandling av personuppgifter i 2 kap. hälso- och sjukvårdsdatalagen. Kapitlet föreslås innehålla bestämmelser om personuppgiftsansvar, tillåtna ändamål för behandling av personuppgifter, vilka personuppgifter som får behandlas, vilken betydelse patientens inställning till personuppgiftsbehandling har och vilka sökbegrepp som får användas i verksamheten.
Till övervägande del handlar det om att överföra motsvarande bestämmelser i patientdatalagen oförändrade till den nya lagen. De bestämmelser utredningen föreslår ska föras över oförändrade i sak anges i det följande. Det innebär även att bestämmelserna avses ha samma innebörd som framgår av vad regeringen anförde i förarbetena till patientdatalagen.1
I bestämmelserna kan dock följdändringar med anledning av utredningens förslag i andra delar aktualiseras.
Kapitlets tillämpningsområde
Utredningen föreslår att bestämmelserna i det aktuella kapitlet, precis som idag, ska gälla för sådan automatiserad behandling av personuppgifter som avses i personuppgiftslagen (1998:204), förkortad PUL. Bestämmelsen i 2 kap. 1 § PDL ska föras över oförändrad till hälso- och sjukvårdsdatalagen.
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
143
Den enskildes inställning till personuppgiftsbehandlingen
Utredningen föreslår att bestämmelserna om den enskildes inställning till personuppgiftsbehandlingen i 2 kap. 2 och 3 §§ PDL ska föras över oförändrade till hälso- och sjukvårdsdatalagen.
Det innebär bl.a. att behandling av personuppgifter som är tillåten enligt lagen, får utföras även om den enskilde motsätter sig den. Detta gäller om inte annat framgår av lag eller förordning. I hälso- och sjukvårdsdatalagen hänvisas till några sådana situationer där personuppgiftsbehandling inte får utföras om den enskilde motsätter sig den, exempelvis att lämna ut personuppgifter genom direktåtkomst i system för sammanhållen journalföring.
Vidare innebär utredningens förslag, som idag, att sådan personuppgiftsbehandling som inte är tillåten enligt hälso- och sjukvårdsdatalagen ändå för utföras om den enskilde uttryckligen samtycker till det och inte annat följer av andra bestämmelser i hälso- och sjukvårdsdatalagen eller annan lag eller förordning. I hälso- och sjukvårdsdatalagen regleras ett sådant undantag, nämligen personuppgiftsbehandling vid sammanhållen journalföring.
Därutöver innebär utredningens förslag att regeringen får meddela föreskrifter om att en behandling av personuppgifter som inte är tillåten enligt hälso- och sjukvårdsdatalagen inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen. Regeringen har således en generell befogenhet att närmare föreskriva ytterligare undantag som upphäver verkan av den enskildes samtycke till personuppgiftsbehandlingen.
Personuppgifter som får behandlas
Från integritetssynpunkt är det väsentligt att inte andra personuppgifter behandlas inom hälso- och sjukvården än vad som är befogat utifrån verksamhetens behov och krav. Utredningen föreslår därför att bestämmelserna om vilka personuppgifter som får behandlas i 2 kap. 8 § PDL förs över oförändrade till hälso- och sjukvårdsdatalagen. Det innebär att en vårdgivare får behandla endast sådana personuppgifter som behövs för de i lagen uppräknade tillåtna ändamålen för personuppgiftsbehandling i hälso- och sjukvården. Vidare klargörs att uppgifter om lagöverträdelser m.m. som avses i 21 § PUL endast får behandlas om det är absolut nödvändigt för ett sådant ändamål. Även en privat vård-
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
144
givare får under dessa förutsättningar behandla personuppgifter om lagöverträdelser.
I sammanhanget ska förtydligas att personuppgiftslagens grundläggande krav på att personuppgifter ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen samt att personuppgifter som behandlas ska vara riktiga och, om nödvändigt, aktuella gäller även vid behandling av personuppgifter enligt hälso- och sjukvårdsdatalagen. Vårdgivare behöver därför bland annat göra en bedömning av vilka personuppgifter som behövs för olika ändamål.
8.2.2 Personuppgiftsansvar
Vårt förslag: Den nuvarande paragrafen om personuppgiftsansvar i
2 kap. 6 § PDL ska föras över till hälso- och sjukvårdsdatalagen. Bestämmelsen ska kompletteras i fråga om personuppgiftsansvarets placering hos en huvudman. I lagen ska därmed anges att det hos en huvudman är den myndighet som ansvarar för att erbjuda hälso- och sjukvård enligt hälso- och sjukvårdslagen (1982:763), förkortad HSL, som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt hälso- och sjukvårdsdatalagen.
Ur ett integritetsskyddsperspektiv är det lämpligt att i en registerlagstiftning precisera vem som är personuppgiftsansvarig för sådan behandling av personuppgifter som utförs enligt lagen. Genom patientdatareformen har det tydliggjorts att en vårdgivare är personuppgiftsansvariga för den behandling av personuppgifter som vårdgivaren utför. Vidare har personuppgiftsansvaret i den offentliga hälso- och sjukvården preciserats ytterligare genom att det i lagen anges att i ”landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför”. Vidare anges i den nuvarande paragrafen att vårdgivarens personuppgiftsansvar även omfattar sådan behandling av personuppgifter som vårdgivaren, eller myndigheten, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
145
personuppgifter om en patient hos en annan vårdgivare eller annan myndighet i samma landsting eller kommun.
Utredningen föreslår att den nuvarande bestämmelsen förs över oförändrad till hälso- och sjukvårdsdatalagen. Därutöver föreslår vi att bestämmelserna kompletteras med ett förtydligande vad gäller personuppgiftsansvarets placering hos en sjukvårdshuvudman. Vi bedömer att denna komplettering är nödvändig med hänsyn till vårt förslag om att hälso- och sjukvårdsdatalagen i tillämpliga delar även ska gälla för en huvudman. Dessutom kan konstateras att det i den nuvarande bestämmelsen endast pekas ut att de myndigheter i landsting och kommuner som bedriver hälso- och sjukvård är personuppgiftsansvarig för sin behandling av personuppgifter. Det kan därmed ifrågasättas om den nuvarande lydelsen formellt omfattar en kommunal eller landstingskommunal myndighet som inte bedriver någon egentlig hälso- och sjukvård, men samtidigt har ett huvudmannaansvar för verksamheten och i den egenskapen har ett behov av att behandla personuppgifter.
I syfte att tydliggöra personuppgiftsansvarets placering hos sjukvårdshuvudmännen föreslår vi således att det i bestämmelsen ska anges att hos en huvudman är den myndighet som ansvarar för att erbjuda hälso- och sjukvård enligt hälso- och sjukvårdslagen, personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt hälso- och sjukvårdsdatalagen.
8.2.3 Sökbegrepp
Vårt förslag: Den nuvarande paragrafen om sökbegrepp i
patientdatalagen ska omarbetas språkligt. Paragrafen ska i sak föras över oförändrad, dock med undantaget att det inte längre ska vara otillåtet att som sökbegrepp använda uppgift om någon har fått bistånd eller varit föremål för andra insatser inom socialtjänsten.
Vår bedömning: De krav på samverkan som finns mellan hälso-
och sjukvården och socialtjänsten, samt utredningens förslag om förbättrade möjligheter för sådan samverkan innebär att vårdgivare kan ha ett behov av att använda uppgift om att någon har eller har fått bistånd inom socialtjänsten som sökbegrepp.
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
146
Inledning
Frågan om på vilket sätt personuppgifter kan sammanställas anses ofta som en av de viktigare frågorna från integritetssynpunkt. Utredningen föreslår att bestämmelserna om sökbegrepp i 2 kap. 8 § PDL förs över i princip oförändrade till hälso- och sjukvårdsdatalagen, men att en språklig omarbetning görs. Den nuvarande bestämmelsen börjar med att, genom en hänvisning till bestämmelser i personuppgiftslagen, tala om vad som är otillåtet för att sedan ange undantag till detta. Utredningens bedömning är att bestämmelsen blir tydligare om hänvisningen till personuppgiftslagen till viss del tas bort och istället ersätts med konkreta formuleringar om vilka sökbegrepp som är otillåtna. Istället för att ange att personuppgifter som avses i 13 § PUL inte får användas som sökbegrepp och sedan föreskriva att undantag från det förbudet vad gäller att använda uppgifter om hälsa som sökbegrepp, bedömer utredningen således att paragrafen uttryckligen ska ange att som sökbegrepp får inte användas uppgifter som avslöjar: ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller sexualliv. Inte heller ska uppgifter om att någon varit föremål för åtgärder enligt utlänningslagen (2005:716) få användas som sökbegrepp.
Det innebär exempelvis att det, precis som idag, ska vara tillåtet att använda uppgifter om hälsa som sökbegrepp.
Uppgifter om lagöverträdelser m.m. som avses i 21 § PUL ska inte heller få användas som sökbegrepp. Detta följer redan av den nuvarande bestämmelsen. Vidare ska även fortsättningsvis ett undantag från det förbudet göras vad gäller uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.
Utredningen förslag innebär även att regeringen som idag kan meddela föreskrifter om att vårdgivare, trots sökbegränsningarna, får använda personuppgifter om etnicitet, uppgifter om betydelse för smittskyddet samt uppgifter om insatser enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
147
Uppgift om bistånd och insatser inom socialtjänsten
I den nuvarande bestämmelsen om sökbegrepp i 2 kap. 8 § PDL anges att som sökbegrepp inte får användas uppgift om att någon fått bistånd eller varit föremål för andra insatser inom socialtjänsten. I samband med patientdatalagens tillkomst fördes detta förbud över till den lagen från den då gällande vårdregisterlagen. I förarbetena till vårdregisterlagen motiverades sökbegränsningarna i fråga om insatser inom socialtjänsten emellertid endast med att det överensstämde med den vid den tidpunkten gällande datalagen.2 I datalagen angavs visserligen inga sökbegränsningar rörande uppgifter om insatser enligt socialtjänsten, men i dess 4 § räknades emellertid uppgift om att någon fått ”ekonomisk hjälp eller vård inom socialtjänsten” upp som en särskilt känslig uppgift.
Enligt utredningens bedömning finns det mot bakgrund av den nära samverkan som behöver ske mellan hälso- och sjukvården och socialtjänsten skäl att ifrågasätta den nu gällande sökbegränsningen. Kommuner och landsting har under årens lopp ålagts fler och fler skyldigheter att samverka rörande individer med sammansatta behov av både hälso- och sjukvård och socialtjänst. Som exempel kan nämnas det krav på samordnad vårdplanering som finns rörande enskilda som vid utskrivning från slutenvården har behov av insatser från den kommunala hälso- och sjukvården och socialtjänsten. Vidare ska landstinget enligt 8 a och b §§ HSL ingå en överenskommelse med kommunen om ett samarbete i fråga om personer med psykisk funktionsnedsättning och om personer som missbrukar alkohol, narkotika, andra beroendeframkallande medel, läkemedel eller dopningsmedel. När den enskilde har behov av insatser både från hälso- och sjukvården och från socialtjänsten ska landstinget, enligt 3 f § HSL, tillsammans med kommunen upprätta en individuell plan. Av planen ska framgå vilka insatser som behövs, vilka insatser respektive huvudman ska svara för, vilka åtgärder som vidtas av någon annan än landstinget eller kommunen, och vem av huvudmännen som ska ha det övergripande ansvaret för planen.
Därutöver har landstinget ansvaret för de läkarresurser som behövs för att enskilda ska kunna erbjudas god hälso- och sjukvård i särskilt boende och i hemsjukvården.
Sammantaget kan konstateras att de krav på nära samverkan som föreligger mellan landsting och kommuner i fråga om hälso- och sjukvård och socialtjänst medför att det i hälso- och sjukvården
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
148
behöver dokumenteras en rad uppgifter om de insatser som enskilda får tillgodosedda av socialtjänsten. All vårdplanering som görs i fråga om patienter som skrivs ut från slutenvården och som har behov av insatser från socialtjänsten ska exempelvis dokumenteras i patientjournalen.3 Även för att leva upp till själva grundkravet i 3 kap. 6 § PDL på att patientjournalen ska innehålla de uppgifter som behövs för en god och säker vård av patienten kan vårdgivare behöva dokumentera uppgifter som har anknytning till socialtjänstens verksamhet. Det kan exempelvis handla om att den enskilde får bistånd i form av särskilt boende eller att den enskilde är beviljad hemtjänst och hemsjukvård.
Utredningens bedömning är att de krav på samverkan som finns mellan hälso- och sjukvården och socialtjänsten samt utredningens förslag om förbättrade möjligheter för sådan samverkan medför att vårdgivare kan behöva använda uppgifter om att någon har insatser inom socialtjänsten som sökbegrepp. Det kan exempelvis behövas för att få fram en uppgift om hur många invånare som omfattas av landstinget ansvar för läkarresurser i särskilt boende eller i hemsjukvården. Det kan även behövas för att kunna göra sammanställningar kring arbetet med de olika individuella vårdplanerna som ska tas fram i samverkan med kommunen. Utredningens förslag om möjligheter för hälso- och sjukvården och socialtjänsten att – under vissa förutsättningar – ha direktåtkomst till varandras personuppgifter medför även att det för vårdgivares del måste vara möjligt att göra sökningar för att administrera eller göra sammanställningar kring informationsutbytet genom direktåtkomst.
Vidare anser utredningen att det redan idag, genom att det är tillåtet att söka på uppgift om hälsa, kan hävdas att sökning på uppgifter om insatser inom socialtjänsten är tillåtet så länge det handlar om en uppgift som rör hälsa. Eftersom begreppet hälsa ska ges en vidsträckt tolkning enligt personuppgiftslagen kan då konstateras att mycket av det som görs inom socialtjänsten torde kunna falla inom ramen för vad som är att betrakta som en uppgift om hälsa. Det blir då osäkert vilket reellt tillämpningsområde den nu gällande sökbegränsningen ska anses ha. Samtidigt bedömde patientdatautredningen att en uppgift om att en äldre eller en funktionshindrad får insatser inom socialtjänsten i form av särskilt boende inte får användas som sökbegrepp, vare sig för att söka
3 3 kap. 6 § Socialstyrelsens föreskrifter (SOSFS 2005:27) om samverkan vid in- och utskrivning av patienter i sluten vård
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
149
fram en enskild uppgift eller för att kunna göra sammanställningar rörande fler patienter.
Sammanfattningsvis bedömer utredningen att det bör finnas ett tydligt stöd för vårdgivare att, vid behov, söka på uppgift om att någon har insatser inom socialtjänsten. Vi har ovan redogjort för den nära samverkan som ska ske mellan hälso- och sjukvården och socialtjänsten samt lämnat några exempel på när landstinget kan behöva söka på uppgifter relaterade till socialtjänstens verksamhet. Därutöver finns det, enligt vår bedömning, naturligtvis ett grundläggande och berättigat behov för vårdgivare inom den kommunala hälso- och sjukvården att kunna söka på uppgifter om insatser i socialtjänsten. Inte minst med tanke på att den kommunala hälso- och sjukvården bedrivs i det närmaste integrerat med socialtjänstens verksamhet ter sig en sökbegränsning omotiverad. En kommunal vårdgivare kan exempelvis behöva söka på socialtjänstrelaterade uppgifter för att kunna planera sin verksamhet i hemsjukvården och för att kunna samverka med de utförare av socialtjänst som den enskilde har.
Sammantaget anser vi att det finns övervägande skäl som talar för att den nuvarande sökbegränsningen bör tas bort. Vi bedömer att detta kan göras på ett sätt som inte medför otillbörliga intrång i de enskildas personliga integritet. Det handlar uteslutande om verksamheter som har dokumenterat uppgifter relaterade till socialtjänstens verksamhet för att uppgifterna bedöms vara viktiga för patientens vård och behandling samt för möjligheterna att planera och i övrigt bedriva en verksamhet av hög kvalitet. I praktiken har även många personer, inte minst bland de äldre, så sammansatta behov av vård och omsorg att det gör att det i praktiken inte alltid är enkelt att avgöra vad som är att hänföra till hälso- och sjukvård och vad som är att hänföra till socialtjänst.
Samtidigt vill vi erinra om att uppgifter relaterade till socialtjänsten, precis som uppgifter relaterade till hälso- och sjukvården, är av ömtålig art ur integritetssynpunkt. Vårdgivare behöver därför alltid vid personuppgiftsbehandling göra en bedömning av vilka uppgifter som är nödvändiga att behandla med hänsyn till ändamålet. De grundläggande kraven enligt personuppgiftslagen gäller naturligtvis även vid personuppgiftsbehandling som innebär användning av olika sökbegrepp. Det innebär att den personuppgiftsbehandling som utförs i samband med sökning och framtagning av sammanställningar alltid måste bottna i ett berättigat behov och att endast de personuppgifter som behövs med hänsyn till detta behov behandlas.
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
150
8.2.4 Tillåtna ändamål för behandling av personuppgifter m.m.
Vårt förslag: De nuvarande bestämmelserna i 2 kap. 4 och 5 §§
PDL om tillåtna ändamål för personuppgiftsbehandling ska överföras till hälso- och sjukvårdsdatalagen. I ändamålskatalogen ska vidare anges att personuppgifter får behandlas för att förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Inledning
Det är av integritetsskäl viktigt att inte andra personuppgifter behandlas inom hälso- och sjukvården än vad som är befogat utifrån verksamhetens behov och krav. En vårdgivare eller en huvudman får därför endast behandla sådana uppgifter som behövs för de ändamål som i lagen räknas upp som tillåtna. En ändamålsbestämmelse styr därmed över vilka personuppgifter som får samlas in och fortsättningsvis behandlas i verksamheten.
Att i lagen närmare specificera vilka personuppgifter som får behandlas i verksamheten skulle innebära tillämpningsproblem och försvåra ett rationellt utnyttjande av it inom hälso- och sjukvården. Även om det av personuppgiftslagen följer ett krav på att ändamålen ska vara särskilda, behöver ändamålsbestämmelsen utformas tämligen generellt när det, som i detta fall, gäller en registerlag som reglerar flera olika slags vårdgivares behandling av personuppgifter i en sådan komplex verksamhet som hälso- och sjukvården. En alltför detaljerad uppräkning av alla tänkbara personuppgiftsbehandlingar på området är inte möjlig att göra och skulle även, som anförs ovan, riskera att hämma utvecklingen av hälso- och sjukvårdens informationshantering.
Genom patientdatalagen infördes en i princip uttömmande ändamålskatalog för personuppgiftsbehandlingen i hälso- och sjukvården. Regleringen är fakultativ i den bemärkelsen att den anger vad vårdgivaren får göra. Det är således en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas. Inom denna ram behöver vårdgivaren i allmänhet bestämma mer konkreta och preciserade ändamål för olika delar av personuppgiftsbehandlingen. Det följer av 9 § första stycket c PUL om att ändamålen ska vara särskilda.
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
151
Utredningen föreslår således att den nuvarande ändamålsuppräkningen i 2 kap. 4 och 5 §§ PDL förs över till hälso- och sjukvårdsdatalagen. Med utgångspunkt från förarbetena till patientdatalagen utvecklas innebörden av de tillåtna ändamålen nedan.4I det följande redogör utredningen även för förslaget om att tillföra två ytterligare ändamål till hälso- och sjukvårdsdatalagen.
Patientjournalföring och annan dokumentation som behövs i och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (vårddokumentation)
Det tillåtna ändamålet är knutet till den behandling av personuppgifter som behövs för att fullgöra skyldigheten att föra patientjournal men också för att upprätta annan dokumentation som kan behövas i och för vården av en patient. Den individinriktade patientverksamheten kräver en omfattande hantering av personuppgifter för att fungera ändamålsenligt så att en hög patientsäkerhet, god kvalitet och effektivitet i verksamheten kan upprätthållas. Det är därför en självklarhet att lagens ändamålsbestämning måste omfatta detta behov.
Grunden för informationshanteringen är många gånger ett direkt dokumentationskrav från lagstiftarens sida i form av en skyldighet för särskilda yrkeskategorier att föra patientjournal. Men att hänvisa till denna dokumentationsskyldighet är långt ifrån tillräckligt för att täcka in behoven av personuppgiftsbehandling i den individinriktade verksamheten. Det beror bl.a. på svårigheterna att formellt sett dra upp gränsen för vilken dokumentation som är respektive inte är en del av patientjournalen. En hel del personuppgifter kan behandlas helt separat från den ordinära journalföringen, t.ex. vid medicinska serviceenheter, på sätt som kan leda till tveksamheter om de utgör journalhandlingar eller inte. Även sådan dokumentation som faller vid sidan av skyldigheten att föra journal kan omfattas av ett ändamål som rör den individinriktade patientverksamheten.
Med patient avses den enskilde i hans kontakt med hälso- och sjukvården. Denna innebörd är hämtad från förarbeten till patientjournallagen (1985:562).5 Det innebär t.ex. att en blodgivare är patient.
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
152
Den individinriktade verksamheten kan avse såväl sjukdomsförebyggande åtgärder, t.ex. allmänna och riktade hälsokontroller, som egentlig sjukvård, t.ex. undersökning och behandling vid ohälsa samt omvårdnad. Det saknar betydelse vem som tagit initiativ till vården. Eftersom även undersökning utan egentligt vård- eller behandlingssyfte ingår i vårdbegreppet, omfattas även personuppgiftsbehandling t.ex. i samband med hälsoundersökning av personer som söker körkortstillstånd eller vid blodprovstagning på polisens begäran vid misstänkt rattonykterhet av lagens tillämpningsområde.
All patientrelaterad administration, oavsett om den avser ekonomiska förhållanden eller andra förhållanden omfattas av ändamålet administration som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall.
Man kan sammanfattningsvis säga att personuppgiftsbehandlingen i den individinriktade verksamheten utförs för det samlade ändamålet vårddokumentation.
Utförande av annan dokumentation som följer av lag, förordning eller annan författning
Det finns en rad olika författningar som föreskriver att hälso- och sjukvården ska lämna ut uppgifter till olika myndigheter. I allmänhet är det fråga om utlämnande av uppgifter som primärt samlats in som vårddokumentation. Det kan dock vara nödvändigt med en särskild personuppgiftsbehandling när dokumentationen utformas utifrån hur uppgiftsskyldigheten ska fullgöras, t.ex. när det gäller uppgiftsskyldighet enligt 14 kap. 1 § socialtjänstlagen (2001:453). Det behövs därför ett särskilt ändamål som uttryckligen klargör att personuppgiftsbehandling som behövs för ändamålet utförande av annan dokumentation som direkt eller indirekt följer av lag, förordning eller annan författning är tillåten.
Systematisk och fortlöpande utveckling och säkring av hälso- och sjukvårdens kvalitet (kvalitetssäkring)
I 31 § HSL föreskrivs att kvaliteten inom verksamheten systematiskt och fortlöpande ska utvecklas och säkras. Motsvarande bestämmelser finns även i 16 § tandvårdslagen (1985:125). Genom dessa bestämmelser finns det alltså ett författningsreglerat krav på
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
153
vårdgivare inom hälso- och sjukvården och tandvården att bedriva såväl kvalitetssäkring som kvalitetsutveckling.
Genom användning av modern informationsteknik förbättras möjligheterna att bedriva kvalitetssäkringsarbete avsevärt. I huvudsak rör det sig om att personuppgifter som samlats in och behandlas för det primära ändamålet vårddokumentation också behandlas för ändamålet kvalitetssäkring. Men det förekommer också personuppgiftsbehandling särskilt för kvalitetssäkringsändamål, dvs. som inte innebär en ”återanvändning” av vårddokumentation utan handlar om personuppgifter som på olika sätt hämtas in och analyseras för det särskilda syftet kvalitetssäkring. Ibland är denna uppgiftsinsamling integrerad med det individinriktade arbetet. Det kan därför vara svårt att i praktiken avgöra vad som är det övergripande syftet med en viss personuppgiftsbehandling, t.ex. när patienter besvarar enkäter om tillfredsställelse i olika avseenden med vården och behandlingen. Det är dock inte något problem att ändamålen ibland är överlappande så länge som den personuppgiftsansvarige är klar över och tydlig med för vilka olika ändamål personuppgiftsbehandlingen genom insamling görs. Ett särskilt ändamål som tillåter denna behandling uttrycks därför som ett ändamål i lagen.
Inom ramen för vårdgivarens systematiska kvalitetsarbete kan patientuppgifter användas på många olika sätt. Det kan handla såväl om att enskilda yrkesutövare kontinuerligt följer upp resultaten av sina bedömningar och åtgärder som att vårdgivaren initierar särskilt inriktade kvalitetsarbeten med fokus på avgränsade delar av verksamheten t.ex. en viss process. Genom att vårdgivaren formulerar närmare riktlinjer för hur kvalitetsarbetet ska gå till kan en tydlig systematik uppnås. I den delredovisning som utredningen överlämnade till regeringen den 31 december 2013 behandlas möjligheterna att behandla uppgifter för ändamålet kvalitetssäkring ytterligare, se bilaga 4.
Administration, planering, uppföljning, utvärdering och tillsyn av hälso- och sjukvårdsverksamheten
Den individinriktade kärnverksamheten föranleder administration
och planering på ett mer övergripande plan än vid dokumentation
för individinriktad hälso- och sjukvård. Sjukvårdshuvudmännen måste t.ex. planera och dimensionera antalet vårdplatser, fördela anslag och liknande inom sina geografiska ansvarsområden. Även
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
154
privata vårdgivare behöver effektiva redskap för att administrera och planera sin verksamhet.
I personuppgiftsbehandlingar som görs för att framställa sammanställningar, som används som underlag för analyser på olika nivåer av avidentifierade uppgifter, räcker det ofta med att använda uppgifter som bara indirekt är hänförliga till en person. Likväl är det fråga om personuppgiftsbehandling.
Ett ytterligare område som alltmer kommit i fokus är kravet på att hälso- och sjukvården ska förbättra verksamhetsuppföljningen. Med uppföljning avses att fortlöpande och regelbundet mäta och beskriva sina behov, verksamheter och resursåtgången angivet i termer av t.ex. behovstäckning, produktivitet och nyckeltal. Uppföljningen tjänar till att ge en översiktlig bild av verksamhetens utveckling och att tjäna som en signal för avvikelser som bör beaktas. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestäms för denna.
Ett annat område som innefattar personuppgiftsbehandling är vårdgivarens interna tillsyn av sin verksamhet. Utan rättsliga möjligheter att behandla personuppgifter från den individinriktade patientvården är det knappast möjligt att närmare granska verksamheten. Det gäller särskilt om tillsynen rör individuella vårdfall. Men även mer övergripande granskning kan kräva tillgång till och möjligheter att behandla personuppgifter om patienter.
Framställning av statistik rörande hälso- och sjukvård
I hälso- och sjukvården framställs statistik om en mängd faktorer. Delvis är det fråga om s.k. verksamhetsstatistik som kan anses inrymmas inom ändamålen administration och verksamhetsuppföljning. Men landstingen framställer också statistik som inte utan vidare kan hänföras till något annat ändamål, t.ex. då statistik tas fram för att informera befolkningen om verksamheten. Framställning av statistik anges därför som ett särskilt ändamål i lagen.
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
155
Att förebygga, utreda eller behandla sjukdomar och skador hos patienter
Under utredningens arbete har framkommit att det finns en osäkerhet kring tillämpningen av den nu gällande ändamålsbestämmelsen. Det har framför allt handlat om vilken ändamålsbestämmelse som anger att det är tillåtet för den som arbetar hos en vårdgivare att ta del av uppgifter om en patient för att exempelvis fatta beslut om patientens vård och behandling.
Eftersom begreppet behandling av personuppgifter även omfattar att ta del av och använda personuppgifter som redan är dokumenterade behöver således ändamålsbestämmelsen omfatta en senare användning av redan dokumenterade uppgifter. I sammanhanget kan emellertid noteras att personuppgiftsbehandlingen för ändamålet vårddokumentation är formulerat på ett sådant sätt att det är avgränsat till sådan personuppgiftsbehandlingen som handlar om att fullgöra journalföringsplikten, upprätta annan dokumentation som behövs, eller för sådan administration som har med patientens vård att göra. Många gånger behöver hälso- och sjukvårdspersonal emellertid behandla personuppgifter om en patient utan att det för den skull handlar om att fullgöra journalföringsplikten eller att upprätta annan dokumentation. Det kan exempelvis handla om att använda redan dokumenterade uppgifter för att fatta ytterligare beslut om patientens vård eller för att förbereda sig inför en undersökning av patienten etc.
Visserligen anförde regeringen i förarbetena att det med ändamålet vårddokumentation inte endast avses själva insamlingen och registreringen av uppgifterna utan även senare användning av de registrerade uppgifterna i den omfattning som behövs i patientvården eller patientadministrationen.6 Samtidigt har utredningen förståelse för att hälso- och sjukvårdspersonal som tar del av den nuvarande ändamålsbestämmelsen känner tveksamhet inför vad som gäller. Bestämmelsen uttrycker över huvud taget ingenting om senare användning av redan dokumenterade uppgifter.
Sammantaget bedömer utredningen att det finns skäl att i ändamålsbestämmelsen tydliggöra att personuppgiftsbehandling är tillåten även om det inte handlar om att fullgöra journalföringsplikt eller liknande, utan om att använda uppgifter i och för vården av en patient. Inte minst mot bakgrund av den osäkerhet och otrygghet kring patientdatalagens tillämpning som finns bland hälso- och
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
156
sjukvårdspersonal kan ett sådant tydliggörande ha stor betydelse. Mot denna bakgrund föreslår vi att det i hälso- och sjukvårdsdatalagen ska anges att personuppgifter får behandlas om det behövs för att förebygga, utreda eller behandla sjukdomar och skador hos patienter. Utredningens förslag innebär ingen förändring eller utvidgning jämfört med vad som anses gälla redan idag, utan ska i allt väsentligt betraktas som ett förtydligande.
Uppgiftsutlämnande och finalitetsprincipen
Personuppgifter som behandlas i hälso- och sjukvården lämnas i olika sammanhang ut till en myndighet eller en enskild. Om utlämnandet görs för syften som gäller den för utlämnande vårdgivarens verksamhet, omfattas personuppgiftsbehandlingen genom utlämnande av något av de tillåtna ändamålen. Inte sällan görs utlämnandet däremot för mottagarens räkning. Ofta handlar det om att mottagaren är en annan vårdgivare som behöver uppgifter om en patient för sin vård av samma patient. I den mån personuppgifterna behandlas helt eller delvis automatiserat eller ingår i manuella register, innebär ett utlämnande en efterkommande, sekundär personuppgiftsbehandling som i sig måste vara laglig.
För den allmänna hälso- och sjukvården inklusive sådan hälso- och sjukvård som bedrivs av kommunala företag som avses i 2 kap. 3 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, gäller att utlämnande av personuppgifter i allmänna handlingar i enlighet med tryckfrihetsförordningen alltid kan göras utan att sådant utlämnande behöver anges som ett särskilt ändamål för vilket personuppgiftsbehandling är tillåten. Eftersom sekretess i allmänhet gäller för uppgifter i hälso- och sjukvårdens allmänna handlingar som rör patienter, krävs också att sekretessen inte hindrar ett utlämnande.
Beträffande den allmänna hälso- och sjukvården följer vidare av 6 kap. 5 § OSL att en myndighet på begäran av annan myndighet ska lämna ut uppgift som den förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Bestämmelsen kan ses som en precisering av den allmänna samverkansskyldighet myndigheter emellan som gäller enligt 6 § förvaltningslagen (1986:223).
Det finns även bestämmelser som tillåter eller medger att uppgifter lämnas ut utan att sekretessen hindrar det. I 10 kap. OSL
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
157
finns exempelvis bestämmelser som anger att sekretess inte hindrar att myndigheter inom hälso- och sjukvården på eget initiativ lämnar ut personuppgifter i vissa fall.
Gemensamt för allt detta uppgiftslämnande är att det görs med stöd av författningar som påbjuder eller tillåter utlämnande. När sådana bestämmelser har införts, får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, vid vilken man funnit att uppgiften ska eller får lämnas ut. Det saknas därför anledning att i hälso- och sjukvårdsdatalagen förhindra att personuppgifter som finns i hälso- och sjukvården lämnas ut i dessa fall bara därför att dessa numera hanteras med modern informationsteknik i stället för som tidigare på papper.
Ändamålsbestämmelsen, som förs över från patientdatalagen, medger alltså att personuppgifter – som behandlas med stöd av något eller några i det föregående behandlade ändamålen – också får behandlas för sådant uppgiftsutlämnande som görs i överensstämmelse med lag eller förordning.
Vidare föreslår utredningen personuppgiftslagens finalitetsprincip, som idag, ska gälla även vid personuppgiftsbehandling enligt hälso- och sjukvårdsdatalagen. Finalitetsprincipen innebär att personuppgifter som har samlats in i syfte att behandlas för särskilda, uttryckligt angivna ändamål (jfr 9 § första stycket c PUL) får behandlas även för andra, nya ändamål, om dessa inte är oförenliga med de ursprungliga ändamålen (9 § första stycket d samma lag). Principen hindrar inte att insamlade personuppgifter får behandlas för historiska, statistiska eller vetenskapliga ändamål, eftersom sådana ändamål per definition inte ska anses vara oförenliga med de ursprungliga insamlingsändamålen (9 § andra stycket PUL). Eftersom ändamålsbestämmelserna i lagen är uttömmande ska hälso- och sjukvårdsdatalagen uttrycklig hänvisa till dessa bestämmelser i personuppgiftslagen.
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
158
8.2.5 Att antalsberäkna och identifiera personer för forskning inom hälso- och sjukvården
Vårt förslag: Av hälso- och sjukvårdsdatalagens ändamåls-
bestämmelse ska följa att det är tillåtet att behandla personuppgifter för att antalsberäkna möjliga deltagare för forskning inom hälso- och sjukvården. Vidare ska det vara tillåtet att behandla personuppgifter för att identifiera möjliga deltagare som kan erbjudas medverkan i sådan forskning, om den aktuella studien är godkänd av regional eller central etikprövningsnämnd. Som en ytterligare förutsättning krävs att vårdgivaren har tagit fram och implementerat riktlinjer för hur personuppgiftsbehandlingen för dessa ändamål ska utföras.
Vår bedömning: Förslaget innebär ett krav på vårdgivare att ta
fram närmare riktlinjer som beskriver hur den här aktuella personuppgiftsbehandlingen ska gå till. Att antalsberäkna och identifiera personer för forskningsstudier bör dessutom vara en uppgift endast för ett fåtal personer i vårdgivarens verksamhet. Vidare bedömer utredningen att det av det särskilda regelverket om nationella och regionala kvalitetsregister med tillräcklig tydlighet redan följer att personuppgiftsbehandling för att antalsberäkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården är tillåtet.
Inledning
För att en klinisk prövning i hälso- och sjukvården ska kunna bedrivas krävs att det finns ett antal deltagare (patienter) som, efter att ha fått information om studien och erbjudande om deltagande, väljer att medverka i prövningen. Även för annan forskning inom hälso- och sjukvården, exempelvis registerstudier, är det naturligtvis nödvändigt att kunna inkludera personuppgifter om patienter för att kunna bedriva studien. Eftersom samtycke till sådan forskning inte alltid inhämtas, ser dock själva rekryteringen till viss del annorlunda ut.
För att kunna rekrytera personer till kliniska prövningar används en rad olika arbetssätt, som exempelvis annonsering i tidningar och på internet eller genom direkta kontakter mellan hälso- och sjukvårdspersonal och patienter. Generellt kan inte alla
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
159
personer som vill erbjudas deltagande i en klinisk prövning utan ofta är prövningen inriktad på vissa specifika förhållanden, vilket gör att deltagarna behöver motsvara de villkor som har ställts upp för studien. Det kan handla om att deltagarna ska ha en viss sjukdom, ta vissa läkemedel, ha varit föremål för en viss hälso- och sjukvårdsåtgärd eller kunna uppvisa andra karaktäristika som har betydelse för prövningen.
Innan en rekrytering till en klinisk prövning startar kan det även finnas behov av att bilda sig en uppfattning om hur stort det potentiella underlaget av deltagare är, bland annat för att avgöra om en tänkt prövning kan tänkas gå att genomföra eller inte. Det har under utredningens arbete framkommit att det i hälso- och sjukvården finns behov av att behandla personuppgifter just i syfte att beräkna det potentiella underlaget och i vissa fall sedan kunna identifiera vilka personer som kan erbjudas medverkan i kliniska prövningar. Detta moment benämns ofta pre-screening.
Motsvarande behov finns även för annan forskning inom hälso- och sjukvården, t.ex. registerstudier. Eftersom sådan forskning sällan utförs genom en öppen rekrytering av forskningspersoner, är en grundläggande förutsättning att det finns ett register som innehåller de för forskningen relevanta uppgifterna eller att sådana uppgifter går att söka fram i ett bredare register eller databas. Även för registerstudier finns därmed ett behov av att kunna antalsberäkna det potentiella underlaget för studien.
Kort om kliniska prövningar
En klinisk prövning kan beskrivas som en undersökning för att studera effekten av ett läkemedel eller en behandlingsmetod. Förutom sådant som har med läkemedel att göra, exempelvis att utvärdera olika substansers lämplighet och att analysera olika effekter av läkemedel, kan kliniska prövningar även handla om att utvärdera kirurgiska metoder som används i vården, dieter, medicintekniska produkter m.m. Kliniska prövningar är därför ett viktigt verktyg för att kunna garantera och utveckla en hög kvalitet och säkerhet i hälso- och sjukvården. Det innebär också en kontroll av nya produkter och behandlingar samt ett stöd vid tidigt införande av nya behandlingar i vården.
När det gäller kliniska läkemedelsprövningar bedrivs de oftast i samarbete mellan det företag (sponsor) som utvecklat läkemedlet
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
160
och hälso- och sjukvårdspersonal hos en vårdgivare (prövare). Rent praktiskt innebär det bland annat att kliniska prövningar normalt sett äger rum i hälso- och sjukvården, t.ex. på ett sjukhus, och under ledning och uppsikt av vårdgivarens hälso- och sjukvårdspersonal. Det är således vårdgivaren i egenskap av prövare som har kontakten med deltagarna (patienterna) och utför själva prövningen. Närmare förutsättningar om hur kliniska läkemedelsprövningar får genomföras m.m. finns bland annat i läkemedelslagen (1992:859) och Läkemedelsverkets föreskrifter (LVFS 2011:19) om kliniska läkemedelsprövningar på människor.
En del kliniska prövningar kan även bedrivas helt utan en sponsors eller annan extern aktörs inblandning. Det kan exempelvis handla om att vårdgivaren själv initierar en klinisk prövning för att t.ex. utvärdera de metoder i vården som vårdgivaren använder.
Att antalsberäkna och identifiera möjliga deltagare (pre-screening)
Inför en klinisk prövning preciseras vilka inklusions- och exklusionskriterier som ska gälla för studien, d.v.s. vilka villkor som måste vara uppfyllda för att en person ska kunna ingå i studien. Det är således endast de patienter som lever upp till villkoren som kan erbjudas deltagande i en klinisk prövning. Detta innebär bland annat att antalsberäkningen och identifieringen av möjliga deltagare samt rekrytering av dessa är grundförutsättningar för att en klinisk prövning över huvud taget ska kunna genomföras.
Att antalsberäkna och identifiera möjliga deltagare i en klinisk prövning görs ofta olika skeden av ett forskningsprojekt. Medan identifieringen av potentiella deltagare görs efter det att den aktuella studien har blivit godkänd av en regional etikprövningsnämnd, kan antalsberäkningen behöva äga rum i ett tidigare skede, t.ex. för att undersöka om det över huvud taget finns ett tillräckligt stort patientunderlag för att genomföra studien hos en viss vårdgivare eller till och med i Sverige. Den som överväger att initiera och bedriva en klinisk prövning, oavsett om det är vårdgivaren själv eller en sponsor, kan med andra ord tidigt i processen behöva få en indikation på om det är möjligt att genomföra studien på det sätt det är tänkt. Pre-screening kan därmed vara en användbar metod för att bedöma möjligheterna till genomförande av en planerad studie samt för utformning av den slutliga studiedesignen. Att snabbt få ett besked som bekräftar om
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
161
det finns ett tillräckligt stort patientunderlag som kan tillfrågas är värdefullt för den aktör som sedan ska fatta beslut om var studien ska genomföras.
Ett sätt att inleda arbetet är därför att jämföra uppgifter i patientjournaler med studiens villkor för deltagande. Om det endast handlar om att beräkna det potentiella patientunderlaget kan exempelvis en sökning i journalsystemet ge svar på frågeställningen. Vid ett sådant arbetssätt kan det relativt snabbt och enkelt vara möjligt att beräkna antalet personer som motsvarar villkoren i studien. Uppgifter om antalet potentiella deltagare kan även lämnas till en eventuell sponsor, men några närmare uppgifter om de enskilda får inte lämnas ut. Utredningen har vid kontakter med vårdgivare fått information om att den sökning som görs i samband med en antalsberäkning av det potentiella patientunderlaget idag kan göras utan att några direkt utpekande personuppgifter exponeras. Det är likväl en personuppgiftsbehandling i personuppgiftslagens mening, men ur ett integritetsperspektiv är det naturligtvis positivt att inte fler personuppgifter än vad som är nödvändigt exponeras för hälso- och sjukvårdspersonalen.
Om det efter en antalsberäkning finns behov av att gå vidare för att kunna vända sig till enskilda personer och erbjuda dem medverkan i en etikgodkänd studie, behöver vårdgivaren naturligtvis ta del av personuppgifter som namn och personnummer. Det kan exempelvis handla om att särskilt utpekad hälso- och sjukvårdspersonal, exempelvis en forskningssjuksköterska går igenom patientunderlaget för att närmare granska vilka som passar in i studien efter de uppställda inklusions- och exklusionskriterierna. Vårdgivaren kan sedan informera de patienter som identifieras och erbjuda dem deltagande i studien.
Vidare kan konstateras att pre-screeningen, oavsett om det handlar om att endast beräkna antalet potentiella deltagare eller att identifiera möjliga deltagare, uteslutande görs inom ramen för vårdgivarens verksamhet. Det är hälso- och sjukvårdspersonal hos vårdgivaren som genomför arbetet och inga personuppgifter röjs för en eventuell sponsor av den kliniska prövningen i detta skede. Även själva rekryteringen, d.v.s. när individen får information om studien och erbjuds deltagande, görs inom vårdgivarens verksamhet. Om det är aktuellt att röja personuppgifter utanför vårdgivarens verksamhet, t.ex. till en eventuell sponsor, görs det endast efter det att den enskilde deltagaren samtyckt till deltagande i studien och till den personuppgiftsbehandling som ska utföras i studien samt till att personuppgifter lämnas ut till sponsorn.
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
162
Därutöver kan konstateras att själva personuppgiftsbehandlingen som vårdgivaren utför i samband med att antalsberäkna och/eller identifiera potentiella deltagare är densamma oavsett om den kliniska prövningen är initierad av vårdgivaren själv eller om vårdgivaren planerar att bedriva studien på uppdrag av en sponsor.
Att antalsberäkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården bör uttryckligen omfattas av de tillåtna ändamålen
Patientdatalagens nuvarande ändamålsbestämmelser är relativt generellt utformade och utgör den yttersta ramen för en tillåten personuppgiftsbehandling. Inom ramen för detta måste vårdgivare sedan precisera ändamålen vid olika slags personuppgiftsbehandlingar.
Något ändamål som uttryckligen tar sikte på personuppgiftsbehandling för att antalsberäkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården finns inte i patientdatalagen. Närmast till hands torde vara att tillämpa bestämmelserna i 2 kap. 5 § PDL. Enligt dessa bestämmelser är det tillåtet att behandla personuppgifter för sådant utlämnande som görs i enlighet med lag eller förordning. Vidare är det tillåtet att behandla personuppgifter för något annat ändamål än det för vilket personuppgifterna samlades in, så länge det nya ändamålet inte är oförenligt med det ursprungliga. Personuppgiftslagens finalitetsprincip gäller således vid behandling av personuppgifter enligt patientdatalagen. Av den ovan nämnda bestämmelsen framgår även, genom en hänvisning till personuppgiftslagen, att en behandling för historiska, statistiska eller vetenskapliga ändamål aldrig ska anses som oförenliga med de ursprungliga ändamålen. När det gäller personuppgiftsbehandling för antalsberäkning finns även stora likheter med olika former av statistikframställning som vårdgivare utför.
Patientdatautredningen anförde i samband med utformningen av ändamålsbestämmelsen att personuppgiftsbehandlingen i hälso- och sjukvården är så komplex, omfattande och mångskiftande att det var nödvändigt att formulera ändamålsbestämmelserna tämligen generellt. En detaljerad uppräkning av alla tänkbara personuppgiftsbehandlingar ansågs inte vara möjligt och bedömdes även riskera att hämma utvecklingen av hälso- och sjukvårdens informationsförsörjning. Vidare uttalade patientdatautredningen att ändamålen i praktiken flyter in i varandra och att gränsdragningarna inte alltid är skarpa. En
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
163
och samma behandling av personuppgifter ansågs kunna ske för mer än ett ändamål.7
Utredningen delar patientdatautredningens uppfattning och anser att den personuppgiftsbehandling som görs i samband med prescreening, så som det beskrivits ovan, är ett tydligt exempel på när en personuppgiftsbehandling kan anses ske för flera närliggande och sammanhängande ändamål. Ibland kan personuppgiftsbehandlingen anses ske uteslutande för vårdgivarens egna ändamål, d.v.s. för egeninitierade prövningar. Andra gånger har vårdgivaren i egenskap av prövare och t.ex. läkemedelsbolaget i egenskap av sponsor i det närmaste ett gemensamt ändamål med den behandling av personuppgifter som antalsberäkningen och en eventuell identifiering av möjliga deltagare innebär.
Vidare kan den initiala personuppgiftsbehandlingen i vissa fall komma att resultera i att personuppgifter lämnas ut, t.ex. till en sponsor efter den enskildes samtycke. Andra gånger medför motsvarande personuppgiftsbehandling emellertid inget utlämnande, t.ex. när det är en vårdgivarinitierad studie. Vidare innebär personuppgiftsbehandlingen rörande de personer som visserligen söks fram initialt men sedan bedöms sakna någon av förutsättningarna för medverkan i studien, att personuppgifter varken kommer att lämnas ut eller behandlas för ett kommande forskningsändamål. Detsamma gäller för personer som blir tillfrågade om medverkan i studien, men som väljer att avstå.
Sammantaget finner utredningen att den nuvarande ändamålsbestämmelsen är svår att tillämpa på den personuppgiftsbehandling som här är aktuell. Vid en bedömning av den legala grunden för personuppgiftsbehandlingen framträder flera alternativa synsätt, där såväl finalitetsprincipen som personuppgiftsbehandling som ett led i ett lagligt utlämnande kan behöva analyseras. Att grunda en personuppgiftsbehandling på finalitetsprincipen innebär dessutom ett mått av osäkerhet. I dagsläget saknas vägledande avgöranden om hur finalitetsprincipen ska tillämpas vid vårdgivares behandling av personuppgifter i hälso- och sjukvården. Av den anledningen kan det finnas ett behov av praxis i denna fråga.
Sett mot bakgrund av vad som anförts bedömer utredningen att det finns övervägande skäl som talar för att det ur ett integritetsskyddsperspektiv tydligt bör framgå att personuppgiftsbehandling för att antalsberäkna och identifiera möjliga deltagare i kliniska prövningar
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
164
och annan forskning inom hälso- och sjukvården ska omfattas av en egen, särskild, ändamålsbestämmelse. Vi bedömer inte att det är en helt tillfredsställande lösning att en sådan omfattande personuppgiftsbehandling som det torde vara frågan om, inte minst för universitetssjukhusens del, ska baseras på bedömningar av finalitetsprincipens tillämpning eller tillämpning av bestämmelsen om utlämnande som tillåtet ändamål.
Samtidigt kan naturligtvis ifrågasättas om den aktuella personuppgiftsbehandlingen bör vara något som ska anses ingå i vårdgivares primära ändamål. Här bör emellertid hälso- och sjukvårdens betydelse för den kliniska forskningen uppmärksammas. Kommuner och landsting har exempelvis genom 26 b § HSL en skyldighet att medverka vid finansiering, planering och genomförande av kliniskt forskningsarbete på hälso- och sjukvårdens område samt av folkhälsovetenskapligt arbete. Vidare har staten och vissa landsting träffat så kallade ALF-avtal om samarbete kring och ersättning för utbildning och medicinsk forskning. Att forskningsverksamhet är nära förknippat med hälso- och sjukvårdsverksamheten och huvudmännens ansvar är oomtvistat. Ett sätt för hälso- och sjukvården att bidra och medverka till forskning på hälso- och sjukvårdsområdet är att kunna svara på vilket potentiellt forskningsunderlag som finns hos olika vårdgivare.
Utredningens bedömning är därför att den här aktuella personuppgiftsbehandlingen är av sådan betydelse och karaktär att det får anses som en naturlig uppgift för hälso- och sjukvårdens aktörer. Det handlar i stor utsträckning om att behandla personuppgifter som ett led i ett (eventuellt) utlämnande av uppgifter för forskningsändamål. Om det i rättslig mening är att tala om en utlämnandesituation är beroende på om forskningen bedrivs av någon annan än vårdgivaren som forskningshuvudman eller om forskningen bedrivs av en, i förhållande till vårdgivarens hälso- och sjukvårdsverksamhet, självständig verksamhetsgren. Relationen mellan en vårdgivares hälso- och sjukvårdsverksamhet och forskningsverksamhet kan bedömas olika i sekretesshänseende beroende på vilken typ av forskning som bedrivs. Hälso- och sjukvårdsverksamhet inklusive forskning som utförs som ett led i vården och behandlingen av en patient å ena sidan och annan forskning som utförs inom en offentlig vårdgivares verksamhet å andra sidan, har ansetts utgöra självständiga verksamhetsgrenar i
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
165
förhållande till varandra.8 I sådana fall rör det sig således om en utlämnandesituation.
Alldeles oavsett om en klinisk prövning är vårdgivarinitierad och utförs i samma sekretessområde som vårdgivarens hälso- och sjukvårdsverksamhet eller om prövningen bedrivs i ett annat sekretessområde anser utredningen att den personuppgiftsbehandling som det är fråga om här, d.v.s. att antalsberäkna och identifiera möjliga deltagare, ska omfattas av regleringen i hälso- och sjukvårdsdatalagen. Därmed uppställs en likhet mellan denna personuppgiftsbehandling och den personuppgiftsbehandling som vårdgivaren utför som ett led i andra utlämnandesituationer. Personuppgiftsbehandling får redan idag utföras med stöd av 2 kap. 5 PDL för att lämna ut personuppgifter, oavsett om utlämnandet görs för syften i den utlämnande vårdgivarens verksamhet eller om det görs för mottagarens räkning. Mot bakgrund av den skyldighet som vårdgivare har, enligt hälso- och sjukvårdslagen, att medverka vid planering och genomförande av kliniskt forskningsarbete kan även hävdas att pre-screening i allt väsentligt görs för vårdgivarens egna syften. Den personuppgiftsbehandling som aktualiseras därefter, t.ex. efter att en enskild samtyckt till att delta i studien, ska emellertid som idag primärt regleras av personuppgiftslagen.
Sammanfattningsvis bedömer utredningen att personuppgiftsbehandlingen ska regleras av hälso- och sjukvårdsdatalagen.
Särskilda villkor för att personuppgiftsbehandlingen ska vara tillåten
Utredningen anser att den här aktuella personuppgiftsbehandlingen egentligen är en behandling av personuppgifter för två olika ändamål, där det ena ändamålet är att antalsberäkna det potentiella deltagarunderlaget och det andra ändamålet är att identifiera vilka enskilda individer som motsvarar de kriterier som är uppställda för studien och som kan erbjudas deltagande. Vi bedömer även att personuppgiftsbehandlingen för de båda ändamålen skiljer sig åt ur ett integritetsperspektiv. I antalsberäkningen torde det egentligen vara ointressant vem den enskilde individen är. Med hänsyn till ändamålet med antalsberäkningen, som kan betraktas som en sammanställning, bedömer vi även att det saknas anledning att exponera några direkt utpekande personuppgifter. Av den information som utredningen tagit del av är det dessutom möjligt att utforma it-stöden på ett sådant
8 Jfr prop. 1979/80:2 Del A s. 463 f och 494
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
166
sätt att det är möjligt att beräkna det potentiella deltagarantalet utan att de enskilda deltagarnas identitet framgår. Mot den bakgrunden föreslår utredningen att personuppgiftsbehandling för att antalsberäkna det potentiella deltagarantalet för forskning inom hälso- och sjukvården ska anges som ett tillåtet ändamål i hälso- och sjukvårdsdatalagen.
Personuppgiftsbehandling som utförs för att identifiera enskilda individer som kan erbjudas medverkan i en forskningsstudie väcker dock enligt utredningens bedömning andra frågor. Här är det fråga om en mer ingående personuppgiftsbehandling där direkt utpekande uppgifter behöver användas på ett helt annat sätt än vad som gäller vid antalsberäkningen. Vi anser därför att den personuppgiftsbehandlingen, för att den ska vara tillåten, måste förenas med vissa integritetsskyddande villkor.
För det första föreslår vi att det ska krävas att den aktuella studien har godkänts av den regionala eller centrala etikprövningsnämnden. Att identifiera möjliga deltagare till studier som inte har varit föremål för etikprövningsnämndens ställningstagande och där godkänts, ska därmed inte vara tillåtet. Vi bedömer att det är påkallat med hänsyn till behovet av skydd för patienternas personliga integritet och att det ska gälla alldeles oavsett om det rör sig om en vårdgivarinitierad studie eller om en klinisk läkemedelsprövning där läkemedelsbolaget är sponsor. För att tydliggöra kravet på etikprövning bör det särskilt uttryckas i hälso- och sjukvårdsdatalagen.
Vidare anser vi att vårdgivare behöver ta fram rutiner och riktlinjer för hur personuppgiftsbehandlingen, både vid antalsberäkningen och vid identifieringen, ska gå till. Även om det enligt de grundläggande kraven i personuppgiftslagen och vad som i övrigt följer av bestämmelser om inre sekretess m.m. får anses otillåtet för hälso- och sjukvårdspersonal att på eget initiativ behandla personuppgifter för att antalsberäkna och/eller identifiera möjliga deltagare i forskningsstudier, anser vi att detta bör förtydligas genom riktlinjer från vårdgivarens sida. Vi föreslår därför att det i paragrafen uppställs ett krav på vårdgivare att ta fram riktlinjer för hur personuppgiftsbehandlingen för de här aktuella ändamålen ska utföras för att skydda de registrerades personliga integritet. Personuppgiftsbehandlingen för att antalsberäkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården får således endast göras under förutsättning att riktlinjer har tagits fram och implementerats i verksamheten. Det
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
167
följer redan av hälso- och sjukvårdsdatalagens övergripande krav på vårdgivaren att utforma informationshanteringen och personuppgiftsbehandlingen med utgångspunkt bl.a. i behovet av skydd för den personliga integriteten att vårdgivaren måste ha riktlinjer och instruktioner till personalen. Detta förslag innebär en särskild påminnelse om detta ansvar för den aktuella personuppgiftsbehandlingen.
Generellt bedömer vi att det endast bör vara fråga om ett fåtal personer i en vårdgivares verksamhet som bör ha i uppdrag att utföra den aktuella personuppgiftsbehandlingen. Det kan exempelvis inte anses tillåtet för t.ex. den enskilde läkare som överväger att initiera eller föreslå en forskningsstudie att själv och på eget bevåg ta del av personuppgifter i journalsystemet för att bilda sig en uppfattning om hur en studie skulle kunna designas eller hur många eller vilka patienter som skulle kunna erbjudas deltagande. Av hänsyn till behovet av skydd för patienternas personliga integritet bör vårdgivare därför ta fram närmare riktlinjer om vad som ska gälla. Det är inte möjligt för utredningen att reglera i detalj vad sådana riktlinjer ska innehålla, men vi anser att riktlinjerna åtminstone kan behöva uttrycka följande.
• Att personuppgiftsbehandling för att identifiera möjliga deltagare endast får ske om forskningsstudien har godkänts av etikprövningsnämnden.
• Vem eller vilka som har kompetens för arbetsuppgiften och bör kunna utföra den aktuella personuppgiftsbehandlingen.
• Hur uppdraget till personer som får utföra personuppgiftsbehandlingen ska utformas.
• Hur åtkomst till uppgifter vid personuppgiftsbehandlingen ska loggas och i efterhand följas upp.
• Om någon form av internt ansöknings- eller anmälningsförfarande ska vara påkallat, t.ex. för att godkänna och registrera att det i enskilda fall är tillåtet att behandla personuppgifter för att identifiera möjliga deltagare.
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
168
Information till patienter
För att patienter ska ha kännedom och kunna ha en överblick över de ändamål för vilka personuppgifter behandlas i hälso- och sjukvården är information en grundläggande förutsättning. Utredningen vill därför som en generell rekommendation uppmana vårdgivare att, för det fall det inte redan görs, i sina allmänna informationsinsatser riktade mot patienter inkludera information om vårdgivarens roll i samband med forskning inom hälso- och sjukvården. Sådan information kan lämpligen ges tillsammans med övrig information om personuppgiftsbehandlingen som vårdgivaren ska tillhandahålla patienter enligt den grundläggande bestämmelsen om informationsskyldighet i nuvarande 8 kap. 6 § PDL.
Att vända sig till patienter med erbjudande om deltagande i en forskningsstudie
Även om det kan sägas ligga utanför utredningens uppdrag vill vi även sätta ljuset på den, enligt vår mening, viktiga frågan om hur vårdgivaren på lämpligt sätt ska närma sig patienter med erbjudande om deltagande i kliniska prövningar och annan forskning på hälso- och sjukvårdens område. Enligt vår bedömning ställer detta moment stora krav på etiska överväganden, bland annat relaterat till individers personliga integritet, och varsamt tillvägagångssätt. För vårdgivarens del handlar det således inte enbart om att behandla personuppgifter och att ha rutiner för det, utan även om hur mötet med patienten arrangeras på ett sätt som värnar patientens behov av integritetsskydd och upprätthåller förtroendet för hälso- och sjukvården.
Nationella och regionala kvalitetsregister
Nationella kvalitetsregister är en naturlig kunskapskälla för forskning och av nuvarande bestämmelser i 7 kap. 5 § PDL framgår att uppgifter som behandlas i ett nationellt kvalitetsregister även får behandlas bland annat för forskning inom hälso- och sjukvården och för att framställa statistik. Vidare framgår av samma paragraf att det är tillåtet att lämna ut uppgifter till den som ska använda uppgifterna för sådan forskning.
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
169
Till skillnad från en vårdgivares journalsystem, som innehåller vitt skilda uppgifter om en stor mängd olika patienter, är nationella kvalitetsregister koncentrerade i förhållande till ändamålet med registret. Ett kvalitetsregister innehåller därmed endast de personuppgifter som har bedömts behövas för registrets specifika ändamål. På motsvarande sätt som en forskningsstudie har kvalitetsregister därmed även vissa inklusionskriterier. Kännedom om vilka variabler som registreras i ett nationellt kvalitetsregister och hur stor täckningsgraden är kan därmed i sig utgöra tillräcklig information för en forskare som står i begrepp att initiera en forskningsstudie. I ett sådant fall ger således den allmänna informationen om kvalitetsregistret tillräckligt underlag för att beräkna det möjliga forskningsunderlaget.
Ibland kan uppgifter emellertid behöva utsökas på en mer detaljerad nivå än så, beroende på den aktuella studiens inriktning. Precis som vid den statistikframställning som får göras i nationella kvalitetsregister kan en personuppgiftsbehandling för forskningsändamål eller för ändamålet utlämnande därför ofta innebära att ett visst urval ur den totala mängden personuppgifter görs. Det är inte alltid så att samtliga personuppgifter i kvalitetsregistret eller personuppgifter rörande samtliga patienter är relevanta för dessa ändamål. På motsvarande sätt som beskrivits i det föregående vad gäller pre-screening i t.ex. vårdgivarnas journalsystem, kan personuppgifter i nationella kvalitetsregister också behöva behandlas för att antalsberäkna eller identifiera möjliga deltagare i forskningsstudier.
Enligt utredningens erfarenhet görs sådan personuppgiftsbehandling idag, t.ex. sådan behandling som innebär att den myndighet som ansvarar för ett nationellt kvalitetsregister kan svara på hur ett möjligt forskningsunderlag ser ut. Jämfört med motsvarande personuppgiftsbehandling i ett journalsystem torde personuppgiftsbehandlingen i ett nationellt kvalitetsregister, bl.a. beroende på registrets begränsade informationsmängder och strukturerade dokumentation, snabbare kunna ge svar på hur stort det potentiella forskningsunderlaget är. Myndigheten som har det centrala ansvaret för ett kvalitetsregister behöver även utföra sådan personuppgiftsbehandling för att kunna ta ställning till och eventuellt administrera begäran om utlämnande av uppgifter till den som ska utföra en forskningsstudie. Att antalsberäkna eller identifiera möjliga deltagare i forskningsstudier är därmed en nödvändig del av myndighetens arbete.
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
170
Utredningen bedömer att det redan av nuvarande regelverk med tillräcklig tydlighet följer att personuppgiftsbehandling för att antalsberäkna och/eller identifiera personer för forskning inom hälso- och sjukvården, är tillåtet i nationella och regionala kvalitetsregister. Detta eftersom det i regelverket för nationella kvalitetsregister uttryckligen framgår att personuppgifter som behandlas för kvalitetssäkring även får behandlas för forskning inom hälso- och sjukvården och för utlämnande till någon som ska bedriva sådan forskning. Något förtydligande härom i hälso- och sjukvårdsdatalagen anser vi därför inte behövs.
171
9 Säker och ändamålsenlig hantering av personuppgifter
9.1 Bakgrund
Dokumentationen i hälso- och sjukvården är utan tvekan av mer integritetskänslig karaktär än vad information i många andra sammanhang är. Det handlar i princip uteslutande om uppgifter om människors hälsa och livssituation. Av hänsyn till behovet av skydd för den personliga integriteten är det därför nödvändigt att de uppgifter om enskilda som dokumenteras i hälso- och sjukvården hanteras på ett säkert och ändamålsenligt sätt. Det handlar även om att inte äventyra enskildas förtroende för hälso- och sjukvårdens informationshantering. Samtidigt behöver uppgifter kunna användas på ett ändamålsenligt sätt i hälso- och sjukvården, så att enskilda patienter får en god och säker vård och så att kvaliteten och säkerheten i verksamheten fortlöpande kan utvecklas. Dokumenterade personuppgifter behöver därför sammantaget hanteras på ett sätt som gör att behovet av integritetsskydd kan tillgodoses samtidigt som verksamheten ges förutsättningar att skapa bästa möjliga resultat för patienterna.
Grundläggande förutsättningar för en ändamålsenlig informationshantering är bland annat att uppgifter finns tillgängliga när de behövs i och för vården av en patient. En annan förutsättning är att de uppgifter som dokumenteras om patienter förvaras och hanteras på ett sådant sätt att obehöriga inte kan komma åt dem, att uppgifter inte sprids utanför verksamheten, att de informationssystem som används i verksamheten är utformade på ett sådant sätt att integritetsskyddet tillgodoses, att en användares behörighet till uppgifter anpassas och begränsas till de behov som användaren har samt att åtkomsten till uppgifterna loggas och kontrolleras.
Det är vårdgivaren som har det yttersta ansvaret för informationssäkerheten i verksamheten. Det ansvaret är i dag främst
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
172
reglerat i patientdatalagen (2008:355), förkortad PDL, och i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Vårdgivarens övergripande ansvar för kvaliteten i vården regleras i hälso- och sjukvårdslagen (1982:763), förkortad HSL, patientsäkerhetslagen (2010:659), förkortad PSL, och Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete.
Utredningens utgångspunkt är att en lagstiftning om personuppgiftsbehandling i hälso- och sjukvården så långt möjligt bör ge ett samlat uttryck för de ändamål som ligger bakom ovan nämnda författningar.
9.2 Våra överväganden och förslag
Vår bedömning: Hälso- och sjukvårdsdatalagen bör innehålla
ett kapitel om en säker och ändamålsenlig hantering av personuppgifter där bestämmelser om inre sekretess samlas med bestämmelser om ansvaret för att uppgifter finns tillgängliga när det behövs för att arbetet i hälso- och sjukvården ska kunna utföras på ett sätt som tillgodoser enskildas behov av god och säker vård m.m.
Förtroendet för integritetsskyddet i informationshanteringen har relevans inte bara när det gäller den yttre sekretessen gentemot utomstående och vid överföring av personuppgifter inom hälso- och sjukvården. Det är även viktigt att det inom en vårdgivares verksamhet finns ett integritetsskydd avseende hanteringen av uppgifter om patienter, dvs. som har med den så kallade inre sekretessen att göra. Utredningen bedömer att de nuvarande bestämmelserna om inre sekretess m.m. bör föras över till den nya lagen endast med några mindre förändringar. Med regler om inre sekretess, behörighetsstyrning och åtkomstkontroll tydliggörs att det aldrig kan vara fråga om ett okontrollerat och fritt flöde av uppgifter inom hälso- och sjukvården.
Vårdgivaren har, som ovan nämnts, det övergripande ansvaret för informationssäkerheten i verksamheten. Informationssäkerheten handlar i detta avseende även om betydelsen av att de system som innehåller personuppgifter är lätta att använda och i övrigt
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
173
ändamålsenliga samt att systemen utformas på ett sätt som tillgodoser patienternas behov av integritetsskydd. Tillgång till personuppgifter i hälso- och sjukvården vid rätt tillfälle är en förutsättning för att enskilda patienter ska få en god och säker vård. Mot den bakgrunden anser vi att hälso- och sjukvårdsdatalagen även ska uttrycka vårdgivarens övergripande skyldighet att ta ansvar för att personalen har tillgång till de uppgifter som behövs för att utföra sina arbetsuppgifter på ett för verksamheten och för patienterna, tillfredsställande sätt. Balansen mellan behovet av uppgifter och den enskildes intresse av en integritetsskyddande hantering kan sammanfattas i devisen ”rätt information på rätt plats i rätt tid”. I ett kapitel om en säker och ändamålsenlig hantering bör dessa intressen förenas och tillsammans stödja en utveckling mot en ändamålsenlig informationshantering i hälso- och sjukvården.
Vi anser att bestämmelser som reglerar det övergripande ansvaret för en säker och ändamålsenligt hantering av personuppgifter i hälso- och sjukvården bör samlas i ett särskilt kapitel i lagen. Syftet med att välja ut några särskilt viktiga bestämmelser i detta avseende och lyfta dessa i ett eget avsnitt är att betona vårdgivarens och yrkesutövarnas ansvar för att uppfylla lagens syfte. Kapitlet bör omfatta några nya bestämmelser och några bestämmelser som överförs något omformulerade från patientdatalagen.
9.2.1 Ansvar för den som arbetar hos en vårdgivare – inre sekretess
Vårt förslag: Den nuvarande bestämmelsen i patientdatalagen
om inre sekretess ska överföras, med mindre justeringar, till hälso- och sjukvårdsdatalagen. I lagen ska anges att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon behöver uppgifterna för sitt arbete inom hälso- och sjukvården och uppgifterna ska användas för något av de i lagen tillåtna ändamålen för behandling av personuppgifter.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
174
Det personliga yrkesansvaret och tystnadsplikten
Utöver vårdgivarens yttersta ansvar för informationshanteringen har hälso- och sjukvårdspersonalen ett personligt yrkesansvar som innefattar ett ansvar för hantering av personuppgifterna. I det personliga yrkesansvaret ingår att utföra arbetet i enlighet med vetenskap och beprövad erfarenhet. En patient ska ges sakkunnig och omsorgsfull hälso- och sjukvård som uppfyller dessa krav. Vården ska så långt som möjligt utformas och genomföras i samråd med patienten och patienten ska visas omtanke och respekt (6 kap. 1 § PSL).
En grundläggande princip som gäller för hälso- och sjukvårdspersonalen är principen om tystnadsplikt. Den är juridiskt reglerad genom bestämmelserna i offentlighets- och sekretesslagen (2009:400), förkortad OSL, patientsäkerhetslagen och genom bestämmelser om inre sekretess. Utöver dessa tvingande regler är principen om tystnadsplikt inom hälso- och sjukvården även en grundläggande etisk princip som fanns uttryckt redan i den Hippokratiska eden.
Vad jag under min yrkesutövning än hör och ser bland människor av den beskaffenhet att det måhända icke bör spridas, ska jag förtiga och betrakta som osagt.
Tystnadsplikten finns också uttryckt i de yrkesetiska regler som yrkesutövare inom hälso- och sjukvården förbinder sig till. Läkarförbundet anför om sina yrkesetiska regler att den som valt att bli läkare har åtagit sig en svår och ansvarsfull uppgift, som kräver goda kunskaper och vilja att följa de etiska krav som läkaren genom årtusenden erkänt vara normgivande. I de etiska reglerna stadgas angående tystnadsplikten att läkaren ska iakttaga tystlåtenhet
om all information rörande enskild patient, såvida det inte äventyrar patientens väl.1 Den etiska koden för sjuksköterskor har motsva-
rande formuleringar. Det är nödvändigt med en förtroendefull relation mellan en patient och en yrkesutövare inom hälso- och sjukvården för att en god och säker vård ska kunna erbjudas.
Tystnadsplikten innebär ett förbud mot att röja uppgift, vare sig det görs muntligen, skriftligen eller på annat sätt. Inom vården handlar det inte enbart om dokumenterade uppgifter, utan även om alla andra typer av uppgifter som är av personlig art.
1 http://www.slf.se/Etikochansvar/Etik/Lakarforbundets-etiska-regler/
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
175
Inre sekretess
Reglerna om inre sekretess avser att skydda enskilda från att uppgifter om dem sprids på ett obehörigt sätt inom ett sekretessområde. Även om uppgifterna finns tillgängliga inom ett sekretessområde så innebär det inte att uppgifterna får användas eller spridas obefogat inom detta område. Den som arbetar i hälso- och sjukvården ska bara ta del av de uppgifter som han eller hon behöver för att utföra sina arbetsuppgifter. Den inre sekretessen avseende dokumenterade uppgifter är i dag reglerad i patientdatalagen. Ett ytterligare skydd för uppgifter inom ett sekretessområde är patientens möjlighet att spärra uppgifterna för åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess. Dessa viktiga bestämmelser och principer bärs upp både av vårdgivare och yrkesutövare och säkerställer ett grundläggande skydd för patientens integritet. Detta skydd är helt nödvändigt för allmänhetens förtroende för hälso- och sjukvården.
Lagens kapitel om säker och ändamålsenlig hantering av personuppgifter bör enligt vår bedömning inledas med en bestämmelse som riktar sig till den som arbetar hos en vårdgivare och som reglerar ansvaret för den inre sekretessen. Bestämmelsen är inte ny utan är en omformulering av den bestämmelse om inre sekretess som gäller i dag. Denna bestämmelse är förmodligen den som ställt till med mest tillämpningsproblem i gällande patientdatalag. Vi har därför velat förtydliga den och sätta den i ett sammanhang som generellt handlar om ansvar för en säker hantering av uppgifter i vården.
Enligt vårt förslag får den som arbetar hos en vårdgivare endast ta del av dokumenterade uppgifter om en patient om han eller hon behöver uppgifterna för sitt arbete inom hälso- och sjukvården och uppgifterna ska användas för något av de ändamål som är tillåtna enligt lagen. Vi anser således att man kan ta bort det första ledet ”om han eller hon deltar i vården av patienten” som finns i dagens bestämmelse och gå direkt på kravet att uppgifterna ska behövas i arbetet i hälso- och sjukvården. Den som deltar i vården av en patient behöver ju uppgifterna för sitt arbete inom hälso- och sjukvården. Vi anser därför att det räcker med att koppla kravet till behovet av uppgifterna i arbetet. Vi hoppas att det ska leda till mindre missförstånd eftersom många läsare stannar vid första ledet ”deltar i vården” och därför tolkar bestämmelsen mer restriktivt än nödvändigt.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
176
För att göra bestämmelsen mer komplett bör de enligt vår bedömning hänvisa till den grundläggande ändamålsbestämmelsen i hälso- och sjukvårdsdatalagen. Ändamålsbestämmelsen beskriver för vilka syften det är tillåtet att behandla personuppgifter i hälso- och sjukvården. För att den som arbetar åt vårdgivaren ska få behandla personuppgifter måste uppgifterna behövas i arbetet hos vårdgivaren för ett av de tillåtna ändamålen. Detta gäller visserligen redan i dag, men vi gör bedömningen att det kan underlätta tillämpningen om hänvisningen till vilka ändamål som är tillåtna finns uttryckligt med i bestämmelsen. Eftersom vi även tydliggjort själva ändamålsbestämmelsen på ett sådant sätt att personuppgifter får behandlas om det behövs för att förebygga, utreda eller behandla sjukdomar och skador hos patienten bedömer vi att vägledningen för yrkesutövarna nu blir bättre än tidigare.
Genom hänvisningen till ändamålsbestämmelsen blir det därför tydligt att den som arbetar hos en vårdgivare får ta del av uppgifter om en patient om det behövs exempelvis för
• patientens vård och behandling,
• att föra journal,
• att upprätta administration som rör patientens vård,
• planering, uppföljning, utvärdering och tillsyn av verksamheten,
• att framställa statistik om hälso- och sjukvården, eller
• att kunna administrera utlämnanden av patientuppgifter.
Ett annat exempel på ett tillåtet ändamål för behandling av personuppgifter är att ”systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten”. Detta syfte knyter an till vårdgivarens grundläggande skyldighet enligt hälso- och sjukvårdslagen att vara aktiv när det gäller att utveckla verksamhetens kvalitet. Den som arbetar hos en vårdgivare kan därmed, med stöd av vårdgivarens uppdrag, ta del av uppgifter om en patient för sitt arbete med att kvalitetssäkra sina insatser och bedömningar m.m.2
Situationen då den som arbetar år en vårdgivare överväger att ta del av uppgifter som finns tillgängliga inom den egna verksamheten liknar den då yrkesutövaren ska ta ställning till om han eller hon har rätt att ta del av uppgifter som har gjorts tillgängliga genom
2 Läs mer om att använda personuppgifter för att utveckla kvaliteten i verksamheten i vår delredovisning enligt direktiv 2013:43, bilaga 4
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
177
direktåtkomst av en annan vårdgivare. Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon behöver uppgifterna för sitt arbete åt vårdgivaren. Den grundförutsättningen gäller både vid sammanhållen journalföring och när man tar del av uppgifter i den egna verksamheten. Den föreslagna bestämmelsen om inre sekretess ska tillämpas oavsett om uppgifterna finns inom verksamheten eller har gjorts tillgängliga av en annan vårdgivare. I sammanhanget ska dock förtydligas att de tillåtna ändamålen för åtkomst till uppgifter hos andra vårdgivare i system för sammanhållen journalföring är begränsade.
Det ligger ett ansvar på vårdgivare att utveckla goda rutiner och adekvata metoder för att uppfylla de krav på säker och ändamålsenlig hantering som måste ställas. Det innebär ett ansvar för att genom utbildning och på annat sätt se till att personalen känner till vad som gäller avseende hantering av personuppgifter. I detta ansvar ingår att följa upp att utarbetade rutiner och andra interna regler verkligen tillämpas av personalen i det vardagliga arbetet.3
9.2.2 Ansvar för att uppgifter är tillgängliga när de behövs
Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att vård-
givaren ska se till att dokumenterade personuppgifter är tillgängliga för den som arbetar hos en vårdgivare när uppgifterna behövs i och för vården av en patient.
Vårdgivaren är ytterst ansvarig för informationshanteringen och för verksamheten som helhet och ska se till att uppgifterna hanteras på ett sådant sätt att de är tillgängliga för de som behöver uppgifterna i sitt arbete inom hälso- och sjukvården och så att de skyddas från obehöriga. Även om det inte föreligger någon tveksamhet om vårdgivarens ansvar kan det var ett bra stöd vid tillämpningen av lagen att också konkret uttrycka vad detta ansvar innefattar. Själva syftet med att föra patientjournal går förlorad om uppgifterna inte finns tillgängliga där de behövs. Därför måste vårdgivaren vara medveten om detta ansvar och arbeta systematiskt med att säkerställa att personuppgifterna finns tillgängliga i verksamheten. Det behöver t.ex. finnas väl utarbetade skydd mot
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
178
avbrott i systemen, reservplaner och robusta rutiner för tilldelning av behörigheter m.m.
Att ha tillgång till korrekta och relevanta uppgifter om en patient är en förutsättning för att hälso- och sjukvårdspersonalen ska kunna leva upp till kraven på god och säker vård. Utredningen gör bedömningen att det av tydlighetsskäl är nödvändigt att inte enbart uttrycka kraven på integritetsskyddande åtgärder i lagen. Det är viktigt att betona även tillgänglighetsaspekten.
9.2.3 Ansvar för att skydda uppgifterna vid överföring via internet m.m.
Vårt förslag: I hälso- och sjukvårdsdatalagen ska tas in bestäm-
melser om att vårdgivare ska se till att dokumenterade personuppgifter hanteras och förvaras så att obehöriga inte får tillgång till dem. Om internet eller andra jämförliga nät används för att överföra personuppgifter som behandlas enligt hälso- och sjukvårdsdatalagen, ska vårdgivaren se till att överföringen görs så att ingen obehörig kan ta del av uppgifterna.
Bestämmelsen i 4 kap. 6 § PDL om landstingets ansvar för att skydda patientens identitet i vissa fall ska överföras till den nya lagen.
Kravet att vårdgivaren ska se till att obehöriga inte kan ta del av dokumenterade personuppgifter är en omformulering av sista stycket i nu gällande syftesbestämmelse i 1 kap. 2 § PDL. Vi anser att denna bestämmelse istället ska utformas som en materiell bestämmelse om ansvar för vårdgivaren. Vårdgivaren som har det yttersta ansvaret för att verksamheten bedrivs säkert ur alla aspekter ansvarar också för att se till att dokumenterade personuppgifter hanteras och förvaras så att obehöriga inte kan ta del av dem. Detta gäller redan i dag men är inte lika tydligt reglerat på den övergripande nivån.
Ansvaret innebär bl.a. att vårdgivaren måste se till att de informationssystem som används i verksamheten är skyddade mot obehörig åtkomst och att det finns bra system för tilldelning av behörighet och för åtkomstkontroll. Bestämmelsen syftar till att skydda uppgifterna från otillåten spridning såväl inom som utom verksamheten.
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
179
Överföring av personuppgifter över internet eller andra jämförliga nät
I dag kommuniceras personuppgifter allt mer över internet eller andra jämförliga nät. Det kan handla både om sådan mer intern informationsöverföring som görs mellan olika delar av en vårdgivares verksamhet och om sådan överföring som görs till mottagare utanför den egna vårdgivarens organisation. Som exempel på det senare kan nämnas sådant informationsutbyte som görs med stöd av de regler om direktåtkomst som föreslås längre fram. Ett annat exempel kan vara överföring av uppgifter om den enskilde till den enskilde själv.
Internet är ett exempel på vad som i allmänhet brukar betraktas som ett öppet nät. Som ett annat sådant exempel anges ofta även Sjunet, vilket är ett nät med många anslutna kunder som exempelvis samtliga landsting, ett antal kommuner, ett antal privata vårdgivare samt Skatteverket, Apoteket och ett antal leverantörer. Av utredningens förslag följer särskilda krav på säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät. Med andra jämförliga nät avser utredningen sådana öppna nät som kan jämföras med internet. Det finns emellertid ingen legaldefinition av öppet nät. Datainspektionen har dock i ett ärende uttalat följande av intresse i sammanhanget.4
Avgörande för frågan om ett intranät är ett öppet nät är hur det är konfigurerat, vilka och hur många som trafikerar nätet och kan ta del av resurser anslutna till nätet samt hur god säkerheten i övrigt är för nätverket. Ett öppet nät kan sägas karaktäriseras av att fler än den personuppgiftsansvarige kan ta del av uppgifter som kommuniceras i nätet eller nå resurser som är tillgängliga via det.
Det är enligt vår bedömning inte möjligt att hälso- och sjukvårdsdatalagen definiera öppna nät eller närmare precisera vad som avses med andra jämförliga nät. Vi bedömer dock att vägledning för tillämpningen kan hämtas ur Datainspektionens uttalande ovan. Vårdgivare i hälso- och sjukvården behöver därför göra en bedömning av om de nät, utöver internet, som används för överföring av personuppgifter är sådana som, exempelvis beroende på hur de är konfigurerade och om flera personuppgiftsansvariga kan ta del av uppgifter som kommuniceras i nätet, är att betrakta som sådana andra jämförliga nät som avses i den föreslagna bestämmelsen.
4 Datainspektionen, dnr. 1409-2012
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
180
I jämförelse med helt verksamhetsintern informationshantering, t.ex. på interna nätverk som inte är exponerade mot internet och där inga andra personuppgiftsansvariga använder samma nät, kan särskilda risker uppstå när uppgifter överförs över internet. Av den anledningen är det nödvändigt att vidta särskilda säkerhetsåtgärder för att skydda uppgifterna och minska risken för att obehöriga personer kan få tillgång till informationen. Vid en bedömning av vilka åtgärder som bör vidtas och karaktären på dessa ska bland annat hänsyn tas till hur pass känsliga personuppgifter det rör sig om. Enligt personuppgiftslagen (1998:204), förkortad PUL, gäller särskilda begränsningar för behandling av s.k. känsliga personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Om sådana personuppgifter överförs via internet eller andra jämförliga nät måste den personuppgiftsansvarige vidta särskilda åtgärder för att skydda uppgifterna.
Även andra personuppgifter, som i och för sig inte omfattas av uppräkningen av de s.k. känsliga personuppgifterna i 13 § PUL, kan naturligtvis också vara så integritetskänsliga att även de kräver mer omfattande säkerhetsåtgärder, till exempel uppgifter om lagöverträdelser enligt 21 § PUL. Omständigheter som kan peka på att uppgifterna är mer integritetskänsliga är exempelvis om uppgifterna omfattas av tystnadsplikt eller sekretess, om behandlingen omfattas av en särskild registerlagstiftning eller om uppgifterna rör enskildas personliga förhållanden.
Mot bakgrund av ovanstående kan konstateras att uppgifter inom hälso- och sjukvården i det närmaste uteslutande är att betrakta som känsliga enligt 13 § PUL, eftersom uppgifterna rör enskildas hälsa. Uppgifterna ska därmed skyddas på ett särskilt sätt vid överföring över t.ex. internet.
När det gäller de närmare kraven på säkerhetsåtgärder har Datainspektionen i sin tillämpning av 31 § PUL sedan länge slagit fast att känsliga personuppgifter får lämnas ut via öppna nät (t.ex. internet) endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering (t.ex. e-legitimation), engångslösenord eller motsvarande. I praxis har även termen stark autentisering använts för att beskriva detta. Dessutom ska, enligt samma praxis, känsliga personuppgifter vara krypterade vid överföring.
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
181
För hälso- och sjukvårdens del uttrycks detta, i princip, genom bestämmelser i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Av 2 kap. 5 § nämnda föreskrifter följer att vårdgivare som använder öppna nät för att hantera patientuppgifter ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att överföringen av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna och att åtkomst till patientuppgifter föregås av stark autentisering.
Några bestämmelser härom finns emellertid inte i patientdatalagen. Utredningen bedömer att detta är en inte helt tillfredsställande lösning med avseende på den omfattande behandling av känsliga personuppgifter som görs inom hälso- och sjukvården. Vidare är utredningens utgångspunkt att hälso- och sjukvårdsdatalagen ska vara så uttömmande som möjligt ifråga om de integritetsskyddsbestämmelser som det bedöms finnas särskilt behov av för hälso- och sjukvårdens del. Därför anser vi att det i den föreslagna lagen bör tas in en grundläggande bestämmelse som tydliggör kravet på särskilda säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät.
Sammantaget föreslår utredningen således att det i hälso- och sjukvårdsdatalagen ska tas in en bestämmelse som tydliggör kraven på säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät. Om vårdgivare använder internet eller andra jämförliga nät för att överföra personuppgifter som behandlas enligt hälso- och sjukvårdsdatalagen, ska denne se till att överföringen görs så att ingen obehörig kan ta del av uppgifterna. Det innebär i praktiken att uppgifterna måste överföras genom en krypterad förbindelse eller genom att uppgifterna i sig krypteras.
9.2.4 Ansvar för informationssystemens utformning
Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att vård-
givare ska se till att de informationssystem som innehåller personuppgifter är lätta att använda, stödjer det kliniska arbetet, underlättar arbetet med kvalitetsutveckling, underlättar samverkan och utbyte av uppgifter samt är utformade på sådant sätt att patienternas integritetsskydd tillgodoses.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
182
Vårdgivaren har ett yttersta ansvar för informationshanteringen och för verksamheten som helhet. Av hälso- och sjukvårdslagen följer att hälso- och sjukvården ska vara av god kvalitet och att det ska finnas den personal, de lokaler och den utrustning som behövs för att god vård ska kunna ges. Vidare är vårdgivaren skyldig att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. I Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete finns bestämmelser om hur detta kvalitetsarbete ska bedrivas. Tanken är att vårdgivaren med hjälp av processer och rutiner samt ett systematiskt förbättringsarbete ska uppnå kvalitet i verksamheten. Det systematiska förbättringsarbetet ska bestå av riskanalys, egenkontroll och hantering av avvikelser.
Svensk sjukvård har sedan länge en hög datoriseringsgrad. Till exempel har i princip alla landsting it-stöd för all vårddokumentation. Trots detta anser professionernas företrädare att huvuddelen av systemen inte ger det stöd i arbetet som behövs för att bedriva en effektiv och säker verksamhet.5 Ett informationssystem bör stödja yrkesutövaren i arbetssituationen. Systemet bör t ex att underlätta att göra rätt och förhindra att göra fel både i systemet och vid utförandet av vårdinsatserna. Ett användarvänligt informationssystem kan öka vård- och omsorgskvaliteten för vårdtagare och personal samt minska kostnaderna för vårdgivaren.
Vi föreslår en bestämmelse som konkretiserar några av de grundläggande krav som måste ställas på ett informationssystem som innehåller personuppgifter och som ska användas i och för vården av en patient. Vårdgivaren är ytterst ansvarig för att en god och säker vård ges och för hanteringen av personuppgifter i verksamheten. I detta ligger även ett ansvar för att kravställa och upphandla informationssystem som är ändamålsenliga, säkra och kan användas som stöd i arbetet.
Vi föreslår att bestämmelsen ställer ett uttryckligt krav på vårdgivaren att se till att de informationssystem som innehåller personuppgifter är lätta att använda och stödjer det kliniska arbetet. Detta krav finns även uttryckt som ett av målen för Nationell eHälsa6:
5 Störande eller stödjande? Om eHälsosystemens användbarhet 2013 6 Nationell eHälsa 2010 – strategin för tillgänglig och säker information inom vård och omsorg
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
183
Vård- och omsorgspersonal ska ha tillgång till välfungerande och samverkande elektroniska beslutsstöd som säkerställer en hög kvalitet och säkerhet samtidigt som det underlättar deras dagliga arbete. Nödvändig och strukturerad information ska finnas tillgänglig som underlag för beslut om insatser och behandlingar.
Vi föreslår också att bestämmelsen ska omfatta krav på vårdgivaren att se till att informationssystemen underlättar kvalitetsarbetet. Vårdgivare fullgör sitt ansvar för att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten genom en antal olika aktiviteter, som alla tillsammans bidrar till en övergripande systematik och en struktur för ledning av kvalitetsarbetet. Att ta del av personuppgifter för att säkra och följa upp vårdens resultat är endast en av många saker som görs inom ramen för det systematiska kvalitetsarbetet. Informationssystemen måste vara uppbyggda så att det är möjligt att använda personuppgifter för att fortlöpande och systematiskt utveckla och säkra kvaliteten i verksamheten. Vi vill i sammanhanget även poängtera vikten av att informationssystemen utformas på ett sådant sätt att den enskildes behov av integritetsskydd tas tillvara vid kvalitetsarbetet. Bland annat måste vårdgivare verka för att inte fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet används vid kvalitetsarbetet. Informationssystemen kan därför, bland annat, behöva utformas så att användaren inte exponeras för fler personuppgifter än vad som är nödvändigt och att sammanställningar och andra underlag som tas fram vid kvalitetsarbetet inte innehåller personuppgifter som är direkt hänförliga till enskilda individer.
Vi föreslår även att vårdgivarens ansvar för att systemen ska möjliggöra samverkan med andra enheter, verksamheter och vårdgivare och utbyte av uppgifter uttrycks i bestämmelsen. För att lyckas med detta måste vårdgivaren arbeta med informationssystemens struktur och innehåll. Vårdgivaren kan i detta arbete exempelvis få stöd av Socialstyrelsens arbete med en nationell informationsstruktur och ett nationellt fackspråk.
Vidare innebär det övergripande ansvaret för de informationssystem som innehåller personuppgifter, enligt utredningens förslag, ett krav på att utforma systemen på ett sådant sätt att integritetsskyddet tillgodoses. Att direkt i verksamhetssystemen bygga in integritetsskyddande funktioner som för personalen gör det lätt att göra rätt och svårt att göra fel, har stora fördelar. Att implementera integritetsskydd i teknik ger ökade förutsättningar för ett starkt integritetsskydd. Bestämmelsen uttrycker ett samlat ansvar för
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
184
vårdgivaren för flera aspekter av informationssäkerhet vid hanteringen av personuppgifter i hälso- och sjukvården. Det är alltså ett ansvar för att lagens intentioner kan genomföras.
9.2.5 Ansvar för behörighetstilldelning
Vårt förslag: Den nuvarande paragrafen om tilldelning av
behörighet för elektronisk åtkomst ska föras över från patientdatalagen något förändrad. Vi föreslår att ordet anpassas införs i paragrafen. Behörigheten ska anpassas och begränsas till vad som behövs för att den som arbetar hos en vårdgivare ska kunna fullgöra sina arbetsuppgifter. Vidare ska regeringen eller den myndighet regeringen bestämmer få meddela föreskrifter om tilldelning av behörigheter.
Inledning
Regler om behörighetsstyrning är enligt utredningens bedömning alldeles nödvändiga för att tillgodose enskildas behov av integritetsskydd inom hälso- och sjukvården. Bestämmelser om behörighetsstyrning syftar till att upprätthålla integritetsskyddet och allmänhetens förtroende för hälso- och sjukvårdens informationshantering, men även till att främja en mer ändamålsenlig informationshantering sett ur ett patientsäkerhets- och effektivitetsperspektiv. Förutom att skydda den personliga integriteten kan en bra behörighetsstyrning medföra att hälso- och sjukvårdspersonalens åtkomst till uppgifter blir mer anpassade efter de enskilda användarnas behov. Genom en effektiv behörighetsstyrning kan exempelvis journalsystemens gränssnitt utformas så att de i större utsträckning än tidigare anpassas efter enskilda användares behov av uppgifter för att kunna utföra sitt arbete. I stället för att användaren ska exponeras för sådana uppgifter som är oväsentliga i sammanhanget eller behöva leta efter de relevanta uppgifterna kan behörighetsstyrningen bidra till att användaren snabbare får tillgång till just den information som behövs. En välutvecklad behörighetsstyrning kan därför ha positiva effekter inte bara på integritetsskyddet och på patientsäkerheten och effektiviteten i hälso- och sjukvården, utan även på informationssystemens användbarhet.
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
185
Utredningen föreslår att de nuvarande bestämmelserna i 4 kap. 2 § PDL om vårdgivarens ansvar för tilldelning av behörighet för åtkomst förs över från patientdatalagen. Även fortsättningsvis ska regeringen eller den myndighet regeringen bestämmer få meddela föreskrifter om tilldelning av behörigheter. Utredningen delar även regeringens bedömning att utgångspunkten ska vara att behörigheten begränsas till vad enskilda yrkesutövare behöver för att kunna utföra sitt arbete.7 Mot bakgrund av vad vi anför ovan anser vi samtidigt att bestämmelsen, bland annat för att tydliggöra behörighetsstyrningens koppling till patientsäkerhet, effektivitet och användbarhet, kan behöva justeras något. I sak avser vi inte att förändra innebörden av bestämmelsen. Vi vill däremot tydliggöra att behörighetsstyrningen inte endast handlar om åtgärder som begränsar utan även om åtgärder som anpassar informationstillgången efter användarens behov.
Vi anser därför att det i bestämmelsen inte bara ska uttryckas att behörigheterna ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter utan också att behörigheterna ska anpassas till vad som behövs för arbetsuppgifterna. Vi anser att det kan ha ett positivt signalvärde att konkret uttrycka att utformningen av behörigheten för åtkomst inte enbart avser att skydda den registrerades integritet utan också – i linje med lagens syfte – ska säkerställa yrkesutövarens tillgång till de uppgifter som behövs för att kunna erbjuda patienten en god och säker vård.
En väl fungerande behörighetsstyrning kan även bidra till att öka kvaliteten, säkerheten och effektiviteten i vården. Med en mer strukturerad vårddokumentation och en väl fungerande behörighetsstyrning ökar förutsättningarna för att anpassa gränssnitten för personalens tillgång till uppgifter i ett journalsystem efter varje användares behov. Vid våra kontakter med hälso- och sjukvårdspersonal framkommer ofta kritik mot journalsystemens utformning och bristande anpassning efter olika yrkesutövares behov. Inte sällan påtalas att yrkesutövare behöver sålla bland ostrukturerad och för dem i situationen irrelevant information. För att kunna skräddarsy användargränssnitten behöver sannolikt ett omfattande arbete göras med att strukturera och klassificera informationen i hälso- och sjukvården. I ett sådant arbete bör organisatoriska och tekniska åtgärder för en mer ändamålsenlig behörighetsstyrning ha en naturlig plats.
7Prop. 2007/08:126 s. 148 f. och 239 f.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
186
Närmare om behörighet och behörighetsstyrning
Behörighet för åtkomst är en användares faktiska möjligheter att ta del av uppgifter exempelvis i journalsystem. Behörighetsstyrningen är de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete.
Den som arbetar hos en vårdgivare ska tilldelas en individuell behörighet för åtkomst till uppgifter om patienter. Behörigheten för åtkomst till uppgifter ska vara anpassad efter den anställdes behov av uppgifter för att kunna utföra sitt arbete. Det innebär exempelvis att olika personalkategorier m.m. behöver ha olika behörigheter för elektronisk åtkomst till uppgifter om enskilda. Sådana uppgifter som en anställd över huvud taget inte har behov av att ta del av för att kunna utföra sitt arbete ska i normala fall därmed inte vara elektroniskt tillgängliga för den anställde. Behörigheten handlar därmed om den tekniska möjlighet en anställd har att ta del av uppgifter. Bestämmelser om behörighetsstyrning kompletterar därför bestämmelsen om inre sekretess som nämnts ovan.
I verksamheter som hanterar en stor mängd mycket integritetskänsliga uppgifter, som hälso- och sjukvården, ställs stora krav på en ändamålsenlig behörighetsstyrning. Även om det vid behörighetsstyrning kan vara svårt att vid varje givet tillfälle uppnå ett exakt förhållande mellan en användares behov och en användares tekniska möjligheter att ta del av uppgifter, måste ambitionen hos den som bedriver verksamheten att komma så nära som möjligt. En del av utmaningen ligger i att det i vissa verksamheter är svårt att förutse vilka individer som en användare kommer att möta i sitt yrke. I vissa delar av hälso- och sjukvården är den osäkerheten ett naturligt inslag som måste vägas in i styrningen av behörigheterna. Det är viktigt att behörigheten inte blir för snäv utan att den är anpassad till de tänkbara behov som finns, så att inte kvaliteten och säkerheten i vården av patienterna riskeras. Dessa svårigheter utgör dock inget skäl för att låta bli att göra de begränsningar av behörigheterna som är motiverade. Sådana uppgifter som en användare inte alls har något behov av ska inte heller vara tekniskt åtkomliga för användaren, dvs. inte ligga inom användarens behörighet.
Det är inte endast användarens behörighet för åtkomst till uppgifter som avgör vad som är tillåtet i enskilda fall. Behörigheten anger generellt, som nämnts ovan, endast vad användaren kan göra,
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
187
dvs. vilka tekniska möjligheter användaren har att ta del av uppgifter. För att en användare ska få ta del av uppgifter krävs dessutom att han eller hon har behov av de aktuella uppgifterna för att kunna utföra sitt arbete. Ju vidare användarnas behörigheter är, desto större kan utrymmet sägas bli mellan vad användarna kan göra och vad de får göra. En sådan situation ställer även stora krav på olika former av integritetsskyddande åtgärder som verkar både preventivt och reaktivt. Det handlar exempelvis om kontinuerlig information till användarna om vilka förväntningar ledningen har på hur uppgifter ska användas i verksamheten, om vad som är tillåtet och inte m.m. Ytterligare en viktig åtgärd är självklart systematiska och fortlöpande kontroller av användarnas åtkomst till uppgifter om enskilda.
9.2.6 Ansvar för kontroll av elektronisk åtkomst
Vårt förslag: Bestämmelserna om åtkomstkontroll i 4 kap. 3 §
patientdatalagen ska föras över oförändrade till hälso- och sjukvårdsdatalagen.
En vårdgivare ska enligt nuvarande bestämmelser i 4 kap. 3 § patientdatalagen se till att åtkomst till uppgifter om patienter dokumenteras och att systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter görs. Vidare har regeringen eller den myndighet som regeringen bestämmer en möjlighet att meddela föreskrifter om dokumentation av åtkomst och åtkomstkontroll. Sådana närmare bestämmelser finns i dag i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.
Utredningen föreslår att paragrafen om åtkomstkontroll förs över oförändrad till hälso- och sjukvårdsdatalagen. Paragrafen behandlades av regeringen i prop. 2007/08:126 s. 149 f. och 240 f.
Dokumentation av åtkomsten (behandlingshistorik)
En förutsättning för att över huvud taget kunna kontrollera om någon obehörig har tagit del av uppgifter om enskilda är att den åtkomst som förekommer till uppgifter dokumenteras, dvs. loggas. Loggen bildar därmed den behandlingshistorik som behövs för att
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
188
kunna ta ställning till om en otillåten åtkomst har ägt rum. Av behandlingshistoriken måste det därför gå att utläsa den information som behövs för att historiken ska kunna ligga till grund för den systematiska och återkommande kontrollen av obehörig åtkomst.
Enligt vår uppfattning är det inte lämpligt att i lag slå fast exakt vad som ska loggas för att kontrollen ska kunna bedrivas på ett ändamålsenligt sätt. Normalt brukar anföras att en logg åtminstone ska kunna svara på vilken användare som tagit del av uppgifter, vilken individs uppgifter det rör, vilka åtgärder som vidtogs med uppgifterna samt vid vilken tidpunkt det gjordes. Utredningen bedömer dock att närmare föreskrifter om dokumentation av åtkomst och åtkomstkontroll, precis som i dag, med fördel meddelas på myndighetsnivå och det är förutsatt att det ska vara Socialstyrelsen som meddelar dessa föreskrifter efter samråd med Datainspektionen.
Åtkomstkontroll
Paragrafen innebär att vårdgivare, precis som i dag, ska genomföra systematiska och återkommande kontroller av om någon obehörigen kommit åt uppgifter om patienter. Det räcker därmed inte att göra kontroller vid särskilda fall när obehörig åtkomst misstänkts, utan kontrollerna ska göras systematiskt och återkommande.
För hälso- och sjukvårdens del har kraven på åtkomstkontroll delvis gett upphov till en osäkerhet kring vad en vårdgivare bör tänka på när denne utformar sina närmare riktlinjer för den systematiska logguppföljningen. Bland annat av den anledningen har Datainspektionen tagit fram en checklista som sammanfattar ett antal grundläggande principer som kan vara vägledande för den systematiska uppföljningen. Av checklistan framgår bland annat följande.8
• Informera personalen om att logguppföljning görs. Det har en preventiv effekt. Personalen behöver informeras om det egna ansvaret, det vill säga under vilka omständigheter de får ta del av uppgifter och om följderna av att olovligen ta del av uppgifter.
• Gå igenom de krav som ställs på loggarna och kontrollera att de tekniska förutsättningarna för åtkomstkontroll finns.
8 Datainspektionen, Checklista för hälso- och sjukvården, Systematisk logguppföljning
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
189
• Bestäm urval och omfattning och utforma en verkningsfull rutin.
• Följ rutinen och dokumentera resultatet av granskningen.
• Utvärdera och utveckla rutinen.
I checklistan förmedlar Datainspektionen även det viktiga budskapet att det inte endast är antalet loggkontroller som avgör hur verkningsfullt arbetet med åtkomstkontroll är. I linje med Datainspektionens uttalande nedan anser utredningen att vårdgivare behöver analysera de närmare förutsättningarna för verksamheten och utforma en rutin för logguppföljning som bedöms verkningsfull för den enskilda verksamheten. I dag finns även tekniska hjälpmedel i form av olika logganalysverktyg som kan underlätta åtkomstkontrollen.
Bestäm med vilken omfattning (antal och tidsintervall) logguppföljningen ska ske. Eftersom det inte enbart är antalet loggposter vid logguppföljningen som avgör om kontrollen blir verkningsfull, finns det inget generellt svar på hur många loggposter som bör granskas vid varje tillfälle. Varje vårdgivare måste ta hänsyn till verksamhetens omfattning (antalet patienter och personal med behörighet) samt vilket urval och vilken systematik som används vid uppföljningen.
Utöver ovanstående bedömer utredningen att en patients tillgång till loggar, t.ex. via internet, om den åtkomst till uppgifter om patienten själv som har förekommit, kan vara ett komplement till vårdgivarens arbete med åtkomstkontroller. Sådan tillgång för patienten förändrar dock inte det rättsliga ansvar för åtkomstkontrollen som följer av utredningens förslag.
9.2.7 Tillsyn över en säker och ändamålsenlig hantering av personuppgifter
Hantering av information är en förutsättning för den faktiska verksamheten i hälso- och sjukvården. Informationen som genereras i verksamheten används för att skapa bästa möjliga resultat för patienten och måste samtidigt hanteras så att den personliga integriteten skyddas så långt det är möjligt.
Det är Inspektionen för vård och omsorg (IVO) och Datainspektionen som har tillsynen över hur vårdgivaren uppfyller sitt ansvar för informationshanteringen i verksamheten.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
190
Datainspektionen ska genom sin tillsynsverksamhet bidra till att behandlingen av personuppgifter inte leder till otillbörliga intrång i enskilda individers personliga integritet. Det innebär exempelvis att Datainspektionen kan kontrollera att vårdgivaren vidtar tillräckliga säkerhetsåtgärder för att skydda personuppgifterna, till exempel att vårdgivaren har rutiner för behörighetsstyrning och åtkomstkontroll. Tillsynsmyndighetens tillsynsansvar omfattar även behandling av personuppgifter inom socialtjänsten.
Som har redovisats i tidigare avsnitt har Datainspektionen varit aktiv i sin tillsyn över personuppgiftsbehandlingen inom hälso- och sjukvården. Tillsynen har satt ljuset på en bristande efterlevnad av flera av de bestämmelser som särskilt syftar till att värna den personliga integriteten.
IVO har tillsynsansvaret för hälso- och sjukvården och dess personal samt socialtjänst och för verksamhet enligt lagen (1993:387) om stöd och service till vissa funktionshindrade. Syftet med tillsynen är att granska att befolkningen får vård och omsorg som är säker, har god kvalitet och bedrivs i enlighet med lagar och andra föreskrifter. För att en säker verksamhet ska kunna bedrivas måste personuppgifter finnas tillgängliga där de behövs för att ge god vård och omsorg. Kvalitet inom hälso- och sjukvården förutsätter också en säker hantering av personuppgifter så att obehöriga inte får del av dessa. Insatser av hög kvalitet kan inte ges utan tillit mellan de som erbjuder insatserna och individen. På det sättet ingår integritetsskyddet även i IVO:s tillsynsansvar.
I takt med att hälso- och sjukvården utvecklas och nya sätt att hantera information implementeras i vården måste, enligt utredningens mening, även tillsynen utvecklas. Det är liksom förut nödvändigt att en myndighet som IVO utövar tillsyn över att patientjournaler förs och att dokumentationen innehåller rätt uppgifter. Men ett journalsystem är inte bara bärare av information, det är också ett nödvändigt arbetsverktyg för yrkesutövare i den patientnära hälso- och sjukvårdsverksamheten. Detta verktyg måste kunna användas på ett säkert sätt. Det kräver såväl rätt kompetens hos användaren som rätt utformning av informationssystemet.
Informationssystem kan, om de inte är ändamålsenligt utformade, i sig innebära risker i vården. Det finns enligt utredningens bedömning anledning för vårdgivare att arbeta mer aktivt med kravställning och utveckling av de informationssystem som används i vården. Hur ska systemen vara utformade för att
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
191
vara användbara? Hur ska de vara utformade för att underlätta och stödja det patientnära arbetet? Hur ska de vara utformade för att säkerställa att viktig information inte missas i samband med ställningstaganden kring patienternas behandling? Hur ser ett ändamålsenligt användargränssnitt ut i olika delar av hälso- och sjukvården? Har verksamheten ändamålsenliga rutiner för in- och utloggning m.m.?
Dessa verksamhetsnära frågor, som har betydelse för hur verksamheten kan bedrivas på ett säkert och effektivt sätt ingår därför också i tillsynsmyndigheternas uppdrag. De informationssäkerhetsaspekter som aktualiseras i dessa frågeställningar har betydelse för patientens säkerhet och kvaliteten i den vård patienterna erbjuds. Patientens säkerhet handlar såväl om att skydda patienten mot kroppsliga skador och psykiskt lidande och mot dödsfall som hade kunnat undvikas. Men kraven måste, enligt utredningens mening, ställas högre; kvaliteten i hälso- och sjukvården måste utvecklas och ständigt bli bättre. Ändamålsenliga informationssystem som används på rätt sätt kan förbättra kvaliteten i hälso- och sjukvården. Det är därför nödvändigt med en aktiv tillsyn från båda tillsynsmyndigheterna i syfte att följa hur vårdgivarna tar sitt ansvar för en säker, ändamålsenlig och effektiv hantering av informationen och de system som hanteras den.
Utredningen anser att det kan finnas anledning för tillsynsmyndigheterna att fånga upp de signaler som yrkesutövare inom hälso- och sjukvården lyft i olika sammanhang vad gäller informationssystemens användbarhet. Av t.ex. rapporten Störande eller stödjande framgår att tekniken många gånger upplevs som ett hinder för att kunna ge god vård på ett effektivt sätt.9
Utredningens förhoppning är, att den tydligare regleringen av ansvaret för en säker och ändamålsenlig hantering av information som vi föreslagit i det föregående, kan utgöra ett bra stöd för en ännu effektivare tillsyn av hur vårdgivarna uppfyller detta ansvar.
9 Störande eller stödjande? Om eHälsosystemens användbarhet 2013
193
10 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
10.1 Bakgrund
Dagens utveckling med ökad mångfald av aktörer i hälso- och sjukvård och socialtjänst, ökade krav på samverkan och ökad patient- och brukarrörlighet har medfört nya behov av att samarbeta i frågor som innefattar behandling av personuppgifter. Vårdgivare i hälso- och sjukvården och utförare i socialtjänsten kan inte på samma sätt som tidigare arrangera sin personuppgiftsbehandling utan att reflektera över eventuella behov av samverkan för att kunna leverera en jämlik hälso- och sjukvård och socialtjänst m.m.
För hälso- och sjukvårdens del har utvecklingen bland annat medfört konkreta samarbeten och gemensamma utvecklingsprojekt på lokal, regional och nationell nivå. Inte sällan handlar det om att gemensamt använda system och tekniska lösningar som tagits fram tillsammans eller av en aktör, som sedan låter övriga använda den framtagna lösningen. Som exempel kan nämnas de system för sammanhållen journalföring som finns såväl regionalt som nationellt. I den landstingsfinansierade delen av hälso- och sjukvården har det på regional nivå bland annat medfört att allt fler vårdgivare använder samma journalsystem och arrangerar det på ett sådant sätt att utbyte genom direktåtkomst blir möjligt. På nationell nivå samt för informationsutbytet mellan landstings- och kommunfinansierade vårdgivare har exempelvis den Nationella patientöversikten, NPÖ, utvecklats som en möjlighet till sammanhållen journalföring.
I sammanhanget kan även nämnas de gemensamma satsningarna som landstingen initierat vad gäller invånartjänster, t.ex. den pågående utvecklingen för att ge patienter tillgång till patientjournaler på internet. Även Mina vårdkontakter kan nämnas som en slags
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
194
plattform för att gemensamt möta och tillgodose patienters behov av tillgänglighet, information och service och där personuppgifter behandlas i gemensamma lösningar.
Ytterligare ett exempel på gemensamt framtagna lösningar och regelverk utgörs av den nationella Tjänsteplattformen. Tjänsteplattformen förenklar, säkrar och effektiviserar integrationen mellan olika it-system inom vård och omsorg. Varje tjänst som vill ansluta sig till Tjänsteplattformen följer så kallade tjänstekontrakt som specificerar regelverket för hur informationsöverföringen ska gå till mellan de olika systemen och tjänsterna. När ett system försöker kontakta ett annat går denna kommunikation inte direkt mellan systemen utan istället genom tjänsteplattformen, som i sin tur dirigerar meddelandet vidare till rätt tjänst hos exempelvis en vårdgivare. Något förenklat kan plattformen sägas utgöra navet mellan olika tjänster och system och vara en förutsättning för att möta de skiftande behov av informationsöverföring som finns. Ett syfte med en tjänsteplattform är att förhindra den komplexitet och de kostnader som en s.k. punkt-till-punktintegration av system och tjänster ger upphov till.
På den nationella arenan finns flera olika aktörerer som på många olika sätt deltar i utvecklingsarbeten som inbegriper behandling av personuppgifter. Dessa aktörer kan vara vårdgivare, myndigheter, leverantörer, intresseorganisationer, samverkansorgan m.fl. Sammantaget utkristalliseras en komplex bild där det inte alltid är enkelt att bedöma vem som ansvarar för vad eller vem som har befogenhet eller faktiska möjligheter att vidta åtgärder i fråga om personuppgiftsbehandling. De samarbeten rörande informationshantering som i dag finns och kontinuerligt utvecklas inom ramen för nationell e-hälsa väcker därför nya frågor relaterat till ansvaret för behandlingen av de personuppgifter som hanteras i de gemensamma lösningarna. Genom att gemensamma lösningar skapas uppkommer ett behov av att identifiera ansvaret för funktioner och åtgärder som utgör själva basen för den gemensamma personuppgiftsbehandlingen och som alla inblandade är beroende av och behöver rätta sig efter. I utredningsdirektivet anges exempelvis följande med beröringspunkt på dessa frågor.
En viktig förutsättning för ett fullgott integritetsskydd är tydlighet i fråga om personuppgiftsansvaret, som bl.a. innebär ett skadeståndsansvar gentemot individen. När det gäller exempelvis informations-, spärr- och samtyckesfrågor i förhållande till individer måste personuppgiftsansvaret därför vara tydligt. Personuppgiftsansvaret måste
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
195
också vara tydligt med avseende på it-säkerhet inklusive organisatoriska och tekniska åtgärder, såväl på nationell nivå som i enskilda verksamheter.
Frågor om hur personuppgiftsansvaret fördelas vid samverkan mellan olika aktörer är ingalunda ny, även om den har en helt annan aktualitet i dag jämfört med tidigare. Nu står vi för en utveckling där tusentals vårdgivare i hälso- och sjukvården kan komma att samverka kring gemensamma lösningar för att utbyta patientinformation med varandra eller för att göra patientjournaler tillgängliga över internet för patienterna. Det kan inte heller uteslutas att en rad nya områden och utvecklingsarbeten initieras där frågor om personuppgiftsansvarets fördelning blir aktuella.
Förutom nya utmaningar vad gäller att fastställa omfattning och innebörd av personuppgiftsansvar i olika delar, uppstår vid många samarbeten även ett grundläggande behov av att gemensamt fastställa hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Det kan handla om sådant som att komma överens om vilka säkerhetslösningar som ska användas för att obehöriga inte kan komma åt personuppgifter eller hur incidenter och avvikelser ska hanteras. Vidare uppstår ett behov av att fastställa krav och nivåer för grundläggande informationssäkerhetsaspekter som tillgänglighet, riktighet, konfidentialitet och spårbarhet. Ytterst handlar det om att vidta gemensamma åtgärder för att skydda personuppgifterna och försäkra sig om att rätt uppgifter finns på rätt plats i rätt tid.
10.1.1 Vårt uppdrag
I utredningens uppdrag ingår att utreda hur personuppgiftsansvaret bör regleras i framtiden samt vid behov lämna förslag på sådan reglering.
Som tidigare redovisats föreslår vi att patientdatalagens (2008:355), förkortad PDL, bestämmelser om personuppgiftsansvar förs över i huvudsak oförändrade till den hälso- och sjukvårdsdatalag som föreslås. Det kan därutöver finnas anledning att ytterligare överväga frågor om personuppgiftsansvar och skydd för personuppgifter i en ny tid när allt fler aktörer samverkar kring behandling av personuppgifter i hälso- och sjukvården.
Särskilda frågor om fördelning av personuppgiftsansvar m.m. vid kommunikation med medborgare, t.ex. vid journaler på internet
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
196
och personliga hälsokonton och motsvarande, behandlas även i avsnitt 33. De frågor utredningen har att hantera har även beröringspunkter med E-hälsokommitténs uppdrag att se över ansvarsfördelningen mellan de inblandade aktörerna på e-hälsoområdet. I dessa delar har vi därför samrått med den utredningen.
10.2 Generellt om personuppgiftsansvar
Enligt 3 § personuppgiftslagen (1998:204), förkortad PUL, är den personuppgiftsansvarig som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Det innebär att personuppgiftsansvaret kan delas eller vara gemensamt för flera. I en del fall kan det vara svårt att bedöma vem eller vilka som är personuppgiftsansvariga för en viss behandling. Ytterst är det dock en fråga om faktiska omständigheter. Olika överenskommelser eller avtalskonstruktioner kan beaktas vid bedömningen, men det är de faktiska omständigheterna som i slutändan är avgörande. Därmed är det den som faktiskt, med eller utan rätt, bestämmer beträffande behandlingen som är personuppgiftsansvarig.1
Vidare kan i lag eller förordning bestämmas vem som är personuppgiftsansvarig för en viss behandling. En sådan bestämmelse tar över den nämnda regleringen i personuppgiftslagen. I registerförfattningar är det vanligt att på ett tydligt sätt peka ut vem som är personuppgiftsansvarig för den behandling av personuppgifter som regleras i författningen. Som exempel på detta kan nämnas att Socialstyrelsen är personuppgiftsansvarig för hälsodataregistren och att eHälsomyndigheten är personuppgiftsansvarig för receptregistret och läkemedelsförteckningen.
Av personuppgiftslagen följer att det för en och samma personuppgiftsbehandling kan finnas två eller flera personuppgiftsansvariga. För att någon ska anses som personuppgiftsansvarig räcker det nämligen att den tillsammans med andra kan bestämma ändamålen med och medlen för personuppgiftsbehandlingen. Det är något oklart vad som avses med att flera bestämmer tillsammans och vad som är en respektive flera behandlingar av personuppgifter. Det kan räcka att flera gemensamt och i samråd faktiskt har bestämt att genomföra en
1 Öman, Lindblom, Personuppgiftslagen – en kommentar, tredje upplagan, s. 78.
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
197
viss behandling, även om var och en rättsligt eller faktiskt haft möjlighet att ensam bestämma.2
Hälso- och sjukvården
När det gäller personuppgiftsbehandling inom hälso- och sjukvårdens kärnverksamhet regleras personuppgiftsansvaret i dag av patientdatalagen. Av 2 kap. 6 § PDL följer att vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. Vidare preciseras att i landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den personuppgiftsbehandling som myndigheten utför.
Regleringen kan sägas ge uttryck för och vara en precisering av den grundläggande principen i personuppgiftslagen om att den som bestämmer ändamål och medel för behandlingen av personuppgifter är personuppgiftsansvarig.
I patientdatautredningen anfördes exempelvis följande i sammanhanget.3
När det gäller personuppgiftsbehandling inom hälso- och sjukvårdens kärnverksamhet finns dock ingen generell särbestämmelse om personuppgiftsansvar – varken i vårdregisterlagen eller i någon annan författning – som tar över personuppgiftslagens bestämmelser. Istället gäller den allmänna principen att det efter en bedömning av de faktiska omständigheterna i varje enskilt fall får avgöras vem eller vilka som har personuppgiftsansvaret för en viss behandling. Det torde därvid stå klart att det inom den enskilda hälso- och sjukvården är vårdgivaren, t.ex. ett aktiebolag eller en stiftelse som driver en hälso- och sjukvårdsverksamhet eller en företagare som bedriver hälso- och sjukvård i en enskild firma – som är personuppgiftsansvarig för den personuppgiftsbehandling som sker hos vårdgivaren. I allmän verksamhet anses det i praxis normalt vara en myndighet som är personuppgiftsansvarig för den personuppgiftsbehandlingen, förutsatt att organet är så självständigt att det är en förvaltningsmyndighet. --- Vi menar att det är den mest lämpliga ordningen att personuppgiftsansvaret inom den allmänna hälso- och sjukvården förläggs på myndighetsnivå.
Mot bakgrund av patientdatautredningens uttalanden kan konstateras att regleringen av personuppgiftsansvaret i patientdatalagen i allt
2 Öman, Lindblom, Personuppgiftslagen – en kommentar, tredje upplagan, s. 83. 3SOU 2006:82 s. 195 f.
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
198
väsentligt är en kodifiering och ett förtydligande av den praxis som har utvecklats vid tillämpningen av personuppgiftslagen.
Regleringen i patientdatalagen innebär dock i ett avseende ett avsteg från praxis. I 2 kap. 6 § andra stycket slås nämligen fast att personuppgiftsansvaret även omfattar sådan behandling av personuppgifter som vårdgivaren, eller den myndighet i ett landsting eller en kommun som är personuppgiftsansvarig, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till personuppgifter om en patient hos en annan vårdgivare eller annan myndighet. Vid tillämpningen av personuppgiftslagen har uppfattningen däremot varit att den som endast har tillgång till personuppgifter genom att t.ex. söka bland och läsa uppgifter som ingår i en uppgiftssamling utan att själv ha varken några rättsliga befogenheter eller faktiska möjligheter att ändra eller komplettera de uppgifter som ingår i samlingen, inte kan anses vara personuppgiftsansvarig för den behandling som sökningar och bearbetningar vid sådan tillgång innefattar.4
Patientdatalagens reglering innebär dock ett avsteg från denna uppfattning eftersom det av lagens bestämmelser förtydligas att en vårdgivare är personuppgiftsansvarig även vid sådan direktåtkomst där vårdgivaren tar del av andra vårdgivares uppgifter. För socialtjänstens del finns inte någon sådan reglering i dag, sannolikt eftersom motsvarande möjligheter till direktåtkomst inte heller finns i lagstiftningen om socialtjänstens personuppgiftsbehandling. I utredningens förslag till socialtjänstdatalag föreslås dock att en sådan bestämmelse tas in, dvs. som förtydligar att personuppgiftsansvaret även omfattar sådan behandling av personuppgifter som görs när den som bedriver verksamhet inom socialtjänsten genom direktåtkomst lämnar ut eller tar del av personuppgifter.
10.3 Personuppgiftsansvar vid samverkan mellan olika aktörer
När det gäller personuppgiftsansvarets fördelning vid olika typer av gemensam personuppgiftsbehandling, eller gemensam användning av system och lösningar för att vidta personuppgiftsbehandling, saknas egentlig praxis i form av vägledande domstolsavgöranden. Det finns dock ett antal vägledande uttalanden i förarbeten, varav
4 Öman, Lindblom, Personuppgiftslagen – en kommentar, tredje upplagan, s. 81.
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
199
följande rörande personuppgiftsbehandlingen i socialförsäkringens administration kan nämnas.5 Det rör ansvarsförhållandet mellan olika Försäkringskassor och dåvarande Riksförsäkringsverket för personuppgiftsbehandling i it-system som de olika myndigheterna gemensamt använde.
Har en uppgift lagrats i databasen är det den myndighet som i och för sin verksamhet utför lagringsåtgärden som är ansvarig för att den lagrade uppgiften är korrekt. Ansvaret för uppgiften bör rimligtvis sedan sträcka sig så långt som fram till den tidpunkt då gallring aktualiseras, dock inte längre än fram till den tidpunkt då den myndigheten av olika skäl inte längre besitter möjligheter att förfoga över uppgiften genom rättning, blockering, borttagning etc. Om en personuppgift lämnas ut av en annan myndighet än den som registrerade uppgiften svarar naturligtvis den utlämnande myndigheten för den behandling som utgörs av själva utlämnandet. För den fortsatta behandlingen av uppgiften efter en registrering kan även andra myndigheter vara ansvariga, allt efter vilka faktiska behandlingar som utförs. Förslaget om fördelning av personuppgiftsansvar förutsätter naturligtvis att det går att genom loggning spåra vilken myndighet som företagit en viss behandling. I övergripande frågor, såsom ansvar för att tekniska och organisatoriska säkerhetsåtgärder vidtas, måste personuppgiftsansvaret fördelas efter vilka myndigheter som har befogenhet och skyldighet att utföra dessa åtgärder. I regel torde det följa av åläggandet för Riksförsäkringsverket i verksinstruktionen att vara ansvarig systemägare för Riksförsäkringsverkets och försäkringskassornas gemensamma it-system att det är verket som har personuppgiftsansvaret vad avser sådana frågor.
Regeringens uttalande i propositionen ger uttryck för den princip som även föreslås vara gällande i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen, nämligen att personuppgiftsansvaret normalt ska vila på den som i och för sin verksamhet faktiskt utför en behandling av personuppgifter. Samtidigt uppmärksammade regeringen att även andra kan ha ett personuppgiftsansvar beroende på vilka behandlingar som faktiskt utförs och att personuppgiftsansvaret för övergripande säkerhetsåtgärder inte nödvändigtvis behöver vara gemensamt.
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
200
10.3.1 Patientdatautredningens resonemang m.m.
Även patientdatautredningen uppmärksammade frågor om personuppgiftsansvar vid samverkan mellan flera aktörer. Patientdatautredningen reflekterade särskilt över vad som borde gälla när flera vårdgivare samverkar i system för sammanhållen journalföring. Även om utredningen konstaterade att det kan finnas skäl från integritetsskyddssynpunkt peka ut vem som ska vara personuppgiftsansvarig, bedömdes det som olämpligt och omöjligt med hänsyn till de faktiska omständigheterna och de skiftande samarbetsformer m.m. som kan finnas. Mot den bakgrunden föreslog utredningen istället att regleringen skulle ta sin utgångspunkt i att det vid sammanhållen journalföring är den som faktiskt har möjlighet att påverka om och hur en enskild personuppgiftsbehandling ska företas, som bör vara personuppgiftsansvarig för den behandlingen. Vidare anförde utredningen följande.6
I praktiken innebär patientdatalagens allmänna bestämmelse om personuppgiftsansvar bl.a. att den vårdgivare som gör en personuppgift tillgänglig för andra genom att uppgiften dokumenteras utan att spärras, har personuppgiftsansvaret för att det sker på ett lagligt sätt. I ansvaret ingår således att se till att patienten i skede 1 ges sådan information om den sammanhållna journalföringen så att han eller hon kan ta ställning till en eventuell spärrning. Personuppgiftsansvaret omfattar även den fortsatta lagringen och det tillgängliggörande som sker därefter. Bestämmelsen innebär vidare – till skillnad från vad som torde följa vid enbart en tillämpning av personuppgiftslagen – att den vårdgivare som använder sin direktåtkomst och bereder sig tillgång till andra vårdgivares uppgifter för att söka efter och läsa vårddokumentation, blir personuppgiftsansvarig för den personuppgiftsbehandling som detta innebär.
I likhet med utredningen om socialförsäkringens administration (se ovan), för även patientdatautredningen ett resonemang om vad som bör gälla för mer övergripande frågor och förhållanden som är relaterade till den gemensamma informationshanteringen. Den centrala frågan i sammanhanget är vem eller vilka som ansvarar för att personuppgifterna skyddas genom tekniska eller organisatoriska säkerhetsåtgärder. Denna fråga är sannolikt än mer aktuell i dag, eftersom det inte längre endast är fråga om vårdgivares samarbete vid sammanhållen journalföring utan generellt om en mängd olika
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
201
aktörers samverkan i en rad olika frågor som alla innehåller moment av personuppgiftsbehandling.
Patientdatautredningen lämnar inget generellt och heltäckande svar på frågan om det övergripande ansvaret utan anför att det beror på hur man i rättstillämpningen bedömer de faktiska förhållandena i det enskilda fallet. Samtidigt anser patientdatautredningen att som huvudregel bör gälla att ansvaret för sådana övergripande frågor bör delas solidariskt mellan de samarbetande vårdgivarna eller myndigheterna, dvs. vara gemensamt för dem som tillgängliggör journaluppgifter i ett system för sammanhållen journalföring. Men utredningen anför vidare att det samtidigt inte går att utesluta att organisationerna eller samarbetsformerna kan komma att gestalta sig på väldigt skilda sätt, vilket kan få betydelse vid en bedömning av ansvaret för övergripande frågor.7
En aktör som personuppgiftsansvarig för övergripande frågor
Mot bakgrund av de olika typer av samarbetsformer och faktiska omständigheter som kan tänkas föreligga vid samverkan mellan vårdgivare uppmärksammade patientdatautredningen att de faktiska omständigheterna mycket väl skulle kunna peka på att endast en av de samverkande vårdgivarna är att betrakta som personuppgiftsansvarig för frågor om övergripande tekniska och organisatoriska säkerhetsåtgärder. Bland annat följande av intresse i sammanhanget anfördes.8
Det är tänkbart att sådana översikter lagras och behandlas i en gemensam databas som administreras av endast en av vårdgivarna, t.ex. ett landsting. Om det landstinget i praktiken dikterar villkoren för de andra vårdgivarnas deltagande i systemet, kan det tala för att den aktuella myndigheten inom landstinget bör kunna anses ha ett personuppgiftsansvar för övergripande frågor. Exempelvis har vid Stockholms läns landstings presentation för utredningen av planerna på en för alla landstingets vårdgivare gemensam vårddokumentation, GVD, nämnts att det kan komma att från landstingets sida ställas som villkor vid ingående eller förlängning av entreprenadavtal med privata vårdgivare att de deltar i GVD. Vid sådana förhållanden är det enligt vår mening tveksamt om de privata vårdgivarna intar en sådan överordnad position i förhållande till landstinget som gör att landstinget kan anses behandla personuppgifter i enlighet med varje privat vårdgivares instruktioner (jämför 30 § personuppgiftslagen).
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
202
Ibland kan det finnas behov både av organisatoriska skäl och av integritetshänsyn med en tydlig reglering av personuppgiftsansvaret för övergripande frågor. Att nu ange i vilka sådana fall en särreglering behövs är inte möjligt, eftersom vi inte kan förutse i vilken omfattning och i vilka former sammanhållen journalföring utvecklas. Rimligen kan behov av en tydligare reglering uppkomma vid t.ex. etablerandet av en heltäckande nationell läkemedelsjournal eller om den nationella patientöversikten utvecklas och förverkligas på bred front i enlighet med de planer som nu finns. Även andra specifika samarbeten i form av sammanhållen journalföring kan visa sig vinna på en författningsreglering av personuppgiftsansvaret, som utöver integritetsvinsterna för enskilda, ger en central aktör vissa möjligheter att samlat styra över och administrera verksamheten.
Patientdatatutredningen anförde således att vid olika typer av samarbeten mycket väl kan vara så att någon av de inblandade aktörerna har en sådan självständig och inflytelserik position i förhållande till de övriga att det kan konstituera ett personuppgiftsansvar för de övergripande frågorna. Däremot bedömdes det inte möjligt att i lag reglera personuppgiftsansvaret. Mot den bakgrunden föreslog utredningen istället en bestämmelse som ger regeringen möjlighet att vid behov närmare reglera personuppgiftsansvaret i sådana övergripande frågor om säkerhetsåtgärder just i system för sammanhållen journalföring. Regeringen har dock fram till i dag inte fattat något sådant beslut eller gett någon myndighet rätt att meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande tekniska och organisatoriska säkerhetsåtgärder.
Även E-delegationen har i olika sammanhang berört frågan om ansvar för övergripande tekniska och organisatoriska säkerhetsåtgärder. Bland annat när det gäller frågan om personuppgiftsansvar i samband med att nya möjligheter utvecklas för myndigheter att kommunicera och inhämta information från enskilda, anför Edelegationen följande.9
De olika tjänster och kommunikationskanaler som införs för e-förvaltningen berör olika aktörer. Den som tillhandahåller ett eget utrymme åt en enskild blir normalt personuppgiftsansvarig för den drift- och säkerhetsrelaterade information som avser den enskildes eget utrymme och i övrigt för att de personuppgifter som behandlas i utrymmet är omgärdade av adekvata säkerhetsåtgärder. Tillhandahållaren blir emellertid inte ansvarig för den nyttoinformation som den enskilde själv för in i sitt utrymme.
9 E-delegationen, Juridisk vägledning för verksamhetsutveckling inom e-förvaltningen (2013) s. 18.
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
203
E-delegationens uttalande har kanske framför allt beröringspunkter med den utveckling som i dag sker inom hälso- och sjukvården och socialtjänsten för att öka servicen och tillgängligheten m.m. gentemot invånarna. Det handlar exempelvis om utvecklingen inom Mina vårdkontakter och olika former av personliga hälsokonton m.m. För tydlighets skull vill utredningen dock påpeka att man är personuppgiftsansvarig för behandlingen av personuppgifter och inte, som E-delegationens uttalande ovan kan ge sken av, för informationen i sig.
10.3.2 Några exempel från Datainspektionens tillsyn m.m.
Utredningen konstaterar att den tekniska utvecklingen och de nya samarbetsformerna har medfört att det kan vara betydligt svårare än tidigare att identifiera vilken aktör eller vilka aktörer som har faktiska möjligheter att påverka i frågor som rör efterlevnaden av integritetsskyddslagstiftningen. Även om ett personuppgiftsansvar i någon mening naturligtvis alltid ligger hos den som faktiskt har rådighet att rent praktiskt företa eller avstå från att företa en viss personuppgiftsbehandling, kan det ibland ifrågasättas om denna möjlighet motsvaras av en reell valsituation eller om sättet för personuppgiftsbehandling närmast är en förutsättning för att kunna bedriva verksamhet på de villkor som satts upp av finansiären, exempelvis ett landsting eller en kommun.
Detta förhållande har i viss mån även bekräftats av tillsynsmyndighetens agerande för att försöka åstadkomma rättelse i enskilda fall. Datainspektionen har exempelvis vid tillsyn över vårdgivares deltagande i system för sammanhållen journalföring funnit anledning att vid konstaterandet av brister, inleda en tillsyn mot den aktör som inspektionen bedömt har de reella möjligheterna att åtgärda bristerna. Ett exempel på detta är Datainspektionens tillsyn över en privat driven vårdcentral som använder samma system för sammanhållen journalföring som används av Stockholms läns landsting. I tillsynsbeslutet mot den privata vårdgivaren konstaterar Datainspektionen att vårdgivaren behandlar personuppgifter i strid med patientdatalagen och att inspektionen förutsätter att bristerna åtgärdas. Samtidigt anför inspektionen följande i beslutet.10
10 Datainspektionens beslut 2011-02-17, dnr 591-2010
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
204
Datainspektionen anser att det är Stockholms läns landsting (Landstinget) som har reella möjligheter att åtgärda denna brist i journalsystemet. Datainspektionen kommer med anledning av detta att snarast inleda tillsyn mot Landstinget.
På motsvarande sätt konstaterade Datainspektionen i ett annat tillsynsärende att en privat vårdgivare, på grund av hur journalsystemet var utformat, inte levde upp till ett antal av de grundläggande och integritetsskyddande kraven i patientdatalagen. Även om Datainspektionen i beslutet förvisso förutsätter att vårdgivaren åtgärdar bristerna, uttalar inspektionen följande.11
När det gäller bristerna beträffande de tekniska funktionerna i journalsystemet, anser Datainspektionen att det är Landstinget Sörmland (Landstinget) som har reella möjligheter att åtgärda ovanstående brister. Datainspektionen kommer med anledning av detta att snaras inleda tillsyn mot Landstinget.
Dessa tillsynsbeslut visar, enligt utredningens uppfattning, på att det kan finnas behov av att tydliggöra vem som har de faktiska möjligheterna att vidta åtgärder för att tillgodose enskildas behov av skydd för den personliga integriteten. Precis som patientdatautredningen anförde kan det i dag finnas ett antal samarbeten där det vid en utredning om de faktiska förutsättningarna skulle visa sig att en aktör, eller möjligtvis ett fåtal aktörer, har dikterat villkoren för de övrigas medverkan och har de egentliga befogenheterna att ansvara för och utföra åtgärder för att skydda personuppgifterna och se till att de system som används gör det möjligt att behandla personuppgifter i enlighet med lagstiftningens krav. Detta behöver dock inte utesluta att var och en av de ingående aktörerna fortsatt har ett personuppgiftsansvar för den behandling av personuppgifter som man faktiskt utför.
Den rådande utvecklingen har kommit att innebära att ett antal olika aktörer ofta är inblandade i olika led och delar av en personuppgiftsbehandling som på ett generellt plan görs för samma övergripande ändamål. Det ändamålet kan exempelvis vara att lämna ut och ta del av personuppgifter genom direktåtkomst eller lämna ut personuppgifter elektroniskt till medborgare. Såvitt utredningen har funnit saknas i dag domstolsavgöranden som, på den detaljnivå det är fråga om här, har tagit ställning till olika aktörers personuppgiftsansvar för vad som i allt väsentligt utgör en och samma
11 Datainspektionens beslut 2011-02-17, dnr 590-2010.
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
205
övergripande personuppgiftsbehandling. Frågan kan visserligen anses ha berörts närmast i förbigående av Högsta förvaltningsdomstolen i ett mål mot Försäkringskassan. Målet handlade något förenklat om Försäkringskassans eventuella ansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder i samband med att medborgare använder en av kassan framtagen självbetjäningstjänst för begäran om tillfällig föräldrapenning via sms. Högsta förvaltningsdomstolen uttalar bland annat följande (vår kursivering nedan).12
Den serie av åtgärder i fråga om personuppgifter som vidtas i de aktuella fallen kan betraktas som led i Försäkringskassans behandling av uppgifter i enskilda ärenden. Det gäller trots att Försäkringskassan saknar möjlighet att påverka hur uppgifterna hanteras innan de blir tillgängliga för kassan. Det gäller också oberoende av om någon eller
några av åtgärderna skulle utgöra behandling av personuppgifter även hos någon annan.
Även om det nämns i förbigående tyder den kursiverade meningen på att domstolen inte utesluter att det vid sidan om Försäkringskassan kan finnas andra aktörer som i sammanhanget utför sådan personuppgiftsbehandling som konstituerar ett personuppgiftsansvar även för någon annan. Datainspektionen har även i ett tillsynsärende mot företaget Wiky rörande en s.k. rejtingsajt på internet berört frågan om personuppgiftsansvaret och dess innehåll om flera aktörer är inblandade. Datainspektionen anför bland annat följande av intresse i sammanhanget.13
Wikys personuppgiftsbehandling omfattar såväl behandling av de uppgifter som Wiky på egen hand lägger in i tjänsten (databasen med näringsidkare) som behandling av de personuppgifter som Wiky samlar in genom att användarna lägger in dem i tjänsten. Att tjänsten är omodererad, dvs. att användarnas omdömen publiceras utan föregående granskning eller åtgärd av Wiky, innebär dock att personuppgiftsansvaret är begränsat i vissa delar eftersom företaget inte i alla avseenden besitter fullständiga rättsliga och faktiska möjligheter att förfoga över de aktuella uppgifterna. Wikys personuppgiftsansvar för tjänsten utesluter inte att även den enskilde användaren har ett sådant ansvar för behandling av personuppgifter i reco.se, dvs. för sådan behandling av personuppgifter som användaren utför.
12 Högsta förvaltningsdomstolens dom 5 juni 2012, mål nr. 4453-10. 13 Datainspektionens beslut 2010-01-11, dnr 1288-2009.
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
206
Även om detta ärende rörde relationen mellan enskilda användare och den som tillhandahåller möjligheterna för personuppgiftsbehandlingen, sätter tillsynsärendet delvis ljuset på den svårighet som kan finnas dels att identifiera personuppgiftsansvaret, dels att slå fast vad personuppgiftsansvaret i olika delar omfattar. Trots att tillsynsärendet inte rörde frågor om personuppgiftsansvar för övergripande tekniska och organisatoriska säkerhetsåtgärder finns, enligt utredningens bedömning, flera paralleller till den utveckling som sker inom e-hälsa lokalt, regionalt och nationellt. Detta eftersom det även i dessa samarbeten ofta är nödvändigt att reflektera över de ingående aktörernas inbördes förhållanden och ansvarsfördelning för vad som många gånger kan betraktas som en serie av personuppgiftsbehandlingar för samma övergripande ändamål.
10.4 Våra överväganden och förslag
10.4.1 Krav på risk- och sårbarhetsanalys, överenskommelse och tydliggörande av personuppgiftsansvar
Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att en
vårdgivare som medger andra vårdgivare direktåtkomst eller på annat sätt samarbetar med andra vårdgivare vid behandling av personuppgifter, ska göra en risk- och sårbarhetsanalys och komma överens med de andra vårdgivarna om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Detta ska göras innan samarbetet inleds. Av överenskommelsen ska även framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.
Vår bedömning: Bestämmelsen i 6 kap. 6 § PDL om att
regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen journalföring ska inte föras över till den föreslagna hälso- och sjukvårdsdatalagen.
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
207
Krav på risk- och sårbarhetsanalys och överenskommelse avseende informationssäkerhet och skyddet för personuppgifterna
När flera personuppgiftsansvariga samverkar vid behandling av personuppgifter uppstår ett behov av att gemensamt komma överens om de närmare villkoren för samarbetet. Ett sådant behov finns inte minst med avseende på skyddet för personuppgifterna. Vårdgivare som exempelvis lämnar ut personuppgifter genom direktåtkomst i system för sammanhållen journalföring har ett självklart intresse av att skyddet för personuppgifterna garanteras och att övriga samverkande vårdgivare har förutsättningar för att behandla personuppgifter i överensstämmelse med integritetsskyddsbestämmelserna. För de samverkande aktörerna inom hälso- och sjukvården handlar det bland annat om att se till att informationssäkerheten anpassas till legala krav i hälso- och sjukvårdsdatalagen, men även till exempelvis offentlighets- och sekretesslagen (2009:400), arkivlagen (1990:782) och patientsäkerhetslagen (2010:659). Den nuvarande lagstiftningen ställer inga uttryckliga krav på de samverkande personuppgiftsansvariga att genom avtal eller annan överenskommelse ange de närmare villkoren för samarbetet och hur de legala kraven ska tillgodoses.
Enligt vår bedömning riskerar avsaknaden av krav på överenskommelse att medföra att personuppgiftsansvariga inte säkerställer hur samarbetet ska bedrivas för att informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Mot den bakgrunden föreslår vi att hälso- och sjukvårdsdatalagen ska innehålla uttryckliga krav på överenskommelser i dessa avseenden. En vårdgivare som medger andra vårdgivare direktåtkomst eller på annat sätt samarbetar med andra vårdgivare vid behandling av personuppgifter ska därför komma överens med de andra vårdgivarna hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses innan samarbetet inleds. Som exempel på andra situationer än direktåtkomst, där samarbetet kan sägas innebära ett gemensamt tillvägagångssätt för behandling av personuppgifter, avses exempelvis de utvecklingsarbeten som bedrivs inom nationell e-hälsa. I det föregående har exempelvis nämnts sådan personuppgiftsbehandling som görs inom ramen för Mina vårdkontakter, journaler på nätet eller grundläggande funktioner som den nationella tjänsteplattformen.
Överenskommelsen mellan vårdgivare ska, enligt utredningens förslag, föregås av en risk- och sårbarhetsanalys rörande de samverkande vårdgivarnas organisatoriska och tekniska förutsättningar
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
208
att skydda personuppgifterna. Risk- och sårbarhetsanalysen ska därmed utgöra en grund för överenskommelsens innehåll och omfattning. Därutöver kan risk- och sårbarhetsanalysen även resultera i att en vårdgivare, eller de samverkande vårdgivarna tillsammans, kan behöva vidta åtgärder innan uppgifter lämnas ut genom direktåtkomst eller annat samarbete kring behandling av personuppgifter inleds. Om risk- och sårbarhetsanalysen exempelvis visar att någon av de samverkande vårdgivarna saknar väsentliga förutsättningar att skydda personuppgifterna i enlighet med de krav på informationssäkerhet och integritetsskydd som ställs vid behandling av så pass känsliga personuppgifter det här är fråga om, ska dessa brister avhjälpas innan exempelvis utlämnande genom direktåtkomst medges. I risk- och sårbarhetsanalysen bör bland annat ingå frågor om de samverkande vårdgivarnas förutsättningar att leva upp till hälso- och sjukvårdsdatalagens krav på behörighetsstyrning och åtkomstkontroll.
Hur överenskommelsen ska tecknas ska vara upp till de samverkande vårdgivarna att avgöra. Enligt vår bedömning riskerar alltför detaljerade anvisningar från lagstiftarens sida att låsa in vårdgivarna i lösningar som inte är tillräckligt flexibla med hänsyn till den komplexa situation och de olika slags samarbeten som det här är fråga om. Det finns inget som hindrar att överenskommelsen utgörs av en kombination av flera olika åtgärder. En av flera sådana möjliga kombinationer kan vara ett anslutningsavtal eller motsvarande som i vissa delar kompletteras av att vårdgivarna ansluter sig till ett eller flera utpekade regelverk för informationssäkerhet. Begreppet överenskommelse ska därmed ges en vidsträckt innebörd. Det handlar enligt vår bedömning inte i första hand om hur överenskommelsen rent formellt konstrueras utan fokus bör istället sättas på frågorna i sak, dvs. hur en tillfredsställande informationssäkerhet och hur skyddet för personuppgifterna ska tillgodoses.
I sammanhanget kan nämnas att Myndigheten för samhällsskydd och beredskap, MSB, har tillsammans med några andra myndigheter formulerat en strategi för ökad informationssäkerhet i vård och omsorg. Syftet med strategin är att skapa förutsättningar för att vård och omsorg ska kunna bedrivas med rätt nivå av informationssäkerhet för att kunna tillgodose medborgare, patienters och samhällets behov av insyn, delaktighet, patientsäkerhet och personlig integritet. Strategin ska ge stöd för att hantera de nya risker som inte enbart kan åtgärdas av de enskilda
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
209
sjukvårdshuvudmännen.14Om den strategin så småningom utmynnar i ett förslag till ett mer detaljerat regelverk skulle det kunna vara ett exempel på ett sådant gemensamt regelverk som samverkande vårdgivare och andra aktörer kan ansluta sig till.
Det är i detta sammanhang inte möjligt att uttömmande ange vad en överenskommelse enligt vårt förslag ska innehålla, eftersom de samarbeten som här avses kan visa upp betydande skillnader i omfattning och innebörd. Syftet är att överenskommelsen totalt sett ska omfatta de områden som behövs för att skydda personuppgifterna, de olika former av resurser som används för att behandla personuppgifter samt det som behövs för att se till att personuppgiftsbehandlingen kan bedrivas på ett sätt som upprätthåller en god och säker vård. På en övergripande nivå berör det grundläggande informationssäkerhetsaspekter som tillgänglighet, riktighet, konfidentialitet och spårbarhet.
Den överenskommelse som här avses kan även innefatta hur vissa av de registrerades rättigheter ska kunna tillgodoses i praktiken. Det kan exempelvis handla om sådant som var den enskilde vänder sig för att få ett loggutdrag över den åtkomst som har förekommit till patientens uppgifter. I stället för att den enskilde exempelvis ska behöva vända sig till flera av de inblandade vårdgivarna kan det finnas skäl för vårdgivarna att komma överens om och praktiskt arrangera det på sådant sätt att patienten endast behöver vända sig till en aktör för att få loggutdraget. En sådan aktör behöver naturligtvis inte vara en av de inblandade vårdgivarna, utan kan mycket väl vara ett personuppgiftsbiträde åt vårdgivarna. Vidare kan överenskommelsen även reglera hur och till vem de registrerade ska vända sig med frågor, synpunkter eller klagomål. En enskilds möjligheter att ta till vara sina rättigheter underlättas om det är tydligt vem han eller hon ska vända sig till med krav eller klagomål, t.ex. för det fall bristfällig information lämnats om vem som är personuppgiftsansvarig för behandling av personuppgifter som avser honom eller henne.
Att i lagen ställa krav på överenskommelse mellan de inblandade vårdgivarna bidrar enligt vår bedömning till en förstärkning av integritetsskyddet och till en uppmärksamhet kring grundläggande informationssäkerhetsfrågor. För ett sådant samhällsviktigt område som hälso- och sjukvården är informationssäkerheten en grundläggande förutsättning för att kärnverksamheten ska kunna fungera
14 Myndigheten för samhällsskydd och beredskap, 2012-06-20, Strategi för stärkt informationssäkerhet inom vård och omsorg.
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
210
optimalt och på ett sätt som reducerar säkerhetsrisker som kan medföra negativa konsekvenser för enskilda. Patienter ska kunna känna trygghet och förtroende för att informationshanteringen utformas på ett sådant sätt att behovet av integritetsskydd förenas med möjligheterna att ge en god och säker vård, oavsett vilken av de inblandade vårdgivarna som patienten möter.
Kravet på överenskommelse innebär att vårdgivaren, innan det faktiska samarbetet avseende behandlingen av personuppgifter inleds, behöver arbeta aktivt tillsammans med andra vårdgivare för att identifiera vad överenskommelsen behöver innehålla för att informationssäkerheten och skyddet för den personliga integriteten ska kunna tillgodoses. För tillsynsmyndigheten blir det förhoppningsvis även, till skillnad från i dag, ett underlag för att mer effektivt kunna bedöma reella integritetsskyddsrisker och vidtagna åtgärder när många vårdgivare samarbetar. Det bidrar även till att upprätthålla förtroendet för hälso- och sjukvårdens informationshantering och reducera riskerna för sådana omotiverade och ofrivilliga integritetsförluster som annars kan uppstå om ett gemensamt grepp över dessa frågor saknas.
Ett tydligt tillämpningsområde för den föreslagna bestämmelsen är de samarbeten som förekommer på lokal och regional nivå när vårdgivare utbyter personuppgifter genom direktåtkomst. I dag görs det med stöd av reglerna för sammanhållen journalföring och med vårt förslag kommer det istället att kunna göras genom direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. Denna, för vissa geografiska områden, utvidgning av de reella möjligheterna att utbyta information ska därför balanseras bland annat mot detta krav på överenskommelse mellan vårdgivarna. De vårdgivare inom en huvudmans ansvarsområde som har för avsikt att utbyta personuppgifter genom direktåtkomst ska således genom en överenskommelse fastställa hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Vårdgivare har därför ett ansvar för att inte lämna ut uppgifter genom direktåtkomst om inte en sådan överenskommelse finns.
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
211
Ett tydliggörande av personuppgiftsansvaret
Utredningen anser, i likhet med patientdatautredningens resonemang, att det i vissa situationer finns särskilda behov av att tydliggöra hur personuppgiftsansvaret för frågor om övergripande tekniska och organisatoriska säkerhetsåtgärder är fördelat. Generellt bedömer vi att det för skyddet av den enskildes personliga integritet finns starka skäl för att tydliggöra ansvaret för övergripande tekniska och organisatoriska åtgärder i sådana samarbeten där flera aktörer använder samma lösningar för att bland annat behandla personuppgifter. Förutom att det blir tydligt för den enskilde vilken eller vilka aktörer som den enskilde ska vända sig till i övergripande frågor, blir ansvaret även tydligt för de inblandade aktörerna själva. I dag kan detta ansvar ibland vara höljt i dunkel. Inte minst i sådana samarbeten där hundratals aktörer samverkar. Ett tydliggörande av personuppgiftsansvarets fördelning kan bland annat leda till att det fastställs att samtliga inblandade vårdgivare tillsammans har personuppgiftsansvar för övergripande säkerhetsåtgärder, men det kan även innebära att en eller ett fåtal av vårdgivarna anses ha detta ansvar. Enligt utredningens uppfattning borde det senare, mot bakgrund av de faktiska omständigheterna inte vara en alltför ovanlig situation i de samarbeten som det här är fråga om.
I dessa samarbeten ingår aktörer som har vitt skilda förutsättningar att agera i frågor som rör de närmare villkoren för övergripande frågor. Det kan exempelvis ifrågasättas vilka reella möjligheter en normalstor privat vårdgivare har att utföra åtgärder för att påverka övergripande säkerhetsfrågor i system som utvecklats av ett eller flera stora landsting tillsammans. Inte sällan kan dessutom den privata vårdgivaren vara mer eller mindre hänvisad till att använda en viss teknisk funktion eller ett visst system för den aktuella personuppgiftsbehandlingen.
Att vid behov tydligt peka ut en aktör som ansvarig för de övergripande åtgärderna skulle synliggöra ansvaret för de övergripande säkerhetsåtgärderna och bättre överensstämma med de faktiska förutsättningarna. Vi bedömer att detta behov är betydligt större än tidigare och betydligt mer omfattande än endast system för sammanhållen journalföring. Utvecklingen i hälso- och sjukvården går, liksom i hela den offentliga e-förvaltningen, mot att många behöver samarbeta för att åstadkomma en informationshantering
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
212
som är kostnadseffektiv, säker och ger en bra service till medborgarna. Inte sällan är dessa samarbeten i praktiken även en förutsättning för jämlika förhållanden för medborgare i olika delar av landet.
En annan fråga som har ökat i aktualitet är vilka avtal som behövs för att reglera ansvarsfördelning och säkra skyddet för personuppgifterna i situationer där många aktörer samverkar. I praktiken har detta kommit att medföra en ökad administration och ett behov av en omfattande mängd personuppgiftsbiträdesavtal. Inte minst inom hälso- och sjukvården där hundratals och på sikt tusentals vårdgivare sannolikt kommer att utnyttja samma tekniska lösningar blir avtalssituationen komplex. Detta beror inte bara på antalet personuppgiftsansvariga, utan även på antalet personuppgiftsbiträden. Det är i dag vanligt förekommande att flera personuppgiftsbiträden är involverade på olika nivåer och i olika delar av personuppgiftsbehandlingen. Av bland annat den anledningen har landstingen tagit fram s.k. modellavtal som kombinerar personuppgiftsbiträdesavtalens innehåll och struktur med fullmaktslösningar. Modellavtalen bygger på principen om kaskadavtal och innebär att ett personuppgiftsbiträde ges fullmakt att, för de personuppgiftsansvarigas räkning, teckna biträdesavtal med eventuella ”underbiträden”. På ett sådant sätt kan avtalshanteringen koncentreras och antalet avtal reduceras samtidigt som skyddet för uppgifterna formellt säkras. Om det vid samarbeten mellan olika aktörer i större utsträckning skulle utpekas en aktör som ansvarig för övergripande frågor om tekniska och organisatoriska åtgärder skulle antalet avtal sannolikt minska ytterligare. Samtidigt skulle avtalen inte heller behöva omfatta frågor om övergripande säkerhetsåtgärder.
För att inte enskilda ska riskera att lida omotiverade integritetsförluster på grund av att personuppgiftsansvaret är oklart eller odefinierat till sitt innehåll anser utredningen att det finns skäl att i större utsträckning än vad som förekommit hittills tydliggöra personuppgiftsansvaret för övergripande säkerhetsåtgärder. Det är i sammanhanget även nödvändigt att analysera om nuvarande reglering är ändamålsenlig eller om det kan behövas andra åtgärder för att stimulera ett tydliggörande av personuppgiftsansvaret.
I patientdatalagen ges regeringen i dag en möjlighet att peka ut en aktör som personuppgiftsansvarig för frågor om organisatoriska och tekniska säkerhetsåtgärder. Vi ställer oss tveksamma till om den nuvarande modellen i patientdatalagen med möjligheter för
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
213
regeringen att agera i frågan är ändamålsenlig. Vidare kan ifrågasättas hur denna möjlighet för regeringen egentligen förhåller sig till den grundläggande principen om personuppgiftsansvarets fördelning utifrån de faktiska omständigheterna.
Det framgår inte i förarbetena till bestämmelsen hur den är tänkt att tillämpas och vilka utgångspunkter som ska gälla för regeringens bedömning. Medan personuppgiftsansvaret i grunden alltid innehas av den som faktiskt har bestämt ändamål och medel för behandlingen av personuppgifter, synes bestämmelsen inte ställa krav på att regeringen ska utgå ifrån de faktiska omständigheterna vid ett eventuellt ställningstagande till personuppgiftsansvaret. Det kan därmed inte uteslutas att regeringen skulle kunna peka ut någon aktör som personuppgiftsansvarig för övergripande säkerhetsåtgärder, men som vid en bedömning av de faktiska förhållandena inte kan anses ha bestämt ändamål och medel för personuppgiftsbehandlingen. Om den bakomliggande tanken med lagstiftningen är att regeringen ska fatta ett beslut baserat på de faktiska omständigheterna, blir saken inte mindre viktig att reflektera över. Detta eftersom det i yttersta fall borde vara fråga för domstol att avgöra vem eller vilka som är personuppgiftsansvariga. Enligt utredningens bedömning medför bestämmelsens oklarheter i relation till de grundläggande bestämmelserna i personuppgiftslagen att den är mindre lämplig. Det kan också konstateras att regeringen hittills inte fattat något beslut om personuppgiftsansvar i enlighet med bestämmelsen.
Vidare kan det ifrågasättas om det skulle vara lämpligt för regeringen att fatta ett beslut om personuppgiftsansvaret utan att reglera övriga frågor kring den aktuella personuppgiftsbehandlingen. Normalt ska ett utpekande av personuppgiftsansvar åtföljas av en detaljerad reglering av ansvarets omfattning, ändamålen för behandlingen, vilka personuppgifter som får behandlas osv. Enligt utredningens uppfattning bör detta vara utgångspunkten även för frågor om personuppgiftsansvar för övergripande säkerhetsåtgärder i system för sammanhållen journalföring.
Det kan inte heller uteslutas att bestämmelsen bidrar till den passivitet hos vårdgivarna själva som hittills har kunnat konstateras. Såvitt utredningen har kännedom om har ingen vårdgivare ännu tydligt deklarerat ett ansvar för övergripande säkerhetsåtgärder t.ex. för lokala eller regionala system för sammanhållen journalföring. Det får dock bedömas som sannolikt att det vid en analys av de faktiska omständigheterna finns vårdgivare som dikterat
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
214
villkoren för de övrigas medverkan på ett sådant sätt att personuppgiftsansvaret för övergripande säkerhetsfrågor skulle kunna anses ligga på denne. Möjligen kan utformningen av den nuvarande bestämmelsen ha medfört att ansvaret för övergripande säkerhetsåtgärder närmast har setts som en fråga för regeringen och inte för de iblandade aktörerna själva.
Sammantaget anser vi det finns befogade invändningar mot den nuvarande bestämmelsen i patientdatalagen. Vi anser därför att den inte bör överföras till den föreslagna hälso- och sjukvårdsdatalagen. Det innebär att regeringen på det område som rör sammanhållen journalföring får motsvarande möjligheter som regeringen har på andra områden i samhället, dvs. att genom lagstiftning särskilt reglera frågor om personuppgiftsansvar.
Vår utgångspunkt är att frågor om personuppgiftsansvar i första hand bör hanteras av den eller de personuppgiftsansvariga själva. Det är de inblandade som har bäst kännedom om de bakomliggande faktorerna och de faktiska omständigheterna. Av den anledningen finns det skäl att stimulera de inblandade aktörerna att själva aktivt analysera och ta ställning till frågan om någon eller några anses ha ett personuppgiftsansvar för övergripande säkerhetsåtgärder. Det skulle i allt väsentligt vara en positiv utveckling ur ett integritetsskyddsperspektiv. Därför föreslår vi en grundläggande bestämmelse som anger att vårdgivare som utbyter uppgifter genom direktåtkomst eller på annat sätt samverkar vid behandling av personuppgifter, genom överenskommelse ska tydliggöra hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder. Syftet med bestämmelsen är att stimulera de inblandade aktörerna att analysera det närmare samarbetet och tydliggöra personuppgiftsansvaret utifrån de faktiska omständigheterna. Resultatet av överenskommelsen kan således vara att samtliga vårdgivare tillsammans anses ha personuppgiftsansvar för övergripande säkerhetsåtgärder, eller att en eller ett fåtal av de samverkande vårdgivarna anses ha detta ansvar.
Enligt vår bedömning behövs ingen särskild författningsreglering som tydliggör att en av de inblandade aktörerna kan ha ett personuppgiftsansvar för övergripande frågor. Det följer redan av personuppgiftslagens principer och definition av personuppgiftsansvar. Inte heller hindrar bestämmelser i förslaget till hälso- och sjukvårdsdatalag detta. Regeringen anförde i förarbetena till patientdatalagen att personuppgiftsansvaret i hälso- och sjukvården
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
215
bör läggas på myndighetsnivå.15 Bland annat för att det därmed uppnås en samordning mellan personuppgiftsansvaret för allmänna handlingar enligt tryckfrihetsförordningen, offentlighets och sekretesslagen och arkivlagen. Mot den bakgrunden synes frågan om personuppgiftsansvar i patientdatalagen närmast handla om på vilken organisatorisk nivå personuppgiftsansvaret ska ligga, snarare än att göra ett avsteg från den grundläggande principen om att personuppgiftsansvaret utgår ifrån de faktiska omständigheterna. Det faktum att en vårdgivare är personuppgiftsansvar för den behandling av personuppgifter som vårdgivaren utför utesluter därför enligt vår bedömning inte att det kan finnas någon annan som också har ett personuppgiftsansvar i fråga om delar av den kedja av personuppgiftsbehandlingar som aktualiseras i samarbeten mellan vårdgivare.
Det är enligt vår bedömning inte möjligt att i lag fastslå vad ett ansvar för de övergripande säkerhetsåtgärderna innebär. Som tidigare påpekats handlar det om samarbeten av vitt skilda slag, av olika omfattning och för olika syften. Organisation, samarbetsformer och övriga faktiska omständigheter blir således avgörande för vad som mer specifikt kan anses ingå i ett sådant ansvar. Utgångspunkten bör dock vara ett personuppgiftsansvar för övergripande säkerhetsåtgärder exempelvis i förhållande till sådana funktioner och förutsättningar som utgör basen för den gemensamma personuppgiftsbehandlingen och som samtliga inblandade aktörer är beroende av och måste rätta sig efter. Det handlar om ett ansvar för tekniska och organisatoriska åtgärder som värnar om den enskildes personliga integritet och som samtidigt, i olika utsträckning beroende på samarbetets karaktär, säkerställer grundläggande faktorer som t.ex. krypteringsskydd, uppgifternas tillgänglighet och riktighet, spårbarheten i systemet m.m.
Som exempel på sådana åtgärder som i olika utsträckning kan tänkas ingå i ett övergripande ansvar kan följande nämnas.
• Organisatoriska och administrativa åtgärder som risk- och sårbarhetsanalyser och kontinuerlig övervakning av de centrala tjänsterna.
• Kontroll över de ingående aktörernas efterlevnad av de gemensamma rutiner, regelverk och villkor som gäller för samarbetet.
• Ansvar för att förvalta och utveckla de centrala funktioner och tjänster som används för att skydda personuppgifterna.
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
216
• Kontinuerliga tester för att analysera att informationssäkerhetskraven efterlevs.
• Kontroll av personuppgiftsbiträden och underleverantörer.
• Ansvar för att personuppgiftsbiträdesavtal och instruktioner finns med förekommande externa leverantörer som behandlar personuppgifter för sådana ändamål som har att göra med de övergripande frågorna.
Hur kan det övergripande personuppgiftsansvaret identifieras?
Som redovisats ovan anser vi att frågan om fördelningen av personuppgiftsansvar för övergripande säkerhetsåtgärder ska avgöras med hänsyn till de faktiska omständigheterna i det enskilda fallet. Det är således upp till de samverkande vårdgivarna att analysera situationen och tydliggöra hur personuppgiftsansvaret är fördelat. Utredningen inser att det sannolikt kan vara olika svårt i olika sammanhang. Samarbeten mellan vårdgivare är inte sällan komplexa utvecklingsarbeten där framför allt medlen för personuppgiftsbehandlingen, dvs. tekniska lösningar, kan vara framtagna av olika aktörer i olika skeden av processen. Samtidigt är vår bedömning att de iblandade vårdgivarna är de som har bäst förutsättningar att göra bedömningen.
När det gäller frågan om personuppgiftsansvar och vad som konstituerar ett ansvar finns viss vägledning att hämta från den s.k. artikel 29-gruppen. Artikel 29-gruppen består bland annat av en företrädare för varje nationell dataskyddsmyndighet i EU-medlemsstaterna och gruppen har till uppgift att främja en enhetlig tillämpning av dataskyddsdirektivet i de nationella lagstiftningarna.
Artikel 29-gruppen har lämnat vissa rekommendationer beträffande just begreppet personuppgiftsansvar. I yttrande 1/2010 om begreppen registeransvarig och registerförare anför 29-gruppen bl.a. följande (med registeransvarig avses personuppgiftsansvarig).
Begreppet registeransvarig är ett funktionellt begrepp som är avsett att lägga ansvaret där det faktiska inflytandet ligger och bygger alltså på en faktabaserad snarare än en formell analys. För att avgöra var registeransvaret ligger kan det därför ibland krävas en ingående och lång undersökning. Behovet av att säkerställa effektiviteten innebär dock att det krävs en pragmatisk inställning för att skapa förutsägbarhet i fråga om registeransvaret. Därför behövs tumregler och praktiska
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
217
överväganden för att vägleda och förenkla tillämpningen av dataskyddsdirektivet.
När det gäller frågan om personuppgiftsansvar grundat på faktiska omständigheter menar 29-gruppen att det i många fall omfattar en bedömning av de avtalsmässiga förbindelserna mellan de olika inblandade parterna. Genom bedömningen går det att dra slutsatser och tilldela en eller flera parter rollen och ansvaret som registeransvarig. Det kan enligt 29-gruppen vara särskilt användbart i komplicerade miljöer, där det ofta används ny informationsteknik och de berörda aktörerna gärna betraktar sig som ”förmedlare” och inte som registeransvariga. Det kanske inte anges tydligt i ett avtal vem som är registeransvarig, men det kan ändå innehålla tillräckligt med information för att man ska kunna tilldela registeransvaret till en part som uppenbarligen har den dominerande rollen i det avseendet. Det kan också hända att avtalet är tydligare även i fråga om vem som är registeransvarig. Om det inte finns någon anledning att ifrågasätta att detta korrekt speglar verkligheten finns det, enligt 29-gruppen, inget hinder för att följa villkoren i avtalet.
29-gruppen för i sammanhanget även ett resonemang kring sådana förhållanden som särskilt aktualiseras när flera olika aktörer samverkar i frågor som rör personuppgiftsbehandling och hur personuppgiftsansvaret i sådana fall skulle kunna fastställas. 29gruppen framhåller att när det gäller gemensamt registeransvar kan parternas deltagande i det gemensamma beslutet ta olika former och måste inte delas lika. När det handlar om flera aktörer kan de ha ett mycket nära förhållande (och t.ex. dela samtliga ändamål och medel för en behandling) eller ett lösare förhållande (och t.ex. endast dela ändamål eller medel, eller delar av dem). Därför bör man, enligt 29-gruppen, ta hänsyn till en rad olika typer av gemensamt registeransvar och bedöma deras rättsliga konsekvenser, med en viss flexibilitet för att ta hänsyn till den växande komplexiteten i dagens uppgiftsbehandling i praktiken. Av den anledningen anser 29-gruppen att måste man hantera de olika grader av delaktighet som olika parter kan ha eller olika grader av kopplingar mellan dem i behandlingen av personuppgifter. I sammanhanget uttalas bland annat följande.
Men i verkligheten kan det som sagt finnas flera olika sätt att agera ”gemensamt”, dvs. ”tillsammans med”. Detta kan under vissa omständigheter leda till en gemensam och delad ansvarsskyldighet, men inte som allmän regel: i många fall kanske de olika registeransvariga är
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
218
ansvariga – och därmed ansvarsskyldiga – för behandlingen av personuppgifter i olika skeden och i olika grad. Det viktigaste måste vara att se till att efterlevnaden av dataskyddsbestämmelserna och ansvaret för eventuella brott mot de bestämmelserna är tydligt fördelade, även i komplexa behandlingsmiljöer där olika registeransvariga har del i behandlingen av personuppgifter, för att undvika att skyddet av personuppgifter minskar eller att det uppstår ”negativa behörighetskonflikter” och kryphål som leder till att de skyldigheter och rättigheter som följer av direktivet inte garanteras av någon av parterna.
Vidare menar 29- gruppen att parter som agerar tillsammans har en viss flexibilitet när det gäller att fördel skyldigheter och ansvar sinsemellan, så länge de garanterar en fullständig efterlevnad. Regler för hur det gemensamma ansvaret ska utövas bör, enligt gruppen, i princip fastställas av de registeransvariga. Men hänsyn bör också tas till de faktiska omständigheterna och det bör bedömas om arrangemanget avspeglar verkligheten i den bakomliggande uppgiftsbehandlingen. I yttrandet om personuppgiftsansvar redogörs även för nedanstående exempel, som är hämtat just ifrån samarbeten mellan vårdgivare inom hälso- och sjukvården. 29gruppen anför följande i exemplet, som handlar om plattformar för att administrera hälsouppgifter.
I en medlemsstat inrättar en offentlig myndighet en nationell förbindelsepunkt som reglerar utbytet av patientuppgifter mellan vårdgivare. Mängden registeransvariga – tiotusentals – leder till en så otydlig situation för de registrerade (patienterna) att skyddet av deras rättigheter hotas. För de registrerade skulle det vara mycket svårt att veta vem de skulle vända sig till med eventuella klagomål, frågor och krav på information, rättelser eller tillgång till personuppgifter. Dessutom är den offentliga myndigheten ansvarig för den faktiska utformningen av behandlingen och hur den används. Dessa faktorer leder till slutsatsen att det är den offentliga myndighet som inrättar förbindelsepunkten som ska betraktas som registeransvarig och även fungera som kontaktpunkt dit de registrerade kan vända sig med förfrågningar.
Utredningen anser att 29-gruppens yttrande om begreppet personuppgiftsansvar ger såväl stöd för utredningens förslag i frågan om personuppgiftsansvar för övergripande säkerhetsåtgärder som vägledning för vårdgivare som står i begrepp att analysera och fördela ansvaret i frågor om personuppgiftsbehandling. Mot bakgrund av 29-gruppens uttalanden anser utredningen att det finns ett fåtal konkreta omständigheter som alldeles särskilt kan tyda på att en, eller ett fåtal, av de inblandade vårdgivarna har ett särskilt ansvar för övergripande säkerhetsåtgärder. Sammanfattningsvis kan t.ex.
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
219
följande konkreta omständigheter ge vägledning för vårdgivare att fastställa personuppgiftsansvaret.
• Att en vårdgivare dikterat villkoren för övrigas medverkan.
• Att en vårdgivare har faktiska möjligheter och befogenheter att vidta åtgärder med avseende på den övergripande säkerheten för personuppgiftsbehandlingen.
• Att en vårdgivare ansvarar för kravställning, utveckling, driftsättning och förvaltning av sådant som avser den övergripande säkerheten för personuppgiftsbehandlingen.
• Att det av avtal mellan de samverkande vårdgivarna framgår att en vårdgivare har en dominerande och självständig ställning i frågor som rör övergripande säkerhetsåtgärder.
Samtidigt råder i många samarbeten naturligtvis helt andra förutsättningar än de som räknas upp ovan. De ska endast betraktas som vägledande just för frågan om någon av de inblandade kan anses ha ett ensamt personuppgiftsansvar för de övergripande säkerhetsåtgärderna. Oavsett om vårdgivarnas bedömning resulterar i att personuppgiftsansvaret för frågor om organisatoriska och tekniska säkerhetsåtgärder är gemensamt eller om det ligger på en av vårdgivarna, ska det enligt vårt förslag framgå av överenskommelsen hur personuppgiftsansvaret är fördelat.
221
11 Elektroniskt utlämnande av personuppgifter
11.1 Bakgrund
Utredningen har i tidigare avsnitt föreslagit att patientdatalagens (2008:355), förkortad PDL, ändamålsbestämmelse ska föras över till hälso- och sjukvårdsdatalagen. Inom ramen för de tillåtna ändamålen är det många gånger aktuellt att behandla personuppgifter i form av att lämna ut uppgifter till någon utanför den egna verksamheten. Utlämnande kan t.ex. avse personuppgifter som begärs ut från av en annan vårdgivare eller föranledas av en särskilt reglerad uppgiftsskyldighet. Det kan t.ex. också avse sådana uppgifter som ska lämnas ut för att den egna verksamheten ska kunna fullgöra sina uppgifter, t.ex. i samband med samverkan mellan socialtjänsten och hälso- och sjukvården. Även i relation till den medicinska utbildningen och forskningen förekommer regelmässiga utlämnanden av personuppgifter.
Personuppgifter kan lämnas ut på olika sätt. Ett sätt är via pappersutskrifter från en dator som postas eller sänds per telefax. Utlämnande kan också göras i elektronisk form, exempelvis på medium för automatiserad behandling eller genom direktåtkomst. Den elektroniska formen inrymmer i sig ett stort antal variationer, t.ex. användning av e-post, lagring på diskett eller cd-rom, direkt överföring till ett datorsystem till ett annat via telenätet eller att en mottagare ges elektroniskt tillgång till det utlämnande organets datorsystem (direktåtkomst). Elektroniska utlämnanden kan även ske genom s.k. direktåtkomst. Alla dessa olika varianter utgör behandling av personuppgifter enligt det begrepp som definieras i 3 § personuppgiftslagen (1998:204), förkortad PUL.
Enligt utredningens bedömning innebär sättet eller den särskilda tekniken för utlämnande i elektronisk form att det kan uppstå risk för intrång i den personliga integriteten Normalt innebär nämligen
Elektroniskt utlämnande av personuppgifter SOU 2014:23
222
just den elektroniska formen att mottagaren efter utlämnandet har större möjligheter att bearbeta informationen än om utlämnandet görs på papper. Direktåtkomst innebär dessutom att en mottagare har elektronisk tillgång till någon annans informationssystem eller databas och på egen hand kan söka efter information. Se vidare i det följande om åtskillnaden mellan begreppen direktåtkomst och utlämnande på medium för automatiserad behandling.
11.2 Våra överväganden och förslag
11.2.1 Vissa bestämmelser om utlämnande förs över från patientdatalagen
Vårt förslag: Bestämmelser från 5 kap. patientdatalagen med
hänvisningar till andra lagar, om utlämnade på medium för automatiserad behandling och om viss uppgiftsskyldighet för myndighet ska föras över från patientdatalagen till hälso- och sjukvårdsdatalagen.
I nuvarande 5 kap. patientdatalagen återfinns ett antal grundläggande bestämmelser om utlämnande av uppgifter och handlingar samt viss uppgiftsskyldighet. Vi föreslår att dessa bestämmelser från 5 kap. patientdatalagen förs över till den nya lagen
Hänvisningar till andra lagar
Våra förslag innebär att patientdatalagens bestämmelser med hänvisningar till andra lagar, vad gäller rätten att ta del av allmänna handlingar och eventuella begränsningar att ta del av uppgifter i enskild hälso- och sjukvård, förs över oförändrade till hälso- och sjukvårdsdatalagen.
Viss uppgiftsskyldighet för myndigheter
Vi föreslår att den nuvarande bestämmelsen i patientdatalagen om en myndighets skyldighet att vid vissa fall lämna ut uppgift ur en patientjournal som upprättats inom den enskilda hälso- och sjukvården förs över till hälso- och sjukvårdsdatalagen. Bestämmelsen har i
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
223
allt väsentligt sin grund i den tidigare gällande patientjournallagen (1985:562) och behandlades i prop. 1991/92:104 s. 24 f.
Utlämnande på medium för automatiserad behandling
Vår utgångspunkt är att vårdgivare precis som i dag ska kunna lämna ut personuppgifter på medium för automatiserad behandling om de får lämnas ut. Vi föreslår därför att den nuvarande bestämmelsen i 5 kap. 6 § PDL förs över till hälso- och sjukvårdsdatalagen. Det innebär att det är möjligt för vårdgivare att lämna ut personuppgifter elektroniskt på detta sätt, under förutsättning att det inte finns något sekretesshinder och om personuppgiftsbehandlingen som sådan är laglig. Om uppgifter överhuvudtaget får lämnas ut bestäms av bestämmelserna i offentlighets- och sekretesslagen (2009:400), förkortad OSL, samt av bestämmelserna om tystnadsplikt i patientsäkerhetslagen (2010:659) förkortad PSL. Inom hälso- och sjukvården råder en sträng sekretess och tystnadsplikt, vilket innebär att det alltid måste prövas om ett utlämnande över huvud taget kan göras eller inte. Vidare följer av de nu gällande och de föreslagna ändamålsbestämmelserna att personuppgifter får behandlas för ändamålet utlämnande. Bestämmelsen innebär att personuppgifter, som behandlas för ett tillåtet ändamål, också får behandlas för att fullgöra ett uppgiftslämnande som är lagligt.
När det gäller utlämnande på medium för automatiserad behandling delar vi den bedömning regeringen gjorde i förarbetena till patientdatalagen.1Det finns inget skäl till att för hälso- och sjukvårdens del begränsa den användning av modern teknik som i dag finns i hela samhället. Uppgifter ska därför kunna lämnas ut från hälso- och sjukvården på medium för automatiserad behandling. Ett sådant utlämnande kan exempelvis ske genom olika former av filöverföring eller på usb-minne. Det är upp till vårdgivaren att efter en lämplighetsprövning ta ställning till valet mellan en automatiserad överföring och annan överföring.
Under utredningens arbete har det blivit tydligt att det både i hälso- och sjukvården och i socialtjänsten finns behov av att utveckla och implementera it-stöd som gör det möjligt att administrera elektroniska utlämnanden på ett ändamålsenligt och säkert sätt. Det skulle exempelvis kunna förenkla och effektivisera sådana utlämnanden som görs mellan olika vårdgivare. Som ett
Elektroniskt utlämnande av personuppgifter SOU 2014:23
224
exempel på ett område där utlämnanden på medium för automatiserad behandling regelmässigt görs kan den samordnade vårdplaneringen nämnas. De flesta kommuner och landsting har även i dag möjlighet att kommunicera elektroniskt vid sådan samordnad vårdplanering ska ske när patienter skrivs ut från slutenvården och är i behov av insatser från socialtjänsten och den kommunala hälso- och sjukvården. Motsvarande typ av it-stöd som i dag används vid samordnad vårdplanering borde kunna vara ändamålsenliga även vid andra utlämnandesituationer. Andra användningsområden kan vara sådana utlämnanden som görs till enskilda. Vidare förekommer i förhållandevis stor omfattning, och mer eller mindre regelmässigt, utlämnanden såväl för forskningsändamål som för utbildningsändamål. Den hanteringen skulle enligt vår bedömning både kunna effektiviserad och bli säkrare genom införandet av nya former av it-stöd för utlämnanden.
Utredningen har i den delredovisning som överlämnades till regeringen den 31 december 2013 redogjort för ett antal tillämpningsfrågor kring utlämnande av personuppgifter. Se vidare bilaga 4.
11.2.2 Grundläggande bestämmelser om direktåtkomst förs över till hälso- och sjukvårdsdatalagen
Vårt förslag: De grundläggande bestämmelserna om direkt-
åtkomst ska föras över från patientdatalagen till hälso- och sjukvårdsdatalagen. Viss anpassning av hänvisningar i de nuvarande bestämmelserna ska göras med anledning av övriga förslag i hälso- och sjukvårdsdatalagen.
Vår bedömning: Förslaget innebär att utlämnande genom
direktåtkomst är tillåten endast i den utsträckning som anges i lag eller förordning. Med direktåtkomst och utlämnande på medium för automatiserad behandling avses i hälso- och sjukvårdsdatalagen samma innebörd som i patientdatalagen. Med direktåtkomst avses i hälso- och sjukvårdsdatalagen således en särskild form av elektroniskt utlämnande av personuppgifter till mottagare utanför vårdgivarens organisation. Med elektronisk åtkomst avses, som i dag, personalens åtkomst till uppgifter som finns elektroniskt tillgängliga i den egna vårdgivarens organisation.
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
225
Hänvisning: Frågan om utlämnande genom direktåtkomst till
enskilda behandlas i avsnitt 33.
Vi föreslår att de grundläggande bestämmelserna om direktåtkomst i 5 kap. patientdatalagen förs över till hälso- och sjukvårdsdatalagen, med vissa justeringar avseende språk och struktur samt följdändringar på grund av våra övriga förslag, som har med direktåtkomst att göra. Det handlar i allt väsentligt om att anpassa bestämmelsernas hänvisningar efter hälso- och sjukvårdsdatalagen. För våra överväganden och förslag rörande den gällande bestämmelsen i 5 kap. 5 § PDL om enskildas direktåtkomst hänvisas till avsnitt 33.5.2.
I det följande redogörs kort för begreppet direktåtkomst och för de bestämmelser som vi föreslår ska föras över från patientdatalagen.
Begreppet direktåtkomst
Det är i dag svårt att finna ett entydigt svar på frågan om vad som är direktåtkomst respektive utlämnande på medium för automatiserad behandling. Frågan är dessutom föremål för en pågående översyn av Informationshanteringsutredningen (Ju 2011:11), som enligt sina direktiv ska överväga om det finns skäl att i registerförfattningar behålla åtskillnaden mellan olika former av elektroniskt utlämnande. Uppdraget ska redovisas 1 december 2014 och av direktiven framgår bland annat följande.2
Den tekniska utvecklingen har inneburit att det numera finns betydligt fler sätt att överföra uppgifter elektroniskt än tidigare och nya åtkomstmetoder tillkommer alltjämt. Detta har medfört att det uppfattas som oklart hur begreppen direktåtkomst och utlämnande på medium för automatiserad behandling ska tillämpas på modernare metoder för informationsutbyte. Gränsdragningsproblematiken illustreras bl.a. i en rapport som har tagits fram av E-delegationens expertgrupp för rättsliga frågor (Vägledning för direktåtkomst och utlämnande på medium för automatiserad behandling). De aktuella begreppen används inte heller på ett enhetligt sätt i de olika registerförfattningarna och utöver nu nämnda begrepp förekommer andra begrepp, t.ex. ”elektronisk åtkomst” (SOU 2010:4 s. 364 f.). Mot den angivna bakgrunden ska utredaren analysera vilka effektivitetsvinster och integritetsrisker som är förknippade med olika former av elektroniskt informationsutbyte samt ta ställning till om det finns
2 Dir. 2011:86 s.19.
Elektroniskt utlämnande av personuppgifter SOU 2014:23
226
skäl att i registerförfattningarna upprätthålla en skillnad mellan direktåtkomst och andra former av elektroniskt utlämnande eller om denna åtskillnad bör utmönstras. Om utredaren anser att en åtskillnad mellan olika former av elektroniskt utlämnande även i fortsättningen bör upprätthållas, ska denne lämna förslag på vilka begrepp som bör användas samt hur dessa bör definieras.
Även om frågor om direktåtkomst är under översyn finns ett behov för hälso- och sjukvårdens del att vi i detta sammanhang så långt möjligt beskriver vad begreppet innebär och vad som skiljer olika former av utlämnanden åt. Eftersom vi föreslår ett antal bestämmelser om direktåtkomst i hälso- och sjukvårdsdatalagen är det därför nödvändigt att tydliggöra vad vi avser med direktåtkomst. Sammanfattningsvis kan konstateras att vi ställer oss bakom regeringens resonemang i förarbetena till patientdatalagen och menar att begreppet direktåtkomst och begreppet utlämnande på medium för automatiserad behandling ska ha samma innebörd i hälso- och sjukvårdsdatalagen.
Det finns emellertid inte någon legaldefinition av begreppet direktåtkomst. En vedertagen uppfattning får dock anses vara att det innebär att en mottagare har elektronisk tillgång till någon annans informationssystem eller databas, t.ex. via internet, och på egen hand kan söka efter och ta del av information. Vanligtvis innebär direktåtkomst ingen möjlighet att kunna bearbeta eller på annat sätt påverka innehållet i det system, register eller databas som åtkomsten avser.3Ibland kan mottagaren dock ha en möjlighet att kopiera eller på olika sätt ladda ner och hämta hem informationen till sitt eget system för fortsatt personuppgiftsbehandling.4
Frågan om vad som bör anses som direktåtkomst berördes bland annat av patientdatautredningen och i denna del ansluter vi oss till den utredningens resonemang. Patientdatautredningen anförde bland annat följande.5
I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Det innebär t.ex. att om vårdgivare A har direktåtkomst till samtliga uppgifter i ett register eller en databas hos vårdgivare B, så kan A själv välja vilka uppgifter den vill ta del av vid ett visst tillfälle, utan att B, dvs. den som är ansvarig för registret eller databasen, först fattar ett beslut om att just dessa upp-
3Prop. 2000/01:33 s. 110 f. 4 Se t.ex. Prop. 2001:02:144 s. 35 eller SOU 2001:100 s. 149. 5SOU 2006:82 s. 217.
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
227
gifter ska överföras till A. Beslutet om varje överföring fattas i stället av mottagaren. Direktåtkomst innebär att någon egentlig sekretessprövning hos B inte sker varje gång någon hos A använder direktåtkomsten för att ta del av en uppgift. Sekretessprövningen sker istället då B bestämmer vilka uppgifter som skall vara möjliga för A att ta fram via direktåtkomsten. Direktåtkomst kan därvid avse all information som finns samlad i ett datasystem eller endast en på förhand bestämd del av denna.
Regeringen uttalar även i förarbetena till patientdatalagen att det med direktåtkomst avses ett sätt att bereda sig automatisk tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation, men utan möjlighet att kunna bearbeta eller annars påverka uppgifternas innehåll.6
Mot denna bakgrund anser utredningen att med direktåtkomst i hälso- och sjukvårdsdatalagen ska avses en speciell form av elektroniskt utlämnande av personuppgifter till en mottagare utanför vårdgivarens organisation. Direktåtkomst skiljer sig från andra typer av elektroniska utlämnanden genom att det är mottagaren av uppgifterna som bereder sig tillgång till informationen utan att den som lämnar ut informationen vidtar någon åtgärd med informationen vid överföringstillfället, till exempel en sekretessprövning. I de här fallen är det fråga om ett helt automatiskt utlämnande.
Mot bakgrund av vad som anförts ovan finns även skäl att tydliggöra att bestämmelser om direktåtkomst inte anses ha en sekretessbrytande effekt enligt offentlighets- och sekretesslagen. Bestämmelser om direktåtkomst har en annan funktion än sekretessbrytande regler. Medan sekretessbrytande regler anger i vilken mån sekretessbelagda uppgifter över huvud taget får lämnas från en myndighet till en annan, tar bestämmelser om direktåtkomst sikte på själva formerna för utlämnandet. Om en myndighet ska få ha direktåtkomst till uppgifter som omfattas av sekretess hos en annan myndighet måste bestämmelser om direktåtkomst därför kompletteras med en sekretessbrytande bestämmelse. I anslutning till våra resonemang om möjligheter till direktåtkomst mellan vårdgivare och mellan vårdgivare och de som bedriver socialtjänst berörs denna fråga ytterligare.
Elektroniskt utlämnande av personuppgifter SOU 2014:23
228
Begreppet elektronisk åtkomst
För att skilja på situationer där åtkomst sker till uppgifter som finns lagrade i en annan vårdgivares organisation, dvs. direktåtkomst, från situationer där åtkomst sker till uppgifter som finns lagrade i personalens egen organisation, dvs. hos den egna vårdgivaren, används i dag begreppet elektronisk åtkomst. Vi bedömer att begreppet elektronisk åtkomst ska ha samma innebörd i hälso- och sjukvårdsdatalagen som det har i nuvarande patientdatalag. När det gäller personalens möjligheter att elektroniskt ta del av uppgifter som finns tillgängliga i vårdgivarens egen organisation används således begreppet elektroniskt åtkomst.7
Även om frågan kan betraktas som något akademisk är det viktigt att ha ett begrepp för att särskilja när åtkomsten används till uppgifter inom eller utom den egna organisationen. Som exempel på elektronisk åtkomst kan nämnas när personal på en vårdavdelning tar del av de uppgifter om patienten som dokumenterades av akutmottagningen på samma sjukhus. Detta naturligtvis under förutsättning att akutverksamheten och verksamheten på avdelningen bedrivs av samma vårdgivare.
I hälso- och sjukvårdsdatalagen återfinns begreppet elektronisk åtkomst endast i den bestämmelse som tydliggör patientens möjlighet att begränsa åtkomst till uppgifter inom och mellan vårdgivare som bedriver hälso-och sjukvårdsverksamhet som samma huvudman ansvarar för.
Direktåtkomst tillåten endast om det anges i lag eller förordning
Mot bakgrund av vad som redovisats ovan kan konstateras att direktåtkomst medför helt andra risker för integritetsskyddet än andra former av utlämnande som t.ex. innebär att beslut om utlämnande fattas vid varje givet överföringstillfälle. Därför bör det i hälso- och sjukvårdsdatalagen framgå att utlämnande genom direktåtkomst endast är tillåten i den utsträckning som anges i lag eller förordning. Bestämmelsen överförs således från patientdatalagen.
När det gäller vilka fall av direktåtkomst som bör vara lagliga har det alltsedan patientdatalagen trädde ikraft framförts önskemål om utökade möjligheter till direktåtkomst. Det har bland annat handlat om direktåtkomst mellan hälso- och sjukvården och social-
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
229
tjänsten. Ett annat område som har lyfts fram är hälso- och sjukvårdens samarbete med den medicinska forskningen och läkemedelsindustrin, där direktåtkomst skulle kunna underlätta det informationsutbyte som i dag görs genom andra typer av utlämnanden. Vidare har den tekniska utvecklingen, som anförts ovan, medfört att det i praktiken i enskilda situationer kan vara väldigt små skillnader mellan vad som är att betrakta som direktåtkomst och vad som är att betrakta som utlämnande på medium för automatiserad behandling. Var man landar i bedömningen har dock ofta en helt avgörande betydelse för frågan om utlämnandet är lagligt eller inte. Medan utlämnandet i regel å ena sidan kan betraktas som lagligt för det fall det bedöms ske på medium för automatiserad behandling, blir utlämnandet å andra sidan ofta otillåtet om det är att betrakta som direktåtkomst.
Detta är självklart ingen eftersträvansvärd situation för de som har att tillämpa lagstiftningen och utveckla effektiva och säkra itlösningar för informationshanteringen. Utveckling på detta område tar inte sällan flera år och är även kostsam. En otydlighet kring vad som är att betrakta som direktåtkomst och vad som är att betrakta som annat utlämnande medför inte endast svårigheter för de som tillämpar lagstiftningen utan det riskerar också att bromsa en utveckling som skulle kunna vara till nytta både för enskilda individer och för olika verksamheter, utan att nödvändigtvis medföra otillbörliga risker för integritetsförluster. Inte minst visar regeringens uppdrag till den tidigare nämnda informationshanteringsutredningen på behovet av en generell översyn av dessa frågor.
Sett mot denna bakgrund ser vi samtidigt att regeringen kan behöva vara särskilt aktiv på hälso- och sjukvårdens och socialtjänstens område för att hela tiden uppmärksamma om utvecklingen för med sig behov av författningsändringar för att tillåta direktåtkomst i nya situationer eller i nya former. Sådana nya behov av direktåtkomst, i situationer som inte innebär stora risker för intrång i den personliga integriteten, skulle möjligen kunna regleras på förordningsnivå. Det ger även en möjlighet att hålla regelverket i takt med den rådande utvecklingen.
För hälso- och sjukvårdens del föreslår vi enligt ovan att direktåtkomst, precis som i dag, ska vara tillåten endast i den utsträckning som anges i lag eller förordning. I hälso- och sjukvårdsdatalagen föreslås i det följande ett antal sådana situationer.
Elektroniskt utlämnande av personuppgifter SOU 2014:23
230
Vissa fall av direktåtkomst anges i lagen
I patientdatalagen regleras i dag vissa fall av tillåten direktåtkomst, t.ex. mellan hälso- och sjukvårdsmyndigheter i samma landsting eller samma kommun, mellan vårdgivare i sammanhållen journalföring, för vårdgivare i samband med användningen av nationella eller regionala kvalitetsregister samt för vårdgivares utlämnande till enskilda.
Vi föreslår att den nuvarande bestämmelsen i patientdatalagen som medger direktåtkomst mellan myndigheter i samma landsting eller samma kommun överförs till hälso- och sjukvårdsdatalagen, men att den i lagen placeras i anslutning till vissa andra bestämmelser om direktåtkomst mellan vårdgivare. Vidare föreslår vi att den bestämmelse som räknar upp när direktåtkomst är tillåten ska utökas till att omfatta också den nya formen för direktåtkomst inom en huvudmans ansvarsområde som vi föreslår. Se avsnitt 13 för våra överväganden och förslag i denna del. Vidare lämnar vi i det följande förslag om möjligheter till direktåtkomst vid monitorering (källdatagranskning) i samband med forskning inom hälso- och sjukvården. Frågan om vårdgivares möjlighet att lämna ut uppgifter till enskilda genom direktåtkomst behandlas i avsnitt 33.
11.2.3 Direktåtkomst vid källdatagranskning i samband med kliniska prövningar m.m.
Vårt förslag: En möjlighet till direktåtkomst för källdata-
granskning (monitorering) vid forskning inom hälso- och sjukvården ska införas i hälso- och sjukvårdsdatalagen. Sådant utlämnande genom direktåtkomst får endast göras avseende patienter som har samtyckt till deltagande i forskningsstudien och till den personuppgiftsbehandling som görs inom ramen för studien, samt till utlämnandet av uppgifter för källdatagranskningen.
För att göra direktåtkomsten möjlig föreslås en sekretessbrytande bestämmelse i offentlighets- och sekretesslagen. I lagen ska anges att hälso- och sjukvårdssekretess inte hindrar sådant utlämnande genom direktåtkomst för källdatagranskning som görs i enlighet med den föreslagna bestämmelsen i hälso- och sjukvårdsdatalagen.
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
231
Vår bedömning: Den föreslagna varianten av direktåtkomst är
mer integritetsvänligt än utlämnanden på medium för automatiserad behandling, där mottagaren förutsätts ta hand om de utlämnade uppgifterna och hantera samt förvara dem i sin organisation. Med direktåtkomst kan monitoreringen bedrivas utan att uppgifterna sprids utanför vårdgivarens organisation. Informationshanteringen kan bli säkrare, effektivare och ske med hjälp av moderna tekniska lösningar.
Inledning
I samband med forskning inom hälso- och sjukvården, och kanske framför allt vid kliniska prövningar, ska en granskning göras av att uppgifterna i studien (studiedata) överensstämmer med uppgifter i patientjournalen. Denna källdatagranskning benämns ofta monitorering.
En klinisk prövning kan beskrivas som en undersökning för att studera effekten av ett läkemedel eller en behandlingsmetod. Förutom sådant som har med läkemedel att göra, exempelvis att utvärdera olika substansers lämplighet och att analysera olika effekter av läkemedel, kan kliniska prövningar även handla om att utvärdera kirurgiska metoder som används i vården, dieter, medicintekniska produkter m.m. Kliniska prövningar är därför ett viktigt verktyg för att kunna garantera och utveckla en hög kvalitet och säkerhet i hälso- och sjukvården. Det innebär också en kontroll av nya produkter och behandlingar samt ett stöd vid tidigt införande av nya behandlingar i vården.
När det gäller läkemedel bedrivs de kliniska prövningarna oftast i samarbete mellan det företag (sponsor) som utvecklat läkemedlet och hälso- och sjukvårdspersonal hos en vårdgivare (prövare). Rent praktisk innebär det bland annat att kliniska prövningar normalt sett äger rum i hälso- och sjukvården, vanligtvis på ett sjukhus och under ledning och uppsikt av vårdgivarens hälso- och sjukvårdspersonal. Närmare förutsättningar om hur kliniska läkemedelsprövningar får genomföras m.m. finns bland annat i läkemedelslagen (1992:859) och Läkemedelsverkets föreskrifter (LVFS 2011:19) om kliniska läkemedelsprövningar på människor.
Enligt internationella riktlinjer om god klinisk sed (GCP) ska prövare, i detta fall vårdgivare, ge monitorer tillgång till all efterfrågad prövningsrelaterad dokumentation (källdata) avseende
Elektroniskt utlämnande av personuppgifter SOU 2014:23
232
berörda forskningspersoners deltagande i kliniska prövningar. Den som utför monitoreringen ska enligt riktlinjerna kunna verifiera alla data som har betydelse för utvärderingen av den kliniska prövningen.
God klinisk sed har central betydelse i forskningssammanhang. Här kan nämnas att i huvuddirektivet om kliniska prövningar (2001/20/EG) anges att kliniska prövningar ska utföras i enlighet med god klinisk sed. Frågan lyfts även i kommissionens direktiv (2005/28/EG) om fastställande av principer och detaljerade riktlinjer för god klinisk sed. I ingressen anges att de internationella riktlinjerna om god klinisk sed bör beaktas. Direktiven om kliniska läkemedelsprövningar genomförs i Sverige i huvudsak genom Läkemedelsverkets föreskrifter (LVFS 2011:19) om kliniska läkemedelsprövningar, där det i 3 kap. 1 § anges att god klinisk sed ska tillämpas. De krav som ställs på prövare och monitorer enligt god klinisk sed får därmed anses gälla i Sverige, trots att det i svensk författning i och för sig inte finns någon uttrycklig bestämmelse om prövarnas och monitorernas skyldigheter när det gäller källdatagranskningen.
Monitorering utförs i stor utsträckning i Sverige. Vid utredningens kontakter med Läkemedelsverket har vi fått information om att det pågår uppskattningsvis omkring 2 000–3 000 kliniska prövningar i Sverige och att dessa sammantaget omfattar mellan 20 000 och 25 000 patienter. Forskningsintensiva kliniker kan ha besök av flera monitorer varje vecka.
Tillvägagångssätt vid monitorering
Det grundläggande lagliga stödet för att utföra en källdatagranskning ligger i det samtycke som patienter lämnar i samband med deltagande i kliniska prövningar. Regelmässigt inhämtas patientens samtycke till att delta i studien, till att personuppgifter behandlas på sätt som beskrivits i patientinformationen samt att journalkopior får hämtas in och användas för källdatagranskning.
Även om forskning är nära förknippat med hälso- och sjukvårdsaktörernas uppdrag anses forskning och den individinriktade hälso- och sjukvården i regel vara skilda verksamheter i sekretesshänseende. Det innebär att det normalt sett gäller sekretess mellan en vårdgivares individinriktade patientverksamhet och den verksamhet som en vårdgivare bedriver när denne genomför forskning
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
233
på uppdrag av t.ex. ett läkemedelsföretag (sponsor). Regeringen anför bland annat följande i förarbetena till patientdatalagen.8
När det gäller forskning som bedrivs inom en hälso- och sjukvårdsmyndighet måste man skilja mellan sådan forskning, som sker som ett led i vården och behandlingen av en patient, och annan forskning som bedrivs med myndigheten som huvudman. Med annan forskning avses dokumentation som enbart sker i forskningssyfte och som inte heller har någon betydelse för vården. Den förstnämnda typen av forskning omfattas av hälso- och sjukvårdssekretessen. Vid annan forskning som bedrivs med en hälso- och sjukvårdsverksamhet som huvudman överförs hälso- och sjukvårdssekretessen till forskningsverksamheten enligt 1 kap. 3 § andra stycket och 13 kap. 3 § sekretesslagen. Hälso- och sjukvårdsverksamheten inklusive forskning som sker som ett led i vården och behandlingen av en patient å ena sidan och annan forskning som utförs inom myndigheten å andra sidan utgör således olika verksamhetsgrenar i den mening som avses i 1 kap. 3 § sekretesslagen (jfr prop. 1979/80:2 Del A s. 463 f. och 494).
Om det föreligger sekretess mellan vårdgivarens individinriktade patientverksamhet och den verksamhet som bedrivs i en klinisk prövning måste uppgifterna ur patientjournalen formellt sett lämnas ut till den som ska utföra källdatagranskningen, dvs. monitorera. I ett sådant fall saknar det betydelse om den som ska utföra monitoreringen är anställd hos vårdgivaren eller om det är någon annan person som sponsorn har utsett.
Utlämnande av uppgifter för monitorering kan i dag göras antingen manuellt på papper eller elektroniskt på medium för automatiserad behandling, t.ex. cd eller usb-minne. Däremot finns ingen bestämmelse i nuvarande patientdatalag som särskilt tillåter att uppgifterna lämnas ut genom direktåtkomst. Som redovisats i det föregående är utlämnande genom direktåtkomst enligt patientdatalagen endast tillåten i den utsträckning det framgår av lag eller förordning.
Frågan har uppmärksammats av exempelvis Läkemedelsverket och även varit föremål för uttalanden och tillsyn från Datainspektionen. I sammanhanget kan exempelvis nämnas att Datainspektionen i tillsynsbeslut bedömt att ett landstings sätt att lämna ut uppgifter för monitorering var att betrakta som direktåtkomst och därmed skedde i strid mot patientdatalagen.9I det aktuella landstinget hade en särskild applikation utvecklats för att tillgodose behovet av källdatagranskning. Genom applikationen
8Prop. 2007/08:126 s. 202. 9 Datainspektionens beslut 2012-11-09, dnr. 59-2012.
Elektroniskt utlämnande av personuppgifter SOU 2014:23
234
kunde åtkomst till patientuppgifter begränsas till att omfatta journalförda uppgifter endast om de patienter som samtyckt till att ingå i den kliniska läkemedelsprövningen. Den som utförde monitoreringen fick därmed inte som vid många andra varianter av direktåtkomst en potentiell tillgång till uppgifter om andra patienter än de som omfattades av den aktuella läkemedelsprövningen. Applikationen fungerade som en portal genom vilken behöriga monitorerare kunde logga in och därigenom ta del av patientuppgifter i journalsystemet utan att ha möjlighet att ta del av uppgifter om andra patienter än de som ingick i studien. Vid onkologen, där applikationen utvecklades, behövs vid de flesta studier i princip tillgång till all information i den enskilde patientens journal. Den som utför monitorereringen får därför tillgång till samtliga uppgifter om patienten, dvs. de uppgifter som finns i det aktuella journalsystemet.
Datainspektionen bedömer i beslutet att landstingets applikation, genom att det fungerar som en begränsad portal för inloggning i journalsystemet innebär att uppgifter lämnas ut genom direktåtkomst, vilket inte är tillåtet för monitorering. Vidare pekar myndigheten på att det efter beslutet om utlämnande kan komma att dokumenteras nya uppgifter om patienten i journalsystemet, vilka i sådant fall kommer att vara åtkomliga för monitoreraren genom sidoapplikationen. Av den anledningen synes Datainspektionen mena att den tekniska utformningen är sådan att monitorn kan söka fram andra uppgifter än de som omfattas av vårdgivarens sekretessprövning och beslut om utlämnande. Sammanfattningsvis förelades landstinget att upphöra med att lämna ut uppgifter i applikationen på det sätt som beskrivits.
Närmare om vårt förslag
Elektroniskt utlämnande genom direktåtkomst kan ske på en mängd olika sätt och skilja sig mycket åt. Det finns exempel på direktåtkomst där den potentiella tillgången till uppgifter är större än vad den enskilde användaren i det enskilda fallet har behov av. Vidare finns exempel på direktåtkomst där den enskilde patientens samtycke inte krävs, men där det kan finnas en möjlighet för patienten att motsätta sig. Den typ av direktåtkomst som beskrivs ovan skiljer sig emellertid mycket från detta. En tydlig skillnad är att direktåtkomsten endast avser patienter som ingår i studien och
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
235
har lämnat sitt samtycke till deltagande. Den potentiella tillgången till uppgifter är därmed begränsad till det behov som finns för att kunna utföra källdatagranskningen. Den tillgång till överskottsinformation som direktåtkomst ofta medför saknas därmed. Visserligen innebär direktåtkomsten att samtliga uppgifter om patienten går att nå i samband med källdatagranskningen. Såvitt utredningen har kunnat bedöma så motsvaras detta emellertid av det behov som i regel finns. Den eventuella överskottsinformationen får samtidigt betraktas som väldigt begränsad. Utöver detta har patientens egen inställning avgörande betydelse för personuppgiftsbehandlingen och utlämnandet av uppgifter. Patienten har samtyckt till deltagande i studien, till den personuppgiftsbehandling som äger rum i studien och till det utlämnande av uppgifter som behövs för källdatagranskningen.
Sammantaget bedömer utredningen att det finns övervägande skäl som talar för att direktåtkomst för monitorering vid forskning inom hälso- och sjukvården bör vara tillåtet. Förutom vad som redovisats ovan kan direktåtkomst, i den form som här är aktuell, även betraktas som ett mer integritetsvänligt alternativ än utlämnande på medium för automatiserad behandling. Vid den senare formen av utlämnande lämnas uppgifter ut exempelvis genom filöverföring, på cd eller på usb-minne. Ett sådant utlämnande innebär att uppgifterna sprids utanför prövarens organisation och ska omhändertas av den sponsrande läkemedelsföreraget. Detta trots att sponsorn inte har något behov av att ta del av uppgifterna på detta sätt eller att fortsatt hantera dem i sin verksamhet. Enligt god klinisk sed ska en sponsor inte heller känna till försökspersonernas identitet. Att i dessa fall lämna ut uppgifter genom direktåtkomst skulle därmed kunna innebära att patientens behov av skydd för den personliga integriteten bättre tillgodoses. Detta genom att uppgifter vid monitoreringen inte föranleder någon ytterligare spridning och lagring av uppgifterna. Den som utför monitoreringen har därmed endast en tillfällig tillgång till uppgifterna så länge det behövs för monitoreringen. Ett utlämnande genom direktåtkomst för monitorering förefaller därför vara mer ändamålsenligt än andra former av elektroniska utlämnanden.
Läkemedelsverket har även i kontakter med utredningen framfört att det är av stor betydelse att regelverket ger monitorer förutsättning att granska läkemedelsprövningar på det sätt som krävs enligt reglerna om god klinisk sed och i övrigt på ett ändamålsenligt sätt med användandet av säkra tekniska lösningar.
Elektroniskt utlämnande av personuppgifter SOU 2014:23
236
Att regelmässigt lämna ut uppgifter manuellt på papper anses inte vara någon bra lösning och när det gäller utlämnanden på medium för automatiserad behandling anförs att det kan skapa risker för informationsläckage. Myndigheten har också pekat på att utlämnande på medium för automatiserad behandling i regel innebär att uppgifterna lämnar kliniken, dvs. prövarens verksamhet, och att det saknas behov av detta både för sponsorns räkning och för möjligheterna att följa god klinisk sed.
Sammantaget bedömer vi att det finns skäl att tillåta direktåtkomst för monitorering vid forskning inom hälso- och sjukvården. Utredningen föreslår därför att detta ska tillåtas genom en uttrycklig bestämmelse i hälso- och sjukvårdsdatalagen. Utlämnande genom direktåtkomst för monitorering ska endast vara tillåten om patienten samtyckt till medverkan i forskningsstudien och till den personuppgiftsbehandling som görs inom ramen för studien samt till utlämnandet av uppgifter för monitorering.
Eftersom bestämmelser om direktåtkomst i sig inte har sekretessbrytande effekt bör en sekretessbrytande bestämmelse föras in i offentlighets- och sekretesslagen. Visserligen har patienten, genom att lämna sitt samtycke till utlämnandet av uppgifter, eftergivit sekretessen till förmån för monitoreringen. Samtidigt bedömer vi att det finns skäl att tydliggöra att direktåtkomsten får avse uppgifter som dokumenterats efter det att patienten lämnat sitt samtycke till utlämnandet och att detta bör tydliggöras genom en sekretessbrytande bestämmelse på motsvarande sätt som gäller för andra typer av direktåtkomst. Av offentlighets- och sekretesslagen bör därför följa att hälso- och sjukvårdssekretess inte hindrar sådant utlämnande genom direktåtkomst vid kliniska prövningar som görs i enlighet med den föreslagna bestämmelsen i hälso- och sjukvårdsdatalagen.
237
12 Ett tydligare ansvar för patientjournalen och dess innehåll
12.1 Vårt uppdrag m.m.
I utredningens övergripande uppdrag ingår att identifiera både nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom hälso- och sjukvården och vilka hinder för en sådan informationshantering som finns i dag. Med utgångspunkt från det ska utredningen föreslå de lagstiftningsåtgärder som behövs.
En väsentlig del av personuppgiftsbehandlingen i hälso- och sjukvården görs primärt i syfte att bidra till god och säker vård av enskilda patienter. För att åstadkomma en fungerande och sammanhållande reglering av behandlingen av personuppgifter i hälso- och sjukvården är det därför nödvändigt att särskilt beakta vad som gäller i fråga om patientjournalen. Inom ramen för vårt övergripande uppdrag är patientjournalen och patientjournalföringen därför av central betydelse.
Hantering av personuppgifter i patientjournaler är nödvändig för att kunna erbjuda en god och säker vård. Dokumentationen av olika åtgärder och insatser kan vara helt avgörande för patientsäkerheten. I en tid när allt fler vårdgivare samverkar i vården av enskilda patienter blir betydelsen av dokumentationen i patientjournalen dessutom ännu större. Fler och fler yrkesutövare är involverade i vården av en patient och i journalföringen rörande den aktuella patienten. Det gör bland annat att frågor om en ändamålsenlig journalföring och om ansvar för patientjournalens inne-
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
238
håll och utformning behöver hänga med och vid behov anpassas till rådande och framtida förhållanden
Regler om hantering av uppgifter i patientjournaler fanns fram till 1 juli 2008 framför allt i patientjournallagen (1985:562), men även i lagen (1998:544) om vårdregister. De materiella regler som reglerar journalföringsplikten och patientjournalens innehåll m.m. har därefter reglerats i 3 kap. patientdatalagen (2008:355), förkortad PDL. Patientdatalagens regler om journalföring gäller både inom offentlig och privat hälso- och sjukvård, alldeles oberoende om journaler förs på papper eller elektroniskt. I praktiken överfördes de flesta bestämmelser om patientjournalen och journalföringen i princip oförändrade från patientjournallagen till patientdatalagen. Det innebär bland annat att även dagens bestämmelser i allt väsentligt bygger på det förslag till lag som lämnades av Journalutredningen i deras huvudbetänkande Patientjournalen (SOU 1984:73).
Sedan mitten av 1980-talet, då patientjournallagen trädde ikraft, har det på flera plan skett en stor utveckling av hälso- och sjukvården. När det gäller patientjournalföringen har utvecklingen gått från en tid när patientjournalen var starkt förknippad med enskilda yrkesutövare och deras journalföringsplikt, till en tid när vårdgivarens betydelse för hanteringen av patientjournaler blivit allt större. Där patientjournalen tidigare i stor utsträckning kunde hanteras isolerat av enskilda yrkesutövare eller enskilda kliniker, har vi i dag landstingsövergripande journalsystem där vårdgivaren är den som tillhandahåller de närmare förutsättningarna för journalföringen och för utbytet av uppgifter inom och mellan organisationer. Det innebär att vårdgivare och yrkesutövare i större utsträckning än tidigare tillsammans ansvarar för att journalföringen är ändamålsenlig och att uppgifterna är korrekta och kan ligga till grund för patientens fortsatta vård. Bland annat mot den bakgrunden kan det enligt vår bedömning finnas särskilda skäl för att analysera hur regelverket är anpassat till de behov och förutsättningar som gäller i dag.
Vidare har vi även gått från en tid där journalföringen många gånger handlade om att i efterhand dokumentera de bedömningar som gjorts och de åtgärder som vidtagits i vården av en patient, till en tid när journalföringen och användningen av uppgifter i en patientjournal kan stödja yrkesutövaren direkt i själva arbetsprocessen. Journalföringen kan då ske i samband med den individinriktade patientvården och ge ett konkret och kunskapsstyrande
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
239
beslutsstöd till den som står i begrepp att ta ställning till patientens vård och behandling. De möjligheter att på detta sätt förändra informationshanteringen som den tekniska utvecklingen har fört med sig utgör också en anledning till översyn av regelverket.
Av utredningsdirektivet framgår vidare att utredningen särskilt ska överväga förändrade förutsättningar för att ansöka om journalförstöring. Enligt nuvarande lagstiftning får ansökan om förstörande av patientjournal göras till Inspektionen för vård och omsorg, antingen av den enskilde själv eller av någon annan som omnämns i journalen. I de fall vårdpersonal för in felaktigheter i journalen av misstag finns två alternativa sätt att korrigera misstaget. Antingen görs en rättelse enligt patientdatalagen eller så kontaktar vårdgivaren patienten och ber denne ansöka om förstörande av journalanteckningen. Det första alternativet, en rättelse, innebär att den felaktiga uppgiften ändå finns kvar i journalen. För det andra alternativet kan det i vissa fall finnas omständigheter som gör att det inte är lämpligt att vårdgivaren kontaktar patienten. Det kan t.ex. inträffa att uppgifter om en helt annan patient antecknas i en patients journal. Mot den bakgrunden har utredningen fått i uppdrag att överväga om det bör införas en möjlighet för vårdgivare att ansöka om journalförstöring och, om det bedöms som lämpligt, lämna förslag till en sådan reglering.
Sammantaget innebär detta att det i utredningens uppdrag i första hand ingår att analysera frågor om ansvaret för patientjournalen och dess innehåll samt hur de delarna i regelverket kan bidra till en mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården.
Även om det i och för sig inte finns några hinder för det enligt utredningsdirektivet har vi uppfattat direktivet så att det i vårt uppdrag inte primärt ingår att pröva alla materiella bestämmelser i patientdatalagens regelverk om patientjournalen och journalföringen. Vi har således inte gjort någon närmare analys exempelvis av bestämmelserna om journalföringsplikt.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
240
12.2 Gällande rätt om ansvaret för patientjournalen och dess innehåll
12.2.1 Grundläggande förutsättningar
Tillgång till rätt information i rätt tid är grundläggande för en god och säker vård. Även ur ett integritetsperspektiv är det centralt att de uppgifter som hanteras om en patient är korrekta och relevanta för ändamålet. Därför är det noga reglerat i lag hur en patientjournal ska föras och hur uppgifterna i journalen ska hanteras.
I patientdatalagen finns bestämmelser om skyldigheten att föra journal och vad en journal ska innehålla. Men det finns också bestämmelser i patientdatalagen som syftar till att informationssäkra innehållet i journalen. Det är framförallt bestämmelserna om ansvar för anteckningen (3 kap. 4 §), anteckning av patientens avvikande mening (3 kap. 8 §), skyndsamhet (3 kap. 9 §), signering (3 kap. 10 §), rättelse (3 kap. 14 §), bevarandetid (3 kap. 17 §) och bestämmelserna om journalförstöring (8 kap. 4 §). Nedan redogörs översiktligt för vad dessa regler innebär och lite kort om patientjournalen som allmän handling samt vad som gäller för gallring av journaluppgifter m.m.
Varför ska det finnas en patientjournal?
Det grundläggande syftet med att föra journal och bevara journalanteckningarna är att det ska finnas information om patienten tillgänglig för hälso- och sjukvårdspersonalen så att patienten kan få vård och behandling under säkra förhållanden och av god kvalitet. Journalen ska i första hand kunna användas av hälso- och sjukvårdspersonalen som ett hjälpmedel för planering, genomförande och uppföljning av vården. Journalföringen ger också samhället möjlighet att utöva tillsyn över hälso- och sjukvården. Journaluppgifter utnyttjas också i flera andra för hälso- och sjukvården viktiga sammanhang, t.ex. i klinisk och epidemiologisk forskning. Det är därför viktigt att uppgifterna som finns i patientjournalen är korrekta och att man kan lita på att de inte kan ändras hur som helst.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
241
Vem ska föra patientjournal?
I 3 kap. 3 § PDL anges vilka som är skyldiga att föra patientjournal. Skyldigheten gäller främst den som har legitimation eller ett särskilt förordnande att utöva ett visst yrke inom hälso- och sjukvården eller tandvården. Den som är verksam som kurator i den allmänna hälso- och sjukvården är också skyldig att föra journal.
Även andra personalkategorier än de som räknas till hälso- och sjukvårdspersonal får dokumentera i en patientjournal om det följer av de rutiner för dokumentation som finns i verksamheten. Det kan exempelvis handla om undersköterskor och skötare som på olika sätt deltar i patientens vård och behandling
12.2.2 Ansvaret för uppgifterna i patientjournalen
Den som för journal ansvarar enligt 3 kap. 4 § PDL för de uppgifter som han eller hon för in i journalen. Patientjournalen ska innehålla uppgift om vem som har gjort en viss anteckning och när anteckningen gjordes (3 kap. 6 § PDL). Ansvaret för journalanteckningen hör ihop med det personliga yrkesansvaret. Den som tillhör hälso- och sjukvårdspersonalen bär enligt 6 kap. 2 § patientsäkerhetslagen (2010:659), förkortad PSL, själv ansvaret för hur han eller hon fullgör sina arbetsuppgifter. Journalanteckningen ska återge på vilket sätt yrkesutövaren fullgjort sina arbetsuppgifter. Det ingår i arbetsuppgifterna att ge patienten en sakkunnig och omsorgsfull vård som uppfyller kraven på vetenskap och beprövad erfarenhet. För att kunna göra det måste yrkesutövaren ta del av den bakgrundsinformation som finns om patienten samt dokumentera sina egna ställningstaganden och insatser i patientjournalen.
Det är viktigt av flera skäl att uppgifter om journalförarens identitet och yrkeskompetens finns i journalen. Det kan t.ex. vara viktigt i samband uppföljning och kvalitetssäkring och i samband med tillsynsärenden. Också vårdpersonalens arbete underlättas av att det går att utläsa av journalen vilka kolleger som tagit del i vården.1
Genom att signera journalanteckningen bekräftar yrkesutövaren att innehållet i journalanteckningen är kontrollerat och att han eller hon kan stå för innehållet.2
1Prop. 1984/85:189 s. 19. 2 Socialutskottets betänkande 1984/85:SoU33 s. 9.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
242
Det framgår bara indirekt av lagstiftningen vem som har ansvaret för hanteringen och bevarande av patientjournalerna. Vårdgivaren har enligt 3 kap. 1 § PSL ansvar för att planera, leda och kontrollera verksamheten så att kravet på god vård i hälso- och sjukvårdslagen uppnås. I hälso- och sjukvårdslagen (1982:763), förkortad HSL, finns utöver det övergripande kravet att hälso- och sjukvården ska bedrivas så att god vård uppnås även t.ex. krav på att det där det bedrivs vård ska finnas den personal, de lokal och den utrusning som behövs för att nå detta mål (2 a och 2 e HSL). Det är naturligt att den som bedriver och ansvarar för verksamheten också ansvarar för hanteringen och förvaringen av journalerna.3
Varje vårdgivare eller varje myndigheter inom en vårdgivare är enligt 2 kap. 6 § PDL personuppgiftsansvarig för de personuppgifter som behandlas i verksamheten.
Vårdgivaren ansvarar alltså för att journaler upprättas och hanteras på ett ändamålsenligt och säkert sätt i verksamheten. I det ansvaret ligger också ett ansvar för gallring och arkivering.
Den som bedriver hälso- och sjukvårdsverksamhet ska alltså ordna med bl.a. journalförvaring och iaktta vad som krävs beträffande skyddsnivån och bevarandetiden.4
12.2.3 Patientens avvikande mening ska antecknas
Varje uppgift i en journalhandling som upprättas inom hälso- och sjukvården ska utformas så, att patientens integritet respekteras. Uppgifterna ska vila på ett korrekt underlag och inte vara av nedsättande eller kränkande karaktär. Hänsynen till patienten förutsätter en betydande återhållsamhet när det gäller uppgifter om patientens privatliv. Detsamma gäller subjektiva värderingar som bara bör få förekomma om de grundas på korrekt underlag och är av verklig betydelse för medicinska ställningstaganden. Uppgifter om tredje person bör så långt möjligt undvikas5. Känsliga uppgifter som patienten meddelat i förtroende ska inte ogenomtänkt föras in i journalen. I den mån uppgifterna är relevanta för tolkning av sjukdomsbilden ska de givetvis skrivas in, vilket ställer särskilda krav på utformningen. En patientjournal behöver dock mera sällan innehålla detaljerade återgivanden.
3Prop. 1984/85:189 s. 26 och prop. 1991/92:104 s. 9. 4 Aa s. 11. 5 1984/85:189 s. 14 f och 20 f.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
243
Om en patient anser att en uppgift i patientjournalen är oriktig eller missvisande, ska det enligt 3 kap. 8 § PDL antecknas i journalen. Bestämmelsen är en komplettering till bestämmelserna om rättelse och journalförstöring. För att rättelse av en journaluppgift på patientens begäran ska göras krävs att den som ansvarar för uppgiften är ense med patienten om felaktigheten. Om patienten inte lyckas övertyga den som ansvarar för journalen om att en viss uppgift är felaktig kommer uppgiften inte att ändras.
Patienten har även en möjlighet att få journaluppgifter förstörda, men detta är tillåtet endast i undantagsfall. En patients möjlighet att få journaluppgifter utplånade är i realiteten ganska små eller i vart fall omständliga.6
I takt med att vårdgivare samarbetar och inför journalsystem som gör det möjligt att följa patienten genom processer och över vårdgivargränser kan det vara av betydelse för enskilda patienter att kunna markera missnöje med journaluppgifter som man av någon anledning anser är felaktiga.7
Bestämmelsen om avvikande mening ger den enskilda patienten en möjlighet att markera att han eller hon har en avvikande uppfattning från vad som har antecknats i journalen. Det är tillräckligt att det av anteckningen framgår att patienten har en avvikande uppfattning. Vilken uppfattning patienten har behöver således inte på grund av denna bestämmelse redovisas. Bestämmelsen innebär ingen rätt för patienten att själv skriva i sin journal eller bestämma vad som ska stå i den.8
Det finns dock inget hinder mot att patienter tillåts att mera direkt bidra till innehållet i journalen genom att t.ex. registrera uppgifter från egenvård såsom mätvärden eller liknande. Vårdgivaren ansvarar för att det förs journal i enlighet med patientdatalagen och att journalföringen är ändamålsenlig.
Exempel på sådan informationsinhämtning som kan ske elektroniskt och på ett effektivt sätt bidra till innehållet i patientjournalen är olika former av hälsodeklarationer som patienter kan fylla i t.ex. inför en kontakt med vården. Det kan även handla om att patienter registrerar och elektroniskt rapporterar in olika mätvärden till en vårdgivare.
Det förhållande att patienter med hjälp av den tekniska utvecklingen elektroniskt kan bidra med sådana uppgifter som har
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
244
betydelse för en god och säker vård innebär dock inte att det är patienten som för journalen. Det bör i stället betraktas som att vårdgivaren i sina rutiner för att inhämta den information som behövs för god och säker vård tillhandahåller definierade möjligheter för patienten att bidra med viktig information. Ur ett journalföringsperspektiv är det heller ingen egentlig skillnad mellan en hälsodeklaration som förut inkom på papper och tillfogades journalen och en hälsodeklaration som lämnas in elektroniskt och tas om hand elektroniskt i journalen.
Det är i princip uteslutande via internet som vårdgivare och patienter kan kommunicera elektroniskt. Av den anledningen är det nödvändigt att vårdgivare som tillhandahåller sådana möjligheter även ser till att vidta de säkerhetsåtgärder som krävs, t.ex. för att skydda uppgifterna från obehörig åtkomst. Såväl ur ett patientsäkerhetsperspektiv som ur integritetshänseende måste även patientens identitet kunna säkerställas vid sådan elektronisk kommunikation.
12.2.4 Patientjournalen som allmän handling
Patientjournaler som upprättas och förvaras inom den offentliga hälso- och sjukvården utgör allmänna handlingar enligt tryckfrihetsförordningen. Det innebär att sådana patientjournaler omfattas av bestämmelserna om offentlighet och sekretess som finns i tryckfrihetsförordningen och i offentlighets- och sekretesslagen (2009:400), förkortad OSL.9Detta har påverkat utformningen av lagstiftningen om patientjournaler, som noggrant reglerat hur uppgifter får rättas, förstöras och hur länge de ska bevaras. På det sättet kan man säga att offentlighetsprincipen påverkar även privat utförd hälso- och sjukvård.
Rätten att ta del av uppgifter i en patientjournal som finns i den offentliga hälso- och sjukvården är följaktligen reglerad på samma sätt som rätten att ta del av andra allmänna handlingar. Offentlighetsprincipen gäller i grunden, men bestämmelser om sekretess begränsar rätten att ta del av handlingarna.
En handling är allmän om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos myndigheten. När det gäller diarium, journal, register eller annan förteckning som förs löpande anses en handling upprättad när handlingen färdig-
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
245
ställts för anteckning eller införing (2 kap. 7 § första stycket tryckfrihetsförordningen).
Högsta förvaltningsdomstolen har i en dom 2013 beslutat att en anteckning som görs i en patientjournal omedelbart blir en allmän handling. Domstolen fann att signeringen av en journalanteckning inte har någon betydelse för bedömningen av när anteckningen ska anses utgöra del av en allmän handling i tryckfrihetsförordningens mening. Domstolen menade också att signeringskravet inte avsetts ha någon sådan funktion utan motiverats av patientsäkerhetsskäl. Journalanteckningen blir omedelbart att se som allmän när den skrivs in i journalen. Korrigering av eventuella skrivfel bör fritt kunna ske i direkt anslutning till införandet, men om journalanteckningen ändras senare, t.ex. i samband med signering, blir båda versionerna av anteckningen att anse som en allmän handling.10
Det är inte tillåtet att sätta rätten att ta del av allmänna handlingar ur spel genom att förstöra sådana handlingar som omfattas av den rätten. Grundläggande bestämmelser om hur allmänna handlingar ska bevaras samt om gallring och annat avhändande av sådana handlingar meddelas enligt 2 kap. 18 § tryckfrihetsförordningen i lag. Sådana bestämmelser finns framförallt i arkivlagen (1990:782), men bestämmelserna om journalförstöring är också exempel på en reglering av när allmänna handlingar får förstöras.
12.2.5 Bevarande och gallring av journalhandlingar
En journalhandling ska enligt 3 kap. 17 § PDL bevaras i minst 10 år efter det att sista anteckningen fördes in i handlingen. Regeringen eller den myndighet som regeringen bestämmer får dock meddela föreskrifter om att vissa slags journalhandlingar ska bevaras ännu längre.
För den offentliga hälso- och sjukvården och tandvården gäller bestämmelserna i arkivlagen om att bevara och gallra så kallade allmänna handlingar (3 kap. 18 § PDL). Det innebär i praktiken att journalhandlingarna kommer att fortsätta att bevaras även efter 10 år om det inte finns någon gallringsbestämmelse som säger annat.
Journalhandlingar inom såväl allmän som enskild hälso- och sjukvård ska alltså bevaras den minsta tid som anges i patientdatalagen eller i författningar som har meddelats med stöd av lagen.
10 Högsta förvaltningsdomstolens dom den 27 maj 2013, mål nr 5319-12.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
246
Längre bevarandetider kan vara föreskrivna i andra lagar. Efter utgången av den minsta tiden för bevarande får sådana handlingar gallras. Den som överväger en sådan gallring ska beakta bestämmelserna i 9 § första stycket i och tredje stycket personuppgiftslagen (1998:204), förkortad PUL. Men om journalhandlingarna utgör allmänna handlingar måste dock bestämmelserna i arkivlagen och de bestämmelser som meddelas med stöd av arkivlagen beaktas.11
Bestämmelserna i arkivlagen innebär att när den minsta tiden för bevarande har löpt ut beträffande sådana journaler som är allmänna handlingar träder arkivlagens huvudregler om bevarande och gallring in. Dessa innebär en presumtion för bevarande men medgivande till gallring på bestämda villkor.
Genom patientdatalagen infördes samma minsta bevarandetid för journaler från offentlig och enskild hälso- och sjukvård.
Journalhandlingar får gallras
En journalhandling ska alltså enligt 3 kap. 17 § PDL bevaras i minst 10 år efter det att sista uppgiften fördes in i handlingen. Bestämmelsen innebär att när den minsta tiden för bevarande har löpt ut beträffande sådana journaler som är allmänna handlingar (sådana som förs hos offentliga vårdgivare) träder arkivlagens huvudregler om bevarande och gallring in. Dessa innebär en presumtion för bevarande men medgivande till gallring på bestämda villkor.
Bestämmelsen i 10 § arkivlagen om att allmänna handlingar får gallras är alltså ett undantag från huvudregeln om att myndigheters allmänna handlingar ska bevaras. Med gallring kan avses att information i sin helhet förstörs. Så måste dock inte ske för att det ska vara fråga om gallring. Gallring av elektronisk information kan t.ex. ske genom att informationen skrivs ut på papper som bevaras varefter informationen raderas från datamediet. Gallring kan också innebära att information överförs från ett datamedium till annat datamedium som medför sämre sammanställnings- eller sökmöjligheter, sämre möjligheter att kontrollera handlingars autenticitet m.m.
Gallring görs av den arkivbildande myndigheten. En kommunal myndighet får dock inte på egen hand avgöra vad som ska gallras ur dess arkiv av patientjournalhandlingar. Gallringsföreskrifter för
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
247
sådana myndigheter fattas av kommunfullmäktige respektive landstingsfullmäktige. Deras föreskriftsrätt begränsas dock av att hänsyn ska tas till att återstående material ska tillgodose arkivbildningens syften. Dessutom får gallringsföreskrifter inte strida mot bevarandereglerna i patientdatalagen och i andra författningar om minsta bevarandetid för patientjournalhandlingar. Avvikande gallringsbestämmelser i lag eller förordning tar över arkivlagens regler om bevarande och gallring. Någon bestämmelse om att patientjournaler eller vårdregister ovillkorligen måste gallras finns emellertid inte. 12
Samrådsgruppen för kommunala arkivfrågor är ett samverkansorgan för Riksarkivet och Sveriges kommuner och landsting13. Samrådsgruppen ska främja samverkan mellan stat, kommuner och landsting inom arkivområdet, till gagn för utvecklingen av arkivfrågorna. Tonvikten ska ligga på frågor som är av gemensamt intresse för den offentliga sektorn. Samrådsgruppen har bl.a. utarbetat råd om bevarande och gallring inom en rad kommunala områden, t.ex. när det gäller landstingens, regionernas och kommunernas patientjournaler och övrig medicinsk dokumentation.14
I fråga om elektroniskt förda patientjournaler inom den enskilda hälso- och sjukvården följer av 9 § första stycket och i tredje stycket PUL att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas eller så länge uppgifterna därefter behövs för historiska, statistiska eller vetenskapliga ändamål. Enligt förarbeten innebär denna bestämmelse i personuppgiftslagen inte någon ovillkorlig skyldighet att gallra journalerna.15
Varje vårdgivare som deltar i ett sammanhållet journalföringssystem ansvarar för bevarandet av de ospärrade journaluppgifter som vårdgivaren själv gör tillgängliga i det sammanhållna journalföringssystemet. Ett sådant ansvar vilar alltså inte på en vårdgivare som endast har en potentiell tillgång till dessa uppgifter. Det innebär i princip att det är endast en, inte flera, vårdgivare som ansvarar för bevarandet och arkivbildningen av journalhandlingar. Detta gäller även om en vårdgivare bereder sig tillgång till en annan vårdgivares journalhandling, så länge inte journalhandlingen ”tankas hem” och lagras av den förstnämnde vårdgivaren. En tanke med
12Prop. 2007/08:126 s. 137. 13 http://www.samradsgruppen.se/ 14 En uppdaterad version av gallringsråd inom detta område är under 2013 ute på remiss. 15Prop. 2007/08:126 s. 99.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
248
den sammanhållna journalföringen är dock att en vårdgivare inte ska behöva hämta hem och lagra en annan vårdgivares journalhandlingar. Dubbeldokumentation ska så långt möjligt undvikas. För att patientsäkerheten ska kunna tillgodoses lär det ibland bli nödvändigt att göra detta. En sådan åtgärd innebär att vårdgivaren framställer en ny handling. Bevarandet och hanteringen av den nya handlingen följer samma regler som gäller för övriga journalhandlingar som har sitt ursprung i den egna verksamheten.
En myndighet får enligt 6 kap. 8 § andra stycket PDL gallra journalhandlingar och andra handlingar som är tillgängliga för myndigheten endast genom direktåtkomst vid sammanhållen journalföring. Denna gallringsregel behövs bl.a. för att inte någon av de i en sammanhållen journalföring deltagande myndigheterna ska bli arkivansvarig för privata vårdgivares journalhandlingar eller andra handlingar som myndigheten potentiellt sett har tillgång till, jfr 3 § första stycket arkivlagen.
Den som är personuppgiftsansvarig enligt patientdatalagen ska se till att den registrerade får information om personuppgiftsbehandlingen. Det innebär att patienten ska få information om vad som gäller i fråga om bevarande och gallring.
12.2.6 Signeringskravet – kontrolläsning och bekräftelse av uppgifternas riktighet
För att patientjournalen ska kunna fylla sin uppgift att utgöra en säker grund för insatser i vården krävs det att innehållet är korrekt och oförvanskat. Patientjournalen ska kunna utgöra ett pålitligt underlag för den vård och behandling som ges till patienten. Missförstånd och felskrivningar kan leda till ödesdigra konsekvenser.16
I patientjournallagen infördes ett krav på journalanteckningar ska signeras av den som ansvarar för uppgiften. Signeringen innebär att den som ansvarar för en journalanteckning läser igenom den och bekräftar att den är korrekt. Därefter får journalanteckningen sin slutliga utformning. Signeringen uttrycker det ansvar för att uppgiften är korrekt som faller på den som fört in uppgiften. Vårdgivaren har det övergripande ansvaret för att journaler förs i verksamheten och för att uppgifterna i journalerna är korrekta, men den som för journal är ansvarig för de uppgifter som han eller hon för in.
16 Socialutskottets betänkande 1984/85:SoU33 s. 9.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
249
Signeringen kan vara viktig ur patientsäkerhetssynpunkt men har inte betydelse för anteckningens status som allmän handling.17I förarbeten till patientjournallagen anfördes att även om kontrollsigneringen saknar betydelse för tillämpning av offentlighetsprincipen, kan den ha värde som bevis i t.ex. ett ansvarsärende, om fråga senare uppkommer om den rätta innebörden av en anteckning. Fel eller förväxlingar i samband med att ett diktat skrivs in kan påverka förutsättningarna vid den fortsatta vården. Kontrolläsning ansågs därför motiverad av säkerhetsskäl.18
I patientdatalagen infördes en möjlighet för Socialstyrelsen att föreskriva om undantag från signering. I förarbeten till denna undantagsmöjlighet anfördes19 följande om signeringskravet.
De patientsäkerhetsskäl som anfördes vid införandet av signeringskravet gäller fortfarande. Dessa skäl gäller än mer vid anteckningar i stora eller kompatibla journalsystem där anteckningarna kan komma att läggas till grund för behandlingsåtgärder och medicinering av andra vårdenheter än den där anteckningarna gjorts. I sådana fall är det av särskild vikt att uppgifterna dessförinnan har kontrollästs så att risken för missförstånd och felskrivningar kan minimeras. Det lagstadgade kravet på att journalanteckningar, om inte synnerligt hinder möter, ska signeras av den som ansvarar för uppgiften ska därför inte ändras. Det kan däremot finnas skäl att göra undantag från signeringskravet när man väger nyttan av signeringen mot det merarbete som signeringskravet skulle innebära. Bedömningen av när signering kan åsidosättas ska överlåtas till regeringen eller den myndighet som regeringen bestämmer. Vid bedömningen när undantag kan medges bör risker för patientsäkerheten eller andra viktiga faktorer som talar för signering övervägas.
I föreskrifterna (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården har vårdgivarna tilldelats en möjlighet att besluta om vissa undantag från signeringskravet i sin verksamhet. Väsentliga ställningstaganden som rör vård och behandling, förhållningsregler enligt smittskyddslagen (2004:168) samt epikriser och andra sammanfattningar ska alltid signeras. Men vårdgivaren kan i sina rutiner för signering besluta vilka andra anteckningar som inte behöver signeras. I en enkätundersökning genomförd av tidningen Sjukhusläkaren, som besvarades av femtio läkare runt om i landet, framkom att endast en respondent uppgav
17 Högsta förvaltningsdomstolens dom den 27 maj 2013, mål nr 5319-12. 18Prop. 1984/85:189 s. 19. 19Prop. 2007/08:126 s. 94.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
250
att kliniken tillvaratagit möjligheten att göra undantag från signeringskravet.20
Föreskrifternas bestämmelser om signering kompletteras med en bestämmelse om att vårdgivaren ansvarar för att journaluppgifterna låses en viss tid efter det att de förts in i journalen. Låsning innebär enligt föreskrifterna att vårdgivaren säkerställer att uppgifter i patientjournalen inte kan ändras eller utplånas annat än med stöd av bestämmelserna i patientdatalagen. Uppgifterna ska låsas senast 14 dagar efter att de har förts in i journalen. Fram till dess behöver vårdgivaren inte ha några tekniska hinder mot att någon i verksamheten ändrar innehållet i en viss journalanteckning.
Bestämmelsen i föreskrifterna om att osignerade uppgifter måste låsas efter 14 dagar gäller för behandling av uppgifter i system som är helt eller delvis automatiserade. Denna bestämmelse behövs för att även osignerade anteckningar ska få ett tekniskt skydd mot ändring. När det gäller manuellt förda journaler kan rättelse av praktiska skäl inte utföras på annat sätt än med stöd av bestämmelserna om rättelse eftersom en ändring oftast inte kan göras utan att det syns. För att ändringar av uppgifter i datorjournaler inte ska vara tekniskt möjliga att göra obemärkt hur länge som helst måste det finnas rutiner för signering eller låsning.
Det är enligt vad utredningen fått veta relativt vanligt att hälso- och sjukvårdspersonal i anslutning till en patients besök i vården eller någon annan vårdåtgärd själva gör journalanteckningen och signerar den i direkt anslutning till att texten förs in. En sådan snabbhet både i införandet av uppgiften och av kvalitetssäkringen av uppgiften är sannolikt det säkraste sättet att föra journal på.
Men det är fortfarande också vanligt att läkare dikterar vad som ska antecknas i journalen. Dessa diktat förs sedan in i journalen av en läkarsekreterare. Hur snabbt sådana diktat förs in och hur snabbt de sedan signeras kan variera mycket mellan olika verksamheter. Enligt vad som framkommit till utredningen är det inte ovanligt att yrkesutövare som ska ta vid senare i vårdkedjan får grunda sina ställningstaganden på uppgifter som inte är signerade av den som svarar för uppgiften. På så sätt får uppgifter som inte är kontrollerade betydelse för patientens vård och behandling.
Utredningen konstaterar att vårdgivarens ansvar för säkerheten i vården innebär att vårdgivaren måste se till att det finns ändamåls-
20 Sjukhusläkaren. Signering: Så tyckte läkare från norr till söder. 2013-02-19. Tillgänglig på http://www.sjukhuslakaren.se/2013/02/19/signering-sa-tycker-lakare-fran-norr-till-soder/ [2013-11-20].
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
251
enliga och tillräckligt säkra rutiner i verksamheten om på vilket sätt och hur snabbt uppgifter ska journalföras och signeras. Kontrollläsning och signering måste göras så snabbt att en felaktighet inte får ödesdigra följder.
I de fall då signeringen görs i direkt anslutning till att anteckningen förs in kan felaktigheter korrigeras formlöst. Felaktigheter i en journalanteckning som signeras först vid ett senare tillfälle ska rättas i enlighet med reglerna för det i samband med signeringen. Konsekvensen av att osignerade anteckningar används i vården och läggs till grund för behandling av patienter är att en anteckning som förts in i en patientjournal inte får rättas eller utplånas annat än med stöd av de bestämmelser som reglerar detta.
Om journalanteckningen fick korrigeras formlöst ända fram till signeringen skulle det inte finnas tillräcklig spårbarhet avseende de uppgifter som legat tillgrund för bedömningar och ställningstaganden i vården. Det förhållandet att en anteckning inom den offentliga vården blir allmän handling direkt genom att uppgiften förs in talar också för att uppgiften inte får rättas eller utplånas annat än med stöd av särskilda bestämmelser – även om uppgifter inte är kontrolläst och signerad.21
12.2.7 Rättelse av felaktiga uppgifter
Vårdgivaren har ansvar för att journaler förs i verksamheten och för att det görs på ett ändamålsenligt och korrekt sätt. När det gäller elektroniskt förda journaler har den personuppgiftsansvarige också ett ansvar enligt 9 § h PUL att självmant vara aktiv och se till att behandlade personuppgifter är korrekta samt att felaktigheter rättas.
Uppgifter som förts in i en journalhandling får enligt gällande rätt inte utplånas eller göras oläsliga annat än med stöd av bestämmelserna om journalförstöring (eller med stöd av gallringsbeslut, se ovan). Detta regleras uttryckligt i 3 kap. 14 § PDL. En rättelse av en journalanteckning måste därför vara spårbar. Kravet innebär bl.a. att en rättelse i en journalhandling alltid måste göras så att den ursprungliga texten klart framgår också efter rättelsen. Det är inte tillåtet att utplåna den ursprungliga texten. Men det måste ändå vara tydligt vilken uppgift det är som gäller fortsättningsvis. Vid
21 Högsta förvaltningsdomstolens dom den 27 maj 2013, mål nr 5319-12.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
252
rättelse av en felaktighet ska det anges när rättelsen har skett och vem som har gjort den.
En journalanteckning som är införd i en patientjournal kan komma att ligga till grund för bedömningar av en patients fortsatta vård – även om den inte är signerad. Mot bakgrund av att signering är en kvalitetskontroll av anteckningen så är detta ett förhållande som vårdgivaren måste beakta vid utformningen av de rutiner för vård och behandling samt dokumentation som ska gälla i verksamheten. Av patientsäkerhetsskäl bör det inte finnas fördröjningar varken när det gäller införandet av en anteckning eller kontrolläsning och signering av den. Rutinerna för hur signeringen ska gå till måste också vara anpassade till vilken verksamhet som bedrivs.
De särskilda regler som gäller för rättelse och journalförstöring ska tillämpas för korrigering redan innan anteckningen är signerad eller låst. Enligt vad som framkommit till utredningen används anteckningar som inte kontrollästs och signerats i stor utsträckning som underlag för vård och behandling. Mot den bakgrunden är det viktigt att anteckningar som förts in endast kan korrigeras med stöd av särskilda bestämmelser. Även det förhållandet att anteckningen blir en allmän handling i den offentliga vården redan genom införandet stödjer ett sådant synsätt. 22
I förarbetena till patientjournallagen anfördes att en journalanteckning kunde rättas formlöst i omedelbar anslutning till att den infördes.23Därefter är alltså anteckningen att anse som införd och får bara rättas eller förstöras med stöd av de regler som gäller för det i patientdatalagen. Detta kan motiveras av att det måste finnas en spårbarhet när det gäller de uppgifter som trots att det inte signerats ändå kan komma att ligga till grund för en patients vård och behandling.
Det är den som ansvarar för journalanteckningen som ska bedöma om en rättelse ska göras och också se till att nödvändiga rättelser görs. När det gäller journalanteckningar som ska signeras ska rättelsen av eventuella felaktigheter normalt göras i samband med signeringen. Det är den som svarar för uppgiften som bäst kan bedöma uppgiftens riktighet.
22 Högsta förvaltningsdomstolens dom den 27 maj 2013, mål nr 5319-12. 23Prop. 1984/85:189 s. 44.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
253
12.2.8 Att ta bort uppgifter från patientjournalen
Med journalförstöring avses ett totalt förstörande av hela eller vissa delar av journalen i enlighet med bestämmelser i patientdatalagen. Journalförstöring utreds och beslutas av Inspektionen för vård och omsorg efter ansökan från den som nämns i journalen och skiljer sig därmed från gallring som görs på vårdgivarens initiativ.
Möjligheten till journalförstöring infördes genom lagen (1980:11) om tillsyn av hälso- och sjukvårdspersonal m.fl. Bakgrunden till bestämmelsen var vetskapen om att en journalanteckning kan uppfattas som så stötande för en patient att dess förekomst kan innebära en alltför stor påfrestning för patienten. En journalanteckning som patienten uppfattar som felaktig eller kränkande kan medföra att han eller hon i fortsättningen avstår från att söka vård eller från att lämna uppgifter om sig själv som har betydelse för vården.24
Enligt bestämmelsen i patientdatalagen får Inspektionen för vård och omsorg på ansökan av patienten eller någon annan som omnämns i journalen besluta om att den helt eller delvis ska förstöras. Förutsättningarna för detta är att godtagbara skäl anförts, att uppgifterna inte behövs för patientens vård och att det från allmän synpunkt inte finns skäl att bevara journalen. Innan ansökan prövas får den som ansvarar för journalen ges tillfälle att yttra sig i frågan (8 kap. 4 § PDL).
Kravet på godtagbara skäl innebär att en patient inte utan vidare kan få sin journal eller en del av den förstörd. Det krävs att anteckningarna rimligen kan medföra en psykisk belastning eller liknande för patienten om de bevaras. Genom inskränkningen att det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen ges enligt förarbeten en möjlighet att beakta olika samhällsintressen som avser journalmaterialet – till exempel insynen, forskningen och ekonomin i vården.25 Om journalhandlingarna exempelvis legat till grund för ett beslut hos en myndighet eller är bevis i en rättslig process kan de oftast inte förstöras av allmänna skäl.
Det är inte bara patienten själv som kan ansöka om journalförstöring. Även någon annan som omnämns i journalen kan ha anledning att ansöka om förstöring. Frågan har t.ex. aktualiserats när en förälder som inte är vårdnadshavare velat få anteckningar
24SOU 1984:73, s. 179. 25 Prop. 1978/79, s. 49.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
254
som rör honom förstörda och dessa varit införda i barnets journal26. Däremot finns ingen möjlighet för vårdgivaren att ansöka om journalförstöring.
Det är Inspektionen för vård och omsorg som behandlar ansökningarna och fattar beslut om journalförstöring. I samband med att möjligheten till journalförstöring lagreglerades fanns dock önskemål om att sjukvårdshuvudmannen skulle vara den som fattade besluten.27
Journalförstöring innebär alltså att samtliga journalhandlingar som innehåller uppgifter som omfattas av beslutet ska utplånas. Förstöring ska ske av både originalhandlingen och kopior eller avskrifter och detta oberoende av om handlingarna förvaras inom hälso- och sjukvården eller utanför, t.ex. hos Försäkringskassan eller domstol. I de fall en journalhandling finns hos någon annan än den som ansvarar för patientjournalen måste följaktligen handlingen begäras åter. I 3 kap. 11 § PDL föreskrivs att om en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon, ska det antecknas i patientjournalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Dessa anteckningar syftar bl.a. till att underlätta arbetet med att spåra journalhandlingar.
12.3 Kort om patientjournalens utformning
Rätt information i rätt tid är nödvändigt för att kunna ge patienten en god och säker vård. Rätt information innebär att den är relevant för situationen, att den är uttryckt på ett entydigt sätt och inte kan misstolkas samt att den presenteras i ett sammanhang.
För att åstadkomma detta fullt ut krävs att vårdgivarna använder ett gemensamt regelverk för dokumentation och informationshantering, för innehåll och sammanhang. Ett sådant regelverk är en viktig grund för att utveckla it-stöd som kan hantera informationen på ett effektivt och säkert sätt. Regelverket är en del av strategin för Nationell eHälsa.
Socialstyrelsen har ett nationellt ansvar för att samordna arbetet med en ändamålsenlig och strukturerad dokumentation. Syftet med arbetet är att relevant och korrekt information om en person ska kunna tillgängliggöras för behörig personal i olika delar av verk-
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
255
samheter, över geografiska, tekniska och organisatoriska gränser. För att förbättra hanteringen av information inom vård och omsorg har Socialstyrelsen utvecklat en nationell informationsstruktur. Med den som grund ska verksamheter kunna utveckla funktionella it-stöd och standardiserade mallar för dokumentation.
Målet är att den nationella informationsstrukturens modeller för hur information i vård och omsorg kan struktureras ska omsättas i praktiken av huvudmän på nationell, regional och lokal nivå. För att nå målet arbetar Socialstyrelsen med att ta fram regelverk och vägledning för hur informationsstrukturen ska användas.
Gemensamma begrepp och termer inom hälso- och sjukvården och socialtjänsten bidrar till en god och säker vård och omsorg. För att patientuppgifterna i vårdprocessen ska bli entydiga bör nationellt överenskomna begrepp och termer, klassifikationer och kodverk användas och endast nödvändiga uppgifter dokumenteras. När innehåll i patientjournalen uttrycks med enhetliga termer och koder skapas bättre förutsättningar för patientsäkerheten och återanvändning av patientuppgifter i form av jämförelser, uppföljning och statistik.
Socialstyrelsen ansvarar för ett nationellt fackspråk samt metoder för hur det ska tas omhand och användas. Socialstyrelsen har lagt grunden till ett nationellt fackspråk för vård och omsorg. Det består av termbanken, klassifikationer och kodverk samt det internationella begreppssystemet Snomed CT. Målet är att det nationella fackspråket ska komma i bred användning och därmed bidra till att den information som skapas i vård och omsorg är enhetlig, entydig och jämförbar.
Förändringen till enhetliga och strukturerade journalsystem kan ta lång tid. Socialstyrelsen har till uppgift att stödja förändringsarbetet med förvaltning av och metoder för den nationella informationsstrukturen, begrepp, termer och klassifikationer samt Snomed CT.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
256
12.4 Våra överväganden och förslag
12.4.1 Vissa bestämmelser om journalföring förs över från patientdatalagen
Vårt förslag: Bestämmelserna i 3 kap. patientdatalagen om
journalföringsplikten, patientjournalens innehåll, skyldigheten att utfärda intyg om vården och om patientjournaler i krig ska föras över oförändrade till hälso- och sjukvårdsdatalagen. Andra bestämmelser i kapitlet förs över med vissa förändringar och ett par nya bestämmelser tillkommer.
Vissa av bestämmelserna i nu gällande 3 kap. patientdatalagen påverkas inte av utredningsen förslag. Det är t.ex. bestämmelsen om vilka yrkesgrupper som är skyldiga att föra patientjournal, bestämmelserna om vad en patientjournal får och ska innehålla och bestämmelsen om skyldigheten att utfärda intyg om vården. Vi föreslår därför att dessa bestämmelser ska föras över i huvudsak oförändrade till hälso- och sjukvårdsdatalagen.
När det gäller bestämmelsen om vad en patientjournal maximalt får innehålla föreslår vi att utformningen ändras endast på så vis att ändamålet vårddokumentation skrivs ut i stället för att en paragrafhänvisning till ändamålsbestämmelsen görs.
Bestämmelserna om vad en patientjournal minimalt ska innehålla förs över från patientdatalagen.28En i huvudsak motsvarande bestämmelse som uttrycker vad en patientjournal ska innehålla fanns redan i patientjournallagen.29
Anteckning i patientjournalen om utlämnanden
Om en journalhandling eller avskrift eller kopia av handlingen har lämnats ut till någon, ska det enligt i 3 kap. 11 § patientdatalagen dokumenteras i journalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Bestämmelsen syftar till att underlätta utredningen om var det finns journalhandlingar för att kunna verkställa beslut om journalförstöring.30 Från dokumentationsskyldigheten undantas i dag utlämnanden som görs
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
257
genom direktåtkomst, exempelvis till patienten själv eller till andra vårdgivare genom sammanhållen journalföring. Enligt bestämmelserna om sammanhållen journalföring anses en journalhandling utlämnad redan i och med att den görs tekniskt eller potentiellt tillgänglig för anslutna vårdgivare. I förarbetena till patientdatalagen motiverade regeringen detta med att det skulle medföra ett orimligt administrativt merarbete för yrkesutövarna, om det varje gång en ny anteckning görs i journalen även ska noteras vilka vårdgivare som är anslutna till den sammanhållna journalföringen och alltså i strikt mening är mottagare av den nya informationen.31
Utredningen ansluter sig till den uppfattningen och föreslår att bestämmelsen ska kompletteras med två ytterligare undantag från dokumentationsskyldigheten. Vi föreslår att det inte ska behöva antecknas att ett utlämnande har gjorts till ett nationellt eller regionalt kvalitetsregister och inte heller när ett utlämnande har gjorts till patienten själv. Utlämnanden till nationella och regionala kvalitetsregister kännetecknas inte sällan av upprepade utlämnanden över tid. De uppgifter som lämnas ut kan dessutom finnas på många olika platser i ett elektroniskt patientjournalssystem. Att under de förutsättningarna dokumentera vad som lämnats ut, till vem och när, skulle på motsvarande sätt som vid direktåtkomst medföra en orimligt stor administrativ insats. Dessutom förutsätter registrering i nationella kvalitetsregister att patienten, efter att ha blivit informerad om personuppgiftsbehandlingen, inte motsätter sig medverkan i kvalitetsregistret. Patienten ska således äga kännedom om ett sådant utlämnande. Därutöver har en patient även rätt att på eget initiativ begära att uppgifter i ett nationellt kvalitetsregister utplånas. Något beslut från Inspektionen för vård och omsorg, som vid journalförstöring, med efterföljande sökning av de uppgifter som ska förstöras är således inte aktuellt.
Av motsvarande skäl anser vi inte heller att utlämnanden som har gjorts till patienten själv måste dokumenteras.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
258
Krav på dokumentation av information till patienten
En patientjournal ska innehålla de uppgifter som behövs för en god och säker vård av patienten. Om uppgifterna finns tillgängliga, ska en patientjournal alltid innehålla
1. uppgift om patientens identitet,
2. väsentliga uppgifter om bakgrunden till vården,
3. uppgift om ställd diagnos och anledning till mera betydande
åtgärder,
4. väsentliga uppgifter om vidtagna och planerade åtgärder, och
5. uppgift om den information som lämnats till patienten och om
de ställningstaganden som gjorts i fråga om val av behandlingsalternativ och om möjligheten till en förnyad medicinsk bedömning.
Patientjournalen ska vidare innehålla uppgift om vem som har gjort en viss anteckning i journalen och när anteckningen gjordes.
Kravet i femte punkten om att patientjournalen ska innehålla dokumentation av den information som lämnats till patienten infördes i patientjournallagen år 1999.
Kommunikation mellan patient och närstående samt vårdpersonal av alla kategorier av stor vikt för en säker och kvalitativt god hälso- och sjukvård. Kravet på information ska dokumenteras i patientjournalen infördes i lagen just för att poängtera att patientinformationen är viktig. Men enligt förarbetena fanns det en risk för att ett krav på en alltför detaljerad dokumentation kunde leda till väsentligt extra arbetsinsatser vilket kunde medföra att tiden för det direkta patientarbetet inskränks.32 Regeringen anförde därför att det inte ställas alltför långtgående krav på dokumentationen. Med tanke på utvecklingen mot en mer datoriserad hantering av journalföringen ansåg regeringen att det borde vara möjligt att på ett inte alltför tidsödande sätt dokumentera sådana uppgifter som har betydelse i det enskilda fallet. Hit hör uppgifter som bedöms ha betydelse för slutsatser som dras, överenskommelser och beslut som fattas, skäl för att patientens krav inte kan tillgodoses samt situationer då patienten avstår från behandling.
32 Regeringens proposition (prop. 1998/99:4) Stärkt patientinflytande. s. 32 f.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
259
Enligt utredningens bedömning ska bestämmelsen om att dokumentera den information som lämnats till patienten därför tolkas mot bakgrund av grundbestämmelsen om vad en journal ska innehålla och med koppling till övriga krav i femte punkten. Det är de uppgifter som behövs för en god och säker vård av patienten som ska antecknas. Det innebär att det inte är all löpande information som patienten får i den kontinuerliga kommunikationen som ska dokumenteras i patientjournalen. Den information som ska dokumenteras är sådan individuellt anpassad information som har betydelse för patientens fortsatta vård, t.ex. som underlag för överenskommelser med patienten eller för val av behandlingsalternativ.
12.4.2 Ny bestämmelse om patientjournalen
Vårt förslag: I hälso- och sjukvårdsdatalagen ska kapitlet om
patientjournalen inledas med bestämmelser som beskriver vad som avses med en journal.
Under utredningens arbete har framförts synpunkter på att det är en brist att det nuvarande kapitlet om patientjournalen inte innehåller en samlad definition av vad patientjournalen är. Utredningen delar den uppfattningen och bedömer att patientjournalens centrala betydelse för informationshanteringen inom hälso- och sjukvården gör att det är särskilt viktigt med en tydlig definition. För att underlätta för den som ska tillämpa bestämmelserna om journalföring föreslår utredningen därför att kapitlet om patientjournalen inleds med en beskrivning av vad som avses med patientjournal och journalhandling. Dessa begrepp finns även med i definitionslistan i lagens inledning.
Enligt utredningens förslag avses med en patientjournal en eller flera journalhandlingar som rör samma patient. En journalhandling är en framställning i skrift eller bild eller en upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. En sådan handling upprättas eller inkommer i samband med vården av en patient och innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
260
Patientjournalen består alltså av en samling journalhandlingar som berör vården av en enskild patient. En del av dessa handlingar har upprättats direkt i samband med vården, medan andra har t.ex. kommit in från andra vårdgivare eller från myndigheter.33
Utredningens förslag till definition av patientjournalen och journalhandlingar innebär inga förändringar i sak jämfört med vad som gäller i dag. Förslaget handlar i allt väsentligt om att samla ihop definitionerna och tydliggöra dem i kapitlets inledning.
12.4.3 Patientjournalen är även en informationskälla vid undervisning och utbildning
Vårt förslag: Den nuvarande bestämmelsen i patientdatalagen
som anger syftet med en patientjournal ska överföras till hälso- och sjukvårdslagen och kompletteras med en uppgift om att journalen även syftar till att vara en informationskälla i samband med undervisning och utbildning.
Patientjournalen är i första hand ett arbetsinstrument för hälso- och sjukvårdspersonalen. Journalens grundläggande syfte är att tillgodose patientens intresse av en god och säker vård. Patientjournalen har även betydelse inte bara för patienten själv utan även som t.ex. underlag vid verksamhetsuppföljning, kontroll och tillsyn eller i rättsliga sammanhang, som källmaterial vid forskning och kvalitetssäkring. Detta framgår av den nuvarande bestämmelsen i patientdatalagen, enligt vilken det anges att journalen även är en informationskälla för
• patienten,
• uppföljning och utveckling av verksamheten,
• tillsyn och rättsliga krav,
• uppgiftsskyldighet enligt lag, samt
• forskning.
Enligt utredningens uppfattning är patientjournalen även en alldeles avgörande informationskälla för utbildning av framtida hälso- och sjukvårdspersonal. Studeranden i hälso- och sjukvården kan ha
33 Regeringens proposition (prop. 1984/85:189) om patientjournallag m.m., s. 38.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
261
behov av att använda patientuppgifter i olika situationer och för olika syften. Det kan exempelvis handla om att ta del av uppgifter för att kunna ge en god och säker vård av en patient som den studerande möter. På motsvarande sätt kan en studerande ha behov av att ta del av uppgifter för att i efterhand kvalitetssäkra sina bedömningar och åtgärder i konkreta patientmöten. Men det kan även handla om att ta del av patientuppgifter för ren utbildning som inte har något med den studerandes deltagande i vården av en patient att göra. Det handlar i dessa fall om att återanvända information i patientjournaler för att använda dem i undervisning och utbildning av framtida hälso- och sjukvårdspersonal. På motsvarande sätt som journalen är en viktig informationskälla exempelvis för den medicinska forskningen har journalen även central betydelse för möjligheterna att bedriva en ändamålsenlig utbildning av hälso- och sjukvårdspersonal. Mot den bakgrunden föreslår utredningen att det i hälso- och sjukvårdsdatalagen uttryckligen framgår att patientjournalen är en informationskälla även för undervisning och utbildning.
Att i hälso- och sjukvårdsdatalagen ange att patientjournalen är en informationskälla för undervisning och utbildning innebär inte att de närmare förutsättningarna för att använda personuppgifter i undervisningssammanhang påverkas. Hur uppgifter om patienter får användas i sammanhang utanför den egentliga patientvården eller vårdgivarens övriga kärnverksamhet är en helt annan fråga. Utredningen har bland annat i en promemoria i samband med en delredovisning som överlämnades till regeringen den 31 december 2013 redogjort för möjligheterna för studeranden att med stöd av gällande rätt ta del av uppgifter i en patientjournal. Promemorian återfinns i bilaga 4 till detta slutbetänkande.34
12.4.4 Förtydliganden i fråga om vem bestämmelserna om patientjournalen riktar sig till
Vår bedömning: Bestämmelserna om patientjournalen bör så
långt möjligt uttrycka vem som har att följa dem. Vissa bestämmelser som ska föras över från patientdatalagen bör ändras på så sätt att vårdgivaren skrivs in i paragrafen som ansvarigt subjekt.
34 PM om Studerandens möjligheter att ta del av och använda patientuppgifter, bilaga 4.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
262
I andra paragrafer bör det uttryckas att det är den som för patientjournal som ska vara ansvarig.
Vårt förslag: Bestämmelsen om anteckning av en patients av-
vikande mening ska föras över till hälso- och sjukvårdsdatalagen med tillägg att det är vårdgivaren som ansvarar för att anteckningen om att patienten har en avvikande mening förs in i journalen.
De materiella bestämmelserna om patientjournaler fördes över nästan helt oförändrade från 1985-års patientjournallag till patientdatalagen den 1 juli 2008. Vi anser att det nu är dags att göra vissa moderniseringar av flera av bestämmelserna för att bättre uttrycka vem som handlingsdirektiven riktar sig till.
Vi anser att en bestämmelse i de allra flesta fall bör uttrycka vilket subjekt som har att följa den. Ibland kan det dock uttryckas underförstått utan att det innebär risker för missförstånd. När det t.ex. gäller vad en journal ska innehålla så uttrycks det i gällande rätt och i vårt förslag som ett krav på innehållet utan att den riktar sig till något subjekt. En sådan bestämmelse riktar sig förstås till den som kan påverka innehållet. Det innebär att både vårdgivaren i egenskap av ytterst ansvarig för patientjournalen och den som för patientjournal måste känna till och rätta sig efter bestämmelserna om vilka uppgifter som ska finnas i en patientjournal.
Utredningen föreslår att vårdgivararen som ansvarigt subjekt förs in i bestämmelsen om anteckning av en patients avvikande mening och i bestämmelsen om utformningen av patientjournalen. Även i flera av bestämmelserna om ansvaret för uppgifterna förs vårdgivaren i som ansvarigt subjekt. Se mer om dessa bestämmelser i det följande.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
263
12.4.5 Patientens möjlighet att bidra med uppgifter i patientjournalen
Vår bedömning: En patient kan, efter vårdgivarens anvisningar,
bidra med uppgifter i en patientjournal genom att exempelvis fylla i elektroniska formulär som vårdgivaren tillhandahåller.
Det har ibland ifrågasatts om det är tillåtet för patienter att elektroniskt bidra med uppgifter i en patientjournal. Enligt utredningens bedömning är en vårdgivare som ansvarar för patientjournalen också ansvarig för vilka uppgifter som samlas in och ska också bestämma formerna för detta. Om vårdgivaren anser att uppgifter som patienten bidrar med har betydelse för patientens vård och behandling kan vårdgivaren bestämma om detta och hur det ska gå till.
Patienten har dock inte någon ovillkorlig möjlighet eller rätt att på eget initiativ registrera uppgifter i patientjournalen. Däremot kan vårdgivare i sina rutiner för att inhämta den information som behövs fastställa på vilka sätt patienten kan bidra med viktig information. På samma sätt som att en vårdgivare kan be en patient att fylla i en pappersenkät som sedan manuellt förs in i en journal, kan en patient få ett elektroniskt formulär som efter vårdgivarens anvisning kan fyllas i av patienten och elektroniskt överföras till patientjournalen.
Olika former av hälsodeklarationer som patienten får fylla i inför en kontakt med vården kan vara exempel på sådan informationsinhämtning som kan göras elektroniskt. Det kan vara ett effektivt sätt att låta patienten bidra till innehållet i patientjournalen. Det kan även handla om att patienter registrerar och elektroniskt rapporterar in olika mätvärden till en vårdgivare.
Även om patienter med hjälp av den tekniska utvecklingen elektroniskt kan bidra med sådana uppgifter som har betydelse för en god och säker vård, innebär det dock inte att det är patienten som för journalen. Det bör i stället betraktas som att vårdgivaren i sina rutiner för att inhämta den information som behövs för god och säker vård tillhandahåller definierade möjligheter för patienten att bidra med information. Ur ett journalföringsperspektiv är det heller ingen skillnad mellan en hälsodeklaration som förut inkom på papper och tillfogades journalen och en hälsodeklaration som lämnas in elektroniskt. Samtidigt vill utredningen betona att det,
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
264
både ur ett kvalitets- och ett integritetsperspektiv, är viktigt att sådana elektroniska formulär som patienter kan fylla i utformas på ett sådant sätt att det så långt möjligt endast är de efterfrågade uppgifterna som kan registreras.
En vårdgivare som ger patienter möjlighet att bidra med uppgifter elektroniskt behöver även vidta säkerhetsåtgärder för att skydda uppgifterna från obehörig åtkomst, t.ex. genom att se till att en överföring över internet är krypterad. Även med hänsyn till behovet av tillförlitliga uppgifter och hög datakvalitet kan vårdgivare ha anledning att vidta lämpliga åtgärder. Det kan exempelvis handla om att säkerställa att det är den avsedda patienten som bidrar med uppgifterna i patientjournalen.
12.4.6 Vårdgivarens ansvar för patientjournalen m.m. förtydligas
Vårt förslag: Vårdgivarens yttersta ansvar för journalen ska
uttryckas i en paragraf i början av kapitlet om patientjournalen. Vårdgivaren ska se till att det vid vård av patienter förs patientjournaler och att uppgifter förs in i journalen så snart som möjligt. Vidare ska nuvarande bestämmelser om att en patientjournal ska föras för varje patient och att den inte får vara gemensam för flera patienter, föras över till hälso- och sjukvårdsdatalagen.
Vårdgivarens yttersta ansvar för patientjournalen
Det behöver enligt utredningens mening bli mer tydligt i lagen att vårdgivaren har det yttersta ansvaret för patientjournalen. Vårdgivaren ansvarar för att journaler förs i verksamheten, för deras innehåll och för att de hanteras och förvaras i enlighet med lag. Vårdgivarens ansvar omfattar att de används på ett sådant sätt att de bidrar till en god och säker vård.
I gällande lag finns det en passivt formulerad regel som anför att det vid vård av patienter ska föras patientjournal. Vidare anförs i bestämmelsen att en patientjournal ska föras för varje patient och inte får vara gemensam för flera patienter. Det uttrycks inte i bestämmelsen vem som ansvarar för att detta uppnås. I äldre lagstiftningstradition inom hälso- och sjukvårdsområdet uttrycktes
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
265
sällan ansvaret på ledningsnivå, i stället betonades hälso- och sjukvårdspersonalens individuella yrkesansvar. Det anförs dock i förarbeten till patientjournallagen35 att det medicinska ledningsansvaret inom hälso- och sjukvården innebär ett yttersta ansvar för att underställd personal fullgör sina skyldigheter i vården, däribland journalföringen. Vårdgivarens ansvar uttrycktes dock inte bokstavligen i någon bestämmelse. Eftersom bestämmelserna överfördes utan ändring till patientdatalagen finns ännu i dag inte någon bestämmelse som ger uttryck för vårdgivarens yttersta ansvar för patientjournalen. Det finns inte några oklarheter om att vårdgivaren har detta ansvar, men utredningen anser ändå att det är viktigt att ge bokstavligt uttryck för vad som gäller.
Vi föreslår därför en bestämmelse där det framgår att vårdgivaren ska se till att det vid vård av en patient förs patientjournal. I bestämmelsen uttrycks också att det ska föras en patientjournal för varje patient och att journalen inte får vara gemensam för flera patienter. Den som bedriver hälso- och sjukvårdsverksamhet har alltså ansvaret för att det upprättas journaler.
Den aktuella bestämmelsen formulerar också att vårdgivarens yttersta ansvar för journalföringen innebär att vårdgivaren ska se till att uppgifter som ska antecknas förs in i journalen så snabbt som möjligt. Mer om detta ansvar följer i nästa avsnitt.
Ansvar för skyndsamhet i journalföringen
Med hänsyn till säkerheten i vården är det nödvändigt att viktiga uppgifter som ska journalföras förs in i journalen så snart som möjligt. Det finns annars risk för att uppgifter som kan vara av betydelse för vårdresultatet glöms bort, förvanskas eller av annan anledning aldrig dokumenteras. Det är också viktigt att uppgifterna finns i journalen snabbt så att den som behöver uppgifterna i ett senare led i vårdprocessen verkligen har uppdaterade uppgifter tillgängliga. Också patientens rättssäkerhet kräver att journaluppgifterna tas in i journalen så snart som möjligt. I takt med att patienten bereds möjlighet att ta del av sin egen journal genom direktåtkomst blir det också allt mer betydelsefullt att även patienten har tillgång till aktuella uppgifter.
Bestämmelsen gäller alla journalhandlingar och alla slags journalanteckningar; både anteckningar i en journalhandling och infogande
35 Regeringens proposition 1984/85:189 om patientjournal m.m. s. 26.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
266
av journalhandlingar som upprättats inom verksamheten eller som inkommit utifrån.36
Det är viktigt att väsentliga uppgifter om undersökningar och bedömningar med mera finns tillgängliga så fort som möjligt efter ett besök i vården. Samtidigt är det förståeligt att det kan gå en kort tid innan en dikterad uppgift blir införd i journalen och tillgänglig för resten av personalen. Patientdatalagens krav på att uppgiften ska föras in i journalen så snart som möjligt har av Socialstyrelsen tolkats som att man inte kan acceptera någon längre fördröjning.
I ett tillsynsbeslut har Socialstyrelsen uttalat att en vårdgivare avseende en akutklinik måste se till att samtliga journaldiktat i fortsättningen skulle journalföras fortlöpande och senast inom två dygn från den aktuella medicinska åtgärden.37 Socialstyrelsens bedömning gjordes mot bakgrund av att tillsynen gällde verksamheten vid en akutklinik.
Vårdgivaren måste anpassa sina rutiner för hur snabbt en journalanteckning ska föras in i patientjournalen efter behoven i sin verksamhet och de krav på säkerhet som måste ställas.
En anteckning eller en handling ska anses införd när det faktiskt skrivs in eller överförs till journalsystemet. När en löpande anteckning förs i ett journalsystem är den införd och därefter också en allmän handling om vårdgivaren är en myndighet.38
Vårdgivaren har det övergripande ansvaret över resurserna i verksamheten och hur de ska användas. Ansvaret för att arbetet läggs upp på ett sådant sätt att det finns tid att så snabbt som möjligt föra in de uppgifter som ska finnas i journalen måste därför ligga på vårdgivarnivå. Det är en viktig patientsäkerhetsfråga att nödvändiga uppgifter snabbt finns tillgängliga i patientjournalen.
12.4.7 Vårdgivarens ansvar för utformningen av patientjournalen förtydligas
Vårt förslag: I hälso- och sjukvårdsdatalagens ska anges att
vårdgivaren ska se till att patientjournaler förs på svenska språket och är tydligt utformade så att förståelse och utbyte av uppgifter underlättas. Vidare ska, som i dag, framgå att patientjournalen ska vara så lätt som möjligt att förstå för patienten.
36Prop. 1984/85:189 s. 41. 37 Den 24 november 2008, dnr 44-9129/08. 38 Högsta förvaltningsdomstolens dom den 27 maj 2013, mål nr 5319-12.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
267
Nuvarande möjlighet för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om patientjournalens språk, innehåll och utformning samt om hur patientjournalen ska hanteras och försvaras ska överföras till hälso- och sjukvårdsdatalagen.
I patientdatalagen finns i dag flera bestämmelser som syftar till att möjligöra ändamålsenligt utbyte av personuppgifter inom hälso- och sjukvården. Det finns t.ex. bestämmelser som reglerar hur den elektroniska åtkomsten inom en vårdgivares verksamhet ska vara ordnad och det finns bestämmelser som möjliggör direktåtkomst mellan olika vårdgivare.
Det finns dock inte i gällande lag bestämmelser som mer konkret uppmanar till att strukturera eller formulera patientjournalen på ett sådant sätt att det finns faktiska förutsättningar för det tekniska utbytet. Det finns inga bestämmelser som ställer krav på hur informationen ska struktureras eller vilka termer och begrepp som ska användas. Även om det inte finns någon mer detaljerad bestämmelse följer det dock av vårdgivarens övergripande ansvar för verksamheten och patientjournalen att vårdgivaren även ansvarar för att dokumentation utformas och kan användas på ett sätt som lever upp till syftet med lagen.
När det gäller den språkliga utformningen finns i gällande lag ett uttryckligt krav på att patientjournalen ska vara skriven på svenska, vara tydlig utformad och lätt att förstå för patienten. Kravet på att journalen ska vara tydligt utformad är förstås ett krav som både innefattar struktur och språklig tydlighet. Enligt förarbetena till patientjournallagen39avses med ”tydligt utformade” handlingens tekniska utformning.
Utredningen föreslår att innebörden av vårdgivarens ansvar för utformningen förtydligas något genom att föra över den befintliga bestämmelsen om språket i journalen och lägga till i paragrafen att journalen ska vara tydligt utformad så att förståelse och utbyte av uppgifter underlättas.
Utredningen föreslår att de bestämmelser om bemyndiganden inom detta område som finns i befintlig lagstiftning ska föras över till den nya lagen.
Mera detaljerade bestämmelser avseende innehåll och utformning av patientjournalen får alltså föreskrivas av regeringen eller
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
268
Socialstyrelsen. Arbete med framtagandet av en enhetlig informationsstruktur och ett nationellt fackspråk kan komma att utmynna i diverse föreskrifter. Dessa kommer enligt utredningen uppfattning att kunna meddelas med stöd av dessa delegationsbestämmelser.40
Vi föreslår även att bestämmelsen med bemyndiganden om hur patientjournaler ska hanteras och förvaras ska föras över till den nya lagen.
12.4.8 Vårdgivaren ska säkerställa att uppgifter är korrekta och att felaktigheter rättas
Vårt förslag: En bestämmelse ska införas som ställer krav på
vårdgivaren att säkerställa att uppgifterna i en patientjournal är korrekta och att felaktiga uppgifter rättas. Vårdgivaren ska också ansvara för att uppgifter inte utplånas eller görs oläsliga annat än med stöd av de bestämmelser som gäller för det. Lagen ska innehålla en bestämmelse om hur en rättelse ska gå till.
Inledning
Vårdgivaren har ansvar för att journaler förs i verksamheten och för att det görs på ett ändamålsenligt och korrekt sätt. Vårdgivaren ansvarar även för att journalerna hanteras och förvaras i enlighet med de bestämmelser som finns. Vidare är en vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. Den som är personuppgiftsansvarig är enligt 9 § h PUL skyldig att se till att rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana uppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen av uppgifterna. Skyldigheten för vårdgivaren att vara aktiv och se till att uppgifterna i en patientjournal är korrekta är alltså uttryckligt reglerat i personuppgiftslagen. Även bestämmelserna om signering och rättelse är ett uttryck för detta ansvar. Vårdgivarens ansvar för hantering av patientuppgifter följer även av att vårdgivaren är ytterst ansvarig för hela verksamheten.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
269
I nuvarande patientdatalagen uttrycks vårdgivarens skyldighet bara indirekt genom signeringskravet och genom att reglera hur själva rättelsen ska gå till. Detta är enligt vår bedömning en ofullständighet i lagen. Det bör enligt vår mening vara tydligt att vårdgivarens ansvar innebär en skyldighet att vara aktiv och se till att felaktiga journaluppgifter rättas. Utredningens utgångspunkt är därför att det också bör uttryckas genom konkreta bestämmelser i hälso- och sjukvårdsdatalagen att vårdgivaren har ett särskilt ansvar för att innehållet i patientjournalerna är korrekt och att det finns en skyldighet att rätta. Det är ett viktigt ansvar som bör regleras tillsammans med övriga regler om vårdgivarens hantering av personuppgifter i hälso- och sjukvården. Grundläggande bestämmelser som reglerar ansvar och hantering av journaluppgifter bör finnas i samma lag.
Tydligare ansvar för vårdgivaren
Vårdgivarens ansvar för säkerheten i vården och för hanteringen av personuppgifter innebär enligt utredningens bedömning också ett ansvar för att uppgifterna i en patientjournal är korrekta. Utredningen föreslår att vårdgivarens ansvar för att uppgifterna i en patientjournal är korrekta, uttrycks genom en bestämmelse i hälso- och sjukvårdsdatalagen som ställer krav på att vårdgivaren är aktiv och kontrollerar att uppgifternas riktighet samt rättar felaktiga uppgifter. Denna skyldighet ska gälla oavsett i vilken form journalerna förs. Lagen bör vara så fullständig som möjligt avseende de grundläggande kraven som bör ställas på vårdgivare och hälso- och sjukvårdspersonal när det gäller journalföring och hantering av uppgifter. Att uppgifter är korrekta och att felaktigheter rättas är centralt såväl för integritetsskyddet som för kvaliteten och säkerheten i hälso- och sjukvården. Den principen bör ha en naturlig plats och vara tydligt uttryck i hälso- och sjukvårdsdatalagen.
Denna skyldighet för en vårdgivare innebär att vårdgivaren måste ge instruktioner till verksamheten om hur kontrollen av uppgifternas riktighet ska uppfyllas och om hur rättelser av patientjournaler ska hanteras. Det är nödvändigt att de som arbetar åt en vårdgivare vet hur de ska agera när en felaktighet upptäcks. Det är också viktigt att de rättelser som görs är tydliga och kan tolkas av de som arbetar i verksamheten så att patientjournalen kan fortsätta att vara ett effektivt arbetsverktyg. Personalen behöver också ha
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
270
tydliga instruktioner om hur felaktiga uppgifter får utplånas, se vårt förslag i det följande.
Det går sannolikt inte att uttömmande precisera vad som ska ingå i vårdgivarens övergripande ansvar för att uppgifter i patientjournaler är korrekta. Riktlinjer och instruktioner till personalen har givetvis en självklar plats i detta, liksom vårdgivarens ansvar för att ensa användningen av de termer och begrepp som förekommer i verksamheten. På en övergripande nivå har vårdgivare även mycket att vinna på att implementera tekniska funktioner som bidrar till att se till att korrekta uppgifter dokumenteras och att det görs på rätt plats i patientjournalen. Att bygga in integritetsskyddande och kvalitetssäkrande funktioner i vårdens it-stöd har många fördelar och kan göras på en mängd olika sätt. Det kan exempelvis handla om olika funktioner som t.ex. gör att vissa termer och begrepp endast kan uttryckas på ett eller fler fördefinierade sätt eller att vissa uppgifter endast kan dokumenteras på vissa platser i en patientjournal. Att införa en mer strukturerad vårddokumentation med anpassade funktioner är sannolikt ett av de mest effektiva sätten för vårdgivare att ta ansvar för patientjournalernas innehåll. Det skulle även kunna medföra positiva effekter vad gäller hälso- och sjukvårdens administrativa börda genom att både journalföringen och informationsinhämtandet i patientmötet blir effektivare.
Genom vårt förslag tydliggörs vårdgivarens ansvar för att tillhandahålla en administrativ, organisatorisk och teknisk infrastruktur som ger hälso- och sjukvårdspersonalen förutsättningar att dokumentera korrekta och relevanta uppgifter på ett ändamålsenligt sätt.
Utredningen föreslår därtill att bestämmelsen i gällande patientdatalag om att uppgifter i en patientjournal inte får göras oläsliga eller utplånas i andra fall än vad som gäller enligt lag förtydligas på så vis att vårdgivaren läggs till som ansvarigt subjekt.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
271
12.4.9 Den som för journal ska kontrollera sina uppgifter
Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att den
som för patientjournal ansvarar för sina uppgifter och ska kontrollera att uppgifterna är korrekta. I lagen ska också finnas en bestämmelse om hur den som för journal ska rätta felaktiga uppgifter.
Vår bedömning: Detta ansvar tillsammans med vårdgivarens
yttersta ansvar för att journalerna är korrekta innebär att signeringskravet, i form av ett uttryckligt krav på kvittens, kan tas bort.
Inledning
Den som för journal ansvarar i dag för de uppgifter som han eller hon för in i journalen och för att dessa uppgifter signeras. I enlighet med vad som redovisats ovan har vårdgivaren således det övergripande ansvaret för att journaler förs i verksamheten och för att uppgifterna i journalerna är korrekta, men den som för patientjournal är ansvarig för de uppgifter som han eller hon för in.
Det framgår inte direkt i lagen vad signeringskravet innebär och hur det i praktiken ska uppfyllas. Kravet på att den som svarar för en anteckning också ska signera får dock anses innebära att en anteckning som förts in ska kontrolleras av den som ansvarar för uppgiften och sedan undertecknas. Signeringskravet har varit reglerat i lag sedan patientjournallagen trädde i kraft 1985. Kravet var omdiskuterat redan vid införandet. Varken journalutredningens betänkande41eller propositionen42innehöll något sådant förslag. Av kostnadsskäl ansågs det inte lämpligt att införa något generellt krav på kontrolläsning. För att någon tveksamhet inte skulle föreligga om ansvaret för uppgifternas riktighet infördes i stället en uttrycklig bestämmelse om att den som för journal ansvarar för att de uppgifter som han eller hon för in i journalen är riktiga.43Signeringskravet kom sedan att föras in i lagen samband med riksdagsbehandlingen av patientjournallagen.44
41SOU 1984:73. 42Prop. 1984/85:189. 43Prop. 1984/85:189 s. 20. 44 Socialutskottets bestänkande 1984/85:SoU33.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
272
Allt sedan dess har en debatt förts om signeringskravet är meningsfullt och ändamålsenligt. I Myndighetens för vårdanalys rapport Ur led är tiden45tas signeringskravet upp som ett exempel på en administrativ åtgärd där värdet av åtgärden kan diskuteras i relation till vilken insats som krävs.
Det finns enighet om att måste ska gå att lita på uppgifterna i en patientjournal, men den omdiskuterade frågan är om signeringskravet fyller någon sådan funktion i praktiken? På grund av det höga tempo som råder i hälso- och sjukvården är det ofta nödvändigt att kunna lita även på uppgifter som inte är signerade. Av redogörelserna i det föregående framgår även att uppgifter som förs in i en patientjournal inte får ändras annat än med stöd av särskilda regler. Detta gäller oavsett om uppgifterna är signerade eller inte.
Vårdgivarens ansvar och det ansvar som ligger hos den som för in uppgifter i en patientjournal är grundläggande och behövs för att säkerställa att uppgifterna i en patientjournal är korrekta. Frågan är om det utöver detta ansvar behöver finnas bestämmelser om att en kontrolläsning också måste signeras? Vårdgivarens ansvar för journalen och den enskilde yrkesutövarens ansvar för de uppgifter som förs in kan tillsammans med de bestämmelser som reglerar vilka möjligheter till ändring av innehållet som finns vara tillräckliga för att säkra innehållet i patientjournalen. De bestämmelser som reglerar journalföring och hantering av personuppgifter i hälso- och sjukvården syftar till att journalerna ska kunna användas som ett tillförlitligt arbetsredskap i vården Det är viktigt att rätt uppgifter och korrekta uppgifter finns i journalen och att dessa uppgifter inte får förvanskas eller utplånas annat än med stöd av särskilda bestämmelser.
Krav på kontrolläsning men inte på undertecknandet som dess kvittens
Utredningen anser att kvalitetskravet avseende journalanteckningen uttrycks bättre genom att förtydliga kravet på ansvar för anteckningen än genom att behålla signeringskravet som det är utformat i dag. Signeringskravet innebär dels att den som ansvarar för uppgiften ska kontrollera att de uppgifter som han eller hon ansvarar för är korrekta, dels att denna kontroll bekräftas med en
45 Myndigheten för vårdanalys Rapport 2013:9, Ur led är tiden s. 44 ff.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
273
signering. Utredningen anser att det viktigaste är att i lagen uttrycka kravet på att uppgifterna ska kontrolleras.
Vi menar att signeringskravet, som det har kommit att tillämpas i praktiken, inte fyller den funktion som lagstiftaren en gång såg framför sig. Signeringen ger inte uttryck för den kvalitetskontroll den egentligen är avsedd att göra. I stället för att en signerad uppgift betyder att den är kontrolläst och riktig verkar innebörden av en signerad uppgift i dag endast vara att den är just signerad. Det förhållande att hälso- och sjukvårdspersonal ofta beskriver signeringen som en administrativ pålaga med liten eller ringa betydelse för tilliten till uppgifternas riktighet och säkerheten i vården, gör att det i dag starkt kan ifrågasättas om kravet är ändamålsenligt.
Det kan heller inte uteslutas att lagstiftningens utformning, dvs. att fokus ligger på att en uppgift ska signeras, har bidragit till en olycklig förskjutning från den nödvändiga kontrollen av uppgifternas riktighet till den mer administrativa kvittensen.
Sammantaget bedömer vi därför att det finns skäl att ändra lagstiftningen så att den på ett tydligt sätt uttrycker att den som journalför ansvarar för sina uppgifter och att de är korrekta, alldeles oavsett om en administrativ kvittens är synlig eller inte. Signeringskravet, som det är utformat i dag, bör därför tas bort. I anslutning till ett uttryckligt ansvar för vårdgivaren avseende patientjournalens innehåll vill vi därför även tydliggöra yrkesutövarens ansvar för de uppgifter som han eller hon för in i journalen. Vi föreslår därför ett tillägg till ansvaret för uppgifterna som innebär att yrkesutövaren ska kontrollera att uppgifterna är riktiga. Denna kontroll görs antingen i direkt anslutning till att yrkesutövaren själv för in sin anteckning eller i samband med genomläsning av vad t.ex. en läkarsekreterare fört in.
Detta innebär att vårdgivaren får ta ansvar för om det behövs någon synlig kvittering av att genomläsning skett. Vårdgivaren kan ställa krav på sådan signering av vissa anteckningar om det är motiverat med hänsyn till verksamhetens krav på patientsäkerhet och kvalitet.
Vårt förslag innebär ingen begränsning av det ansvar som en yrkesutövare redan i dag har för sina uppgifter. Tvärtom avser vi med förslaget att förtydliga vad ansvaret egentligen handlar om. Det är upp till vårdgivaren att ha tydliga rutiner för hur detta ansvar för uppgifternas riktighet ska upprätthållas generellt i verksamheten. Det är nödvändigt för informationsöverföringen inom och mellan verksamheter och vårdgivare att det finns tillit till
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
274
att dokumentationen är korrekt och användbar. Detta ställer stora krav på vårdgivare och yrkesutövare när det gäller ansvaret för uppgifterna i patientjournalen. Vårt förslag om att uttrycka detta på ett annat sätt än genom signeringskravet förminskar inte detta ansvar.
Rättelse av en felaktighet
Vi föreslår att bestämmelsen i patientdatalagen om hur rättelse av en journalanteckning ska gå till förs över med vissa förtydliganden i en egen paragraf. Det ska framgå att det är den som för patientjournal som utför rättelsen. Det ska också uttryckas i bestämmelsen att rättelsen ska göras så att den ursprungliga texten inte blir oläslig eller oåtkomlig.
12.4.10 Vårdgivare ska få utplåna uppenbara felaktigheter i patientjournalen
Vårt förslag: En vårdgivare ska få utplåna uppgifter i en patient-
journal. Vårdgivaren ska enbart kunna göra detta om det är sannolikt att den uppgift som ska utplånas inte har använts som underlag för bedömningar och ställningstaganden i samband med patientens vård och behandling. Utöver detta ska det krävas att den uppgift som ska tas bort är uppenbart felaktig och att rättelse inte är en tillräcklig åtgärd för att tillgodose skyddet för den registrerades integritet.
Inledning
Med beaktande av patientsäkerheten och skyddet för de registrerades integritet är det nödvändigt att vara mycket noggrann i samband med hantering av personuppgifter i hälso- och sjukvården. Det finns en hög medvetenhet om detta i hälso- och sjukvården. Trots detta inträffar det ibland att felaktiga noteringar görs i en patientjournal. Det kan t.ex. hända att felaktiga uppgifter om en patients hälsotillstånd förs in, t.ex. en felaktig uppgift om dos eller styrka av ett läkemedel. Om misstaget inte uppmärksammas i anslutning till att uppgifterna förs in får uppgifterna dock inte
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
275
utplånas från journalen. Däremot är det möjligt för vården att rätta uppgifterna enligt de regler som gäller för det i nu gällande 3 kap. 14 § PDL. En sådan åtgärd är ofta tillräcklig för att säkra att innehållet i journalen blir korrekt. Det kommer fortfarande att synas i journalen att den rättats och det finns en spårbarhet avseende den felaktiga uppgiften. En rättelse innebär således inte att den felaktiga uppgiften får tas bort från journalen.
Andra felaktiga noteringar i journalen blir mer problematiska för hälso- och sjukvården. Om t.ex. anteckningar om vård och behandling görs på fel patient uppstår en känslig situation. Det kan i värsta fall innebära ett otillåtet spridande av sekretessbelagda uppgifter att inte helt kunna ta bort de felaktiga noteringarna.
Den enda möjligheten att helt ta bort dessa uppgifter är att vända sig till den patient som journalen avser eller till den patient som omnämns i den felaktiga anteckningen (om den finns något omnämnande) och uppmana någon av dem att ansöka om journalförstöring. Detta framstår sannolikt som märkligt för patienten att behöva ta ansvar för. Varför ska han eller hon behöva besvära sig med att hantera sådana misstag som gjorts i vården? Det kan också vara svårt att hantera detta utan att den registrerade får ta del av uppgifter om en annan registrerad. En anteckning i en patientjournal som egentligen avser en annan person kan innebära patientsäkerhetsrisker och integritetsrisker för den patient som ”äger” journalen. Även med hänsyn till den patient vars uppgifter hamnat fel kan det medföra sådana risker. Det är därför angeläget att en sådan felaktighet snabbt kan rättas.
Utredningen har därför fått i uppdrag att utreda möjligheten att göra det tillåtet för vårdgivaren att ansöka om journalförstöring. Utredningens utgångspunkt är att av hänsyn till de registrerades integritet måste felaktigheter i en patientjournal kunna åtgärdas på ett enkelt sätt utan onödig administration - men med beaktande av de säkerhetsaspekter som vi här redogjort för. En vårdgivare ska inte kunna ändra innehållet i en patientjournal utan att följa ändamålsenliga regler för hur det ska gå till.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
276
Vårdgivare bör få en möjlighet att under vissa förutsättningar ta bort felaktiga uppgifter
Uppgifter som förts in i en journal kan enbart bli helt utplånade med stöd av bestämmelsen om journalförstöring. Det är dock bara patienten eller någon annan som omnämns i en patientjournal som kan ansöka om journalförstöring. Det innebär stora olägenheter för vårdgivaren och hindrar verksamheten från att bära ett fullständigt ansvar för att uppgifterna i journalen är riktiga.
Om t.ex. felet består i att uppgifter på fel patient förts in i en journal blir det komplicerat att åstadkomma en rättelse som innebär att båda patienternas integritet respekteras. Huvudregeln är ju att det föreligger sekretess avseende de aktuella uppgifterna mellan de båda patienterna. Ändå är det bara någon av dessa som kan ansöka om journalförstöring. Det blir en ömtålig fråga som är svår att hantera på ett bra sätt för vårdgivaren. För att åtgärda det fel som vårdgivaren själv orsakat finns det i dagsläget ingen annan laglig lösning än att vårdgivaren lägger över ansvaret för att rätta till felet på någon av de registrerade.
Den patient som journalen avser kan ansöka om att uppgifterna som avser en annan patient ska förstöras. Ansökan ska lämnas till Inspektionen för vård och omsorg, som ska utreda och fatta beslut i frågan. Det är sannolikt att en sådan ansökan skulle bifallas. Men det är inte någon enkel och snabb väg att behöva vända sig till en myndighet för att rätta till en uppenbar felaktighet. Det kan innebära risker för patienten så länge som de felaktiga uppgifterna finns kvar i journalen. För båda berörda patienter kan det också medföra risker för integritetskränkningar så länge som de felaktiga uppgifterna är åtkomliga i journalen. För de registrerades skull vore det önskvärt med en möjlighet för vårdgivarna att åtgärda sådana uppenbara fel.
Utredningen anser att vårdgivaren måste få en möjlighet att åtgärda uppenbara felaktigheter i patientjournalen. Vi anser att det inte är en tillräckligt bra lösning att ge vårdgivarna en möjlighet att i dessa lägen ansöka om journalförstöring. Det tar onödigt lång tid att rätta till felaktigheterna om det måste krävas ett myndighetsbeslut för det.
Vi anser att det av hänsyn till de patienter som drabbas av dessa felaktigheter är nödvändigt att en rättelse måste kunna göras enkelt utan tidsödande administration. Vårdgivaren har ansvar såväl för att erbjuda en god och säker vård som för en säker informations-
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
277
hantering. Det är därför rimligt att vårdgivarna också får ta ansvar för att åtgärda uppenbara felaktigheter som kan få konsekvenser för en eller flera patienter.
Enligt gällande rätt får uppgifter i en patientjournal endast utplånas eller göras oläsliga med stöd av bestämmelsen om journalförstöring eller med stöd av bestämmelser om gallring enligt arkivlagen. Dessa bestämmelser utgör undantag från skyldigheten att bevara allmänna handlingar när det gäller patientjournaler som förs av en offentlig vårdgivare.
Utredningens förslag om att vårdgivare ska få utplåna felaktiga uppgifter innebär när det gäller den offentliga vården ytterligare ett undantag från skyldigheten att bevara allmänna handlingar. Utredningen måste därför överväga om detta undantag innebär en oacceptabel konflikt med offentlighetsprincipen. När det gäller patientjournalens ställning som allmän handling är den redan mycket starkt begränsad av den starka sekretess som råder avseende uppgifterna i journalen. Patientjournalens viktigaste uppgift är att finnas till hands i syfte att erbjuda patienten en god och säker vård. Mot den bakgrunden är det nödvändigt för vården att så långt möjligt kunna lita på innehållet i en patientjournal.
Vårdgivaren har ett ansvar för att innehållet i patientjournalen är korrekt. Det finns redan i dag en möjlighet för patienten att under vissa förutsättningar få uppgifter utplånade ur en patientjournal. Utredningen föreslår nu en möjlighet för vårdgivaren att under vissa begränsade förutsättningar få utplåna uppgifter i en journal. Syftet med det undantaget är att vårdgivaren på ett bättre sätt kan ta ansvar för att det bara finns korrekta uppgifter i en patientjournal. Vårdgivarens rätt att utplåna felaktiga uppgifter är en undantagsbestämmelse som enligt utredningens förslag bara ska få tillämpas om en rättelse inte är en tillräcklig åtgärd. Vårt förslag innebär endast ett mindre tillägg till de möjligheter som redan finns att trygga en patientjournals innehåll. Vi gör mot denna bakgrund bedömningen att förslaget inte innebär någon konflikt mot offentlighetsprincipen.
Närmare om villkoren för vårdgivares utplåning av uppgifter
Det grundläggande villkoret för att en utplåning på vårdgivarens initiativ ska vara möjlig är att det är sannolikt att den eller de uppgifter som ska utplånas inte har legat till grund för bedömningar
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
278
och ställningstaganden vid vård och behandling av den patient som journalen avser. Om en felaktig uppgift har haft betydelse för vården av patienten är det viktigt av spårbarhetsskäl att den felaktiga uppgiften inte utplånas. Det kan vara betydelsefullt för den fortsatta vården av patienten att veta vilka uppgifter som legat till grund för behandlingen. Även för att kunna följa upp och kvalitetssäkra vården är det viktigt att den dokumentation som funnits i ett vårdförlopp går att återskapa. I samband med en utredning av en vårdskada kan det vara nödvändigt att det går att få fram vilken dokumentation som fanns att tillgå vid vårdtillfället. Därför anser utredningen att felaktiga uppgifter som använts i vården inte ska utplånas utan rättas i enlighet med den bestämmelse som gäller för det.
Med förutsättningen att felet ska vara uppenbart avser utredningen att den felaktiga uppgiften ska ha förts in av rent förbiseende. Det ska vara en uppgift som entydigt är felaktig i den aktuella journalen, t.ex. att fel uppgift noterats på grund av någon form av förväxling. Det kan t.ex. handla om att uppgiften i sig är korrekt, men den avser en annan patient. Det ska inte vara fråga om en uppgift som noterats på grund av någon bedömning, som senare visar sig felaktig.
En ytterligare förutsättning för att vårdgivaren ska få ta bort det uppenbara felet är att det – av hänsyn till en registrerads integritet – inte är tillräckligt att rätta felaktigheten enligt de bestämmelser som gäller för det. Huvudregeln är att uppenbara fel ska rättas i enlighet med de befintliga reglerna om rättelse. Det ska alltså innebära ett bristande skydd för en registrerads integritet att uppgifterna finns åtkomliga på det sätt som blir resultatet av en vanlig rättelse. En rättelse enligt patientdatalagen innebär ju inte att de felaktiga uppgifterna utplånas. Det innebär endast att någon form av markering görs om att en uppgift är felaktig. I förekommande fall skrivs i stället en riktig uppgift in i stället. Spårbarheten avseende den felaktiga uppgiften kan vara konstruerad på olika sätt i olika journalsystem.
Om det handlar om att samma uppgift av misstag förts in flera gånger gör utredningen bedömning att det är möjligt för vårdgivaren att formlöst se till att uppgiften bara noteras så många gånger som är nödvändigt. En sådan rättelse innebär ju inte att själva informationen går förlorad.
I de fall där den uppenbara felaktigheten består i att uppgifter om fel patient förs in i en patientjournal kan det vara känsligt för
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
279
båda patienterna om de felaktiga uppgifterna inte kan tas bort helt och hållet. Utredningen anser att en sådan situation är ett typfall då det inte är tillräckligt att åtgärda felet genom att tillämpa reglerna om rättelse. Vi anser att vårdgivaren i sådana situationer på ett enkelt och snabbt sätt måste kunna utplåna de felaktiga uppgifterna från journalen. Det skulle innebära mer administration både för vårdgivaren och för Inspektionen för vård och omsorg om sådana fel endast kunde åtgärdas genom att vårdgivaren ansökte hos myndigheten om journalförstöring. Det skulle också innebära att det tog längre tid att åtgärda felet. Ju längre tid det tar att rätta till ett fel ju större blir risken för att en registrerads integritet kränks. Utredningen har därför valt att föreslå att vårdgivaren under vissa förutsättningar själv får rätta till uppenbara fel.
Av utredningens förslag till bestämmelse framgår att möjligheten för vårdgivaren att utplåna uppgifter bara får användas om rättelse inte är en tillräcklig åtgärd. I första hand ska bestämmelsen om rättelse användas för att åtgärda uppenbara fel. Bestämmelsen kan bli tillämplig först om det inte är tillräckligt med en rättelse för att trygga en registrerads integritet. Undantaget får inte tillämpas rutinmässigt. Då det i enskilda fall används, ska det ske med urskillning och varsamhet.
Utredningens förslag till bestämmelser riktar sig till vårdgivaren som ansvarig för behandlingen av personuppgifterna i verksamheten. Det innebär att vårdgivaren måste ha rutiner till de som arbetar i vården om hur de ska hantera rättelse och utplåning av uppgifter i journalen. Vårdgivaren måste ge instruktioner till verksamheten hur denna nya möjlighet att åtgärda felaktigheter ska användas.
Vårdgivarens ansvar för hantering av journaluppgifter innebär att vårdgivaren i första hand måste se till att det inträffar så få felaktiga noteringar i journalerna som möjligt. Journalsystemen måste vara användarvänliga. Det ska vara enkelt att göra rätt – svårt att göra fel. Vårdgivaren ansvarar även för att arbetet med patienter och dokumentation av vården läggs upp på ett ändamålsenligt och säkert sätt.
Utredningens förslag innebär att vårdgivaren för att kunna ta ansvar för informationshanteringen också måste följa upp hur den nya möjligheten till att ta bort felaktigheter används i verksamheten. Ett sådant kvalitetsarbete kan ge vårdgivaren signaler om vilka brister som finns när det gäller t.ex. användbarhet av journalsystemen och även om brister avseende hur vårdarbetet är utformat.
281
13 En informationshantering med patienten i centrum
13.1 Bakgrund
Under 2011 presenterade Riksrevisionen sin rapport Rätt information
vid rätt tillfälle inom vård och omsorg – samverkan utan verkan?
(RiR 2011:19). I rapporten granskas de statliga insatserna som gjorts för att vårdpersonal ska ha tillgång till all relevant patientinformation vid rätt tillfälle.
Motiven för granskningen var att hälso-och sjukvården och den kommunala omsorgen under senare år genomgått stora strukturförändringar, vilket bland annat gjort att antalet aktörer på området har ökat. Den nationella vårdgarantin och det fria vårdvalet som införts har bland annat medfört att ett större antal vårdgivare involveras i vården av patienter, vilket ställer nya krav på möjligheterna för vårdpersonalen att ta del av uppgifter om patienterna. Det har därmed blivit allt viktigare att säkerställa ett effektivt och säkert utbyte av information mellan olika vårdgivare. Riksrevisionen anför i granskningen att vårdens organisering har kommit att bli avgörande för informationsutbytet. Riksrevisionen anför bl.a. följande.
Regeringen har som ambition att öka andelen privata aktörer inom vård och omsorg. Med flera aktörer blir det allt viktigare att säkerställa ett effektivt utbyte av information över organisationsgränserna. Det har i granskningen framkommit att val av organisation får konsekvenser för hanteringen av patientinformation.
Vidare framhöll Riksrevisionen att det i ett landsting med få vårdgivare är enklare att få tillgång till patientinformation eftersom patientdatalagen ställer hårdare krav vid informationsutbyte mellan olika vårdgivare än inom en vårdgivare. Mot den bakgrunden rekommenderade Riksrevisionen regeringen att analysera de
En informationshantering med patienten i centrum SOU 2014:23
282
konsekvenser som det ökade antalet privata vårdgivare får för målet att behörig personal ska ha rätt information vid rätt tillfälle och överväga om det behövs någon ytterligare författningsreglering.
I regeringens skrivelse om Riksrevisionens rapport aviserades sedan regeringen denna utredning.1 Regeringen anför i skrivelsen bland annat att insatser till enskilda inte ska vara mindre säkra eller av lägre kvalitet till följd av bristande tillgång till information. Utan sådan tillgång till uppgifter ökar, enligt regeringens skrivelse, risken för bl.a. felaktiga beslutsunderlag, felbehandlingar eller allvarliga interaktioner mellan läkemedel och andra insatser. Utöver direkt negativa konsekvenser för den enskilde kan brister i möjligheten att samverka och samarbeta genom att effektivt utbyta uppgifter mellan verksamheter också få negativa följder för hälso- och sjukvården och socialtjänsten på en övergripande nivå. Vidare uttalar regeringen att den delar Riksrevisionens bedömning att det finns behov av att se över patientdatalagen (2008:355), förkortad PDL, och annan berörd lagstiftning i syfte att utreda hur ett effektivt utbyte av information mellan socialtjänsten och hälso- och sjukvården kan säkerställas. Mot den bakgrunden aviserade regeringen denna utredning genom att uttala följande.
Regeringen avser därför snarast att förordna en särskild utredare med uppdrag att med beaktande av integritetsaspekterna utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten.
Hälso- och sjukvård utförs i dag av en mångfald av vårdgivare, privata som offentliga, som var för sig och tillsammans samverkar för att ge god och säker vård. En ändamålsenlig informationshantering är en av förutsättningarna för att alla patienter ska garanteras en likvärdig tillgång till hälso- och sjukvård av god kvalitet.
13.2 Några utgångspunkter för utredningen
Utredningen har mot bakgrund av regeringens uppdrag bedrivit ett omfattande arbete med att identifiera förutsättningar och hinder för en mer ändamålsenlig och sammanhållen informationshantering.
1 Regeringens skrivelse 2011/12:34.
SOU 2014:23 En informationshantering med patienten i centrum
283
Under arbetets gång har det blivit tydligare och tydligare att behovet av informationsutbyte kring individen i dag är störst på det lokala planet, i hemkommunen och inom det egna landstinget. Den hälso- och sjukvård som utförs av landsting, kommuner och privata vårdgivare kräver ett tätt och fortlöpande samarbete i individuella vårdsituationer. En av grundförutsättningarna för att patienter ska känna trygghet med hälso- och sjukvården är därför att den vårdgivare patienten möter har tillgång till all aktuell och relevant information som behövs för att patienten ska få en god och säker vård. Ytterligare en förutsättning är att såväl hälso- och sjukvårdsinsatserna som informationshanteringen bygger på respekt för patientens självbestämmande och integritet.
Vi har i tidigare avsnitt redogjort för den omfattande strukturförändring som hälso- och sjukvården har genomgått de senaste åren, inte minst efter patientdatalagen trädde ikraft 1 juli 2008. En ökad specialisering, ett ökat antal vårdgivare och en ökad patientrörlighet är några av de grundläggande faktorer som har påverkan både på de faktiska behoven och på de legala möjligheterna att hantera och utbyta uppgifter om patienter.
Fler vårdgivare innebär även fler gränser mellan vårdgivare, vilket bland annat kan skapa rättsliga hinder eller begränsningar för hur information får hanteras och utbytas. Samtidigt behöver de verksamheter som bedriver hälso- och sjukvård ha tillgång till rätt information om patienterna, för att kunna ge bästa möjliga vård i varje situation.
Huvudmannen som har ansvar för hälso- och sjukvården i området och som finansierar verksamheterna, oavsett om de sedan drivs i offentlig eller i privat regi, behöver ha tillgång till rätt uppgifter för att kunna planera behovet av insatser, men även för att kvalitetssäkra verksamheten och dess olika processer - oavsett om individens resa har passerat offentliga och privata aktörer. Rätt information på rätt plats i rätt tid för är en nyckel för att informationshanteringen ska kunna bidra till ännu bättre resultat för patienterna. Det kräver även ett regelverk med individen och individens behov i centrum.
För den enskilde individen handlar det bland annat om att känna trygghet i att hälso- och sjukvårdens aktörer har tillgång till den information om den enskilde som behövs för att kunna ge en så god och säker vård som möjligt i de situationer som uppstår. Sannolikt förutsätter de flesta individer att den information om dem som behövs av samverkande vårdgivare i en vårdprocess finns tillgänglig
En informationshantering med patienten i centrum SOU 2014:23
284
på ett lika effektivt och säkert sätt som om processen hade hanterats av en och samma vårdgivare. För den enskilde handlar det även om att känna trygghet med de fria val som den enskilde har rätt att göra i hälso- och sjukvården, t.ex. att fritt välja vårdgivare och att välja att ta emot eller avstå från erbjudanden om vård. Därutöver finns ett övergripande intresse för alla medborgare att känna tillit till att den hälso- och sjukvård som erbjuds i det egna landstinget eller i den egna kommunen står sig väl i förhållande till vad som erbjuds i andra delar av landet, exempelvis med avseende på jämlikhet, kvalitet, säkerhet och tillgänglighet. En informationshantering med individen i centrum är därför en av de grundläggande förutsättningarna för att kunna leva upp till individens behov och förväntningar på hälso- och sjukvårdssystemet.
Utredningen vill genom några exempel beskriva på vilket sätt dagens mer organisationsinriktade lagstiftning riskerar att medföra negativa konsekvenser för patienten både i enskilda behandlingssituationer och i ett vidare perspektiv. Gemensamt för exemplen är att olika former av organisatoriska gränser i stor utsträckning påverkar möjligheterna att ge god och säker vård, arbeta preventivt och möta befolkningens behov, förbättra resultatet för patienterna m.m.
13.3 Utredningens reflektioner kring gällande rätt
Nedan redovisas fyra olika exempel som på olika sätt har bäring på frågan om hur en mer ändamålsenlig och sammanhållen informationshantering kan stimuleras. Exemplen rör såväl informationshanteringen i patienters individuella möten med hälso- och sjukvården som förutsättningarna att hantera information för att säkra kvaliteten i patienteras vård eller för att arbeta förebyggande och stödjande.
Syftet med exemplen är att tydliggöra några av de hinder och problem som dagens lagstiftning uppställer. För att möjliggöra en informationshantering som bidrar till bättre resultat för patienterna måste vi, enligt utredningens bedömning, hitta lösningar på dessa problem.
SOU 2014:23 En informationshantering med patienten i centrum
285
13.3.1 Exempel 1. Konsekvenser för informationsutbytet beroende på olika driftformer inom ett landstings ansvarsområde
Hantering av information mellan olika landstingsdrivna verksamheter
Akademiska sjukhuset i Uppsala och Svartbäckens vårdcentral finansieras och drivs i dag båda av Landstinget i Uppsala län. Det innebär bland annat att personuppgifter rörande patienter som finns i vårdcentralens och sjukhusets verksamhet är tillgängliga för åtkomst både för sjukhuspersonal och för vårdcentralspersonal. En anställd får ta del av de relevanta uppgifterna om denne deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården (exempelvis kvalitetssäkring). Beroende på hur landstinget valt att definiera sin verksamhet i vårdenheter och vårdprocesser kan en patient ha rätt att exempelvis spärra information som dokumenterats på sjukhuset för personal på vårdcentralen. Spärren kan dock hävas av personal på vårdcentralen om patienten samtycker till det. Om ett samtycke inte kan inhämtas kan spärren hävas av personal om informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver. En sådan spärr gäller dock inte i förhållande till vårdcentralspersonalen om denne behöver tillgång till uppgifterna för andra ändamål för sitt arbete inom hälso- och sjukvården, t.ex. kvalitetssäkring, statistikframställning, utvärdering m.m.
Hantering av information mellan verksamheter som bedrivs av olika vårdgivare inom landstinget
På Liljeforstorg i centrala Uppsala ligger en annan vårdcentral, som även den finansieras av landstinget men för tillfället drivs av den privata vårdgivaren Capio. Det innebär bland annat att personuppgifter rörande patienter som finns i denna vårdcentrals och Akademiska sjukhusets verksamhet som huvudregel inte får vara elektroniskt tillgängliga för åtkomst för både sjukhuspersonal och vårdcentralspersonal. För att uppgifterna ska få vara tillgängliga genom direktåtkomst krävs att reglerna om sammanhållen journalföring tillämpas, det vill säga att patienterna informerats om det och valt att inte motsätta sig en sådan direktåtkomst. För den som motsätter sig ska informationen genast spärras så att den inte kan
En informationshantering med patienten i centrum SOU 2014:23
286
vara tillgänglig för personal i de respektive verksamheterna. Om det sedan uppstår ett behov för sjukhuspersonalen att ta del av sådan information om individen som dokumenterats av vårdcentralen måste en begäran göras till vårdcentralen om att häva spärren och lämna ut informationen. En sådan begäran kan göras av patienten eller i en nödsituation, där patienten inte kan göra det, av sjukhuspersonalen. Spärren är alltså hård och kan inte hävas av personal på sjukhuset, utan ett formellt beslut måste fattas av befattningshavare på vårdcentralen. På kvällar och helger är vårdcentralen emellertid stängd, vilket innebär att uppgifter inte kan hävas i de situationer det behövs under dessa tidpunkter.
För patienter som inte har motsatt sig att sjukhuset och vårdcentralen får tillgång till varandras patientuppgifter är informationen dock tillgänglig. Det innebär dock inte att sjukhuspersonal kan ta del av informationen som dokumenterats på vårdcentralen på Liljeforstorg på samma sätt som de kan göra för information som dokumenterats på Svartbäckens vårdcentral. En förutsättning för att vid behov få ta del av uppgifterna från Liljeforstorg vårdcentral är att patienten samtyckt till det.
Oavsett om ett samtycke från patienten finns får sjukhuspersonal inte genom direktåtkomst ta del av patientuppgifter från Liljeforstorg vårdcentral för något annat syfte än vård och behandling. Uppgifter får därmed inte på detta sätt användas för kvalitetssäkring, statistikframställning eller annat. Varken Akademiska sjukhuset eller Liljeforstorg vårdcentral har således rätt att genom direktåtkomst hantera personuppgifter över vårdgivargränser för att exempelvis utvärdera och kvalitetssäkra de gemensamma vårdprocesser deras patienter befinner sig i.
Utbyte av information mellan verksamheter som drivs direkt av landstinget respektive landstingsägda bolag
I sammanhanget kan noteras att den beskrivna situationen ovan är densamma även om landstinget själv skulle driva vårdcentralen på Liljeforstorg genom ett landstingsägt bolag. Även om sekretess inte gäller mellan landstinget och ett av landstinget ägt bolag (sådana kommunala bolag som avses i 2 kap. 3 § offentlighets- och sekretesslagen [2009:400], förkortad OSL), är direktåtkomst mellan sådana verksamheter inte tillåten enligt 5 kap. 4 § PDL.
SOU 2014:23 En informationshantering med patienten i centrum
287
Konsekvenserna
Ovanstående situation visar endast på några skillnader som uppstår om en offentligfinansierad verksamhet inom ett och samma landsting drivs i offentlig eller i privat regi. Det är inte endast personalen som ska hålla reda på och känna till vilka verksamheter som drivs av vilka aktörer, utan även för invånarna gäller det att känna till i vilka situationer man har en möjlighet att motsätta sig, lämna samtycke etc. För patienter är detta inte alltid helt uppenbart, vare sig i den stund det handlar om att välja vårdgivare eller när patienten befinner sig i en pågående vårdprocess. De organisatoriska gränserna blir i praktiken även mer otydliga och svårare att upptäcka i takt med att vårdgivare i ännu större utsträckning än tidigare samverkar kring patienterna, t.ex. genom att vara lokaliserade i samma byggnad.
Motsvarande situation som den ovan beskrivna gör sig även gällande i den kommunala hälso- och sjukvården när olika aktörer är inblandade i den enskildes hälso- och sjukvård. Utmaningen är emellertid större än så eftersom det i många verksamheter, t.ex. särskilda boenden inom äldreomsorgen och i stora delar av hemsjukvården, utförs både sociala insatser och hälso- och sjukvårdsinsatser. Vilka dessutom kan utföras av olika vårdgivare respektive utförare. Problematiken kring informationshantering inom och mellan den kommunala hälso- och sjukvården och socialtjänsten uppmärksammas huvudsakligen i avsnitt 31.
Våra sammanfattande reflektioner
Ovanstående exempel ger anledning till reflektion över regelverkets utformning i relation till individens behov. Vi bedömer att det är på det lokala planet som individen har störst behov av att viktig information hålls samman och alltid finns tillgänglig när individen möter vården. Vi ifrågasätter om det för individens del finns något tillräckligt starkt skäl som motiverar att förutsättningarna för en mer sammanhållen informationshantering ska vara beroende av om den vårdgivare individen möter drivs i offentlig eller privat regi.
Det kan exempelvis ifrågasättas om det är rimligt att det råder sekretess mellan vårdcentralen på Liljeforstorg och Akademiska sjukhuset en km därifrån, när bevekelsegrunderna för organisationen av verksamhetens drift sannolikt handlat om något helt
En informationshantering med patienten i centrum SOU 2014:23
288
annat. För en utomstående betraktare synes det närmast som att sekretessgränserna uppstår slumpmässigt utan reell koppling till behov av öppenhet för att garantera alla patienter en jämlik vård av hög kvalitet.
I sammanhanget kan även noteras att det sannolikt inte råder sekretess (tystnadsplikt) mellan vårdcentralen på Liljeforstorg och S:t Görans sjukhus i Stockholm, eller för den delen Hälsocentralen Dragonen i Umeå. Detta eftersom S:t Göran, Dragonen i Umeå och vårdcentralen på Liljeforstorg för tillfället drivs av samma vårdgivare (Capio).
Exemplen ovan visar att det är hög tid att ställa frågan om hur ett framtida regelverk kan utformas för att stimulera en informationshantering som bidrar till bättre resultat för alla patienter, oavsett hur vården är organiserad.
13.3.2 Exempel 2. Möjligheterna till aktiv hälsostyrning i län med liten eller stor mångfald av aktörer
Aktiv hälsostyrning innebär, något förenklat, att man med tydligt fokus på prevention identifierar och proaktivt stödjer riskpopulationer. Det kan exempelvis handla om att man försöker identifiera mångbesökare inom vissa sjukdomsgrupper för att i nästa skede kunna erbjuda dem en särskild vårdcoach.
Statistik visar exempelvis att det finns en liten grupp patienter med ett stort vårdbehov. En procent av befolkningen inom Stockholms läns landsting beräknas stå för cirka 30 procent av sjukvårdskostnaderna. Dessa personer har i snitt 8 olika diagnoser, 65 vårdkontakter på ett år, en inläggning var tredje månad, mycket låg självskattad livskvalitet samt stora behov av stöd, vårdkoordinering och coachning.2Nationella och internationella erfarenheter visar att ett preventivt arbetssätt med en aktiv hälsostyrning kan förbättra och effektivisera vården för dessa patientgrupper.
För att identifiera dessa individer som är i behov av och kan erbjudas särskilt stöd behöver stora mängder grunddata hanteras maskinellt. En vårdgivare har möjlighet att göra den typen av personuppgiftsbehandling inom sin egen verksamhet. Mellan vårdgivare finns däremot hinder för det, såväl i offentlighets- och sekretesslagstiftningen som i patientdatalagen. Förutom att sekre-
2 Jfr Stockholms läns landsting Rapport Aktiv hälsostyrning - vårdcoacher 2012.
SOU 2014:23 En informationshantering med patienten i centrum
289
tess och tystnadsplikt gäller mellan olika vårdgivare är denna typ av personuppgiftsbehandling genom direktåtkomst inget tillåtet ändamål enligt patientdatalagen. Någon möjlighet att inhämta individernas samtycke och sedan lämna ut uppgifter för samkörning finns inte heller, eftersom man måste hantera samtliga personuppgifter rörande samtliga individer för att över huvud taget identifiera de relevanta personerna.
En slutsats är således att ett landsting med få privata aktörer har väldigt goda förutsättningar att identifiera de länsinvånare som kan erbjudas ett särskilt stöd. Finns däremot många privata aktörer i den offentligfinansierade sjukvården inom ett landsting blir förutsättningarna väsentligt försämrade. För medborgarnas del handlar det om att möjligheterna att på detta sätt få stöd i att hantera sin hälsa bl.a. är beroende av vem som utför den offentligt finansierade hälso- och sjukvården i länet. I längre perspektiv påverkar detta naturligtvis utsikterna för en mer jämlik vård.
Aktiv hälsostyrning är endast ett av många exempel på hur regelverket påverkar huvudmannens, dvs. landstingets eller kommunens, möjligheter att vidta ändamålsenliga åtgärder för att möta länsinvånarnas behov. För den huvudman som ansvarar för befolkningens hälsa handlar det i dag mycket om att i större utsträckning än tidigare arbeta preventivt för att identifiera riskfaktorer, sätta in resurser där behoven är som störst och på olika sätt tillhandahålla effektiva verktyg för invånare att hålla sig friska.
Våra sammanfattande reflektioner
Ovanstående exempel visar på skillnader mellan olika huvudmäns möjligheter att arbeta med prevention och i övrigt vidta åtgärder för att möta invånarnas behov av hälsa och sjukvård. Som huvudmän har kommuner och landsting ett lagstadgat ansvar för den hälso- och sjukvård som med offentliga medel erbjuds och kommer invånarna till del. Det ansvaret kan inte överlåtas utan ligger alltid kvar på landstinget eller kommunen oavsett om en privat vårdgivare står för själva driften av verksamheten.
För att huvudmännen ska kunna sköta detta ansvar måste det finnas förutsättningar att hantera de uppgifter som behövs för att vidta effektiva och ändamålsenliga åtgärder. Det är enligt utredningens bedömning inte rimligt att de organisatoriska gränser som finns mellan huvudmannen som ytterst ansvarig och utförarna
En informationshantering med patienten i centrum SOU 2014:23
290
som ska förverkliga huvudmannens intentioner medför sådana konsekvenser som redovisas i exemplet. Det reser inte minst farhågor vad gäller jämlik vård. Sett över tiden, vad händer med en jämlik hälso- och sjukvård när skillnaderna avseende hur länen är organiserade medför konsekvenser för invånarnas hälsa?
Exemplet ovan visar återigen att det är hög tid att ställa frågan om hur ett framtida regelverk kan utformas för att stimulera en informationshantering som bidrar till bättre resultat för alla patienter, oavsett hur hälso- och sjukvården är organiserad. Vår utgångspunkt är att regelverket ska utgöra en garant för att alla som omfattas av ett offentligfinansierat system ges samma möjligheter.
13.3.3 Exempel 3. Möjligheterna att kvalitetssäkra vårdprocesser över vårdgivargränser
Dagens regelverk medför liknande konsekvenser som ovan avseende möjligheterna att skapa bättre resultat för patienter i vårdprocesser över vårdgivargränser genom användning av nationella kvalitetsregister.
I ett landsting som t.ex. Norrbotten, kan en patients behandlingsresa börja på vårdcentralen i Kiruna för att fortsätta på länsdelssjukhuset i Gällivare och för att sedan avslutas på länssjukhuset i Sunderbyn. I ett sådant landsting finns möjligheter att i ett kvalitetsregister följa och kvalitetssäkra patientens väg genom vårdsystemet. Detta eftersom såväl vårdcentralen som de två sjukhusen drivs av landstinget, dvs. av en och samma vårdgivare. I kvalitetsregistret kan därmed landstinget, med stöd av bestämmelserna i 7 kap. 9 § PDL, ha direktåtkomst till de uppgifter som lämnats till registret från vårdgivarens verksamheter. På det sättet kan landstinget ta ansvar och kvalitetssäkra hela patientens vårdprocess från det att den startade på vårdcentralen på hemorten och sedan fortsatte till två av sjukhusen i länet.
För ett landsting där vårdcentralen eller något av sjukhusen drivs i privat regi med offentlig finansiering saknas dock möjligheter till motsvarande kvalitetssäkring. Förutom att det råder sekretess mellan olika vårdgivare medger inte patientdatalagen direktåtkomst över vårdgivargränser för kvalitetssäkringsändamål. Det tas heller ingen hänsyn till om det är en och samma huvudman som finansierar samtliga verksamheter.
SOU 2014:23 En informationshantering med patienten i centrum
291
Offentlighets- och sekretesslagstiftningen reser tillsammans med patientdatalagen hinder för det finansierande landstinget att hantera patientuppgifter över vårdgivargränser för att säkra och utveckla kvaliteten i vården av de patienter som mött de vårdgivare som landstinget har huvudmannaansvar för. Ingen av de inblandade sjukhusen eller vårdcentralen kan därmed ta ett ansvar och kvalitetssäkra patientens process. Motsvarande problem gör sig även starkt gällande i exempelvis rikssjukvården, cancersjukvården och i äldreomsorgen.
Våra sammanfattande reflektioner
Exemplet visar återigen på att regelverket medför negativa och omotiverade konsekvenser för dagens och morgondagens patienter. Ur ett grundläggande perspektiv kan det självklart ifrågasättas om det över huvud taget ska vara tillåtet med samverkan och vårdprocesser över vårdgivargränser, om det inte samtidigt finns goda legala förutsättningar för att säkra och utveckla kvaliteten i den vård patienterna ges. I realiteten är det förstås en omöjlighet, inte minst eftersom tät samverkan mellan vårdgivare många gånger är en förutsättning för att patienter ska kunna få den vård som är nödvändig till hög kvalitet. Inte minst centrala delar som rikssjukvården, cancersjukvården, primärvården och äldreomsorgen m.m. vilar på en förutsättning att huvudmän och vårdgivare samarbetar.
Vår utgångspunkt är att det avgörande inte bör var i vilken organisation informationen har dokumenterats utan i vilken situation den behövs. I detta fall bör därför övervägas om inte alla vårdgivare som är inblandade i vården av en patient har behov av att ta del av den information som genererats under vårdprocessen för att kunna säkra och utveckla sin egen och den totala insatsen.
13.3.4 Exempel 4. Hantering av vårddokumentation i samband med byte av utförare
Varje vårdgivare eller myndigheter inom en vårdgivare är personuppgiftsansvarig för de patientuppgifter som behandlas i verksamheten. Vårdgivaren ansvarar för att journaler upprättas och hanteras på ett ändamålsenligt och säkert sätt i verksamheten. I det ansvaret ligger också ett ansvar för gallring och arkivering. Det innebär att
En informationshantering med patienten i centrum SOU 2014:23
292
varje vårdgivare måste föra sina egna journaler. En privat entreprenör får därför inte föra journal i ett landstings eller en kommuns journaler.
I samband med att patientdatalagen trädde ikraft gjordes vissa lättnader i sekretessbestämmelserna. De innebär att sekretess inte hindrar att patientuppgifter lämnas mellan olika hälso- och sjukvårdsmyndigheter inom ett landsting eller mellan sådana myndigheter inom en kommun. Dessa lättnader omfattar alltså inte privata utförare i landstinget eller kommunen. Reglerna innebär förenklat att det i praktiken krävs ett samtycke från patienten för ett utlämnande över vårdgivargränserna som omfattar alla vårdgivare inom ett sådant område. Däremot är det möjligt att utbyta patientuppgifter mellan alla vårdgivare oavsett organisationsform och geografiskt område under förutsättning att reglerna om sammanhållen journalföring följs.
Konsekvensen av vårdgivarens ansvar för journalerna och reglerna om sekretess och tystnadsplikt är att det kan bli svårt att upprätthålla kontinuiteten i vården och i informationshanteringen i samband med att privata utförare tillkommer eller avvecklas. För patienterna finns det en uppenbar risk för att aktuell och viktig information inte längre finns tillgänglig där den behövs och när det behövs. Det kan exempelvis handla om att läkemedelsordinationer och andra viktiga uppgifter som i ena stunden finns tillgängliga i system för sammanhållen journalföring nästa stund inte längre finns där p.g.a. en verksamhetsövergång.
Med fler och fler aktörer blir det allt viktigare att säkerställa ett effektivt utbyte av information över organisationsgränserna. Det gäller inte bara under tiden de olika aktörerna erbjuder hälso- och sjukvård utan också när en ny verksamhet startas och i samband med att verksamheten ska övergå till en annan aktör.
När en privat vårdgivare (vårdgivare nr 1) som bedrivit t.ex. en vårdcentral enligt avtal med ett landsting förlorar sitt kontrakt i samband med en ny upphandling, ska vårdgivare nr 1 fortsätta att förvara och bevara journalerna i enlighet med de regler som gäller enligt patientdatalagen. Om verksamheten inte klarar av det kan företrädaren för verksamheten ansöka hos Inspektionen för vård och omsorg om att journalarkivet ska tas om hand. Inspektionen kan då besluta om att journalarkivet ska förvaras hos en arkivmyndighet.
Vårdgivare nr 2 som vunnit upphandlingen och som ska fortsätta att erbjuda vård till de patienter som söker vård på vård-
SOU 2014:23 En informationshantering med patienten i centrum
293
centralen behöver förstås patienternas journaler för att kunna upprätthålla säkerheten och kontinuiteten i vården. Reglerna om tystnadsplikt innebär dock att det i praktiken inte är tillåtet att överföra uppgifterna från vårdgivare nr 1 till vårdgivare nr 2 utan varje patients samtycke.
Problemet som uppstår när patientuppgifter ska utlämnas över en sekretessgräns uppkommer också i samband med att ett landsting eller en kommun ska överföra en tidigare offentligt driven verksamhet till en upphandlad privat aktör. Och följaktligen också i samband med att en tidigare privat driven verksamhet ska återgå till en offentlig vårdgivare.
En patient som går till samma vårdcentral och kanske till och med träffar samma yrkesutövare har nog svårt att förstå varför ett samtycke efterfrågas. Om överföringen av journaler (alternativt journalkopior) ska göras på ett korrekt sätt kan det dessutom över tid bli nödvändigt att efterfråga patientens samtycke flera gånger för samma verksamhet.
Det finns i landstingen och kommunerna flera exempel på problem vid tillämpningen av dessa regler. Det förekommer att huvudmannen i avtalet reglerar att den privata utföraren ska föra journal i huvudmannens journaler. Det förekommer också att den vårdgivare som förlorat upphandlingen av konkurrensskäl vägrar att samarbeta om överföring av information.
Socialstyrelsen har i handboken till SOSFS 2008:14 beskrivit ett praktiskt sätt att lösa frågan om överföring av t.ex. journalkopior från en vårdgivare som utfört hälso- och sjukvård på entreprenad till den vårdgivare som ska ta över ansvaret för patienterna:
Informera patienterna om att vården övergår till en ny vårdgivare och att man avser att föra över journalkopior till den nya vårdgivaren och samtidigt erbjuda en möjlighet för patienterna att motsätta sig detta. När sedan den nya vårdgivaren avser att använda sig av journaluppgifter från den förra vårdgivaren kan ett aktivt samtycke inhämtas.
Denna lösning motsvarar den som gäller vid sammanhållen journalföring och innebär ett gott integritetsskydd.
Denna lösning är pragmatisk, men inte helt tillfredsställande. Dels för att den kan strida mot en helt korrekt tillämpning av reglerna om tystnadsplikt i enskilda verksamheter, dels för att även denna lösning medför praktiska svårigheter. Eftersom rätt information vid rätt tillfälle är grundläggande för en god och säker vård vore det önskvärt med ett säkrare sätt att trygga informationsöverföringen i samband med verksamhetsövergångar.
En informationshantering med patienten i centrum SOU 2014:23
294
13.4 Våra överväganden och förslag
13.4.1 Inledning
De exempel som redovisas i det föregående sätter ljuset på några av de hinder för en ändamålsenlig informationshantering som dagens regelverk ger upphov till. Det finns framför allt ett behov av att se över hur regelverket kan utformas så att informationshanteringen i den patientinriktade verksamheten i första hand kan utgå ifrån individens behov i stället från hur hälso- och sjukvården är organiserad.
Vidare framkommer det tydligt att förutsättningarna för huvudmännen att på olika sätt möta läns- och kommuninvånarnas behov, arbeta preventivt och låta kvalitet slå igenom som det centrala styrmedlet skiljer sig väsentligt åt beroende på hur stor mångfalden av utförare är i det offentligfinansierade systemet. Även detta ger anledning att överväga förändringar i lagstiftningen som suddar ut de organisatoriska gränserna och gör det möjligt för kommuner och landsting att ta ansvar för all hälso- och sjukvård som är offentligt finansierad.
13.4.2 Förbättrade möjligheter till direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde
Vårt förslag: En vårdgivare ska genom direktåtkomst kunna
lämna ut uppgifter som dokumenterats för ändamålet vårddokumentation till en annan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. Sådan direktåtkomst är enbart tillåten mellan den hälso- och sjukvårdsverksamhet som vårdgivarna bedriver inom samma huvudmans ansvarsområde.
För att en vårdgivare ska få ta del av uppgifter som gjorts tillgängliga genom direktåtkomst ska uppgifterna röra en patient som vårdgivaren har eller har haft en patientrelation med och uppgifterna ska behövas för något av de i lagen tillåtna ändamålen för personuppgiftsbehandling. Bestämmelser om detta ska tas in i hälso- och sjukvårdsdatalagen.
I offentlighets- och sekretesslagen ska införas en sekretessbrytande bestämmelse som möjliggör denna direktåtkomst.
SOU 2014:23 En informationshantering med patienten i centrum
295
I offentlighets- och sekretesslagen ska även införas en bestämmelse om absolut sekretess för uppgifter som är potentiellt tillgängliga för en vårdgivare.
Vår bedömning: Genom förslaget blir förutsättningarna för
informationshantering i den individinriktade patientverksamheten i praktiken lika för alla vårdgivare inom en huvudmans ansvarsområde, oavsett om vårdgivarens verksamhet drivs i privat eller i offentlig regi. Förslaget syftar till att öka patientsäkerheten och kvaliteten i vården samt att bidra till en jämlik vård över hela landet. Förslaget ska läsas i ljuset av de integritetsskyddande bestämmelser som i övrigt föreslås, bland annat i form av patienternas möjligheter att begränsa åtkomsten mellan vårdgivare samt krav på risk- och sårbarhetsanalys och överenskommelse om hur skyddet för personuppgifterna ska tillgodoses av vårdgivare som utbyter uppgifter genom direktåtkomst.
Inledning
Det är tydligt att utvecklingen i hälso- och sjukvården har gått från en tid där landsting och kommuner såväl ansvarade för som själva utförde i princip all hälso- och sjukvård, till en tid när landsting och kommuner allt mer blivit beställare inom sitt ansvarsområde. Politiska initiativ har på olika sätt stimulerat en ökning av privata utförare, som beställaren använder sig av för att utföra offentligfinansierad verksamhet. Detta har lett till att mångfalden av aktörer i vård- och omsorgssektorn blivit tusentals fler under de senaste tio åren. Variationerna i landet är fortfarande stora, men utvecklingen går av allt att döma mot fler aktörer, större mångfald och större möjligheter för individen att välja vårdgivare. Fortfarande är det emellertid landsting och kommuner som finansierar verksamheten och som på en övergripande nivå har ansvaret för att de offentligt och privat drivna verksamheterna bedrivs med hög kvalitet och sammantaget kan svara mot invånarnas behov av hälso- och sjukvård.
Samtidigt är det lika tydligt att dagens regelverk utgår ifrån ett organisatoriskt synsätt som inte är anpassat till den rådande utvecklingen. Varje gång ett landsting eller en kommun erbjuder en privat aktör att bedriva hälso- och sjukvård med offentlig finansiering uppkommer en sekretessgräns i förhållande till den privata
En informationshantering med patienten i centrum SOU 2014:23
296
verksamheten. En gräns som inte finns om huvudmannen fortsätter att själv bedriva verksamheten. En gräns som försvinner igen om huvudmannen i ett senare skede återtar driften av verksamheten. En privatisering medför även att olika regler för informationshantering ska tillämpas i förhållande till den privata verksamheten och den verksamhet som huvudmannen själv utför. Det finns ett antal negativa konsekvenser av detta, både för möjligheterna att ge god och säker vård i enskilda fall och för att utveckla och säkra kvaliteten i vården.
Under utredningens arbete har det i olika sammanhang påtalats att det blivit svårare och svårare att hålla ihop informationshanteringen på ett lokalt och regionalt plan, såväl i den individinriktade verksamheten som kring olika länsövergripande kvalitets- och förbättringssträvanden. Inte sällan framförs att dagens regelverk för informationshantering inte ligger i linje med de politiska initiativen kring ökad mångfald, större valfrihet för invånarna och tydligare fokus på folkhälsa och prevention. Kommuner och landsting med få privata vårdgivare i sitt offentligfinansierade system har i dag bättre rättsliga förutsättningar att skapa en ändamålsenlig informationshantering än vad landsting och kommuner med en större mångfald av aktörer har.
Enligt utredningens bedömning medför de gränser som lagstiftningen ställer upp mellan vårdgivare negativa konsekvenser med potentiella risker för patienter, vilket på sikt även kan påverka förutsättningarna för jämlik vård. För patienter blir situationen i det närmaste slumpartad, eftersom de legala möjligheterna för informationshanteringen är beroende av patientens bostadsort och landstingstillhörighet. Det visar enligt vår bedömning på ett grundläggande behov av en lagstiftning som gör det möjligt för alla vårdgivare som bedriver verksamhet som finansieras av samma landsting eller kommun att hantera och utbyta information på lika villkor.
Även för patienter kan den rådande situationen vara svår att överblicka. Vid utredningens kontakter med patientorganisationer har exempelvis framkommit att man inte alltid har kännedom om vårdgivaren drivs av landstinget eller någon privat aktör. Än mindre synes patienter veta att tillgången till rätt information i en konkret vårdsituation bl.a. är beroende av vem som driver den offentligfinansierade verksamheten. Sammantaget kan det således bli svårt för patienten att överblicka att hennes val av vårdgivare kan få olika konsekvenser avseende tillgången på vårddokumentation. En annan
SOU 2014:23 En informationshantering med patienten i centrum
297
fråga är naturligtvis om detta är något som patienter i allmänhet ska behöva ta i övervägande, eller om patienter generellt ska kunna förutsätta att de offentligfinansierade verksamheterna har samma legala möjligheter att hantera uppgifter på ett sätt som bidrar till god och säker vård.
Vi bedömer att patienter har ett grundläggande intresse av att den vårdgivare patienten möter har tillgång till all aktuell och relevant information som behövs för att ge god och säker vård. Oavsett om patienten har varit aktiv och gjort ett informerat val av vårdgivare eller om patienten gjort ett mer passivt val har alla patienter, enligt vår bedömning, rätt att förutsätta att rätt information finns på rätt plats i rätt tid oavsett vilken offentligfinansierad vårdgivare patienten möter och hur samarbetet med andra vårdgivare ser ut.
Reflektioner kring gällande rätt och bakgrunden till regelverket
Den ökade förekomsten av privat drivna verksamheter inom ett landsting eller en kommun innebär att sekretessgränser har kommit att uppstå mellan verksamheter som tidigare inte haft gränser mellan sig. Offentlighets- och sekretesslagstiftningen medför exempelvis att sekretess råder mellan det landstingsdrivna sjukhuset och en vårdcentral som landstinget finansierar, men som drivs av en privat aktör. Dessutom innebär regleringen i patientdatalagen att informationsutbytet i förhållande till en privat vårdgivare måste ske enligt ett delvis annat regelverk än vad som gäller i förhållande till verksamheter som landstinget själv driver.
Enligt patientdatalagen får inte en vårdgivare lämna ut personuppgifter genom direktåtkomst i annan utsträckning än vad som följer av lag eller förordning. Ett tillåtet sätt att utbyta patientuppgifter är att göra det med hjälp av reglerna om sammanhållen journalföring. Dessa regler gör det möjligt för olika former av vårdgivare i hela landet att under vissa förutsättningar utbyta uppgifter.
En annan tillåten form av direktåtkomst är den som i dag reglerar utbytet av patientuppgifter inom ett landsting eller en kommun. Med stöd av dessa bestämmelser och bestämmelserna om lättnad i sekretessen kan landstinget eller kommunen utbyta patientuppgifter mellan olika myndigheter i samma landsting eller i samma kommun. Denna direktåtkomst är en förutsättning för att anställda vid andra myndigheter inom t.ex. ett landsting i praktiken
En informationshantering med patienten i centrum SOU 2014:23
298
ska kunna beredas tillgång till uppgifterna genom sådan intern elektronisk åtkomst som regleras i patientdatalagen.3
Regeringen anförde i förarbetena att denna direktåtkomst var nödvändig för att patientdatalagen inte skulle ställa upp nya hinder för informationsutbyte inom sådana landsting som valt att dela upp hälso- och sjukvårdsverksamheten mellan olika nämnder. Regeringen problematiserade detta ytterligare och anförde att det skulle innebära tillämpningsproblem om uppgiftsutbytet mellan olika myndigheter bara kunde ske med stöd av bestämmelserna om sammanhållen journalföring. Det skulle t.ex. innebära problem när ett landsting, som satsat på att införa ett elektroniskt journalsystem under en nämnd, av organisatoriska eller politiska skäl senare väljer att dela upp verksamheten i flera nämnder. Regeringen framför en farhåga att sådana villkor för informationshanteringen skulle låsa fast nämndstrukturen i landsting och kommuner på ett olyckligt sätt. Förslaget om direktåtkomst mellan myndigheter inom ett landsting eller inom en kommun motiverades därför med att det inte ska vara någon väsentlig skillnad i patientdatahanteringen om ett landsting eller en kommun väljer att bedriva hälso- och sjukvård genom en eller flera myndigheter.4
I praktiken har vi egentligen i dag hamnat precis i den situation som regeringen ville undvika. Skillnaden är att landsting och kommuner inte har delat upp hälso- och sjukvårdsverksamheten i olika nämnder, som regeringen tog höjd för, utan i stället fördelat driften av den offentligfinansierade verksamheten på ett stort antal privata och offentliga vårdgivare. Det samarbete som antogs behöva ske mellan nämnder har nu i stället kommit att behöva ske mellan ett stort antal privata och offentliga vårdgivare inom samma landsting eller samma kommun. Mellan dessa uppställs dock legala gränser som påverkar förutsättningarna för samverkan och informationsutbyte.
Även om regeringen ville möjliggöra ett ändamålsenligt informationsutbyte mellan olika nämnder i samma landsting eller samma kommun medger dagens regler emellertid inte direktåtkomst mellan de myndighetsdrivna verksamheterna som drivs i förvaltningsform och de som drivs i bolagsform.5Denna direktåtkomst är således endast tillåten mellan myndigheter. Det är med dagens regler exempelvis inte tillåtet med direktåtkomst mellan
3Prop. 2007/08:126 s. 76. 4 Prop. 2007/08 :126 s. 171 ff. 5Prop. 2007/08:126 s. 172.
SOU 2014:23 En informationshantering med patienten i centrum
299
Karolinska Universitetssjukhuset och Danderyds sjukhus annat än med stöd av reglerna om sammanhållen journalföring. Anledningen är att Danderyds sjukhus drivs i bolagsform av Stockholms läns landsting medan Karolinska Universitetssjukhuset drivs direkt av landstinget. Däremot är sådan direktåtkomst tillåten mellan Karolinska Universitetssjukhuset och andra verksamheter som drivs av landstinget, exempelvis alla vårdcentralet m.m. som drivs av landstinget. Motsvarande exempel finns även i många andra landsting.
Det kan konstateras att driftsformerna i kommunerna och landstingen har fortsatt att utvecklas. Det är inte bara nämndorganisationen som kan variera mellan olika kommuner och landsting utan också i vilken omfattning privata utförare anlitas. Totalt sett har antalet privata utförare ökat mycket de senaste åren. Det innebär att patienten ofta träffar flera olika vårdgivare när hon eller han genomgår en behandling för en sjukdom eller skada. Det kan också uttryckas som att det är flera olika vårdgivare med flera olika driftsformer som deltar i samma vårdprocess. För patienten framstår det ofta som om vården ges av samma vårdgivare, t.ex. kan de olika vårdgivarna till och med finnas i samma byggnad. Det finns därför skäl att underlätta informationsutbytet mellan de vårdgivare som är verksamma i samma landsting eller samma kommun. Det är en grundläggande förutsättning för en informationshantering som bidrar till bättre resultat för alla patienter, oavsett var patienterna bor och hur hälso- och sjukvården i det länet eller den kommunen är organiserad.
Förbättrade möjligheter till direkåtkomst för vårdgivare inom samma huvudmans ansvarsområde
Utredningen anser att inom det område som patienten oftast söker vård – inom det egna landstinget eller inom den egna kommunen – ska informationen kunna följa patienten på ett enkelt och säkert sätt samt på ett sätt som är till nytta för patienten.
Vi anser vidare att reglerna i patientdatalagen inte ska styra vilka etableringsformer som är mest ändamålsenliga i en kommun eller i ett landsting. Det ska vara möjligt att organisera vården på olika sätt och ändå ha tillgång till rätt information i den individinriktade patientvården. Samma skäl som låg bakom slopandet av sekretessen mellan myndigheter inom ett och samma landsting samt tillåtandet
En informationshantering med patienten i centrum SOU 2014:23
300
av direktåtkomst mellan dessa kan i dag åberopas i relation till de privata vårdgivarna.
Mot bakgrund av vad som redovisats i det föregående föreslår utredningen, något förenklat, att den nu gällande möjligheten till direktåtkomst mellan olika myndigheter hos en huvudman i praktiken utvidgas till att omfatta all offentligfinansierad hälso- och sjukvård som landstinget eller kommunen ansvarar för.
Utredningen föreslår att en vårdgivare får möjlighet att genom direktåtkomst lämna ut uppgifter som dokumenterats för ändamålet vårddokumentation till en annan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. Det gör det exempelvis möjligt för de vårdgivare som är verksamma i byggnaderna som utgör Danderyds sjukhus i Stockholm att ha direktåtkomst till varandras vårddokumentation när det behövs för vården av patienten eller när det behövs för att kvalitetssäkra verksamheten och patienternas processer. Förslaget gör det möjligt för exempelvis Capio Simrishamns sjukhus att utbyta patientuppgifter med Skånes universitetssjukhus på i praktiken motsvarande sätt som är möjligt för det regiondrivna Helsingborgs lasarett att göra. För patienter på Aleris Specialistvård vid Bollnäs sjukhus kan information följa med i kontakterna med de landstingsdrivna verksamheterna på i stort samma sätt som om verksamheterna vore integrerade. I den kommunala hälso- och sjukvården kommer exempelvis två vårdgivare som står för hälso- och sjukvårdsinsatserna på samma särskilda boende men vid olika tidpunkter på dygnet att få ännu bättre förutsättningar att hantera information om de boende. Det finns naturligtvis hur många exempel som helst, men här är endast platsen att lämna några för att beskriva vad som blir möjligt.
Detta förslag innebär att de organisatoriska gränserna mellan vårdgivare till viss del suddas ut genom att åtkomst till uppgifter om en patient får användas på i princip samma villkor inom en vårdgivares verksamhet som mellan de vårdgivare som finansieras av samma huvudman. Det avgörande blir inte längre var eller i vilken organisation uppgifterna är dokumenterade, utan i vilken situation uppgifterna behövs. Reglerna om informationshantering kan därmed bidra till jämlik vård oberoende av hur olika huvudmän har valt att organisera hälso- och sjukvården inom sitt ansvarsområde. Lagstiftningen kommer därmed inte att göra att patienter som väljer en viss vårdgivare riskerar att få en vård med sämre säkerhet eller lägre kvalitet på grund av att uppgifter som doku-
SOU 2014:23 En informationshantering med patienten i centrum
301
menterats hos en annan vårdgivare i samma landsting eller kommun inte är åtkomlig för behörig personal när det behövs.
Den möjlighet till direktåtkomst som föreslås gäller emellertid endast för den hälso- och sjukvårdsverksamhet som vårdgivarna bedriver inom samma huvudmans ansvarsområde. Det innebär exempelvis att det endast är den hälso- och sjukvårdsverksamhet som t.ex. Capio bedriver med finansiering från Stockholms läns landsting som får utbyta uppgifter genom direktåtkomst med andra offentliga eller privata vårdgivare som också driver verksamhet som finansieras av det landstinget. Genom denna begränsning anpassas möjligheterna till direktåtkomst till de verksamheter som landstinget har huvudmannaansvaret för. Det handlar alltså om informationsutbytet inom landstinget eller inom kommunen.
Vidare anser vi att det med hänsyn till behovet av skydd för den personliga integriteten inte får vara fråga om en okontrollerad spridning av uppgifter inom en huvudmans ansvarsområde. Det ska vara tillåtet att ta del av uppgifter när behov föreligger, men naturligtvis inte annars. I linje med de grundläggande kraven på hälso- och sjukvården att verksamheten ska bygga på respekt för patientens självbestämmande och integritet är det ytterst patienten som bestämmer vilken eller vilka vårdgivare som i enskilda situationer får ta del av patientens uppgifter. Att uppgifter får lämnas ut genom direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde innebär således ingen ökad rätt för vårdgivarna att faktiskt ta del av uppgifterna. Direktåtkomsten innebär i sig endast att uppgifterna får vara tekniskt åtkomliga så att de är möjliga att ta del av när det i enskilda situationer behövs.
För att en vårdgivare ska få använda denna möjlighet till direktåtkomst, dvs. ta del av uppgifter som gjorts tillgängliga av andra vårdgivare, ska uppgifterna röra en patient som vårdgivaren har eller har haft en patientrelation med. Det är således patienten som genom sitt val av vårdgivare och samtycke till vård avgör vilken vårdgivare som får ta del av uppgifter. Uppgifterna ska naturligtvis även behövas för något av de i lagen tillåtna ändamålen för personuppgiftsbehandling. Det innebär att direktåtkomsten bara får användas för att ta del av uppgifter avseende enskilda som är eller har varit patienter i verksamheten och under förutsättning att uppgifterna behövs för t.ex. vård och behandling eller kvalitetssäkring. Precis som i dag är det med detta förslag otillåtet för en vårdgivare att ta del av uppgifter om patienter som inte omfattas av vårdgivarens verksamhet.
En informationshantering med patienten i centrum SOU 2014:23
302
Utredningens förslag innebär visserligen en viss inskränkning i patientens integritetsskydd jämfört med vad som gäller i dag om dessa vårdgivare i stället tillämpar reglerna om sammanhållen journalföring. En skillnad är att uppgifter rörande en patient som motsätter sig medverkan i sammanhållen journalföring, dvs. lägger en spärr, inte ens är tekniskt åtkomliga för andra vårdgivare. Det är helt enkelt inte möjligt att ta del av uppgifterna eller att forcera spärren ens i nödsituationer. En spärr, enligt vårt förslag, mellan vårdgivare inom en huvudmans ansvarsområde innebär visserligen att den elektroniska åtkomsten begränsas, men uppgifterna kan vara tekniska åtkomliga och möjliga att ta del av exempelvis med patientens samtycke eller i en nödsituation. Se mer om patientens spärrmöjligheter i det följande.
Vidare innebär vårt förslag att vårdgivare, i jämförelse med vad som gäller vid sammanhållen journalföring, får möjlighet att behandla personuppgifter för fler ändamål, t.ex. kvalitetssäkring och verksamhetsuppföljning. Samtidigt gäller detta dock bara de patienter som ingår i vårdgivarens verksamhet, dvs. de patienter som vårdgivaren har eller har haft en patientrelation med. Förslaget innebär således inte att gränserna mellan vårdgivare helt slopas, utan att gränserna öppnas endast när det är påkallat med hänsyn till patientens väg genom hälso- och sjukvården.
Vårt förslag ska även ses i ljuset av de övriga förslag, bland annat om integritetsskyddande åtgärder, som utredningen lämnar. Det handlar bland annat om patienternas möjlighet att begränsa den elektroniska åtkomsten och direktåtkomsten (dvs. spärra) inom och mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. Vi redogör även i avsnitt 10 för ett förslag som innebär uttryckliga krav på vårdgivare som utbyter uppgifter genom direktåtkomst att göra en risk- och sårbarhetsanalys och komma överens med varandra om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Bestämmelsen är tillämplig på den direktåtkomst som här föreslås och innebär att vårdgivare måste vidta åtgärder för att säkerställa att de övriga inblandade vårdgivarna har förutsättningar att leva upp till de integritetsskyddskrav som gäller vid behandling av så känsliga personuppgifter som det är fråga om i hälso- och sjukvården. Vi har i tidigare avsnitt även redogjort för vårt förslag om att tydliggöra vårdgivarens ansvar för informationshanteringen, bland annat genom att ställa krav på vårdgivaren att se till att informationssystemen utformas på ett sätt som tillgodoser patienternas behov
SOU 2014:23 En informationshantering med patienten i centrum
303
av integritetsskydd. För att stärka och vid behov kunna åstadkomma en mer effektiv tillsyn föreslår vi längre fram i detta betänkande även att Datainspektionen ska få möjligheter att förena beslut om förelägganden eller förbud med vite. Vidare redogörs nedan för utredningens förslag om absolut sekretess för uppgifter som är tillgängliga genom direktåtkomst mellan vårdgivare.
Utredningens förslag innebär inte att fler vårdgivare får utbyta uppgifter genom direktåtkomst än vad som är fallet i dag. Förslaget innebär i själva verket att de vårdgivare, inom ett landsting eller en kommun, som i dag utbyter uppgifter genom direktåtkomst enligt reglerna om sammanhållen journalföring nu kan göra det enligt utredningens förslag i stället.
Vidare har vårt förslag i dagsläget något olika relevans för olika kommuner och landsting, beroende på hur de organisatoriska förutsättningarna ser ut i de enskilda fallen. De kommuner och landsting som själva utför det mesta av hälso- och sjukvården har, som vi har redovisat, redan genom den befintliga lagstiftningen motsvarande möjligheter för personuppgiftsbehandlingen som vårt förslag syftar till att möjliggöra för alla kommuner och landsting. I landsting med få privata vårdgivare kan således sjukhusen, vårdcentralerna, specialistmottagningarna m.m. redan i dag utbyta uppgifter utan att tillämpa regelverket om sammanhållen journalföring.
Därutöver finns också skäl att förtydliga att vårt förslag inte innebär någon möjlighet till direktåtkomst i förhållande till verksamheter som inte bedriver hälso- och sjukvård som huvudmannen ansvarar för. Det utvidgade området för direktåtkomst motsvarar således endast de verksamheter som landstinget eller kommunen i egenskap av huvudman har ansvar för. Vårt förslag ger därmed inte en kommun eller ett landsting en större möjlighet att utbyta uppgifter än vad som redan i dag gäller om landstinget och kommunen av någon anledning skulle välja att utföra all hälso- och sjukvård helt i egen regi.
Sammantaget bedömer utredningen att den inskränkning i patienternas integritetsskydd som förslaget innebär uppvägs av den nytta i form av god och säker vård som förslaget syftar till att åstadkomma. Utredningen bedömer att förslaget är en nödvändig förutsättning för en jämlik och patientsäker hälso- och sjukvård, där patienter oavsett bostadsort kan känna trygghet i att lagstiftaren inte satt upp särskilda hinder för informationshanteringen enbart på grund av hur patientens landsting eller kommun har valt att organisera den offentligfinansierade verksamheten.
En informationshantering med patienten i centrum SOU 2014:23
304
Konsekvenser för tillämpningsområdet av reglerna om sammanhållen journalföring
Utredningens förslag medför konsekvenser för tillämpningsområdet för sammanhållen journalföring. Vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för behöver således inte tillämpa reglerna om sammanhållen journalföring. Som en konsekvens av detta blir sammanhållen journalföring i stället det informationsutbyte som förekommer mellan vårdgivare som bedriver verksamhet som olika huvudmän ansvarar för eller som en privat vårdgivare utan offentlig finansiering utför. Se vidare om sammanhållen journalföring i avsnitt 14.
Sekretessbrytande bestämmelse
Bestämmelser i registerlagstiftning som tillåter direktåtkomst har emellertid ingen sekretessbrytande verkan i sig. Det innebär att ändringar i offentlighets- och sekretesslagen behövs för att upphäva sekretessen och möjliggöra direktåtkomst mellan de offentliga och de privata vårdgivarna som bedriver hälso- och sjukvård som samma huvudman ansvarar för.
Något generellt upphävande av sekretessgränserna anser vi inte är påkallat, utan sekretessgenombrottet bör begränsas till att gälla under förutsättning att bestämmelserna om direktåtkomst följs. Utredningens förslag till sekretessgenombrott upphäver således inte sekretessgränserna mellan vårdgivare, privata eller offentliga, inom en huvudmans ansvarsområde. Det innebär att det i offentlighets- och sekretesslagens och tryckfrihetsförordningens mening fortfarande är fråga om ett utlämnande när uppgifter utbyts mellan vårdgivarna.
Utredningen föreslår således att hälso- och sjukvårdssekretessen enligt 25 kap. 1 § OSL inte ska hindra att uppgifter lämnas ut till en enskild vårdgivare enligt vad som föreskrivs om direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde i hälso- och sjukvårdsdatalagen. Vid annat utlämnande från vårdgivarna ska de vanliga sekretessbestämmelserna tillämpas. Sedan tidigare finns regler om undantag från sekretess mellan de olika myndigheter som bedriver hälso- och sjukvård inom huvudmannens område.
På grund av de bestämmelser som vi föreslår behövs ingen särskild reglering för att en enskild vårdgivare ska kunna lämna ut
SOU 2014:23 En informationshantering med patienten i centrum
305
uppgifter genom direktåtkomst. Ett sådant utlämnande kan inte anses som obehörigt i den mening som avses i patientsäkerhetslagen (2010:659), förkortad PSL, och innebär därmed inget brott mot tystnadsplikten. Det är därmed samma konstruktion för lättnad i tystnadsplikten som gäller vid sammanhållen journalföring.
Bestämmelse om absolut sekretess
Inom en huvudmans ansvarsområde kan vårdgivaren på grund av vårt förslag få potentiell tillgång till uppgifter som vårdgivaren inte får ta del av om inte förutsättningarna för att använda direktåtkomsten är uppfyllda. För att vårdgivaren inte ska behöva använda direktåtkomsten för att sekretesspröva uppgifter som denne inte har rätt att ta del av behövs en bestämmelse om absolut sekretess.
Vi föreslår därför att absolut sekretess ska gälla hos en myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet för uppgift om enskilds personliga förhållanden om uppgiften har gjorts tillgänglig för myndigheten av en annan sådan myndighet eller av en enskild vårdgivare enligt vad som föreskrivs om direktåtkomst, och om förutsättningar för att myndigheten ska få behandla uppgiften enligt 6 kap. hälso- och sjukvårdsdatalagen inte är uppfyllda.
Om förutsättningarna för vårdgivaren att få behandla uppgifterna är uppfyllda eller om myndigheten tidigare har behandlat uppgiften med stöd av nämnda bestämmelser ska vanlig hälso- och sjukvårdssekretess tillämpas ifall någon begär ut handlingen.
13.4.3 Patientens rätt att spärra information inom och mellan vårdgivare inom huvudmannens ansvarsområde
Vårt förslag: Patienten ska ha rätt att begränsa elektronisk
åtkomst eller direktåtkomst till hans eller hennes vårddokumentation inom och mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. Patienten får spärra åtkomst för de vårdenheter eller vårdgivare som på grund av patientens aktuella behov av vård inte kan antas behöva ha tillgång till dokumentationen. En uppgift om att det finns spärrade uppgifter och vilken vårdgivare som spärrat dem får
En informationshantering med patienten i centrum SOU 2014:23
306
vara tillgänglig för andra vårdenheter eller vårdgivare inom huvudmannens ansvarsområde.
Vårdnadshavare till ett barn får inte begränsa elektronisk åtkomst eller direktåtkomst till uppgifter om barnet.
En patients begäran om spärr ska tillgodoses skyndsamt och föregås av att patienten får information om spärrens omfattning och dess konsekvenser. En spärr får inte läggas eller tas bort utan att patientens identitet har säkerställts. En patient kan när som helst begära att en spärr ska tas bort.
En spärr får tas bort av den som behöver uppgifterna för sitt arbete i hälso- och sjukvården om patienten samtycker till det, eller patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.
Även om patienten har spärrat uppgifterna får den vårdgivare som har dokumenterat uppgifterna behandla dem för ändamål som anges i 2 kap. 5 § första stycket 3–6 och andra stycket samt 2 kap. 6 §.
Inledning
Hälso- och sjukvården ska bedrivas så att den uppfyller kraven på en god vård. Det innebär enligt hälso- och sjukvårdslagen till exempel att den ska bygga på respekt för patientens självbestämmande och integritet. Samma princip uttrycks i patientdatalagens syftesbestämmelse; personuppgiftsbehandlingen ska utformas så att patientens integritet respekteras. Bestämmelserna som gör det möjligt för patienten att motsätta sig (spärra) viss behandling av personuppgifter är ett utflöde av dessa principer.
Om en uppgift spärras enligt det regelverk som gäller i dag får den inte göras elektroniskt åtkomlig för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vård-
givare – så kallade inre spärrar. Det finns även regler som gör det
möjligt för en patient att motsätta sig att uppgifter görs tillgängliga genom sammanhållen journalföring.
Vi har i det föregående redogjort för vårt förslag om förbättrade möjligheter till direktåtkomst mellan offentlig finansierade vårdgivare inom ett landsting eller inom en kommun. Syftet med dessa förslag är att patientens journaldokumentation ska finnas tillgänglig inom hela vårdprocessen – oavsett hur den kommun eller
SOU 2014:23 En informationshantering med patienten i centrum
307
det landsting som patienten befinner sig i har organiserat hälso- och sjukvården, dvs. även om vårdprocessen sträcker sig över flera vårdgivargränser. Detta för att vården ska kunna erbjudas på ett jämlikt sätt över landet och under så säkra former och så hög kvalitet som möjligt.
Patientens rätt att begränsa elektronisk åtkomst (spärr)
Samtidigt innebär vårt förslag att vårdgivare som i dag kan utbyta uppgifter genom direktåtkomst genom att tillämpa reglerna om sammanhållen journalföring, inte ska behöva tillämpa det regelverket. För att patienterna ska känna tillit till vårdgivarnas informationshantering och för att integritetsskyddet ska värnas bör patienterna även med vårt förslag ha en bestämmanderätt över vårdgivarnas elektroniska tillgång till uppgifter. Det ligger även i linje med de grundläggande principerna i hälso- och sjukvårdslagen (1982:763), förkortad HSL, om att verksamheten ska bygga på respekt för patientens självbestämmande och integritet.
Patientens möjlighet att motsätta sig åtkomst till uppgifter inom en vårdgivares verksamhet behöver därmed anpassas till vårt förslag om direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde. Patienten ska ha en rätt att begränsa den elektroniska tillgången till uppgifter inom och mellan de vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. Den rätt som en patient i dag har att begränsa den elektroniska tillgången exempelvis mellan en landstingsdriven vårdcentral och ett landstingsdrivet sjukhus ska patienten även ha mellan en privat driven vårdcentral (med offentlig finansiering) och det landstingsdrivna sjukhuset och vice versa.
Mot den bakgrunden föreslår vi en rätt för patienten att begränsa den elektroniska åtkomsten eller direktåtkomsten till hans eller hennes vårddokumentation inom och mellan vårdgivare som bedriver hälso- och sjukvård inom en huvudmans ansvarsområde. I praktiken innebär förslaget att patienten exempelvis kan spärra uppgifter som dokumenterats av en vårdenhet hos vårdgivare 1 mot andra vårdenheter hos samma vårdgivare samt mot vårdenheter hos andra vårdgivare som finansieras av samma huvudman. Patienten kan dock inte spärra uppgifter mot de vårdenheter som deltar eller kan antas komma att delta i den pågående vården av patienten – oavsett om de vårdenheterna finns hos samma vård-
En informationshantering med patienten i centrum SOU 2014:23
308
givare eller hos andra vårdgivare som finansieras av samma huvudman. Med en sådan lösning säkerställs att de som har ett behov av uppgifter för att ge patienten en god och säker vård har tillgång till dem. Samtidigt kan en spärr läggas mot vårdenheter och vårdgivare som inte har ett sådant behov och inte deltar i vården av patienten.
En patient kan när som helst begära att uppgifterna spärras, alltså även efter det att uppgifterna har gjorts tillgängliga utanför vårdenheten. Uppgifterna får då inte längre göras tillgängliga för andra vårdenheter än de som behöver har tillgång till uppgifterna i samband med patientens aktuella behov av vård. Patienten kan också när som helst begära att spärren tas bort. Hur det ska närmare ska göras kan inte närmare anges, men patienten bör vända sig till den vårdgivare som har dokumenterat uppgiften och begära att spärren tas bort. Beroende på hur samarbetet mellan vårdgivare ser ut kan det även tänkas att vårdgivarna utformar en gemensam administration för att häva spärrar på begäran av patienter. För den patient som har spärrat information hos flera vårdenheter eller vårdgivare kan en sådan organisatorisk lösning underlätta patientens möjligheter att rent praktiskt tillvarata sin möjlighet att begära att spärrar tas bort.
Med en spärr i detta sammanhang avses samma sak som i dag är fallet för spärrar inom en vårdgivares verksamhet. Det innebär att det i praktiken är den elektroniska tillgången till uppgifter som spärras. Till skillnad mot när patienter motsätter sig medverkan i sammanhållen journalföring, vilket innebär att uppgifterna inte på något sätt får vara tekniskt åtkomliga för andra vårdgivare, innebär denna spärr att uppgifterna kan nås om det exempelvis uppstår en nödsituation eller att patienten själv samtycker till att spärren hävs. En vårdgivare får dock inte lagligen ta del av en spärrad uppgift hos en annan vårdgivare under några andra förutsättningar.
För att ytterligare tillgodose patientens behov av integritetsskydd har utredningen i föregående avsnitt även lämnat förslag till bestämmelse om absolut sekretess i offentlighets- och sekretesslagen, vilken förhindrar en offentlig vårdgivare att ta del av uppgifter hos andra vårdgivare om uppgiften inte rör en patient som vårdgivaren har eller har haft en patientrelation med den enskilde patienten. Vidare ska utredningens förslag om direktåtkomst mellan vårdgivare även läsas i ljuset av de uttryckliga krav utredningen föreslår på vårdgivare att göra risk- och sårbarhetsanalyser och komma överens om hur informationssäkerheten och skyddet
SOU 2014:23 En informationshantering med patienten i centrum
309
för personuppgifterna ska tillgodoses vid utbyte genom direktåtkomst.
Begreppet vårdenhet definieras inte i patientdatalagen och inte heller föreslår utredningen att det ska tas in en definition i hälso- och sjukvårdsdatalagen. Det är därmed en organisatorisk enhet som vårdgivaren själv har att fastställa utifrån de förutsättningar som gäller i verksamheten. Hur stora olika vårdenheter är och vad som karaktäriserar dem kan skilja sig åt mellan olika vårdgivare. En vanligt förekommande definition i dag är att vårdenhet avser ”den organisatoriska enhet som leds av en verksamhetschef eller motsvarande”. Det innebär exempelvis att en vårdcentral eller en mindre privat vårdgivare ofta utgörs av en enda vårdenhet medan ett sjukhus eller en privat vårdgivare som har verksamhet i flera olika delar av landet har många olika vårdenheter. Inom den kommunala hälso- och sjukvården finns ofta flertalet vårdenheter, bland annat beroende på kommunens storlek och de olika verksamheternas karaktär.
De organisatoriska gränserna och indelningen i vårdenheter bör självklart dras på ett praktiskt och rimligt sätt som gör att verksamheten kan bedrivas på ett ändamålsenligt sätt och inte tyngas med onödig administration. Även inom en vårdenhet gäller naturligtvis att endast den yrkesutövare som behöver uppgifterna för att kunna utföra sitt arbete inom hälso- och sjukvården, får ta del av uppgifterna.
Begreppet vårdprocess bör ersättas
I nuvarande bestämmelser i 4 kap. 4 § PDL används ordet vårdprocess för att förhindra att patienten spärrar information mellan vårdenheter inom en vårdprocess. Patienten får därmed inte spärra uppgifter mellan vårdenheter som ingår i samma vårdprocess. I förarbetena uttalas att avgränsningen av en vårdprocess är funktionell och inte organisatorisk såsom beträffande begreppet vårdenhet. En vårdprocess kan med andra ord inbegripa avgränsbara aktiviteter eller åtgärder hos olika vårdenheter som har ett funktionellt samband.6 Ändamålet bakom reglerna är således att se till att de som har behov av patientens uppgifter kan ha tillgång till dem.
En informationshantering med patienten i centrum SOU 2014:23
310
Vi har emellertid i flera sammanhang upptäckt att begreppet vårdprocess inte är lämpligt att använda i en lagstiftning om informationshantering. Det kan exempelvis inte uteslutas att en tolkning enligt den nuvarande paragrafens ordalydelse kan leda till att uppgifter kan behöva spärras mot de enheter som trots allt deltar i patientens vård och av det skälet har behov av uppgifterna.
Problemet är, enligt vår bedömning, mångfacetterat. En utmaning ligger i att över huvud taget kunna fastställa alla vårdprocesser i verksamheten. Inte minst för de patienter som befinner sig i en diagnosticerande fas torde det vara svårt, eller ibland till och med omöjligt, att i förväg avgränsa och fastställa vårdprocessen. Det har även konstaterats att en multisjuk äldre persons väg genom vården inte följer samma enkla linje med en början och ett slut som en patient med endast en diagnos. En annan orsak hänger ihop med att begreppet vårdprocess i hälso- och sjukvården normalt sett definieras primärt med hänsyn till verksamhetens process. Det innebär exempelvis att en patient kan befinna sig i ett flertal olika vårdprocesser samtidigt. Multisjuka äldre har t.ex. flera diagnoser, symptom och funktionsnedsättningar. Personen kan befinna sig i flera vårdprocesser samtidigt och en vårdprocess kan förhindra eller stanna upp en eller fler andra pågående vårdprocesser.7
Motsvarade exempel finns även bland personer med kroniska sjukdomar, vilket förekommer hos nästan halva befolkningen. Myndigheten för vårdanalys har i en rapport nyligen konstaterat att det förekommer kronisk sjukdom hos 44 procent av befolkningen och att var femte person under 20 år har fått minst en kronisk diagnos de senaste tre åren.8 I rapporten anges även att en fjärdedel av befolkningen i de landsting som studerats har två eller fler kroniska diagnoser och att kontakterna med primärvård, specialistvård och kommunal hälso- och sjukvård är många.
Även den ökade specialiseringen av hälso- och sjukvården kan ha påverkan på vad som anses ingå i en vårdprocess och vad som anses ingå i en annan. Inte sällan handlar det dock om att patienten har ett eller flera sammanhängande hälsoproblem som tillsammans hanteras i ett antal olika vårdprocesser. För patienter som, t.ex. inom ramen för samma hälsoärende, befinner sig i flera vårdprocesser kan en tillämpning av nuvarande bestämmelse således
7 Socialstyrelsen, Väntetider och patientens väg genom vården – exemplet multisjuka äldre (2013). 8 Myndigheten för vårdanalys, VIP i vården? – Om utmaningar i vården av personer med kronisk sjukdom (2014:2).
SOU 2014:23 En informationshantering med patienten i centrum
311
leda till att uppgifter kan spärras mellan dessa sammanhängande vårdprocesser.
Eftersom det, enligt vår bedömning, inte har varit syftet med bestämmelserna anser vi att begreppet vårdprocess bör utgå och ersättas med en beskrivning av vad det egentligen handlar om. Därför har vi tagit bort ordet vårdprocess och i stället föreslagit att en spärr inte ska kunna läggas mot de vårdenheter som kan antas behöva ha tillgång till uppgifterna på grund av patientens aktuella behov av vård. Vi bedömer att denna bestämmelse kan vara lättare att tillämpa och uppmana till ett mer aktivt förhållningssätt i förhållande till de patienter som uttrycker en vilja att spärra. Sett mot bakgrund av ändamålet bakom den nuvarande bestämmelsen medför vårt förslag i just denna del sannolikt ingenting nytt i sak. Vi bedömer dock att det blir en mer pedagogisk utformning och en tydligare signal om att spärrar inte kan läggas mot de enheter som har ett behov av uppgifter för att ge patienten en god och säker vård, men att de däremot kan läggas mot vårdenheter och vårdgivare som inte har ett sådant behov.
Vi bedömer även att förslaget om att ersätta ordet vårdprocess ger bättre uttryck för behovet av skydd för den personliga integriteten samt att det blir tydligare för patienten vilka spärrar som kan tillhandahållas och vilka som inte kan göra det. Förslaget gör även att vårdgivare behöver ta tydligare ställning till frågan i sak, dvs. till vilka vårdenheter som på grund av patientens behov av vård inte kan antas behöva ha tillgång till de aktuella uppgifterna.
I stället för att använda ett begrepp som vårdprocess, som kan innebära en rad olika saker och i sig inte ger patienten någon information om vare sig vilka spärrar som kan tillhandahållas eller vilka skäl som ligger bakom bestämmelsen, tydliggörs genom förslaget att det handlar om spärrar mot sådana verksamheter som inte har något med patientens vård att göra. Vi tror att det blir lättare för en patient att förstå.
Därutöver medför vårt förslag att det blir möjligt för patienten och tillsynsmyndigheten att göra en bedömning av om de spärrar som vårdgivare erbjuder patienter är ändamålsenliga i förhållande till det som uttrycks i paragrafen. Hur en vårdgivare i dag definierar en vårdprocess är upp till vårdgivaren att avgöra och torde inte vara helt enkelt att bedöma ur ett integritetsskyddsperspektiv. Möjligheterna att göra en sådan bedömning torde dock öka eftersom det med vårt förslag handlar om att analysera vårdgivares ställnings-
En informationshantering med patienten i centrum SOU 2014:23
312
taganden till vilka enheter som, med hänsyn till patientens hälsotillstånd, inte kan antas ha behov av uppgifter om patienten.
Uppgift om att det finns spärrade uppgifter får vara tillgänglig
Av nuvarande bestämmelser i 4 kap. 4 § PDL följer att uppgift om att det finns spärrade uppgifter om en patient, får vara tillgänglig för andra vårdenheter och vårdprocesser. Syftet med detta är att kännedomen om att det finns spärrade uppgifter kan initiera en önskvärd dialog mellan en patient och hälso- och sjukvårdspersonal i en enskild vårdsituation.9
Utredningen föreslår att bestämmelsen förs över till hälso- och sjukvårdsdatalagen med en anpassning till utredningens förslag i övrigt. Det ska således uttryckas att en uppgift om att det finns spärrade uppgifter och uppgift om vilken vårdgivare som har spärrat dem får vara tillgänglig för andra vårdenheter eller vårdgivare inom huvudmannens anvarsområde.
Förutom att bestämmelsen, som anförs ovan, kan ge ett underlag för dialog mellan patienten och hälso- och sjukvårdspersonalen möjliggör den att spärrar kan hävas utan att uppgifter som inte är relevanta i sammanhanget blir exponerade. Hälso- och sjukvårdspersonalen kan då med patienten samtycke och med ledning av vilken vårdgivare som har spärrat uppgifter se till att endast ta del av dessa uppgifter och inga andra som patienten eventuellt kan ha spärrat. Se vidare i det följande om hur spärrar hävs.
Uppgifter om ordinerade läkemedel och varningsinformation undantas från spärrmöjligheter
Enligt utredningens förslag får patienten, med två undantag, spärra alla uppgifter som har dokumenterats för ändamålet vårddokumentation. Undantagen består av uppgifter om ordinerade läkemedel och s.k. varningsinformation. Utredningen redogör i avsnitt 15 och 16 för våra överväganden och förslag rörande undantag från spärrmöjligheter för uppgifter om ordinerade läkemedel och uppgifter om varningsinformation som kan medföra allvarlig risk för patientens liv eller hälsa.
SOU 2014:23 En informationshantering med patienten i centrum
313
Sammantaget innebär utredningens förslag i de delarna att patienten inte får begränsa den elektroniska tillgången till uppgifter om ordinerade läkemedel och varningsinformation inom och mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för.
Information till patienten och säkerställande av identiteten m.m.
Om en patient begär att få spärra uppgifter mot andra enheter inom huvudmannens ansvarsområde bör vårdgivaren ha ett ansvar för att informera patienten om vad en sådan spärr kommer att omfatta och vilka konsekvenser spärren kan få för patienten. Med hänsyn till patientens behov av information för att kunna fatta beslut i frågor om vårdenheters och vårdgivares tillgång till uppgifter föreslår vi att kravet på information uttryckligen ska anges i hälso- och sjukvårdsdatalagen. Att patienten får information om saken gör också att patienten får en ökad kännedom om effekterna av en spärr. Den som begär en spärr bör exempelvis få information om vilka vårdenheter eller vårdgivare som en spärr inte gäller mot, om hur spärren kan hävas och om vårdgivarens möjlighet att behandla uppgifterna för andra ändamål än patientens vård och behandling.
Vidare ska anges att vårdgivare ska se till att skyndsamt tillgodose patientens önskemål om spärr. Det innebär att vårdgivaren, efter att ha informerat patienten och säkerställt patientens identitet enligt nedan, ska se till att tillgodose patientens begäran. Vårdgivare behöver därför ha såväl organisatoriska som tekniska förutsättningar för att administrera och effektuera en patients begäran om spärr.
Vårdgivaren har förstås också ett ansvar för att kontrollera att patienten är den han eller hon utger sig för att vara och att önskemålen om spärr avser de egna uppgifterna. I syfte att reducera risker för att det blir fel, t.ex. att fel patients uppgifter spärras eller att den som utger sig för att vara patienten helt enkelt är någon annan, föreslår vi att det införs ett uttryckligt förbud för vårdgivaren att lägga eller ta bort en spärr utan att patientens identitet har säkerställts.
När det gäller tillvägagångssättet för att säkerställa en patients identitet så anser vi inte att det i lagen ska uppställas några särskilda krav. I hälso- och sjukvården finns redan i dag i ett flertal samman-
En informationshantering med patienten i centrum SOU 2014:23
314
hang krav på att säkerställa identiteten, exempelvis genom legitimering fysiskt eller elektroniskt genom e-legitimation. Det förekommer naturligtvis även att personal i ett fysiskt möte med patienter redan har en sådan kännedom om patientens identitet att en närmare identitetskontroll inte är befogad. Vi menar att de sätt på vilka hälso- och sjukvården i dag säkerställer patienternas identiteter även kan användas i det här aktuella sammanhanget om att lägga eller häva spärrar.
Som exempel på tillvägagångsätt som kan vara mindre lämpliga kan e-post och telefon nämnas. Om en sådan kommunikation inte görs på ett sådant sätt att patientens identitet är säkerställd är det i regel svårt, för att inte säga omöjligt, att egentligen veta vem som döljer sig bakom en e-postadress eller en telefonröst. Av den anledningen anser vi att sådana metoder bör användas med försiktighet.
I sammanhanget kan noteras att vi längre fram i betänkandet lägger motsvarande förslag vid sådana spärrar som kan aktualiseras för informationsutbyte mellan vårdgivare i system för sammanhållen journalföring.
Förbud för vårdnadshavare att spärra uppgifter om barn
Enligt nuvarande regelverk får vårdnadshavare till ett barn inte spärra uppgifter om barnet. Bestämmelsen tillkom på regeringens initiativ efter att flera organisationer i samband med remissyttranden på patientdatautredningens betänkande pekat på behovet av ett förbud i denna del.10
Utredningen har funnit övervägande skäl som talar för att förbudet att spärra barns uppgifter bör föras över till hälso- och sjukvårdsdatalagen och där anpassas till de nya möjligheterna med direktåtkomst inom en huvudmans ansvarsområde. Även om det rent faktiskt innebär ett väsentligt sämre integritetsskydd för barn i förhållande till vad som är fallet för andra patientgrupper, gör vi liksom regeringen bedömningen att skyddet för barnets liv och hälsa i detta fall väger tyngre.
Med barn avses den som är under 18 år. Avsikten med bestämmelsen är att öka vårdpersonalens möjligheter att upptäcka barn som far illa och att bedöma om anmälan ska göras till socialnämnden för att barnet ska få nödvändigt skydd, 14 kap. 1 § socialtjänstlagen (2001:453). Detta skäl har ansetts väga tyngre än den
SOU 2014:23 En informationshantering med patienten i centrum
315
integritetskränkning som kan uppstå till följd av att vårdnadshavare inte kan spärra sitt barns uppgifter.
I takt med barnets stigande ålder och utveckling får barnet självt spärra uppgifterna. Beträffande barnets mognadsgrad att själv få avgöra om uppgifter ska spärras föreslås inte några särskilda bestämmelser. Barn och tonåringar bör hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården. I takt med den underåriges stigande ålder och utveckling ska allt större hänsyn tas till barnets önskemål och vilja, jämför 6 kap. 11 § föräldrabalken.
Spärrade uppgifter får användas för andra ändamål än patientens vård
Enligt de nuvarande bestämmelserna i patientdatalagen gäller en spärr inom en vårdgivares verksamhet endast om uppgifterna ska användas för ändamålet vård och behandling av patienten. Det innebär att en patient exempelvis inte kan hindra vårdgivaren från att använda uppgifter om honom eller henne vid t.ex. uppföljning och kvalitetssäkring av den egna verksamheten.11 Uppgifterna är därmed tillgängliga om vårdgivaren behöver dem exempelvis för administration, planering, kvalitetssäkring, statistikframställning m.m.
Utredningen gör bedömningen att denna princip ska överföras från patientdatalagen. Även om patienten har spärrat uppgifter får därmed den vårdgivare som har dokumenterat uppgifterna behandla dem för sådana ändamål som inte rör patientens vård och behandling.
Hur spärrade uppgifter får göras åtkomliga igen
Av bestämmelserna i 4 kap. 5 § PDL följer att en spärr får hävas av en behörig befattningshavare hos vårdgivaren om patienten samtycker till det eller patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver. Av paragrafens andra stycke följer dessutom att uppgift om vilka vårdenheter eller vårdprocesser som spärrat uppgifterna först ska göras tillgängliga och därefter får bara
En informationshantering med patienten i centrum SOU 2014:23
316
sådana uppgifter som kan antas ha betydelse för vården av patienten göras tillgängliga.
Vi föreslår att bestämmelsen i huvudsak ska föras över till hälso- och sjukvårdsdatalagen. I lagen ska anges att en spärr får tas bort av den som behöver uppgifterna för sitt arbete i hälso- och sjukvården om patienten samtycker till det eller patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.
Utredningens förslag innebär bland annat en språklig förändring jämfört med nuvarande bestämmelse i patientdatalagen. Vi anser att begreppet behörig befattningshavare bör ersättas med den som
behöver uppgifterna för sitt arbete i hälso- och sjukvården. I för-
arbetena lämnas ingen ytterligare vägledning kring vad som avses med behörig befattningshavare, utan det bestäms av vårdgivarna själva.12 Förutom att behörig befattningshavare ger ett omodernt och opersonligt intryck, ger utredningens förslag en tydligare bild av vad det egentligen handlar om. Både för patienter och för personal tydliggörs därmed att det är den som behöver uppgifterna för sitt arbete inom hälso- och sjukvården som med patientens samtycke eller i en sådan nödsituation som beskrivs, får ta del av uppgifter som är spärrade.
Den nuvarande bestämmelsens andra stycke om tågordningen för åtkomst i de situationer där patienten inte kan samtycka behöver, enligt vår bedömning, inte föras över till hälso- och sjukvårdsdatalagen. Vi har i det föregående redogjort för att uppgift om att det finns spärrade uppgifter samt uppgift om vilken vårdgivare som har spärrat uppgifterna får vara tillgängliga. Det är således i första hand med hjälp av dessa uppgifter som hälso- och sjukvårdspersonalen, precis som i dag, har att avgöra vilka uppgifter som kan antas ha betydelse för den vård som patienten oundgängligen behöver. Någon särskild bestämmelse härom bedöms därför inte behövas i sammanhanget.
SOU 2014:23 En informationshantering med patienten i centrum
317
13.4.4 Ökade möjligheter för kommuner och landsting att fullgöra sitt ansvar för hälso- och sjukvården
Vårt förslag: En tystnadspliktsbrytande uppgiftsskyldighet ska
införas i patientsäkerhetslagen.
Uppgiftsskyldigheten ska gälla privata vårdgivare i förhållande till det landsting eller den kommun (huvudman) som enligt hälso- och sjukvårdslagen har ansvar för att erbjuda den aktuella hälso- och sjukvården. En sådan privat vårdgivare ska lämna ut de personuppgifter som huvudmannen behöver för ändamål som anges i 2 kap. 5 § hälso- och sjukvårdsdatalagen.
Vår bedömning: Förslaget syftar till att förbättra kommuners
och landstings möjligheter att planera, följa upp och kvalitetssäkra den hälso- och sjukvård kommunen eller landstinget har huvudmannaansvar för. Genom förslaget får kommuner och landsting samma förutsättningar att ta ansvar för hälso- och sjukvården oberoende av om verksamheten drivs av kommunen eller landstinget själv eller av en privat vårdgivare med offentlig finansiering.
Inledning
Vi har genomgående uppmärksammat att en större och större del av den offentligfinansierade hälso- och sjukvården utförs av privata vårdgivare på uppdrag av kommuner och landsting. Det har bland annat medfört en osäkerhet vad gäller kommuners och landstings möjligheter att inhämta uppgifter från de privata vårdgivarna för att exempelvis kvalitetssäkra den hälso- och sjukvård som kommunen eller landstinget har huvudmannaansvar för.
Enligt utredningens bedömning finns i dag en tystnadspliktsgräns mellan en privat vårdgivare och den myndighet inom hälso- och sjukvården som finansierar och har det övergripande huvudmannaansvaret för verksamheten. Det kan dock inte uteslutas att ett utlämnande i enskilda fall ändå, exempelvis från en privat vårdgivare till det finansierande landstinget, kan bedömas vara tillåtet vid en tillämpning av bestämmelserna om tystnadsplikt i patientsäkerhetslagen.
Frågan om kommuners och landstings skyldigheter att följa upp verksamhet som drivs av annan och vilka möjligheter som finns att
En informationshantering med patienten i centrum SOU 2014:23
318
ta del av personuppgifter för detta ändamål är komplex. Utredningen om en ny kommunallag berörde i delbetänkandet Privata utförare – kontroll och insyn (SOU 2013:53) frågorna på en mer övergripande nivå. Däremot finns fortfarande anledning att ytterligare analysera och överväga behovet av en ökad tydlighet rörande hälso- och sjukvårdshuvudmännens möjligheter att inhämta och använda uppgifter som dokumenteras hos privata vårdgivare. Dessa frågor sätter även ljuset på innebörden av landstingets och kommunens roll som huvudman.
Huvudmannaansvaret
Genom bestämmelserna i hälso- och sjukvårdslagen tydliggörs kommuners och landstings ansvar för hälso- och sjukvården. Enligt 3 § ska varje landsting erbjuda en god hälso- och sjukvård åt dem som är bosatta inom landstinget och i övrigt verka för en god hälsa hos hela befolkningen. Ett landsting får sluta avtal med någon annan om att utföra de uppgifter som landstinget ansvarar för enligt hälso- och sjukvårdslagen. I 18 § preciseras sedan kommunens motsvarande ansvar för hälso- och sjukvården i särskilda boendeformer och viss dagverksamhet. Därutöver kan landstinget överlåta skyldigheten att erbjuda hemsjukvård till kommunen. På motsvarande sätt som gäller för landsting kan även kommunen sluta avtal med någon annan om att utföra de uppgifter som kommunen ansvarar för enligt hälso- och sjukvårdslagen.
Utredningen om en ny kommunallag för framtiden har konstaterat att även om en huvudman; ett landsting eller kommun, sluter avtal med någon annan om att utföra vissa uppgifter som landstinget eller kommunen ansvarar för så kvarstår huvudmannens övergripande ansvar för verksamheten.13 För att göra detta ansvar tydligare föreslog utredningen att det på olika ställen i lagstiftningen uttryckligen ska tydliggöras att huvudmännen behåller huvudmannaskapet även efter ett överlämnande av vissa uppgifter. Utredningen föreslog även en uttrycklig skyldighet för kommuner och landsting att följa uppverksamhet som utförs av privata utförare.14
13 Delbetänkande av Utredningen om en kommunallag för framtiden, Privata utförare kontroll och insyn, SOU 2013:53, s. 103. 14SOU 2013:53 s. 124 ff.
SOU 2014:23 En informationshantering med patienten i centrum
319
Oavsett hur en verksamhet utformas har kommunen och landstinget i egenskap av huvudmän alltjämt ett ansvar för att den hälso- och sjukvård som erbjuds håller god kvalitet. Vidare har kommuner och landsting alltid ett ansvar för att planera hälso- och sjukvården inom sitt ansvarsområde. Landstingets ansvar omfattar även det förebyggande arbetet för en god hälsa åt hela befolkningen. För att kommuner och landsting ska ha reella möjligheter att fullgöra sitt ansvar för hälso- och sjukvården är det ibland nödvändigt att kunna ta del av uppgifter från privata vårdgivare för att exempelvis planera och vidta särskilda insatser eller utvärdera kvaliteten i hälso- och sjukvården.
En uppgiftsskyldighet för privata vårdgivare bör införas
Offentlighets- och sekretesslagen gäller inte för privata vårdgivare. I stället finns bestämmelser om tystnadsplikt i patientsäkerhetslagen. Enligt dessa bestämmelser får den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Det saknas direkta bestämmelser som anger vad ett obehörigt röjande är. En viss ledning kan dock hämtas från den menprövning som ska göras enligt offentlighets- och sekretesslagen.15Även andra bestämmelser i offentlighets- och sekretesslagen kan vara till ledning, till exempel de som reglerar när sekretessen kan brytas.
Vid tolkningen av obehörighetsrekvisitet har det vidare ansetts naturligt att söka ledning i offentlighet- och sekretesslagens regler.16 Grunden är att den enskilde ska ha samma skydd för sin personliga integritet vare sig han eller hon får insatser av en offentlig eller enskild verksamhet.
Under utredningens arbete har det framkommit att det finns en osäkerhet från företrädare för privata vårdgivare om när man kan lämna ut information och vilken information man kan lämna ut. Även från huvudmännens sida finns det en osäkerhet om vilken information man kan begära in. Utredningen delar den osäkerhet som verksamheterna ger uttryck för. Enligt vår uppfattning är det i
15Prop. 1980/81:28, prop. 1981/82:186, prop. 2007/08:126 och prop. 2005/06:161. 16Prop. 2005/06:141 s. 63, prop. 2005/06:161 s. 82 och 93 och prop. 2007/08:126 s. 133.
En informationshantering med patienten i centrum SOU 2014:23
320
dag inte tydligt att enskilda verksamheter kan lämna ut uppgifter till den huvudman som ansvarar för verksamheten utan hinder av tystnadsplikten. Det finns därför ett behov av att tydliggöra rättsläget och skapa reella förutsättningar för huvudmannen att följa upp och ta sitt ansvar för att alla medborgare får tillgång till en hälso- och sjukvård av god kvalitet.
Kommuner och landsting har i dag möjligheter att ta del av uppgifter för att planera, följa upp eller kvalitetssäkra sådan hälso- och sjukvård som utförs i verksamheter som drivs av kommunen eller landstinget själv. Samma möjligheter bör rimligen finnas även för sådan hälso- och sjukvård som landstinget eller kommunen ansvarar för men som utförs av en privat vårdgivare etablerad t.ex. enligt lagen (2008:962) om valfrihetssystem, lagen (2007:1091) om offentlig upphandling eller lagen (1993:1651) om läkarvårdsersättning. I annat fall riskerar förutsättningarna för en jämlik hälso- och sjukvård av god kvalitet att bli beroende av organisatoriska faktorer.
I sammanhanget ska nämnas att det just när det gäller de verksamheter som är etablerade enligt lagen om läkarvårdsersättning, den s.k. nationella taxan, redan i dagsläget finns viss uppgiftsskyldighet gentemot den finansierande huvudmannen. Enligt lagens 26 § ska en läkare som begär läkarvårdsersättning medverka till att den egna verksamheten kan följas upp och utvärderas. Läkaren ska årligen till landstinget lämna en redovisning med uppgifter om mottagningens personal och medicintekniska utrustning samt om utförda vårdåtgärder och antalet patientbesök. Vidare ska läkaren på begäran av landstinget lämna upplysningar och visa upp patientjournal samt övrigt material som rör undersökning, vård eller behandling av en patient och som behövs för kontroll av begärd läkarvårdsersättning.
I förarbetena till bestämmelsen anför regeringen att landstingens ansvar för planering och finansiering av hälso- och sjukvården medför ett stort och berättigat behov av att följa upp att verksamheten bedrivs på ett sätt som ger ett bra resultat i hela hälso- och sjukvården med avseende på kostnader, effektivitet och kvalitet.17 Med hänsyn till det grundläggande behovet för en huvudman att följa upp den vård som finansieras och de enskilda patienternas behov av sekretess och integritetsskydd anför regeringen bland annat följande.
SOU 2014:23 En informationshantering med patienten i centrum
321
Enligt regeringens bedömning är det angeläget att landstingen får de uppföljningsredskap som de anser sig behöva för att följa upp den vård som de finansierar. Som flera landsting påpekat omfattas den personal vid landstingen som arbetar med uppföljning av vårdgivarnas verksamhet av bestämmelserna i 7 kap. 1 c § sekretesslagen (1980:100) om hälso- och sjukvårdssekretess. Landstinget hanterar också en stor mängd känslig information redan idag bl.a. om patienter inom den offentligt drivna hälso- och sjukvården. Vidare finns en motsvarande möjlighet att granska journaler enligt 11 § tandvårdsförordningen (1998:1338). Ytterligare en aspekt är att landstingen kan ha behov av att följa upp hela vårdkedjor med avseende på kvalitet, effektivitet och resultat. Uppföljning inom hälso- och sjukvården blir allt mer inriktad mot att följa hela processer istället för enskilda åtgärder. För att en sådan uppföljning ska vara möjlig behövs identifierbara patientuppgifter.
Utredningen delar i stort regeringens bedömning och anser att frågan om behov av uppföljning på en övergripande nivå inte är mindre för de vårdgivare som bedriver hälso- och sjukvård med stöd av andra former än lagen om läkarvårdsersättning. Vår generella utgångspunkt är att kommuners och landstings huvudmannaansvar bland annat innebär ett ansvar för planering, uppföljning och kvalitetssäkring av den hälso- och sjukvård som erbjuds invånarna. Vidare ska de rättsliga möjligheterna att vidta en sådan kvalitetssäkring etc. inte bero på organisatoriska förutsättningar. För att kommuner och landsting ska kunna ta ansvar för den hälso- och sjukvårdsverksamhet som de i egenskap av huvudmän har ett övergripande ansvar för behöver de ha tillgång till uppgifter om den hälso- och sjukvård som ges hos de utförare som anlitats. Regelverket bör därför tydligt tillhandahålla förutsättningar för en ändamålsenlig planering, uppföljning och kvalitetssäkring av all hälso- och sjukvård huvudmannen ansvarar för.
Mot den bakgrunden föreslår vi en uppgiftsskyldighet för privata vårdgivare som verkar med offentlig finansiering. De ska vara skyldiga att till huvudmannen lämna de uppgifter som behövs för att huvudmannen ska kunna fullgöra sitt ansvar enligt hälso- och sjukvårdslagen. Det kan exempelvis handla om att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten, administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller att framställa statistik om hälso- och sjukvården. Förslaget gör det möjligt att på ett effektivt och säkert sätt följa upp all vård som erbjuds inom det område som landstinget eller kommunen ansvarar för oavsett vilka driftsformer som finns.
En informationshantering med patienten i centrum SOU 2014:23
322
Samtidigt uppstår ett behov för sjukvårdshuvudmännen att tydliggöra vilka uppgifter som behövs med hänsyn till de olika ändamål som gör sig gällande.
Som vid all personuppgiftsbehandling gäller även att inte fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet får behandlas. Vidare behöver landsting och kommuner bedöma för vilka ändamål personuppgifter över huvud taget behöver samlas in, eller om det räcker med uppgifter som åtminstone inte direkt kan hänföras till enskilda individer. Vidare bedömer utredningen att den direkta tillgången till personuppgifter i de allra flesta fall endast behöver förekomma i ett initialt skede av hanteringen. Samma överväganden som görs vad gäller uppföljning, planering och kvalitetssäkring av den verksamhet som huvudmannen själv driver ska naturligtvis även göras i förhållande till de uppgifter som hämtas in från privata vårdgivare.
Vidare ska tydliggöras att uppgiftsskyldigheten endast gäller uppgifter om patienters hälsotillstånd eller andra personliga förhållanden. Bestämmelsen medför därmed ingen ökad möjlighet för en huvudman att, jämfört med vad som gäller i dag, inhämta andra uppgifter som rör de privata vårdgivarnas verksamhet. Inte heller omfattas den andel privata vårdgivare som inte står under offentlig finansiering av utredningens förslag. Det är således de vårdgivare eller de vårdgivares verksamheter som bedrivs med ett landsting eller en kommun som huvudman, dvs. som finansiär, som omfattas av förslaget.
Genom utredningens förslag får huvudmännen samma möjligheter att ta ansvar för befolkningen och fullgöra sitt uppdrag alldeles oavsett hur hälso- och sjukvården i det enskilda landstinget eller den enskilda kommunen närmare är organiserad. Det innebär att ett landsting eller en kommun med många privata vårdgivare får samma möjligheter att fullgöra sitt uppdrag som landsting och kommuner med få privata vårdgivare. Förutom att följa upp den hälso- och sjukvård som ges medför förslaget nya möjligheter att genom aktiv hälsostyrning och liknande metoder kunna arbeta förebyggande och tillgodose behovet för individer som har många och ofta komplexa kontakter med hälso- och sjukvården. Det förebyggande arbetet behöver inte sällan tillgång till individuppgifter i det initiala skedet och genom utredningens förslag får huvudmän med en stor mångfald av aktörer lika goda möjligheter att erbjuda rätt vård till rätt person, som huvudmän med färre antal privata vårdgivare redan i dag har. För invånarna innebär detta
SOU 2014:23 En informationshantering med patienten i centrum
323
ökade möjligheter till en jämlik vård av god kvalitet oavsett i vilken kommun och vilket landsting invånarna bor i.
Denna uppgiftsskyldighet medför att det inte kommer att gälla någon tystnadsplikt mot huvudmannen avseende dessa uppgifter. Redan av befintliga regler i offentlighets- och sekretesslagen följer att det inte gäller sekretess mellan olika myndigheter inom hälso- och sjukvården hos samma huvudman eller i relation till sådana bolag där ett landsting eller en kommun utövar det rättsligt bestämmande inflytandet. Som exempel på det senare kan nämnas Södersjukhuset AB och Danderyds sjukhus AB.
Bestämmelsen om tystnadsplikt i patientsäkerhetslagen är liksom bestämmelsen om uppgiftsskyldighet till sin formulering riktad till hälso- och sjukvårdspersonalen (6 kap. 12 och 15 §§ PSL). Detta har historiska orsaker. Många krav som gäller för hälso- och sjukvårdsverksamhet riktades tidigare ofta direkt till yrkesutövarna. Detta har med utvecklingen av de krav som allt mer tydligt har ställts på huvudmännen i hälso- och sjukvårdslagen fört med sig att krav som riktar sig till privata utförare har ställts i den lag som reglerar yrkesansvaret. Bestämmelserna om tystnadsplikt och uppgiftsskyldighet överfördes oförändrade när patientsäkerhetslagen ersatte lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Traditionen kan ha sin grund att innan den utveckling med allt fler privata vårdgivare som vi har i dag satte fart bestod den privata vården mest av enskilda yrkesutövare som drev små egna mottagningar.
Vårt förslag till uppgiftsskyldighet för privata vårdgivare återfinns därför i den bestämmelse som reglerar hälso- och sjukvårdspersonalens upplysningsplikt i patientsäkerhetslagen.
13.4.5 Informationsöverföring vid verksamhetsövergångar
Vår bedömning: För att kunna upprätthålla kontinuiteten och
säkerheten i den vård som patienter erbjuds och säkerställa att rätt information finns på rätt plats i rätt tid, behöver en effektiv och säker informationsöverföring vid verksamhetsövergångar göras möjlig. En informationshantering med individen och individens behov i centrum förutsätter att de organisatoriska gränserna vid verksamhetsövergångar överbryggas.
En informationshantering med patienten i centrum SOU 2014:23
324
Vårt förslag: I hälso- och sjukvårsdatalagen ska tas in ett antal
bestämmelser om överföring av information vid verksamhetsövergångar. Huvudmannen ska ansvara för att den vårdgivare som ska ta över en verksamhet som huvudmannen driver får tillgång till de personuppgifter om patienter som behövs för att bedriva verksamheten.
Privata vårdgivare med offentlig finansiering som avser att upphöra med viss hälso- och sjukvårdsverksamhet ska se till att de personuppgifter om patienter som behövs för att bedriva verksamheten vidare överlämnas till annan vårdgivare som ska överta ansvaret för patientens vård och behandling. Om det inte finns någon annan vårdgivare som ska ta över ansvaret för patienternas vård och behandling ska den privata vårdgivaren i stället överlämna uppgifterna till huvudmannen för hälso- och sjukvårdverksamheten i det landsting eller den kommun där verksamheten bedrivits.
Sekretess ska inte hindra att uppgifter lämnas ut till en enskild näringsidkare med stöd av dessa bestämmelser.
Inledning
Privat vårdgivare är en juridisk person eller en enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet. Det är vårdgivaren som är ansvarig för att förvara och bevara patientjournalerna.18I det ligger ett ansvar för att journaler upprättas och hanteras på ett ändamålsenligt och säkert sätt.
I patientdatalagen finns bestämmelser om hur länge journaler ska bevaras och vad som ska göras om den som upphört med sin verksamhet inte längre kan bevara journalerna på föreskrivet sätt. Dessa bestämmelser har vi i tidigare avsnitt föreslagit ska överföras till hälso- och sjukvårdsdatalagen.
Däremot finns inga bestämmelser om hur kontinuiteten i vårddokumentationen och därmed i kvaliteten och säkerheten i vården av patienter ska upprätthållas i samband med att en vårdgivare ska ta över en annan vårdgivares verksamhet. Om till exempel en kommun i samband med att avtalstiden löper ut väljer att sluta avtal med en ny vårdgivare som ska driva ett särskilt boende så finns det inga regler för hur journalerna i verksamheten ska hanteras.
SOU 2014:23 En informationshantering med patienten i centrum
325
Vi har i det föregående redovisat ett antal konsekvenser som avsaknaden av sådana bestämmelser riskerar att ge upphov till. Det grundläggande syftet med informationshanteringen i hälso- och sjukvården i allmänhet och med journalföringen i synnerhet är att bidra till en god och säker vård för alla patienter. Syftet med patientjournalföringen riskerar att inte kunna uppnås fullt ut om inte den informationsöverföring som är nödvändig med hänsyn till detta ändamål inte kan komma till stånd på ett effektivt sätt vid verksamhetsövergångar.
Konsekvenserna av regelverket för vårdgivarnas ansvar för journaler och bestämmelserna om sekretess och tystnadsplikt är att det kan bli svårt att upprätthålla kontinuiteten i vården och i informationshanteringen när nya vårdgivare tillkommer eller avvecklas. För patientera uppstår risker om aktuell och viktig information helt plötsligt saknas. Inte sällan kan informationen även ha funnits tillgänglig i system för sammanhållen journalföring, vilket bland annat kan ha inneburit att även andra vårdgivare förlitar sig på att den aktuella informationen finns. För utredningens del är det uppenbart att informationshanteringen i hälso- och sjukvården inte längre kan ske isolerat verksamhet för verksamhet. De täta och komplexa samarbeten som i dag kännetecknar utförandet av hälso- och sjukvård förutsätter en mer holistisk syn på informationshanteringen. Vårdgivare är i dag beroende av att information från andra vårdgivare finns tillgänglig i den stund behovet för patienten uppstår.
Mot bakgrund av detta och med anledning av vad utredningens redovisat i genomgången av gällande rätt i avsnitt 13.3.4 föreslår vi därför ett antal nya bestämmelser för att närmare reglera vad som ska gälla i samband med att en verksamhet får en ny privat utförare eller återgår till att drivas i offentlig regi. Syftet med förslagen är att säkerställa kvaliteten och säkerheten i den hälso- och sjukvård patienternas erbjuds.
Ansvar för landsting och kommuner i egenskap av huvudmän
Vi föreslår för det första att en huvudman, dvs. ett landsting eller en kommun, som överlämnar driften av en viss verksamhet ska ansvara för att den privata vårdgivaren får tillgång till de personuppgifter om patienterna som behövs för att bedriva verksamheten. På vilket sätt huvudmannen i realiteten ska ta detta ansvar kan inte
En informationshantering med patienten i centrum SOU 2014:23
326
regleras i detalj. Med hänsyn till de olika situationer och samarbeten som kan uppstå finns en risk att alltför detaljerade regler kan låsa in verksamheterna i lösningar som inte är tillräckligt flexibla i ett längre perspektiv. Vi bedömer dock att det kan finnas ett antal olika sätt för huvudmannen att rent praktiskt fullgöra sitt ansvar. Det är upp till hälso- och sjukvårdens aktörer att med hänsyn till behoven och förutsättningar i enskilda fall finna lämpliga former för detta.
Om huvudmannen och den privata vårdgivaren samarbetar genom att tillåta varandra direktåtkomst till patientuppgifter enligt de regler vi föreslagit i det föregående kan utföraren exempelvis använda direktåtkomsten för att få tillgång till de nödvändiga uppgifterna om patienterna. Ytterligare ett alternativ kan vara att huvudmannen lämnar ut kopior (elektroniska handlingar eller i pappersform) till den privata vårdgivaren, som sedan har att ta emot dessa och fortsatt hantera dem enligt de grundläggande bestämmelserna. En sådan lösning är emellertid inte alltid att föredra ur ett integritetsperspektiv, eftersom det innebär att uppgifter om den enskilde sprids för hantering och lagring på fler platsen är vad som egentligen kanske är nödvändigt.
Ett annat alternativ kan därför vara att huvudmannen, om så är möjligt och lämpligt, avhänder sig de allmänna handlingarna i enlighet med de regler som finns om detta i arkivlagen (1990:782), 2 kap. 17 § tryckfrihetsförordningen och lagen (1993:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring.
Ansvar för vårdgivare och för kommunen eller landstinget i egenskap av huvudmän
För att kontinuiteten i den vård som ges till en patient ska säkerställas föreslår vi dessutom att den vårdgivare med offentlig finansiering som inte längre ska bedriva en viss verksamhet ska överlämna de personuppgifter om patienterna, som behövs för att bedriva verksamheten, till den vårdgivare som ska ta över ansvaret för patientens vård och behandling. Vi föreslår inga detaljerade bestämmelser som närmare anger hur detta ska göras, utan det är upp till vårdgivaren att avgöra med hänsyn till omständigheterna i det enskilda fallet.
SOU 2014:23 En informationshantering med patienten i centrum
327
Vårdgivaren som upphör med en viss verksamhet kan exempelvis välja mellan att överlämna kopior (elektroniska handlingar eller i pappersform) på de uppgifter som är nödvändiga för patientens vård eller att lämna över ansvaret för hela journalarkivet. Om den privata vårdgivaren tillåter andra vårdgivaren direktåtkomst till patientuppgifter enligt de regler som vi föreslagit i det föregående kan den nya vårdgivaren även använda direktåtkomsten för att få till gång till nödvändig vårddokumentation. En sådan lösning förutsätter naturligtvis att vårdgivaren inte helt upphör med sin hälso- och sjukvårdsverksamhet, utan fortsatt bedriver hälso- och sjukvård och har reella möjligheter att ta ansvar för de aktuella uppgifterna.
Om det uppstår en övergångstid mellan det att vårdgivaren upphör med att driva viss verksamhet och tills någon annan tar vid eller om huvudmannen själv ska bedriva verksamheten för längre eller kortare tid, ska uppgifterna lämnas över till landstinget eller kommunen. Denna bestämmelse säkerställer ytterligare att viktig journalinformation inte går förlorad på grund av att ansvaret för driften av en verksamhet varierar över tid.
Om varken en annan privat vårdgivare eller en huvudman ska ta över journalerna enligt de regler som vi nu har beskrivit faller vårdgivarens yttersta ansvar för journalarkivet ut. Om vårdgivaren sedan inte klarar av att förvara och bevara journalerna enligt gällande regler blir bestämmelserna om omhändertagande av journalarkiv tillämpliga. Socialstyrelsen ska i sådana fall besluta om att journalerna ska tas om hand.
Våra förslag till reglering av vad som gäller angående personuppgifterna i en verksamhet blir inte tillämpliga i samband med att ett vårdföretag blir uppköpt av ett annat företag. I sådana fall ingår patientjournalerna i företagsöverlåtelsen och något problem med kontinuitet i dokumentationen behöver inte uppstå.
Ändringar i offentlighets- och sekretesslagen behövs för att upphäva sekretessen mellan huvudmannen och den privata vårdgivaren. Vi föreslår att sekretess inte ska gälla om bestämmelserna om överföring av personuppgifter vid verksamhetsövergångar följs. Vid annat utlämnande från vårdgivarna ska de vanliga sekretessbestämmelserna tillämpas. Sedan tidigare finns regler om undantag från sekretess mellan de olika myndigheter som bedriver hälso- och sjukvård inom huvudmannens område.
På grund av de bestämmelser som vi föreslår behövs ingen särskild reglering för att en enskild vårdgivare ska kunna lämna ut
En informationshantering med patienten i centrum SOU 2014:23
328
uppgifter i samband med verksamhetsövergångar. Ett sådant utlämnande kan inte anses som obehörigt i den mening som avses i patientsäkerhetslagen och innebär därmed inget brott mot tystnadsplikten. Det är samma konstruktion för lättnad i tystnadsplikten som gäller vid sammanhållen journalföring.
13.4.6 Kommunalt ansvar för omhändertagna patientjournaler i kommunal hälso- och sjukvård eller hos elevhälsan
Vårt förslag: Patientjournaler inom hälso- och sjukvårdsverk-
samheter som bedrivits med en kommun som huvudman eller inom elevhälsan ska efter ett omhändertagande förvaras avskilda hos arkivmyndigheten i den kommun där hälso- och sjukvården bedrivits. Patientjournaler i övriga verksamheter ska efter ett omhändertagande bevaras hos arkivmyndighet i det landsting där hälso- och sjukvården bedrivits.
Bestämmelser om att patientjournaler inom privat hälso- och sjukvård kan tas om hand om det på sannolika skäl kan antas att journalerna inte kommer att hanteras enligt gällande bestämmelser eller om den som ansvarar om journalerna ansöker om det införde i patientjournallagen 1992.19 Frågan hade utretts av journalutredningen som 1984 lämnade betänkandet Journalarkiv utanför den offentliga hälso- och sjukvården och tandvården.20 Bestämmelserna överfördes sedan oförändrade till patientdatalagen.
Det alltså funnit regler för hur patientjournaler i privata verksamheter ska tas om hand sedan början på 90-talet. När journalutredningen beredde lagförslaget hade kommunerna ännu inget ansvar för hälso- och sjukvård för äldre och funktionshindrade. Ädelreformen21 började gälla den 1 januari 1992. Genom den fick kommunerna bl.a. ansvar för hälso- och sjukvården i särskilda boenden. En kommun får även sluta avtal med någon annan, exempelvis en privat vårdgivare, om att utföra de uppgifter som kommunen ansvarar för. Den kommunala hälso- och sjukvården med tiden alltmer börjat utföras av privata vårdgivare. Se avsnittet om En hälso- och sjukvård i utveckling.
19Prop. 1991/92:104. 20 Ds S 1984:18. 21Prop. 1990/91:14.
SOU 2014:23 En informationshantering med patienten i centrum
329
Den svenska skolan blev ett kommunalt ansvar först 1991. Friskolereformen, som gjorde det möjligt för privata företag att bedriva skolverksamhet med kommunal finansiering, genomfördes 1992.22
Bestämmelserna som reglerar ansvaret för omhändertagna journaler utreddes alltså innan det fanns något behov av att överväga ett kommunalt ansvar för vissa hälso- och sjukvårdsjournaler.
På grund av de regler som gäller i dag ska patientjournaler i privata verksamheter inom elevhälsan eller inom privata verksamheter som bedrivs med kommunen som huvudman överföras till ett landstingsarkiv om ett omhändertagande av journalerna skulle bli aktuellt. Detta framstår inte som helt ändamålsenligt. Det är enligt utredningens bedömning lämpligare att patientjournaler som uppstår i privata verksamheter med anknytning till kommunen som huvudman för hälso- och sjukvård eller till kommunen som ansvarig för finansieringen av skolverksamheten arkiveras tillsammans med journaler från kommunens egna verksamheter.
När det gäller betygen i en friskola gäller att elevernas slutbetyg eller de betygsdokument som eleven får efter fullföljd gymnasieutbildning ska lämnas över till den till den kommun där skolan är belägen.23På så sätt får elever på fristående skolor samma möjlighet som elever i offentliga skolor att i efterhand kunna få uppgifter på genomförd skolgång om originalbetyget har förkommit och den fristående skolan inte längre finns kvar.24
Motsvarande behov att enkelt kunna ta reda på var en handling finns bevarad finns när det gäller patientjournaler från elevhälsan. Vårt förslag om att patientjournaler i privat bedriven elevhälsa efter ett omhändertagande ska förvaras i den kommun där hälso- och sjukvården bedrivits innebär att journalerna ska förvaras hos samma arkivmyndighet som betygen. Om en friskola går i konkurs och inte längre kan ansvara för patientjournalerna ska konkursförvaltaren ansöka om att journalarkivet ska tas om hand. Vårt förslag innebär att sådana journaler efter ett omhändertagande ska förvaras hos arkivmyndigheten i den kommun där elevhälsan bedrev sin verksamhet. Vi bedömer att det ur allmänhetens synpunkt framstår som logiskt att en elevhälsovårdsjournal finns i den kommun där verksamheten bedrevs.
22Prop. 1991/92:95 Om valfrihet och fristående skolor. 2329 kap. 18 § skollagen (2010:800). 24 Regeringens proposition Den nya skollagen – för kunskap, valfrihet och trygghet, prop. 2009/10:165 s. 604 ff.
En informationshantering med patienten i centrum SOU 2014:23
330
När det gäller patientjournaler som omhändertagits hos privata utförare av kommunal hälso- och sjukvård finns också ett behov av att lätt kunna ta reda på var en journal finns bevarad. En verksamhet som bedrivs av en privat entreprenör kan tas tillbaka för att drivas av kommunen. Det kan också förekomma skiften av privata utförare. Konsekvensen av dagens lagstiftning är att patientjournaler från en visst särskilt boende kan komma att förvaras hos olika arkivmyndigheter. Utredningen anser att patientjournaler som uppstått i verksamheter som erbjudit hälso- och sjukvård på kommunens uppdrag efter ett omhändertagande bör förvaras hos samma arkivmyndighet som patientjournaler i verksamheter som bedrivs av kommunen själv.
När det gäller patientjournaler i övriga verksamheter föreslår vi att de efter ett omhändertagande ska bevaras i det landsting där hälso- och sjukvården bedrivits. Det innebär att omhändertagna journaler i privata verksamheter som finansierats av landstinget ska förvaras på samma sätt som i dag.
Vi föreslår därför bestämmelser om ansvar för omhändertagna journaler som bättre stämmer överens med hur hälso- och sjukvården är organiserad i dag och som ur patientens synpunkt är mer begriplig.
13.4.7 Bevarande och gallring vid direktåtkomst inom en huvudmans ansvarsområde
Vårt förslag: När patientjournaler eller andra handlingar är till-
gängliga för en vårdgivare genom direktåtkomst gäller skyldigheten att bevara en journalhandling bara den vårdgivare som ansvarar för handlingen. Övriga myndigheter får gallra handlingen.
Utredningens förslag om direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde innebär att en del av den direktåtkomst som i dag görs med stöd av reglerna för sammanhållen journalföring i stället kommer att göras med stöd av de bestämmelser som redovisats i det föregående. Det innebär samtidigt att vissa överväganden som har gjorts i fråga om sammanhållen journalföring aktualiseras även för direktåtkomsten inom en huvudmans ansvarsområde.
SOU 2014:23 En informationshantering med patienten i centrum
331
Ett sådant övervägande rör frågan om vem som ska bevara handlingar som finns potentiellt tillgängliga genom direktåtkomst. Här ansluter vi oss till den bedömning som regeringen gjorde i samband med införandet av motsvarande bestämmelser för sammanhållen journalföring.25
Utredningen anser därmed att arkivansvar eller annat ansvar för bevarande av journalhandlingarna bör följa verksamhetsansvar och personuppgiftsansvar för den enskilda personuppgiftsbehandlingen. En journalhandling eller annan handling bör därför bara bevaras och bilda arkiv hos en myndighet eller hos en privat vårdgivare.
För att tydliggöra detta föreslår utredningen att det ska regleras att bestämmelser i hälso- och sjukvårdsdatalagen eller i annan lag eller förordning om att journalhandlingar eller andra handlingar ska bevaras viss minsta tid, inte ska vara tillämpliga på sådana journalhandlingar som har gjorts tillgängliga genom direktåtkomst hos andra vårdgivare och som dessa vårdgivare endast har en potentiell tillgång till. Det innebär i princip att det är endast en, inte flera, vårdgivare som ansvarar för bevarandet och arkivbildningen av journalhandlingar. Detta gäller även om en vårdgivare bereder sig tillgång till en annan införande vårdgivares journalhandling, så länge inte handlingen ”tankas hem” och lagras av den förstnämnde vårdgivaren.
Vidare föreslår utredningen en generell bestämmelse om att sådana potentiella handlingar får gallras. Som nämnts ska, enligt 3 § första stycket andra meningen arkivlagen, upptagningar för automatisk behandling som är tillgängliga för flera myndigheter så att de utgör allmänna handlingar hos alla dessa myndigheter, bilda arkiv endast hos en av myndigheterna. En sådan gallringsregel behövs för att inte någon myndighet ska bli arkivansvarig för privata vårdgivares journalhandlingar m.m. som de potentiellt sett har tillgång till genom direktåtkomst och som utgör allmänna handlingar hos vårdgivare som är myndigheter.26
25Prop. 2007/08:126 s. 136 ff. 26Prop. 2007/08:126 s. 120 f.
333
14 En ny sammanhållen journalföring
14.1 Bakgrund
En patient som vårdas för en sjukdom eller skada behöver ofta vård hos flera olika vårdgivare. I det föregående har vi redovisat för utvecklingen inom hälso- och sjukvården, med ett ökat antal vårdgivare, en ökad specialisering, ökad patientrörlighet och nya krav på samverkan mellan aktörer. Utvecklingen har bland annat fört med sig att allt fler vårdprocesser och motsvarande går över vårdgivargränser och i många fall även över huvudmannagränser. Ett exempel på en process som i praktiken alltid innebär att vårdgivare hos olika huvudmän behöver vara inblandade är i äldreomsorgen. Äldre som bor på särskilt boende eller i hemmet och har behov av hälso- och sjukvård får i dag sitt primära behov tillgodosett inom den kommunala hälso- och sjukvården. Eftersom kommunen endast har ansvar för hälso- och sjukvård upp till sjuksköterskenivå, dvs. inte läkare, är äldre även i behov av läkarinsatser från en landstingsfinansierad vårdgivare. Inte sällan omfattar äldres behov såväl landstingets primärvård som dess slutenvård. Inom äldreomsorgen finns därför en i princip ständigt pågående samverkan i den individinriktade patientvården.
Den högspecialiserade vården kan nämnas som ett exempel bland andra processer, som allt oftare behöver passera geografiska och organisatoriska gränser. För människor som drabbas av exempelvis cancer är det inte ovanligt att vissa delar av vårdprocessen äger rum i hemlandstinget, medan andra delar äger rum på t.ex. ett universitetssjukhus i ett närliggande landsting.
För att de olika vårdgivarna ska kunna ge bästa möjliga vård behöver de få del av de av varandras vårddokumentation om patienterna. Behovet för olika vårdgivare att dela information om patienter har i dag snarare kommit att bli regel än undantag.
En ny sammanhållen journalföring SOU 2014:23
334
Eftersom det råder sekretess och tystnadsplikt mellan olika vårdgivare måste ett utbyte av uppgifter som huvudregel föregås av ett samtycke eller prövning av om det finns något stöd för utlämnandet i det enskilda fallet. Fram tills patientdatalagen (2008:355), förkortad PDL, trädde i kraft den 1 juli 2008 gjordes allt utbyte av uppgifter mellan olika vårdgivare med stöd av dessa regler. Nu kan utbyte av uppgifter mellan olika vårdgivare också göras med hjälp av direktåtkomst. För att det ska vara tillåtet i dag måste vårdgivarna följa reglerna om sammanhållen journalföring.
Sammanhållen journalföring innebär att vårdgivare, privata som offentliga, kommun- som landstingsfinansierade och helt privata, kan dela med sig av sin vårddokumentation till varandra. Med vårdgivare avses enligt 1 kap. 3 § PDL statlig myndighet, landsting och kommun (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
I stället för att som tidigare, på ett tidsödande och inte sällan osäkert sätt, begära att information lämnas ut från en vårdgivare till en annan, t.ex. genom journalkopior, kan vårdgivarna hålla vårddokumentation ständigt tillgänglig för varandra så att den som behöver informationen själv kan ta del av den. Det kan exempelvis handla om att primärvårdsläkaren som ska ordinera läkemedel åt äldre på ett särskilt boende eller i hemsjukvården har tillgång till viktig information om de äldres hälsa som är dokumenterad i patientjournalen av sjuksköterskor i den kommunala hälso- och sjukvården, och vice versa. Det kan även handla om att anestesiläkaren som snabbt ska fatta ett viktigt beslut för en medvetslös patient vid en operation har tillgång till uppgifter från andra vårdgivare om patientens läkemedel och överkänsligheter m.m. För sjuksköterskan i den kommunala hemsjukvården kan det bestå i att vid behov enkelt och säkert kunna ta del av laboratoriesvaret på det senaste provet som primärvårdsläkaren ordinerade för patienten. Det handlar alltså om en ändamålsenlig informationshantering för att tillgodose en god och säker vård av den enskilde patienten.
Kort om förutsättningarna för sammanhållen journalföring i dag
Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring ska patienten informeras om vad den sammanhållna journalföringen innebär. Patienten ska också
SOU 2014:23 En ny sammanhållen journalföring
335
få information om att han eller hon kan neka till att uppgifterna blir tillgängliga på det sättet. För samtliga patienter som då inte motsatt sig får vårdgivaren en laglig grund att göra uppgifterna tillgängliga för andra vårdgivare. På det sättet kan viktig vårddokumentation, oavsett vilka vårdgivare som är inblandade i individens vård, alltid nås av den personal som behöver den för att göra så bra bedömningar som möjligt för individens liv och hälsa. De flesta medborgare motsätter sig inte att vårdgivare gör vårddokumentation potentiellt tillgänglig för varandra genom sammanhållen journalföring.
Det finns inga uttryckliga krav på i vilken form informationen om sammanhållen journalföring ska lämnas utan det är upp till vårdgivarna att hitta lämpliga former som är väl avvägda och anpassade till olika verksamhetsformer och olika slags samarbeten mellan vårdgivare. En förutsättning för att individen ska kunna ta ställning är självklart att rätt information har lämnats av vårdgivaren, något som Datainspektionen i ett antal tillsynsärenden funnit brister i. Även om det inte finns krav på att informationen ska vara individuell är det vårdgivaren som ansvarar för att alla har fått information. I praktiken informerar vårdgivare genom annonsering i länstidningar, dagstidningar, på olika webbsidor, i informationsbroschyrer, på affischer och genom information i samband med kallelser m.m. För de individer som efter en sådan informationsinsats inte vänder sig till vårdgivaren och motsätter sig den sammanhållna journalföringen tillgängliggörs vårddokumentation för andra vårdgivare.
För att en vårdgivare sedan, i en enskild vårdsituation, ska få använda uppgifter som en annan vårdgivare gjort tillgängliga genom sammanhållna journalföringen krävs dessutom enligt 6 kap. 3 § PDL att
1. uppgifterna rör en patient som vårdgivaren har en aktuell
patientrelation med,
2. uppgifterna kan antas ha betydelse för att förebygga, utreda eller
behandla sjukdomar och skador hos patienten inom hälso- och sjukvården, och
3. patienten samtycker till att vårdgivaren behandlar uppgifterna.
En ny sammanhållen journalföring SOU 2014:23
336
14.1.1 Kort om behovet av ett förändrat och förenklat regelverk
Vår bedömning: Patientdatalagens bestämmelser om samman-
hållen journalföring bör föras över till hälso- och sjukvårdsdatalagen, men det finns behov av förändringar i språk, innehåll och struktur. Vidare bör övervägas vissa förändrade förutsättningar för att ta del av uppgifter i sammanhållen journalföring. Regelverket om sammanhållen journalföring bör även anpassas till övriga förslag om direktåtkomst vi lämnar.
Enligt vår uppfattning är sammanhållen journalföring i dag i närmaste en nödvändighet för att kunna åstadkomma en informationshantering som bidrar till kvalitet och patientsäkerhet. Av den anledningen saknas skäl att inte överföra patientdatalagens bestämmelser till den hälso- och sjukvårdsdatalag som vi föreslår. Samtidigt är konstruktionen för utbyte av vårddokumentation genom sammanhållen journalföring komplex och har gett upphov till tillämpningsproblem. Därtill är bestämmelserna om sammanhållen journalföring i patientdatalagen komplicerade såväl språkligt som strukturellt.
För att underlätta den praktiska tillämpningen av lagen anser utredningen därför att det finns behov av en omarbetning av bestämmelserna om sammanhållen journalföring när de förs över till hälso- och sjukvårdsdatalagen. Det finns både ur ett medborgar- och vårdgivarperspektiv behov av att göra regleringen enklare att tillämpa och mer pedagogisk, det vill säga lättare att förstå. Vi vill därför förenkla bestämmelserna om sammanhållen journalföring.
Dessutom finns det behov av att analysera hur bestämmelserna om sammanhållen journalföring påverkas av de förslag som utredningen lämnar i andra delar. En konsekvens av de förslag som vi redogjort för tidigare om utökade möjligheter till informationsutbyte mellan vårdgivare som bedriver verksamhet som samma huvudman ansvarar för, är att tillämpningsområdet för sammanhållen journalföring blir mindre än i dag.
Vidare bedömer vi att det finns anledning att se över förutsättningarna för att ta del av och använda uppgifter i system för sammanhållen journalföring. Det handlar framför allt om den nuvarande begränsningen som innebär att åtkomst till uppgifter i system för sammanhållen journalföring inte får användas för att säkra och
SOU 2014:23 En ny sammanhållen journalföring
337
utveckla verksamhetens kvalitet. Därutöver finns det behov av att analysera om det nu gällande samtyckeskravet för få att ta del av uppgifter i sammanhållen journalföring är ändamålsenligt, eller om patientens grundläggande samtycke till vård även kan utgöra grund för den informationshantering som behövs för att patienten ska få bästa möjliga vård.
14.2 Våra överväganden och förslag om att göra uppgifter tillgängliga i system för sammanhållen journalföring
14.2.1 Tydligare reglering av regelverkets tillämpningsområde och innebörd
Vår bedömning: Vårt förslag, i avsnitt 13, om direktåtkomst
mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för, medför att tillämpningsområdet för vad som i dag hänförs till sammanhållen journalföring minskar. Detta bör framgå av hälso- och sjukvårdsdatalagen. Vidare bör kapitlet om sammanhållen journalföring inledas med en bestämmelse som beskriver vad som regleras i kapitlet.
Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att med
sammanhållen journalföring avses en möjlighet för vårdgivare, som bedriver hälso- och sjukvård som olika huvudmän ansvarar för eller som är privat finansierad, att ha direktåtkomst till varandras vårddokumentation. I lagen ska även anges att kapitlet innehåller bestämmelser om förutsättningarna för sammanhållen journalföring.
Inledning
I dag omfattar bestämmelserna om sammanhållen journalföring allt informationsutbyte genom direktåtkomst mellan vårdgivare. Det innebär exempelvis att en privat driven vårdcentral och det landstingsdrivna sjukhuset behöver tillämpa reglerna om sammanhållen journalföring för att vid behov kunna utbyta uppgifter om patienter. En konsekvens av vårt förslag om utökade möjligheter till direktåtkomst mellan vårdgivare som bedriver hälso- och sjuk-
En ny sammanhållen journalföring SOU 2014:23
338
vård som samma huvudman ansvarar för, är dock att tillämpningsområdet för sammanhållen journalföring minskar jämfört med i dag.
Som vi har redogjort för i avsnitt 13 föreslår vi att vårdgivare som bedriver hälso- och sjukvård som t.ex. samma kommun eller samma landsting ansvarar för, ska få utbyta information genom direktåtkomst utan att tillämpa sammanhållen journalföring. En följd av det förslaget är att sammanhållen journalföring enligt hälso- och sjukvårdsdatalagen kommer att vara den form av informationsutbyte genom direktåtkomst som används mellan vårdgivare som bedriver hälso- och sjukvård som olika huvudmän ansvarar för. Jämfört med i dag blir tillämpningsområdet således betydligt mindre.
Som exempel på sådana informationsutbyten genom direktåtkomst som kommer att omfattas av hälso- och sjukvårdsdatalagens bestämmelser om sammanhållen journalföring kan bland annat följande nämnas.
• Informationsutbyte mellan en vårdgivare som bedriver hälso- och sjukvård som ett landsting ansvarar för och en vårdgivare som bedriver hälso- och sjukvård som en kommun ansvarar för.
• Informationsutbyte mellan två vårdgivare som bedriver hälso- och sjukvård som olika landsting ansvarar för.
• Informationsutbyte mellan två vårdgivare som bedriver hälso- och sjukvård som olika kommuner ansvarar för.
• Informationsutbyte mellan två vårdgivare som bedriver hälso- och sjukvård som två olika privata aktörer ansvarar för och finansierar.
• Informationsutbyte mellan en vårdgivare som bedriver hälso- och sjukvård som antingen ett landsting eller en kommun ansvarar för och en vårdgivare som bedriver hälso- och sjukvård som en privat aktör ansvarar för och finansierar.
Innebörden av detta är, något förenklat, att sammanhållen journalföring i hälso- och sjukvårdsdatalagen kommer att gälla för informationsutbyte genom direktåtkomst mellan hälso- och sjukvårdsverksamheter som finansieras av olika huvudmän eller privata aktörer. Det innebär att tillämpningsområdet för sammanhållen journalföring inte på samma sätt som i dag kommer att påverkas av organisatoriska förändringar i den hälso- och sjukvård som samma
SOU 2014:23 En ny sammanhållen journalföring
339
huvudman ansvarar för. Så fort en landstingsdriven vårdcentral tas över för att drivas i privat regi, men med fortsatt med offentlig finansiering måste i dag sammanhållen journalföring börja användas för det fortsatta informationsutbytet. Med vårt förslag kommer sådana organisationsförändringar att kunna göras utan att det automatiskt påverkar förutsättningarna för utbyte av patientuppgifter.
Sammanhållen journalföring kommer fortfarande att vara den möjlighet som finns för informationsutbyte mellan landstingsfinansierade verksamheter och kommunalt finansierade verksamheter. Som exempel kan nämnas sådan direktåtkomst som sjuksköterskor på särskilda boenden eller i den kommunala hemsjukvården har till vårddokumentation hos slutenvården eller primärvården och vice versa. Våra förslag minskar således inte incitamenten för dessa vårdgivare att samarbeta i system för sammanhållen journalföring, exempelvis den Nationella patientöversikten (NPÖ) eller mer lokala lösningar. Det behovet kvarstår oförändrat och kan i själva verket komma att öka, inte minst i takt med att fler och fler kommuner tar över ansvaret för hemsjukvården.
Ett annat exempel på när sammanhållen journalföring kommer att behöva användas är vid vårdprocesser över landstingsgränser. Det kan t.ex. handla om samarbeten mellan verksamheter i olika landsting vad gäller högspecialiserad vård, men det kan även vara fråga om sådan vård i olika landsting som föranleds av patienternas vårdval och rörlighet.
Ytterligare exempel kan vara i samband med sådan ambulanssjukvård där ambulansen bedriver verksamhet som en huvudman ansvarar för medan mottagande akutsjukhus bedriver verksamhet som en annan huvudman ansvarar för. I sådana fall kommer direktåtkomst till vårddokumentation att användas med stöd av reglerna om sammanhållen journalföring. För stora delar av ambulanssjukvården kommer dock direktåtkomsten att kunna ske i enlighet med förslagen om utökade möjligheter för vårdgivare som bedriver verksamhet som samma huvudman ansvarar för.
I patientdatalagens 6 kap. om sammanhållen journalföring återfinns ingen egentlig definition av vad som avses med begreppet. Visserligen anges bland definitionerna i 1 kap. 3 § att sammanhållen journalföring är ett elektroniskt system som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare. Även om den definitionen till stora delar är
En ny sammanhållen journalföring SOU 2014:23
340
tillfyllest, kan lämpligheten att peka på att det handlar om ett elektroniskt system ifrågasättas. Att definitionen inte finns i 6 kap. är även en sak som har lyfts fram som en brist i utredningens kontakter med företrädare från hälso- och sjukvården. Utredningens erfarenhet är att det finns en osäkerhet på olika nivåer i hälso- och sjukvården om vad sammanhållen journalföring är och att olika uppfattningar och beskrivningar florerar. Även om det sannolikt inte kan tillskrivas den nuvarande definitionen av sammanhållen journalföring och dess placering i lagen, anser vi att det finns skäl att så långt möjligt skapa en ökad tydlighet i frågan. För att tydliggöra vad som i hälso- och sjukvårdsdatalagen avses med sammanhållen journalföring och avgränsa regelverket från andra möjligheter till direktåtkomst, bör enligt vår bedömning en ny definition av sammanhållen journalföring föras in i lagen och i inledningen till kapitlet om sammanhållen journalföring. Vi föreslår därför att det med sammanhållen journalföring avses en möjlighet för vårdgivare, som bedriver hälso- och sjukvård som olika huvudmän ansvarar för eller som är privat finansierad, att ha direktåtkomst till varandras vårddokumentation.
Begreppet direktåtkomst
När det gäller begreppet direktåtkomst ansluter vi oss till den syn på begreppet som regeringen redovisar i förarbetena till patientdatalagen.1Innebörden av direktåtkomst i hälso- och sjukvårdsdatalagen ska således vara densamma som i dag följer av patientdatalagen och dess förarbeten. Regeringen uttalar bland annat att det med direktåtkomst avses ett sätt att bereda sig automatisk tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation, men utan möjlighet att kunna bearbeta eller annars påverka uppgifternas innehåll.2Med direktåtkomst enligt hälso- och sjukvårdsdatalagen ska därmed avses en speciell form av elektroniskt utlämnande av personuppgifter till en mottagare utanför den organisation som bedriver verksamhet enligt socialtjänstlagen (2001;453). Direktåtkomst skiljer sig från andra typer av elektroniska utlämnanden genom att det är mottagaren av uppgifterna som bereder sig tillgång till informationen utan att den som lämnar ut informationen vidtar någon åtgärd med informa-
SOU 2014:23 En ny sammanhållen journalföring
341
tionen vid överföringstillfället, till exempel en sekretessprövning. I de här fallen är det fråga om ett helt automatiskt utlämnande. Se vidare om direktåtkomst och andra former av elektroniska utlämnanden i avsnitt 11.
Kapitlets huvudsakliga innehåll bör framgå av lagen
Det nuvarande regelverket om sammanhållen journalföring i 6 kap. patientdatalagen är omfattande och berör en mängd olika delar av informationsutbytet genom direktåtkomst. Exempelvis anges förutsättningarna för att lämna ut uppgifter genom direktåtkomst, ta del av uppgifter genom direktåtkomst, vilken betydelse patientens inställning har, vad som gäller för barn m.m.
I syfte att göra regleringen mer överskådlig och pedagogisk föreslår vi att kapitlet inleds med bestämmelser om vad kapitlet avser att reglera. Av en inledande bestämmelser bör därför framgå att kapitlet innehåller bestämmelser om förutsättningarna för att dela med sig av och ta del av uppgifter genom sammanhållen journalföring samt om patientens rätt att motsätta sig att uppgifter görs tillgängliga.
14.2.2 Förenklad utformning av bestämmelserna
Vår bedömning: Den nuvarande paragrafen om att göra upp-
gifter tillgängliga för andra vårdgivare i 6 kap. 2 § PDL är lång, oöverskådlig och svårtillgänglig.
Vårt förslag: Bestämmelserna om förutsättningarna för att göra
personuppgifter tillgängliga för andra vårdgivare (skede 1) ska delas upp på flera paragrafer.
De nuvarande bestämmelserna om villkoren för att tillgängliggöra uppgifter genom sammanhållen journalföring (6 kap. 2 § PDL) är sällsynt lång och svårgenomtränglig. Paragrafen innehåller inte mindre än 241 ord och handlar såväl om vårdgivarens informationsskyldighet och möjlighet att tillgängliggöra uppgifter, som om patientens rätt att spärra uppgifter och begära att spärrar hävs. Vidare regleras att vårdnadshavare inte kan spärra uppgifter om barn. I paragrafens sista stycke anges även detaljerade och mer
En ny sammanhållen journalföring SOU 2014:23
342
verksamhetsnära krav som påverkar utformningen av användargränssnitten i system för sammanhållen journalföring.
Bestämmelsens utformning är enligt utredningens uppfattning inte ändamålsenlig. Vår erfarenhet är även att såväl vårdgivare som har att tillämpa bestämmelsen och patienter som vill bilda sig en uppfattning om de rättsliga förutsättningarna finner den alldeles för svårtillgänglig. Vi föreslår därför att förutsättningarna för att göra uppgifter tillgängliga för andra vårdgivare i system för sammanhållen journalföring delas upp på ett flertal olika bestämmelser. Mot den bakgrunden föreslår vi sammanfattningsvis att de mer grundläggande förutsättningarna samlas i en bestämmelse och att en annan bestämmelse reglerar vad som ska gälla om patienten inte endast tillfälligt saknar förmåga att ta ställning till sammanhållen journalföring. Vidare föreslås en egen bestämmelse om patientens rätt att motsätta sig sammanhållen journalföring och konsekvenserna av detta. Slutligen föreslår vi en egen bestämmelse som reglerar vårdnadshavares förbud att motsätta sig att uppgifter om barn görs tillgängliga för andra vårdgivare. Förslagen redovisas i det följande.
14.2.3 Grundläggande bestämmelse om att göra uppgifter tillgängliga
Vårt förslag: I hälso- och sjukvårdsdatalagen ska i en paragraf
anges de grundläggande förutsättningarna för att göra personuppgifter tillgängliga i system för sammanhållen journalföring. I paragrafen ska anges att vårdgivare får göra uppgifter som dokumenterats för ändamålet vårddokumentation tillgängliga för andra vårdgivare, om patienten efter att ha fått information om vad den sammanhållna journalföringen innebär och om sin rätt att motsätta sig, inte har motsatt sig det.
Vår bedömning: Förslaget innebär inte några förändringar i sak
jämfört med vad som gäller enligt patientdatalagen i dag.
Som anförts ovan är den nuvarande bestämmelsen i 6 kap. 2 § PDL med förutsättningar för att tillgängliggöra uppgifter i system för sammanhållen journalföring lång och omfattande. För att göra regelverket tydligare och mer överskådligt föreslår vi att de grund-
SOU 2014:23 En ny sammanhållen journalföring
343
läggande förutsättningarna samlas i en egen bestämmelse. I denna paragraf anges kraven på information till patienten innan tillgängliggörandet. Där regleras också vilka typer av uppgifter som får lämnas ut genom sådan direktåtkomst, dvs. sådana uppgifter som dokumenterats för ändamålet vårddokumentation. Vidare ska, precis som enligt nuvarande reglering i patientdatalagen, en förutsättning för att få göra uppgifter tillgängligavara att patienten inte har motsatt sig det.
Vårt förslag innebär inte några förändringar i sak jämfört med vad som gäller i dag och vad som regeringen anförde i denna del i förarbetena till patientdatalagen.3
Vårdgivarens informationsskyldighet och patientens rätt att motsätta sig
När det gäller vårdgivarens skyldighet att informera patienter om sammanhållen journalföring ansluter vi oss till regeringens uttalanden i förarbetena till den nuvarande bestämmelsen i 6 kap. 2 § PDL och till den praxis som har utarbetats av Datainspektionen. Vidare ska ett tillgängliggörande av uppgifter i system för sammanhållen journalföring enligt hälso- och sjukvårdsdatalagen precis som i dag bygga på att patienten inte motsätter sig det. Den s.k. opt-outmodell som i dag gäller, dvs. patientens rätt att motsätta sig, ska således överföras oförändrad till hälso- och sjukvårdsdatalagen.
Med avseende på informationsplikten och patientens rätt att motsätta sig uttalade regeringen bland annat följande i förarbetena.4
Något krav på samtycke i den mening som avses i personuppgiftslagen såsom förutsättning för personuppgiftsbehandlingen föreslås alltså inte. Genom den föreslagna bestämmelsen uppnår man i stället en ordning där ett slags opt out-modell eller, om man så vill, ett tyst samtycke i praktiken gäller för att journaluppgifter lämnas ut till andra vårdgivare genom införande i ett system för sammanhållen journalföring. Givetvis måste denna opt out-ordning kombineras med krav på att patienten blir informerad om att journalföring m.m. avses ske i en för flera vårdgivare sammanhållen journalföring och om sin rätt att motsätta sig att uppgifterna görs tillgängliga för andra vårdgivare än den patienten uppsökt. Enligt regeringens uppfattning ska tillgängliggörandet inte få ske innan denna information lämnats. Hur denna information ska lämnas kan inte anges generellt. Regeringen förut-
3 Se framför allt prop. 2007/08:126 s. 112 f och s. 248–250. 4Prop. 2007/08:126 s. 113.
En ny sammanhållen journalföring SOU 2014:23
344
sätter att hälso- och sjukvårdens aktörer hittar lämpliga former som är väl avvägda och anpassade till olika verksamhetsområden och till olika slags samarbeten mellan vårdgivare genom sammanhållen journalföring samt till den enskilde patientens förmåga att ta till sig informationen.
När det gäller tillvägagångssättet för att informera patienter anför regeringen även följande i förarbetena.5
Hur informationen ska lämnas överlåts åt varje personuppgiftsansvarig att bestämma. Något krav på att informationen ska ges i viss form – muntlig eller skriftlig – finns inte. Det är dock viktigt att den personuppgiftsansvarige utarbetar rutiner för hur informationsskyldigheten ska fullgöras. Säkra rutiner ligger i den personuppgiftsansvariges eget intresse, eftersom denne – då det gäller information till en registrerad vid personuppgiftsbehandling – anses ha bevisbördan för att obligatorisk information faktiskt har lämnats till patienten.
Det finns således inga uttryckliga krav på i vilken form informationen om sammanhållen journalföring ska lämnas utan det är upp till vårdgivarna att hitta lämpliga former som är väl avvägda och anpassade till olika verksamhetsformer och olika slags samarbeten mellan vårdgivare. En förutsättning för att individen ska kunna ta ställning är självklart att rätt information har lämnats av vårdgivaren, något som Datainspektionen i ett antal tillsynsärenden funnit brister i.
Även om det inte finns krav på att informationen ska vara individuell är det vårdgivaren som ansvarar för att alla har fått information. I praktiken informerar vårdgivare genom annonsering i länstidningar, dagstidningar, på olika webbsidor, i informationsbroschyrer, på affischer och genom information i samband med kallelser m.m. Datainspektionen har i ett antal tillsynsärenden bedömt att sådana informationsinsatser gör att vårdgivare kan göra uppgifter tillgängliga i enlighet med bestämmelserna i 6 kap. 2 § PDL.6För de individer som efter en sådan informationsinsats inte vänder sig till vårdgivaren och motsätter sig den sammanhållna journalföringen görs vårddokumentationen tillgänglig för andra vårdgivare.
Datainspektionen har emellertid i flera tillsynsärenden funnit brister i informationens innehåll och i tillvägagångssättet för att informera. För att illustrera tillsynsmyndighetens syn på hur
5Prop. 2007/08: 126 s. 249 f. 6 Datainspektionens beslut 2011-06-01, dnr. 461-2010.
SOU 2014:23 En ny sammanhållen journalföring
345
information kan lämnas kan följande tillsynsärende rörande en privat vårdgivare nämnas.7
Bolaget tillhandahåller Landstingets patientbroschyr i Bolagets väntrum. I övrigt lämnas inte någon annan information om sammanhållen journalföring till Bolagets patienter som ingår i den sammanhållna journalföringen. Detta innebär att patienter som har Bolaget som vårdgivare ännu inte har erhållit information om vad sammanhållen journalföring innebär och om att patienten kan motsätta sig detta. ---- Datainspektionen vill i sammanhanget lämna följande information. Bolaget måste nu avgöra vilka åtgärder som ska vidtas när det gäller informationsskyldigheten och se till att samtliga av Bolagets patienter som Bolaget har tillgängliggjort inom ramen för den sammanhållna journalföringen, dvs. även de patienter som eventuellt inte är bosatta i länet, blir informerade. Datainspektionen anser att Bolaget, för att kunna uppfylla informationsskyldigheten mot patienter bosatta såväl inom som eventuellt utom länet, behöver informera i medier som finns både inom och eventuellt utom länet. När det gäller att informera patienter utanför länet finns även en möjlighet för Bolaget att samarbeta med aktuella vårdgivare i de olika länen. Datainspektionen anser vidare att det är lämpligt att Bolaget informerar patienterna vid minst ett par tillfällen i medierna. När det gäller tillvägagångssättet för att kontinuerligt informera patienter, dvs. de som besöker Bolaget för första gången, anser Datainspektionen att Bolaget förutom att endast tillhandahålla broschyrer i väntrum, även måste uppmärksamma patienterna på att ta del av broschyren. En sådan hänvisning kan göras på många olika sätt, t.ex. muntligt eller, vid planerade besök, i samband med kallelser. Datainspektionen vill även framhålla att när det gäller t.ex. patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på flera språk.
Vi kan konstatera att vårdgivare behöver vidta ett antal olika informationsinsatser för att kunna nå samtliga patienter, dvs. både enskilda som redan finns i vårdgivarens journalsystem och enskilda som besöker vårdgivare för första gången. Vi har vid våra kontakter med vårdgivare även blivit informerade om att det finns ett antal mer eller mindre stående informationsinsatser och kombinationer av informationsinsatser som används. Det är viktigt att detta arbete upprätthålls och kontinuerligt anpassas efter nya situationer som kan uppstå.
7 Datainspektionens beslut 2011-02-17, dnr. 616-2010.
En ny sammanhållen journalföring SOU 2014:23
346
Vi anser även att det kan finnas skäl att överväga en mer samordnad nationell informationsinsats riktad till hela befolkningen. Detta för att öka det allmänna medvetandet om informationshantering i hälso- och sjukvården i allmänhet och informationsutbytet genom sammanhållen journalföring i synnerhet. Det skulle kunna göras som ett komplement till vårdgivarnas egna informationsinsatser, men möjligtvis i viss mån även kunna ersätta sådana insatser som vårdgivare i dag gör var för sig trots att det handlar om ett och samma samarbete och system för sammanhållen journalföring. Ett sådant exempel skulle möjligtvis kunna vara informationen kring den Nationella patientöversikten, NPÖ. Ifall detta är lämpligt och om en sådan informationsinsats skulle kunna gå att utforma på ett sådant sätt att det i viss mån ersätter vårdgivarnas egna informationsinsatser bör dock övervägas mer noggrant än vad vi har möjlighet att göra. Generellt kan dock ifrågasättas lämpligheten och effektiviteten av att i princip varje privat vårdgivare, varje landsting och varje kommun ska ta fram informationsmaterial för i princip samma sak.
Vidare kan konstateras att det inte heller med avseende på informationens innehåll finns några uttryckliga krav i patientdatalagen, förutom att det anges att patienten ska få information om vad den sammanhållna journalföringen innebär. Datainspektionen har i sin praxis bedömt att en vårdgivare åtminstone behöver lämna följande information.8
• Ändamålet med den sammanhållna journalföringen.
• Vilka uppgifter vårdgivaren avser att tillgängliggöra.
• För vilka andra vårdgivare uppgifterna tillgängliggörs.
• Vilka förutsättningar som gäller för andra vårdgivares åtkomst till uppgifterna.
• Patientens rätt att spärra uppgifter och hur spärrar får hävas.
8 Datainspektionens beslut 2011-02-17, dnr. 590-2010, 591-2010 och 616-2010.
SOU 2014:23 En ny sammanhållen journalföring
347
14.2.4 Grundläggande bestämmelse om patienten inte endast tillfälligt saknar förmåga att ta ställning
Vårt förslag: Vårdgivare får en möjlighet att göra person-
uppgifter tillgängliga i system för sammanhållen journalföring även om en patient inte endast tillfälligt saknar förmåga att ta ställning till personuppgiftsbehandlingen. Detta under förutsättning att det inte är uppenbart att patienten skulle ha motsatt sig sådan personuppgiftsbehandling.
Inledning
För en patientsäker hälso- och sjukvård är det i dag mer eller mindre nödvändigt för vårdgivare att vid behov kunna nå viktig information om patienterna i varandras journalsystem. Det gäller inte minst på det lokala planet i den kommun och det landsting patienten bor i. Genom sammanhållen journalföring kan vårddokumentation, oavsett vilka vårdgivare som är delaktiga i vården av en patient, alltid nås av behörig personal som behöver den i sitt möte med patienten. De allra flesta medborgare väljer att inte motsätta sig att vårddokumentation blir potentiellt tillgänglig för vårdgivare på detta sätt. I den allmänna debatten och vid våra kontakter med patient- och anhörigorganisationer har framkommit att de flesta redan förutsätter att så är fallet, dvs. att den som patienten möter i vården har tillgång till rätt och aktuell information för säker vård.
Ett problem är dock att patientdatalagen saknar bestämmelser om hur personer som inte endast tillfälligt saknar beslutsförmåga ska kunna dra nytta av en sådan informationsdelning och de fördelar det kan medföra i form av ökad kvalitet och patientsäkerhet. En person som i det aktuella avseendet har nedsatt beslutsförmåga kan ju varken informeras om sammanhållen journalföring eller ta ställning till om vårddokumentationen ska få delas på det sättet. En möjlighet skulle visserligen kunna vara att låta en legal ställföreträdare fatta beslut å den enskildes vägnar. I praktiken saknas dock ett sådant ställföreträdarskap som skulle kunna agera i den enskildes ställe i dessa frågor. Det har heller inte bedömts vara möjligt att exempelvis låta en närstående ta emot informationen
En ny sammanhållen journalföring SOU 2014:23
348
och ge uttryck för den enskildes vilja.9 Därutöver får även antas att inte alla har närstående som har möjlighet att bevaka och utöva den enskildes intressen i sådan utsträckning som skulle krävas för att regelverket skulle ge alla samma förutsättningar.
Sammantaget får det enligt gällande rätt anses oklart om det över huvud taget är möjligt att inkludera vuxna personer som inte endast tillfälligt har nedsatt beslutsförmåga i system för sammanhållen journalföring. Det finns därför stora behov av att lägga förslag som gör de möjligt att använda denna typ av informationsdelning för en god och säker vård även för personer med nedsatt beslutsförmåga.
Utredningens delbetänkande SOU 2013:45
Utredningen har i delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga, SOU 20013:45, föreslagit ändringar av patientdatalagen som gör det möjligt för personer med nedsatt beslutsförmåga att dra nytta av sammanhållen journalföring. Vi föreslår nu att det förslaget i stället tas in i den hälso- och sjukvårdsdatalag som vi föreslår.
I det följande återges centrala delar av vårt förslag. För ytterligare vägledning hänvisas till delbetänkandet.
Vi anser att lagstiftaren måste ta ett särskilt ansvar för den grupp patienter som inte själva kan föra sin information vidare i hälso- och sjukvården. Det gäller inte minst vuxna som av olika skäl och många gånger över tid har en nedsatt beslutsförmåga. Den som på grund av sjukdom, psykisk störning, försvagat hälsotillstånd eller annat liknande förhållande mer varaktigt saknar beslutsförmåga har i de flesta fall större nytta av att uppgifter finns potentiellt tillgängliga för andra vårdgivare än patienter som själva har möjlighet att berätta viktiga detaljer om sin hälsa i kontakten med hälso- och sjukvården.
I sammanhanget kan uppmärksammas att lagstiftaren när det gäller barn valt att undanta dem från möjligheterna att motsätta sig den sammanhållna journalföringen. Inte heller vårdnadshavaren har i dessa fall rätt att motsätta sig att uppgifter om barn görs tillgängliga. Syftet har varit att göra det möjligt att hålla vårddokumentation om barn tillgängliga för vårdpersonal hos olika vårdgivare, för att på sådant sätt få bättre möjligheter att upptäcka
9 Se t.ex. Datainspektionens beslut dnr 1048-2012.
SOU 2014:23 En ny sammanhållen journalföring
349
om ett barn far illa. Regeringen ansåg att skyddet för barnet väger tyngre än behovet av skydd för barnets integritet10.
Det går visserligen inte att komma ifrån att ett tillgängliggörande av uppgifter i system för sammanhållen journalföring kan medföra ökade risker för intrång i den personliga integriteten. Vi bedömer emellertid att behovet av skydd för patientens liv och hälsa väger tyngre än dennes behov av ett sådant skydd för den personliga integriteten som ett exkluderande innebär. I våra kontakter med patient- och anhörigorganisationer framgår det dessutom tydligt att man vill, och redan i dag förutsätter, att viktig information – om alla patienter – ska finnas där den behövs alldeles oavsett om den exempelvis är dokumenterad i kommunens hälso- och sjukvård, på vårdcentralen eller på sjukhuset. Det avgörande ska inte vara i vilken organisation uppgifterna är dokumenterade utan i vilken vårdsituation uppgifterna behövs. Inte minst för den som inte själv kan redogöra för viktiga detaljer kring sitt hälsotillstånd är det en förutsättning för en god och säker vård.
Vidare bedömer vi att det regelverk vi föreslår för hantering av patienters personuppgifter generellt bidrar till ett starkt integritetsskydd. I hälso- och sjukvårdsdatalagen tydliggörs kraven på vårdens aktörer att vidta tekniska och organisatoriska åtgärder för att tillgodose behovet av skydd för den personliga integriteten. Dessa ska precis som i dag kompletteras med närmare föreskrifter från Socialstyrelsen. Bestämmelser om inre sekretess, om behörighetsstyrning, om åtkomstkontroll och om rätt för patienten att få information om åtkomst till sina uppgifter, medför att alla patienter får ett ur lagstiftarens perspektiv starkt grundläggande integritetsskydd. Detta kompletteras och stärks även av att hälso- och sjukvårdspersonalen är skyldiga att tillämpa bestämmelser om sekretess och tystnadsplikt.
Närmare om vårt förslag
För att den som har nedsatt beslutsförmåga ska ha samma möjligheter som andra individer att dra nytta av ett mer patientsäkert och effektivt informationsutbyte föreslår vi sammanfattningsvis ett undantag i hälso- och sjukvårdsdatalagen som innebär att vårdgivare, under vissa förutsättningar, kan göra personuppgifter tillgängliga i system för sammanhållen journalföring även om patienten
En ny sammanhållen journalföring SOU 2014:23
350
inte kan ta emot information och ta ställning till åtgärden. Förslaget vilar på den grundläggande värderingen om att det på en generell nivå är det bästa för den enskildes liv, hälsa och livskvalitet. Vi bedömer att det ligger i den enskildes intresse att t.ex. primärvårdsläkaren har möjlighet att ta del av den information som behövs från det särskilda boendet eller från sjukhuset för att göra bästa möjliga ställningstaganden för den enskildes vård och behandling. Dessutom vårdas ofta individer med nedsatt beslutsförmåga växelvis hemma, på sjukhus, på vårdcentraler och i olika former av särskilda boenden. Sammanhållen journalföring är därför en nödvändig förutsättning för att alla dessa berörda, offentliga som privata vårdgivare, ska kunna ge den enskilde en god och säker vård.
Från lagstiftningens nuvarande krav på information och möjlighet att motsätta sig sammanhållen journalföring undantas således vuxna som inte endast tillfälligt saknar förmåga att ta ställning till saken. Genom vårt förslag till undantag görs detta informationsutbyte möjligt för alla patienter. Det ska inte göras på samma, men på ett liknande sätt som redan gäller för barn. Till skillnad mot vad som gäller för barn ska inte möjligheten att tillgängliggöra uppgifter vara helt utan undantag. Om det är uppenbart att den enskilde skulle ha motsatt sig tillgängliggörandet, får uppgifterna inte göras tillgängliga för andra vårdgivare.
För patienter, närstående, vårdgivare och personal som arbetar i hälso- och sjukvården är det viktigt att det så långt möjligt är tydligt när en personuppgiftsbehandling är laglig och när den inte är det. Bland annat av den anledningen bedömer vi att det ska vara uppenbart att den enskilde skulle ha motsatt sig tillgängliggörandet för att en sådan personuppgiftsbehandling inte ska få genomföras. Vi bedömer även att det ligger i linje med den värdering lagstiftaren gjort vad gäller patienter som har förmåga att ta ställning till personuppgiftsbehandlingen. Där är det upp till den patient som inte önskar medverka i system för sammanhållen journalföring som har ett ansvar för att aktivt motsätta sig detta.
Närmare om betydelsen av patientens inställning m.m.
I linje med de grundläggande bestämmelserna i hälso- och sjukvårdslagen (1982:763), förkortad HSL, om att all hälso- och sjukvård ska bygga på respekt för patientens självbestämmande och
SOU 2014:23 En ny sammanhållen journalföring
351
integritet har en vårdgivare att beakta vad som är känt om den enskildes inställning i den aktuella frågan. Om det för vårdgivaren finns omständigheter som pekar på att den enskilde uppenbarligen hade motsatt sig sammanhållen journalföring, ska ett tillgängliggörande av personuppgifter inte kunna göras med stöd av den bestämmelse vi föreslår. Sådana omständigheter kan exempelvis utgöras av att vårdgivaren känner till eller får kännedom om att den enskilde motsatt sig sammanhållen journalföring i annat, liknande, sammanhang. Det kan även handla om att närstående lämnar välgrundad information om saken, exempelvis i samband med vårdplanering eller inflyttning på särskilt boende eller inför planerad hälso- och sjukvård. För vårdgivarna är det därför viktigt att i dessa olika möten med patienter och närstående informera om sammanhållen journalföring och försöka ta reda på ifall den enskilde skulle ha motsatt sig det.
Närstående har ingen formell rätt att besluta i den enskildes ställe, utan det är hälso- och sjukvårdspersonalen hos vårdgivaren som ska ta ställning till personuppgiftsbehandlingen. Närståendes uppfattning om patientens inställning kan dock vara vägledande. I dessa fall handlar det således om att hälso- och sjukvårdspersonalen har att göra en bedömning som liknar den som ändå alltid görs för att kunna ge vård och behandling åt en person med nedsatt beslutsförmåga. Den personuppgiftsbehandling som ett tillgängliggörande innebär ska därmed göras utifrån vad som är känt om den enskildes inställning och hälso- och sjukvårdspersonalens bedömning av vad som är det bästa för den enskilde. Om det är uppenbart att den enskilde skulle ha motsatt sig den sammanhållna journalföringen, ska uppgifterna inte få göras tillgängliga för andra vårdgivare på det sättet.
För att enskilda och närstående ska känna till att en vårdgivare ingår i system för sammanhållen journalföring är det nödvändigt för vårdgivaren att på olika sätt tillhandahålla information. Som anförts i det föregående bör det förutom riktad information vid möten med patienter och närstående och i samband med kallelser till vård, hållas information tillgänglig exempelvis på hemsidor och i sjukvårdens lokaler. Eftersom sammanhållen journalföring fortfarande är under utveckling och sannolikt ännu inte är allmänt känt bland medborgarna, bör vårdgivare dessutom med jämna mellanrum aktivt tillhandahålla information. Det kan exempelvis göras i länstidningar som går ut till alla hushåll, vilket bl.a. Datainspektionen har lyft fram i sina tillsynsärenden. Det skulle öka
En ny sammanhållen journalföring SOU 2014:23
352
medvetenheten hos patienter och närstående och därmed även stärka deras ställning. Sannolikheten för att personer med en beslutsförmåga som varierar över tiden ska få reda på vad sammanhållen journalföring innebär och vilka rättigheter man har som patient, ökar även om information tillhandahålls kontinuerligt och på olika sätt. Sådana personer ges då ökade möjligheter att tillvarata sina rättigheter under perioder när förmågan att ta ställning till frågor om sammanhållen journalföring finns.
Många personer som i dag har en mer varaktigt nedsatt beslutsförmåga får sitt hälso- och sjukvårdsbehov tillgodosett både av kommunal- och landstingsfinansierad hälso- och sjukvård. I den samverkan är sammanhållen journalföring i dagsläget inte infört i lika stor utsträckning som det är mellan olika landstingsfinansierade vårdgivare, t.ex. i primärvården. De flesta kommuner och landsting utbyter i dag inte uppgifter genom sammanhållen journalföring. Däremot pågår ett sådant införande över hela landet i och med att fler och fler landsting och kommuner ansluter sig till den nationella patientöversikten, NPÖ. En målsättning med det är att öka patientsäkerheten genom att se till att rätt information om exempelvis äldre patienter med nedsatt beslutsförmåga finns tillgänglig både hos primärvårdsläkaren, på sjukhuset, i det särskilda boendet och i hemsjukvården. I samband med denna utveckling och i samband med anslutning till NPÖ borde det enligt vår mening finnas goda förutsättningar för vårdgivarna att informera patienter och deras närstående om detta och sedan – om det inte är uppenbart att den enskilde skulle ha motsatt sig – göra det möjligt att dela den enskildes information genom sammanhållen journalföring.
Utredningens förslag innebär således inget uttryckligt krav på vårdgivare att försöka klarlägga patientens inställning till medverkan i sammanhållen journalföring. Eftersom det i dag inte finns något krav på att informera varje patient individuellt har vårdgivaren inte heller alltid någon kännedom om den enskildes beslutsförmåga i det ögonblick uppgifterna görs tillgängliga i system för sammanhållen journalföring. Ett sådant krav skulle, enligt vår bedömning, i praktiken vara mycket svårt att leva upp till. Inte minst för många av de landstingsfinansierade vårdgivarna som står i begrepp att ansluta sig till system för sammanhållen journalföring. Det innebär att uppgifter kan göras tillgängliga i system för sammanhållen journalföring om vårdgivaren inte äger kännedom om patientens beslutsförmåga, under förutsättning att det för vård-
SOU 2014:23 En ny sammanhållen journalföring
353
givaren inte är uppenbart att patienten skulle ha motsatt sig. I situationer där det är praktiskt möjligt bör bedömningen av patientens beslutsförmåga emellertid ske i samband med att det blir aktuellt att tillgängliggöra personuppgifterna i systemet för sammanhållen journalföring. En sådan situation kan exempelvis uppstå i samband med att en patient med nedsatt beslutsförmåga vänder sig till en ny vårdgivare för första gången eller i samband med att en vårdgivare inom den kommunala hälso- och sjukvården står inför att göra uppgifter om patienter i särskilda boenden tillgängliga i system för sammanhållen journalföring för första gången.
14.2.5 Patientens rätt att motsätta sig sammanhållen journalföring
Vårt förslag: Bestämmelser som ger uttryck för patientens rätt att
motsätta sig sammanhållen journalföring samt konsekvenserna av detta m.m. ska samlas i en egen paragraf. Vårdgivare får inte göra uppgifter tillgängliga i system för sammanhållen journalföring om en patient motsätter sig detta. Sådana uppgifter får inte vara tekniskt åtkomliga för andra vårdgivare. Uppgift om att patienten motsatt sig samt uppgift om vilken vårdgivare som har ansvarar för uppgifterna får dock göras tillgängliga. Vidare kan en patient när som helst begära att den vårdgivare som ansvarar för uppgifterna, som inte har gjorts tillgängliga, gör dessa tillgängliga i systemet för sammanhållen journalföring. Vårdgivare får inte tillgodose patientens begäran om att motsätta sig eller att göra uppgifter tillgängliga igen, utan att patientens identitet har säkerställts. Paragrafen ska även innehålla en hänvisning till en annan bestämmelse som begränsar patientens rätt att motsätta sig att vissa uppgifter görs tillgängliga i system för sammanhållen journalföring.
Vår bedömning: Vårt förslag innebär, med ett undantag, ingen
förändring i sak jämfört med vad som gäller i dag. Den förändring vi föreslår består av ett uttryckligt krav på vårdgivare att säkerställa patientens identitet enligt ovan. I övrigt innebär förslaget att begreppet spärr mönstras ut från regelverket om sammanhållen journalföring. Detta för att bättre uttrycka att uppgifter om en patient som motsätter sig sammanhållen
En ny sammanhållen journalföring SOU 2014:23
354
journalföring över huvud taget inte är tekniskt åtkomliga för andra vårdgivare. Sådana uppgifter går således inte att ta del av med direktåtkomst i en nödsituation.
I den nuvarande bestämmelsen i 6 kap. 2 § PDL uttrycks även patientens rätt att motsätta sig att uppgifter görs tillgängliga i system för sammanhållen journalföring och vilka konsekvenser en sådan spärr medför. För att bättre lyfta fram patientens rättighet bör den enligt utredningens bedömning vara enkel att hitta i lagen. Därför föreslår vi att bestämmelsen regleras i en egen paragraf under en egen rubrik En patients rätt att motsätta sig sammanhållen
journalföring.
Vårt förslag innebär, med ett undantag, inte några förändringar i sak jämfört med vad som gäller i dag och överensstämmer med vad regeringen anförde i denna del i förarbetena till patientdatalagen.11
Den förändring utredningen föreslår är att vårdgivare ska säkerställa patienternas identitet i samband med att patienter motsätter sig att uppgifter görs tillgängliga i system för sammanhållen journalföring och när samma patienter sedan begär att sådana uppgifter ändå ska göras tillgängliga.
Patientens rätt att motsätta sig
Patientens rätt att motsätta sig innebär som tidigare nämnts inget krav på vårdgivaren att inhämta ett aktivt samtycke från patienten till att uppgifter görs tillgängliga i system för sammanhållen journalföring. Det innebär i stället att patienten har en rätt att motsätta sig att uppgifterna tillgängliggörs efter att ha blivit informerad om den sammanhållna journalföringen. Det är således ett ansvar för den patient som inte vill att uppgifter görs tillgängliga att ta initiativ och meddela vårdgivaren detta.
Denna lösning ger uttryck för vad man kan kalla för en opt-outmodell eller, om man så vill, en ordning i vilket ett tyst samtycke gäller för att journaluppgifter görs tillgängliga för andra vårdgivare. Att patienten kan motsätta sig ett tillgängliggörande innebär inte att han eller hon har rätt att motsätta sig att uppgifter journalförs i det elektroniska journalsystemet. Det innebär bara att uppgifterna
11 Se framför allt prop. 2007/08:126 s. 112–115 och s. 248–250.
SOU 2014:23 En ny sammanhållen journalföring
355
på den enskildes begäran inte får vara åtkomliga hos andra vårdgivare.12
Innebörd och konsekvenser av att patienten motsätter sig sammanhållen journalföring
En patient har i dag rätt att välja att helt stå utanför sammanhållen journalföring. I sådant fall får en vårdgivare inte göra vårddokumentation tillgänglig för andra vårdgivare. Samtidigt finns det inget hinder mot att vårdgivare gör det möjligt för patienter att själva välja om vissa uppgifter inte ska göras tillgängliga och vissa ska göras tillgängliga för andra vårdgivare i systemet för sammanhållen journalföring. Det finns heller inget hinder mot att vårdgivare gör det möjligt för patienter att motsätta sig att uppgifter görs tillgängliga endast i förhållande till någon eller några av de vårdgivare som deltar i systemet. Vilka möjligheter som i dessa avseenden ska erbjudas patienterna är dock upp till vårdgivarna att avgöra.
Vårt förslag innebär att patientens rätt att motsätta sig att uppgifter görs tillgängliga i stort förs över oförändrade till hälso- och sjukvårdsdatalagen. Samtidigt kommer vi längre fram att redogöra för ett förslag som begränsar patientens möjligheter att motsätta sig att vissa uppgifter görs tillgängliga i system för sammanhållen journalföring. Det handlar om vissa uppgifter om ordinerade läkemedel och om s.k. varningsinformation.
Utredningens förslag innebär vissa språkliga förändringar jämfört med vad som uttrycks i patientdatalagen. Vi föreslår exempelvis att begreppet spärr utmönstras ur kapitlet med bestämmelser om sammanhållen journalföring. Detta eftersom ordet spärr, enligt vår bedömning, inte ger en helt rättvisande bild av vad det egentligen handlar om. Konsekvenserna av att patienten motsätter sig är i dag och även med vårt förslag att uppgifterna inte får göras tillgängliga i system för sammanhållen journalföring. Andra vårdgivare har således ingen direktåtkomst till uppgifterna och personal hos andra vårdgivare kan inte läsa uppgifterna.13Regeringen uttalade bland annat följande i förarbetena.14
En ny sammanhållen journalföring SOU 2014:23
356
För det fall en patient motsätter sig att uppgiften görs tillgänglig för andra vårdgivare genom sammanhållen journalföring, ska uppgiften spärras. Den får då inte göras elektroniskt tillgänglig för andra vårdgivare. Spärrade uppgifter blir alltså inte allmänna handlingar hos andra myndigheter som är anslutna till sammanhållen journalföring.
Spärrar i system för sammanhållen journalföring är således hårda, eller absoluta, i den meningen att uppgifterna är tekniskt oåtkomliga. Mot den bakgrunden anser vi att det inte är helt ändamålsenligt att tala om att uppgifterna är spärrade, det finns helt enkelt inte med i systemet. Det innebär exempelvis att uppgifterna inte ens går att nå med direktåtkomst i en nödsituation. Detta följer redan av dagens regelverk och kan exempelvis jämföras med en patient som motsätter sig medverkan i ett nationellt kvalitetsregister. På samma sätt finns sådana uppgifter över huvud taget inte registrerade i det aktuella kvalitetsregistret.
Mot den bakgrunden anser vi att begreppet spärr ska bytas ut och att det av lagen uttryckligen ska framgå att uppgifter inte är teknisk åtkomliga för andra vårdgivare om patienten motsatt sig medverkan i sammanhållen journalföring. Utredningen har under arbetets gång upplevt att det finns en viss osäkerhet i hälso- och sjukvården när det gäller denna innebörd av att inte medverka i system för sammanhållen journalföring. Inte sällan synes vårdgivare tro att uppgifterna som enligt de nuvarande bestämmelserna är spärrade går att nå t.ex. i en nödsituation. Så är emellertid inte fallet. I en nödsituation får uppgifterna i stället lämnas ut av den vårdgivare som ansvarar för dem. En spärr i sammanhållen journalföring kan således inte forceras av den som behöver uppgifterna.
Detta är en skillnad jämfört med vad som i dag gäller för spärrar inom en vårdgivares verksamhet och jämfört med vad vi föreslår gälla för spärrar mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. I sådana situationer innebär en spärr inte att uppgifterna görs tekniskt oåtkomliga på sätt som är fallet vid sammanhållen journalföring. Inom en vårdgivares verksamhet kan den som har behov av uppgifterna för att kunna utföra sitt arbete t.ex. i en nödsituation själv en möjlighet att forcera spärren och ta del av de aktuella uppgifterna. Även för att bättre tydliggöra denna skillnad mellan konsekvensen att å ena sidan motsätta sig sammanhållen journalföring och å andra sidan begränsa åtkomst inom en vårdgivarens verksamhet, är det lämpligt att begreppet spärr ersätts i kapitlet med sammanhållen journalföring.
SOU 2014:23 En ny sammanhållen journalföring
357
Sammantaget innebär detta att en vårdgivare inte får göra uppgifter tillgängliga i system för sammanhållen journalföring, om en patient motsätter sig detta. Sådana uppgifter får inte vara tekniskt åtkomliga för andra vårdgivare.
Uppgift om att patienten motsatt sig och vilken vårdgivare som ansvarar för uppgiften får göras tillgängliga
Av nu gällande bestämmelse följer att det i system för sammanhållen journalföring däremot får ingå en uppgift om att det finns spärrade uppgifter om en patient och uppgift om vilken vårdgivare som har spärrat uppgifterna. Regeringen anför i förarbetena att syftet med detta är att kännedomen om att det finns spärrade uppgifter kan initiera en önskvärd dialog mellan en patient och hälso- och sjukvårdspersonal i en enskild vårdsituation.15 Vårt förslag innebär att denna bestämmelse förs över till hälso- och sjukvårdsdatalagen, men att språkliga justeringar görs med hänsyn till att begreppet spärr utmönstras.
Det innebär att det i system för sammanhållen journalföring även fortsättningsvis får finnas en uppgift om att patienten motsatt sig och en uppgift om vilken vårdgivare som ansvarar för uppgifterna. För att hälso- och sjukvårdspersonal i en enskild situation ska få ta del av den sistnämnda uppgiften, dvs. hos vilken vårdgivare uppgifterna finns, krävs att särskilda förutsättningar är uppfyllda. Se i det följande om våra förslag som rör åtkomst till uppgifter i system för sammanhållen journalföring.
Uppgifter om ordinerade läkemedel och varningsinformation undantas från patientens möjlighet att motsätta sig sammanhållen journalföring
Enligt utredningens förslag får patienten, med två undantag, motsätta sig att vilka uppgifter som helst som har dokumenterats för ändamålet vårddokumentation görs tillgängliga i system för sammanhållen journalföring. Undantagen består av uppgifter om ordinerade läkemedel och s.k. varningsinformation. Utredningen redogör i avsnitt 15 och 16 för våra överväganden och förslag rörande undantag från patientens möjlighet att motsätta sig för
En ny sammanhållen journalföring SOU 2014:23
358
uppgifter om ordinerade läkemedel och uppgifter om varningsinformation som kan medföra allvarlig risk för patientens liv eller hälsa.
Sammantaget innebär utredningens förslag i de delarna att patienten inte får motsätta sig att uppgifter om ordinerade läkemedel och varningsinformation görs tillgängliga i system för sammanhållen journalföring. Det innebär emellertid endast att uppgifterna får vara tekniskt åtkomliga, dvs. potentiellt tillgängliga. För att hälso- och sjukvårdspersonal ska få ta del av sådana uppgifter gäller samma krav som gäller för åtkomst till andra uppgifter i system för sammanhållen journalföring. Att patientens spärrmöjligheter i dessa delar tas bort innebär därmed ingen ökad rätt för vårdgivare att behandla personuppgifterna genom direktåtkomst.
Patientens rätt att begära att uppgifter görs tillgängliga igen
Precis som i dag gäller enligt 6 kap. 2 § PDL föreslår vi att patientens rätt att när som helst begära att en spärr hävs ska anges i hälso- och sjukvårdsdatalagen. Bestämmelsen behöver dock justeras språkligt eftersom begreppet spärr utgår. Bestämmelsen innebär att patienten när som helst kan vända sig till den vårdgivare som har tillgodosett patientens önskan att inte medverka i sammanhållen journalföring och begära att uppgifterna görs åtkomliga.
Vårdgivaren ska säkerställa patientens identitet
En vårdgivare har ett ansvar för att kontrollera att patienten är den han eller hon utger sig för att vara och att önskemålen om att motsätta sig sammanhållen journalföring avser de egna uppgifterna. I syfte att reducera risker för att det blir fel, t.ex. att fel patients uppgifter görs tekniskt oåtkomliga eller att den som utger sig för att vara patienten helt enkelt är någon annan, föreslår vi att det införs ett uttryckligt förbud för vårdgivaren att tillgodose patientens önskemål utan att patientens identitet har säkerställts.
Vi menar att det är av grundläggande betydelse att det så långt möjligt inte blir fel med avseende på medverkan i sammanhållen journalföring, inte minst eftersom ett motsättande innebär att upp-
SOU 2014:23 En ny sammanhållen journalföring
359
gifterna inte finns tekniskt tillgängliga för andra vårdgivare att ta del av.
När det gäller tillvägagångssättet för att säkerställa en patients identitet så anser vi inte att det i lagen ska uppställas några särskilda krav. I hälso- och sjukvården finns redan i dag i ett flertal sammanhang krav på att säkerställa identiteten, exempelvis genom legitimering fysiskt eller elektroniskt genom e-legitimation. Det förekommer naturligtvis även att personal i ett fysiskt möte med patienter redan har en sådan kännedom om patientens identitet att en närmare identitetskontroll inte är befogad. Vi menar att de sätt på vilka hälso- och sjukvården i dag säkerställer patienternas identiteter även kan användas i det här aktuella sammanhanget om att tillgodose patientens önskan och rättigheter.
Som exempel på tillvägagångsätt som kan vara mindre lämpliga kan e-post och telefon nämnas. Om en sådan kommunikation inte görs på ett sådant sätt att patientens identitet är säkerställd är det i regel svårt, för att inte säga omöjligt, att veta vem som döljer sig bakom en e-postadress eller en telefonröst. Av den anledningen anser vi att sådana metoder bör användas med försiktighet.
I sammanhanget kan noteras att vi i det föregående har redovisat motsvarande förslag vid sådana spärrar som kan aktualiseras inom och mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för.
14.2.6 Förbud för vårdnadshavare att motsätta sig sammanhållen journalföring
Vårt förslag: Förbudet för vårdnadshavare att motsätta sig att
uppgifter om barn görs tillgängliga i system för sammanhållen journalföring ska överföras från patientdatalagen, men regleras i en egen paragraf. I paragrafen ska erinras om att vårdgivaren ska ge ett barn möjlighet att själv ta ställning till tillgängliggörandet av uppgifter i takt med barnets stigande ålder och mognad.
I den svårgenomträngliga bestämmelsen i 6 kap. 2 § PDL om regler vid tillgängliggörande av uppgifter genom sammanhållen journalföring uttrycks även att vårdnadshavare till ett barn inte kan spärra uppgifter om barnet. Bestämmelsen tillkom på regeringens initiativ efter att flera organisationer i samband med remissyttranden på
En ny sammanhållen journalföring SOU 2014:23
360
patientdatautredningens betänkande pekat på behovet av ett förbud i denna del. Regeringen uttryckte bland annat följande i sammanhanget.16
Flera av experterna i utredningen och en majoritet av remissinstanserna har uttryckt oro för att utredningens förslag, som ger vårdnadshavare rätt att spärra uppgifter i sina barns journal, kan medföra att vårdpersonalen inte upptäcker barn som far illa och fall där anmälningsskyldighet föreligger enligt socialtjänstlagen. Mot bakgrund av detta anser regeringen att skyddet för barnet väger tyngre än skyddet för den enskildes, i detta fall barnets, integritet. Regeringen föreslår därför en regel som innebär att vårdnadshavare inte har rätt att spärra uppgifter i sina barns journal. I takt med barnets stigande ålder och mognad får dock barnet själv spärra uppgifterna. Beträffande barnets mognadsgrad att själv få avgöra om uppgifter ska spärras föreslår regeringen inte några särskilda bestämmelser. Barn och ungdomar bör hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården. I takt med den underåriges stigande ålder och mognad ska allt större hänsyn tas till barnets önskemål och vilja, om uppgifter om honom eller henne ska få göras tillgängliga för andra vårdgivare eller inte, se 6 kap. 11 § föräldrabalken.
Utredningen har funnit att övervägande skäl talar för att förbudet mot vårdnadshavare att motsätta sig att uppgifter om barnet görs tillgängliga i system för sammanhållen journalföring bör föras över till hälso- och sjukvårdsdatalagen. Även om det rent faktiskt innebär ett väsentligt sämre integritetsskydd för barn i förhållande till vad som är fallet för andra patientgrupper, gör vi liksom regeringen bedömningen att skyddet för barnets liv och hälsa i detta fall väger tyngre. Samtidigt finns det anledning att påminna om att sammanhållen journalföring är en frivillig form av informationsöverföring. Den som har för avsikt att göra uppgifter tillgängliga på detta sätt bör alltid överväga om det är en åtgärd som behövs och i övrigt är lämplig. Det kan även finnas behov av att göra en närmare analys av vilka uppgifter som det generellt sett finns behov av att utbyta genom direktåtkomst. Det gäller även uppgifter som rör barn.
Såväl för vårdnadshavare och barn som för hälso- och sjukvårdspersonal är det viktigt att denna begränsning i rätten att motsätta sig att uppgifter görs tillgängliga genom direktåtkomst uttrycks på ett tydligt sätt och är enkel att hitta i lagen. Därför föreslår vi att bestämmelsen regleras i en egen paragraf under en egen rubrik
Förbud för vårdnadshavare att motsätta sig.
SOU 2014:23 En ny sammanhållen journalföring
361
Vidare har det kommit till utredningens kännedom att det finns en osäkerhet kring detta förbuds omfattning i förhållande till barnet själv. Regeringen uttrycker i förarbetena, som nämns ovan, att barnet i takt med stigande ålder och mognad själv ska få spärra uppgifterna. I syfte att öka tydligheten och stärka barns ställning anser vi att denna princip bör framgå direkt av lagen. Därför föreslår vi en påminnelse om att vårdgivaren, i takt med ett barns stigande ålder och mognad, ska ge barnet möjlighet att själv ta ställning till medverkan i system för sammanhållen journalföring. Någon bestämd åldersgräns för när ett barn ska anses kunna ta ställning till sammanhållen journalföring går inte att fastslå, utan bör hanteras på samma sätt som andra liknande frågor i hälso- och sjukvården. I sammanhanget kan noteras att Datainspektionen ibland har uttryckt att barn som nått en ålder av 15 år normalt har förutsättningar att ta ställning till frågor om personuppgiftsbehandling. Vi ansluter oss till den uppfattningen men bedömer samtidigt att det, beroende på barnets individuella förutsättningar, kan finnas många barn som är yngre än så och som kan anses ha nått en sådan mognadsgrad som krävs för att ta ställning till frågan om sammanhållen journalföring. Inte minst barn som har mycket kontakter med hälso- och sjukvården, exempelvis på grund av en kronisk sjukdom, kan ha särskilda förutsättningar att förfoga över sitt integritetsskydd i detta sammanhang. Det är därför alltid viktigt att vårdgivare skapar utrymme och möjligheter att göra individuella bedömningar för att så långt möjligt tillgodose barns rätt till självbestämmande och integritet.
En förutsättning för att barn och unga ska ha en reell möjlighet att förfoga över sina rättigheter är naturligtvis att de, precis som vuxna, får information om sammanhållen journalföring och rätten att motsätta sig. Vårdgivare behöver därför anpassa information och arbetssätt för att tillgodose barnets rätt till information.
En ny sammanhållen journalföring SOU 2014:23
362
14.3 Våra överväganden och förslag om åtkomst till uppgifter i sammanhållen journalföring
14.3.1 Våra inledande reflektioner kring gällande rätt
Vår bedömning: Regelverket för åtkomst till uppgifter i system
för sammanhållen journalföring har gett upphov till tillämpningsproblem och osäkerhet om betydelsen av de grundläggande villkoren för åtkomst. Det bör övervägas hur regelverket kan utformas för att bli tydligare och lättare att tillämpa för hälso- och sjukvårdspersonalen. Vidare bör övervägas om den nuvarande ändamålsbegränsningen för åtkomst till uppgifter hos andra vårdgivare är lämplig med hänsyn till behovet av att kvalitetssäkra den hälso- och sjukvård patienterna får. Dessutom kan ifrågasättas om det nuvarande kravet på samtycke är ändamålsenligt och om det kan anses vara ett sådant samtycke som avses i personuppgiftslagen (1998:204), förkortad PUL.
Vid sammanhållen journalföring enligt 6 kap. patientdatalagen är de tillåtna ändamålen för behandling av patientuppgifter begränsade. Det är enbart tillåtet att ta del av andra vårdgivares uppgifter för
ändamål som rör vård och behandling samt för att utfärda intyg.
Vidare krävs att uppgifterna rör en patient som vårdgivaren har en
aktuell patientrelation med samt att patienten samtycker till att
uppgifterna används. Dessa förutsättningar regleras i dag i 6 kap. 3 § PDL på följande sätt.
För att en vårdgivare ska få behandla uppgifter som en annan vårdgivare gjort tillgängliga i systemet med sammanhållen journalföring enligt 2 § fjärde stycket krävs att
1. uppgifterna rör en patient som det finns en aktuell patientrelation med,
2. uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso-och sjukvården, och
3. patienten samtycker till det.
Vårdgivaren får även behandla sådana uppgifter om
1. uppgifterna rör en patient som det finns eller har funnits en patientrelation med,
2. uppgifterna kan antas ha betydelse för att utfärda sådant intyg som avses i 3 kap. 16 §, och
3. patienten samtycker till det.
SOU 2014:23 En ny sammanhållen journalföring
363
Till skillnad från informationshanteringen inom en vårdgivares verksamhet, får åtkomst till uppgifter i system för sammanhållen journalföring endast användas för ändamålen vård och behandling av patienten samt för att utfärda intyg. Det innebär bl.a. att det i dag inte är tillåtet att ta del av uppgifter hos andra vårdgivare genom direktåtkomst för att exempelvis följa upp och kvalitetssäkra den egna verksamheten. I detta syfte får endast uppgifter som redan finns i den egna verksamheten användas. Under utredningens arbete har det i flera sammanhang blivit tydligt att det kan finnas behov av att ta del av uppgifter i sammanhållen journalföring för att kvalitetssäkra den egna verksamheten. Sådana behov kan exempelvis finnas i vårdprocesser där flera vårdgivare arbetar tätt tillsammans i vården av patienter. För att en vårdgivare i ett sådant samarbete ska kunna följa upp och säkra kvaliteten på sina insatser kan det finnas behov av att ta del av uppgifter om patienten som dokumenterats av någon av de andra vårdgivarna i vårdprocessen. Mot bakgrund av detta finns det anledning att överväga om den nuvarande ändamålsbegränsningen är helt ändamålsenlig eller om det finns skäl att förbättra möjligheterna för vårdgivare att kvalitetssäkra sin verksamhet och patienternas processer.
Vidare är det intressant att notera att bestämmelserna om tillåtna ändamål och tillåten behandling vänder sig till vårdgivaren som sådan. Vårdgivaren är den myndighet eller det företag som bedriver hälso- och sjukvård. Om man läser bestämmelsen i 6 kap. 3 § PDL ordagrant är det således vårdgivaren som ska ha en aktuell patientrelation och som ska bedöma om uppgifterna kan antas ha betydelse för vården av patienten.
Rekvisitet ”kan antas ha betydelse...”
Det kan vara rimligt att ge vårdgivaren ett ansvar för att begränsa behandlingen av uppgifter från en annan vårdgivare till uppgifter om enskilda som faktiskt är patienter hos vårdgivaren (patientrelation). Men det är sannolikt inte praktisk möjligt för en vårdgivare som sådan att ta ställning till om uppgifterna kan antas ha betydelse för vård i det enskilda fallet. Här kan man anta att lagstiftaren inte helt och fullt har hållit isär vilka skyldigheter som lämpligen bör ligga på vårdgivaren och vilka som bör ligga på hälso- och sjukvårdspersonalen i samband med användning av uppgifterna.
En ny sammanhållen journalföring SOU 2014:23
364
Även när patientdatautredningen i sitt huvudbetänkande beskriver tillämpningen av andra punkten i bestämmelsen, som handlar om att bedöma om uppgifterna har betydelse för vården av patienten växlar utredningen från att vända sig direkt till vårdgivaren till att vända sig till en befattningshavare.17 En ortoped används som exempel på befattningshavare. Det innebär att utredningen sannolik har avsett att det är hälso- och sjukvårdspersonalen eller andra som arbetar åt en vårdgivare som ska tillämpa bestämmelsen. Det framstår också som det som är praktisk genomförbart. Det är den som ska erbjuda vård som kan bedöma om uppgifterna behövs. Valet av vårdgivare som subjekt i denna bestämmelse har, åtminstone i det avseendet, inte varit helt stringent.
Uttalanden i förarbetena tyder även på att regeringen inte haft för avsikt att ge vårdgivaren ett ansvar för en sådan prövning av uppgifternas betydelse. Bestämmelsen bör snarare ses som ett uttryck för att direktåtkomsten till andra vårdgivares uppgifter inte får användas för andra syften än vård och behandling, dvs. en grundläggande bestämmelse om tillåtna ändamål för personuppgiftsbehandlingen.18Mot denna bakgrund har bestämmelsen enligt vår mening fått en olycklig utformning, vilket sannolikt är en av anledningarna till de tillämpningsproblem som finns när det gäller den aktuella bestämmelsen.
Begreppet patientrelation
Patientdatautredningen anför att kravet på att vårdgivaren ska ha en
aktuell patientrelation med den enskilda patienten i fråga inte är en
bestämmelse om inre sekretess utan anger under vilka förutsättningar vårdgivaren som sådan får använda den direktåtkomst som vårdgivaren medgetts genom den sammanhållna journalföringen.19 På så sätt begränsas den lagliga räckvidden, i förhållande till den faktiska tillgången till andra vårdgivares uppgifter, till att enbart omfatta de patienter som vårdas eller behandlas inom den egna verksamheten. Patientdatautredningen menar att det på så sätt tydliggörs att det inte är tillåtet för en vårdgivare att i en behandlingssituation med en patient söka efter och bereda sig tillgång till vårddokumentation avseende en annan patient som vårdas
SOU 2014:23 En ny sammanhållen journalföring
365
hos en annan vårdgivare, t.ex. en nära släkting med samma sjukdomsdiagnos. Denna motivering kan emellertid ifrågasättas eftersom det även finns ett krav på samtycke från patienten innan vårdgivaren får tillgodogöra sig journalinformation från en annan vårdgivare. Journalinformation avseende en annan patient skulle alltså hur som helst inte få inhämtas utan samtycke.
Det bör understrykas att det är vårdgivaren som sådan som ska ha en aktuell patientrelation, inte hälso- och sjukvårdspersonalen. Utredningens erfarenhet är att det finns en osäkerhet kring detta såväl hos hälso- och sjukvårdspersonal som hos vårdgivarnas ledning. Inte sällan uttrycker personalen en tveksamhet inför att ta del av uppgifter om en patient eftersom de inte har träffat patienten och därmed inte upplever sig ha en patientrelation. Det är mot den bakgrunden angeläget att för olika nivåer i verksamheten tydliggöra att patientrelationen i första hand uppstår i förhållande till vårdgivaren, inte i förhållande till den enskilda hälso- och sjukvårdspersonalen.
En patientrelation kan t.ex. uppstå genom att patienten bokar ett besök, kommer till en vårdinrättning och söker vård, remitteras till vårdgivaren, kommer på planerat besök, vårdas inneliggande på en avdelning eller genom att patienten kommunicerar med vårdgivaren elektroniskt m.m. En patientrelation kan uppstå på en mängd olika sätt. Den behöver inte uppstå genom ett fysiskt möte med personal hos en vårdgivare. Exempelvis måste den vårdgivare som tar emot en elektronisk remiss från en annan vårdgivare anses ha en aktuell patientrelation med den patient som omfattas av remissen.
Att det föreligger en aktuell patientrelation hos en viss vårdgivare har däremot ingenting att göra med vilken personal som har rätt att ta del av uppgifter om patienten. Den senare frågan styrs, precis som vid åtkomst av uppgifter i den egna verksamheten, framför allt av personalens behov i förhållande till deras arbetsuppgifter och deltagande i vården och behandlingen av patienten.
Likväl som att en patientrelation kan uppstå på många olika sätt, kan relationen även avslutas på olika sätt. Om en person som vårdats inneliggande på sjukhus skrivs ut utan att det finns behov av några återbesök, efterkontroller eller liknande bör patientrelationen inte längre betraktas som aktuell. På motsvarande sätt upphör den aktuella patientrelationen när en person inte längre är i behov av hemsjukvård eller andra sjukvårdsinsatser i den kommunala hälso- och sjukvården.
En ny sammanhållen journalföring SOU 2014:23
366
Som redovisats ovan innebär kravet på aktuell patientrelation att den legala åtkomsten begränsas, i förhållande till den faktiska tillgången till andra vårdgivares information, till att enbart omfatta de patienter som vårdas eller behandlas inom den egna verksamheten.20 Enligt utredningens uppfattning kan det i viss utsträckning vara möjligt att bygga in integritetsskyddande och behörighetsbegränsande funktioner i it-systemen som gör att vårdgivarens relation med patienten kan kontrolleras automatiskt. Ett sätt att göra det kan vara att ta fram tekniska funktioner som gör att en vårdgivare inte når uppgifter om en patient i ett system för sammanhållen journalföring om inte patienten redan är registrerad hos vårdgivaren, dvs. har en patientjournal upprättad i vårdgivarens verksamhet. Vid en slagning mot systemet för sammanhållen journalföring kan därmed en kontroll göras mot vårdgivarens eget vårddokumentationssystem för att verifiera att patienten är aktuell i verksamheten. En sådan funktion kan exempelvis bidra till att en kommunal vårdgivare inte har teknisk möjlighet att ta del av uppgifter om andra patienter än de som är föremål för kommunens hälso- och sjukvård, t.ex. i särskilda boende eller i hemsjukvården. Genom sådana tekniska funktioner minskas risken för obehörig åtkomst samtidigt som systemet gör det lättare för yrkesutövarna att göra rätt. Inom ramen för utvecklingen av den Nationella Patientöversikten, NPÖ, har exempelvis en liknande funktion kallad ”tillgänglig patient”, TGP, framtagits. Såvitt utredningen förstår syftar den tekniska funktionen, TGP, till att begränsa urvalet av patienter som vårdpersonalen över huvud taget kan ta del av i NPÖ till att motsvara de patienter som redan finns registrerade i verksamheten.
Kravet på patientens samtycke
Den tredje förutsättningen, samtycke från patienten, innebär att ett samtycke från patienten ska finnas för att vårdgivaren ska få ta del av uppgifter i systemet för sammanhållen journalföring. Det ska vara fråga om ett aktivt samtycke från patienten sida. För att vara giltigt ska det även vara frivilligt, särskilt och otvetydigt. Kravet på att det ska vara frivilligt ger uttryck för att patienten ska ha ett fritt val. Att samtycket ska vara särskilt innebär att det inte får vara för generellt eller oprecist. Patienten ska kunna förstå vad samtycket
SOU 2014:23 En ny sammanhållen journalföring
367
handlar om och omfattar. Kravet på att samtycket ska vara otvetydigt innebär att det inte får råda någon tvekan om att patienten verkligen godtar informationsinhämtningen.
Ett sådant samtycke kan lämnas på många olika sätt och vid flera olika typer av situationer. Samtycket kan exempelvis lämnas inför en kontakt med en vårdgivare, dvs. på förhand, eller i den stund patienten har fysisk eller elektronisk kontakt med vårdgivaren och dess personal. I samband med att en patient remitteras till en annan vårdgivare kan det till exempel vara smidigt att inhämta patientens samtycke till att remissmottagaren får ta del av vårdgivarens uppgifter om patienten redan då remissen skrivs. Samtycket följer då med remissen och den som tar emot remissen kan förbereda sig för att ta emot patienten genom att ta del av de uppgifter i systemet för sammanhållen journalföring som behövs.21
Hur länge ett samtycke gäller är beroende av den aktuella situationen. Bedömningen av hur lång tid samtycket ska gälla blir olika beroende på om det gäller ett enstaka besök på en mottagning eller en längre vårdprocess under ett visst sjukdomsförlopp. Om det går att förklara för patienten hur vårdperioden och den planerade vården ser ut och vad samtycket omfattar kan det vara rimligt att hämta in ett samtycke för t.ex. en episod av hemsjukvård eller en vistelse på ett särskilt boende. För den enskilde patienten ska det vara tydligt vad samtycket omfattar och hur länge det gäller. Det är också viktigt att patienten vet att hon eller han kan dra tillbaka samtycket.
Även när det gäller kravet på samtycke är det viktigt att understryka att ett samtycke till åtkomst av uppgifter i system för sammanhållen journalföring primärt ska rikta sig till vårdgivaren som sådan – inte till enskilda yrkesutövare. Det är vårdgivarens arbetsledning och organisatoriska förutsättningar samt patientens hälsoproblem som i det enskilda fallet avgör vilken hälso- och sjukvårdspersonal som har ett behov av att ta del av uppgifter i systemet för sammanhållen journalföring. Den eller de yrkesutövare som i dessa situationer är inblandade i patientens vård och behandling behöver därmed i första hand kontrollera om patienten har lämnat ett samtycke. Om det inte finns blir det hans eller hennes uppgift att be patienten om ett samtycke för vårdgivaren att ta del av journaluppgifter hos en annan vårdgivare.
En ny sammanhållen journalföring SOU 2014:23
368
Under utredningens arbete har även den grundläggande frågan om kravet på samtycke till personuppgiftsbehandlingen är ändamålsenligt och om det egentligen kan anses vara ett sådant samtycke som avses i personuppgiftslagen. Vid utredningens kontakter med både personal och företrädare för patient- och anhörigorganisationer har bland annat framförts uppfattningar om att samtycket till själva vården och behandlingen även borde utgöra grund för den informationshantering som krävs för att vården och behandlingen ska kunna ges med hög kvalitet och patientsäkerhet. Utredningen anser att det ligger mycket i ett sådant resonemang. På ett övergripande plan får det nästan anses självklart att den som samtycker till en viss hälso- och sjukvårdsinsats även vill att den som ska ta ställning till och utföra insatsen kan ta del av all relevant information som behövs för att göra detta på bästa sätt. Mot den bakgrunden finns det enligt vår bedömning skäl att analysera om det nuvarande samtyckeskravet är ändamålsenligt eller inte. Vidare kan ifrågasättas om det i situationer när en patient är i behov av hälso- och sjukvård kan talas om ett sådant frivilligt samtycke till personuppgiftsbehandlingen som följer av personuppgiftslagen.
Behov av kunskapshöjande insatser och tydliga anvisningar till personalen
Den som arbetar inom hälso- och sjukvården ska inte i det vardagliga arbetet behöva vara orolig för att göra sig skyldig till otillåten behandling av patientuppgifter. Det är viktigt att det är enkelt att ta del av de uppgifter som behövs för att ge patienten en god och säker vård. Det är därför också nödvändigt att vårdgivarna tar sitt ansvar och i sitt ledningssystem beskriver hur patientuppgifter ska behandlas i verksamheten. Det måste vara tydligt för medarbetarna vad som ingår i deras arbetsuppgifter och vilka uppgifter som han eller hon måste ta del av för att sköta dessa. För att säkerställa att uppgifterna används på ett lagligt och säkert sätt har vårdgivarna också ett ansvar att ha ändamålsenliga rutiner och system för behörighetstilldelning och behörighetskontroll, liksom för åtkomstkontroll.
Den nuvarande bestämmelsen om tillåten behandling av uppgifter vid sammanhållen journalföring är knuten till att uppgifterna rör en patient som vårdgivaren har en aktuell patientrelation med. Bestämmelsen tolkas ofta som en bestämmelse som reglerar under
SOU 2014:23 En ny sammanhållen journalföring
369
vilka förutsättningar den enskilde yrkesutövaren får bereda sig tillgång till uppgifterna. Frågan om vad som ska betraktas som en aktuell patientrelation har därför medfört tillämpningsproblem. När och hur inleds patientrelationen? Hur länge varar den? När upphör den? På grund av att hälso- och sjukvårdspersonal kan ha svårt att skilja på åtkomst till uppgifter inom vårdgivarens verksamhet och åtkomst i system sammanhållen journalföring har kravet på patientrelation även spillt över på tillämpningen av åtkomst inom den inre sekretessen. Det har vid våra kontakter med hälso- och sjukvårdspersonal exempelvis framkommit missuppfattningar om att den personal som inte har träffat patienten fysiskt inte får ta del av uppgifter eftersom ingen patientrelation skulle föreligga. Resonemanget verkar vara särskilt vanligt vid exempelvis medverkan i ronder och olika typer av konsultationer. Vi gör bedömningen att det är svårt att knyta regler om tillgänglighet till begreppet relation. Det är inte heller helt enkelt att knyta det till begreppen deltar i vården och behövs i arbetet. Dock framstår de begreppen som lättare att använda för att motivera ett försvarbart behov av att ta del av uppgifterna. Det är mer adekvat att beskriva tillåtligheten att ta del av uppgifter till ett behov som föranleds av arbetsuppgifter i vården.
Situationen då den som arbetar åt en vårdgivare ska ta ställning till om han eller hon har rätt att ta del av uppgifter som tillgängliggjorts av en annan vårdgivare liknar den då den som arbetar år en vårdgivare överväger att ta del av uppgifter som finns tillgängliga inom den egna verksamheten. Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete åt vårdgivaren. Den grundförutsättningen gäller både vid sammanhållen journalföring och när man tar del av uppgifter i den egna verksamheten. Det finns enligt vår bedömning behov av att tydliggöra detta för vårdgivare och för hälso- och sjukvårdspersonal. Vi har övervägt att göra detta bl.a. genom att infoga bestämmelser i kapitlet om sammanhållen journalföring, som direkt riktar sig till hälso- och sjukvårdspersonalen. Men vi har valt att inte gå den vägen. I dagsläget bedömer vi att det vore mer effektivt med olika former av kunskapshöjande insatser riktade till vårdgivare och personal.
Tillämpningsproblemen uppstår när vårdgivarna inte ger sina anställda tillräckligt med stöd vid utformning av arbetsuppgifter och rutiner i verksamheten. På grund av den debatt som med jämna
En ny sammanhållen journalföring SOU 2014:23
370
mellanrum blossar upp vad gäller tillåten behandling av uppgifter inom hälso- och sjukvården finns ett behov av informations- och utbildningsinsatser för att öka kompetensen inom detta område. Ansvaret för dessa insatser ligger i första hand på vårdgivarna, men även lagstiftaren och ansvariga myndigheter bör ta ett ansvar för att underlätta tillämpningen. Många som i den allmänna debatten ifrågasätter patientdatalagen och hävdar att den begränsar tillgången till nödvändiga uppgifter och därmed innebär risker för patientsäkerheten tolkar lagens krav på deltagande i vården av patienten alltför snävt. Förmodligen beror detta på en rädsla att göra sig skyldig till dataintrång. Självklart vill man vara säker på att hamna på rätt sida om gränsen för det som kan betraktas som brottsligt. Lagstiftaren, myndigheter och vårdgivare måste tillsammans förtydliga vad som gäller så att de som arbetar i verksamheterna kan känna större trygghet i det dagliga arbetet. Det måste göras tydligt att alla som vårdar patienten, antingen konkret eller genom att bidra med sin kompetens, t.ex. i samband med ronder eller konsultationer, också deltar i vården på ett sådant sätt att de har rätt att ta del av uppgifter om patienten.
Utredningen vill i denna del även hänvisa till den delredovisning som utredningen överlämnade till regeringen den 31 december 2012. Förutom att den berör omkring ett 80-tal vanliga frågeställningar innehåller den även en promemoria som särskilt belyser förutsättningarna för att ta del av uppgifter i system för sammanhållen journalföring. Delredovisningen finns som bilaga till detta betänkande.
Våra sammanfattande reflektioner
Sammantaget konstaterar utredningen att regelverket för åtkomst till uppgifter i system för sammanhållen journalföring har gett upphov till tillämpningsproblem och osäkerhet. Vi har i det föregående redogjort för de missuppfattningar som finns i hälso- och sjukvården om till vem de grundläggande kraven riktar sig till, dvs. i första hand vårdgivaren. Utredningen gör bedömningen att lagstiftningen i sig är utformad på ett sådant sätt att risken för osäkerhet i tillämpningen är stor. Detta gäller, i olika avseenden, samtliga rekvisit i nuvarande 6 kap. 3 § PDL. Vidare finns det i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården ytterligare
SOU 2014:23 En ny sammanhållen journalföring
371
formuleringar som riskerar att bidra till missuppfattningar, t.ex. i fråga om samtycke till sammanhållen journalföring måste vara personligt riktat till en enskild yrkesutövare eller inte.22
Vidare bedömer vi att det finns skäl att analysera om den nuvarande ändamålsbegränsningen, dvs. att uppgifter hos andra vårdgivare endast får behandlas för vården och behandlingen av patienten, är ändamålsenlig i relation till behoven av att kvalitetssäkra den hälso- och sjukvård patienterna får.
Som redovisats ovan anser utredningen att kravet på samtycke till åtkomst i system för sammanhållen journalföring bör analyseras och ställas i relation till det samtycke till vård och behandling patienten lämnar samt till personuppgiftslagens definition av samtycke.
I det följande redogörs för våra närmare överväganden och våra förslag till ett förenklat och mer ändamålsenligt regelverk för åtkomst till uppgifter i system för sammanhållen journalföring.
14.3.2 En ny reglering för åtkomst till uppgifter i sammanhållen journalföring (skede 2)
Vårt förslag: Villkoren för att en vårdgivare ska få ta del av
uppgifter genom sammanhållen journalföring ska uttryckas dels som ett grundläggande krav på att uppgifterna avser en patient hos vårdgivaren, dels som krav på de ändamål som uppgifterna får användas till. Det innebär att vårdgivare endast får ta del av uppgifter som rör en patient som vårdgivaren har eller har haft en patientrelation med. Vidare får vårdgivare endast behandla personuppgifterna om de behövs för ändamålen vård och behandling av patienten, intygsutfärdande eller för att systematiskt och fortlöpande utveckla och säkra kvaliteten av den vård som patienten fått. Jämfört med vad som gäller i dag ska således åtkomst till uppgifter hos andra vårdgivare – under vissa förutsättningar – även få ske för att systematiskt och fortlöpande utveckla och säkra kvaliteten i vården.
Det nuvarande kravet på patientens samtycke till själva personuppgiftsbehandlingen ska inte överföras från patientdatalagen. I stället ska patientens överenskommelse om och
222 kap. 8 § SOSFS 2008:14.
En ny sammanhållen journalföring SOU 2014:23
372
samtycke till själva hälso- och sjukvårdsinsatserna utgöra grund för tillåten åtkomst till uppgifter hos andra vårdgivare.
Vi föreslår även vissa andra språkliga och strukturella förändringar jämfört med regleringen i patientdatalagen.
Inledning
Vi har ovan redogjort för våra reflektioner kring gällande rätt och de tillämpningsproblem och den osäkerhet som regelverket delvis har medfört. Sammantaget har vi gjort bedömningen att det finns skäl att tydliggöra regelverket för åtkomst till uppgifter i system för sammanhållen journalföring, så att det utgör ett bättre stöd för dem som har att tillämpa lagstiftningen. Vidare finns det anledning att överväga dels om nuvarande ändamålsbestämmelse bör utökas, dels om kravet på patientens samtycke är ändamålsenligt.
Mot denna bakgrund föreslår vi att de grundläggande bestämmelserna om under vilka villkor en vårdgivare får ta del av uppgifter genom sammanhållen journalföring (skede 2) delas upp på två bestämmelser under en egen underrubrik i kapitlet om sammanhållen journalföring. Den ena bestämmelsen ska reglera kravet på patientrelation och den andra bestämmelsen ska ange de tillåtna ändamålen. Syftet med uppdelningen är i allt väsentligt att göra regelverket mer överskådligt och bättre anpassat för dem som ska tillämpa det.
En alldeles grundläggande förutsättning för att en vårdgivare kan få åtkomst till vårddokumentation hos en annan vårdgivare är att patienten inte har motsatt sig medverkan i systemet för sammanhållen journalföring. Vi anser att detta inte behöver nämnas i bestämmelserna eftersom uppgifterna inte får finnas tillgängliga i en sådan situation. Den andra vårdgivaren har alltså inte gjort dem tekniskt tillgängliga för åtkomst, vilket som tidigare redovisats är konsekvensen av att patienten motsätter sig.
Patientrelation med vårdgivaren är nödvändig för åtkomst
Det första egentliga villkoret för åtkomst är att uppgifterna avser en patient som vårdgivaren har eller har haft en patientrelation med. Detta villkor ska enligt vårt förslag överföras från patientdatalagen, men regleras i en egen bestämmelse.
SOU 2014:23 En ny sammanhållen journalföring
373
Eftersom vi även föreslår att sammanhållen journalföring ska få användas för kvalitetsutveckling (se i det följande) måste åtkomst också vara tillåten avseende en tidigare patientrelation. Jämfört med gällande rätt har vi därför av språkliga skäl tagit bort ordet aktuell som beskrivning av patientrelationen. Det blir helt enkelt inte helt logiskt att tala om att man har haft en aktuell patientrelation. Vi avser inte att förändra villkorets innebörd annat än på så sätt att även en tidigare patientrelation kan berättiga till åtkomst.
Syftet med bestämmelsen är att avgränsa rätten till åtkomst till sådana uppgifter som avser personer som är eller har varit patienter hos vårdgivaren. Kravet innebär, på samma sätt som i dag, att det inte är tillåtet för en vårdgivare att behandla personuppgifter rörande patienter som inte finns i verksamheten.
Det bör understrykas att det är vårdgivaren som sådan som ska ha en patientrelation, inte hälso- och sjukvårdspersonalen. En patientrelation kan, som anfördes ovan under avsnittet gällande rätt, t.ex. uppstå genom att patienten bokar ett besök, kommer till en vårdinrättning och söker vård, remitteras till vårdgivaren, kommer på planerat besök, vårdas inneliggande på en avdelning eller genom att patienten kommunicerar med vårdgivaren elektroniskt m.m. En patientrelation kan uppstå på en mängd olika sätt. Det krävs inte något fysiskt möte med personal hos en vårdgivare för att patientrelationen ska inledas. Exempelvis måste den vårdgivare som tar emot en elektronisk remiss från en annan vårdgivare anses ha en patientrelation med den patient som omfattas av remissen. När en patient vänder sig till en vårdgivare för att få ett intyg uppstår också en patientrelation.
Tillåtna ändamål vid sammanhållen journalföring
Enligt nuvarande regelverk får åtkomst till uppgifter i system för sammanhållen journalföring endast användas för ändamålen vård och behandling av patienten samt för att utfärda intyg. Jämfört med de tillåtna ändamålen för behandling av personuppgifter inom en vårdgivares verksamhet är således möjligheterna att använda uppgifter genom direktåtkomst starkt begränsade. En konsekvens av ändamålsbegränsningen är att det inte är tillåtet att ta del av uppgifter hos andra vårdgivare genom direktåtkomst för att exempelvis följa upp och kvalitetssäkra den egna verksamheten. Samtidigt har det blivit tydligt att det kan finnas behov av att ta del
En ny sammanhållen journalföring SOU 2014:23
374
av uppgifter i sammanhållen journalföring för att kvalitetssäkra den egna verksamheten. Det handlar inte om behov av att generellt ta del av patientuppgifter hos andra vårdgivare, utan om att ta del av uppgifter om patienter som vårdats både i den egna verksamheten och hos andra vårdgivare. Det är i dag vanligt förekommande att flera vårdgivare arbetar tätt tillsammans i vården av samma patienter. För att en vårdgivare i ett sådant samarbete ska kunna följa upp och säkra kvaliteten på sina insatser kan det finnas behov av att ta del av uppgifter om patienten som dokumenterats av någon av de andra vårdgivarna i vårdprocessen.
Vi anser att ett nära samarbete i vården av en patient som går över vårdgivargränser också måste kunna utvecklas och förbättras. Behoven av att kvalitetssäkra hälso- och sjukvården är inte mindre i dessa situationer jämfört med situationer där hela vårdepisoden kan hållas inom en och samma vårdgivares verksamhet. För att inte förutsättningarna för att kvalitetssäkra den vård patienterna får i processer över vårdgivargränser ska vara sämre än motsvarande förutsättningarna i den egna verksamheten, krävs att reglerna om informationshantering inte sätter upp hinder för detta. De vårdprocesser som passerar olika vårdgivargränser, t.ex. inom primärvård, specialistvård och slutenvård, blir dessutom allt fler. För att patienterna ska tillförsäkras en god och säker vård behöver det finnas goda legala möjligheter att bedriva ett effektivt kvalitetssäkringsarbete vid sådana samarbeten.
Även om vårt förslag om förbättrade möjligheter till direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde genomförs, kommer det ändå att finnas vårdprocesser som korsar huvudmannagränser, t.ex. samarbeten mellan kommunala och landstingskommunala vårdgivare i samarbeten kring äldre och personer med funktionshinder. Dessutom går mycket av den högspecialiserade vården, t.ex. cancersjukvård, inte sällan över landstingsgränser på ett sådant sätt att patienten vårdas växelvis i sitt hemlandsting och växelvis i ett annat landsting. Vi anser att det finns starka patientsäkerhetsskäl som talar för att tillåta direktåtkomst till de uppgifter som behövs för att utveckla kvaliteten i vården även i dessa situationer.
Mot denna bakgrund föreslår vi sammanfattningsvis att de i dag tillåtna ändamålen ska överföras från patientdatalagen och utökas på sådant sätt att direktåtkomst även får användas för att systematiskt och fortlöpande säkra kvaliteten i verksamheten. Med hänsyn till patienternas behov av integritetsskydd och för att
SOU 2014:23 En ny sammanhållen journalföring
375
tydliggöra att ändamålet kvalitetssäkring inte gäller generellt på ett sådant sätt att uppgifter om vilken patient som helst får behandlas, ska självklart det grundläggande kravet på patientrelation även gälla för åtkomst för detta ändamål. I syfte att ytterligare begränsa möjligheterna till kvalitetssäkring i förhållande till verksamhetens behov och den enskildes behov av integritetsskydd ska det i bestämmelsen uttryckas en princip om att det är kvaliteten i de egna hälso- och sjukvårdsinsatserna som ska kvalitetssäkras. Det handlar därmed om en möjlighet att kvalitetssäkra den vård som vårdgivaren ger i relation till patienter som i enskilda situationer omfattas av hälso- och sjukvårdsinsatser från flera vårdgivare. Som ett exempel kan nämnas kvalitetssäkring av den vård som ges en cancersjuk patient som vårdas växelvis i det egna landstinget och växelvis på ett mer specialiserat sjukhus i ett annat landsting. I en sådan situation ska t.ex. vårdgivaren i hemlandstinget därmed kunna ta del av de uppgifter hos den andra vårdgivaren som behövs för att kvalitetssäkra de egna insatserna i förhållande till patienten. Vi bedömer att en sådan direktåtkomst är motiverad med hänsyn till behovet av en god och säker vård för patienterna.
Under utredningens arbete har det även blivit tydligt att det finns ett behov för vårdgivare att ta ett aktivt ansvar för tillämpningen av lagstiftningen och ta fram närmare riktlinjer som ger hälso- och sjukvårdspersonalen stöd i hur personalen förväntas agera för att utveckla och säkra verksamhetens kvalitet. Utredningen har även i samband med den delredovisning som överlämnades den 31 december 2013 tagit fram en promemoria för att ytterligare vägleda vårdgivare i hur patientuppgifter kan användas i det systematiska kvalitetsarbetet. Se vidare bilaga 4 till detta betänkande.
Enligt vårt förslag till bestämmelse om ändamål för sammanhållen journalföring ska det sammantaget tydligt framgå att direktåtkomst till uppgifter genom sammanhållen journalföring endast får användas för ändamålen att förebygga, utreda eller behandla sjukdomar och skador hos patienten, för att systematiskt och fortlöpande utveckla kvaliteten av dessa vårdinsatser och för att utfärda sådana intyg som avses i hälso- och sjukvårdsdatalagen.
En ny sammanhållen journalföring SOU 2014:23
376
Kravet på samtycke till personuppgiftsbehandlingen bör tas bort
Det finns enligt vår bedömning skäl att överväga om kravet på samtycke till personuppgiftsbehandling i samband med åtkomst till uppgifter i sammanhållen journalföring är ändamålsenligt. Det är inte minst viktigt att ställa detta krav i relation till det samtycke som patienter lämnar till själva hälso- och sjukvårdsinsatserna. En naturlig utgångspunkt skulle kunna vara att den som samtycker till vård även samtycker till den informationshantering som behövs för att vården ska kunna ges med hög kvalitet och patientsäkerhet.
Enligt utredningens uppfattning finns det mycket som talar för att det uttryckliga kravet på ett särskilt samtycke från patienten avseende informationshanteringen bör tas bort. Den grundläggande förutsättningen för att överhuvudtaget få vårda en patient är att patienten samtyckt till åtgärden. Vi tror att det är främmande både för patienten och för personalen att utöver att vara överens om insatsen också måsta göra särskilda ställningstaganden till informationsinhämtningen. Den rimliga utgångspunkten är att den patient som har behov av, önskar och samtycker till hälso- och sjukvård av olika karaktär och omfattning också samtycker till den informationshantering som krävs för att patienten ska få bästa möjlig vård. Denna utgångspunkt gäller för hälso- och sjukvårdspersonalens åtkomst till information i den egna verksamheten. Det är inte ett helt rationellt ställningstagande att göra en annan bedömning endast för att information behöver inhämtas från en annan organisation, dvs. en annan vårdgivare.
Rent principiellt kan även innebörden och värdet av det samtycke till informationshanteringen som lagstiftningen i dag föreskriver behöva diskuteras. Formellt ska samtycket vara av sådant slag som avses i personuppgiftslagen. Regeringen uttalar i propositionen att samtycket ska vara frivilligt, särskilt och otvetydigt. Kravet på att samtycket ska vara frivilligt ger enligt regeringen uttryck för att den enskilde verkligen ska ha ett val.23
Men vilket samtycke till personuppgiftsbehandling är det egentligen som erbjuds den patient som är i behov av vård? Det kan övervägas om kravet på frivillighet alltid är uppfyllt i en verksamhet som hälso- och sjukvården. Den patient som i och för sig samtycker till själva vården, t.ex. till att få ett visst läkemedel ordinerat, kan ju inte gärna avstå från att lämna samtycke till den informationsinhämtning som behövs för att ordinerande läkare ska
SOU 2014:23 En ny sammanhållen journalföring
377
kunna ordinera ett för den enskilde lämpligt läkemedel. Om situationen är sådan att patienten i praktiken inte kan avstå, kan samtycket inte gärna vara frivilligt. Också det förhållandet att en patient allmänt sett kan ha en underordnad eller beroende ställning till hälso- och sjukvårdspersonal som efterfrågar samtycke, bör beaktas vid bedömningen av om samtycket lämnas frivilligt på det sätt som personuppgiftslagen kräver.
När det gäller frågan om ett samtycke kan anses vara frivilligt i den mening som avses i personuppgiftslagen kan viss vägledning hämtas från Datainspektionens praxis och uttalanden. Datainspektionen har bland annat rörande samtycken i försäkringssammanhang, dvs. när enskilda ger försäkringsbolag samtycke att hämta in journaluppgifter från hälso- och sjukvården för att bolaget ska behandla en ansökan om försäkring eller göra bedömningar i samband med skadereglering, uttalat följande.24
Den utvidgade informationsplikten gör förstås att det blir lättare för den försäkrade att ta ställning till om han eller hon ska lämna samtycke eller inte. Huruvida de samtycken som lämnas är frivilliga kan dock fortfarande ifrågasättas. Som en jämförelse kan man titta på vad som krävs för att samtycke ska anses frivilligt enligt personuppgiftslagen (1998:204). För att ett samtycke ska anses frivilligt måste den enskilde i praktiken ha ett fritt val att avgöra om hans eller hennes personuppgifter ska få behandlas. Konsekvensen av att man inte samtycker kan bli att man inte får en vara eller tjänst. Är situationen sådan att den registrerade i praktiken inte kan avstå, kan samtycket inte gärna anses frivilligt. Om till exempel myndigheter skulle kräva samtycke till behandling av personuppgifter som en förutsättning för att tillhandahålla samhälleliga tjänster, kan de starkt ifrågasättas om kravet på frivillighet är uppfyllt. Tillhandahållandet av försäkring kan sägas vara en samhällelig tjänst, vilket till exempel kommer till uttryck genom kontraheringsplikten. Vid ansökan om försäkring har man förstås möjlighet att vända sig till ett annat försäkringsbolag. Det troliga är dock att alla försäkringsbolag hanterar ansökan på samma sätt. Om ett bolag avslår ansökan eller begränsar försäkringsskyddet på grund av att sökanden inte vill lämna sitt samtycke till att hälsouppgifter hämtas in, är det troligt att även andra bolag gör det.
När det gäller skaderegleringssituationen anser Datainspektionen i yttrandet att frivilligheten kan ifrågasättas än mer. Alternativen till att lämna det samtycke som begärs vid skadereglering är enligt inspektionen att inte utnyttja sin försäkring. En vägran kan leda till
24 Datainspektionens yttrande på promemoria till lagrådsremiss, 2010-04-08, dnr 465-2010.
En ny sammanhållen journalföring SOU 2014:23
378
att den skadelidande nekas ersättning eller får lägre ersättning. Frågan är därför, enligt Datainspektionen om den skadelidande i praktiken kan avstå från att lämna samtycke.
Enligt utredningens uppfattning har Datainspektionens uttalande flera beröringspunkter med vad som får anses gälla i hälso- och sjukvården. På motsvarande sätt som inspektionen menar att en försäkringstagare i praktiken inte alltid kan avstå från att lämna samtycke, kan en patient som är i behov av och samtycker till vissa hälso- och sjukvårdsinsatser inte neka hälso- och sjukvårdspersonalen att ta del av de uppgifter som behövs för att utföra arbetet i enlighet med kraven på patientsäkerhet och vetenskap och beprövad erfarenhet. På samma sätt som anförs ovan kan patientens erbjudande om vård i praktiken begränsas och anpassas efter den åtkomst till uppgifter som patienten samtycker till. Vi menar att det starkt kan ifrågasättas om den patient som är i behov av vård och samtycker till vård i praktiken kan avstå från att lämna ett sådant samtycke till personuppgiftsbehandlingen som krävs för att den aktuella vården ska kunna erhållas.
När det gäller frågan om samtycke till åtkomst till uppgifter i elektroniska patientjournaler finns även viss vägledning att hämta från den s.k. Artikel 29-gruppen.25 Artikel 29-gruppen anför bland annat följande i sammanhanget.26
Samtycket måste ges frivilligt: Med frivilligt samtycke menas ett beslut som fattats av en person som är vid sina sinnens fulla bruk, utan tvång av något slag, vare sig socialt, ekonomiskt, psykologiskt eller annat. Ett samtycke som i en vårdsituation getts under hot om att en medicinsk behandling inte kommer att ges, eller att behandling av lägre kvalitet kommer att ges, kan inte betraktas som frivilligt. Samtycke som ges av en patient som inte har haft möjlighet att göra ett reellt val eller som har ställts inför ett fullbordat faktum kan inte anses vara giltigt.
Vidare menar 29-gruppen att då en patients hälsotillstånd gör att det är absolut nödvändigt för hälso- och sjukvårdspersonal att behandla personuppgifter i ett elektroniskt journalsystem är det fel att kräva att de måste inhämta samtycke.
Som redovisats ovan krävs enligt patientdatalagen inget särskilt samtycke till personuppgiftsbehandlingen om uppgifterna finns
25 Artikel 29-gruppen består av företrädare för alla medlemsstaternas dataskyddsmyndigheter. Gruppen är rådgivande och oberoende och har till uppgift att se till att dataskyddsdirektivet tillämpas enhetligt i medlemsstaterna. 26 Artikel 29-gruppen för skydd av personuppgifter, WP 131, Arbetsdokument om behandling av hälsorelaterade personuppgifter i elektroniska patientjournaler (EPJ).
SOU 2014:23 En ny sammanhållen journalföring
379
inom vårdgivarens verksamhet. Det är enligt vår mening inte helt rationellt att göra en annan bedömning endast för att information behöver inhämtas från en annan organisation, dvs. en annan vårdgivare. Resonemanget blir särskilt haltande för den grupp människor som har behov av hälso- och sjukvårdsinsatser både från kommuner och också från landsting, exempelvis alla äldre i särskilda boenden och de som får hemsjukvård i ordinärt boende. Dessa är beroende av läkarinsatser från den landstingsfinansierade hälso- och sjukvården och får övriga behov tillgodosedda inom den kommunala hälso- och sjukvården. Vidare är det en grupp människor som ofta är föremål för inläggningar i slutenvården, vilket kan leda till många övergångar i vårdnivåer och byten av vårdgivare.
I dag pågår omfattande insatser på nationell, regional och lokal nivå för att åstadkomma en mer sammanhållen vård och omsorg för denna patientgrupp. Syftet är att stärka patientsäkerheten och öka kvaliteten i patienternas vård bland annat genom tätare samverkan mellan olika vårdgivare. Att i dessa situationer tala om särskilda samtycken för personuppgiftsbehandlingen, utöver det samtycke som ges till hälso- och sjukvårdsinsatserna, är inte ändamålsenligt. Dessutom bidrar det till att befästa de organisatoriska gränserna och sätta den betydelsen framför betydelsen av en informationshantering med individen i centrum.
Ett annat exempel i sammanhanget är hemsjukvården. Hemsjukvården är ett område där det under lång tid har pågått en växling av ansvaret från landstingen till kommunerna. En sådan växling av hemsjukvården innebär normalt att kommunen tar över landstingets ansvar för sjukvård i hemmet upp till sjuksköterskenivå. Läkarinsatserna står dock den landstingsfinansierade verksamheten för, eftersom kommunerna inte får anställa läkare. För det landsting som i dag har kvar ansvaret för hemsjukvården kan informationsutbytet mellan läkare och sjuksköterska göras utan några andra samtyckeskrav än patientens samtycke till vården. Om landstinget och kommunen sedan skulle komma överens om en växling av hemsjukvården skulle en konsekvens av det bli att samma patienter och samma personal plötsligt skulle behöva tillämpa kravet på ett frivilligt, särskilt och otvetydigt samtycke för informationsutbytet mellan läkare och sjuksköterska. Förutom att en sådan situation inte känns helt rimlig kan återigen ifrågasättas om patienten i praktiken kan avstå från att lämna samtycke till personuppgiftsbehandlingen.
En ny sammanhållen journalföring SOU 2014:23
380
Sammantaget finns enligt vår bedömning övervägande skäl för att låta patientens överenskommelse om och samtycke till vård även vara utgångspunkten för informationshanteringen. Den principen har gällt sedan länge och gäller även för hälso- och sjukvårdspersonalens åtkomst till information i den egna verksamheten. Att frångå detta endast på grund av att det i dag finns modern teknik som gör att uppgifter kan utbytas mellan vårdgivare på ett mer effektivt och patientsäkert sätt än tidigare, är inte ändamålsenligt.
Hälso- och sjukvård får överhuvudtaget inte ges mot någons vilja – om detta inte särskilt framgår av lag. Frivilligheten är grundlagsskyddad. Hälso- och sjukvårdsåtgärder får alltså inte vidtas utan patientens samtycke. Det framgår indirekt av hälso- och sjukvårdslagen och patientsäkerhetslagen (2010:659), förkortad PSL. Enligt 2 a § HSL och 6 kap. 1 § PSL ska vården och behandlingen så långt det är möjligt utformas och genomföras i samråd med patienten. Hälso- och sjukvården ska vidare bygga på respekt för patientens självbestämmande och integritet. Hälso- och sjukvårdspersonalen är skyldig att så långt som möjligt samråda med patienten inför utformningen och genomförandet av vården.
Regeringen har i sitt förslag till patientlag uttryckligt reglerat samtyckeskravet avseende vård och behandling.27 Av patientlagen ska framgå att hälso- och sjukvård inte får ges utan patientens samtycke om inte annat följer av lag. Innan samtycke inhämtas ska patienten få information enligt bestämmelserna i patientlagen. Patienten kan när som helst ta tillbaka sitt samtycke. Om en patient inte samtycker till viss hälso- och sjukvård ska patienten få information om vilka konsekvenser detta kan medföra. Patienten kan om inte annat särskilt följer av lag lämna sitt samtycke skriftligen, muntligen eller genom att på annat sätt visa att han eller hon samtycker till den aktuella åtgärden.
Vår utgångspunkt är att såväl vårdinsatser som informationshantering ska genomföras med respekt för den enskildes integritet och självbestämmande. Vår bedömning är att patientens samtycke till att ta emot viss hälso- och sjukvård som regel också omfattar ett samtycke till att hälso- och sjukvårdspersonalen kan inhämta de uppgifter som behövs för att erbjuda vården. I vårdprocesser som sträcker sig över vårdgivargränser finns det behov av ett kontinuerligt informationsutbyte mellan vårdgivarna. I sådana situationer
27 Regeringens proposition Patientlag, 2013/14:106.
SOU 2014:23 En ny sammanhållen journalföring
381
framstår det som naturligt för patienten att de yrkesutövare som utför vårdinsatser också har tillgång till relevant och nödvändig information för att kunna genomföra vården oavsett om den informationen finns hos den vårdgivaren eller någon annan. Vid utredningens kontakter med patient- och anhörigorganisationer framkommer även att många utgår från att yrkesutövaren har tillgång till all dokumentation som behövs. Åtkomst till journaluppgifter behöver inte föregås av något samtycke om uppgifterna hämtas från den egna verksamheten. För patienten framstår det sannolikt som en jämförlig situation om uppgifter behöver inhämtas från en annan vårdgivare. Många gånger är patienten inte ens medveten om att han eller hon har passerat en vårdgivargräns.
Vi gör därför bedömningen att åtkomsten till uppgifter som finns hos en annan vårdgivare inte ska behöva föregås av något särskilt samtycke. Patientens överenskommelse om själva vårdinsatsen ska utgöra grund för den tillåtna åtkomsten till andra vårdgivares uppgifter.
Genom att det ytterst är patienten som lagligen bestämmer om vilken hälso- och sjukvård som ska utföras är det även patienten som bestämmer vilka vårdgivare som får ta del av uppgifter i system för sammanhållen journalföring och vilka uppgifter det handlar om. Vårt förslag förändrar inte detta. Innebörden av vårt förslag är endast att frågan om informationshantering inte ska hanteras särskilt, utan att den ska avgöras av den överenskommelse om hälso- och sjukvård som patienten träffar med vårdgivaren. I praktiken anser vi inte att vårt förslag förändrar betydelsen av patientens självbestämmande i frågor om vare sig hälso- och sjukvård eller informationshanteringen i hälso- och sjukvården. Med vårt förslag kommer frågor om informationshantering och frågor om förutsättningarna att erbjuda patienten hälso- och sjukvård däremot att gå hand i hand. Hälso- och sjukvårdspersonalen kommer inte att behöva tillämpa två olika tanke- och tillvägagångssätt för det ena eller det andra.
Den grundläggande förutsättningen för att över huvud taget få ta del av uppgifter om patienten i system för sammanhållen journalföring kommer alltjämt att vara att det finns en laglig grund för hälso- och sjukvårdsinsatserna, dvs. att patienten har lämnat sitt samtycke till detta. Det är detta samtycke och denna överenskommelse som enligt vår mening utgör patienternas primära integritetsskydd.
En ny sammanhållen journalföring SOU 2014:23
382
Sammantaget föreslår vi att kravet i gällande rätt på att vårdgivaren ska ha ett särskilt samtycke från patienten för åtkomst till uppgifter i system för sammanhållen journalföring kan tas bort.
Utredningens bedömning är att förslaget i praktiken inte försämrar patienternas integritetskydd. Utredningens förslag förändrar över huvud taget inte frågan om vilken eller vilka vårdgivare som får ha en potentiell tillgång till uppgifter om en patient. Att kravet på samtycke till åtkomst tas bort medför därmed inte i sig någon spridning av uppgifter. Den frågan styrs i stället av reglerna om hur uppgifter får göras tillgängliga i sammanhållen journalföring, vilket har redovisats i det föregående.
Inte heller förändrar utredningens förslag vilken eller vilka vårdgivare som i enskilda fall får utnyttja sin möjlighet till direktåtkomst och faktiskt ta del av uppgifter om en patient. Att kravet på samtycke till åtkomst tas bort innebär inte att det kommer att bli lagligt för fler vårdgivare att ta del av patientens uppgifter, än vad som följer av nuvarande lagstiftning.
Det är fortfarande patienten som förfogar över frågan om vilken vårdgivare som lagligen ska få ta del av patientens uppgifter. Detta gör patienten genom att denne vänder sig till en viss vårdgivare och i detta möte kommer överens om hälso- och sjukvårdsinsatser av olika omfattning och karaktär.
Det kommer fortfarande att vara patienten som på en övergripande nivå förfogar över frågan om vilka uppgifter som hälso- och sjukvårdspersonalen får ta del av. Eftersom hälso- och sjukvårdspersonalen endast får ta del av de uppgifter som behövs för att de ska kunna utföra sitt arbete, kommer patientens självbestämmande alltjämt att vara grunden för vad som är lagligt i fråga om att ta del av uppgifter hos andra vårdgivare. Att kravet på samtycke tas bort innebär alltså inte att yrkesutövaren får ta del av några andra uppgifter än de som behövs för att den vård som patienten önskar och som yrkesutövaren kan erbjuda, ska kunna ges på ett patientsäkert sätt. Förslaget innebär ingen förändrad eller ökad rätt för hälso- och sjukvårdspersonal att ta del av de aktuella uppgifterna.
Vidare har vi redovisat att det starkt kan ifrågasättas om det samtycke till personuppgiftsbehandling som i dag ska inhämtas verkligen kan anses vara ett sådant samtycke som avses i personuppgiftslagens mening. Det visar enligt vår bedömning på att det nuvarande samtycket i praktiken har ringa betydelse för patientens integritetsskydd.
SOU 2014:23 En ny sammanhållen journalföring
383
Härtill gäller att verksamheten i hälso- och sjukvården, enligt de grundläggande kraven i HSL, alltid ska byggas på respekt för den enskildes självbestämmande och integritet. Det innebär att hälso- och sjukvårdspersonalen – oavsett kravet på samtycke till personuppgiftsbehandling – alltid måste ta hänsyn till patientens vilja och önskemål.
Om en patient av något skäl framför önskemål om att personalen inte ska ta de av viss information, ska självklart patientens vilja respekteras. Beroende på vilken typ av information och vilken insats det handlar om, kan en sådan önskan förstås påverka personalens möjligheter att utföra sitt arbete och på det sättet också påverka patientens möjlighet att få en viss insats. Dessa principer gäller dessutom oavsett om de aktuella uppgifterna finns inom eller utom vårdgivarens verksamhet. Hälso- och sjukvårdspersonalen kan endast ge den vård som bedöms ligga i linje med vetenskap och beprövad erfarenhet och som, bland annat mot bakgrund av tillgänglig information om patienten, bedöms vara patientsäker i det enskilda fallet.
Vår bedömning är sammanfattningsvis att patienten, precis som i dag, även med vårt förslag kommer att ha en rätt att bestämma om en vårdgivarens hälso- och sjukvårdspersonal ska få ta del av en annan vårdgivares vårddokumentation som finns tillgänglig i den sammanhållna journalföringen.
Åtkomst till uppgifter om barn
Som en konsekvens av utredningens förslag ovan behövs inga särskilda bestämmelser vad gäller åtkomst till uppgifter om barn i system för sammanhållen journalföring. Genom nuvarande bestämmelser i 6 kap. 3 § PDL tydliggörs att en vårdgivare har rätt att behandla sådana personuppgifter om barn som vårdgivare inte får spärra, om uppgifterna rör ett barn vårdgivaren har en patientrelation med och uppgifterna behövs för att förebygga, utreda eller behandla sjukdomar och skador hos barnet. En sådan bestämmelse behöver inte tas in i hälso- och sjukvårdsdatalagen eftersom det, p.g.a. att samtycke till personuppgiftsbehandlingen inte längre krävs, kommer att gälla samma förutsättningar för åtkomst till uppgifter om vuxna som till uppgifter om barn. Åtkomst till uppgifter om barn får således ske under det förutsättningar som redovisats ovan.
En ny sammanhållen journalföring SOU 2014:23
384
14.3.3 Åtkomst till uppgifter i samband med vård av vuxna med nedsatt beslutsförmåga
Vår bedömning: Några särskilda bestämmelser för åtkomst till
uppgifter i system för sammanhållen journalföring i samband med vård av vuxna som inte endast tillfälligt har nedsatt beslutsförmåga behövs inte. I situationer där det är lagligt att ge hälso- och sjukvård till någon som inte kan samtycka till själva åtgärden, bör det vara tillåtet för den hälso- och sjukvårdspersonal som ska ge vården att ta del av den information som behövs för att patienten ska få en god och säker vård. Den särskilda bestämmelsen i nuvarande 6 kap. 4 § PDL, som reglerar åtkomst till ospärrade uppgifter om patienten i en nödsituation inte kan samtycka, bör därmed inte överföras till hälso- och sjukvårdsdatalagen.
I det föregående har vi redogjort för vårt förslag om att vårdgivare inte behöver inhämta ett särskilt samtycke för personuppgiftsbehandlingen, dvs. för åtkomsten till uppgifter hos en annan vårdgivare. På grund av detta förslag behövs inte heller någon särskild reglering för vuxna som inte endast tillfälligt har nedsatt beslutsförmåga. Den bestämmelse som utredningen föreslog i betänkandet SOU 2013:45 om möjlighet för vårdgivare att under vissa förutsättningar ta del av uppgifter i sammanhållen journalföring, även om patienten saknade förmåga att samtycka, kommer därmed inte längre att behövas. Det innebär att det precis som för patienter som har beslutsförmåga är den lagliga grunden för själva hälso- och sjukvårdsinsatserna som ska vara avgörande för om en åtkomst till uppgifter hos andra vårdgivare är tillåten eller inte.
Om en person saknar förmåga att ge uttryck för sin inställning till vård och behandling ställs särskilt stora krav på hälso- och sjukvårdspersonalens ansvarstagande, bemötande och omhändertagande. Utredningens utgångspunkt är att personalen ska stötta personer med nedsatt beslutsförmåga på ett sådant sätt att de i så stor utsträckning som möjligt kan tillvarata sin självbestämmanderätt. Av grundläggande respekt för den enskilde individen bör hälso- och sjukvårdspersonalen verkligen försöka nå fram till individen och i möjligaste mån tillhandahålla relevant och anpassad information samt efterfråga individens inställning till frågan om vård. Men i många situationer kommer det inte att var en helt framkomlig väg.
SOU 2014:23 En ny sammanhållen journalföring
385
Personalen behöver då ta hjälp av annan information, t.ex. genom samtal med närstående, och göra en professionell bedömning av vad som är bäst för individen i frågor som exempelvis rör vård, behandling och informationshantering.
Vår utgångspunkt är därför att vårdinsatserna och den med insatserna sammanhängande informationshanteringen, rörande vuxna som inte endast tillfälligt saknar beslutsförmåga. bör genomföras utifrån vad som är känt om den enskildes inställning samt hälso- och sjukvårdspersonalens bedömning av vad som är den enskildes bästa.
Om hälso- och sjukvårdspersonalen bedömer att en viss vårdinsats är laglig att ge patienten trots att patienten inte kan uttrycka sitt samtycke till vården, får personalen också ta del av de uppgifter som behövs för att genomföra den aktuella vårdinsatsen. Det innebär att åtkomst till uppgifter i system för sammanhållen journalföring endast får ske i den omfattning som behövs för den hälso- och sjukvård som patienten får.
Genom utredningens förslag tydliggörs att det är den legala grunden för att meddela vård som är utslagsgivande för vilken åtkomst till uppgifter hos andra vårdgivare som får förekomma. I situationer där det är tillåtet att ge vård till någon som inte kan samtycka till själva åtgärden, bör lagstiftningen även göra det tillåtet för den som ska ge vården att ta del av den information som behövs för att patienten ska få en god och säker vård. Det handlar om nödvändiga förutsättningar för individens säkerhet och om hälso- och sjukvårdspersonalens skyldighet att göra gott och undvika skada.
14.3.4 Åtkomst till uppgifter i samband med vård av vuxna med tillfälligt nedsatt beslutsförmåga
Vår bedömning: Några särskilda bestämmelser för åtkomst till
uppgifter i system för sammanhållen journalföring i samband med vård av vuxna med tillfälligt nedsatt beslutsförmåga behövs inte. I situationer där det är lagligt att ge hälso- och sjukvård till någon som inte kan samtycka till själva åtgärden, bör det vara tillåtet för den hälso- och sjukvårdspersonal som ska ge vården att ta del av den information som behövs för att patienten ska få en god och säker vård. Den särskilda bestämmelsen i nuvarande
En ny sammanhållen journalföring SOU 2014:23
386
6 kap. 4 § PDL, som reglerar åtkomst till ospärrade uppgifter om patienten i en nödsituation inte kan samtycka, bör därmed inte överföras till hälso- och sjukvårdsdatalagen.
Inom hälso- och sjukvården uppkommer ofta situationer då personer av olika anledningar saknar möjlighet att ge samtycke till nödvändiga vårdinsatser. Förutom vid sådana situationer som redovisats i föregående avsnitt handlar det framförallt om akuta situationer då en person exempelvis är medvetslös och sjukvårdsinsatser måste vidtas omedelbart för att rädda personens liv eller i övrigt för att undvika svåra konsekvenser för den enskildes hälsa. Det legala stöd som hittills ansetts finnas vid dylika situationer är 24 kap. 4 § brottsbalken som reglerar under vilka förutsättningar ett handlande i en nödsituation kan vara fritt från straffrättsligt ansvar.
Regeringen har nyligen lämnat ett förslag till en ny patientlag.28Av den föreslagna lagen framgår att hälso- och sjukvård som regel inte får ges utan patientens samtycke. Kravet på samtycke kompletteras bl.a. av en bestämmelse om att patienter ska få den hälso- och sjukvård som behövs för att avvärja fara som akut och allvarligt hotar patientens liv eller hälsa, även om hans eller hennes vilja på grund av medvetslöshet eller av någon annan orsak inte kan utredas.
Regeringen anför att det är enbart sådan vård som behövs för att avvärja en fara som akut och allvarligt hotar patientens liv eller hälsa som får ges utan patientens samtycke. Det ska således vara fråga om sådan nödvändig vård som inte kan anstå tills en patient eventuellt själv kan ta ställning till åtgärden. Bestämmelsen ska gälla enbart i situationer där det handlar om att rädda patientens liv eller i övrigt för att undvika svåra konsekvenser för hans eller hennes hälsa.29
Bestämmelsen tar därmed sikte på nödsituationer. Om en patient inte befinner sig i en sådan nödsituation föreslås således inte vård och behandling kunna ges med stöd av bestämmelsen. Vår uppfattning är att lagförslaget inte tillräckligt tillgodoser behovet av att reglera förutsättningarna att ge vård när patienten tillfälligt saknar förmåga att samtycka och situationen i sig inte är akut. Utredningen delar lagrådets bedömning att förslaget inte överens-
SOU 2014:23 En ny sammanhållen journalföring
387
stämmer med vad som är praxis vid sådana situationer i hälso- och sjukvården.30Utredningens uppfattning är att den som av olika skäl tillfälligt saknar beslutsförmåga brukar erbjudas den vård som är nödvändig med hänsyn till personens hälsotillstånd, även om det inte är en sådan akut nödsituation som avses i lagförslaget.
Utredningen anser att förutsättningarna för att hantera journalinformation om en individ så långt möjligt bör vara samma om en person tillfälligt eller mer varaktigt saknar förmåga att samtycka till en viss personuppgiftsbehandling. Vidare anser vi att det avgörande inte bör vara om situationen i sig är akut eller inte. Det avgörande bör vara vilken information som behövs för att patienten ska få den vård som är nödvändig med hänsyn till hälsotillståndet. Det är det som är det berättigade intresset för patienter, närstående och personal.
Vi har ovan föreslagit att det nuvarande kravet på ett särskilt samtycke för direktåtkomsten till uppgifter hos en annan vårdgivare ska tas bort. Åtkomsten ska i stället vara tillåten på samma grunder som själva erbjudandet och överenskommelsen om vården. På grund av detta förslag behövs heller inte någon särskild reglering för vuxna som tillfälligt har nedsatt beslutsförmåga. Den bestämmelse som finns i patientdatalagen om åtkomst till ospärrade uppgifter i nödsituationer behöver därför inte föras över till hälso- och sjukvårdsdatalagen.
Om hälso- och sjukvårdspersonal bedömer att en viss hälso- och sjukvårdinsats kan ges trots att patienten inte kan uttrycka sitt samtycke får personalen också ta del av de uppgifter som behövs för att genomföra vården. Även genom detta förslag tydliggörs att de förutsättningar som gäller för att kunna genomföra vård- och behandlingsinsatser måste överensstämma med de förutsättningar som gäller för att hantera den information som behövs i en sådan situation. I situationer där det är tillåtet att ge vård till någon som inte kan samtycka till själva åtgärden, bör lagstiftningen därmed även göra det tillåtet för den som ska ge vården att ta del av den information som behövs för att patienten ska få en god och säker vård. Det innebär, i likhet med vad som sägs ovan, att åtkomst till uppgifter i system för sammanhållen journalföring endast får ske i den omfattning som behövs för den hälso- och sjukvård som patienten får.
En ny sammanhållen journalföring SOU 2014:23
388
14.3.5 Att ta del av uppgifter om vilken vårdgivare som ansvarar för uppgifter som inte är tekniskt åtkomliga
Vårt förslag: Om patienten motsatt sig att uppgifter görs till-
gängliga i system för sammanhållen journalföring ska en vårdgivare under vissa förutsättningar ändå få ta del av uppgift om vilken vårdgivare som har sådana uppgifter som inte har gjorts tillgängliga. Sådan åtkomst får ske om patienten saknar förmåga att själv begära att uppgifterna ska göras tillgängliga och det föreligger fara för patientens liv eller hälsa. När vårdgivaren under dessa förutsättningar kan ta del av vilken vårdgivare som har de aktuella uppgifterna kan denne vända sig till vårdgivaren som ansvarar för uppgifterna och begära att denne tar ställning till om uppgifterna får lämnas ut. Bestämmelser härom ska införas i hälso- och sjukvårdsdatalagen.
Vår bedömning: Bestämmelsen syftar till att vårdgivare i en
situation där det är fara för patientens liv eller hälsa ska kunna ta reda på vilken vårdgivare som har uppgifter om patienten som inte har gjorts tillgängliga i system för sammanhållen journalföring, men som kan behövas för vården av patienten. Bestämmelsen är i sak inte ny, men den har däremot omarbetats mot bakgrund av utredningens förslag om att mönstra ut begreppet spärr ur regelverket om sammanhållen journalföring.
I 6 kap. 4 § PDL finns bestämmelser om åtkomst till uppgifter i nödsituationer när patienten inte kan lämna samtycke till personuppgiftsbehandlingen. Den nuvarande bestämmelsen lyder som följer.
Om det finns spärrade uppgifter om en patient och det föreligger fara för dennes liv eller annars föreligger allvarlig risk för dennes hälsa, får vårdgivaren, om patienten inte kan häva spärren enligt 2 § fjärde stycket, ta del av uppgift om vilken eller vilka vårdgivare som har spärrat uppgifterna. Om vårdgivaren med ledning av denna uppgift bedömer att de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren.
Enligt utredningens bedömning har denna bestämmelse i praktiken medfört begränsad nytta. Eftersom uppgifter som är spärrade inte ens är tekniskt åtkomliga i system för sammanhållen journalföring
SOU 2014:23 En ny sammanhållen journalföring
389
kan inte den som har behov av uppgifterna häva spärren. I stället ska en kontakt tas med den vårdgivare som har lagt spärren och begära att denne bedömer om spärren kan hävas. Bestämmelsen kan därför anses ge mer uttryck för hur handläggningen av utlämnande av uppgifter ska gå till än för hur uppgifter som är spärrade ska kunna göras tillgängliga i system för sammanhållen journalföring när så behövs.
Vidare har bestämmelsen kritiserats för att i praktiken vara mycket svår att tillämpa vad gäller den bedömning som den vårdgivare som har behov av uppgifterna ska göra. Enligt bestämmelsen ska denne vårdgivare, med ledning av uppgift om vilken vårdgivare som har spärrat uppgifterna, bedöma om dessa uppgifter kan antas ha betydelse för den vård som patienten oundgängligen behöver. Med tanke på definitionen av begreppet vårdgivare torde detta i praktiken vara en svår och kanske ibland en helt omöjlig uppgift. Det kan exempelvis ifrågasättas hur det ska vara möjligt att med ledning av uppgift om att vårdgivarna Region Skåne, Praktikertjänst, Stockholms läns landsting eller Capio har spärrade uppgifter om patienten, bedöma om dessa uppgifter kan ha betydelse för patientens vård.
Utredningen konstaterar att bestämmelsen utformades i enlighet med lagrådets förslag i samband med lagrådsremissen till patientdatalagen. Av lagrådets yttrande framgår att lagrådet ansåg att det i en situation när det föreligger fara för patientens liv eller det annars föreligger allvarlig risk för patientens hälsa, ska finnas möjligheter att häva en spärr.31 Det bör då, enligt lagrådet, vara den vårdgivare som har lagt spärren som också har att pröva om den ska hävas. Därutöver anför lagrådet följande i sammanhanget.
I praktiken bör det således gå till på det viset att den vårdgivare som har vårdansvaret för patienten tar del av den alltid tillgängliga uppgiften i den sammanhållna journalföringen om att det finns spärrade uppgifter om patienten. Om patientens tillstånd motiverar det går vårdgivaren vidare och tar del av uppgiften om vilken annan vårdgivare som har lagt spärren. Visar det sig att spärren har lagts exempelvis av en vårdgivare inom psykiatrin medan patienten vårdas för en somatisk sjukdom, kan det leda till att patientens aktuelle vårdgivare avstår från att försöka få spärren hävd. Men om han eller hon bedömer att de spärrade uppgifterna behövs för den vård han eller hon avser att ge patienten, måste vårdgivaren vända sig till den vårdgivare som har lagt spärren och begära att denne ger honom tillgång till de spärrade uppgifterna.
31 Lagrådet, utdrag ur protokoll vid sammanträde 2008-03-06.
En ny sammanhållen journalföring SOU 2014:23
390
Enligt utredningens bedömning kan resonemanget ovan ifrågasättas, inte minst med tanke på hur hälso- och sjukvården faktiskt är organiserad. Därutöver blandas begreppet vårdgivare med benämningarna han eller hon samt honom. Det kan därför inte uteslutas att lagrådets resonemang och den efterföljande författningskonstruktionen är en bidragande orsak till varför bestämmelsen upplevs vara svår att tillämpa och till ringa värde i praktiken. Som tidigare nämnts torde det exempelvis inte alltför ofta gå att bedöma om uppgifterna kan ha betydelse för patientens vård, endast mot bakgrund av kännedom om vilken vårdgivare som har spärrat uppgifterna. Generellt går exempelvis inte att dra någon slutsats om vilket verksamhetsområde uppgifterna är hänförliga till och än mindre om vilken typ av uppgifter det faktiskt handlar om, endast genom att få vetskap om vårdgivarens namn.
Vidare har utredningen i kontakter med hälso- och sjukvårdspersonal flertalet gånger stött på uppfattningen att det är den som har behov av uppgifterna som också kan forcera en spärr och ta del av dem. Möjligen bottnar dessa missuppfattningar i att det är så det fungerar vad gäller spärrar inom en vårdgivares verksamhet. Samtidigt finns uttalanden av regeringen i propositionen som också kan ha en bidragande orsak till dessa uppfattningar. Regeringen anför exempelvis att en vårdgivare får vid en sådan akut nöd-
situation häva spärren och bereda sig tillgång till en annan vårdgivares journaluppgifter om det behövs för den vård patienten oundgängligen behöver även om patientens samtycke inte kan inhämtas.32
Även om detta uttalande med all sannolikhet är oavsiktligt och regeringen i flera andra sammanhang ger en annan bild av förutsättningarna, sänder just detta uttalande otvivelaktigt signalen om att den som vårdar patienten och behöver uppgifterna också kan forcera en spärr. Eftersom spärrade uppgifter i sammanhållen journalföring emellertid inte är tekniskt åtkomliga och i rättslig mening inte heller utgör allmänna handlingar hos andra myndigheter som är anslutna till systemet för sammanhållen journalföring, saknas dock rättsliga förutsättningar för en sådan forcering.
Sammantaget har utredningen mot bakgrund av de tillämpningsproblem som finns och det förhållandevis ringa värde som bestämmelsen i praktiken verkar ha, övervägt om bestämmelsen bör överföras till hälso- och sjukvårdsdatalagen eller om den bör utgå. Eftersom ett hävande av en spärr vid sammanhållen journal-
SOU 2014:23 En ny sammanhållen journalföring
391
föring i rättslig mening snarare är att jämställa med vilket annat elektroniskt utlämnande som helst än direktåtkomst, kan hävdas att bestämmelsen inte behövs. Detta eftersom det redan följer av lagen att uppgifter som får lämnas ut kan lämnas ut på medium för automatiserad behandling.
Samtidigt anser utredningen att bestämmelsen, genom att den åtminstone ger information om vilken vårdgivare som har spärrade uppgifter, kan fylla en viss funktion. Detta genom att vårdgivaren i alla fall får information om vilken vårdgivare som kan kontaktas om det bedöms nödvändigt och om det finns ett tidsutrymme att ta en sådan kontakt i den akuta situationen. Vidare torde värdet av uppgiften öka i takt med att allt fler vårdgivare ansluter sig till system för sammanhållen journalföring. Om endast ett fåtal vårdgivare medverkar blir den praktiska nyttan begränsad för patienten och för hälso- och sjukvårdspersonalen. I ett sådant fall säger nämligen uppgiften om att det finns spärrade uppgifter om en patient, indirekt väldigt lite om det finns anledning för personalen att begära ut de spärrade uppgifterna eller om det kan finnas mer relevanta uppgifter om patienten hos vårdgivare som över huvud taget inte medverkar i systemet för sammanhållen journalföring.
Efter att ha vägt olika alternativ mot varandra har utredningen kommit fram till att de nuvarande bestämmelserna om åtkomst till spärrade uppgifter i mer akuta nödsituationer bör föras över till hälso- och sjukvårdsdatalagen, men genomgå en språklig anpassning eftersom begreppet spärr tas bort ur detta regelverk. Utredningen föreslår således att vårdgivare i en situation när det är fara för patientens liv eller hälsa ska kunna ta reda på vilken vårdgivare som har uppgifter om patienten som inte har gjorts tillgängliga i systemet för sammanhållen journalföring, men som kan behövas för vården av patienten.
14.3.6 Bevarande och gallring
Vårt förslag: När patientjournaler eller andra handlingar är till-
gängliga för en vårdgivare genom direktåtkomst gäller skyldigheten att bevara handlingen därmed endast den vårdgivare som ansvarar för handlingen. Övriga myndigheter får gallra handlingen. Bestämmelser härom överförs från patientdatalagen till hälso- och sjukvårdsdatalagen.
En ny sammanhållen journalföring SOU 2014:23
392
Utredningen föreslår att den nuvarande bestämmelsen i 6 kap. 8 § PDL om bevarande och gallring vid sammanhållen journalföring överförs till hälso- och sjukvårdsdatalagen. Bestämmelsen är även tillämplig för sådan direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för och har därför i allt väsentligt redovisats tidigare i detta betänkande. Se avsnitt 13.4.7.
14.3.7 Övriga bestämmelser
Vårt förslag: De nuvarande bestämmelserna i 6 kap. 5 och 7 §§
PDL ska föras över till hälso- och sjukvårdsdatalagen. Det innebär att vårdgivare inte får behandla en annan vårdgivares uppgifter i system för sammanhållen journalföring under andra förutsättningar än dem som särskilt anges i kapitlet, även om patienten uttryckligen samtycker till det. Vidare ska en påminnelse göras om att hälso- och sjukvårdsdatalagens regler om behörighetstilldelning och åtkomstkontroll även gäller vid sammanhållen journalföring. Dessutom ska i en paragraf erinras om hälso- och sjukvårdsdatalagens krav på risk-och sårbarhetsanalys och överenskommelse om informationssäkerhet och skydd för personuppgifter vid direktåtkomst mellan vårdgivare.
Betydelsen av patientens samtycke
Den nuvarande bestämmelsen i 6 kap. 5 § PDL om att patienten, vid direktåtkomst i system för sammanhållen journalföring, inte kan samtycka till personuppgiftsbehandling för ändamål som är otillåtna ska föras över till hälso- och sjukvårdsdatalagen. Utredningen gör samma bedömning som regeringen gjorde i förarbetena om att i denna del begränsa möjligheten för patienten att samtycka till personuppgiftsbehandling som är otillåten.33
Förslaget innebär att åtkomst till uppgifter i system för sammanhållen journalföring endast är tillåtet för de ändamål som särskilt anges i hälso- och sjukvårdsdatalagens bestämmelser om sammanhållen journalföring, oavsett om patienten samtycker till annat.
SOU 2014:23 En ny sammanhållen journalföring
393
Behörighetsstyrning och åtkomstkontroll
På samma sätt som i 6 kap. 7 § PDL anser utredningen att det i hälso- och sjukvårdsdatalagens kapitel om sammanhållen journalföring ska tas in en påminnelse om att de grundläggande bestämmelserna i lagen om behörighetstilldelning och åtkomstkontroll även gäller vid vårdgivares direktåtkomst till andra vårdgivares uppgifter i system för sammanhållen journalföring.
Risk- och sårbarhetsanalys och överenskommelse
Utredningen föreslår att det i hälso-och sjukvårdsdatalagens kapitel om sammanhållen journalföring tas in en påminnelse om att kravet i 2 kap. 9 § hälso- och sjukvårdsdatalagen även gäller för direktåtkomst vid sammanhållen journalföring. Det innebär att vårdgivare som utbyter uppgifter genom sammanhållen journalföring ska göra en risk- och sårbarhetsanalys och komma överens om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Utredningen redogör närmare för detta förslag i kapitel 10.
395
15 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
15.1 Bakgrund
Läkemedelsbehandling är i dag den mest omfattande och avgörande behandlingen inom hälso- och sjukvård globalt sett. Samtidigt som läkemedelsbehandling många gånger ger stora fördelar för en enorm mängd patienter krävs omfattande resurser i form av hälso- och sjukvårdspersonal och pengar. Läkemedel är förenat med stora risker när det inte används korrekt. För den enskilde patienten kan fel läkemedel eller en olämplig kombination av läkemedel föra med sig allvarliga konsekvenser för hälsa och livskvalitet.
Läkemedelslistan
Det är vanligt att uppgifter i patientjournalen om vilka läkemedel som ordinerats till patienten visas i en särskild lista i journalsystemet, en läkemedelslista. Journalsystemen innehåller normalt sett även s.k. läkemedelsmoduler som, förutom läkemedelslistan, kan innehålla ett antal funktioner för att stödja en patientsäker läkemedelsprocess. Det kan exempelvis handla om beslutsstödsfunktioner av olika slag. Vanligast förekommande är en automatisk kontroll av hur de olika läkemedlen som patienten ordinerats kan påverka varandras upptag, fördelning, utsöndring och effekt, s.k. interaktionskontroll.
Till skillnad mot andra typer av journalanteckningar, som ibland kan vara strukturerade och katalogiserade utifrån verksamhetsområden eller vårdenheter, har det sedan länge strävats efter att hålla läkemedelslistan gemensam för vårdgivarens samtliga verk-
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
396
samheter. Anledningen till detta är att uppgifter om patientens ordinerade läkemedel ur ett patientsäkerhetsperspektiv behöver vara samlade så att patientens totala och aktuella läkemedelsbehandling kan vara ett underlag för ordinatörens beslut om patientens fortsatta behandling.
Beslutsunderlag vid ordination av läkemedel
För hälso- och sjukvårdspersonal som står i begrepp att på olika sätt ta ställning till en patients läkemedelsordinationer är korrekt och aktuell information om de läkemedel patienten tar en nödvändig förutsättning för att kunna ge en god och säker vård. Utan ett ändamålsenligt beslutsunderlag i form av läkemedelslista, uppgifter om ordinationsorsaker m.m. kan hälso- och sjukvårdspersonalen svårligen arbeta fullt ut i enlighet med de etiska grundprinciperna samt vetenskap och beprövad erfarenhet.1 Det är inte möjligt att ordinera läkemedel på bästa tänkbara sätt utan att samtidigt känna till och kunna värdera om läkemedlet är lämpligt i förhållande till andra läkemedel och andra behandlingar patienten får.
En utmaning i dag är att uppgifter om patienters läkemedel är utspridda på olika informationskällor i olika delar av hälso- och sjukvården samt på de register över recept och uthämtade läkemedel som förs av eHälsomyndigheten. Därtill kommer att de legala förutsättningarna för att dokumentera och ta del av uppgifter är olika för samtliga dessa informationskällor. Det medför bl.a. svårigheter att utveckla it-stöd som ger en samlad bild av patientens aktuella läkemedelsbehandling.
De utmaningar som i dag finns lyfts bland annat upp av regeringen i direktivet till vår utredning, där exempelvis följande framgår.2
Behörig personal inom hälso- och sjukvården och socialtjänsten behöver ha tillgång till personuppgifter om den enskilde och information om de insatser (förskrivning av läkemedel, behandlingar etc.) som den enskilde fått tidigare. Utan sådan tillgång till uppgifter ökar risken för bl.a. felaktiga beslutsunderlag, felbehandlingar eller allvarliga interaktioner mellan läkemedel och andra insatser. Konkret innebär det exempelvis att förskrivare behöver ha en så samlad bild som möjligt av en individs läkemedelsordinationer, från såväl förskrivning på recept
1 Jfr 6 kap. 1 § patientsäkerhetslagen (2010:659). 2 Dir. 2011:111.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
397
som på rekvisition från öppen och sluten vård. Sjuksköterskor i kommunal hälso- och sjukvård behöver veta vilka ordinationer den patient som varit på sjukhuset har fått. Farmaceutisk personal i hälso- och sjukvården eller på apotek behöver ha tillgång till informationen som finns i läkemedelsförteckningen. Utöver negativa konsekvenser för den enskilde kan brister i möjligheter att samverka och samarbeta genom att utbyta uppgifter utgöra ett hot mot vården och stödet på en övergripande nivå.
15.1.1 Vårt uppdrag
Utredningens övergripande uppdrag är att analysera de utmaningar och hinder som finns för en mer ändamålsenlig och sammanhållen informationshantering. Detta gäller inte minst i förhållande till behovet av korrekta och aktuella uppgifter om patienternas läkemedelsanvändning. Regeringen framhåller i direktivet att om det ska vara möjligt att få en så samlad och aktuell bild av en enskilds läkemedelsordinationer som möjligt, behöver även bestämmelser i relevant lagstiftning om lagring och gallring av uppgifter i journaler och register harmoniseras så att inte kraven på gallring skiljer sig åt för uppgifter som bör hanteras samlat.
Utredningen har mot denna bakgrund valt att titta närmare på läkemedelsprocessen och några av de faktorer som behöver samspela för att informationshanteringen ska kunna bidra till bättre resultat för patienterna. Det handlar här inte endast om lagring och gallring av uppgifter, utan även om förutsättningar för åtkomst och användning av de uppgifter som registreras av olika aktörer i hälso- och sjukvården samt i apoteksledet. I detta ryms ett antal grundläggande frågor om de olika regelverk som styr hanteringen av läkemedelsinformation, men även sådant som rör samverkan mellan aktörer, it-utveckling, professionskulturer, arbetssätt m.m. Utredningens uppdrag handlar primärt om den informationshantering som förekommer i hälso- och sjukvården, vilket bland annat innebär att en betydande del av apoteksaktörernas verksamheter ligger utanför utredningens uppdrag.
Ytterligare en fråga som påverkar möjligheterna till en samlad bild av patienternas läkemedelsanvändning är patienternas rätt att spärra information inom och mellan vårdgivare. Ända sedan patientdatalagens (2008:355), förkortad PDL, tillkomst har i den allmänna debatten ibland höjts röster för att sådana informationsmängder som t.ex. uppgift om läkemedelsordinationer inte borde kunna
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
398
spärras. Under utredningens arbete har även Center för e-Hälsa i samverkan, CeHis, kommit in med en begäran om undantag från patientdatalagen avseende patientens spärrmöjligheter i syfte att kunna skapa en samlad läkemedelslista i en Nationell ordinationsdatabas (NOD). Utredningen kommer att beröra frågan om patientens rätt att spärra uppgifter om läkemedelsordinationer i det följande.
Vidare har regeringen nyligen tillsatt ytterligare en utredning, Ehälsokommittén (S2013:17), med uppdrag att se över frågor som rör registrering och hantering av läkemedelsordinationer. Enligt direktivet ska utredningen utreda behovet av en bättre hantering av informationen i hela ordinationskedjan från förskrivare via expeditör till slutanvändaren och vid behov lämna förslag på hur en bättre hantering kan åstadkommas. Utredaren ska vid behov även utarbeta nödvändiga författningsförslag.
De frågor som E-hälsokommittén har att hantera överlappar i viss mån de frågor som är aktuella i vår utredning avseende en ändamålsenlig hantering av uppgifter om ordinerade läkemedel. I dessa delar har vi därför samrått med E-hälsokommittén.
15.1.2 Kort om nationell läkemedelsstrategi
Inom ramen för Nationell eHälsa tillsatte regeringen 2011 en särskild styrgrupp för it och läkemedel. I regeringens skrivelse, där regeringen redovisar sin bedömning av Riksrevisionens iakttagelser i rapporten Rätt information vid rätt tillfälle inom vård och omsorg – samverkan utan verkan? (RiR 2011:19), anges bland annat följande.3
Risken för felmedicinering eller en olämplig kombination av läkemedel är de kanske mest konkreta riskerna som individer, särskilt äldre, möter i sina kontakter med vården och omsorgen. En förutsättning för att minimera dessa risker är, som beskrivits ovan, lagstiftning som medger att behörig personal har tillgång till personuppgifter om den enskilde och information om de insatser som den enskilde fått tidigare. En annan förutsättning är att förskrivare och andra personalkategorier använder stödsystem som ger en samlad bild av individens läkemedelsanvändning inom såväl öppen som sluten vård. För att etablera en nationell ordinationsdatabas (NOD) samt påskynda införandet av elektroniska förskrivar- och expeditionsstöd inom hela hälso- och sjukvården och berörda delar av socialtjänsten har regeringen inrättat
3 Regeringens skrivelse 2011/12:34.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
399
en styrgrupp (regeringens beslut den 16 juni 2011). Styrgruppen hanterar den nationella läkemedelsstrategins insatsområde om ordinationsprocessen.
I uttalandet från regeringen betonas de allvarliga risker som uppstår, inte minst för äldre, vid felmedicinering eller vid en olämplig kombination av läkemedel. En lagstiftning som medger att behörig personal har tillgång till uppgifter om patienternas samlade läkemedelsanvändning nämns som en förutsättning för att reducera riskerna.
Under 2011 arbetade regeringen tillsammans med bland annat Sveriges kommuner och landsting, Socialstyrelsen, Läkemedelsverket, Tandvårds- och läkemedelsförmånsverket, Statens beredning för medicinsk utvärdering, läkarprofessionen, läkemedelsindustrin och apoteksbranschen fram en nationell läkemedelsstrategi med ett antal insatsområden. Syftet var att få en nationell kraftsamling på prioriterade förbättringsområden inom läkemedelsområdet.
Målen med den nationella läkemedelsstrategin är
medicinska resultat och patientsäkerhet i världsklass
jämlik vård
kostnadseffektiv läkemedelsanvändning
attraktivitet för innovation av produkter och tjänster
minimal miljöpåverkan
Strategin innefattade ursprungligen ett trettiotal planerade aktiviteter inom olika insatsområden, såsom exempelvis följande.
1. Skapa en bättre och säkrare ordinationsprocess och lägga grunden för generisk förskrivning genom nationellt samordnade it-stöd.
2. Öka samsyn och förståelse för ordinerad läkemedelsbehandling.
3. Utveckla kunskap om och riktlinjer för läkemedel och läkemedelsanvändning för de patientgrupper där det är mest eftersatt.
I dessa övergripande punkter ingår olika avgörande delmoment som man sedan kan följa upp i ”Handlingsplanen för nationell läkemedelstrategi 2013”, där bland annat följande framgår.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
400
• Färdigställande av it-plattform för nationellt dosregister och överföring av information från befintliga dosregister. Nationellt dosregister har skapats. Övergång har skett nationellt till ordinationsverktyget Pascal. Processen har krävt förändrade arbetsrutiner och anpassning på olika håll såväl inom vården, som för förskrivarna och på apoteken.
• Skapande av nationell ordinationsdatabas inom ramen för nuvarande lagstiftning. Arbetet pågår och görs inom ramen för Nationell eHälsa.
• Skapande av förutsättningar för effektiva läkemedelsgenomgångar och arbete i vårdens övergångar.
15.2 Kort om läkemedelsbehandling
För att kunna analysera och värdera de utmaningar och hinder som finns för en mer ändamålsenlig hantering av läkemedelsrelaterade uppgifter om patienter i hälso- och sjukvården är det nödvändigt att kortfattat beröra ett antal grundläggande faktorer kring läkemedelsbehandling. Det handlar bland annat om omfattningen av läkemedelsbehandlingen och de risker som finns för patienterna om tillgång till korrekt och aktuell information saknas. Vidare redogörs översiktligt för de olika besluts- och informationsunderlag som hälso- och sjukvårdspersonal och patienter har när det gäller läkemedelsbehandling.
15.2.1 Omfattning m.m.
Läkemedelsbehandling är i dag den vanligaste behandlingsinsatsen och också den som ger mest resultat. Samtidigt kräver läkemedelsbehandling stora resurser inkluderande såväl hälso- och sjukvårdspersonal som pengar och är förenad med stora risker när den inte används på ett rätt sätt. WHO har bl. a deklarerat följande.4
Mer än 50 % av alla läkemedel förskrivs, dispenseras och säljs på medicinskt olämpligt sätt och hälften av alla patienter lyckas inte ta sina läkemedel korrekt. Denna överanvändning, underanvändning samt felanvändning av läkemedel skadar människor och ger resursförluster.
4 WHO, Active Ageing, A policy Framework. In: WHO, editor, 2002.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
401
I Sverige används läkemedel för ungefär 36 miljarder kronor per år, vilket är omkring 12 procent av de totala offentligt finansierade hälso- och sjukvårdskostnaderna.5Den största delen av läkemedelskostnaden, omkring 26 miljarder kronor, utgörs av receptbelagda läkemedel som expedierats på apotek. Kostnadsökningen som skett de senaste 20 åren kan relateras till faktorer som en åldrande befolkning, mer och intensivare behandling, nya riktlinjer, nya läkemedel och ett nytt ersättningssystem.
Särskilt när det gäller innebörden av en åldrande befolkning kan noteras att äldres användning av läkemedel nästan har fördubblats de senaste 20 åren, från tre till i dag mellan fem och sex preparat per person.6 Sveriges befolkning förväntas öka med fem procent mellan 2009 och år 2020. Samtidigt förväntas den äldre delen av befolkningen, som har det största behovet av läkemedel, utgöra en allt större andel av befolkningen. Med dagens läkemedelsanvändning kan demografiska faktorer förväntas bidra med en ökad kostnad på 3 miljarder kronor år 2020.7 Utmaningen för samhället framöver utgörs därmed bland annat av bördan av kroniska sjukdomar och kronisk medicinering i takt med att patienterna överlever och lever längre.
För många patientgrupper har behandlingsmöjligheterna med moderna läkemedel inneburit förbättrad livskvalitet, minskade invalidiserande symtom, minskat sjukvårdsbehov och förbättrad prognos. Detta är stora och tungt vägande fördelar i dagens hälso- och sjukvård. I takt med tiden och ökad överlevnad tack vare behandling framträder dock en annan bild, nämligen avigsidan av alltför omfattande behandling främst hos en åldrande befolkning. Särskilt utsatta för läkemedelsrelaterade problem är sköra äldre som på grund av sviktande funktioner eller sjukdom också är mest känsliga för läkemedel. Dessa personer använder i dag i genomsnitt tio preparat per person.8
15.2.2 Kort om risker och läkemedelsrelaterade problem m.m.
Beräkningar visar att 3–15 procent (i vissa studier upp till 30 procent) av alla patienter som behöver sjukhusvård gör det med läkemedel som utlösande eller bidragande orsak. Vid olika kart-
5SOU 2012:75 s. 184. 6 Socialstyrelsen, Kvaliteten i äldres läkemedelsanvändning (2011) s. 9. 7SOU 2012:75 s. 197 f. 8 Socialstyrelsen, Kvaliteten i äldres läkemedelsanvändning (2011) s. 9.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
402
läggningar har det visat sig att av alla läkemedelsrelaterade sjukhusinläggningar så är 31 procent kopplade till förskrivningsproblem, 33 procent med följsamhetsproblem och 22 procent med monitoreringsproblem.9
Beräkningarna visar enligt utredningen på en i högsta grad allvarlig problembild. De redovisade problemen och komplexiteten i förskrivningsprocessen, speciellt gällande de multisjuka äldre, involverar patienten, förskrivaren och vårdgivarna. Det är på alla sätt en gemensam utmaning för hela hälso- och sjukvårdssystemet. Den fråga som utredningen vill lösa handlar om hur informationshanteringen i hälso- och sjukvården kan utformas för att bidra till att reducera dessa risker och leda till bättre resultat för patienterna.
Äldre och multimedicinering
Även om läkemedelsbehandling självklart har potential att väsentligt förbättra människors hälsa och livskvalitet träder samtidigt en annan bild fram. I takt med tiden och med en ökad överlevnad synliggörs avigsidan av en alltför omfattande läkemedelsbehandling främst hos en åldrande befolkning, och framför allt hos de multisjuka äldre. Det handlar om läkemedelsrelaterade problem i form av biverkningar, interaktioner, överbehandling och olämplig behandling, åtföljt av en markant kostnadsökning av läkemedels- och sjukvårdsnotan.
Ålder och samsjuklighet (komorbiditet) är uppenbara riskfaktorer avseende multimedicinering (polyfarmaci). Med stigande ålder följer en förändrad känslighet för läkemedel vilket i sig innebär risker. Multimedicinering är i sig också associerat med olämplig medicinering och läkemedelsrelaterade problem som exempelvis interaktioner och biverkningar. Men även negativa läkemedelsreaktioner såsom fall och förvirring som i sin tur sedan åtföljs av ökad sjuklighet, sjukhusinläggningar och ökade sjukvårdskostnader totalt.
Antalet läkemedel är i sig inte enbart avgörande för om en patient drabbas av läkemedelsrelaterade problem. Men ju fler läkemedel desto större är risken för läkemedelsrelaterade problem. För patienternas del innebär låg kvalitet i läkemedelsbehandlingen ofta även sämre livskvalitet.
9 Nordin Olsson, Rational drug treatment in the elderly, 2012.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
403
Drygt en fjärdedel av de vårdskador som identifierades i Socialstyrelsens vårdskadestudie 2007 hade orsakats av olämplig läkemedelsbehandling. I registeranalyser utförda av Socialstyrelsen 2012 har även visats att omfattande läkemedelsbehandling av personer över 65 år medförde ökad risk för dödsfall, akutmottagningsbesök, magtarmblödning och fallskada.10
De bakomliggande orsaker till fortgående multimedicinering är sannolikt flera. Det kan exempelvis bero på sådant som oklara indikationer, brister i diagnostik och dålig uppföljning. En bristande utvärdering av insatta läkemedels effekter medför uppenbara risker, inte minst för äldre patienter. Om den hälso- och sjukvårdspersonal som den äldre möter i vården dessutom saknar en samlad översikt över den pågående läkemedelsbehandlingen blir riskerna ännu större.
Vårdprocesser och övergångar i vårdnivåer
Utformningen av dagens äldrevård med en uppdelad vårdkedja och olika utförare innebär utmaningar för en bättre och säkrare läkemedelsprocess. I och med Ädelreformen 1992 övergick det samlade ansvaret för äldrevården till kommunerna medan landstingen har kvar det övergripande sjukvårdsuppdraget och ansvaret för läkarinsatserna. Valfrihetsreformen och det ökande antalet privata har också medfört att komplexiteten i vårdkedjan har blivit större.
För många äldre är det inte ovanligt att man växlar mellan att bo i eget boende och särskilt boende, mellan att vara inlagd i sluten vård och att vistas i korttidsboende. Många gör även besök i öppenvården. Det innebär många övergångar mellan huvudmän, vårdgivare och utförare av socialtjänst. Varje övergång i vårdkedjan innebär risker för fel i läkemedelslistan då information ska överföras mellan olika aktörer och mellan olika system. Detta medför risker för att flera läkemedelslistor med innehåll som inte stämmer överens med varandra uppstår. Förändringar av ordinationer under en vårdtid är självklart naturligt och vanligt förekommande. Men när informationsöverföringen brister mellan de olika stegen i vårdkedjan, dvs. i varje vårdövergång, ökar riskerna för att fel i
10 Socialstyrelsen, Äldre med regelbunden medicinering – antalet läkemedel som riskmarkör (2012).
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
404
läkemedelsordinationerna uppkommer varvid säkerheten i behandlingen minskar.
Läkemedelsgenomgångar
Problemen med läkemedelsbehandling för äldre är så allvarliga och omfattande att Socialstyrelsen under 2011 fick i uppdrag att göra en revidering av myndighetens föreskrifter om läkemedelshantering med ett tillägg om läkemedelsgenomgångar för äldre med flera läkemedel.
Socialstyrelsens nya föreskrift (SOSFS 2012:9) adresserar äldre som är 75 år och uppåt och har 5 eller fler läkemedel.11 För dessa ska läkemedelsgenomgångar genomföras vid alla besök i öppen vård, vid inläggning på sjukhus, inflyttning på särskilt boende och inskrivning i hemsjukvård samt i alla situationer med misstänkta läkemedelsproblem oavsett ålder. Arbetet ska genomföras systematiskt och i två delar. Det handlar dels om en enkel läkemedelsgenomgång med kartläggning av vad patienten har och tar, dels om så krävs ett nästa steg med fördjupad läkemedelsgenomgång. Den medicinska bakgrunden till behandlingen ska då ifrågasättas och omprövas, med tidsbestämd uppföljning efteråt. Målet är att läkemedelsbehandlingen ska vara ändamålsenlig och säker.
15.3 Hur ser ordinatörens beslutsunderlag ut?
I den nationella läkemedelsstrategin anför regeringen att en förskrivare (ordinatör) är beroende av såväl korrekt information om patientens aktuella läkemedelsbehandling som om relevant och välstrukturerad information om de läkemedel som ska förskrivas. I dagsläget har förskrivaren vid ordinationstillfället inte alltid tillgång till sådan information. Det medför självklart negativa konsekvenser för möjligheterna till en god och säker vård för patienterna. I det följande berörs kortfattat vad ordinatörens beslutsunderlag består av och hur de olika delarna samspelar med varandra.
11 Socialstyrelsens föreskrifter om ändring i föreskrifterna och allmänna råden (SOSFS 2000:1) om läkemedelshantering i hälso- och sjukvården.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
405
Förskrivning och ordination, förskrivare och ordinatör
Förskrivning är ett begrepp som innebär att en läkemedelsordination skickas elektroniskt eller skrivs ut på en receptblankett så att patienten kan hämta ut det ordinerade läkemedlet på ett apotek. Lite beroende på vilken situation som avses talas i hälso- och sjukvården i dag både om förskrivning och om ordination. Historiskt sett är begreppet förskrivning mer förknippat med en åtgärd inom öppenvården som åtföljs av expediering på apotek, medan begreppet ordination både är vidare i sin betydelse genom att det kan omfatta andra åtgärder än läkemedelsbehandling och mer förekommande i slutenvården. Kedjan ordination av läkemedel, förskrivning av recept och expediering på apotek, motsvaras i slutenvården av ordination av läkemedel, beredning av läkemedlet och delning eller administrering av läkemedlet till patienten. Förhållandet mellan förskrivning och ordination kan beskrivas på det sättet att vissa ordinationer är läkemedelsordinationer och vissa av dessa (i öppenvården) resulterar i en förskrivning av ett recept. En trend synes dock vara att generellt gå från begreppet förskrivning mot det vidare begreppet ordination.
Endast läkare har en generell rätt att förskriva läkemedel, s.k. fri förskrivningsrätt, varför det skulle kunna anses lämpligt att i stället använda begreppet läkare. Samtidigt har vissa andra yrkesgrupper en begränsad rätt att förskriva läkemedel, t.ex. tandläkare, sjuksköterskor med särskild utbildning i farmakologi och sjukdomslära samt barnmorskor. Sett mot den bakgrunden använder vi generellt begreppen förskrivare och ordinatör för att benämna den yrkesutövare som har att fatta beslut om patienters läkemedelsbehandling.
Patientjournalen
Patientjournalen är den primära informationskällan för den som deltar i vården av en patient och exempelvis överväger en läkemedelsordination. I patientjournalen ska antecknas samtliga uppgifter som behövs för en god och säker vård av patienten. Uppgifter om ordinerade läkemedel är naturligvis nödvändigt för att ge en god och säker vård. Det är vanligt att dokumentation av uppgifter om ordinerade läkemedel görs och visas i en särskild läkemedelslista i journalsystemet, där denna information kan vara
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
406
direkt kopplad till annan väsentlig information som uppgifter om vem som ordinerat läkemedel, orsaken till ordinationen, mål för behandlingen, planerad uppföljning av läkemedelsbehandlingen samt patientens övriga hälsotillstånd vid ordinationstillfället.
Utveckling med elektroniska journalsystem och tillhörande läkemedelsmoduler har möjliggjort snabbare, effektivare och säkrare handläggning i samband med läkemedelsordinationer. System för sammanhållen journalföring har dessutom möjliggjort viss informationsöverföring över vårdgivargränserna. Samtidigt uppger vårdgivare och yrkesutövare att det förekommer många olika läkemedelslistor och s.k. ordinationsunderlag i verksamheterna, vilket medför risker för felaktiga eller olämpliga ordinationer. Läkemedelslistan delas inte heller alltid i realtid på ett sådant sätt att den finns tillgänglig i den stund behovet uppstår, vilket ger ett bristande ordinationsunderlag och medföljande risk för patienten.
Såvitt utredningen kan bedöma finns i dag inget samlat och enhetligt dokumentationssystem som gör att en läkemedelslista kan delas och ses av alla för patienten relevanta vårdgivare samtidigt och som möjliggör en aktuell överblick över patientens samlade läkemedel. Vissa undantag från detta finns självklart, exempelvis på mer lokal eller regional nivå där vårdgivare som använder samma journalsystem har förutsättningar att skapa en samlad läkemedelslista. Hur komplett ordinatörens läkemedelslista är beror därför mycket på hur stort verksamhetsområde som delar samma läkemedelslista, dvs. har samma journalsystem eller system för sammanhållen journalföring. Samtidigt har antalet vårdgivare ökat liksom patientrörligheten, vilket sammantaget gör att behovet av att hålla ihop en samlad läkemedelslista, alldeles oavsett vilka journalsystem de olika vårdgivarna använder, nu är större än någonsin tidigare. Varje gång en patient väljer att besöka olika vårdgivare som har olika journalsystem ökar sannolikheten för att informationen om ordinationerna inte finns i en samlad läkemedelslista, utan är utspridda på olika listor i de olika journalsystemen.
Förutom brist på en korrekt och samlad läkemedelslista är det en särskild utmaning att känna till vilka läkemedel patienten faktiskt tar. Frekvensen korrekta läkemedelslistor, dvs. överensstämmelse mellan journaluppgifter och vad patienten faktiskt tar har vid olika genomgångar visat sig mycket låg. I en studie som uppmärksammades i Läkartidningen 2012 framgår att 8 av 10 patienter med 5 eller fler läkemedel hade minst en avvikelse (i
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
407
genomsnitt 29 procent) mellan aktuell medicinering och ordinationer i patientjournalens läkemedelslista.12
Receptregister och läkemedelsförteckning
Bilden av ordinatörens beslutsunderlag blir än mer komplex genom att viss information om patientens läkemedelsbehandling ibland även kan inhämtas genom tillgång till receptregistret och läkemedelsförteckningen. Det är eHälsomyndigheten som ansvarar för dessa register. Receptregistret innehåller information om alla elektroniska receptförskrivningar, medan läkemedelsförteckningen innehåller uppgift om alla receptbelagda läkemedel som patienter har hämtat ut på apoteken. Dessa register kan komplettera bilden av patientens läkemedelsbehandling, men saknar förutsättningar att själva utgöra patientens aktuella läkemedelslista eftersom doseringar kan ha ändrats och läkemedelsbehandling upphört utan att själva receptet makulerats.13
Ordinatörens informationskällor består alltså av en eller flera läkemedelslistor i journalsystemen (bl.a. beroende på patientrörlighet och tekniska förutsättningar), receptregistret med patientens förskrivningar samt läkemedelsförteckningen som ger svar på vilka receptförskrivna läkemedel patienten hämtat ut på apotek. Till detta ska läggas patientens egna uppgifter om vilka läkemedel som han eller hon tar.
Förutsättningarna för ordinatören att ta del av informationen i dessa olika källor är emellertid olika utformat för var och en av källorna. Direktåtkomst till receptregistret får exempelvis bara förekomma för legitimerad hälso- och sjukvårdspersonal samt endast om det rör uppgifter om patienter med dosdispenserade läkemedel. Direktåtkomst till läkemedelsförteckningen får med patientens samtycke och under vissa andra förutsättningar ges till yrkesutövare med förskrivningsrätt och sjuksköterskor utan förskrivningsrätt. Åtkomst till uppgifter om ordinerade läkemedel m.m. i journalsystemen får t.ex. ges till den som arbetar hos en vårdgivare och behöver uppgifterna för vården av patienten.
Enligt utredningens bedömning är dessa olikheter en av de faktorer som bidrar till risker och osäkerheter i läkemedelsprocessen. Längre fram redovisas och analyseras mer ingående de
12 Rutberg, Hoffman m.fl., Läkartidningen 2012-05-15, nr 20. 13 Ekedahl, Stora brister i information om ordinerade läkemedel, Läkartidningen 2010-09-03.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
408
olika förutsättningarna för åtkomst till läkemedelsrelaterade uppgifter.
15.3.1 Våra reflektioner
Utredningen konstaterar att ordinatörens beslutsunderlag är en förutsättning för kvalitet och patientsäkerhet i läkemedelsprocessen. Samtidigt är den information som behövs utspridd på olika informationskällor hos olika vårdgivare och i två register som förs av eHälsomyndigheten. Den stora ökningen av antalet vårdgivare som har ägt rum alltsedan år 2009 har tillsammans med den ökade patientrörligheten och specialiseringen i hälso- och sjukvården medfört att behoven av att hålla samman uppgifter om patienternas läkemedelsbehandling är större än någonsin. Därför är det enligt utredningen bedömning angeläget att utvecklingen mot en samlad, korrekt och aktuell bild av patientens läkemedelsbehandling drivs framåt på ett kraftfullt sätt – trots att det finns stora utmaningar, såväl legala som mer praktiska.
Problemen och riskerna med olika läkemedelslistor och åtföljande fel i ordinationer samt läkemedelsbehandlingar har uppmärksammats sedan länge och även påvisats i olika studier. Sammantaget gör de divergerande läkemedelslistorna det närmast omöjligt att följa upp och se behandlingseffekt eller att värdera nya sjukdomssymtom kontra läkemedelsrelaterade problem. Ofullständiga beslutsunderlag medför även risker för att nya läkemedel förskrivs i stället för att en omprövning görs och läkemedel sätts ut, dvs. att den riskabla ”förskrivningskaskaden” uppstår. En sådan trend är problematisk och riskerar inte minst att bidra till onödigt lidande för enskilda patienter. Läkemedelsbehandling fordrar systematik; indikation, värdering av risker och nytta, kontinuerlig uppföljning samt att i varje stund av nytillkomna symtom beakta läkemedel som tänkbar utlösande orsak. För att kunna göra detta krävs ett korrekt och aktuellt underlag av patientens läkemedelsbehandling.
För ordinatören som ska ta ställning inte bara till enskilda läkemedel, utan även till hur läkemedel samverkar med varandra och med andra pågående behandlingar för att bl.a. ta ställning till fortsatt behandling krävs visserligen mer information än endast uppgift om ordinerade läkemedel. Det behövs inte sällan en koppling mellan varje läkemedelsordination och exempelvis information
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
409
om vem som ordinerat läkemedlet, orsaken till ordinationen, mål för behandlingen samt planerad uppföljning.
I sammanhanget är även hälso- och sjukvårdspersonalens personliga yrkesansvar relevant. Hälso- och sjukvårdspersonalen ska enligt 6 kap. 1 § patientsäkerhetslagen (2010:659), förkortad PSL, utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet. En patient ska ges sakkunnig och omsorgsfull vård som uppfyller dessa krav. Detta ansvar betonas ytterligare i läkemedelslagen (1992:859). Enligt 22 § denna lag ska den som förordnar eller lämnar ut läkemedel särskilt iaktta kraven på sakkunnig och omsorgsfull vård samt på upplysning till och samråd med patienten eller företrädare för denne. Men den rådande situationen med en mer fragmentiserad vård, kortare vårdtider och subspecialisering har medfört att färre förskrivare än tidigare tar ett helhetsansvar för den enskilde patientens medicinering – trots att behovet är större. En samlad överblickbar läkemedelslista är naturligtvis en grundförutsättning. Utöver detta krävs att förskrivaren tar det förskrivaransvar som följer med fri förskrivningsrätt.
Vår utgångspunkt är att varje förskrivare har ett ansvar för att i varje given förskrivningssituation göra en bedömning av aktuell läkemedelsbehandling, bedöma om helheten fungerar och att den ordination som avses är ändamålsenlig och säker. Även en oförändrad ordination kan betraktas som ett ställningstagande och i princip jämställas med en ordination av given dos, styrka och behandlingstid.
Utredningens erfarenhet är att synsätten avseende ansvaret för patientens läkemedelslista skiljer sig åt inom professionen. Det bekräftas även av forskning inom området, där inte minst Pia Bastholm Rahmner i sin avhandling visar hur vitt skilda synsätt det finns om vilket läkarens ansvar är för patienter med många läkemedel. I avhandlingen framhålls följande fem olika synsätt på ansvaret kring läkemedelslistan.14
1. Läkaren övertar ansvaret från annan förskrivare.
2. Läkaren är ansvarig för den egna förskrivningen.
3. Läkaren är ansvarig för samtliga förskrivningar.
4. Patienten och läkaren har olika men delat ansvar.
14 Bastholm Rahmner P. Doctors and drugs – how Swedish emergency and family physicians understand drug prescribing (2009).
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
410
5. Patienten är ansvarig för att distribuera information mellan vårdgivare.
Frågan är komplex och behöver sannolikt analyseras ur flera perspektiv. Här vore det önskvärt med en aktiv inomprofessionell dialog om ansvarets omfattning och lämpliga sätt att arbeta på för att ta ett gemensamt helhetsansvar för patientens läkemedelsbehandling. En sådan inomprofessionell dialog kan i sin tur vara underlag för förtydligande vägledningar från berörda myndigheter kring ordinatörers roller och ansvar kring läkemedelslistan. Utredningen har även under den senare delen av arbetets gång blivit varse om att dessa diskussioner nu börjar initieras och ta form. Vi har exempelvis i samband men konferenser, seminarier och vid andra former av erfarenhetsutbyten deltagit i diskussioner som handlat om roller och fördelning av ansvar för patienternas läkemedelsbehandling. Utredningen har även tagit del av det nyligen framlagda förslag till policy om läkares ansvar som tagits fram av Läkarförbundets råd för läkemedel, IT och medicinteknik. Det är glädjande och viktigt att dessa diskussioner fortsätter och så småningom mynnar ut i en ökad tydlighet som i förlängningen förhoppningsvis kan bidra till ännu bättre resultat för patienterna.
15.4 Hur ser patientens informationsunderlag ut?
För patienter och närstående, som många gånger ska ta ett ansvar för att fullfölja den ordinerade medicineringen, är det nödvändigt med korrekt och fullständig information rörande den samlade läkemedelsbehandlingen. Aktuell, korrekt och lättillgänglig information är även en viktig beståndsdel i arbetet med att skapa förutsättningar för att öka patientens delaktighet, kunskap och inflytande över sin egen situation och hälsa. Liksom för hälso- och sjukvårdspersonalen har även patienten ett antal olika källor som sammantaget kan ge svar på frågor om aktuell läkemedelsbehandling.
Patientjournalen
Patienter kan i dag använda sig av flera olika informationskällor för att få en bild av den ordinerade läkemedelsbehandlingen. En naturlig informationskälla är patientjournalen och dess läkemedels-
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
411
lista, vilken patienten exempelvis kan få en kopia på vid kontakt med en vårdgivare. Det finns även legala förutsättningar för patienten att nå informationen elektroniskt, t.ex. genom Mina vårdkontakter eller andra gränssnitt där patienten kan ta del av journaluppgifter. I dag är det dock inte många vårdgivare som rent praktiskt kan tillhandahålla journaluppgifterna på det sättet, även om det pågår ett intensivt utvecklingsarbete framför allt i landstingen för att möjliggöra detta.
Om patienten blivit ordinerad läkemedel av förskrivare hos flera olika vårdgivare, är informationen i dag sannolikt fragmenterad och utspridd på dessa. I sådant fall måste patienten kontakta respektive vårdgivare och begära ut kopior av läkemedelslistan för att sedan själv foga samman den totala informationsmängden. Något som naturligtvis kan vara svårt att göra eftersom det av de olika listorna kan vara svårt att härleda vilka förändringar som har skett hos respektive vårdgivare. Patienten får därmed kanske endast svar på vilka ordinationer som har gjorts hos var och en, men inte hur de förhåller sig till varandra. För patienten eller anhöriga som kanske hjälper till i läkemedelsbehandlingen uppstår därmed en osäkerhet kring vad som är den samlade och aktuella bilden.
Sparade elektroniska recept
Vidare har patienten en möjlighet att på ett apotek eller på internet ta del av uppgifter om sina elektroniskt sparade recept. Det är eHälsomyndigheten som i dag ansvarar för och tillhandahåller uppgifter om recept enligt lagen (1996:1156) om receptregister (receptregisterlagen). Patientens sparade recept går i dag att nå via Mina vårdkontakter. De sparade recepten kan innehålla uppgifter som såväl uttagna som framtida uttag av sparade recept.
Det bör samtidigt uppmärksammas att denna informationskälla inte nödvändigtvis är överensstämmande med patientens aktuella medicinering eller med vad som kan framgå vid en genomgång av journalsystemens läkemedelslistor. Patientens sparade recept kan innehålla recept på utsatta eller ändrade ordinationer samt dubbletter. Utredningen har bland annat kunna ta del av följande information från ett landstings hemsida på internet, där patienterna uppmärksammas på att det kan vara osäkert att lägga informationen
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
412
om sparade recept till grund för en bedömning om den aktuella läkemedelsbehandlingen.15
”På apoteket får du en sammanställning över dina elektroniskt sparade recept. Den visar bland annat hur länge recepten gäller, hur många gånger till du kan hämta ut läkemedlen och hur de ska doseras. Observera att
• läkemedel som du inte längre ska ta kan finnas med på listan,
• doseringar kanske inte stämmer om läkaren ändrat doseringen
sedan receptet skrevs ut,
• två läkemedel med samma substans med olika namn kan stå med
och medföra risk för dubbeldosering,
• läkemedel som du fortfarande ska ta kan saknas för att receptet har
tagit slut.”
Läkemedelsförteckningen
Genom läkemedelsförteckningen kan patienten ta del av uppgifter om de receptförskrivna läkemedel som patienten har hämtat ut på apotek under de senaste 15 månaderna. Även läkemedelsförteckningen kan i dag nås genom inloggning i Mina vårdkontakter. Patienten kan även få uppgifterna genom att be om en utskrift på ett apotek eller genom att vända sig till eHälsomyndigheten med en begäran om registerutdrag enligt 26 § personuppgiftslagen (1998:204), förkortad PUL.
Även informationen i läkemedelsförteckningen kan skilja sig från den i journalsystemens läkemedelslistor. Olikheterna uppstår exempelvis om det ordinerade läkemedlet byts ut vid expedieringen på apoteket (generikabyte). Medan patientjournalen i ett sådant fall innehåller uppgift om det läkemedel som patienten ordinerats, ger läkemedelsförteckningen svar på vilket läkemedel patienten hämtat ut. För patienter som begärt journalkopior och utdrag ur läkemedelsförteckningen kan därmed en förvirrande situation uppstå.
15 Landstinget i Gävleborg , www.lg.se, 2 014-02-17.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
413
Läkemedlets förpackning
Ytterligare en informationskälla för patienten är själva läkemedelsförpackningarna, som innehåller en bipacksedel från tillverkaren och en etikett från det expedierande apoteket. Denna information behöver nödvändigtvis inte överensstämma med den som exempelvis patienten har fått genom en kopia av patientjournalen eller med den som finns i de elektroniskt sparade recepten. Exempelvis kan ett generisk utbyte av läkemedlet ha ägt rum, vilket får till följd att läkemedel med andra namn än de som finns i läkemedelslistan eller bland de sparade recepten kan ha expedierats.
15.4.1 Våra reflektioner
Utredningen kan konstatera att de olika informationskällorna om patientens läkemedelsbehandling är konstruerade på ett sådant sätt att det kan vara svårt för patienten att få en korrekt och aktuell bild av sin egen läkemedelsbehandling. Detta är ett problem ur ett patientsäkerhetsperspektiv, men bidrar även till att i allmänhet skapa en osäker och otrygg situation för patienter och anhöriga. Även sett ur ett grundläggande integritetsperspektiv är de uppenbara riskerna för divergerande information i de olika källorna ett problem. Även om personuppgiftsbehandlingen i och för sig är korrekt utifrån respektive vårdgivares, apoteks och eHälsomyndighetens perspektiv, ger den sammantagna informationen upphov till en osäker och ibland felaktig bild av den faktiska situationen för patienten. Mot den bakgrunden kan på en generell nivå ifrågasättas om den sammantagna personuppgiftsbehandlingen ligger i linje med det grundläggande integritetsskyddsintresset om att de personuppgifter som behandlas är riktiga, aktuella och i övrigt behandlas i enlighet med vad som är god sed.
Individen har behov av information om sin egen medicinering. Hälso- och sjukvårdspersonalen och apotekspersonalen har behov av en samlad, korrekt och aktuell bild av patientens läkemedelsbehandling för att kunna erbjuda en god och säker vård. Vi anser därför att dagens splittrade regelverk behöver ses över på ett samlat sätt.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
414
15.5 På väg mot en samlad läkemedelslista – Nationell ordinationsdatabas
Både på lokal, regional och på nationell nivå pågår i dag en utveckling mot att skapa en samlad läkemedelslista. På lokal och regional nivå sker det exempelvis genom samarbeten mellan vårdgivare som använder samma journalsystem. På nationell nivå pågår utvecklingen genom anslutningar till den Nationella Patientöversikten, NPÖ, som bland annat har för avsikt att innehålla uppgifter om ordinerade läkemedel.
Samtidigt driver landstingen genom Inera AB ett specifikt utvecklingsarbete, Nationell Ordinationsdatabas (NOD), som syftar till att på en nationell nivå skapa en samlad informationskälla för patientens läkemedelsbehandling. NOD ska utgöra en nationell, samlad läkemedelslista inom ramen för regelverket med sammanhållen journalföring.
I en informationsbroschyr16om NOD anges att visionen för den samlade läkemedelslistan är att den ska bidra till rätt läkemedelsanvändning till nytta för patient och samhälle genom att:
1. visa samma information om läkemedel för alla ordinatörer i
patientens vårdkedja, för övrig behandlande vård- och omsorgspersonal, för apoteken och för patienten själv.
2. i samma vy ge information om vilka läkemedel som patienten
ordinerats just nu och vid tidigare vårdkontakter, vilka av dessa som har hämtats ut på apotek, vilka som har bytts ut och vilka som finns kvar att hämta ut.
3. ge ordinatören möjlighet att ordinera på samma sätt oavsett om
läkemedlen förpackas i dospåsar på apotek eller lämnas ut i originalförpackning.
4. undanröja behovet av dubbelregistrering av samma information i
olika listor och system.
5. kopplas till beslutsstöd med aktuell information om läkemedel,
biverkningar, korsreaktioner mellan läkemedel med mera.
6. bidra till utvecklingen av generisk förskrivning.
16 Center för eHälsa i samverkan, En samlad läkemedelslista, Beskrivning av Nationell ordinationsdatabas, NOD (2013).
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
415
Som konstateras i det föregående är informationen om patientens läkemedelsbehandling i dag utspridd på olika informationskällor inom hälso- och sjukvården och i apoteksledet. Dessutom regleras förutsättningarna för åtkomst till informationskällorna av olika författningar, som alla anger olika villkor för vem som får ta del av informationen och för vilka ändamål det får ske. Mot bakgrund av vad som redovisas nedan om gällande rätt kan utredningen konstatera att delar av det som uttrycks i visionen svårligen kan realiseras inom ramen för gällande regelverk. Det beror bland annat på att förutsättningarna för registrering och åtkomst till information är olika reglerat i patientdatalagen, lagen om läkemedelsförteckning och receptregisterlagen.
15.6 Problembeskrivning – våra reflektioner av gällande rätt
Som nämnts ovan regleras förutsättningarna för åtkomst till uppgifter i patientjournalen, läkemedelsförteckningen och receptregistret av olika författningar, som alla ställer upp olika villkor för vem som får ta del av informationen och för vilka ändamål det får ske. Förutom att det bidrar till att skapa en splittrad och motsägelsefull information om patientens läkemedelsbehandling påverkar det förutsättningarna för att komma till rätta med situationen och driva arbetet mot en samlad läkemedelslista framåt. De olika informationskällorna påverkar också förskrivarnas arbetsmiljö. Den bristande logiken avseende vilka förutsättningar för åtkomst som finns till de olika registren och den bristande överensstämmelsen avseende informationen skapar både osäkerhet och frustration. I det följande beskrivs kortfattad de olika regelverken.
15.6.1 Åtkomst till journaluppgifter/läkemedelslista
Åtkomst till uppgifter i patientjournalen styrs i dag av bestämmelser i patientdatalagen och Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. De närmare förutsättningarna beror sedan på om åtkomsten avser uppgifter inom den egna vårdgivarens verksamhet
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
416
eller om det rör sig om åtkomst till uppgifter hos andra vårdgivare (sammanhållen journalföring).
Åtkomst inom en vårdgivares verksamhet
En grundläggande förutsättning för att ta del av uppgifter om ordinationer som har dokumenterats i den egna vårdgivarens verksamhet är att användaren antingen deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete i hälso- och sjukvården. De faktiska möjligheterna att elektroniskt ta del av uppgifterna kan även bero på hur vårdgivarens verksamhet är organiserad, var i vårdgivarens verksamhet patienten blivit ordinerad läkemedel samt om patienten spärrat information mellan vårdenheter och vårdprocesser i vårdgivarens organisation. Det är en förhållandevis komplex situation som kan uppstå och som behöver beskrivas för att ge en fullständig bild av de förutsättningar som kan uppstå för ordinatören och annan hälso- och sjukvårdspersonal.
Om patienten inte har spärrat uppgifter inom vårdgivarens verksamhet så får den som t.ex. deltar i vården av patienten och behöver uppgifterna för sitt arbete, ta del av uppgifter om ordinationer efter ett antal aktiva val. Möjligheten för ordinatören att snabbt och enkelt ta del av en samlad läkemedelslista inom vårdgivarens verksamhet får mot bakgrund av gällande regelverk dock betraktas som begränsade. Åtminstone om patienten har fått läkemedel ordinerat från olika delar av vårdgivarens verksamhet, t.ex. från olika vårdenheter. I 2 kap. 7 § SOSFS 2008:14 anges nämligen följande.
Vårdgivaren ska ansvara för att information om vilka vårdenheter som har uppgifter om en viss patient inte kan göras tillgänglig utan att den behörige användaren gör ett aktivt val, d.v.s. gör ett ställningstagande till, om han eller hon har rätt att ta del av dessa uppgifter. Patientuppgifterna hos dessa vårdenheter får sedan inte göras tillgängliga utan att den behörige användaren gör ytterligare ett aktivt val.
Såvitt utredningen kan bedöma medför kraven i föreskriften ovan hinder mot att skapa en vårdgivarintern samlad läkemedelslista med uppgifter om patientens ordinationer från olika vårdenheter, med mindre än att ordinatören gör ett antal ställningstaganden och aktiva val för att få tillgång till den samlade informationen. För att illustrera hur föreskriften är tänkt att tillämpas har Socialstyrelsen i
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
417
sin handbok tagit fram följande exempel. För att exemplet ska bli ännu mer illustrativt för läkemedelsprocessen har vi på ett antal ställen nedan ersatt orden ”sjuksköterska” och ”användare” med ”ordinatör” samt orden ”uppgifter” och ”patientuppgifter” med ”uppgift om ordinerade läkemedel”.
En ordinatör ska kunna se i systemet om det finns uppgift om ordinerade läkemedel hos en annan vårdenhet, men inte vilken. Ordinatören ska också kunna se om uppgifterna är spärrade eller inte. För att kunna se hos vilken vårdenhet eller vårdprocess som uppgifter om ordinerade läkemedel finns måste ordinatören först göra ett aktivt val. Det aktiva valet fungerar som en tröskel där ordinatören aktivt väljer åtkomst till uppgifter genom att gå vidare i informationssystemet. Om någon annan vårdenhet har ospärrade uppgifter ordinerade läkemedel måste ordinatören göra ytterligare ett aktivt val för att få tillgång till dessa uppgifter. En annan vårdenhet kan också ha spärrade uppgifter om patienten, och då måste ordinatören först ha patientens samtycke. Även här måste ordinatören göra aktiva val för att nå uppgifterna. Nedan följer ett exempel på hur en ordinatör kan få åtkomst till
ospärrade uppgifter om ordinerade läkemedel inom en och samma
vårdgivare: 1) En ordinatör kan se att det finns ospärrade uppgifter om ordinerade läkemedel om en viss patient hos en annan vårdenhet inom samma vårdgivare, men inte vilken enhet det är. 2) Ordinatören gör därefter ett aktivt val i systemet, vilket innebär att han eller hon tagit ställning till och anser sig ha rätt att ta del av uppgifterna. Därefter kan ordinatören se att uppgifterna om ordinerade läkemedel finns vid en psykiatrisk enhet. 3) Ordinatören gör ytterligare ett aktivt val i systemet, det vill säga återigen tar ställning till om han eller hon har rätt att ta del av uppgifterna. Därefter kan ordinatören läsa de ospärrade uppgifterna om ordinerade läkemedel. 4) Samtliga aktiva val som ordinatören har gjort har blivit loggade i systemet och kan följas upp i efterhand. Vårdgivaren ansvarar för att åtkomsten till ospärrade patientuppgifter regleras i enlighet med 2 kap. 7 § i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.
Situationen ovan blir om möjligt än mer komplex i de fall patienten valt att spärra uppgifter om ordinerade läkemedel från elektronisk åtkomst inom en vårdgivares verksamhet. I ett sådant fall syns inte de spärrade uppgifterna bland de uppgifter som ordinatören kan ta
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
418
del av enligt ovan, utan åtkomsten till de spärrade uppgifterna får ske först efter patientens samtycke och ytterligare ett aktivt val. Spärrade uppgifter inom en vårdgivares verksamhet går även att ta del av i mer akuta nödsituationer där patienten inte kan lämna sitt samtycke.
Sammantaget kan konstaterar utredningen att det vid utformningen av läkemedelslistan och det gränssnitt som hälso- och sjukvårdspersonalen möter behöver tas hänsyn till en rad olika faktorer och krav i regelverken. Det kan ifrågasättas om dessa krav i praktiken är möjliga att genomföra och förena med hur hälso- och sjukvårdsverksamhet bedrivs i dag och med de övriga krav som finns på kvalitet, patientsäkerhet, effektivitet m.m.
Åtkomst mellan vårdgivare – sammanhållen journalföring
Uppgifter om ordinerade läkemedel kan precis som andra informationsmängder delas mellan vårdgivare i system för sammanhållen journalföring. Som vi har beskrivit flera gånger tidigare i betänkandet är sammanhållen journalföring i dag närmast en förutsättning för att kunna bedriva god och säker vård.
För att kunna skapa en läkemedelslista som går över vårdgivargränser och innehåller uppgifter om de ordinationer som gjorts hos respektive vårdgivare krävs i ett första skede att patienterna informerats om den sammanhållna journalföringen och sedan inte motsatt sig den. För den patient som motsätter sig sammanhållen journalföring får uppgifterna inte delas mellan vårdgivarna. Det innebär att övriga vårdgivare inte genom direktåtkomst kan ta del av uppgifter om ordinerade läkemedel om patienten. Uppgifterna finns därmed inte tekniskt åtkomliga. I systemet får det dock framgå att det finns uppgifter om patienten och hos vilken vårdgivare det finns, men inte någon närmare information om vilka uppgifter det rör.
För de patienter som inte sig motsätter sammanhållen journalföring får uppgifterna göras tillgängliga för de övriga vårdgivarna som deltar i systemet. Det innebär, enligt vår bedömning, emellertid inte att uppgifterna i sig kan struktureras och slås ihop med övriga vårdgivares uppgifter på ett sådant sätt att en samlad läkemedelslista för varje patient uppstår. Även här ställer Socialstyrelsens föreskrifter SOSFS 2008:14 nämligen krav på s.k. aktiva
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
419
val och att informationen struktureras efter organisatorisk tillhörighet.
Av patientdatalagen följer som grundläggande krav för åtkomst till patientens uppgifter hos en annan vårdgivare att det finns en aktuell patientrelation, att uppgifterna kan antas ha betydelse för vården av patienten samt att patienten särskilt samtycker till informationsinhämtningen. Utöver detta ställs sedan krav i 2 kap. 8 § ovan nämnda föreskrifter att ordinatören, efter att patienten lämnat sitt samtycke, gör ett aktivt val för att ta del av uppgifterna.
Även när det gäller åtkomst till uppgifter i system för sammanhållen journalföring har Socialstyrelsen i sin handbok lämnat exempel på hur föreskrifterna kan tillämpas. Av exemplet framgår följande steg för åtkomst till information hos andra vårdgivare. Även i detta exempel har vi använt oss av orden ”ordinatör” och ”uppgift om ordinerade läkemedel” för att göra exemplet mer illustrativt.
1. En ordinatör kan se att en annan vårdgivare har ospärrade uppgifter om ordinerade läkemedel om en viss patient, men inte vilken vårdgivare.
2. Ordinatören måste nu inhämta samtycke från patienten för att gå vidare.
3. Om patienten samtycker måste ordinatören göra ett aktivt val innan han eller hon kan se vilka vårdgivare som har uppgifter om ordinerade läkemedel om patienten.
4. Därefter tar ordinatören ställning till hos vilka vårdgivare det finns uppgifter om ordinerade läkemedel som behövs för att vårda patienten – ett aktivt val.
5. Samtliga aktiva val som ordinatören gjort har blivit loggade i systemet och kan följas upp i efterhand.
Våra reflektioner
Vid en genomläsning av exemplen ovan framträder en bild av en omständlig informationshanteringsprocess för den som ska ta ställning till vård och behandling av patienten. Det kan ifrågasättas om detta är ändamålsenligt eller ens i linje med de krav på patientsäkerhet som måste ställas vid ordination av läkemedel. Enligt utredningens bedömning medför regleringen i föreskrifterna svårigheter för arbetet med att skapa en samlad läkemedelslista som snabbt och säkert kan nås av den som t.ex. står i begrepp att göra en ordination eller utvärdera en pågående läkemedelsbehandling.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
420
Det kan inte uteslutas att de hinder som uppställs medför ökade risker för patienter, t.ex. genom felaktiga eller olämpliga läkemedelsordinationer.
Föreskrifternas utformning blir än mer problematisk när man beaktar det grundläggande ansvaret hälso- och sjukvårdspersonalen har för att utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet och för att ge patienten en sakkunnig och omsorgsfull vård som uppfyller dessa krav (6 kap. 1 § PSL). Det kan därför krävas av den yrkesutövare som t.ex. ordinerar eller sätter ut ett läkemedel att alltid ta del av patientens läkemedelslista vid sitt ställningstagande till patientens behandling.
I sammanhanget kan exempelvis nämnas den rekommendation som landets samtliga läkemedelskommittéer tog fram år 2009. Av rekommendationen om ansvar och riktlinjer för hantering av patientens läkemedelslista i öppen vård följer bland annat detta.17
• Ordinatören är skyldig att informera sig om vilka eventuella övriga läkemedel som patienten använder, att ta ställning till hur detta påverkar ens ordination eller uppföljningen av en behandling och ta ställning till hur den nya ordinationen påverkar tidigare ordinationer.
• Ordinatören är ansvarig för att aktuell ordination är lämplig utifrån patientens status och behov samt mot bakgrund av tillgänglig historik.
På en övergripande nivå medför regleringen i föreskrifterna att journalsystemets användargränssnitt inte kan byggas utifrån användarens behov av information för att fatta bästa möjliga beslut om patientens läkemedelsbehandling, utan snarare efter organisatoriska och andra faktorer. Samtidigt kan ifrågasättas om det i praktiken är möjligt att implementera regelverkets krav på ett sätt som är förenat med hur hälso- och sjukvårdsverksamhet bedrivs i dag. Regeringen anför i propositionen till patientdatalagen att det behövs en blandning av preventiva och reaktiva åtgärder för att patientuppgifter inte ska hanteras på ett oacceptabelt sätt samt att det knappast är möjligt att i lag formulera alla de krav som bör ställas på olika slags verksamheter. Vidare uttalar regeringen att det även finns en risk för att detaljerade bestämmelser visar sig olämpliga på sikt på grund av t.ex. en strukturell eller teknisk
17 Sveriges läkemedelskommittéer, Patientens samlade läkemedelslista – ansvar och riktlinjer för hantering i öppen vård (2009).
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
421
utveckling inom områden som nu inte kan överblickas.18 Enligt utredningens bedömning är de detaljerade kraven på journalsystemens användargränssnitt exempel på sådana bestämmelser som är olämpliga. Vi bedömer att regelverket i denna del behöver förändras för att informationshanteringen i hälso- och sjukvården ska kunna bli mer ändamålsenlig och bidra till ännu bättre resultat för patienterna.
Som nämnts tidigare ställer sig utredningen även tveksam till föreskrifternas utformning i förhållande till det uttalande från regeringen som föreskrifterna söker stöd i. I Socialstyrelsens handbok lyfts följande uttalande från regeringen fram som stöd för föreskrifterna om aktiva val.19
Vidare bör uppgifter lagras i olika skikt så att mer känsliga uppgifter kräver aktiva val eller annars inte är lika enkelt åtkomliga för personalen som mindre känsliga uppgifter. När det gäller personal som arbetar med verksamhetsuppföljning, statistikframställning, central ekonomiadministration och liknande verksamhet som inte är individorienterad torde det för flertalet befattningshavare räcka med tillgång till uppgifter som endast indirekt kan härledas till enskilda patienter.
Utredningen kan trots det inte se att föreskriften om aktiva val på ett ändamålsenligt sätt implementerar regeringens intentioner. Regeringen pekar på att det är känsligheten i uppgifterna och personalens behov av uppgifter som ska vara styrande för hur åtkomsten till uppgifter närmare ska arrangeras. Föreskriften tar dock över huvud taget inte hänsyn varken till uppgifternas känslighet eller till yrkesutövarnas behov, utan utgår uteslutande ifrån organisatoriska faktorer.
Det kan dock konstateras att även Datainspektionen i äldre praxis vid tillämpning av dåvarande vårdregisterlagen också gett uttryck för att åtkomsten till information bör styras utifrån organisatoriska principer. I sitt remissyttrande angående Patientdatautredningens förslag anförde Datainspektionen även följande.20
Datainspektionen har i sin tillsyn i frågor som rör 8 § lagen om vårdregister ansett att användargränssnittet i ett system för vårddokumentation ska ha ett utgångsläge som innebär att användaren inte kan se om patienten är aktuell i någon annan verksamhet hos vårdgivaren än den där användaren själv är verksam. Även sådan information är integritetskänslig.
18Prop. 2007/08:126 s. 147. 19Prop. 2007/08:126 s. 149. 20 Datainspektionen, Synpunkter på betänkandet Patientdatalag, dnr 1612-2006.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
422
Modellen med elektronisk åtkomst bör därför utformas så att vårdgivarens anställda inte får tillgång till information om att patienten överhuvudtaget förekommer i en annan vårdenhet eller vårdprocess innan förutsättningarna för åtkomsten är uppfyllda. Datainspektionen anser att detta är möjligt att åstadkomma med föreskrifter om behörighetstilldelning samt inom ramen för de övriga tekniska och organisatoriska säkerhetsåtgärder som vårdgivaren ska vidta enligt 31 § personuppgiftslagen för att skydda de personuppgifter som behandlas.
Utredningen delar regeringens uttalande ovan att det kan finnas behov av aktiva val som ett slags tekniska trösklar för att nå sådan information som kan vara särskilt känslig eller som exempelvis inte generellt är nödvändiga att ta del av i vården av en patient. Samtidigt måste det betraktas som en svår uppgift att med någon form av exakthet bedöma vad som är en sådan känslig uppgift och vad som inte är det. Det avgörande torde i själva verket vara i vilket sammanhang en viss uppgift exponeras.
När det gäller spärrade uppgifter inom en vårdgivares verksamhet anser utredningen att det av nuvarande 4 kap. 4 § tredje stycket PDL följer att en yrkesutövare ska kunna se att det finns spärrade uppgifter, men inte i utgångsläget vilken vårdenhet som har de spärrade uppgifterna. Något motsvarande finns dock inte vad gäller ospärrade uppgifter. Inte heller kan den grundläggande bestämmelsen om behörighetsstyrning i 4 kap. 2 § PDL anses medföra ett sådant krav. Den bestämmelsen tar på en övergripande nivå sikte på vilken behörighet en användare ska ha till patientuppgifter för att kunna utföra sitt arbete, alldeles oavsett var i vårdgivarens verksamhet uppgifterna är dokumenterade.
Både ur ett patientsäkerhetsperspektiv och med hänsyn till behovet av enskilda patienters integritetsskydd finns det skäl att i första hand utforma yrkesutövarnas gränssnitt efter behovet av uppgifter, inte efter organisatoriska faktorer. Den nu gällande föreskriften medför enligt utredningens bedömning att en yrkesutövare varje gång denne har behov av information utanför sin egen vårdenhet ska få se en uppräkning över alla andra vårdenheter som har dokumenterade uppgifter om patienten. Det kan ifrågasättas om den typen av innehållsförteckning som ska exponeras för yrkesutövaren är en ordning som är ändamålsenlig ur ett integritetsperspektiv, eller om det i stället vore att ta större hänsyn till patientens behov av integritetsskydd om användargränssnittets utgångsläge så långt möjligt var anpassad efter yrkesutövarens behov i förhållande till patientens situation. Datainspektionen
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
423
framhåller i ovan nämnda remissyttrande att även information om var en patient är aktuell i en vårdgivarens verksamhet är integritetskänslig. Utredningen delar den bedömningen, men anser samtidigt att det kan övervägas om nuvarande regelverk verkligen tar hänsyn till det på ett ändamålsenligt sätt. När det gäller uppgifter om ordinerade läkemedel finns det enligt vårt synsätt mycket som talar för att det såväl ur ett integritets- som ett patientsäkerhetsperspektiv vore att föredra om yrkesutövaren kunde se en samlad lista av patientens aktuella läkemedelsbehandling i stället för en uppräkning över vilka verksamheter som stått för ordinationerna. Det senare kan vara mer information än vad användaren faktiskt har behov av.
Problemet med den nuvarande utformningen av föreskrifterna blir därför särskilt tydligt när det gäller åtkomst till uppgifter om patientens ordinerade läkemedel. Det är en sådan informationskälla som yrkesutövaren förutsätts ta del av i sin helhet och där det finns betydande risker för patienten vid ett felaktigt beslutsunderlag. Tvärtemot vad som är fallet i dag anser utredningen att såväl lagstiftning som föreskrifter har all anledning att inte förhindra, utan ytterligare stimulera att behörig personal snabbt och säkert får tillgång till en korrekt, samlad och aktuell bild av patientens läkemedelsbehandling. Här kan även finnas behov av att analysera om patientdatalagens nuvarande utformning med möjligheter för patienter att spärra uppgifter om ordinerade läkemedel är ändamålsenlig och hur det förhåller sig till förutsättningarna att lagra och ta del av motsvarande information i läkemedelsförteckningen och receptregistret.
15.6.2 Åtkomst till läkemedelsförteckningen
Läkemedelsförteckningen innehåller uppgifter om samtliga läkemedel som patienter hämtat ut på apotek under de senaste 15 månaderna. Registret kan därmed sägas ge svar på om patienten har hämtat ut det läkemedel som en ordinatör har ordinerat och dokumenterat i patientjournalen. Detta under förutsättning att läkemedlet inte har bytts ut i samband med expedieringen på apotek. I sådant fall registreras det expedierade läkemedlets namn i läkemedelsförteckningen medan patientjournalen fortfarande innehåller uppgift om vilket läkemedel som ursprungligen ordinerades.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
424
Det är eHälsomyndigheten som är personuppgiftsansvarig för läkemedelsförteckningen och behandlingen av personuppgifter regleras av lagen (2005:258) om läkemedelsförteckning. Registreringen av uppgifter i läkemedelsförteckningen är obligatorisk och patienten kan inte motsätta sig den. Vid en jämförelse med patientdatalagens regler för sammanhållen journalföring kan därmed konstateras att patienten inte har någon motsvarande spärrmöjlighet avseende läkemedelsförteckningen.
En förskrivare kan i dag få behörighet, dvs. en teknisk möjlighet, att ta del av uppgifter i läkemedelsförteckningen på åtminstone två olika sätt. Den förskrivare som vill ta del av läkemedelsförteckningen via Mina vårdkontakter ska göra en ansökan om behörighet genom att fylla i en blankett och skicka till eHälsomyndigheten. Såvitt utredningen förstår godkänns förskrivares ansökan generellt om de formella kraven är uppfyllda, utan någon närmare individuell prövning. Naturligtvis kontrolleras att förskrivaren har förskrivningsrätt och i övrigt uppgivit rätt uppgifter i form av exempelvis förskrivarkod och arbetsplatskod. Ett annat alternativ är att ta del av läkemedelsförteckningen via Inera AB:s läkemedelsförteckningstjänst. Tjänsten kan integreras i vårdgivarnas journalsystem eller exempelvis nås genom Nationell Patientöversikt, NPÖ. I dessa fall är det vårdgivarna, dvs. yrkesutövarens arbetsgivare, som tilldelar behörigheter till förskrivare och sjuksköterskor utan förskrivningsrätt. Vårdgivarens anropande system ska ansvara för kontrollen av att yrkesutövaren är behörig att få åtkomst till läkemedelsförteckningen innan ett anrop till eHälsomyndigheten görs.
Behörighet till läkemedelsförteckningen ger en potentiell tillgång till uppgifter som samtliga patienters uthämtade läkemedel de senaste 15 månaderna. De uppgifter som registreras i läkemedelsförteckningen är därmed i princip automatiskt potentiellt tillgängliga för de aktörer som enligt lagen om läkemedelsförteckning får ha direktåtkomst till uppgifterna. Sådan åtkomst får under vissa förutsättningar t.ex. ges till förskrivare och sjuksköterskor utan förskrivningsrätt. För att få använda sin behörighet och i enskilda situationer ta del av uppgifter om uthämtade läkemedel krävs dock att patienten samtycker till det, eller att det är en sådan situation där patienten inte kan samtycka men uppgifterna kan behövas för att patienten ska få den vård som hon eller han oundgängligen behöver.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
425
En förskrivare får genom direktåtkomst ta del av uppgifterna om det behövs för att åstadkomma en säker framtida förskrivning av läkemedel för patienten, bereda patienten vård eller behandling samt för att komplettera patientjournalen. Det finns inga krav i lagen om läkemedelsförteckning på att informationen ska vara strukturerad på ett visst sätt eller att den ska presenteras utifrån organisatoriska faktorer. En förskrivare kan därmed snabbt och enkelt få tillgång till en samlad lista över de läkemedel en patient hämtat ut på apotek under den senaste 15-månadersperioden.
Våra reflektioner
Vid en jämförelse med förutsättningarna för förskrivaren att ta del av motsvarande uppgifter i den egna vårdgivarens journalsystem eller hos andra vårdgivare i system för sammanhållen journalföring, synes åtkomsten till uppgifter i läkemedelsförteckningen vara mer anpassad till de behov som finns för en patientsäker läkemedelsbehandling. Dessa inkonsekvenser i lagstiftningen medför enligt utredningens bedömning problem i flera dimensioner. Problemen blir särskilt uppenbara i relation till det utvecklingsarbete som i dag drivs såväl regionalt som nationellt och där vårdgivare genom att tillämpa reglerna i patientdatalagen samarbetar mot en gemensam och samlad läkemedelslista. Ur ett pedagogiskt perspektiv är det även svårförklarligt varför en yrkesutövare ska ha svårare att få fram en samlad bild av patientens läkemedelsbehandling i vårdgivarens eget journalsystem jämfört med att ta del av uppgifter i läkemedelsförteckningen. Medan åtkomsten till uppgifter i det egna journalsystemet måste ske i ett antal steg där informationen är ordnad efter vilka vårdenheter som har ordinerat läkemedel för patienten, kan yrkesutövaren i läkemedelsförteckningen direkt ta del av motsvarande information i en samlad lista.
Ytterligare en inkongruens mellan regelverken är att patienten inte kan motsätta sig att uppgifterna registreras i läkemedelsförteckningen och hålls potentiellt tillgängliga för de som är behöriga att ta del av uppgifterna. Det är en skillnad mot system för sammanhållen journalföring där patienten kan motsätta sig och där en sådan spärr dessutom innebär att uppgifterna inte ens i en nödsituation går att ta del av genom direktåtkomst. Av lagen om läkemedelsförteckning följer emellertid en möjlighet för t.ex. en förskrivare att i nödsituationer, där patienten inte kan samtycka till
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
426
åtkomsten, ändå ta del av uppgifterna. En följd av detta är således att uppgiften om patientens ordination kan vara spärrad och därmed oåtkomlig i systemet för sammanhållen journalföring för t.ex. den läkare som möter patienten i en akut situation, medan samma läkare i samma situation och genom åtkomst till läkemedelsförteckningen kan ta del av uppgift om att det ordinerade läkemedlet har hämtats ut.
Regelverkens olikheter blir än mer svårbegripliga när vi läser regeringens uttalanden från förarbetena till lagen om läkemedelsförteckning. I propositionen anför regeringen bland annat att en förskrivare som tar del av uppgifter i läkemedelsförteckningen ska få komplettera uppgifterna till patientens journal och att detta bör vara möjligt oberoende av om journalen förs manuellt eller elektroniskt.21Vad som är intressant är att en sådan journalkomplettering vid en jämförande tillämpning av nu gällande patientdatalag och Socialstyrelsens föreskrifter skulle leda till att informationen skulle behöva hänföras till den vårdenhet förskrivaren tillhör. Detta med följden att en förskrivare vid en annan vårdenhet hos samma vårdgivare vid ett framtida möte med patienten inte lika snabbt och enkelt skulle kunna ta del av de i patientjournalen kompletterade uppgifterna, som förskrivaren skulle kunna göra genom läkemedelsförteckningen. Att använda patientjournalen, som är hälso- och sjukvårdspersonalens primära informationskälla och arbetsinstrument, blir således mindre ändamålsenligt i en sådan situation.
När det gäller läkemedelsförteckningen understryker regeringen i propositionen vikten av fullständig information, både för den som ska förskriva läkemedel, men även för den som bedömer patientens behov av annat än läkemedelsbehandling. Det borde enligt utredningens bedömning gälla oavsett om det är åtkomsten till uppgifterna i läkemedelsförteckningen som används eller om det är en åtkomst till journalsystemens läkemedelslistor eller läkemedelsmoduler som används. Regeringen anför bl.a. följande.22
Genom att förskrivaren får en fullständig bild av patientens läkemedelsköp klar för sig minskar bl. a. risken för över- och underförskrivning samt andra former av felaktig förskrivning. Information om en patients läkemedelssituation är också, som flera remissinstanser påtalat, många gånger av stort värde vid bedömningar av en patients behov av vård- eller behandlingsinsatser som inte innefattar förskriv-
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
427
ning av läkemedel. Regeringen anser att uppgifterna i förteckningen ska kunna användas i sistnämnda situationer.
Vidare anför regeringen följande angående intentionerna och förhoppningarna med läkemedelsförteckningen.23
Avsikten med förteckningen är i stället att möjliggöra för olika förskrivare vid olika vårdenheter som patienten kommer i kontakt med vid senare tillfälle att snabbt få ett så fullständigt beslutsunderlag som möjligt om patientens läkemedelsanvändning utan att gå den tidsödande och kanske inte ens genomförbara vägen att låna in patientjournaler från olika håll.
Enligt utredningens bedömning är regeringens avsikt rimlig och generellt i linje med vad som får betraktas som ändamålsenligt för att en yrkesutövare på ett effektivt sätt ska kunna ge en god och säker vård utifrån ett samlat beslutsunderlag. Mot bakgrund av regeringens uttalande kan emellertid konsekvenserna av det ovan beskrivna regelverket i patientdatalagen och Socialstyrelsens föreskrifter ifrågasättas.
15.6.3 Särskilt om utbyte av läkemedel (generikabyte)
I läkemedelsförteckningen registreras, som redovisats ovan, uppgifter om läkemedel om patienter hämtar ut på apotek. Det innebär bland annat att det i läkemedelsförteckningen registrerats vilket läkemedel som har köpts. Om ett byte av läkemedel (generikabyte) har ägt rum är det således det nya läkemedlet som registreras i läkemedelsförteckningen. Av den anledningen finns det även skäl att i detta sammanhang uppmärksamma hur hanteringen av uppgifter om utbytta läkemedel är reglerad i närliggande lagstiftning.
Förutsättningarna för utbyte av läkemedel regleras närmast av lagen (2002:160) om läkemedelsförmåner m.m. Av 21 § fjärde stycket följer en uppgiftsskyldighet för apotekens räkning. Apoteken ska enligt bestämmelsen skriftligt underrätta den som utfärdat receptet, dvs. ordinerat läkemedlet, om att ett utbyte har ägt rum. I förarbetena till bestämmelsen berörs egentligen inte närmare hur denna underrättelse är tänkt att gå till eller varför den behövs. I samband med omregleringen av apoteksmarknaden anförde regeringen dock att förskrivaren behöver information om att utbyte har skett för att kunna komplettera patientjournalen och
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
428
eventuellt även för att kunna ta ställning till den fortsatta behandlingen av patienten.24
Förarbetena till bestämmelsen om skyldigheten att underrätta förskrivarna om utbytta läkemedel ger inte svar på vad som avses med att underrättelsen ska ske skriftligen. Ett alternativt synsätt är att det inte får ske muntligen. Ett annat synsätt är att söka ledning i tryckfrihetsförordningens bestämmelser om ”framställning i skrift eller bild” och ”upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel”.
Utredningen anser emellertid att begreppet skriftligen, i brist på vägledande uttalanden i förarbetena till bestämmelsen, snarare bör ses i sitt aktuella sammanhang än jämföras med tryckfrihetsförordningens bestämmelser. Kravet på skriftlighet får därför närmast, enligt vår bedömning, ses som ett förbud mot muntlig underrättelse. Detta bland annat eftersom det torde finnas ett grundläggande intresse av att säkerställa att kommunikationen görs på ett sådant sätt att den inte kan missförstås. Läkemedel har inte sällan långa och relativt komplicerade produktnamn. En muntlig kontakt mellan utlämnande apotek och förskrivare får mot den bakgrunden anses mindre lämplig. Vidare förutsätter en muntlig kontakt en mer omfattande administrativ aktivitet hos mottagaren, som ska ta del av informationen och dokumentera uppgiften så att den kan ligga till grund för fortsatta ställningstaganden kring patientens vård.
Om avsikten varit att inte möjliggöra olika formera av elektroniska utlämnanden borde det även ha uppmärksammats i förarbetena till apoteksdatalagen (2009:367). Så gjordes inte. När det gäller möjliga sätt att fullgöra uppgiftsskyldigheten ligger det därför enligt vår bedömning närmast till hands att söka stöd i apoteksdatalagen. Lagen reglerar förutsättningarna för apoteken att behandla och lämna ut personuppgifter. Av 8 § punkten 7 följer att personuppgifter får behandlas om det är nödvändigt för rapportering till förskrivare om utbyte av läkemedel enligt 21 § fjärde stycket lagen om läkemedelsförmåner m.m. Vidare framgår av 11 § att en personuppgift som får lämnas ut, får lämnas ut på medium för automatiserad behandling. Sammantaget innebär detta, enligt utredningens bedömning, att kravet på att underrätta förskrivaren får tillgodoses genom ett elektroniskt utlämnande av uppgifterna.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
429
När detta ställs i relation till förutsättningarna för förskrivaren att ta del av samma uppgifter i läkemedelsförteckningen kan en splittrad bild återigen identifieras. Medan det enligt lagen om läkemedelsförmåner finns en uttrycklig skyldighet att underrätta förskrivaren om att ett utbyte av läkemedel har ägt rum samt att detta kan fullgöras elektroniskt med stöd av apoteksdatalagen, krävs patientens samtycke för att samma uppgifter ska få lämnas ut från läkemedelsförteckningen. Detta vare sig utlämnandet görs genom direktåtkomst eller på medium för automatiserad behandling. Inte minst eftersom en underrättelse om utbyte av läkemedel i sig även innebär en uppgift om att patienten har hämtat ut det ordinerade läkemedlet och kan ifrågasättas om inte regelverken skulle kunna harmoniseras. För detta talar även det faktum att de bakomliggande ändamålen med underrättelsen av utbytet och åtkomsten till uppgifter i läkemedelsförteckningen synes vara desamma, dvs. att komplettera patientjournalen och se till att patienten får en god och säker vård.
Det praktiska tillvägagångssätten för att underrätta förskrivare om utbytta läkemedel har genom åren kritiserats för att vara omständligt och ge upphov till ökad administration. Före omregleringen av apoteksmarknaden samlade Apoteket AB in informationen om utbyten och levererade sedan uppgifterna efter en sammanställning per arbetsplatskod till landstingen. Informationen lämnades en gång per månad antingen i pappersform eller på en cdskiva.
Läkemedelsverket har i ett regeringsuppdrag analyserat frågor med beröringspunkter till frågan om underrättelse av utbytta läkemedel.25 I en rapport från 26 september 2011 anger Läkemedelsverket följande.26
För att säkerställa att patienten får aktuellt läkemedel förskrivet vid nästa vårdkontakt samt för att ha aktuell information om patientens aktuella läkemedel vid eventuella reaktioner på läkemedlen måste återrapportering av dessa byten ske till förskrivaren samma dygn bytet utförs på apotek. För att återrapporteringen ska uppfylla sitt syfte måste förtydligade krav ställas på vården att dessa uppgifter snarast/omgående förs i journal/förskrivarstöd så att förskrivaren vid nästa förskrivning/ordination vet vilket läkemedel patienten fått expedierat och kan förskriva det aktuella läkemedlet. För att återrapporteringen ska fungera i praktiken och för att undvika tungrodd
25 S2010/8678/HS. 26 Läkemedelsverket, Utredning av förutsättningar för utvidgat utbyte respektive utbyte vid nyinsättning s. 21.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
430
administration bör möjligheter skapas för apotekens återrapportering att elektroniskt överföras till vården och företrädesvis direkt till patientens journal/motsvarande.
Läkemedels- och apoteksutredningen
Frågan om underrättelse av utbytta läkemedel har nyligen även uppmärksammats av Läkemedels- och apoteksutredningen (S 2011:07) i delbetänkandet SOU 2012:75. I betänkandet betonas vikten av att förskrivare får information om att ett utbyte har skett och att underrättelseskyldigheten bör kunna fullgöras på ett mer ändamålsenligt sätt än vad som hittills varit fallet.
I utredningen uppmärksammas även osäkerheten kring vad kravet på att underrättelsen ska ske skriftligen egentligen innebär. Utredningen lyfter här fram samma alternativa synsätt som vi redogjort för ovan, men tar själva inte närmare ställning till saken. För att undanröja tvivlen och möjliggöra ett effektivare informationsutbyte föreslår utredningen dock att ordet skriftligen tas bort i bestämmelsen i lagen om läkemedelsförmåner. Utredningen anför bland annat följande.27
Utredningen stannar för att det i dagsläget mest ändamålsenliga sättet att utforma bestämmelsen om öppenvårdsapotekens underrättelseskyldighet till förskrivarna är att ta bort kravet på skriftlighet. Apoteksaktörerna kan därmed själva bestämma på vilket sätt de vill underrätta förskrivaren, t.ex. elektroniskt. Apoteksaktörerna bör samråda med mottagarna av informationen rörande såväl rapporteringssätt som tidpunkt för rapporteringen. För det fall rapporteringen sker elektroniskt måste parterna också ta hänsyn till att det är fråga om integritetskänsliga personuppgifter som kräver säkerhet vid överföringen. Eftersom det är nödvändigt att förskrivarna har tillgång till aktuell information om patientens läkemedelsanvändning bör rapporteringen ske inom rimlig tid. Det kan finnas behov av att regeringen eller TLV utnyttjar bemyndigandet att meddela föreskrifter på området, t.ex. avseende just inom vilken tid underrättelsen ska ske. Det bör också påpekas att det för närvarande pågår flera utredningar och projekt som rör informationshanteringen inom hälso- och sjukvården och som kan komma att påverka frågan om förskrivarens information om utbyte av läkemedel, t.ex. arbetet med NOD.
27SOU 2012:75 s. 685 f.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
431
Våra reflektioner
Utredningen delar såväl Läkemedelsverkets som Läkemedels- och apoteksutredningens bedömning att underrättelseskyldigheten bör kunna utformas på ett mer ändamålsenligt sätt, så att aktuell information om patientens läkemedelsbehandling finns tillgänglig för den som behöver uppgifter för att t.ex. ta ställning till patientens vård och behandling. Samtidigt utkristalliseras en bild av ett regelverk som inte i alla delar hänger ihop. Det tydliggörs exempelvis av de olika överväganden som förefaller ha legat bakom den reglerade underrättelseskyldigheten och lagen om läkemedelsförteckning. Medan den förstnämnda ställer ett uttryckligt krav på att informationen om utbytet (och därmed även att läkemedlet hämtats ut) ovillkorligen ska återrapporteras till hälso- och sjukvården ställer det sistnämnda regelverket krav på samtycke för tillgång till motsvarande information. Det kan därför finnas anledning att överväga ett mer samlat grepp om hur rätt information om patienternas läkemedel kan göras tillgänglig för behöriga yrkesutövare. Detta blir inte minst viktigt eftersom det, precis som Läkemedels- och apoteksutredningen uppmärksammar, nu pågår ett antal olika projekt och initiativ för att förbättra informationshanteringen i läkemedelsprocessen.
Ytterligare en faktor att uppmärksamma är att det i lagen om läkemedelsförmåner uttrycks att underrättelsen ska ske till förskrivaren och inte till vårdgivaren. Såvitt vi har kunnat utreda framgår inte av förarbetena till bestämmelsen hur detta ska tolkas. Vid en strikt bokstavstolkning ger bestämmelsen snarare uttryck för att återrapporteringen ska ske till förskrivaren personligen än till organisationen som sådan. Mot bakgrund av regeringens uttalande om att uppgift om utbytta läkemedel är viktiga för att komplettera patientjournalen och utgöra underlag för fortsatta beslut kring patientens vård, blir bilden dock något annorlunda. Ett sådant syfte omfattar generellt fler än endast den som i ett enskilt fall ordinerat ett läkemedel, t.ex. andra yrkesutövare som i olika situationer har att ta ställning till patientens läkemedelsbehandling m.m. Ansvaret för att uppgiften tas om hand och kompletterar patientjournalen ligger då även i verksamhetens intresse och omfattas av vårdgivarens ansvar för en patientsäker informationshantering. En annan omständighet som i praktiken talar för att tolkningen hittills varit att informationen om utbytet snarare riktar sig till verksamheten som sådan än till den enskilda förskrivaren, är
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
432
det praktiska tillvägagångssättet för hur återrapporteringen under en längre tid har fullföljts. Som redovisats ovan har det historiskt sett varit vanligt med en månatlig återrapportering till verksamheten som sådan, sammanställd per arbetsplatskod (där flera förskrivare ingår), inte primärt till enskilda förskrivare. Läkemedels- och apoteksutredningen redovisar exempelvis att det i vissa landsting skickades information direkt till en vårdcentral, medan andra landsting ville samla informationen centralt.28
15.6.4 Åtkomst till receptregistret
Receptregistret, eller receptdepån, innehåller uppgifter om samtliga elektroniska läkemedelsförskrivningar som görs i landet. eHälsomyndigheten är personuppgiftsansvarig för receptregistret enligt receptregisterlagen. De uppgifter som får registreras är bland annat patientens namn, personnummer, uppgifter om läkemedlet, förskrivningsorsaken (ska anges med kod), förskrivarens namn och arbetsplats. Registreringen är obligatorisk i den meningen att patienten inte kan motsätta sig att uppgifterna registreras. Från denna huvudprincip finns dock ett undantag som innebär att uppgifter om patienter som får dosdispenserade läkemedel endast får behandlas med stöd av patientens samtycke.
Generellt får hälso- och sjukvårdspersonal inte ha direktåtkomst till uppgifter i receptregistret. Det skiljer sig därmed från vad som redovisas om läkemedelsförteckningen ovan. Från denna huvudregel i receptregisterlagen finns dock ett undantag som innebär att legitimerad hälso- och sjukvårdspersonal får ha direktåtkomst till uppgifter om dosrecept. I sammanhanget kan således noteras att lagstiftaren har utformat regelverket för åtkomst till uppgifter om ordinerade läkemedel olika beroende på vilken distributionsform det är fråga om (dvs. dosläkemedel eller inte) och inte utifrån sådant som patientens autonomi eller särskilda behov.
Några särskilda villkor för hur denna direktåtkomst ska få användas uppställs inte i lagen. Inte heller ställs det några krav på hur uppgifterna ska vara strukturerade och presenteras vid en direktåtkomst. I praktiken innebär det således att legitimerad hälso- och sjukvårdspersonal kan ta del av en samlad lista över patientens dosrecept de senaste 15 månaderna.
28 Pris, tillgång och service – fortsatt utveckling av läkemedels- och apoteksmarknaden SOU 2012:75 s. 679.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
433
För att möjliggöra denna direktåtkomst finns en sekretessbrytande regel i 25 kap. 17 c § andra stycket offentlighets- och sekretesslagen (2009:400), förkortad OSL, som innebär att sekretess inte hindrar att uppgift i receptregistret lämnas till hälso- och sjukvårdspersonal i enlighet med vad som följer av receptregisterlagen. Vidare finns i 13 § receptregisterlagen en uppgiftsskyldighet som innebär att eHälsomyndigheten ska lämna ut uppgifter om dosrecept till den som har legitimation för yrke inom hälso- och sjukvården och som i sin verksamhet inom vården har behov av sådana uppgifter. Regeringen anför bland annat följande med avseende på möjligheten till direktåtkomst och uppgiftsskyldigheten för Apotekens Service AB (nuvarande eHälsomyndigheten).29
Apoteket AB och Datainspektionen har uppgett att förskrivare och
sjuksköterskor med behörighet till e-dos för närvarande har direktåtkomst till dosrecept. Åtkomsten sker genom tjänsten e-dos. Det är viktigt att denna direktåtkomst kan säkerställas även fortsättningsvis. Registrering av dosrecept är ett av de ändamål för vilket personuppgiftsbehandlingen i receptregistret får ske. För att direktåtkomst för de aktuella personalkategorierna ska vara möjlig krävs att det i receptregisterlagen införs en tystnadspliktsbrytande uppgiftsskyldighet för Apotekens Service AB. Regeringen föreslår därför att Apotekens Service AB ska åläggas att från receptregistret lämna ut uppgifter om dosrecept till den som har legitimation för yrke inom hälso- och sjukvården och som i sin verksamhet inom vården har behov av sådana uppgifter. Uppgiftsskyldigheten är tystnadspliktsbrytande och innebär att nämnda personalkategori får medges direktåtkomst till uppgifterna om dosrecept i receptregistret.
Utredningen konstaterar att det finns en viss otydlighet vad gäller de tillåtna ändamålen för direktåtkomst till uppgifter om dosrecept. I registerförfattningar anges vanligtvis tydligt för vilka ändamål det är tillåtet att behandla personuppgifter genom direktåtkomst.
Av uppgiftsskyldigheten i receptregisterlagen följer indirekt ett mycket generellt utformat ändamål, dvs. att den legitimerade yrkesutövaren får ta del av uppgifter om denne ”har behov” av uppgifterna. Samtidigt anges i lagens grundläggande ändamålsbestämmelse att personuppgifter får behandlas om det behövs för registrering av dosrecept. Det får, enligt utredningens bedömning, anses oklart vad detta ändamål ska anses omfatta och hur det korresponderar med de behov av informationen som finns i hälso- och sjukvården. En fråga som kan ställas är om ändamålet t.ex.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
434
innebär att direktåtkomst till redan registrerade uppgifter endast får användas för att kunna registrera nya uppgifter, dvs. nya eller förändrade ordinationer. Effekten och nyttan av en sådan ordning kan dock ifrågasättas. För att endast göra en registrering borde det inte finnas behov av att se tidigare registreringar.
I författningskommentaren till bestämmelsen anför regeringen bland annat följande.30
I andra stycket anges att den som har legitimation för yrke inom hälso- och sjukvården får ha direktåtkomst till uppgifter om dosrecept. Den personal som åsyftas är hälso- och sjukvårdspersonal som enligt 1 kap. 4 § första stycket 1 lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, har legitimation för yrke inom hälso- och sjukvården. Både när det gäller expedierande personal på öppenvårdsapotek och den hälso- och sjukvårdspersonal som anges i bestämmelsens andra stycke, får direktåtkomst endast medges om det behövs för ändamålen 1, 2 och 8. Det innebär att endast personal som på grund av sitt arbete behöver ha tillgång till uppgifterna får ha direktåtkomst till uppgifter som behandlas automatiserat. Den personuppgiftsansvarige måste därför göra en bedömning av vilka personuppgifter som varje anställd behöver ha tillgång till för att kunna utföra sitt arbete.
Enligt vad utredningen har fått information om har bestämmelsen i praktiken kommit att tolkas på ett sådant sätt att den legitimerade yrkesutövare som exempelvis ska ordinera ett dosdispenserat läkemedel, eller av andra skäl som rör patientens vård har behov av uppgifterna, får del av uppgifterna om tidigare ordinationer i receptregistret. Direktåtkomsten underlättar då för yrkesutövaren att fatta sitt beslut om patientens vård samt ta ställning till och registrera nya ordinationer. På så sätt har direktåtkomsten till uppgifter om dosrecept snarare kommit att användas som ett beslutsunderlag vid vården av patienter, i stället för endast i samband med den rent administrativa uppgiften ”registrering av dosrecept”. Sannolikt är detta en naturlig utveckling eftersom nyttan av en direktåtkomst endast för syftet att registrera ett dosrecept inte kan vara stor.
Mot bakgrund av regeringens uttalanden bedömer utredningen att syftet med att möjliggöra direktåtkomst har varit att tillhandahålla en möjlighet för hälso- och sjukvårdspersonal att ta del av uppgifter om dosrecept för att exempelvis i samband med ordinationer av dosläkemedel få ett beslutsunderlag som ökar
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
435
förutsättningarna för en patientsäker ordination. En sådan tolkning ligger även i linje med följande yttrande från lagrådet.31
Som Lagrådet ser det torde avsikten endast vara att uppgifter ska lämnas ut till de nämnda yrkesutövare som behöver uppgifterna i sin yrkesverksamhet. Någon uppgiftsskyldighet bör alltså inte finnas gentemot de legitimerade yrkesutövare inom hälso- och sjukvården som inte tar befattning med frågor om dosrecept.
Enligt utredningens bedömning ger lagrådets yttrande och regeringens uttalande i författningskommentaren uttryck för att den legitimerade yrkesutövare som i sin verksamhet inom vården har behov av att ta befattning med frågor om dosrecept får göra det genom direktåtkomst. Någon närmare ändamålsbegränsning framkommer inte av receptregisterlagen eller dess förarbeten.
Datainspektionen har även i ett samrådsyttrande rörande direktåtkomst till receptregistret bland annat uttalat följande som också får anses ge stöd för en sådan tolkning.32
Det är endast den som har legitimation för yrke inom hälso- och sjukvården och som i sin verksamhet inom vården har behov av uppgifterna som avses med denna uppgiftsskyldighet. Det är alltså behovet av uppgifterna i verksamheten för den legitimerade personalen som ska styra vem som har rätt att få direktåtkomst till uppgifterna. Det är därför nödvändigt att gå igenom vilka personer som behöver tillgång till uppgifterna för att utföra sitt arbete och därefter göra en avgränsning i enlighet med dessa behov. Med hänsyn till detta anser vi inte att det är förenligt med gällande regler att Apotekens Service AB ger direktåtkomst avseende dosrecept till samtlig hälso- och sjukvårdspersonal inom landstinget, d.v.s. även till dem som inte behöver uppgifter om dosrecept i sin verksamhet inom vården.
15.6.5 Våra sammanfattande reflektioner kring gällande rätt
Utredningens generella bedömning är att regelverket för hantering av läkemedelsrelaterade uppgifter om patienter, t.ex. ordinationer, recept och uthämtade läkemedel, är såväl svåröverskådligt som oförenligt i sitt sätt att reglera förutsättningarna för en säker läkemedelsprocess. En vanligt förekommande beskrivning av en ändamålsenlig eller rationell läkemedelsanvändning är: rätt läkemedel till rätt patient, i rätt dos, vid rätt tillfälle och till rätt
31Prop. 2008/09:145 s. 567. 32 Datainspektionen, Samråd om direktåtkomst till dosregistret, dnr 483-2013.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
436
kostnad. Sammantaget finns behov av att justera gällande regelverk så att förutsättningarna för att nå dessa målsättningar ökar.
Ovan har det tydliggjorts att hanteringen av information i samband med förskrivning av läkemedel är komplicerad – inte desto mindre är den mycket viktig att komma till rätta med. I dag finns inte någon samlad, korrekt och aktuell information om en patients läkemedelsbehandling. Såväl patientens information som ordinatörens beslutsunderlag innehåller brister som ger upphov till uppenbara risker för patientens hälsa och livskvalitet.
Det är vidare en stor pedagogisk utmaning att beskriva motiven bakom regelverkens nuvarande utformning. Sannolikt finns inget sammanhängande motiv eller någon gemensam målsättning för hur de olika lagstiftningarna tillsammans kan bidra till god och säker vård. Även om utredningen inte kommer att ha förslag till lösningar i läkemedelsprocessens alla delar bedömer vi att det ligger i vårt uppdrag att lämna förslag som ökar möjligheterna för hälso- och sjukvårdens aktörer att utveckla ett gränssnitt som kan utgöra en samlad informationskälla om patientens ordinerade och uthämtade läkemedel. Det ligger i den enskilde individens intresse att beslut om läkemedelsbehandling fattas på bästa möjliga grunder så att avsedd effekt kan uppnås och bidra till ökad hälsa och livskvalitet.
15.7 Våra överväganden och förslag
I det följande redovisas ett antal överväganden och förslag som enligt utredningens bedömning ökar förutsättningarna för en mer ändamålsenlig och sammanhållen informationshantering på läkemedelsområdet. Utredningens förslag syftar i allt väsentligt till att öka kvaliteten och säkerheten i vården samtidigt som patienternas behov av skydd för den personliga integriteten tillgodoses.
15.7.1 Utredningens förslag i andra delar m.m.
Vår bedömning: Utredningens förslag om förbättrade möj-
ligheter till direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde samt om förändringar i reglerna om sammanhållen journalföring bedöms undanröja en del av de hinder som i dag finns för utvecklingen mot en samlad bild av
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
437
patientens läkemedelsbehandling. Samtidigt finns behov av ytterligare överväganden för att harmonisera vissa förutsättningar för informationshantering som de regleras i nu gällande patientdatalag, i lagen om läkemedelsförteckning och i receptregisterlagen.
Vidare bedöms bestämmelserna om s.k. aktiva val i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården, utgöra hinder för en patientsäker och ändamålsenlig hantering av uppgifter om ordinationer. Föreskrifterna är för tillfället under omarbetning.
Inledning
I detta betänkande föreslås ett antal grundläggande förändringar vad gäller möjligheterna att hantera och dela information om patienter i hälso- och sjukvården. Ett antal av dessa förslag kommer även att undanröja en del av de hinder som i dag finns för att utveckla en samlad information om patientens läkemedelsbehandling. Men det behövs ytterligare åtgärder för att harmonisera vissa förutsättningar i de relevanta regelverken, dvs. framför allt i nu gällande patientdatalag, lagen om läkemedelsförteckning och receptregisterlagen.
Nedan berörs kortfattat vilken betydelse utredningens förslag i övriga delar kan ha för en mer ändamålsenlig hantering av läkemedelsrelaterade uppgifter inom hälso- och sjukvården.
Direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för
Utredningens förslag till ökade möjligheter för direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för kommer att innebära betydligt bättre förutsättningar för en sammanhållen informationshantering jämfört med vad som är fallet i dag. Effekterna av vårt förslag kommer att bli särskilt påtagliga i de delar av landet där ett stort antal privata och offentliga vårdgivare bedriver hälso- och sjukvård.
I dag medför regleringen i offentlighets- och sekretesslagen och patientdatalagen att vårdgivare i landsting och kommuner med
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
438
många privata vårdgivare har svårare att hålla samman information om patienterna, jämfört med vad som är möjligt i kommuner och landsting där de privata inslagen är mindre. Vårt förslag innebär i praktiken att dessa skillnader kan suddas ut och att förutsättningarna för en sammanhållen informationshantering inte längre blir beroende av hur hälso- och sjukvården är organiserad, utan i stället kan utgå ifrån individens behov och den situation individen befinner sig i.
Konkret innebär vårt förslag att uppgifter om ordinerade läkemedel kan delas mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för, t.ex. sådan verksamhet som finansieras av ett och samma landsting, i det närmaste ”som om” de vore samma verksamhet. Beroende på hur den direktåtkomst vi föreslår implementeras rent tekniskt, kommer uppgifter om ordinerade läkemedel kunna presenteras för behörig hälso- och sjukvårdspersonal i en samlad vy innehållande uppgifter från olika vårdgivare.
Det handlar inte om någon okontrollerad spridning eller tillgång till uppgifterna. En förutsättning för att få ta del av uppgifterna ska vara att vårdgivaren har en aktuell relation med patienten, dvs. att åtkomsten endast får avse patienter som är aktuella i verksamheten. Dessutom följer av den grundläggande bestämmelsen om inre sekretess att t.ex. en ordinatör hos en vårdgivare endast får ta del av de uppgifter som behövs för att kunna utföra sitt arbete.
Utöver detta har patienten en möjlighet att spärra vårddokumentation inom och mellan vårdgivare som bedriver hälso- och sjukvårdsverksamhet som samma huvudman ansvarar för. Det innebär exempelvis att det i en samlad vy över patientens ordinerade läkemedel kan finnas en uppgift om att det finns spärrade uppgifter om ordinationer rörande patienten. Sådana spärrade uppgifter är till skillnad från i system för sammanhållen journalföring fortfarande tekniskt åtkomliga för hälso- och sjukvårdspersonalen, så att de i enskilda situationer med patientens samtycke eller vid akuta nödlägen kan ta del av de spärrade uppgifterna. Frågan om uppgifter om ordinerade läkemedel bör undantas från patientens rättighet att begära spärrar kommer dock att behandlas i det följande.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
439
Sammanhållen journalföring
Genom utredningens förslag om ökade möjligheter till direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvårdsverksamhet som samma huvudman ansvarar för kommer tillämpningsområdet för sammanhållen journalföring att minska. Redan det innebär att hindren mot att skapa en samlad bild av patientens läkemedelsbehandling blir mindre omfattande. Regelverket om sammanhållen journalföring kommer då endast att behöva tillämpas för informationsutbyte mellan vårdgivare som bedriver hälso- och sjukvård som olika huvudmän ansvarar för, t.ex. mellan vårdgivare i olika landsting eller mellan vårdgivare med ett landsting som huvudman och vårdgivare med en kommun som huvudman.
Vidare leder vårt förslag om att ta bort det särskilda samtyckeskravet för åtkomst till uppgifter i sammanhållen journalföring förhoppningsvis till en mer ändamålsenlig informationshantering i praktiken. Genom att tydliggöra att samtycket till och överenskommelsen om vård är utslagsgivande för informationsinhämtningen bedömer vi samtidigt att patienternas integritetsskydd i praktiken inte försämras. Den som inte har en laglig grund för att ge hälso- och sjukvård, t.ex. ordinera ett läkemedel, får därmed inte ta del av uppgifter hos andra vårdgivare i sammanhållen journalföring.
Socialstyrelsens föreskrifter
Som vi har redovisat i det föregående bedömer utredningen att utformningen av kraven på s.k. aktiva val i Socialstyrelsens föreskrifter (SOSFS 2008:14) innebär hinder för en patientsäker och ändamålsenlig hantering av uppgifter om ordinationer. För en ordinatör kan dessa krav innebära att det i praktiken blir svårt att snabbt få en samlad bild av patientens läkemedelsbehandling. Föreskrifterna är för tillfället under revidering. Utredningen hoppas att de nya föreskrifterna kommer att ge stöd för att utforma journalsystemens användargränssnitt efter behoven av information i stället för efter organisatoriska faktorer. Oavsett om utredningens förslag i övrigt genomförs har förändrade föreskrifter stor betydelse för de faktiska möjligheterna att tillhandahålla ett fullständigt beslutsunderlag för den som står i begrepp att ordinera, sätta ut eller bedöma en patients läkemedelsbehandling.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
440
15.7.2 Behov av åtgärder som leder till harmoniserade regler
Utredningen har redovisat de olika förutsättningar som i dag finns för hanteringen av motsvarande informationsmängder i patientjournalen, i receptregistret respektive i läkemedelsförteckningen, samt uppmärksammat den underrättelseskyldighet som följer av lagen om läkemedelsförmåner m.m.
Det kan konstateras att det finns bristande överensstämmelser både i frågor som rör villkoren för registrering av uppgifter och villkoren för åtkomst till uppgifterna. Vår bedömning är att en viss harmonisering av regelverken bör göras i syfte att öka förutsättningarna för en mer ändamålsenlig hantering av läkemedelsrelaterad information om patienter.
För att identifiera vilka förändringar som det kan finnas behov av att överväga kan, förutom det som redovisats i det föregående, följande schematiska och något förenklade uppställning vara upplysande. Beskrivningen utgår ifrån de förutsättningar som skulle gälla om det som utredningen hittills har föreslagit genomförs. Vidare beaktas inte kraven på s.k. aktiva val i SOSFS 2008:14 i uppställningen.
Patientjournalen – åtkomst inom och mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för
1. Uppgifter om ordinationer får vara tillgängliga inom och mellan vårdgivarna.
2. Patienten kan motsätta sig, men sådan spärrad information får ändå ingå och vara åtkomlig med stöd av patientens samtycke eller i en nödsituation.
3. Åtkomsten får ske till uppgifter rörande patienter som finns i den egna verksamheten under förutsättning att uppgifterna behövs.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
441
Patientjournalen – sammanhållen journalföring
1. Uppgifter om ordinationer får vara tillgängliga mellan vårdgivarna om patienten först informerats och inte motsatt sig.
2. Patienten kan motsätta sig och i sådant fall är uppgifterna inte tekniskt åtkomliga för andra vårdgivare, dvs. uppgift om ordinationen kan inte nås genom direktåtkomst vare sig med patientens samtycke eller i en nödsituation.
3. Åtkomsten får ske till uppgifter rörande patienter som finns i den egna verksamheten under förutsättning att uppgifterna behövs.
Läkemedelsförteckningen – uppgifter om uthämtade läkemedel
1. Uppgifterna ska registreras i läkemedelsförteckningen och patienten kan inte motsätta sig det.
2. Förskrivare och sjuksköterskor utan förskrivningsrätt har potentiell åtkomst till samtliga uppgifter.
3. Åtkomst får användas om patienten samtyckt till det och uppgifterna behövs för att åstadkomma en säker förskrivning, ge patienten vård och behandling eller komplettera patientjournalen.
4. Åtkomst är även tillåten om patienten inte kan lämna samtycke och uppgifterna behövs för att patienten ska kunna få den vård eller behandling som han eller hon oundgängligen behöver.
Underrättelseskyldighet rörande utbytta läkemedel
1. Apotek ska skriftligen underrätta förskrivare om ett utbyte av läkemedel har skett i samband med att patienten hämtar ut läkemedlet på ett apotek.
2. Syftet med underrättelsen är att komplettera patientjournalen och ligga till grund för beslut om patientens vård och behandling.
3. Underrättelsen bedöms kunna ske på medium för automatiserad behandling, t.ex. filöverföring.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
442
Receptregistret – uppgifter om dosrecept
1. Om patienten samtycker ska uppgifter om dosrecept registreras i receptregistret.
2. Legitimerad hälso- och sjukvårdspersonal får ha direktåtkomst till uppgifter om dosrecept om det behövs för yrkesutövarens verksamhet i hälso- och sjukvården.
15.7.3 Patientens spärrmöjligheter bör inte omfatta uppgifter om ordinerade läkemedel
Vårt förslag: Patienten ska inte kunna motsätta sig att uppgifter
om ordinerade läkemedel görs tillgängliga genom elektronisk åtkomst inom en vårdgivares verksamhet eller genom direktåtkomst mellan vårdgivare. Patienten kan därmed inte motsätta sig att uppgifter om ordinerade läkemedel görs tillgängliga genom sammanhållen journalföring eller mellan vårdgivare inom en huvudmans ansvarsområde. Bestämmelser om detta ska tas in i hälso- och sjukvårdsdatalagen.
Med uppgifter om ordinerade läkemedel avses ordinationsorsak, läkemedlets namn, läkemedlets form, mängd, dosering, administrationssätt och tidpunkter för administrering. Definitionen ska anges i hälso- och sjukvårdsdatalagen och anger den yttersta ramen för vad som patienten inte har rätt att spärra.
Vår bedömning: Förslaget syftar till att förbättra kvaliteten och
patientsäkerheten i hälso- och sjukvården genom att möjliggöra en samlad, korrekt och aktuell bild av patientens läkemedelsbehandling. Förslaget innebär ingen ökad rätt för hälso- och sjukvårdspersonal att ta del av uppgifter, utan endast att uppgifterna får finnas tekniskt åtkomliga så att det är möjligt att ta del av dem när det behövs för patientens vård. Genom förslaget blir förutsättningarna för yrkesutövares åtkomst i journalsystemens läkemedelslistor därmed i stort överensstämmande med vad som gäller för åtkomst till motsvarande uppgifter i receptregistret och läkemedelsförteckningen.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
443
Inledning
Utredningen kan konstatera att de rättigheter enligt patientdatalagen som patienten har att spärra uppgifter inte helt är harmoniserade med förutsättningarna för registrering av motsvarande information i läkemedelsförteckningen. Det kan även finnas anledning att ställa regelverket i relation till den underrättelseskyldighet som följer av lagen om läkemedelsförmåner m.m. och som uttrycker vikten av att rätt information om läkemedel finns för den som står i begrepp att fatta beslut om patienters läkemedelsbehandling m.m.
Ända sedan patientdatalagens ikraftträdande har det framförts åsikter och bedömningar kring möjligheterna för patienterna att spärra sådan information som är särskilt viktig antingen för vården av patienten eller för säkerheten m.m. för hälso- och sjukvårdspersonalen. I ett antal remissyttranden på Patientdatautredningens betänkande framfördes vikten av att exempelvis s.k. varningsinformation, t.ex. uppgifter om allergi, överkänslighet eller smitta inte bör kunna spärras av patienten.33Reumatikerförbundet anförde i sammanhanget exempelvis att det borde kunna skapas ett ”emergency-tecken” i journalen med direktåtkomst till viktiga fakta kring t.ex. läkemedel, sjukdom, funktionsstörningar i hjärtlungverksamhet, uppgifter som kan vara av avgörande betydelse för vård i kristillstånd.34
Regeringen anförde dock att det är viktigt att gå försiktigt fram vid införandet av ny lagstiftning och att skyddet för patientens integritet och därmed möjligheterna att behålla förtroendet för systemet som föreslås väger över till förmån för att inte införa regler om undantag för spärr för viss information. I sammanhanget anförde regeringen även följande35
Det går inte att nu göra annat än antaganden om hur många som kommer att välja att spärra uppgifter och varför eller anledningen till att patienter inte spärrar uppgifter. Den nyordning som regeringen föreslår bör därför utvärderas så snart som det finns underlag för det. Visar det sig vid en framtida utvärdering att många patienter spärrar sina uppgifter och att det leder till problem utifrån patientsäkerhetssynpunkt vad det gäller andra områden än barn som far illa, som exempelvis smitta, kan det finnas skäl att överväga ytterligare lag-
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
444
ändringar som gör undantag från den ordning som regeringen nu föreslagit.
Utredningen delar generellt regeringens uppfattning att det är viktigt att gå försiktigt fram och att det är viktigt att analysera och utvärdera effekterna av en ny lagstiftning. När det gäller det senare bedömer vi att det inte enbart är relevant att betrakta frågorna ur ett övergripande patientsäkerhets- och integritetsperspektiv, utan att det också är nödvändigt att ta hänsyn till andra aspekter som ett införande av regelverket för med sig. Det kan handla om balansen mellan kostnader och nytta, men även om regelverkets påverkan på arbetssituationen för yrkesutövarna i hälso- och sjukvården. Vidare bör hänsyn även tas till vilka praktiska möjligheterna de som ska tillämpa lagstiftningen har att omsätta lagstiftningens krav i de system som används och som ska bidra till god och säker vård. Vår utgångspunkt är även att det är nödvändigt att inte endast analysera frågan om patientens spärrmöjligheter som en isolerad fråga om ett vara eller icke vara. Vi behöver också fokusera på frågan i sak, dvs. hur ett tillfredsställande integritetsskydd övergripande bör konstrueras och konkretiseras utan att omotiverade patientsäkerhetsrisker m.m. uppstår.
Utmärkande för patientdatalagens utformning och uttalanden i förarbetena är bland annat att det inte görs någon skillnad mellan olika informationsmängder. Samtliga informationsmängder omfattas av samma legala regelverk oavsett skillnader som kan finnas i informationens betydelse för en god och säker vård eller oavsett informationens känslighet ur ett integritetsperspektiv. Inte heller gör regelverket skillnad på om uppgifter hanteras i ett omfattande journalsystem tillsammans med alla andra uppgifter om patienter eller om uppgifterna är strukturerade på ett sådant sätt att de kan t.ex. kan nås för en mindre krets yrkesutövare genom avgränsade tekniska funktioner etc. Det kan därför uppstå kollisioner mellan ett generellt tillämpligt regelverk och de mer specifika och verksamhetsnära behoven. Det är särskilt uppenbart när det gäller hanteringen av läkemedel. Vid denna hantering har man länge arbetat mot en gemensam läkemedelslista, en samlingsvy över patientens läkemedelsbehandling,
Frågan om att eventuellt begränsa patientens rätt att spärra uppgifter är komplicerad och kräver noggranna överväganden. Ur ett övergripande perspektiv delar vi den princip om självbestämmande som gällande rätt ger uttryck för. Det är på ett generellt plan högst
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
445
rimligt att patienter har möjligheter att påverka hur känsliga uppgifter hanteras och utbyts inom och utom hälso- och sjukvården. Samtidigt kan finnas skäl att överväga om skälen för detta är lika starka för all information eller om viss information i sig utgör en sådan nödvändig förutsättning för god och säker vård att den i praktiken alltid behövs för att patienten ska kunna ges den vård som är nödvändig. Uppgifter om ordinerade läkemedel är på flera sätt en sådan uppgift.
Vi har tidigare översiktligt redovisat omfattningen av läkemedelsbehandling och vilka risker och läkemedelsrelaterade problem som patienter utsätts för. Vi har även redovisat att de yrkesutövare som ska fatta bästa möjliga beslut om patienters läkemedelsbehandling många gånger gör sina ställningstaganden på osäker grund, exempelvis för att läkemedelslistorna är utspridda på olika vårdgivare eller för att de inte överensstämmer med vad patienten faktiskt har hämtat ut och tar. Samtidigt har uppmärksammats att det både på lokal, regional och nationell nivå pågår ett målmedvetet arbete med att tillhandahålla bättre förutsättningar för en säker och ändamålsenlig hantering av läkemedelsrelaterade uppgifter om patienter. Utredningen anser att det är viktigt att detta arbete kan fortsätta drivas framåt för att komma närmare målsättningen om rätt information på rätt plats i rätt tid.
Vidare är vår utgångspunkt att varje förskrivare har ett ansvar för att i varje given förskrivningssituation göra en bedömning av aktuell läkemedelsbehandling, att helheten fungerar och att den ordination som avses är ändamålsenlig och säker. Även en oförändrad ordination kan betraktas som ett ställningstagande och i princip jämställas med en ordination av given dos, styrka och behandlingstid. För att kunna ta detta ansvar krävs en samlad, korrekt och aktuell bild av patientens läkemedelsbehandling. Regeringen uttrycker bland annat följande i den nationella läkemedelsstrategin.36
Läkemedel skapar stor nytta för patienter och samhälle. Men läkemedelsanvändningen är inte problemfri. Biverkningar, olämpliga läkemedelskombinationer, feldosering, bristande följsamhet till ordinationer, oavsiktlig dubbelmedicinering och annan felaktig läkemedelsanvändning kan leda till hälsoproblem. Ett sätt att öka möjligheterna att förutse och undvika läkemedelsrelaterade problem skulle vara att patienten själv, vården och apoteket hade en samlad och gemensam bild av vilka läkemedel varje enskild patient rekommenderats och
36 Nationell läkemedelsstrategi, Handlingsplan 2014, s. 13.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
446
varför. Idag finns ingen sådan samlad bild. I stället finns informationen spridd i flera olika läkemedelslistor och register. Till exempel finns uppgift om ordinerade läkemedel i läkemedelslistor i olika journalsystem, giltiga recept i receptregistret och uppgifter om uthämtade läkemedel i Läkemedelsförteckningen. Dessa register och listor visar inte sällan olika bilder av verkligheten och de har dessutom olika regler om vem som får åtkomst till informationen. Det är inte heller säkert att någon av listorna stämmer med patientens egen bild. Detta är bakgrunden till att en nationell, samlad läkemedelslista behövs och nu skapas.
När nu hälso- och sjukvården står inför nästa steg i riktning mot en samlad läkemedelslista i form av nationell ordinationsdatabas anser utredningen att en omprövning och en omvärdering av lagstiftningens perspektiv och utgångspunkter bör göras. Den tekniska utvecklingen har gått framåt och ytterligare utveckling kommer att ske. Inte minst går utvecklingen mot inbyggda beslutsstödsliknande funktioner som kan reducera riskerna för olämpliga beslut i läkemedelsprocessen. Det kan exempelvis handla om sådana funktioner där systemet själv känner av och signalerar om en olämplig ordination är på väg att genomföras, t.ex. om det finns risker för kontraindikationer mellan läkemedel. Ett regelverk som tillåter att sådan information kan spärras som behövs för att systemet ska kunna stödja en patientsäker vård och vara kunskapsstyrande för yrkesutövarna ger också uttryck för att tillåta och ha överseende med osäkerhetsfaktorerna. För den patient som spärrat en viss läkemedelsordination får ett sådant beslutsstöd ett begränsat värde eftersom beslutsstödet inte tillåts arbeta med all relevant information. Detsamma gäller naturligtvis för de yrkesutövare som ska vägledas av beslutsstödsfunktionerna i sitt arbete. För dem blir det svårt att lita på om systemet har fått bearbeta tillräcklig och nödvändig information för att göra sin rekommendation.
Med nya och effektiva beslutsstöd har vi i dag möjligheter att låta tekniken göra sådant som vi i en manuell hantering skulle ha mycket svårt att klara av. Både resursmässigt vad gäller tid men även kunskapsmässigt med tanke på de snabba landvinningar som görs och det omfattande forskningsunderlag som kontinuerligt produceras. Att manuellt gå igenom en omfattande mängd indikatorer i patientjournaler, värdera dessa efter vetenskap och beprövad erfarenhet och samtidigt ta hänsyn till de senaste forskningsrekommendationerna för att fatta ett beslut är ingalunda en enkel
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
447
uppgift. I dag vet vi dock att tekniken kan göra mycket av detta åt oss mer eller mindre automatiskt. Men då måste uppgifterna finnas tillgängliga så att de kan bearbetas av systemet och ligga till grund för en beräkning eller rekommendation.
Denna typ av beslutsstödsfunktioner kan dessutom vara fördelaktiga ur ett integritetsskyddsperspektiv eftersom de aktuella uppgifterna hanteras av systemet och inte exponeras för yrkesutövaren på samma sätt som när motsvarande beslutsunderlag ska tas fram vid en traditionell genomgång av patientjournalen. En samlad, korrekt och aktuell bild av patientens läkemedelsbehandling utgör en begränsad del av dokumentationen i vården. Samtidigt är värdet av informationen ofta alldeles avgörande i vårdögonblicket. Vid analysen av nyttan med tillgång till informationen relaterat till risker för ökat integritetsintrång behöver därför särskild hänsyn tas till att läkemedel är en informationsmängd som är särskilt viktig för patientens liv och hälsa.
Hälso- och sjukvårdens utmaning beträffande handläggning av kroniska sjukdomar och pågående kronisk läkemedelsbehandling är avgörande för hela hälso- och sjukvårdssystemet inför framtiden. Läkemedelsrelaterade problem med åtföljande vårdkonsumtion utgör en allt större del av de samlade hälso- och sjukvårdskostnaderna. Målet och intentionen med en samlad läkemedelslista är att i varje stund kunna ge patienten en adekvat och anpassad läkemedelsbehandling som grund för en god och säker vård utifrån det tillstånd och den situation som råder. Aktuell och pågående läkemedelsbehandling ger hälso- och sjukvårdspersonalen en kvalificerad bild av aktuellt hälsotillstånd. Med detta utgångsläge möjliggörs ett effektivt medicinskt omhändertagande på en nivå där tidigare medicinska bedömningar tas tillvara, omprövas och ifrågasättas samtidigt som nya bedömningar kan adderas.
Danmark som jämförande exempel
Vid en utblick mot våra grannländer kan bland annat konstateras att Danmark sedan ett antal år tillbaka drivit utvecklingen mot en nationell, samlad läkemedelslista (Fælles Medicinkort, FMK). Det är en gemensam nationell läkemedelslista där hälso- och sjukvårdspersonal (och även socialtjänstpersonal m.fl.) elektroniskt kan ta del av en patients samtliga ordinationer. Även patienterna själva har en möjlighet att över internet ta del av sin samlade läkemedelslista.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
448
För hälso- och sjukvårdspersonal både i offentlig och privat hälso- och sjukvård finns en skyldighet att uppdatera informationen i den samlade läkemedelslistan och patienter kan inte motsätta sig att uppgifter registreras. Det finns således ingen motsvarande rätt för patienter att spärra, som det finns i patientdatalagens regelverk för sammanhållen journalföring. I Danmark är uppgifter om ordinerade läkemedel därmed alltid potentiellt tillgängliga för de behöriga yrkesutövarna.
För att exempelvis en läkare ska få ta del av uppgifterna krävs att det finns en aktuell patientrelation med patienten och att uppgifterna kan antas behövas för vården av patienten. Åtkomst till läkemedelslistan kan ske antingen genom att hälso- och sjukvårdspersonalen loggar in direkt mot FMK t.ex. genom den lösning som Sundhedsstyrelsen tillhandahåller, eller genom att vårdgivaren har integrerat FMK i sitt journalsystem. Enligt uppgifter till utredningen har alla fem hälso- och sjukvårdsregioner i Danmark utvecklat full integration mot FMK genom de lokala patientjournalsystemen.
Även om patienter i Danmark inte har rätt att motsätta sig att uppgifterna registreras i FMK finns en möjlighet för patienten att begära att en ordination ska markeras som ”privat”. Patienten kan inte själv göra detta utan det ska göras av en läkare på patientens begäran. Läkaren ska samtidigt informera patienten om eventuella konsekvenser för framtida behandlingar, så att patienten kan fatta ett informerat beslut. Normalt sett ska det vara den läkare som ordinerat läkemedlet. När annan hälso- och sjukvårdspersonal sedan tar del av patientens läkemedelslista kommer den privatmarkerade ordinationen inte att framgå i klartext, men det framgår att det finns en ordination som är privatmarkerad. Hälso- och sjukvårdspersonalen kan ta del även av den privatmarkerade uppgiften efter att ha inhämtat patientens samtycke till det. Om patienten saknar förmåga att samtycka och yrkesutövaren bedömer att uppgifterna kan vara nödvändig med hänsyn till patientens behov av vård, är det också tillåtet att ta del av en privatmarkerad ordination. Det innebär således att en privatmarkerad ordination är tillgänglig i systemet, dvs. tekniskt åtkomlig, men att särskilda villkor gäller för att en yrkesutövare lagligen ska få ta del av uppgiften.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
449
Balansen mellan olika intressen
Sammantaget finns det, enligt utredningens bedömning, starka skäl som talar för att såväl lagstiftning som andra åtgärder behöver stimulera den utveckling mot en samlad läkemedelslista som nu är på gång även i Sverige. Ett led i detta skulle kunna vara att undanta uppgifter om läkemedelsordinationer från patienternas rätt att motsätta sig sammanhållen journalföring. Samtidigt skulle det innebära ökade risker för intrång i den personliga integriteten samt inskränka patienternas rätt till självbestämmande i frågan. Det är dock viktigt att poängtera att ett undantag från dagens spärrmöjligheter inte skulle innebära en okontrollerad spridning eller användning av uppgifterna. Undantaget skulle principiellt endast innebära att uppgifterna, i likhet med vad som gäller för läkemedelsförteckningen, får vara tekniskt åtkomliga, så att det är möjligt för en yrkesutövare att ta del av dem när det i en enskild situation är lagligt. Att undanta läkemedelsordinationer från spärrmöjligheterna handlar således inte om förutsättningarna för yrkesutövare att få ta del av uppgifterna, det handlar om uppgifterna över huvud taget ska få finnas potentiellt tillgängliga.
Mot den bakgrunden kan det vara av intresse att uppmärksamma hur regeringen resonerade i en motsvarande fråga, där det precis som här handlade om begränsade informationsmängder avseende läkemedel. Regeringen uttalade bl.a. följande i propositionen till lagen om läkemedelsförteckning om behovet av en samlad bild av patientens läkemedelsbehandling.37
Regeringen konstaterar att det i nuläget inte finns någon samlad information om patientens läkemedelssituation tillgänglig. Om en förskrivare inte har den fullständiga och korrekta bilden av patientens läkemedelsförhållande klar för sig när ett läkemedel ska förskrivas utgör detta en uppenbar hälsorisk för den enskilde patienten. En brist på information om patientens läkemedelsförhållanden kan leda till över- och underförskrivning samt direkt felaktig förskrivning, vilket i sin tur kan leda till att patienten drabbas av sjukdom och lidande. --- För att skapa en aktuell och samlad information om en patients läkemedel som kan användas vid förskrivning och hantering av den enskildes läkemedel vore det lämpligt att utnyttja eller knyta an till denna registrering av uthämtade förskrivna läkemedel men spara uppgifterna under en längre tid än i dag. En sådan registrering belastar inte den förskrivande läkaren och har den fördelen att den omfattar sådana läkemedel som patienten inte bara har ordinerats utan också hämtat ut
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
450
på apoteket. Registreringen kan knytas till den enskilde patienten, dennes namn och personnummer och möjliggör en samlad, heltäckande information om patientens läkemedelsinköp oberoende av vem som har förskrivit läkemedlen och vid vilken vårdenhet det skett.
Mot denna bakgrund övervägde regeringen sedan om registreringen av uppgifter om uthämtade läkemedel skulle vara obligatorisk eller om det skulle vara beroende av patientens inställning. Det kan i detta avseende därför jämföras med frågan om patientens rättighet att spärra uppgifter från elektronisk åtkomst och motsätta sig att uppgifter om ordinationer delas mellan vårdgivare i system för sammanhållen journalföring. Vad gäller läkemedelsförteckningen menade regeringen att registret behöver vara heltäckande för att förskrivare ska kunna lita på att samtliga uthämtade läkemedel finns med i förteckningen. Regeringen anförde bland annat följande.38
Ett register, som för vissa patienter endast redovisar ett urval av de förskrivna läkemedel som hämtats ut, skulle av naturliga skäl inte fullt gå att lita på. Syftet med förteckningen skulle då vara förfelat och nuvarande problem med informationsbrist skulle kvarstå. ---- Skälen för att tillåta att uppgifterna i en läkemedelsförteckning registreras utan krav på den enskildes samtycke väger tungt. Regeringen anser därför att själva förtecknandet av uppgifterna ska få ske utan krav på den enskilde patientens samtycke. För att skydda den enskildes integritet skall dock tillgången till uppgifterna vara beroende av den enskildes samtycke.
Med avseende på uppgifter om uthämtade läkemedel har lagstiftaren således gjort bedömningen att registrering inte ska kräva patientens samtycke eller att patienten ska ha en rätt att motsätta sig registreringen. Det innebär t.ex. att uppgifter om samtliga uthämtade läkemedel kan vara tillgängliga för den förskrivare som i möten med patienter har behov av uppgifterna för att kunna ge en god och säker vård. Det faktum att patientens samtycke krävs för åtkomsten kan jämföras med det samtycke till vård som patienter lämnar och som är det som primärt grundar en rätt att ta del av uppgifter i en patientjournal.
Enligt vår uppfattning blir lagstiftarens signaler när det gäller hanteringen av läkemedelsrelaterad information splittrad. Medan patienter i enlighet med patientdatalagen ges rätt att spärra en ordination från en yrkesutövares åtkomst, har patienten inte rätt
38Prop. 2004/05:70 s. 20 ff.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
451
att motsätta sig registrering av samma information i läkemedelsförteckningen. Och eftersom yrkesutövaren får ha tillgång till uppgifter läkemedelsförteckningen på i princip samma grunder som gäller för åtkomst till patientjournalen, kan effekten av patientens spärr ifrågasättas. Den spärrade uppgiften kan ju ändå nås av yrkesutövaren, genom åtkomst till läkemedelsförteckningen, när det behövs i vården av patienten. Det kan därmed diskuteras vilken reell försvagning av patienternas integritetsskydd som det egentligen skulle vara fråga om ifall uppgifter om ordinerade läkemedel undantogs från spärrmöjligheterna.
Utredningen delar regeringens bedömning i propositionen om läkemedelsförteckningen att en läkemedelslista som inte är fullständig är av begränsat värde. Sammantaget finner vi därför att övervägande skäl talar för att uppgifter om ordinerade läkemedel bör undantas från patientens möjligheter att motsätta sig sammanhållen journalföring. Inte minst för de grupper som utredningen enligt direktivet särskilt ska fokusera på (dvs. äldre, personer med psykisk sjukdom eller funktionsnedsättning samt personer med missbruks- och beroendeproblematik) är en samlad läkemedelslista många gånger helt avgörande. För den stora och växande gruppen av äldre har situationen beskrivits ingående; flera läkemedel, stora vårdbehov och omfattande vårdkontakter. Samma faktorer kan sägas gälla många funktionshindrade.
Behovet av en samlad läkemedelista kan även vara avgörande i behandlingen av beroendesjukdomar. Utöver att förskrivningar av olika beroendeframkallande preparat visas i en läkemedelslista så syns också den totala förskrivningen samt vilka förskrivare som förekommit. Patientgruppen vid läkemedelsberoende rör sig ofta mellan olika förskrivare. Interna läkemedelistor inte ger därför inte alltid en rättvisande bild. Behandling av beroendesjukdomar innebär hanterande av det förnekande och förringande av missbruket som ingår i sjukdomsbilden. En samlad läkemedelslista möjliggör en överblick och uppföljning av förskrivningssituationen på ett mer ändamålsenligt sätt.
Förslaget innebär visserligen att patienternas självbestämmande i frågor om hur information får hanteras inom hälso- och sjukvården begränsas något jämfört med vad som är fallet i dag. Samtidigt finns patientens möjligheter att avseende all annan vårddokumentation motsätta sig en medverkan i systemet kvar. Frågan om undantag avseende uppgifter om läkemedel bör i stället närmast jämföras med vad som gäller för läkemedelsrelaterade
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
452
uppgifter i övrigt - än med vad som gäller för vårddokumentation generellt. Det något ökade intrånget i den personliga integriteten som det då är fråga om bedömer vi är motiverat med hänsyn till den nytta som förslaget innebär för förutsättningarna för kvalitet och patientsäkerhet i läkemedelsprocessen.
Även om det inte är avgörande för frågans bedömning ska det inte heller underskattas att det finns praktiska svårigheter och att det krävs omfattande resurser, både i form av utveckling och av administration av system m.m., för att implementera och förvalta spärrfunktioner i en läkemedelslista som sedan länge har byggts upp med målsättningen att vara gemensam för alla i verksamheten som möter patienten och har behov av uppgifterna. Här har bland annat tillsyn från Datainspektionen visat både på svårigheter och låg prioritering från vårdgivarna när det gäller att utveckla spärrfunktioner i läkemedelslistan. Samtidigt har inte minst från chefläkare och andra framhållits farhågor om att ett införande av spärrmöjligheter i läkemedelslistorna leder till ökade patientsäkerhetsrisker.
Vid bedömningen av om det ska vara tillåtet att spärra uppgifter om läkemedel bör hänsyn bör även tas till hälso- och sjukvårdspersonalens förutsättningar att utöva sakkunnig och omsorgsfull vård. De förväntas ta del av all relevant information för att kunna fatta bästa möjliga beslut om patientens vård och behandling. Det kan i det avseendet inte uteslutas att varje krav från lagstiftaren som gör det svårare att snabbt och säkert ta del av den information som behövs i detta syfte medför en otrygg arbetssituation och ett större mått av osäkerhet och frustration i verksamheten. Hälso- och sjukvårdspersonal har i kontakter med utredningen vittnat om att det i dag finns en generell osäkerhet om den informationshantering som görs i och för vården av patienterna. Bland annat har lyfts fram att yrkesutövare möter ett gränssnitt i journalsystemen där det ställs höga krav på att navigera rätt för att få fram den information som behövs.
Vi bedömer att det generellt, och särskilt vad gäller läkemedel, finns ett behov av att gå ifrån en modell där informationen ska delas upp efter organisatorisk tillhörighet till en modell där informationen kan presenteras efter användarens behov. Dagens korta vårdtider och många övergångar i vårdkedjan förutsätter en ändamålsenlig informationshantering där korrekta uppgifter kan nås av behörig hälso- och sjukvårdspersonal på ett säkert och enkelt sätt. Förslaget att ta bort spärrmöjligheterna för uppgifter
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
453
om ordinerade läkemedel är en av flera åtgärder som vi bedömer har betydelse för att stödja en sådan utveckling.
Sammanfattningsvis syftar förslaget i allt väsentligt till att förbättra resultatet för patienter som är i behov av läkemedel och till att reducera de stora risker som i dag finns för patienter att drabbas av läkemedelsrelaterade problem som leder till ökad ohälsa och lägre livskvalitet. Vi är medvetna om att det därutöver krävs ett antal olika åtgärder som alla samspelar med varandra för att patienter i praktiken ska kunna dra nytta av de möjligheter som lagstiftningen ger. Vad dessa åtgärder kan bestå i berörs längre fram.
Närmare om vårt förslag
Mot bakgrund av vad som redovisats ovan föreslår vi således att uppgifter om läkemedelsordinationer ska vara undantagna från patientens rätt att motsätta sig att uppgifter görs tillgängliga i system för sammanhållen journalföring och mellan vårdgivare som bedriver verksamhet som samma huvudman ansvarar för. Det innebär i praktiken, precis som för läkemedelsförteckningen, att uppgifterna får dokumenteras och vara potentiellt tillgängliga för andra vårdenheter och andra vårdgivare utan att patienten kan motsätta sig det. För att någon ska få ta del av uppgifterna krävs dock att de grundläggande förutsättningarna för åtkomst till patientuppgifterna är uppfyllda.
Vid sammanhållen journalföring får åtkomsten till uppgifter om ordinerade läkemedel således ske under samma förutsättningar som gäller för åtkomst till andra uppgifter om patienten. Det innebär bl.a. att åtkomst till uppgifterna i system för sammanhållen journalföring i praktiken får användas om det finns en aktuell patientrelation och uppgifterna kan antas behövas för den aktuella vården av patienten. Precis som vid all hälso- och sjukvård gäller naturligtvis att patienten har samtyckt till vården eller att vården i annat fall har stöd av lag. Genom att tydliggöra att det är patientens behov av och samtycke till hälso- och sjukvårdsinsatser som är utgångspunkten för informationsinhämtningen uppnås i praktiken en överenstämmelse mellan förutsättningarna för att ge vård och för att ta del av den information som behövs för att kunna ge den aktuella vården med hög kvalitet och säkerhet.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
454
Även för sådan åtkomst inom och mellan vårdgivare som bedriver verksamhet som samma huvudman ansvarar för ska åtkomsten till uppgifter om ordinerade läkemedel ske enligt samma förutsättningar som gäller för övriga ospärrade uppgifter. Det innebär att åtkomsten till uppgifterna bara är tillåten i förhållande till patienter som är aktuella i den egna verksamheten och om uppgifterna behövs för arbetets utförande.
Sammantaget innebär detta att yrkesutövares åtkomst till uppgifter om ordinerade läkemedel i patientjournaler i praktiken kommer att vara tillåten under samma förutsättningar som gäller för åtkomst till motsvarande uppgifter i läkemedelsförteckningen eller i receptregistret avseende dospatienter. De olika regelverken rörande hantering av läkemedelsrelaterade uppgifter om patienter skulle då i praktiken komma att harmoniseras och ge uttryck för samma värdering av nyttan av att hålla information tillgänglig och behovet av att tillåta åtkomst endast när det är befogat.
En möjlig framtida konsekvens av förslagen kan vara att den i dag tillåtna åtkomsten till uppgifter om dosrecept i receptregisterlagen inte kommer att behöva användas. Om hälso- och sjukvårdens aktörer fortsätter utvecklingen mot en samlad, nationell läkemedelslista i likhet med vad som är fallet i Danmark, kommer denna läkemedelslista att innehålla de uppgifter som i dag tillhandahålls samlat i receptregistret. Om en sådan utveckling realiseras kommer det därför inte längre att finnas behov av åtkomst till receptregistret. Detta förutsätter, precis som ambitionen är i Danmark, att alla som ordinerar läkemedel använder samma verktyg, dvs. den samlade nationella läkemedelslistan, för att journalföra och/eller presentera ordinationerna. Ytterligare aspekter kring vikten av att alla vårdgivare arbetar mot samma samlade läkemedelslista berörs längre fram.
I praktiken medför förslagen, enligt vår bedömning, även väsentligt bättre förutsättningar att utforma ett användargränssnitt som samlat kan ge svar både på patientens ordinerade och på patientens uthämtade läkemedel. Hälso- och sjukvårdsdatalagen skulle åtminstone inte ställa upp några hinder mot att uppgifter om ordinerade läkemedel presenteras i en samlad lista oavsett om uppgifterna är dokumenterade hos en eller flera vårdgivare. Till det skulle det också, när förutsättningarna för åtkomst enligt läkemedelsförteckningen är uppfyllda, vara möjligt att i samma gränssnitt få svar på om läkemedlet är uthämtat och om det i sådana fall är utbytt. För läkemedel som har blivit utbytta skulle i och för sig
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
455
motsvarande information kunna tillföras patientjournalens läkemedelslista om en mer ändamålsenlig och elektronisk funktion för återrapporteringsskyldigheten enligt lagen om läkemedelsförmåner togs fram. Denna informationskälla är dock inte fullständig eftersom den saknar information om läkemedel som inte har bytts ut men väl hämtats ut av patienten.
Utredningen har därutöver övervägt om det skulle vara lämpligt med motsvarande lösning som i Danmark, dvs. att patienten ges en möjlighet att ”privatmarkera” en ordination. Det finns emellertid ett antal skillnader mellan förhållandena i Sverige och Danmark, som även påverkar bedömningen av lämpligheten av en sådan lösning. En skillnad är exempelvis att det generellt är fler yrkeskategorier som tillåts ha åtkomsten till den samlade läkemedelslistan i Danmark än vad som är fallet i Sverige, t.ex. viss socialtjänstpersonal. Även om en sådan lösning i och för sig skulle kunna vara ett sätt för att uppväga de ökade risker för integritetsintrång som kan uppstå, ser vi samtidigt att det i praktiken förutsätter ett nationellt system för hantering av uppgifter om ordinerade läkemedel. Medan Danmark har en författningsreglerad hantering av uppgifter i en gemensam läkemedelslista, bygger motsvarande utveckling i Sverige på vårdgivares frivillighet och på regleringarna rörande läkemedelsförteckningen och receptregistret. Att i en sådan situation föreslå en särskild lösning endast för vårdgivares hantering av uppgifter om ordinerade läkemedel i vårddokumentationen vore en tveksam lösning. Förutom att det även framöver skulle bidra till att upprätthålla inkongruensen mellan åtkomst till uppgifter i en patientjournal och åtkomst till uppgifter i läkemedelsförteckningen, kan det heller inte uteslutas att det skulle medföra praktiska svårigheter för vårdgivarna att utforma ändmålsenliga IT-system. Med det sagt kan emellertid en annan bedömning vara påkallad om utvecklingen framöver, även vad gäller lagstiftningen, tar en liknande riktning som exempelvis i Danmark.
Vad är uppgifter om ordinerade läkemedel?
För att vårt förslag ska vara praktiskt genomförbart är det nödvändigt att definiera vilken information som ska omfattas av undantaget från spärreglerna. Enligt vår bedömning bör detta även framgå av hälso- och sjukvårdsdatalagen.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
456
Vid en jämförelse med läkemedelsförteckningens information om uthämtade läkemedel kan konstateras att följande uppgifter, enligt 4 § lagen om läkemedelsförteckning, får registreras.
1. Inköpsdag, vara, mängd, dosering,
2. den registrerades namn och personnummer, samt
3. förskrivarens namn, yrke, specialitet och arbetsplats.
När det gäller receptregistret får enligt 8 § receptregisterlagen följande uppgifter registreras.
1. Inköpsdag, vara, mängd, dosering, kostnad och kostnadsreducering,
2. förskrivningsorsak,
3. patientens namn, personnummer och folkbokföringsort samt
postnumret i patientens bostadsadress,
4. förskrivarens namn, yrke, specialitet, arbetsplats, arbetsplatskod
och förskrivarkod,
5. samtycke, och
6. administrativa uppgifter.
För att komma fram till hur uppgift om ordinerade läkemedel bör definieras och avgränsas kan även bestämmelserna om krav på patientjournalens innehåll vara vägledande. Av de grundläggande bestämmelserna i patientdatalagen följer att journalen ska innehålla de uppgifter som behövs för en god och säker vård av patienten. Detta konkretiseras sedan något och av 3 kap. 6 § andra stycket PDL framgår att om uppgifterna finns tillgängliga ska en patientjournal alltid innehålla bl.a. uppgifter om bakgrunden till vården, uppgifter om diagnos samt väsentliga uppgifter om vidtagna och planerade åtgärder. Enligt utredningens bedömning måste det redan av patientdatalagen anses följa ett krav på att journalen innehåller sådan information som t.ex. vilket läkemedel som ordinerats, i vilken mängd, med vilken dosering och varför läkemedlet ordinerats. Detta förtydligas även i Socialstyrelsens föreskrifter SOSFS 2008:14, där det i 3 kap. 6 § bland annat uttryckligen ställs krav på att en patientjournal ska innehålla uppgifter om ordinationer av läkemedel och uppgifter om förskrivningsorsak vid ordination av läkemedel. I
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
457
Socialstyrelsens handbok med ytterligare tillämpningsanvisningar kring föreskrifterna framgår bland annat följande.
Ordination av läkemedel och olika behandlingar ska dokumenteras i patientjournalen. När det gäller ordinerade läkemedel ska förskrivningsorsaken noteras tillsammans med namn på preparatet, läkemedelsform, styrka, dosering, administrationssätt, tidpunkt för administrering och eventuell iterering.
Ovanstående återfinns även i Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2000:1) om läkemedelshantering i hälso- och sjukvården. Av 3 kap. 7 § följer bland annat att en läkemedelsordination ska innehålla uppgifter om läkemedlets namn, läkemedelsform, styrka, dosering, administrationssätt och tidpunkterna för administrering.
Mot bakgrund av ovanstående finner vi sammantaget att det i begreppet ”uppgifter om ordinerade läkemedel” och som föreslås vara undantaget från patientens spärrmöjligheter får inrymmas följande.
-Ordinationsorsak
-Läkemedlets namn
-Läkemedlets form
-Mängd
-Dosering
-Administrationssätt
-Tidpunkter för administrering
Ovanstående uppgifter utgör därmed den yttersta ram för vilka uppgifter som patienten inte har en rätt att spärra. Eftersom det är svårt och ibland olämpligt att direkt i lagstiftning vara alltför precis är detta även ett område som ytterligare kan behöva preciseras genom föreskrifter från Socialstyrelsen. Sannolikt kan således finnas behov av att även definiera några av begreppen ovan. Det görs emellertid, enligt utredningens bedömning, med fördel på den föreskrivande myndighetens nivå än direkt i lag. När utredningen har övervägt uppgiften om ordinationsorsak har vi närmast avsett ”omständighet som ordinatör anger som skäl för ordination”.39
39 Jfr CeHis, Projekt för dokumentation av ordinationsorsak och analys av samspel med närliggande kunskapsstöd, s. 26.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
458
Samtidigt ser vi inga hinder för att i det avseende som är aktuellt här, låta ordinationsorsak även omfatta både insättningsorsak, ändringsorsak och utsättningsorsak. Sett mot bakgrund av syftet med utredningens förslag är det även helt naturligt. Detta eftersom ordinerande åtgärder i sig kan utgöras både av insättning av en behandling och av ändring eller utsättning av behandlingen. Särskilt torde vissa utsättningsorsaker kunna vara väldigt viktiga att känna till för en patientsäker läkemedelsbehandling, inte minst de orsaker som har att göra med sådant som allvarliga biverkningar, uteblivna effekter. Utebliven information medför risker för patienter eftersom det ökar sannolikheten för att samma läkemedel kan komma att ordineras ännu en gång. Orsaken till att en ordination förändras eller sätts ut ska dokumenteras i patientjournalen precis på samma sätt som själva ordinationsorsaken ska dokumenteras. Även sett mot den bakgrunden finns det övervägande skäl som talar för att de olika informationsmängderna bör hanteras på samma sätt i den föreslagna hälso- och sjukvårdsdatalagen. En samlad, korrekt och aktuell bild av patientens läkemedelsbehandling bör således även ge svar på varför en ordination ändrats eller satts ut.
Vidare bedömer vi att det kan finnas fördelar om ordinationsorsaken anges som en kod utifrån medicinska klassifikationer. Förutom att en strukturerad journalföring i denna del skulle reducera riskerna för missförstånd och samtidigt öka möjligheterna till uppföljning och kvalitetssäkring, innebär medicinska klassifikationer ett visst integritetsskydd i jämförelse med om uppgifterna anges exempelvis i fritext. Ytterligare en omständighet i sammanhanget är att receptregistret får innehålla uppgift om ordinationsorsak (förskrivningsorsak), men endast om det anges med en kod. Ett nationellt kodverk för ordinationsorsaker skulle då ge förutsättningar för en enhetlig hantering oavsett om uppgifterna dokumenteras i en patientjournal eller registreras i receptregistret. Socialstyrelsen har på regeringens uppdrag inlett ett arbete med att ta fram koder för ordinationsorsak bl.a. av dessa skäl. I det arbetet har även påbörjats ett arbete med att möjliggöra dokumentation av ordinationsorsak med en kod i den samlade, nationella läkemedelslistan, NOD.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
459
15.7.4 Ändringar som görs på apotek
Vår bedömning: Det bedöms möjligt för apoteksaktörerna att
inom ramen för gällande rätt lämna ut information till vårdgivare i hälso- och sjukvården om sådana ändringar i receptinformationen som görs på apotek på begäran av förskrivaren. Sådana ändringar som görs på begäran av patienten bör kunna lämnas ut under förutsättning att patienten samtycker till det. Utlämnandet bör kunna göras elektroniskt i enlighet med apoteksdatalagen.
När patienter hämtar ut läkemedel på apotek händer det ibland att den utlämnande farmaceuten gör ändringar i den aktuella receptinformationen, dvs. i det som ordinerats av en förskrivare. Utredningen har blivit varse om att det finns en osäkerhet om det är möjligt för apoteksaktörerna att kommunicera de vidtagna ändringarna till vårdgivare i hälso- och sjukvården, t.ex. så att patientens läkemedelslista kan kompletteras med information och därmed överensstämma med det som registrerats i receptregistret.
Såvitt utredningen förstår görs i dag sådana förändringar antingen på ordinatörens uppdrag eller på patientens uppdrag. Enligt uppgift är det som görs på ordinatörens uppdrag följande.
1. ”skapa ordination”, dvs. registrera en läkemedelsordination
2. ”sätta ut ordination”, dvs. registrera en utsättning
3. ”korrigera ordination”, dvs. registrera en korrigering av t.ex.
doseringstext eller andra enstaka fält
4. ”makulera ordination”, dvs. ta bort det registrerade receptet
5. ”förlänga ordination”, dvs. förlänga receptets giltighetstid
När det gäller ändringar som görs på patientens uppdrag är det enligt uppgift följande som kan göras av farmaceut på apotek.
1. ”skapa ordination”, dvs. registrera en läkemedelsordination som
kommer med pappersrecept
2. ”makulera ordination”, dvs. ta bort det registrerade receptet
3. ”skriva ut receptoriginal”, dvs. omvandla ett elektroniskt recept
till ett pappersrecept så att det inte sparas elektroniskt
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
460
En fråga utredningen har försökt få svar på är varför förändringar görs på det beskrivna sättet. Det besked vi då har fått är att det har att göra med det faktum att vi i Sverige både arbetar med ordinationer och med recept. De förändringar som görs i detta led syftar därför i första hand till att korrigera det recept, dvs. beställningen, som förskrivits och som ger patienten en möjlighet att på apoteket hämta ut det som omfattas av receptet.
När hälso- och sjukvården nu är på väg mot en samlad, nationell läkemedelslista har önskemål väckts om att de ovan angivna förändringarna ska kommuniceras tillbaka till vårdgivaren för att på sådant sätt kunna komplettera den samlade läkemedelslistan. Om så inte görs befaras att läkemedelslistan kommer att visa upp viss information och receptregistret en annan, trots att det avser samma läkemedelsordination. Utredningen kan emellertid inte helt se att det scenariot nödvändigtvis behöver inträffa. Det kan exempelvis antas att förskrivare som arbetar i en samlad, nationell läkemedelslista även kommer att ha egna möjligheter att vidta de aktuella förändringarna direkt i ordinationsverktyget.
Under en övergångsperiod när ordinationsverktyget inte används av samtliga förskrivare kvarstår dock, såvitt vi kan bedöma, ett behov för ordinatören att kontakta apoteket och be att receptet förändras på önskat sätt. Enligt utredningens bedömning ska en sådan åtgärd från ordinatören journalföras. Detta omfattas av den grundläggande skyldigheten att föra patientjournal och att dokumentera uppgifter om ordinerade läkemedel. Kraven gäller oavsett om förändringarna görs av farmaceuten på begäran av förskrivaren eller om förskrivaren kan göra ändringarna själv på ett sådant sätt att de slår igenom i recepthandlingen som ligger till grund för patientens möjlighet att hämta ut läkemedel. Kraven på journalföring omfattar av naturliga skäl inte sådana ändringar som görs på begäran av patienten i dennes kontakter med apoteket. Dessa har förskrivaren normalt sett ingen kännedom om.
I viss utsträckning synes detta därmed vara en fråga av mer praktisk karaktär. Den praktiska frågan handlar om journalföringen skulle kunna underlättas genom att farmaceuten på apotek kommunicerar de vidtagna ändringarna ifall förskrivaren inte själv har använt ett ordinationsverktyg som möjliggör såväl journalföring som förändring av receptet. En sådan ordning skulle innebära att en förskrivare som, t.ex. via en telefonkontakt med apoteket, begär en förändring inte skulle behöva notera detta själv i patientjournalen utan i stället ta emot den registrerade informa-
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
461
tionen från apoteket och låta den komplettera patientens journal. Naturligtvis kan det finnas fördelar med en sådan lösning, bland annat eftersom den innebär att uppgifterna bara behöver dokumenteras en gång på ett ställe och sedan kommuniceras till mottagaren. Vidare kan datakvaliteten öka genom att riskerna för divergerande informationsmängder minskar jämfört med om två olika personer ska dokumentera uppgifterna var för sig och i olika it-stöd.
För att kunna realisera ett sådant arbetssätt krävs dock att den rådande lagstiftningen inte hindrar den aktuella kommunikationen, dvs. utlämnandet av uppgifter från apotek till den vårdgivare där förskrivaren är verksam. Eftersom det i dessa fall är apoteksaktörerna som dokumenterar och skulle kommunicera informationen med vårdgivare i hälso- och sjukvården är det primärt apoteksdatalagens bestämmelser som behöver analyseras.
I sammanhanget kan samtidigt konstateras att informationen om de aktuella ändringarna redan i dag kan vara åtkomliga för legitimerad hälso- och sjukvårdspersonal. Det gäller dock endast rörande patienter som får dosdispenserade läkemedel. Med avseende på dessa patienter har hälso- och sjukvårdspersonal en möjlighet att ta del av uppgifterna genom direktåtkomst till receptregistret. Men även om själva åtkomsten kan tillgodose behovet av information rörande dosrecept, kvarstår enligt utredningens uppfattning ett krav på att informationen journalförs i hälso- och sjukvården. Detta gäller förstås endast sådana förändringar som görs på förskrivarens uppdrag.
Grundfrågan om de legala möjligheterna att kommunicera informationen från apoteket till vårdgivare i hälso- och sjukvården är därmed, ur ett journalföringsperspektiv, lika relevant alldeles oavsett om det rör dosdispenserade läkemedel eller andra läkemedel.
Apoteksdatalagen reglerar som tidigare nämnts personuppgiftsbehandlingen hos öppenvårdsapoteken. Av 6 § följer bland annat att sådan behandling av personuppgifter som är tillåten enligt lagen får utföras även om den enskilde motsätter sig behandlingen. I andra stycket samma paragraf anges att behandling av person-
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
462
uppgifter som inte är tillåten enligt lagen ändå får utföras om den enskilde har lämnat ett uttryckligt samtycke till behandlingen.
I 8 § finns en uppräkning över tillåtna ändamål för öppenvårdsapotekens personuppgiftsbehandling. Det kan konstateras att behandling av personuppgifter för att kommunicera (lämna ut) förändringar i recept som begärs av förskrivare i hälso- och sjukvården inte återfinns i ändamålsbestämmelsen. Det framgår dock av bestämmelsen att apoteken får behandla sådana uppgifter. I själva verket innebär den hänvisning som finns i 8 § punkten 2 apoteksdatalagen att det föreligger en skyldighet för apoteket att behandla personuppgifterna och lämna ut dem till eHälsomyndigheten. Detta följer av 2 kap. 6 § punkten 5 lagen (2009:366) om handel med läkemedel, som ålägger apoteken att vid expediering av en förskrivning lämna de uppgifter som anges i 8 § receptregisterlagen till eHälsomyndigheten.
Att det ändamål för personuppgiftsbehandlingen som här är aktuellt, dvs. utlämnande till vårdgivare i hälso- och sjukvården, inte uttrycks i lagens ändamålsbestämmelse behöver dock inte innebär att den är otillåten att genomföra. Av 9 § apoteksdatalagen följer nämligen, genom en hänvisning till personuppgiftslagen, en möjlighet att behandla personuppgifter för andra ändamål än de som räknas upp i ändamålsbestämmelsen så länge som det nya ändamålet inte är oförenligt med det ursprungliga. Detta är ett uttryck för personuppgiftslagens finalitetsprincip och innebär enligt utredningens bedömning att det får anses vara tillåtet att behandla personuppgifter för att, till vårdgivare i hälso- och sjukvården, lämna ut uppgifter om sådana förändringar som vidtagits på begäran av ordinatören. Det saknas enligt utredningens bedömning skäl att inte tillåta en sådan personuppgiftsbehandling i dessa fall när själva behandlingen görs på initiativ av ordinatören själv. Ett utlämnande av uppgifterna bedöms därmed inte som oförenligt med det ändamål för vilka uppgifterna samlades in.
Av 11 § apoteksdatalagen följer sedan att en personuppgift som får lämnas ut, får lämnas ut på medium för automatiserad behandling. Förutsättningarna för att personuppgiften ska få lämnas ut är dels att det måste vara en tillåten personuppgiftsbehandling, dels att utlämnandet inte får hindras av bestämmelser om tystnadsplikt. Att det är en tillåten personuppgiftsbehandling har redan konstaterats. Inte heller kan reglerna om tystnadsplikt anses förhindra ett sådant utlämnande som det här är fråga om. Detta eftersom utlämnandet inte görs till någon som inte redan äger kännedom om uppgifterna.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
463
Det är i själva verket endast fråga om ett utlämnande som bekräftar den begäran som förskrivaren framfört till farmaceuten på apoteket.
Utöver detta krävs att utlämnandet görs på ett sådant sätt att de grundläggande kraven på it-säkerhetsåtgärder är uppfyllda. Vilka dessa krav är i praktiken, beror på hur informationsöverföringen arrangeras. Om uppgifterna överförs över öppet nät, t.ex. Internet eller Sjunet, måste uppgifterna vara krypterade och mottagarna vara identifierade genom stark autentisering, exempelvis SITHS-kort.
Det finns sannolikt ett antal olika tillvägagångssätt för att arrangera den aktuella informationsöverföringen på ett sådant sätt att informationen säkert och ändamålsenligt kan komplettera patientjournalen. I sammanhanget är det dock viktigt att poängtera att informationsöverföringen inte innebär att farmaceuten på apoteken för patientjournal. Att apoteksaktörerna med hjälp av den tekniska utvecklingen elektroniskt kan bidra med uppgifter som sedan kan komplettera en patientjournal i hälso- och sjukvården innebär inte att apoteksaktörerna för patientjournal eller att de har någon ovillkorlig möjlighet att bidra med uppgifter till en patientjournal. Det innebär endast att vårdgivaren i sina rutiner för att inhämta den information som behövs för en god och säker vård tillhandahåller definierade möjligheter för apoteksaktörerna att bidra med viktig information. Det formella ansvaret för journalanteckningar och att journal förs ligger därmed alltid på vårdgivaren och den yrkesutövare som svarar för anteckningen. Detta kan jämföras med andra situationer där vårdgivare inhämtar uppgifter från olika källor för att uppgifterna behövs i vården av patienter. Ett sådant exempel är sådana uppgifter som patienterna själva bidrar med t.ex. genom att fylla i elektroniska formulär som sedan bidrar till patientjournalens innehåll. Ur ett journalföringsperspektiv är det ingen egentlig skillnad mellan t.ex. en uppgift som förut inkom på papper och tillfogades journalen och en uppgift som lämnas in elektroniskt och tas om hand elektroniskt i journalen.
Vad gäller det informationsutbyte som här är aktuellt är det upp till de berörda parterna att hitta närmare former för informationsöverföringen som tillgodoser såväl kraven på säkerhet för personuppgifterna som kraven på journalföring m.m.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
464
Förändringar som görs på patientens begäran
När det gäller sådana förändringar som görs på begäran av patienten själv kan det möjligen finnas skäl att anlägga ett annat synsätt än vad som redovisats ovan. Det finns ett antal principiella skillnader mellan en ändring som görs på begäran av förskrivaren och en ändring som görs på begäran av patienten. I det senare fallet har det nödvändigtvis inte förekommit någon kontakt eller dialog om saken mellan patient och förskrivare. Det kan därmed vara något som patienten själv råder över och har fattat beslut om. Andra skillnader har att göra med de ändringar som patienten faktisk kan begära och hur de korresponderar med journalföringen.
Den första ändringen patienten kan begära innebär att apoteksaktörerna kan elektroniskt registrera ett pappersrecept. Detta är egentligen ingen ny ordination ur ordinatörens synvinkel, bl.a. eftersom det endast bekräftar vad som ordinerats. Dessutom ska denna ordination redan vara införd i patientjournalen i enlighet med de krav som gäller för journalföring. Motsvarande resonemang kan även föras med den tredje ändringen som patienten kan begära och som redovisats ovan, dvs. att omvandla ett elektroniskt recept till ett pappersrecept så att det inte sparas elektroniskt. För ordinatörens del har ordinationen inte förändrats utan överensstämmer med vad som ska vara dokumenterat i patientjournalen.
Till skillnad mot ovanstående kan emellertid patientens begäran om att ett recept ska makuleras vara sådan information som ordinatören inte har och som kan vara viktig att känna till. Visserligen kan en åtkomst till läkemedelsförteckningen ge ordinatören svar på om läkemedlet hämtats ut eller inte. I läkemedelsförteckningen framgår emellertid inte om receptet makulerats och därmed inte längre är möjligt att lägga till grund för ett uthämtande.
Någon skyldighet för patienter eller för apoteksaktörerna att underrätta ordinatören om att ett recept har makulerats finns inte i dag. Vidare får bedömas att ett utlämnande av en sådan uppgift, utan patientens samtycke, kan anses strida mot bestämmelserna om tystnadsplikt. Mycket talar för att ett sådant utlämnande skulle bedömas som obehörigt röjande av en uppgift som omfattas av apotekspersonalens tystnadsplikt. Såvitt utredningen kan bedöma skulle ett sådant utlämnande av uppgifter från apoteket till vårdgivaren där förskrivaren är verksam således kräva patientens samtycke. Ett sådant samtycke bör då omfatta såväl frågan om
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
465
utlämnandet som frågan om den personuppgiftsbehandling som utlämnandet innebär.
15.7.5 Uttag av läkemedel som görs utomlands ska registreras i Läkemedelsförteckningen
Vårt förslag: Lagen om läkemedelsförteckning ska tydliggöras
på sådant sätt att köp av läkemedel som förskrivits i Sverige ska registreras i förteckningen även om köpet har ägt rum utomlands.
Vår bedömning: Förslaget syftar till att tydliggöra att lagstift-
ningen är anpassad till de nya möjligheterna patienter har att hämta ut recept på apotek i andra länder. För att läkemedelsförteckningen ska vara ändamålsenlig i förhållande till sitt syfte behöver alla köp av läkemedel som förskrivits i Sverige finnas med i registret.
Det är i dag möjligt att hämta ut läkemedel som förskrivits i Sverige i vissa andra länder i Europa. Vi har bland annat i avsnitt 34 uppmärksammat det gemensamma utvecklingsarbete som bedrivits på EU-nivå och nationellt inom ramen för Epsos. När det gäller de närmare förutsättningarna för att hämta ut receptförskrivna läkemedel i andra länder hänvisas därför till det nämnda avsnittet.
Den nya utvecklingen medför att läkemedel som tidigare både förskrivits och hämtats ut i Sverige, i viss utsträckning i framtiden kommer att hämtas ut i andra länder. Syftet med läkemedelsförteckningen är att registrera samtliga köp av förskrivna läkemedel så att informationen bland annat kan användas av svenska förskrivare för att åstadkomma en säker framtida förskrivning av läkemedel för patienten och för att fatta beslut om patientens vård och behandling samt för att vid behov komplettera patientens patientjournal. För att läkemedelsförteckningen ska kunna leva upp till sitt syfte är det nödvändigt att alla köp av förskrivna läkemedel registreras i förteckningen. Det är i det sammanhanget oväsentligt om patienten hämtat ut läkemedlet på ett apotek i Sverige eller på ett apotek i ett annat land.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
466
I propositionen till lagen om läkemedelsförteckning anförde regeringen bland annat följande med avseende på vikten av ett heltäckande register.40
Ett register, som för vissa patienter endast redovisar ett urval av de förskrivna läkemedel som hämtats ut, skulle av naturliga skäl inte fullt gå att lita på. Syftet med förteckningen skulle då vara förfelat och nuvarande problem med informationsbrist skulle kvarstå.
Regeringens bedömning gör sig enligt utredningen gällande även på den här aktuella frågan om registrering i läkemedelsförteckningen av läkemedel som förskrivits i Sverige men hämtats ut utomlands. Utredningens bedömning är att det ur flera perspektiv är olyckligt om läkemedelsförteckningen inte innehåller uppgifter om samtliga uthämtade läkemedel, oavsett var de hämtas ut. Förutom att informationskällan inte längre skulle bli fullständig och inte på samma sätt kunna ligga till grund för kvalificerade bedömningar om patientens vård och läkemedelsbehandling, skulle det ur ett övergripande perspektiv missgynna patienter som väljer att hämta ut läkemedel under vistelse i andra länder. Med ökad patientrörlighet över nationsgränserna och ökat samarbete mellan hälso- och sjukvårdsaktörer i olika länder kan problemet dessutom befaras bli större. Vidare skulle det även kunna ge upphov till missförstånd i kommunikationen mellan exempelvis en förskrivare och patienten. Detta eftersom det i läkemedelsförteckningen skulle se ut som om patienten inte har hämtat ut läkemedlet över huvud taget.
Enligt utredningens bedömning framgår det inte av lagen om läkemedelsförteckning att det enbart är läkemedel som köps i Sverige som ska registreras. Men vi bedömer ändå att det kan finnas ett behov av att förtydliga att alla köp av läkemedel ska registreras oavsett var köpet genomförs.
Vi föreslår därför att lagen om läkemedelsförteckning förtydligas på ett sådant sätt att det framgår att köp av läkemedel som förskrivits i Sverige ska registreras i läkemedelsförteckningen även om köpet ägt rum i ett annat land.
Såvitt utredningen kan bedöma finns inget hinder i gällande rätt mot att registrera de aktuella uppgifterna i receptregistret, varför en ändring i den lagstiftningen inte behövs. Det innebär exempelvis att expedierande personal på apotek kommer att kunna se att ett en expediering har skett utomlands. Med vårt förslag harmoniseras
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
467
förutsättningarna för personuppgiftbehandling i receptregistret och läkemedelsförteckningen i denna del.
15.7.6 Bevarande och gallring av uppgifter
Vår bedömning: Nuvarande bestämmelser om bevarande och
gallring av uppgifter enligt, receptregisterlagen, lagen om läkemedelsförteckning och gällande patientdatalag bör kvarstå oförändrade respektive föras över till hälso- och sjukvårdsdatalagen.
Regeringen framhåller i direktivet till utredningen att om det ska vara möjligt att få en så samlad och aktuell bild av en enskilds läkemedelsordinationer som möjligt, behöver även bestämmelser i relevant lagstiftning om lagring och gallring av uppgifter i journaler och register harmoniseras så att inte kraven på gallring skiljer sig åt för uppgifter som bör hanteras samlat.
Inledningsvis kan konstateras att det i dag gäller olika krav på bevarande och gallring av uppgifter enligt patientdatalagen, receptregisterlagen och lagen om läkemedelsförteckning. För hälso- och sjukvårdens del gäller enligt patientdatalagen som huvudregel ett krav att bevara journalhandlingar i tio år efter det att den sista uppgiften fördes in i handlingen. Detta innebär exempelvis att uppgifter om ordinerade läkemedel som förts in i patientjournalen, t.ex. i läkemedelslistan, ska bevaras i minst tio år. För journalhandlingar som utgör allmänna handlingar gäller även arkivlagen (1990:782) samt sådana bestämmelser som meddelats med stöd av den lagen.
För uppgifter om dosrecept i receptregistret gäller enlig 19 § receptregisterlagen att uppgifter som kan hänföras till enskilda personer ska tas bort ur registret under den femtonde månaden efter den under vilken de registrerades.
Av 9 § lagen om läkemedelsförteckning följer att uppgifterna ska tas bort ur förteckningen under den femtonde månaden efter den månad uppgifterna registrerades.
Utredningen kan konstatera att bestämmelserna om bevarande och gallring i de olika regelverken syftar till att möta olika behov. Medan uppgifter i patientjournaler generellt behöver bevaras en längre tid för att kunna användas t.ex. i vården av patienter har motsvarande uppgifter inte bedömts behöva sparas lika länge för de
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
468
behov som primärt ska tillgodoses i receptregistret och läkemedelsförteckningen. Sett mot den bakgrunden ser utredningen inget generellt behov av exempelvis att förlänga bevarandetiden i receptregistret eller läkemedelsförteckningen. Något behov för apoteksmarknadens aktörer att ha tillgång till uppgifter i receptregistret och läkemedelsförteckningen under en längre tid än vad som är tillåtet i dag, har vi inte kunnat styrka. Inte heller bedömer vi att uppgifterna i de två registren ska bevaras under en längre tid för ändamål som hänför sig till behov inom hälso- och sjukvården.
Hälso- och sjukvårdens behov av information om patienters läkemedelsbehandling är primärt avsett att tillgodoses genom journalföringen och de möjligheter till utbyte av vårddokumentation som finns inom och mellan vårdgivares verksamheter. Det torde därför snarare handla om att utveckla ändamålsenliga funktioner för informationsinhämtning från receptregistret och läkemedelsförteckningen och för den åtföljande kompletteringen av patientjournalen. I sådant fall kommer de uppgifter som behövs i och för vården av patienter att finnas i vårddokumentationen och vara tillgänglig för behörig personal i hälso- och sjukvården.
Vi bedömer inte heller att nuvarande gallringsbestämmelser utgör ett hinder mot att skapa en nationell, samlad bild av patientens läkemedelsbehandling.
15.7.7 Farmaceuters tillgång till läkemedelsförteckningen
Vårt förslag: Farmaceuter som arbetar i hälso- och sjukvården
ska med den enskildes uttryckliga samtycke kunna få åtkomst till den enskildes uppgifter i läkemedelsförteckningen. Uppgifterna ska få användas för att åstadkomma en säker framtida förskrivning av läkemedel för den enskilde, komplettera den enskildes patientjournal eller underlätta den enskildes läkemedelsanvändning.
Inledning
Läkemedelsförteckningen innehåller som tidigare redovisats uppgifter om samtliga läkemedel som patienter under den senaste 15månadersperioden har hämtat ut på apotek. Registret hanteras av eHälsomyndigheten, som även är personuppgiftsansvarig för registret.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
469
I förteckningen samlas viss information om en individs uthämtade läkemedel, oavsett vem som har förskrivit läkemedlet. Den information som får finnas i registret är inköpsdag, vara, mängd, dosering, patientens namn och personnummer samt förskrivarens namn, yrke, specialitet och arbetsplats. Registreringen i registret är tvingande på så sätt att patienten inte kan motsätta sig registreringen. Däremot har patienten viss rätt att påverka vem som ska få tillgång till patientens uppgifter.
Syftet med läkemedelsförteckningen är framför allt att öka patienternas trygghet och stärka kvaliteten och säkerheten på läkemedelsområdet. En korrekt och komplett bild över patientens läkemedelsanvändning är en förutsättning för att behörig hälso- och sjukvårdspersonal ska kunna bedöma patientens tillstånd, behandlingseffekter, risker, interaktioner och biverkningar.
Läkemedelsförteckningen får endast användas för att
1. åstadkomma en säker framtida förskrivning av läkemedel för
den registrerade,
2. bereda den registrerade vård och behandling,
3. komplettera den registrerades patientjournal,
4. underlätta den kontroll som ska genomföras innan ett läkemedel
lämnas ut till den registrerade från apotek, samt
5. underlätta den registrerades läkemedelsanvändning.
Åtkomsten till uppgifterna i läkemedelsförteckningen är i dag begränsade till patienten själv och med dennes samtycke till förskrivare, sjuksköterskor utan förskrivningsrätt och farmaceuter på apotek. Dessa olika yrkeskategorier får med patientens samtycke använda uppgifter i läkemedelsförteckningen för några begränsade och skilda ändamål.
Förskrivare av läkemedel får använda uppgifter för att åstadkomma en säker framtida förskrivning av läkemedel för patienten, bereda patienten vård och behandling samt för att komplettera patientjournalen.
Om det är nödvändigt för att patienten ska kunna få den vård eller behandling som patienten oundgängligen behöver får legitimerad sjuksköterska utan behörighet att förskriva läkemedel använda uppgifterna för att bereda patienten vård och behandling och för att komplettera patientjournalen.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
470
Farmaceut på apotek får, vid färdigställande av läkemedel som ska lämnas ut, använda uppgifterna för att underlätta den kontroll som ska göras innan ett läkemedel lämnas ut till patienten
Dessa tre olika yrkeskategorier får med stöd av patientens samtycke ta del av uppgifter i läkemedelsförteckningen för de angivna ändamålen antingen genom direktåtkomst eller genom att uppgifterna lämnas ut på medium för automatiserad behandling.
Farmaceuter i vårdgivares verksamhet
Farmaceut är en yrkestitel och för att få arbeta som farmaceut krävs att den enskilde är apotekare eller receptarie och har legitimation för yrket. Av ovanstående kan konstateras att farmaceuter på apotek, men inte farmaceuter som arbetar hos vårdgivare i hälso- och sjukvården, får med patientens samtycke ha tillgång till uppgifterna i läkemedelsförteckningen.
Farmaceuter som arbetar i vårdgivares verksamheter får med dagens regelverk över huvud taget inte ta del av uppgifterna i läkemedelsförteckningen, vare sig på medium för automatiserad behandling eller med direktåtkomst och alldeles oavsett patientens inställning i saken.
Det medför bland annat att farmaceuter hos vårdgivare i samband med exempelvis läkemedelsgenomgångar inte på ett effektivt och ändamålsenligt sätt kan ta del av uppgifter om vilka läkemedel patienten hämtat ut. I utredningsdirektivet nämner regeringen följande av betydelse i sammanhanget.41
Behörig personal inom hälso- och sjukvården och socialtjänsten behöver ha tillgång till personuppgifter om den enskilde och information om de insatser (förskrivning av läkemedel, behandlingar etc.) som den enskilde fått tidigare. Utan sådan tillgång till uppgifter ökar risken för bl.a. felaktiga beslutsunderlag, felbehandlingar eller allvarliga interaktioner mellan läkemedel och andra insatser. Konkret innebär det exempelvis att förskrivare behöver ha en så samlad bild som möjligt av en individs läkemedelsordinationer, från såväl förskrivning på recept som på rekvisition från öppen och sluten vård. Sjuksköterskor i kommunal hälso- och sjukvård behöver veta vilka ordinationer den patient som varit på sjukhuset har fått. Farmaceutisk personal i hälso- och sjukvården eller på apotek behöver ha tillgång till informationen som finns i läkemedelsförteckningen. Utöver de negativa konsekvenserna för den enskilde kan brister i möjligheter att samverka
41 Dir. 2011:11 s. 6.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
471
och samarbeta genom att utbyta uppgifter utgöra ett hot mot vården och stödet på en övergripande nivå.
Även Sveriges Kommuner och Landsting (SKL) och Center för Ehälsa i samverkan (CeHis) har uppmärksammat behovet för farmaceutisk personal hos vårdgivare att ha tillgång till uppgifter i läkemedelsförteckningen.
Ökat antal farmaceuter i vården
Antalet farmaceuter som arbetar i vårdgivares organisationer har ökat de senaste åren. Inte minst genom att landstingen anställt fler och fler farmaceuter har antalet som arbetar i vårdgivares hälso- och sjukvårdsverksamhet ökat till omkring 250–300 stycken i dag. Tidigare köptes kompetensen i större utsträckning in från Apoteket AB, men det blir enligt vad utredningen har fått veta, mindre och mindre vanligt. En vanlig arbetsuppgift för en farmaceut i vårdgivares verksamheter är att medverka i individuella patienters läkemedelsgenomgångar. En sådan genomgång innebär att man utifrån den enskildes behov granskar och undersöker de läkemedel som en patient har ordinerats. Genomgångarna bör följa en enhetlig struktur, om möjligt ske tillsammans med patienten och vid behov också vårdpersonalen. Syftet är att efter en noggrann analys bedöma om något läkemedel ska bytas ut, tas bort helt eller kompletteras. Det kan handla om att utifrån den totala läkemedelsanvändningen och sjukdomshistorien identifiera ev. interaktioner, över- och/eller underförskrivning m.m.
Syftet med läkemedelsgenomgångar är framför allt att åstadkomma en bättre läkemedelsanvändning och minska antalet läkemedelsrelaterade problem.
Av Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2000:1) om läkemedelshantering i hälso- och sjukvården följer att en läkare ska ansvara för läkemedelsgenomgången och vid behov samverka med andra läkare, apotekare, sjuksköterskor och annan hälso- och sjukvårdspersonal, om det inte finns hinder för det enligt bestämmelserna om sekretess och tystnadsplikt. Vidare framgår av de allmänna råden till 3 a kap. 5 § att vid en kartläggning kan uppgifter behöva hämtas in från den egna vårdgivarens och andra vårdgivares journalhandlingar samt från läkemedelsförteckningen, om det inte finns rättsliga hinder för det.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
472
Av 3 a kap. 3 § följer att vårdgivare ska erbjuda de patienter som är 75 år eller äldre och som är ordinerade minst fem läkemedel en enkel läkemedelsgenomgång vid
1. besök hos läkare i öppen vård,
2. inskrivning i sluten vård,
3. påbörjad hemsjukvård, och
4. inflyttning i särskilt boende.
Patienter som är 75 år eller äldre och som är ordinerade minst fem läkemedel ska dessutom erbjudas en enkel läkemedelsgenomgång minst en gång per år under pågående hemsjukvård eller boende i särskilt boende.
Närmare om vårt förslag
Läkemedelsförteckningen ger en komplett och kvalitetssäkrad information över de läkemedel patienten har hämtat ut på apotek under den senaste 15-månadersperioden. Förteckningen är därmed en väldigt viktig informationskälla i strävan efter att åstadkomma en bättre läkemedelsanvändning och minska enskilda individers läkemedelsrelaterade problem. Av integritetsskäl är användningen av uppgifter i läkemedelsförteckningen begränsad till ett fåtal ändamål och det är endast ett fåtal yrkeskategorier som får ha tillgång till uppgifterna. Det är dessutom patienten, som genom sitt samtycke, bestämmer vem som ska få ta del av uppgifter om patientens uthämtade läkemedel.
Inom vårdgivares organisationer kan vi till skillnad mot tidigare i dag se ett ökat antal farmaceuter som på olika sätt deltar och medverkar i den individinriktade verksamheten. Det kan sägas ha medfört att det uppstått ett behov av tillgång till uppgifter i läkemedelsförteckningen för en inom vårdens verksamhet ny yrkeskategori. Det bör därför övervägas om lagstiftningen bättre ska anpassas efter hur verksamheten är organiserad genom att fler yrkeskategorier i vårdteamet får tillgång till läkemedelsförteckningen.
Kliniska farmaceuter som arbetar i hälso- och sjukvården och där ges i uppdrag att med sin kompetens medverka till en säker och mer ändamålsenlig läkemedelsanvändning bör enligt utredningens
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
473
uppfattning ges reella möjligheter att utföra sitt arbete. En farmaceut som arbetar hos en vårdgivare får ta del av den information om patienterna som farmaceuten behöver för att kunna utföra sitt arbete. Det innebär exempelvis att farmaceuten har möjlighet att ta del av journaluppgifter, t.ex. uppgifter om ordinerade läkemedel, för det fall det behövs med hänsyn till det arbete farmaceuten är satt att utföra. Precis som för övriga yrkeskategorier i hälso- och sjukvården är det behovet av uppgifter för att kunna utföra sitt arbete som är avgörande. En farmaceut som deltar i arbetet med att ta ställning till eller utvärdera en patients läkemedelsanvändning kan då genom patientjournalen ta del av uppgifter om vilka läkemedel som ordinerats för patienten. Sett mot den bakgrunden kan det tyckas omotiverat att inte farmaceuten i detta uppdrag även kan ta del av uppgifter om vilka av de ordinerade läkemedlen som patienten hämtat ut på apotek.
Av dessa skäl bedömer utredningen att farmaceuter som arbetar hos en vårdgivare kan ha ett berättigat behov av tillgång till uppgifter i läkemedelsförteckningen. En självklar förutsättning är givetvis, precis som för övriga yrkeskategorier, att patienten samtycker till det.
En annan fråga är dock för vilka ändamål en farmaceut som arbetar hos en vårdgivare ska få använda uppgifter i Läkemedelsförteckningen. Eftersom farmaceuter i vårdgivares verksamheter framför allt medverkar vid olika former av läkemedelsgenomgångar och på andra sätt arbetar med att öka kvaliteten och säkerheten i läkemedelsanvändningen bedömer utredningen att de tillåtna ändamålen ska anpassas efter de behov som dessa arbetsuppgifter medför. Det bör därför vara tillåtet för farmaceuter hos vårdgivare att, med patientens samtycke, använda uppgifter i läkemedelsförteckningen för ändamålen att åstadkomma en säker framtida förskrivning, komplettera patientjournalen samt underlätta patientens läkemedelsanvändning.
Risken för intrång i enskilda patienters personliga integritet ökar i viss mån när ytterligare en yrkeskategori inom vården får möjlighet att ta del av uppgifter i läkemedelsförteckningen. Förslaget syftar emellertid att leda till en ökad kvalitet och säkerhet i hälso- och sjukvården i allmänhet och i läkemedelsanvändningen i synnerhet. Det i kombination med att patienten själv genom att lämna samtycke eller avstå från att lämna samtycke styr tillgången till läkemedelsförteckningen bedöms dock väga upp den ökade risken för integritetsintrång. Dessutom föreslås inte farmaceuter
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
474
omfattas av den möjlighet som förskrivare och sjuksköterskor utan förskrivningsrätt i dag har att i nödsituationer där patienten inte kan samtycka ta del av läkemedelsförteckningen. Tillgången är därmed begränsad till sådana situationer när patienten kan lämna sitt samtycke.
15.7.8 Övriga rekommendationer för utvecklingen mot en samlad läkemedelslista m.m.
Vår bedömning: Våra förslag syftar till att öka kvaliteten och
säkerheten för patienter som är i behov av läkemedelsbehandling. Flera förslag innebär att nya möjligheter för en ändamålsenlig och sammanhållen hantering av uppgifter om ordinerade läkemedel tillhandahålls. Samtidigt kan det finnas behov av ytterligare åtgärder på en rad andra områden för att möjligheterna ska kunna tillvaratas och målsättningen nås.
Lagstiftaren kan genom utformningen av regelverket ställa krav, tillhandahålla möjligheter och på andra sätt stimulera en önskad utveckling. Läkemedelsprocessen är ett sådant område där lagstiftningen inte på ett samlat sätt ger uttryck för patientens intresse av att den som står i begrepp att fatta beslut om vård och behandling har tillgång till bästa möjliga beslutsunderlag. Vi lämnar ett antal förslag i detta betänkande som i allt väsentligt syftar till att förändra denna bild, harmonisera regelverken och öka förutsättningarna för ökad kvalitet och säkerhet för patienter som är i behov av läkemedelsbehandling. Samtidigt inser vi att det sannolikt krävs kraftfulla och medvetna åtgärder på en rad andra områden för att de nya möjligheterna ska kunna tillvaratas och bidra till att målsättningen nås. För att kunna ta tillvara intentionerna bakom lagstiftningen kommer det att krävas stora resurser och en gemensam vilja att arbeta tillsammans över organisatoriska och professionella gränser.
En grundläggande förutsättning för en samlad, nationell läkemedelslista där informationen i de olika källorna är samstämmig, är att samtliga som ordinerar läkemedel arbetar mot samma informationskälla. Så länge den samlade läkemedelslistan inte kompletteras med uppgifter från samtliga som ordinerar läkemedel kommer det att finnas inbyggda osäkerheter om vilken som är den korrekta och
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
475
aktuella bilden av patientens läkemedelsbehandling. Utredningen inser att det kan ta tid att genomföra detta. Men det är inte desto mindre är viktigt att ta ett nationellt ansvar för att driva utvecklingen mot en gemensam målsättning. Av naturliga skäl är vissa saker även svårare än andra att genomföra, exempelvis kan möjligheterna att arbeta mot samma informationskälla bedömas vara större när det gäller öppenvårdsordinationer än när det gäller slutenvårdsordinationer.
En central fråga är även hur ett gemensamt nationellt åtagande mot en samlad läkemedelslista ska utformas och drivas. I detta ryms såväl finansiella frågor som frågor om det ska bygga på frivillig basis eller om det ska vara tvingande att arbeta mot en nationell källa. De finansiella frågorna är inte minst avgörande i relation till alla mindre privata vårdgivare som är etablerade i landet.
Vi har i det föregående redovisat kort hur Danmark har byggt upp sitt system med en samlad, nationell läkemedelslista. I Danmark har alla förskrivare, vare sig de arbetar i offentlig eller privat verksamhet, en skyldighet att uppdatera informationen i den nationella listan. Vidare har samtliga hälso- och sjukvårdsregioner integrerat den nationella listan mot sina journalsystem.
Utredningen bedömer att dessa frågor har starka beröringspunkter med det uppdrag E-hälsokommittén har enligt sitt utredningsdirektiv.42Det kan i det arbetet bland annat finnas skäl att göra närmare överväganden kring följande.
• Tydligare nationell styrning vad gäller infrastrukturfrågor m.m. för att säkra informationshanteringen i läkemedelsprocessen
• Om pappersrecept ska få användas eller om det endast ska vara möjligt med elektronisk förskrivning.
• Hur en inomprofessionell diskussion om ansvaret för en samlad läkemedelslista ytterligare kan stimuleras.
• Ett tydligare gemensamt åtagande som gör det möjligt för alla patienter, oavsett var i landet de bor, att själva kunna ta del av sin samlade läkemedelslista.
42 S 2013:17, dir. 2013:125.
477
16 Förbättrad tillgång till varningsinformation
16.1 Bakgrund
För patientens liv och hälsa är det särskilt nödvändigt att den hälso- och sjukvårdspersonal som patienten möter känner till om patienten exempelvis har sådana överkänsligheter som kan medföra allvarlig fara för patienten om denne utsätts för ämnet som ger överkänsligheten. Sådan information som hälso- och sjukvårdspersonalen behöver uppmärksammas på kallas ofta för varningsinformation. Det kan exempelvis vara information om att patienten är överkänslig för läkemedel, födoämnen, djur, växter eller kemikalier. Vidare kan det handla om att patienten lider av ett, särskilt allvarligt tillstånd, exempelvis att patienten är blödningsbenägen eller svårintuberad vid narkos. Det kan även vara fråga om att patienten står under en pågående allvarlig behandling med exempelvis blodförtunnande eller immunsupprimerande (immunförsvarsnedsättande) läkemedel. Det är sådan information som, om den inte är känd för hälso- och sjukvårdspersonalen, kan leda till livshotande eller mycket farliga situationer för patienten.
I Socialstyrelsens termbank definieras varningsinformation som ”uppmärksamhetsinformation som gäller överkänsligheter, tillstånd och behandlingar som, om de inte är kända för vård- och omsorgspersonalen, medför allvarligt hot mot vård- eller omsorgstagarens liv eller hälsa”.
Avsaknad av uppgifter om varningsinformation kan i värsta fall leda till att en patient blir allvarligt felbehandlad eller dör.
Från varningsinformation ska därför skiljas sådan uppmärksamhetsinformation som i och för sig är relevant för hälso- och sjukvårdspersonalen att känna till för att patienten ska få en god och säker vård, men som inte medför allvarligt hot mot vård- eller omsorgstagarens liv eller hälsa. Sådan information kallas ofta för
Förbättrad tillgång till varningsinformation SOU 2014:23
478
observandum. Det kan handla om sådant som att patienten har en smittsam sjukdom. Men det kan även vara information om hur patienten önskar att hälso- och sjukvården ska agera, t.ex. ifall patienten accepterar behandling med blodprodukter. Allvarlighetsgraden av att sådan information inte är känd är generellt inte lika hög som när det gäller varningsinformation. Utredningens överväganden och förslag omfattar således inte sådan information som inte är att betrakta som varningsinformation enligt definitionen i Socialstyrelsens termbank.
16.1.1 Informationshanteringen
För att patienten ska få en god och säker vård är det nödvändigt att varningsinformation kommer till hälso- och sjukvårdspersonalens kännedom i rätt tid och på rätt plats. Det är därför viktigt att vårdgivare ser till att sådan information dokumenteras och hanteras på ett sätt som tillgodoser patientens behov. Det kan bland annat innebära att vårdgivare behöver utforma journalsystemens användargränssnitt på ett sådant sätt att det tydligt framgår att det finns varningsinformation rörande en patient och vad denna information består av.
Av 3 kap. 6 § Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården följer dessutom att rutinerna för dokumentation av patientuppgifter ska säkerställa att patientjournalen innehåller en markering som ger en varning om att en patient har visat intolerans eller har en överkänslighet som innebär en allvarlig risk för patientens liv eller hälsa. Vidare ska markeringen göras på ett sådant sätt att den är lätt att uppmärksamma.
Samtidigt innehåller föreskrifterna krav på hur uppgifter i t.ex. ett journalsystem presenteras och göras tillgängliga för hälso- och sjukvårdspersonalen. Det finns bland annat föreskrifter med krav på s.k. aktiva val, som i praktiken innebär att en användare i utgångsläget inte ska kunna se om det finns information om patienten hos en annan vårdenhet i vårdgivarens verksamhet. Dessa krav gäller oavsett vilka uppgifter det handlar om och omfattar således även uppgifter om intoleranser eller överkänsligheter som innebär en allvarlig risk för patientens liv eller hälsa.
I äldre föreskrifter från Socialstyrelsen (SOSFS 1982:8) angavs exempelvis att överkänslighet mot läkemedel m.m. som är så allvar-
SOU 2014:23 Förbättrad tillgång till varningsinformation
479
lig att den hotar liv eller hälsa ska märkas särskilt i patientjournalen. Märkningen skulle enligt föreskriften ske i rött med ordet ”VARNING”. På den tiden när patientjournalföringen var manuell gjordes därför märkningen med ordet ”VARNING” i rött i regel både på patientjournalens omslag samt på handlingar inne i journalmappen.
Genom patientdatalagen (2008:355), förkortad PDL, har patienten en rätt att spärra uppgifter från elektronisk åtkomst inom en vårdgivares verksamhet och från direktåtkomst mellan vårdgivare (sammanhållen journalföring). Patientens spärrmöjligheter gäller således oberoende av vilka uppgifter det är fråga om och var de har dokumenterats. Det innebär att patienten med stöd av nuvarande regelverk ges en möjlighet att spärra varningsinformation om exempelvis överkänsligheter från att vara elektronisk åtkomliga för andra vårdenheter än den som har dokumenterat uppgiften hos vårdgivaren. Patienten kan även motsätta sig att uppgifter om varningsinformation görs tillgängliga för andra vårdgivare i system för sammanhållen journalföring.
I samband med arbetet som föregick patientdatalagen framhöll en stor mängd remissinstanser att s.k. varningsinformation, t.ex. uppgifter om överkänsligheter, ska framgå av journalen och inte bör kunna spärras av patienten.1 Bakgrunden till detta var framför allt de patientsäkerhetsrisker som gör sig gällande för patienter som exempelvis har en överkänslighet som kan medföra allvarligt hot mot patientens hälsa om de inte är kända för hälso- och sjukvårdspersonalen.
16.1.2 Vårt uppdrag m.m.
I utredningens övergripande uppdrag ingår bland annat att identifiera utmaningar och hinder för en mer ändamålsenlig informationshantering inom hälso- och sjukvården.
En ändamålsenlig informationshantering handlar bland annat om att behörig hälso- och sjukvårdspersonal har tillgång till den information om patienter som behövs för en god och säker vård. När det gäller varningsinformation kan tillgången till sådan information med fog hävdas vara alldeles nödvändig för patientens liv och fortsatta hälsa. I samband med att utredningen gjort en bred översyn av behoven av en ändamålsenlig informationshantering och
Förbättrad tillgång till varningsinformation SOU 2014:23
480
av regelverket i patientdatalagen har därför frågan om patientens möjlighet att spärra varningsinformation hamnat i ljuset. Utredningen har under arbetets gång vid flera tillfällen blivit uppmärksammad på de risker som en spärr av sådan information kan medföra samt om de hinder för utvecklingen av en gemensam standard för att dokumentera och visualisera varningsinformation som nuvarande regelverk ställer upp. I detta avseende har utredningen även blivit uppmärksammade på de konsekvenser som Socialstyrelsens föreskrifter (SOSFS 2008:14) kan ha på frågan om en ändamålsenlig hantering av varningsinformation.
16.2 Våra överväganden och förslag
16.2.1 Varningsinformation bör undantas från patientens spärrmöjligheter
Vårt förslag: Patienten ska inte kunna motsätta sig att uppgifter
som ger en varning om att patienten har visat intolerans eller har en överkänslighet som innebär en allvarlig risk för patientens liv eller hälsa, görs tillgängliga genom elektronisk åtkomst inom en vårdgivares verksamhet eller genom direktåtkomst mellan vårdgivare. Patienten kan därmed inte motsätta sig att sådana uppgifter görs tillgängliga genom sammanhållen journalföring eller mellan vårdgivare inom en huvudmans ansvarsområde. Bestämmelser om detta ska tas in i hälso- och sjukvårdsdatalagen.
Vår bedömning: Förslaget syftar till att förbättra kvaliteten och
patientsäkerheten i hälso- och sjukvården. Förslaget innebär ingen ökad rätt för hälso- och sjukvårdspersonal att ta del av uppgifter, utan endast att uppgifterna får finnas tekniskt åtkomliga så att det är möjligt att ta del av dem när det behövs för patientens vård.
Kännedom om varningsinformation är nödvändig för patientens säkerhet
För en patient som exempelvis är så överkänslig mot vissa läkemedel att en felaktig läkemedelsordination kan leda till bestående allvarliga men eller till patientens död, är hälso- och sjukvårds-
SOU 2014:23 Förbättrad tillgång till varningsinformation
481
personalens tillgång till sådan information helt nödvändig. Det handlar inte endast om att uppgifterna behöver vara tillgängliga för hälso- och sjukvårdspersonalen, utan även om att uppgifterna ska vara lättillgängliga och lätta att uppmärksamma. Med hänsyn till behovet av säkerhet för den enskilde patienten ska det helst inte gå att missa att ta del av uppgifterna för den hälso- och sjukvårdspersonal som står i begrepp att ta ställning till patientens vård och behandling.
Utmaningar och hinder för en ändamålsenlig hantering av varningsinformation
När patientjournaler fördes manuellt på papper tillgodosågs behovet genom att ordet ”VARNING” markerades i rött på patientjournalens omslag och i journalhandlingar inne i journalmappen. I dag har vårdgivarna ett krav på sig att, i enlighet med 3 kap. 6 § SOSFS 2008:14, säkerställa att patientjournalen innehåller en markering som ger en varning om att en patient har visat intolerans eller har en överkänslighet som innebär en allvarlig risk för patientens liv eller hälsa. Markeringen ska enligt föreskriften göras på ett sådant sätt att den är lätt att uppmärksamma. Det ska därmed, såvitt utredningen kan bedöma, inte vara fråga om en markering som hälso- och sjukvårdspersonalen ska behöva leta efter. Markeringen bör med andra ord vara så tydlig att den så långt möjligt inte går att undvika för den som deltar i patientens vård och behandling. Socialstyrelsen anger i handboken till föreskrifterna att uppgiften ska vara lätt tillgänglig för alla som behöver uppgifterna.
Samtidigt kan utredningen konstatera att det i Socialstyrelsens föreskrifter finns krav som i praktiken styr hur information får presenteras för vårdgivarens personal. Som vi har redovisat i kapitlet om arbetet för en gemensam läkemedelslista gäller olika förutsättningar för personalens åtkomst till uppgifter inom en vårdgivares verksamhet och mellan vårdgivare. För åtkomst till uppgifter inom en vårdgivares verksamhet gäller enligt 2 kap. 7 § SOSFS 2008:14 att information om vilka vårdenheter som har uppgifter om en viss patient inte får göras tillgänglig utan att den behörige användaren gör ett aktivt val, dvs. gör ett ställningstagande till, om han eller hon har rätt att ta del av dessa uppgifter. Patientuppgifterna hos dessa vårdenheter får sedan inte göras tillgängliga utan att den behörige användaren gör ytterligare ett aktivt
Förbättrad tillgång till varningsinformation SOU 2014:23
482
val. Om patientuppgifterna har spärrats av en annan vårdenhet hos vårdgivaren, får uppgifterna endast göras tillgängliga efter att användaren gjort ett aktivt val efter att ha inhämtat patientens samtycke eller om förutsättningarna för nödåtkomst enligt 4 kap. 5 § PDL är uppfyllda.
Av Socialstyrelsens handbok förtydligas föreskrifternas krav på ett sådant sätt att yrkesutövaren vid inloggning i journalsystemet ska kunna se i systemet att det finns patientuppgifter hos en annan vårdenhet, men inte vilken vårdenhet det är eller vilka uppgifter det handlar om. Efter att ha gjort ett aktivt val kan yrkesutövaren sedan se vilka vårdenheter som har uppgifter om patienten, men inte vilka uppgifter det handlar om. Efter ytterligare ett aktivt val kan yrkesutövaren dock ta del av de aktuella uppgifterna hos de andra vårdenheterna. Om uppgifterna är spärrade gäller dock att yrkesutövaren antingen måste ha patientens samtycke eller att det är fråga om en sådan nödsituation som beskrivs i patientdatalagen, för att få ta del av uppgifterna.
I praktiken innebär föreskrifterna, enligt vår bedömning, att personalen vid inloggning i journalsystemet i utgångsläget inte ens får se att det finns varningsinformation om patienten eller vilken vårdenhet som har dokumenterat uppgifterna.
Motsvarande situation uppstår i stort sett även vad gäller åtkomst till uppgifter hos andra vårdgivare. Där innebär föreskrifterna, enligt tillämpningsanvisningarna i Socialstyrelsens handbok, att yrkesutövaren vid inloggning i ett system för sammanhållen journalföring kan se att en annan vårdgivare har uppgifter om patienten, men inte vilken vårdgivare eller vilka uppgifter det rör. Om patienten har samtyckt till åtkomst till uppgifter hos andra vårdgivare och övriga förutsättningar i 6 kap. 3 § PDL är uppfyllda, kan yrkesutövaren sedan genom ett aktivt val se vilka vårdgivare som har uppgifter om patienten. Därefter förutsätts yrkesutövaren, med ledning av uppgiften om vilka vårdgivare som har uppgifter om patienten, ta ställning till hos vilka vårdgivare det finns uppgifter som behövs för att vårda patienten. Efter det kan yrkesutövaren ta del av de aktuella uppgifterna.
Om patienten motsatt sig medverkan i sammanhållen journalföring, dvs. spärrat uppgifterna, är uppgifterna om varningsinformation inte ens tekniskt åtkomliga för yrkesutövare hos andra vårdgivare. Det enda som syns i systemet för sammanhållen journalföring är att det finns spärrade uppgifter om patienten och hos vilken vårdgivare uppgifterna finns. En spärr vid sammanhållen
SOU 2014:23 Förbättrad tillgång till varningsinformation
483
journalföring är således absolut i den meningen att uppgifterna inte finns potentiellt tillgängliga. För att kunna se vilken vårdgivare som har de spärrade uppgifterna krävs antingen att patienten har samtyckt till det eller att det är fråga om en sådan nödsituation där det föreligger fara för patientens liv eller allvarlig risk för patientens hälsa. När yrkesutövaren under de förutsättningarna fått reda på vilken eller vilka vårdgivare som har spärrade uppgifter om patienten, får yrkesutövaren sedan vända sig till dessa och begära att uppgifterna lämnas ut. Yrkesutövaren kan alltså inte själv forcera en spärr och ta del av uppgifterna om patienten, t.ex. varningsinformation.
Varningsinformation bör undantas från spärrmöjligheterna
Mot bakgrund av vad som redovisats ovan ställer sig utredningen frågande till hur det är avsett att en vårdgivare ska kunna säkerställa att en markering om varningsinformation är lättillgänglig och lätt att uppmärksamma, samtidigt som en sådan uppgift inte får vara tillgänglig för användarna om inte föreskrifterna i SOSFS 2008:14 om s.k. aktiva val följs. Det framstår som om dessa två olika krav inte är helt självklara att förena för dem som har ett ansvar för att tillämpa föreskrifterna.
Enligt utredningens bedömning leder utformningen av 2 kap. 7 § åtminstone inte till att uppgifterna är lätt tillgängliga för alla som behöver dem. Detta eftersom föreskrifterna i praktiken innebär att uppgifter ska sorteras och presenteras med hänsyn till organisatoriska faktorer i stället för utifrån patientens behov av att informationen är lätt tillgänglig och lätt att uppmärksamma för alla.
Sådan varningsinformation som det här är fråga om är, enligt utredningens bedömning, närmast att betrakta som så generell och grundläggande som uppgifter om patientens personnummer och namn. Det vill säga som sådana uppgifter som normalt är tillgängliga på samma sätt för alla som deltar i vården och behandlingen av patienten. Utredningen anser att patienter och deras närstående har ett alldeles särskilt behov av att all personal som deltar i patientens vård har tillgång till uppgifter om varningsinformationen. Detta eftersom en ovetskap om dessa förhållanden kan ge upphov till stor skada och stort lidande.
Utredningen anser att det kan ifrågasättas om det över huvud taget är lämpligt att ge patienter möjlighet att spärra varnings-
Förbättrad tillgång till varningsinformation SOU 2014:23
484
information från åtkomst inom och mellan vårdgivares verksamheter. Inte minst mot bakgrund av att det sedan lång tid tillbaka funnits krav på att sådan information ska vara lätt tillgänglig och synlig för hälso- och sjukvårdspersonalen. Samtidigt som det ur ett grundläggande integritetsperspektiv självklart alltid kan finnas skäl att låta den enskilde själv bestämma i frågor om behandling av personuppgifter, kan det finnas skäl att diskutera om inte lagstiftaren har skäl att ställa krav på hälso- och sjukvårdens aktörer att säkerställa att varningsinformation alltid är tillgängliga för den personal, på den plats och vid den tidpunkt uppgifterna behövs för att patienten ska få en god och säker vård. Det kan ur ett principiellt perspektiv behöva övervägas om ett sådant integritetsskydd som lagstiftaren ställer upp genom att ge patienter en ovillkorlig rätt att spärra vilka uppgifter som helst, blir missriktat och riskerar att motverka de krav på kvalitet och säkerhet som ställs på hälso- och sjukvården.
Även om utredningen inte har kunnat göra en fullödig genomgång av Lex Maria-ärenden m.m., har vi kunnat konstatera att patienter har dött eller lidit allvarlig skada för att sådana uppgifter som är att betrakta som varningsinformation inte har funnits tillgängliga eller varit tillräckligt lätta att uppmärksamma. Vi har exempelvis tagit del av exempel som tyder på att patienter har avlidit på grund av överkänslighet mot läkemedel och där uppgifterna inte varit tillräckligt iögonfallande i journalsystemet.
Det primära intresset är därför, enligt vår mening, att se till att alla patienter med intoleranser eller överkänsligheter m.m. kan vara trygga i förvissningen om att uppgifterna kommer till hälso- och sjukvårdspersonalens kännedom. Vårdgivare har ett ansvar för att arbeta aktivt med frågan om hur varningsinformation ska hanteras. Med hänsyn till att det är en så viktig informationsmängd för patientens liv och hälsa bör hanteringen av varningsinformation vara likartad över hela landet. Med ett, så långt möjligt, gemensamt tillvägagångssätt för att dokumentera och visualisera varningsinformation ökar hälso- och sjukvårdspersonalens möjlighet att uppmärksamma informationen och agera i enlighet med den, vilket i sin tur ökar tryggheten och säkerheten för patienten.
I sammanhanget kan nämnas att det har bedrivits utvecklingsprojekt för att nå en nationell enighet om hur varningsinformation bör hanteras. Projektet Varningsinformation som drevs av dåvarande Sjukvårdsrådgivningen föreslog exempelvis en symbol för uppmärksamhetsinformation som bygger på ett gemensamt sätt för
SOU 2014:23 Förbättrad tillgång till varningsinformation
485
informationshantering och som skulle kunna implementeras i journalsystemen.2Symbolen som föreslogs i projektet finns i dag i den Nationella Patientöversikten (NPÖ) och syftar till att i systemet för sammanhållen journalföring tydligt visualisera ifall det finns sådana uppgifter om patienten som innebär en allvarlig risk för patientens liv eller hälsa. Det är enligt utredningens bedömning viktigt att det utvecklingsarbetet kan fortsätta och att vårdgivare vidtar de övriga åtgärder som krävs för att verksamhetens hantering av varningsinformation görs på ett ändamålsenligt sätt. Det kan bland annat finnas behov av rutiner och närmare riktlinjer för en strukturerad dokumentation av sådana uppgifter som ska slå igenom i varningssymbolen och för hur sådana uppgifter närmare får hanteras, t.ex. i fråga om vilka yrkesutövare som i enskilda fall avgör vad som utgör varningsinformation.
Utredningens utgångspunkt är att patienternas behov av skydd för den personliga integriteten ska värnas i hälso- och sjukvården. Det är en av grundpelarna både för att upprätthålla förtroendet för hälso- och sjukvårdens informationshantering och för att bidra till en hög patientsäkerhet. Redan av de grundläggande bestämmelserna i hälso- och sjukvårdslagstiftningen följer att verksamheten ska bygga på respekt för patientens självbestämmande och integritet. Lagstiftaren har även ett särskilt ansvar för att se till att nya möjligheter att hålla information tillgänglig eller nya möjligheter att utbyta information görs på ett sådant sätt att det inte uppstår otillbörliga integritetsintrång. Samtidigt kan inte integritetsskyddet vara absolut, utan det behöver balanseras även mot andra värden och intressen.
När det gäller spärrmöjligheter har regeringen exempelvis gjort bedömningen att skydd för ett barns hälsa väger högre än skyddet för barnets integritet. Vårdnadshavare förhindras därmed genom regler i patientdatalagen från att spärra uppgifter om sina barn. Förbudet innebär att vårdnadshavare inte får spärra några uppgifter över huvud taget om sina barn. Det gäller både inom en vårdgivares verksamhet och mellan vårdgivare i system för sammanhållen journalföring. Möjligheterna att upptäcka de barn som far illa kan därmed sägas ha värderats högre än övriga barns behov av skydd för den personliga integriteten.
När det gäller den här aktuella frågan om varningsinformation har utredningen ovan redovisat dels hur viktig informationen är för
2 Sjukvårdsrådgivningen, Varningsinformation, slutrapport (2008).
Förbättrad tillgång till varningsinformation SOU 2014:23
486
patientens liv och hälsa, dels vilka utmaningar som finns för vårdgivare som ska tillämpa patientdatalagen och Socialstyrelsens föreskrifter. Sammantaget bedömer utredningen att det finns övervägande skäl som talar för att varningsinformation ska undantas från patientens spärrmöjligheter. Även om det kan antas att patienter som har en sådan intolerans eller överkänslighet som det här är fråga om, sällan väljer att spärra sådan information kan det hävdas att en enda allvarlig konsekvens av en sådan spärr skulle räcka för att motivera ett borttagande av spärrmöjligheterna i denna del. Enligt utredningens bedömning saknas det skäl att vänta på att något sådant ska inträffa för att lagstiftaren ska göra en värdering och ta ställning till saken. Det kan heller inte uteslutas att en av anledningarna till att det hittills inte verkar ha uppstått några utbredda patientsäkerhetsrisker på grund av spärrad varningsinformation är att vårdgivare inte fullt ut har implementerat spärrmöjligheter för sådana informationsmängder. I Datainspektionens tillsyn på området och vid utredningens kontakter med företrädare för hälso- och sjukvården har framkommit uppgifter som tyder på det.
Hälso- och sjukvården står nu, genom införandet av NPÖ, inför en möjlighet att säkerställa att varningsinformation dokumenteras på ett sätt som gör att informationen följer patienten över organisatoriska gränser och på ett sätt som tillsammans med andra vårdgivares information om patienten kan skapa en mer komplett och säker bild av enskilda patienters varningsinformation. Det ligger i patientens intresse av säkerhet att hälso- och sjukvårdspersonalen har en aktuell och komplett bild av sådant som annars allvarligt kan hota patientens liv eller hälsa. För att hälso- och sjukvårdspersonalen ska kunna lita på att varningsinformationen är aktuell och komplett, oavsett om det visualiseras genom en symbol eller framgår på annat sätt, krävs enligt vår bedömning att alla uppgifter som behövs får vara tillgängliga när det behövs. Varningsinformation som är ofullständig eller felaktig har ringa värde och tillgodoser inte behovet av patientsäkerhet. Sådan information bör därför inte omfattas av de nuvarande spärrmöjligheterna i patientdatalagen.
Vidare anser utredningen att den möjlighet som finns att häva spärr vid sammanhållen journalföring inte är särskilt relevant för den aktuella frågan. Eftersom en spärr vid sammanhållen journalföring innebär att de spärrade uppgifterna inte ens är tekniskt
SOU 2014:23 Förbättrad tillgång till varningsinformation
487
åtkomliga, finns ingen möjlighet för den vårdgivare som behöver uppgifterna att själva forcera spärren.
Därutöver är reglerna uppbyggda på ett sådant sätt att de enda uppgifter som får finnas är att det finns spärrade uppgifter och vilken vårdgivare som har spärrat dem. För en yrkesutövare ger det tämligen liten vägledning att se att en patient har spärrade uppgifter hos Västra Götalandsregionen, Landstinget i Värmland, Praktikertjänst eller Capio etc. Förutom att det är i det närmaste omöjligt att endast med ledning av de uppgifterna bedöma om det finns sådan varningsinformation hos någon av dessa vårdgivare, har yrkesutövaren i praktiken även svårt att veta var han eller hon ska vända sig med begäran om att få uppgifterna utlämnade, dvs. att spärren hävs. En uppgift om att det finns spärrade uppgifter hos vårdgivaren Praktikertjänst eller Capio innebär rent faktiskt att uppgifterna kan ha spärrats i en verksamhet i stort sett var som helst i landet. Att spärrade uppgifter finns hos en vårdgivare som utgör ett landsting innebär på motsvarande sätt att uppgiften kan finnas var som helst inom en landstingsdriven verksamhet. Hur en yrkesutövare i praktiken ska kunna komma i kontakt just med den person hos dessa vårdgivare som ansvarar för uppgiften och har att pröva frågan om utlämnande är inte helt enkelt att föreställa sig. I relation till en patient som har sådan intolerans eller överkänslighet som i sig innebär en allvarlig risk för patientens liv eller hälsa är det för hälso- och sjukvårdspersonalen även bråttom att få vetskap om dessa förhållanden.
Utredningens förslag innebär att patienter som exempelvis har en sådan intolerans eller överkänslighet som innebär ett allvarligt hot mot det egna livet eller hälsan, inte fullt ut själv kan bestämma i frågor om hur sådana uppgifter ska utbytas och vara tillgängliga för hälso- och sjukvårdspersonalen. Jämfört med vad som gäller i dag innebär förslaget således ett visst integritetsintrång. Samtidigt kan det med fog antas att patienter i dag i ringa utsträckning motsätter sig att sådan information ska vara tillgänglig för behörig hälso- och sjukvårdspersonal när det behövs för att patienten ska få en god och säker vård. Utredningens sammantagna bedömning är att de patientsäkerhetsskäl som talar för vårt förslag väger tyngre än den inskränkning av patientens självbestämmande och integritet som förslaget innebär.
Sammanfattningsvis föreslår utredningen att patienten inte ska kunna motsätta sig att uppgifter som ger en varning om att patienten har visat intolerans eller har en överkänslighet som innebär en
Förbättrad tillgång till varningsinformation SOU 2014:23
488
allvarlig risk för patientens liv eller hälsa, görs tillgängliga genom elektronisk åtkomst inom en vårdgivares verksamhet eller genom direktåtkomst mellan vårdgivare. Patienten kan därmed inte motsätta sig att sådana uppgifter görs tillgängliga genom sammanhållen journalföring eller mellan vårdgivare inom en huvudmans ansvarsområde.
Utredningens förslag syftar till att förbättra kvaliteten och patientsäkerheten i hälso- och sjukvården. Däremot innebär förslaget ingen förändrad eller ökad rätt för hälso- och sjukvårdspersonal att ta del av de aktuella uppgifterna. Förslaget innebär endast att uppgifterna får finnas tekniskt åtkomliga så att det är möjligt att ta del av dem när det behövs för patientens vård.
16.2.2 Nationella insatser för en strukturerad, entydig och enhetlig varningsinformation
Vår bedömning: Regeringen, eller den eller de myndigheter
eller organisationer som regeringen ger uppdrag åt, bör vidta åtgärder för att åstadkomma en strukturerad, entydig och enhetlig dokumentation och presentation av varningsinformation.
I utredningens uppdrag ingår att identifiera nödvändiga förutsättningar för en ändamålsenlig informationshantering samt vilka hinder (juridiska, tekniska etc.) som finns för en sådan informationshantering. Utredningen ska vid behov föreslå lagstiftning eller andra åtgärder som medger att behörig personal får tillgång till nödvändiga uppgifter. Därutöver är utredningen oförhindrad att ta upp frågor som inte nämns i direktiven, men som utredningen anser behöver analyseras eller regleras för att uppdraget ska kunna fullgöras på ett tillfredsställande sett.
Sammantaget innebär detta, enligt utredningens uppfattning, att det kan finnas skäl att förutom lagstiftningsåtgärder föreslå eller rekommendera andra åtgärder för att komma till rätta med de hinder för en ändamålsenlig informationshantering som finns i dag.
I det föregående har utredningen redogjort för ett förslag som syftar till att öka patientsäkerheten och förbättra kvaliteten i hälso- och sjukvården. Det handlar konkret om att se till att patienter som har visat en intolerans eller har en överkänslighet som medför allvarlig fara för patientens liv eller hälsa inte, vid sina kontakter
SOU 2014:23 Förbättrad tillgång till varningsinformation
489
med hälso- och sjukvården, ska utsättas för de ämnen m.m. som orsakar överkänsligheten eller intoleransen. För att se till att sådan information alltid är tillgänglig när den behövs för behörig hälso- och sjukvårdspersonal ska en patient inte kunna spärra sådan information från åtkomst inom och mellan vårdgivares verksamheter.
För att utredningens förslag i praktiken ska få den avsedda effekten krävs emellertid, enligt vår bedömning, insatser och åtgärder på en rad andra områden. Utredningen har bland annat kunnat ta del av hur hälso- och sjukvården i Norge driver ett utvecklingsprojekt för att säkerställa att en strukturerad, entydig och enhetlig varningsinformation finns tillgänglig och kan presenteras på ett entydigt sätt för hälso- och sjukvårdspersonal i olika delar av det norska hälso- och sjukvårdssystemet. Enligt vår bedömning finns det anledning för vårdgivare och myndigheter i Sverige att, i likhet med Norge, vidta gemensamma åtgärder för att se till att varningsinformation dokumenteras på ett strukturerat, entydigt och enhetligt sätt även i Sverige. Det är en grundförutsättning för att sådan information ska kunna presenteras och visualiseras på ett sätt som garanterar patientsäkerheten. Vidare ger det förutsättningar att säkerställa att patientens behov av integritetsskydd tillgodoses.
Vi anser att ett sådant nationellt arbete för en strukturerad, entydig och enhetlig hantering av varningsinformation inte är beroende av utredningens förslag om förändrad lagstiftning. I själva verket finns det redan i dag ett behov av ett sådant arbete. Det bör därför, enligt vår bedömning, kunna initieras inom en snar framtid. Inte minst mot bakgrund av att varningsinformation och en symbol för varningsinformation ingår i den Nationella Patientöversikten finns, enligt vår mening, skäl att vidta gemensamma insatser och åtgärder redan nu.
Utredningen har inte haft möjlighet till närmare överväganden kring vilka konkreta åtgärder som skulle behöva komma till stånd för att stimulera en sådan utveckling. Samtidigt ser vi, förutom behov av teknisk implementering m.m., ett ökat behov av kunskapsstyrning och möjligen även normering på detta område. Det kan exempelvis finnas skäl för Socialstyrelsen att överväga om en tydlig normering med efterföljande aktiv förvaltning avseende krav på strukturerat innehåll och presentation för varningsinformation kan vara en lämplig väg att gå.
Förbättrad tillgång till varningsinformation SOU 2014:23
490
För en gemensam implementering och fortsatt utveckling över landet kan möjligen inspiration hämtas från statens, huvudmännens och Sveriges Kommuner och Landstings arbete med kunskapsstyrning. Landsting och regioner har exempelvis vid SKL tillsammans etablerat Nationella programrådet för diabetes, som arbetar för en mer jämlik och kunskapsbaserad diabetesvård. Utredningen har kunnat konstatera att en motsvarande utveckling är på gång bl.a. inom ramen för strokevården och när det gäller regeringens Nationella strategi för att förebygga och behandla kroniska sjukdomar finns exempel på samma typ av samarbetsstrukturer mellan myndigheter och sjukvårdshuvudmännen.
Utredningen har inte möjlighet att rekommendera eller peka ut den bästa vägen framåt, men bedömer att det i dagsläget finns ett antal förebilder där olika organisationer samverkar för att försöka åstadkomma nationell samsyn och gemensamt införande för en jämlik vård av hög kvalitet. För att öka säkerheten för patienterna ser vi ett motsvarande behov av gemensamt arbete vad gäller hantering av varningsinformation. Vi bedömer därför att regeringen, eller den eller de myndigheter eller organisationer som regeringen ger uppdrag till, bör vidta åtgärder för att åstadkomma en strukturerad, entydig och enhetlig dokumentation och presentation av varningsinformation.
491
17 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
17.1 Bakgrund
Verksamhet inom hälso- och sjukvården ska enligt grundläggande bestämmelser i hälso- och sjukvårdslagen (1982:763), förkortad HSL, vara av god kvalitet. Med det avses bl.a. att vården ska erbjudas av personal med rätt kompetens och ges med säker utrustning i enlighet med vetenskap och beprövad erfarenhet.1Vidare följer av 31 § HSL att kvaliteten i hälso- och sjukvården systematiskt och fortlöpande ska utvecklas och säkras. I förarbetena till bestämmelsen anför regeringen att vårdgivare ska utveckla metoder för att noga följa och analysera utvecklingen vad gäller kvalitet och säkerhet.2Det gäller t.ex. system som synliggör förekomsten av risktillbud eller s.k. avvikande händelser (onormala vårdtider, infektioner, komplikationer, reoperationer, återinläggningar etc.) eller som mäter servicegrad, patienttillfredsställelse osv.
Vidare anförs att det är viktigt att vårdgivarna skapar förutsättningar och stimulerar medarbetare till insatser i arbetet med kvalitetssäkring och kvalitetsutveckling. Resultatet av det arbetet är, enligt regeringen, en viktig del av att vidareutveckla vården, höja kvaliteten och stärka patientens ställning och ska fortlöpande återföras till dem som deltar i vård- och behandlingsarbetet.
Även genom föreskrifter från Socialstyrelsen förtydligas vårdgivares ansvar för att systematiskt och fortlöpande utveckla och
1 Regeringens proposition Förstärkt tillsyn över hälso- och sjukvården, prop. 1995/96:176 s. 27. 2Prop. 1995/96:176 s. 53 f.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
492
säkra kvaliteten i verksamheten. I Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete finns bestämmelser om hur detta kvalitetsarbete ska bedrivas. Tanken är att vårdgivaren med hjälp av processer och rutiner samt ett systematiskt förbättringsarbete ska uppnå kvalitet i verksamheten. Det systematiska förbättringsarbetet ska bestå av riskanalys, egenkontroll och hantering av avvikelser.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården bedrivs på olika nivåer, på olika sätt och i ett antal olika steg. Vidare aktualiseras kunskap och kompetens inom en rad olika områden som exempelvis ledarskap, utvärderingmetoder, förbättringskunskap, hälsoekonomi och evidensbaserade arbetssätt. Som utgångspunkt för att kunna organisera och bedriva verksamheten på ett sådant sätt att det leder till bättre resultat för patienterna är det även ofta nödvändigt att identifiera och kartlägga patienternas processer.
För att följa upp och säkra kvaliteten i verksamheten samt skapa bättre resultat för patienterna finns därför ett behov av att låta dokumenterade uppgifter om enskilda och om genomförandet av insatser samt resultaten av dessa m.m. ligga till grund för ett ständigt förbättringsarbete. Personuppgiftsbehandlingen utförs i olika skeden av det systematiska kvalitetsarbetet och ger underlag för att exempelvis kunna mäta resultatet av åtgärder och insatser, identifiera förbättringsområden, kartlägga processer och följa upp effekter av olika tillvägagångssätt. Dagens hälso- och sjukvård med patientrörlighet, valfrihet och mångfald av aktörer ställer även delvis nya krav på kvalitetssäkringen. De vårdinsatser som tidigare ofta genomfördes inom en och samma vårdgivares verksamhet utförs i dag snarare genom samverkan mellan flera, såväl landstings- som kommunalt finansierade, vårdgivare. Även informationshanteringen för att utveckla kvaliteten i hälso- och sjukvården behöver därför i större utsträckning än tidigare ta sin utgångspunkt i och följa patientens process och dennes möten med kommunala, landstingsdrivna och privata aktörer under ett visst vårdåtagande eller vårdprocess.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
493
Vårt uppdrag
Personuppgiftsbehandling för att säkra och utveckla verksamhetens kvalitet kan göras på olika nivåer i hälso- och sjukvården. På lokal nivå, inom en vårdgivarens verksamhet, används ofta personuppgifter för vårdgivarens kvalitetsarbete. Vid sidan av detta finns även ett stort antal nationella och regionala kvalitetsregister som, förutom att de används i det lokala kvalitetsarbetet, bland annat möjliggör jämförelser mellan vårdgivare i olika delar av landet.
Frågan om hälso- och sjukvårdspersonalens möjlighet att ta del av personuppgifter som finns i den egna vårdgivarens verksamhet i syfte att följa upp och säkra kvaliteten i genomförda insatser, har under en längre tid varit förknippad med viss osäkerhet. Utredningen har bland annat kunnat följa en allmän debatt där det ifrågasatts om det är lagligt för t.ex. en läkare att följa upp sina bedömningar och åtgärder kring enskilda patienter. Det är viktigt att analysera om det nuvarande regelverket förhindrar ett sådant kvalitetsarbete eller om det i stället finns behov av åtgärder för att tydliggöra vad som är möjligt att göra. Utredningen uppmärksammade denna fråga genom en promemoria i den delredovisning som överlämnades till regeringen den 31 december 2013 och som återfinns som bilaga till detta slutbetänkande. Vissa delar av detta återges även i det följande.
Vidare har det under utredningens arbete lyfts fram behovet av att se över vissa förutsättningar för personuppgiftsbehandlingen i nationella kvalitetsregister. En fråga som särskilt har aktualiserats är om de i dag begränsade möjligheterna till direktåtkomst till uppgifter om patienter bör förändras för att i större utsträckning göra det möjligt att säkra kvaliteten i vårdprocesser som går över vårdgivargränser. Vidare finns en osäkerhet i frågor som rör hopslagning eller utvidgning av nationella kvalitetsregister samt i frågor som rör förändringar av ansvaret för central behandling av personuppgifter i nationella kvalitetsregister.
Även i utredningens grunduppdrag om att analysera vilka hinder som i dag finns för en mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården har frågor om nationella kvalitetsregister en naturlig plats. I utredningsdirektivet anför regeringen även att personal och beslutsfattare bör få använda uppgifter i olika slags stödsystem för att löpande kvalitetssäkra och förbättra insatserna som vänder sig till enskilda och att relevant
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
494
lagstiftning främjar en effektiv och ständigt pågående förbättringsprocess inom hälso- och sjukvården.3
I det följande kommer möjligheterna att behandla personuppgifter för att säkra och utveckla kvaliteten i hälso- och sjukvården att belysas. Det omfattar både hur uppgifter som finns dokumenterade i vårdgivarens verksamhet får användas i ett systematiskt kvalitetsarbete och hur uppgifter får användas i ett nationellt eller regionalt kvalitetsregister.
17.2 Nationella kvalitetsregister
För att säkra och utveckla kvaliteten i hälso- och sjukvården och därigenom bidra till bättre resultat för patienterna används i dag omkring 100 nationella kvalitetsregister. I ett nationellt eller regionalt kvalitetsregister samlas personuppgifter från kommunal hälso- och sjukvård, sjukhus, vårdcentraler m.fl. för att möjliggöra kvalitetssäkring och jämförelser inom hälso- och sjukvården på nationell eller regional nivå. I dag används kvalitetsregistren både för systematisk uppföljning och jämförelse på nationell nivå, men även på ett mer lokalt plan där registrerande enheter med allt tätare intervall följer sina resultat och lägger dem till grund för ett verksamhetsnära förbättringsarbete. Det gör bl.a. att patienter som i dag deltar i kvalitetsregister i större utsträckning än tidigare själva är med och drar nytta av sin egen medverkan.
Med ett kvalitetsregister avses, enligt 7 kap. 1 § patientdatalagen (2008:355), förkortad PDL, en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregistren ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå. Med ett nationellt eller regionalt kvalitetsregister avses ett kvalitetsregister i vilket personuppgifter samlas in från flera olika vårdgivare. När det fortsättningsvis i detta betänkande talas om nationella kvalitetsregister avses även regionala kvalitetsregister som förs i enlighet med 7 kap. patientdatalagen.
Innan en vårdgivare registrerar uppgifter i ett nationellt kvalitetsregister krävs att den enskilde har fått viss information om kvalitetsregistret och en möjlighet att motsätta sig registreringen. Det krävs alltså inget samtycke, men den enskilde har en möjlighet
3 Dir. 2011:111.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
495
att säga nej. Den rättsliga konstruktionen motsvarar därför vad som tidigare redovisats för vårdgivares möjlighet att göra vårddokumentation tillgänglig i system för sammanhållen journalföring.
17.2.1 Exempel på användning av nationella kvalitetsregister
Nationella kvalitetsregister har kommit att bli en av flera nödvändiga förutsättningar för att utveckla hälso- och sjukvården. Ett framgångsrikt utvecklingsarbete förutsätter dock insamling och bearbetning av de uppgifter om enskilda, om åtgärder, om diagnoser, om använda produkter m.m. som behövs. Mycket av förbättringsarbetet i kvalitetsregister görs i dag på lokal nivå, genom tät återkoppling av verksamhetens resultat. Precis som regeringen anförde i ovan nämnda proposition går utvecklingen mot att verksamhetens inrapporterade uppgifter och resultat återförs mer kontinuerligt än tidigare och nu i större grad kan ligga till grund för en lokal och verksamhetsnära förbättring av resultatet för de enskilda patienterna.
Detta har bland annat kommit att medföra att patienter som i dag deltar i kvalitetsregister i större utsträckning än tidigare själva är med och drar nytta av sin egen medverkan i registret. I sådana register där individen följs upp och uppgifter registreras kontinuerligt och över längre tid finns tydliga exempel på nyttan, inte endast för framtida patienter utan även för patienten själv. Som några exempel på sådana register kan nämnas register över kroniska sjukdomar som t.ex. reumatisk sjukdom och diabetes, men även register som Senior Alert och BPSD som riktar sig till individer över en viss ålder eller med en viss beteendemässig störning.
I sammanhanget kan även nämnas registret InfCare HIV som sedan det infördes för cirka 10 år sedan anses ha varit en stark bidragande faktor till att HIV-patienter som är under behandling i dag i stor utsträckning kan känna sig friska och leva ett normallångt liv med i princip obefintlig risk att smitta andra. Förbättringsarbetet genom InfCare HIV har i olika sammanhang lyfts upp som ett exempel på när insamlandet av uppgifter blir en förutsättning för att kunna skapa bättre resultat och högre livskvalitet för en hel patientgrupp.
Att nationella kvalitetsregister har en central plats i hälso- och sjukvårdens förbättringsarbete lyfts även fram av regeringen i en
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
496
skrivelse som nyligen överlämnades till riksdagen.4 De nationella kvalitetsregistren utgör enligt regeringen en stor tillgång för hälso- och sjukvården genom att de har bidragit till de goda resultat för patienter som Sverige kan uppvisa i internationella jämförelser. Kvalitetsregistren har utvecklats primärt för att stödja det kliniska förbättringsarbetet, men är också en av huvudkällorna till Öppna jämförelser.
Vidare anför regeringen bland annat följande i den ovan nämnda skrivelsen.
Kvalitetsregistret Swedeheart samlar kontinuerligt in information från patienter i Sverige som vårdas på en hjärtinfarktsavdelning eller genomgår kranskärlsingrepp eller hjärtoperation. Genom registret informeras vårdgivare kontinuerligt och det görs jämförelser mellan sjukhus om vilka behandlingar som ges och vilket utfall de ger i termer av dödlighet, återinsjuknande och hur patienterna mår efter behandlingen. En studie som publicerades i den medicinska tidsskriften The Lancet i januari 2014 visar att dödligheten 30 dagar efter hjärtinfarkt är nästan 30 procent lägre i Sverige än i Storbritannien. Det betyder att mer än 10 000 liv skulle ha kunnat räddas i Storbritannien om dessa patienter hade fått samma sjukvård som i Sverige. Swedeheart har i sina årliga rapporter kunnat visa hur kvaliteten och följsamheten till riktlinjer ökat dramatiskt under de senaste 10–15 åren genom att vården registrerats kontinuerligt, jämförts öppet och publicerats offentligt. Faktum är att dödligheten efter hjärtinfarkt i Sverige mer än halverats under en tioårsperiod.
Svenska höftprotesregistret registrerar utbyte av höftleder. Enligt
registrets användarundersökningar används registret aktivt och upplevs som användbart av i stort sett samtliga verksamheter i landet. Genom att omoperationer registreras möjliggörs analyser av komplikationer i det kontinuerliga förändringsarbetet. Sverige har den lägsta rapporterade omoperationsfrekvensen av höftproteser i världen.
Svensk reumatologis kvalitetsregister uppvisar kontinuerligt förbättrad
hälsa för patienter med reumatologi. Registret har demonstrerat vinsterna för patienten med en allt bättre hälsa genom de nya biologiska läkemedlen, och med att andelen som får biologiska läkemedel ökar. Registret bidrar också till att antalet patienter som får rätt behandling vid första besöket successivt har ökat. I registret identifieras också vilka patienter som har en aktiv sjukdom och vilka som har en lugn och inaktiv sjukdom. På så vis kan vården anpassas efter vilken typ av besök patienten har behov av och med vilken
4 Regeringens skrivelse 20103/14:204, Riksrevisionens rapport om statens satsningar på nationella kvalitetsregister.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
497
frekvens. Detta bidrar till att patientens besöksfrekvens optimeras och att belastningen på vården därmed minskar.
Nationella kataraktregistret är det nationella registret för operationer av
grå starr. Operation av grå starr kan följas av en allvarlig men sällan förekommande inflammation. Sedan 1997, då Nationella kataraktregistret började samla patientdata för denna inflammation, fram till 2009, har det skett en kraftig minskning av antalet fall av inflammationen. Landstingsgenomsnittet för antalet fall låg 2009 på samma nivå som för den högst rankade ögonkliniken i USA. Detta skedde genom att riskfaktorer och bästa praxis kunde identifieras genom registret.
BPSD-registret hanterar beteendemässiga och psykiska symtom vid
demens, dvs. förändrade beteenden som är belastande för omgivningen och psykiska symtom som är belastande för individen. Förekomst av BPSD kan ses som ett mått på livskvalitet för personen med demenssjukdom. Syftet med registret är att kvalitetssäkra omvårdnaden av personer med demenssjukdom och att uppnå ett likvärdigt omhändertagande av denna patientkategori över hela landet. Genom registret har ett systematiskt arbetssätt med förbättrat bemötande vid beteendemässiga symptom vid demens visat sig göra stor skillnad för dessa patienter. Sådana systematiska bedömningar har ökat dramatiskt mellan 2011 och 2013.
17.2.2 Kort om regelverket och dess framväxt
Nationella kvalitetsregister har omfattats av ett antal olika regleringar genom åren. För register som startades före 24 oktober 1998 tillämpades t.o.m. 30 september 2001 sådana tillstånd med föreskrifter som meddelats med stöd av den då gällande datalagen. Normalt sett innebar det att det ställdes krav på att information skulle lämnas om registret och om att registreringen var frivillig. Sådana föreskrifter kan sägas ha medfört ett krav på den enskildes samtycke till registreringen av uppgifter.
För register som startades från och med den 24 oktober 1998 gällde däremot personuppgiftslagen (1998:204), förkortad PUL, vilken sedan blev tillämplig för samtliga nationella och regionala kvalitetsregister från 1 oktober 2001. Under den tid personuppgiftslagens tillämpades, dvs. åtminstone mellan oktober 2001 och juli 2009, bedömdes behandling av personuppgifter i kvalitetsregister vara tillåten utan samtycke från den registrerade patienten.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
498
Den bedömningen gjordes bl.a. av Datainspektionen, i en rapport om nationella kvalitetsregister.5
Samtidigt framförde Datainspektionen att behandlingen av personuppgifter i kvalitetsregister är så pass omfattande och rör så pass integritetskänsliga uppgifter att det finns starka skäl för att låta de nationella kvalitetsregistren omfattas av en särskild registerlagstiftning. Patientdatalagen kom sedan att bli den registerlagstiftning som sedan 1 juli 2009 har gällt fullt ut för personuppgiftsbehandling i nationella och regionala kvalitetsregister.
I direktiven till patientdatautredningen angavs att utredningen skulle utgå från att det skulle ställas krav på ett uttryckligt och informerat samtycke till behandling av personuppgifter i nationella kvalitetsregister, men samtidigt analysera konsekvenserna av att registreringen inte blir heltäckande om samtycke krävs. Utredningen tog i den delen hänsyn till att ett samtyckeskrav av olika skäl skulle kunna medföra ett så stort bortfall i registreringen att registrens betydelse för kvalitetssäkringsarbetet och till och med fortsatta drift skulle äventyras.
Vidare anförde utredningen bl.a. att vårdgivare enligt 31 § HSL är skyldiga att kvalitetssäkra sin verksamhet och att analyser av sammanställda personuppgifter i vårddokumentationen är en viktig metod i denna verksamhet vars samhällsnytta torde vara obestridlig. En hög täckningsgrad konstaterades vara helt avgörande för tillförlitligheten i registren.6.
Bland annat mot den bakgrunden avfärdade utredningen ett samtyckeskrav för registrering. Samtidigt ansåg utredningen att patienter borde ha någon form av inflytande. Med hänvisning bl.a. till grundläggande bestämmelser i hälso- och sjukvårdslagen om patientens medbestämmanderätt och med tanke på att vårdgivarens deltagande i kvalitetsregister inte är en författningsreglerad skyldighet, föreslogs i stället den nu gällande rätten för patienten att motsätta sig registreringen.
Kort om nuvarande regelverk
I det särskilda regelverket för kvalitetsregister i 7 kap. PDL finns ett antal bestämmelser som särskilt syftar till att balansera behovet av integritetsskydd mot behovet av en ändamålsenlig utveckling av
5 Datainspektionens rapport 2002:1. 6SOU 2006:82Patientdatalag, s. 454.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
499
hälso- och sjukvårdens kvalitet. Ett grundläggande krav för att få registrera uppgifter i ett nationellt kvalitetsregister är att patienten inte motsatt sig det. Det är således fråga om samma förutsättningar för s.k. opt-out som gäller vid sammanhållen journalföring. För att den enskilde ska kunna tillvarata sin rätt att ta ställning till medverkan i den verksamhetsuppföljning som görs i ett kvalitetsregister är den personuppgiftsansvarige skyldig att, innan uppgifterna registreras, lämna patienten utförlig information om den hantering av personuppgifter som gäller för det aktuella kvalitetsregistret.
Vidare anger de grundläggande ändamålsbestämmelserna på ett uttömmande sätt för vilka syften personuppgifter i kvalitetsregister får behandlas. Som primärt syfte anges i 7 kap. 4 § PDL att personuppgifter får behandlas för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Det är vidare endast de personuppgifter som just behövs för detta ändamål som får finnas i ett kvalitetsregister (7 kap. 8 §). Uppgifter som behövs och som behandlas för kvalitetssäkring får sedan även behandlas för statistikframställning och forskning. Det ska dock observeras att ändamålet forskning inte utgör något undantag från etikprövningslagen (2003:460) och dess krav på etikprövning då forskning innefattar behandling av känsliga personuppgifter.7Det innebär i dag att all forskning som har för avsikt att ske med hjälp av uppgifter i nationella kvalitetsregister måste underkastas etikprövningsnämndens bedömning.
Av hänsyn till enskildas behov av integritetsskydd får uppgifter, enligt 7 kap. 5 § PDL, lämnas ut från kvalitetsregister endast till en mottagare som själv ska behandla uppgifterna för kvalitetssäkring, statistikframställning eller forskning. Ett sådant utlämnande måste dock som alltid föregås av en prövning om uppgifterna över huvud taget får lämnas ut med hänsyn till hälso- och sjukvårdssekretessen. Enligt sistnämnda bestämmelse får utlämnande också ske för att fullgöra eventuell uppgiftsskyldighet.
Till skillnad mot vad som i övrigt gäller för vårddokumentation m.m. får uppgifter i kvalitetsregister inte behandlas för några andra ändamål än de uppräknade. Personuppgiftslagens finalitetsprincip gäller således inte för personuppgiftsbehandling i kvalitetsregister. Regeringen bedömde i propositionen att denna modell med uttömmande ändamålsuppräkning och specifikt tillåtna utlämnanden
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
500
innebär ett starkt integritetsskydd för den enskilde. Utredningen delar den uppfattningen och bedömer att regelverket på ett bra sätt ger uttryck för behovet av balans mellan de olika intressen som gör sig gällande. Av det skälet är det viktigt att uppgifter i kvalitetsregister inte i senare skeden får användas för andra än de uppräknade ändamålen.
17.3 Reflektioner kring möjligheterna att använda patientuppgifter i lokalt kvalitetsarbete
Frågan om det är tillåtet för en yrkesutövare inom hälso- och sjukvården att del av uppgifter för att följa upp utfallet för en patient yrkesutövaren vårdat har debatterats under de senaste åren. Röster har höjts för att lagstiftningen borde ändras och det har spridits en osäkerhet och otrygghet hos personalen om vad som egentligen gäller. Vår uppfattning är att osäkerheten till stor del bottnar i en okunskap om lagstiftningens möjligheter och i en avsaknad av aktiv rättstillämpning från vårdgivarnas sida. Vi bedömer generellt att möjligheterna att ta del av personuppgifter i vårdgivarens egen verksamhet är stora. För utbyte av information över vårdgivargränser i syfte att säkra och utveckla kvaliteten i verksamheten gäller delvis andra förutsättningar. Genom våra förslag med ökade möjligheter till informationsutbyte mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för kommer dock enligt vår bedömning att ge bättre förutsättningar att utveckla verksamhetens kvalitet jämfört med vad som är fallet i dag.
Som redovisats ovan fullgör vårdgivare sitt ansvar för att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten genom en antal olika aktiviteter, som alla tillsammans bidrar till en övergripande systematik och en struktur för ledning av kvalitetsarbetet. Att ta del av patientuppgifter för att säkra och följa upp vårdens resultat är endast en av många saker som görs inom ramen för det systematiska kvalitetsarbetet.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
501
Hälso- och sjukvårdspersonalens ansvar för kvaliteten
Enligt hälso- och sjukvårdslagstiftningen har den som tillhör hälso- och sjukvårdspersonalen ett personligt yrkesansvar och ska bland annat bidra till att hög patientsäkerhet upprätthålls. Hälso- och sjukvårdspersonalen ska utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet. Patienten ska ges sakkunnig och omsorgsfull hälso- och sjukvård som uppfyller dessa krav. Vården ska så långt som möjligt utformas och genomföras i samråd med patienten. Patienten ska visas omtanke och respekt.
Det innebär enligt utredningen ett ständigt lärande att arbeta inom hälso- och sjukvården. Hälso- och sjukvårdspersonalen behöver kontinuerligt få återkoppling på sina egna och andras bedömningar och insatser för att bli bättre yrkesutövare och på så sätt öka säkerheten och kvaliteten i vården. För att utveckla sin kliniska förmåga kan det vara nödvändigt att följa upp hur det gick för patienten. Utan att veta vad man gör och vilket resultat det medför för patienterna är det inte möjligt att bedriva ett systematiskt kvalitetsarbete. En sådan uppföljning är också ett sätt att visa omtanke och respekt för patienten.
Ett sätt att arbeta med kvalitet är att följa upp de bedömningar och insatser som görs, för att på sådant sätt få underlag för att initiera förbättringsarbeten m.m. Att personal som deltagit i vården av en patient följer upp sina egna bedömningar och insatser är därför många gånger en naturlig utgångspunkt för ett systematiskt och fortlöpande kvalitetsarbete. Ur ett medborgarperspektiv har patienter och närstående även rätt att förutsätta att läkare, sjuksköterskor, sjukgymnaster, barnmorskor och tandläkare med flera vet vilka resultat de är med och skapar för sina patienter.
17.3.1 Lagstiftningen ger möjligheter till kvalitetssäkring och kvalitetsutveckling
Av patientdatalagen följer bland annat att uppgifter om patienter får användas för att ”systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten” (2 kap. 4 § punken 4 PDL). Detta syfte knyter an till vårdgivarens grundläggande skyldighet enligt hälso- och sjukvårdslagen att vara aktiv inom detta område. Vi har i det föregående föreslagit att den grundläggande bestämmelsen om
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
502
tillåtna ändamål i 2 kap. 4 § PDL förs över till hälso- och sjukvårdsdatalagen.
Vidare får den som arbetar hos en vårdgivare ta del av uppgifter om en patient antingen om yrkesutövaren deltar i vården av patienten eller av ”annat skäl behöver uppgifterna för sitt arbete” (4 kap. 1 § PDL). Ett exempel på ett sådant annat skäl är just att personal kan behöva ta del av uppgifter för sitt arbete med att kvalitetssäkra sina insatser och bedömningar m.m. Även denna bestämmelse föreslår vi ska överföras till den föreslagna lagen, dock med vissa justeringar av språklig karaktär.
Detta innebär att det på en generell nivå är tillåtet för personal att ta del av patientuppgifter för att följa upp, säkra och utveckla kvaliteten i verksamheten. I lagen anges dock inte närmare hur detta ska gå till. Patientdatalagen är i detta avseende, precis som annan lagstiftning på hälso- och sjukvårdens område, en ramlag. Tanken bakom valet av denna lagstiftningsteknik är att det är svårt för lagstiftaren att detaljreglera en sådan komplex verksamhet som hälso- och sjukvården. Därför måste lagarna fyllas ut av föreskrifter och vägledning på myndighetsnivå. Men även sådana riktlinjer är ofta inte tillräckligt verksamhetsnära för att ge bra vägledning. Lagstiftningen måste också få ett konkret innehåll genom en aktiv tillämpning av de som ska använda lagstiftningen, det vill säga vårdgivare och hälso- och sjukvårdspersonal. Ett exempel på ett sådant område är just kvalitetssäkring och kvalitetsutveckling. Här finns ett behov av en aktiv tillämpning som resulterar i verksamhetsnära riktlinjer för hur respektive vårdgivare vill arbeta med att säkra och utveckla kvaliteten i verksamheten.
Kvalitetsarbetet kan göras på många olika sätt och på olika nivåer, men det ställs krav på en systematik i arbetet. Att ta del av personuppgifter för kvalitetssäkring ska ha stöd i medarbetares uppdrag och vårdgivarens riktlinjer.
Behov av riktlinjer för det systematiska kvalitetsarbetet
Patientdatalagen gör det möjligt för vårdgivare att använda patientuppgifter för att följa upp, säkra och utveckla kvaliteten i verksamheten. Det är dock inte i detalj reglerat hur det ska göras, vilken personal som ska göra det eller vilka uppgifter som behöver användas. Här förlitar sig lagstiftaren på kompetensen som finns hos hälso- och sjukvårdens aktörer. Det är där kunskapen finns om
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
503
hur man på bästa sätt mäter, följer och utvecklar kvaliteten i verksamhetens olika delar. I vårdgivarens ansvar för att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten ligger alltså även ett ansvar för att närmare avgöra hur det ska gå till, samt vilka uppgifter om vilka patienter som behöver användas och hur kunskap ska återföras till verksamheten.
Att använda patientuppgifter inom ramen för vårdgivarens systematiska kvalitetsarbete kan ske på en många olika sätt. Det kan handla såväl om att de enskilda yrkesutövarna kontinuerligt följer upp resultaten av sina bedömningar och åtgärder som att vårdgivaren initierar särskilt inriktade kvalitetsarbeten med fokus på avgränsade delar av verksamheten t.ex. en viss process eller en viss intervention.
I den allmänna debatten hörs ibland att enskilda yrkesutövares uppföljning av enstaka patienter inte skulle vara ett sådant systematiskt kvalitetsarbete som lagstiftaren angett i hälso- och sjukvårdslagen och patientdatalagen. Utredningens uppfattning är dock att sådana åtgärder mycket väl kan utgöra en del av vårdgivarens arbete med att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten. Sådan kvalitetssäkring som görs när den som deltagit i vården av patienten följer upp resultatet av sina bedömningar och åtgärder blir tillsammans med övriga yrkesutövares motsvarande uppföljningar av patienter ett omfattande och ständigt pågående kvalitetsarbete.
Genom att formulera närmare riktlinjer för hur kvalitetsarbetet ska gå till uppnås även en tydlig systematik. Systematiken handlar i detta fall bland annat om att avgöra vad som ska följas upp, när det ska göras, hur det ska göras, vem som ska göra det, vilka uppgifter som är relevanta för uppföljningen samt hur erfarenheterna ska återföras. Om exempelvis en vårdgivares akutläkare har som rutin att efter en bedömning av blindtarm följa upp detta när patienten flyttats för vidare vård och behandling på avdelning uppnås en systematik. Om respektive akutläkare även noterar de variationer som tydliggörs vid uppföljningen och vårdgivaren sedan tillhandahåller möjligheter för gemensam återföring till verksamheten uppnås en ännu tydligare struktur för ett ständigt förbättringsarbete för ökad kvalitet.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
504
Riktlinjerna bör vara verksamhetsnära
Rutiner och riktlinjer för kvalitetsarbetet behöver utformas nära och tillsammans med professionsföreträdare för respektive verksamhet. Det går säkert att ha en övergripande riktlinje på vårdgivarnivå som generellt beskriver hur man arbetar med kvalitetssäkring, men sannolikt behöver den sedan konkretiseras i respektive verksamhet. Åtminstone om vi ser framför oss en effektiv uppföljning med förutsättningar för jämförelser och bredare slutsatser.
Systematiken, det vill säga när uppföljning ska ske och vilka uppgifter som behövs, kan skilja sig åt beroende på verksamhetens karaktär, till exempel akutsjukvård, anestesi- och intensivvård jämfört med psykiatri, reumatologi och så vidare. Den kan också skilja sig åt beroende på enskilda yrkesutövares kompetens och erfarenhet. På samma sätt kan formerna för återföring av erfarenheter och kunskap variera. Den gemensamma faktorn är dock alltid behovet av att följa upp och säkra kvaliteten.
Riktlinjerna bör enligt utredningens uppfattning inte beskriva vad personalen får göra, utan vad vårdgivaren förväntar sig att personalen ska göra. Det skapar sannolikt en ökad förutsebarhet och en ökad trygghet för hälso- och sjukvårdspersonalen. Utan tydliga riktlinjer riskerar enskilda yrkesutövares ansträngningar att följa upp hur det går för patienterna även att bedömas som otillåtna. Det berättigade intresset från patienter, närstående, kollegor och ledning är att kvaliteten i verksamheten ständigt följs upp och utvecklas.
It-systemen bör utvecklas
För att arbetet med att följa upp, säkra och utveckla verksamhetens kvalitet ska bli så effektiv och ändamålsenlig som möjligt, samtidigt som patienternas behov av integritetsskydd tillgodoses, behöver sannolikt även it-systemen i hälso- och sjukvården utvecklas. Det bör exempelvis i större utsträckning än i dag vara möjligt för personal att ta del av de uppgifter om patienterna som behövs för kvalitetssäkringen utan att samtidigt bli exponerad för information som inte är relevant i sammanhanget. Genom att ta fram verksamhetsnära riktlinjer som så långt som möjligt ger vägledning kring vad som ska följas upp och hur det ska gå till borde förutsätt-
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
505
ningarna att utveckla ändamålsenliga funktioner i it-systemen bli bättre.
Mycket av den systematik som saknas i kvalitetsarbetet på den verksamhetsnära nivån finns redan på en nationell och regional nivå genom de nationella kvalitetsregistren. I de registren har hälso- och sjukvården tagit ställning till vad som ska mätas, vilka uppgifter som behövs för att göra det, hur det ska göras, vilka mätpunkter och uppföljningsintervall som ska gälla, vilka patientrapporterade utfallsmått som ska användas och vilken personal som ska ha tillgång till uppgifterna etc. Till skillnad från verksamhetens journalsystem, som kan innehålla information som inte har relevans för personalens behov vid kvalitetssäkringen, har även systemstöd för respektive register byggts upp. Det gör det möjligt för personalen att endast ta del av det som behövs i det enskilda fallet. Förutom att det möjliggör en mer effektiv och kvalitetssäkrad uppföljning är det självklart även positivt för patienterna ur ett integritetsperspektiv.
17.4 Våra överväganden och förslag rörande nationella kvalitetsregister
17.4.1 Bestämmelser om nationella kvalitetsregister förs över till hälso- och sjukvårdsdatalagen
Vårt förslag: Stora delar av nuvarande 7 kap. patientdatalagen
om nationella och regionala kvalitetsregister förs över oförändrade till hälso- och sjukvårdsdatalagen. Det rör inledande bestämmelser om kvalitetsregister samt bestämmelserna om den enskildes inställning till registreringen, information, kvalitetsregisters ändamål, personuppgifter som får behandlas samt bevarande och gallring.
Vi bedömer att stora delar av det nuvarande regelverket i 7 kap. patientdatalagen om nationella och regionala kvalitetsregister bör föras över oförändrade till hälso- och sjukvårdsdatalagen. Det innebär bland annat att den inledande bestämmelsen om kvalitetsregisters innebörd överförs till den nya lagen.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
506
Bestämmelsernas tillämpningsområde
Precis som i dag föreslås särskilda bestämmelser gälla för nationella och regionala kvalitetsregister, men inte för lokala register. Vi föreslår att den grundläggande bestämmelsen om tillämpningsområdet för det särskilda regelverket om nationella och regionala kvalitetsregister förs över oförändrad till hälso- och sjukvårdsdatalagen. Regeringen motiverade bestämmelsernas tillämpningsområde i förarbetena till patientdatalagen på följande sätt.8
Datoriserade register vari lagras känsliga personuppgifter som härrör från ett flertal vårdgivares patientverksamhet får anses som mer integritetskänsliga än lokala motsvarigheter. Det finns därför anledning att kringgärda den aktuella personuppgiftshanteringen med vissa specialbestämmelser rörande några för integritetsskyddet viktiga förhållanden. En tydligare reglering genom specialbestämmelser kan också ha den goda effekten att allmänhetens förtroende för registerverksamheten bevaras på en hög nivå. Av samma skäl kan en reglering i bästa fall motverka bortfall genom att enskilda patienter blir mindre benägna att utnyttja rätten att motsätta sig registrering i ett nationellt eller regionalt kvalitetsregister.
Vi delar regeringens bedömning och finner ingen anledning att i dagsläget förändra utgångspunkten för reglernas tillämpningsområde. Personuppgiftsbehandling i lokala kvalitetsregister inom vårdgivarnas verksamheter omfattas därmed inte av de föreslagna särbestämmelserna, utan regleras i stället av hälso- och sjukvårdsdatalagens grundläggande ändamålsbestämmelse m.m. För att särskilja nationella och regionala kvalitetsregister från lokala motsvarigheter ska därför av hälso- och sjukvårdsdatalagen, som i dag, framgå att särbestämmelserna endast gäller för ett kvalitetsregister till vilket personuppgifter från flera vårdgivare samlats in och som möjliggör jämförelser inom hälso- och sjukvården på nationell respektive lokal nivå.
Vidare ska förtydligas att bestämmelserna för nationella och regionala kvalitetsregister gäller oberoende av vilka kvalitetsregister som i finansiellt hänseende m.m. är etablerade som nationella kvalitetsregister.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
507
Betydelsen av den enskildes inställning
Vi föreslår att den nuvarande bestämmelsen om att personuppgifter inte får behandlas i ett nationellt eller regionalt kvalitetsregister om den enskilde motsätter sig det, förs över oförändrad till hälso- och sjukvårdsdatalagen. Vi föreslår således att patienten även fortsättningsvis ska ha en rätt att motsätta sig registrering, men att det inte ska krävas något samtycke till registreringen.9Bestämmelsen ger även patienten en rätt att på begäran få uppgifter utplånade ur ett nationellt eller regionalt kvalitetsregister.
Information
Vidare föreslår vi att nuvarande bestämmelse om att patienten ska få information om personuppgiftsbehandlingen i nationella och regionala kvalitetsregister ska överföras till hälso- och sjukvårdsdatalagen. Bestämmelsen innebär att den som är personuppgiftsansvarig har ett ansvar för att, innan uppgifter behandlas i registret, se till att patienten får information om rätten att när som helst få uppgifter om sig själv utplånade ur registret, i vilken utsträckning personuppgifter inhämtas från någon annan källa än patienten själv eller dennes patientjournal och vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till. Dessutom ska informationen innehålla de uppgifter som enligt den allmänna informationsbestämmelsen i nuvarande 8 kap. 6 § PDL ska lämnas.
Som huvudregel gäller att information ska lämnas innan personuppgiftsbehandlingen börjar, men om det inte är möjligt ska informationen lämnas så snart som möjligt därefter. Detta innebär således att det i vissa fall är möjligt att inleda en personuppgiftsbehandling innan informationsinsatsen har kunnat genomföras. I förarbetena till bestämmelsen anförde regeringen bland annat följande.10
Inom hälso- och sjukvården uppstår inte sällan situationer då information inte kan lämnas på ett tidigt stadium, t.ex. då patientens hälsotillstånd omöjliggör att information lämnas om en personuppgiftsbehandling. Det kan exempelvis bero på att patienten är medvetslös eller alltför fysiskt eller psykiskt medtagen för att kunna ta till sig information av det slag som här avses. Sådana situationer bör inte förhindra att personuppgiftsbehandlingen ändå påbörjas. I annat
9 För förarbetsuttalanden se Prop. 2007/08:126 s. 186–189. 10Prop. 2007/08:126 s. 191.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
508
fall torde t.ex. integrering av elektronisk journalföring och rapportering till kvalitetsregister i många fall försvåras eller till och med omöjliggöras. Undantag föreslås därför gälla, för nationella och regionala kvalitetsregister, i situationer då informationen inte kan lämnas på ett så tidigt stadium. I en sådan situation ska informationen i stället lämnas så snart som möjligt.
Vidare bör förtydligas att det primärt är den vårdgivare som står i begrepp att registrera uppgifter om en patient i ett nationellt kvalitetsregister som ska leva upp till informationsplikten. Informationen ska även innehålla uppgifter om den personuppgiftsbehandling som görs av den myndighet som är personuppgiftsansvarig för central behandling av personuppgifter för det aktuella kvalitetsregistret. Det innebär bland annat att informationen måste innehålla uppgift om vilken myndighet som har det centrala personuppgiftsansvaret och vad som gäller ifråga om den enskildes rättigheter i förhållande till myndigheten, exempelvis i frågor om registerutdrag och utplåning.
När det gäller det närmare innehållet i informationen har Datainspektionen tagit fram ett exempel som finns tillgängligt på www.kvalitetsregister.se. Där återfinns även ett antal andra exempel på hur informationen kan utformas.
Från integritetssynpunkt är det viktigt att patienten tillhandahålls utförlig information om den behandling av personuppgifter som registrering i ett nationellt kvalitetsregister innebär. Informationen behövs för att patienten ska bli medveten om rätten att motsätta sig medverkan och i övrigt kunna ta tillvara sina rättigheter. Det finns en mängd olika tänkbara tillvägagångssättet för att informera patienter om nationella kvalitetsregister. Det finns inget krav på att informationen ska lämnas på ett särskilt sätt, t.ex. skriftligt. Det är upp till varje vårdgivare att bestämma hur informationen ska ges. Informationen ska dock vara utformad på ett sätt som kan förstås av patienten och som uppfyller kraven på innehåll enligt lagen. Att inte tillhandahålla information skriftligt kan dels innebära risker för att all information inte lämnas, dels medföra svårigheter för vårdgivare att se till att alla patienter får samma information. Sedan är det naturligtvis svårare att vid behov bevisa vilken information som lämnas ifall det inte görs skriftligen.
Vårdgivare behöver anpassa tillvägagångssättet att informera efter verksamhetens förutsättningar och patienternas situation. Det är i allmänhet inte tillräckligt att vårdgivaren endast informerar på internet eller genom broschyr eller annat anslag i väntrum, om inte
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
509
detta kompletteras med någon form av hänvisning till patienten att ta del av informationen. Det får däremot bedömas som fullt möjligt för vårdgivare att informera genom flera typer av insatser som tillsammans gör att patienten kan få del av det fullständiga informationsinnehållet. Som exempel kan nämnas att patienten i en kallelse till en vårdgivare med en kortfattad information görs uppmärksam på ett nationellt kvalitetsregister och rätten att motsätta sig samt att det vid besöket hos vårdgivaren finns fullständig information för patienten att ta del av.
Eftersom hänsyn ska tas till den enskilde patientens möjligheter att tillgodogöra sig informationen kan vårdgivaren även behöva olika informationsrutiner för olika situationer. Tillvägagångssättet för att informera patienter kan även skilja sig åt mellan olika typer av verksamheter hos en vårdgivare, bland annat beroende på hur många kvalitetsregister som är relevanta i olika verksamheter. Vårdgivarena kan därför behöva utforma rutiner som är anpassade efter förutsättningarna i respektive verksamhet.
Sammantaget finns inget krav på att patienten måste ha tagit del av informationen om ett kvalitetsregister, men vårdgivaren ska ha gjort patienten uppmärksam på att informationen finns och var den finns samt om att registrering görs för det fall patienten inte motsätter sig. Det är sedan upp till den enskilde patienten att själv avgöra om informationen ska läsas eller inte. Om patienten haft möjlighet att ta del av fullständig information och därefter inte motsatt sig medverkan i registret genom att meddela vårdgivaren det, får vårdgivaren inkludera patientens personuppgifter i det nationella kvalitetsregistret.
Vid Datainspektionens omfattande tillsyn över nationella kvalitetsregister år 2010 framkom stora brister i informationen till patienterna. Informationen var bland annat ofullständig ifråga om vem som var personuppgiftsansvarig och om patienternas rättigheter i flera avseenden. Datainspektionen konstaterade även att det inte är tillräckligt endast med en informationsblankett i väntrum, utan att patienterna även måste uppmärksammas att ta del av informationen.11 Sedan tillsynsinsatsen har framkommit att vårdgivare, företrädare för nationella kvalitetsregister, registercentra och Sveriges Kommuner och landsting drivit ett arbete för att ta fram korrekta och fullständiga patientinformationer. Även om utredningen inte med någon exakthet kan bedöma hur de ser ut
11 Bland annat Datainspektionens beslut 2010-10-11, dnr 1604-2009, 1605-2009, 1606-2009 och 1725-2009.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
510
i dag, är vår uppfattning att medvetenheten om regelverkets krav och vilka åtgärder som är nödvändiga att vidta har ökat bland vårdgivare. Vi har även i samband med konferenser och i möten med s.k. registerhållare för nationella kvalitetsregister fått information som visar på att frågorna prioriterats och att förståelsen för patientinformationen som en grundläggande och integritetsskyddande rättighet är stor.
Kvalitetsregisters ändamål
Vi föreslår att de nuvarande bestämmelserna i 7 kap. patientdatalagen om kvalitetsregisters ändamål förs över oförändrade till hälso- och sjukvårdsdatalagen. Det innebär att det primära ändamålet ska vara att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet och att personuppgifter som behandlas för det ändamålet sedan får behandlas för några uttryckligen angivna sekundära ändamål, t.ex. statistikframställning och forskning. Även bestämmelsen i 7 kap. 6 § PDL som anger att personuppgifter i nationella och regionala kvalitetsregister inte får behandlas för något annat ändamål än de som framgår i 7 kap. ska överföras till hälso- och sjukvårdsdatalagen. I sammanhanget bör dock noteras att det kommer att vara möjligt att behandla personuppgifter för andra ändamål, om ett särskilt och uttryckligt samtycke till det föreligger från patienten. Det framgår även av nuvarande bestämmelser om verkan av den enskildes samtycke i patientdatalagen.12
Personuppgifter som får behandlas
Vidare föreslår vi att nuvarande bestämmelse om vilka personuppgifter som får behandlas i ett nationellt eller regionalt kvalitetsregister förs över till hälso- och sjukvårdsdatalagen. Det innebär att endast sådana personuppgifter som behövs för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet får behandlas i ett nationellt kvalitetsregister. Vidare ska utgångspunkten vara att i första hand behandla personuppgifter som endast indirekt kan hänföras till enskilda patienter. Uppgift om personnummer eller namn får således behandlas endast om det inte är tillräckligt för
12Prop. 2007/08:126 s. 66 och 181.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
511
ändamålet med registret att använda kodade personuppgifter eller indirekt utpekande uppgifter.
För många nationella kvalitetsregister finns behov av att behandla uppgift om patienternas personnummer. Det kan bland annat behövas för att kunna följa patientens utveckling över tid eller samköra uppgifter med andra register, t.ex. något av Socialstyrelsens hälsodataregister. Det får däremot betraktas som mer sällsynt att uppgift om patienternas namn behöver finnas med i nationella kvalitetsregister. Vid Datainspektionens omfattande tillsyn över nationella kvalitetsregister år 2010 framkom att flera vårdgivare behandlade uppgift om patienternas namn i nationella kvalitetsregister utan att ha något egentligt behov av det. Utredningen har i sina kontakter med företrädare för nationella kvalitetsregister blivit informerad om att många vårdgivare och kvalitetsregister sett över sina rutiner för att registrera namn och att de flesta nu har upphört med att göra det.
Bevarande och gallring
Utredningen föreslår att nuvarande bestämmelse om bevarande och gallring av uppgifter i nationella och regionala kvalitetsregister förs över oförändrade till hälso- och sjukvårdsdatalagen. Som huvudregel ska personuppgifter därmed gallras när de inte längre behövs för ändamålet att utveckla och säkra vårdens kvalitet. Vidare följer av bestämmelsen att en arkivmyndighet inom ett landsting eller en kommun får föreskriva att personuppgifter i ett kvalitetsregister som förs inom landstinget eller kommunen får bevaras för historiska, statistiska eller vetenskapliga ändamål. I förarbetena anförde regeringen bland annat följande med avseende på huvudregeln om att uppgifter ska gallras när de inte längre behövs för det ändamål för vilket de samlades in.13
Regeringen anser inte att detta är en tillfredsställande lösning för personuppgifter i nationella och regionala kvalitetsregister. En motsatt utgångspunkt bör enligt regeringens uppfattning i stället gälla, dvs. att personuppgifterna ska gallras då de inte längre behövs för det primära ändamålet med ifrågavarande kvalitetsregister, att systematiskt och fortlöpande säkra och utveckla hälso- och sjukvårdens kvalitet. Även i kvalitetsregister som förs fortlöpande och fylls på med nya personuppgifter, ska gallring regelbundet ske av äldre uppgifter så snart de inte längre behövs för verksamheten. Det är regeringens mening att detta
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
512
förslag balanserar önskemålet om att skydda den enskildes integritet gent-emot behovet av att kunna genomföra långsiktig uppföljning.
Från huvudregeln finns således ett undantag som ger den för registret aktuella arkivmyndigheten en möjlighet att meddela föreskrifter om att uppgifterna ska bevaras för historiska, statistiska eller vetenskapliga syften. Det bör noteras att frågan om bevarande ankommer på arkivmyndigheten hos den myndighet som har personuppgiftsansvar för central behandling av personuppgifter, inte på respektive inrapporterande vårdgivare.
17.4.2 Patientens möjlighet att bidra med uppgifter i registreringen
Vår bedömning: En patient kan, med stöd av vårdgivarens
anvisningar, bidra med uppgifter till ett nationellt kvalitetsregister genom att exempelvis fylla i elektroniska formulär som vårdgivaren tillhandahåller.
Under utredningens arbete har frågan väckts om det är möjligt för patienter att elektroniskt bidra med uppgifter i nationella kvalitetsregister. Enligt utredningens bedömning är den vårdgivare som registrerar uppgifter i ett kvalitetsregister ansvarig för vilka uppgifter som samlas in och har själv att bestämma formerna för detta. Om vårdgivaren anser att uppgifter som patienten bidrar med är av värde för ändamålet med det nationella kvalitetsregistret kan vårdgivaren bestämma om detta och hur det ska gå till.
Att patienter med hjälp av den tekniska utvecklingen elektroniskt kan bidra med uppgifter till ett nationellt kvalitetsregister innebär emellertid inte att patienten har någon ovillkorlig möjlighet eller rätt att på eget initiativ registrera uppgifter i ett kvalitetsregister. Däremot kan vårdgivare i sina rutiner för att inhämta den information som behövs för kvalitetsutvecklingen av hälso- och sjukvården, tillhandahålla definierade möjligheter för patienten att bidra med viktig information. På samma sätt som att en vårdgivare kan be en patient att fylla i en pappersenkät som sedan manuellt registreras i ett kvalitetsregister, kan en patient tillhandahållas ett elektroniskt formulär som efter vårdgivarens anvisning kan fylls i av patienten och elektroniskt överföras till det aktuella kvalitetsregistret. Samtidigt ska uppmärksammas att det, både ur ett
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
513
kvalitets- och ett integritetsperspektiv, är viktigt att sådana elektroniska formulär som patienter kan fylla i utformas på ett sådant sätt att det så långt möjligt endast är de efterfrågade uppgifterna som kan registreras.
En vårdgivare som ger patienter möjlighet att bidra med uppgifter elektroniskt behöver även vidta säkerhetsåtgärder för att skydda uppgifterna från obehörig åtkomst, t.ex. genom att se till att en överföring över internet är krypterad. Även med hänsyn till behovet av tillförlitliga uppgifter och hög datakvalitet i ett nationellt kvalitetsregister kan vårdgivare ha anledning att vidta särskilda åtgärder. Det kan exempelvis handla om att säkerställa att det är den avsedda patienten som bidrar med information till kvalitetsregistret. Något som kan göras exempelvis genom att patienten identifierar sig med e-legitimation eller motsvarande.
17.4.3 Tydligare bestämmelser om personuppgiftsansvar för nationella kvalitetsregister
Vårt förslag: Bestämmelsen om personuppgiftsansvar ska i
hälso- och sjukvårdsdatalagen delas upp i två olika paragrafer för att tydliggöra personuppgiftsansvaret för inrapporterande vårdgivare och personuppgiftsansvaret för central behandling av personuppgifter. Nuvarande möjlighet för regeringen att besluta om undantag från kravet att endast myndigheter kan vara personuppgiftsansvariga för central behandling av personuppgifter överförs till hälso- och sjukvårdsdatalagen.
Vår bedömning: Förslaget innebär inte några förändringar i sak,
utan förtydligar vad som gäller i dag.
Inledning
När personuppgifter registreras i ett kvalitetsregister innebär det att uppgifterna, såväl i offentlighets- och sekretesslagens (2009:400), förkortad OSL, som i personuppgiftslagens mening, lämnas ut från den inrapporterande vårdgivaren till den mottagande aktören. Personuppgiftsansvaret för den behandling av personuppgifter som föranleds av registrering i nationella kvalitetsregister kan därför sägas vara uppdelad på två nivåer, en lokal och en central
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
514
nivå. För den personuppgiftsbehandling som vårdgivare utför när de samlar in och registrerar uppgifter i ett nationellt kvalitetsregister, eller annars behandlar registrerade personuppgifter, är respektive vårdgivare själv personuppgiftsansvarig. I detta personuppgiftsansvar ingår att personuppgifterna behandlas i enlighet med patientdatalagens och offentlighets- och sekretesslagens krav, exempelvis på att information har tillhandahållits patienten, att patienten inte motsatt sig registrering och att uppgifterna är korrekta m.m.
För den centrala behandlingen av inrapporterande uppgifter från samtliga medverkande vårdgivare ansvarar emellertid en eller flera utpekade personuppgiftsansvariga. Av patientdatalagen följer att endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister. Det har fått till följd att det för varje nationellt kvalitetsregister har utsetts en centralt personuppgiftsansvarig myndighet, i de flesta fall en landstingsstyrelse eller en sjukhusstyrelse om sjukhuset är att betrakta som en egen myndighet. Enligt uppgifter från Sveriges Kommuner och Landsting, SKL, är personuppgiftsansvaret för central behandling av personuppgifter i dagsläget fördelat på 15 olika myndigheter inom 12 landsting och regioner. Dessa myndigheter är således ansvariga för ett eller flera nationella kvalitetsregister.
Till det centrala ansvaret hör exempelvis ansvar för övergripande säkerhetsfrågor, för att felaktiga uppgifter rättas, för att utplåning kan göras på patientens begäran, för att gallring och arkivering görs i enlighet med lagstiftningen m.m. I sammanhanget kan även nämnas att regeringen har en möjlighet att besluta om undantag från kravet att endast en myndighet får vara personuppgiftsansvarig för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister.
Sammantaget föreslår vi att det i hälso- och sjukvårdsdatalagen förs in två olika bestämmelser för att tydliggöra dessa två nivåer av personuppgiftsansvar.
Vårdgivares personuppgiftsansvar
Utredningen föreslår att det i kapitlet om nationella och regionala kvalitetsregister i hälso- och sjukvårdsdatalagen införs en bestämmelse som tydliggör att en vårdgivare är personuppgiftsansvarig för sin
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
515
behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister. Att vårdgivaren är personuppgiftsansvarig följer redan av lagens grundläggande bestämmelse om personuppgiftsansvar, men vi bedömer att det finns skäl att särskilt erinra om detta och uttrycka detta i anslutning till övriga bestämmelser om nationella kvalitetsregister. Datainspektionens tillsyn under 2010 visade att det fanns en okunskap kring vem som var personuppgiftsansvarig för vad i kvalitetsregistersammanhang. Även mot den bakgrunden finns det skäl att tydliggöra författningsregleringen.
Personuppgiftsansvaret omfattar, som i dag, bland annat ett ansvar för vårdgivaren att se till att patienterna får möjlighet att ta del av fullständig information om personuppgiftsbehandlingen, att det är rätt uppgifter om rätt patienter som behandlas, att personuppgifter inte behandlas om patienten har meddelat vårdgivaren att han eller hon motsätter sig medverkan samt att patienter som på grund av sitt hälsotillstånd inte har kunnat ta emot information innan personuppgiftsbehandlingen inleddes får information så fort det är möjligt. Vidare är vårdgivaren personuppgiftsansvarig för den behandling av personuppgifter som görs när vårdgivaren genom direktåtkomst tar del av redan inrapporterade uppgifter, exempelvis för att ta fram underlag för ett lokalt kvalitetssäkrings- och förbättringsarbete. Vårdgivaren är i denna del ansvarig för att det endast är behöriga användare hos vårdgivarens om kan ta del av uppgifter i de aktuella kvalitetsregistren och att uppgifterna endast används för de ändamål som är tillåtna.
Direktåtkomst till nationella kvalitetsregister får endast användas för sådana ändamål för vilka kvalitetsregistren är tillåtna. Det innebär i praktiken att direktåtkomsten får användas för att säkra och utveckla vårdens kvalitet, framställa statistik och lämna ut uppgifter i enlighet med lag eller förordning. Det går inte att uttömmande ange i vilka situationer det är tillåtet för en medarbetare hos en vårdgivare att ha direktåtkomst till uppgifter, men några konkreta exempel är för att:
• registrera uppgifter om patienter,
• för att kontrollera och validera registrerade uppgifter, t.ex. jämföra med patientjournalen,
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
516
• för att arbeta med vårdgivarens kvalitetssäkringsarbete, t.ex. göra sammanställningar och beräkningar som ger underlag för att kunna följa upp och jämföra medicinsk och annan kvalitet,
• för att framställa statistik, t.ex. för att informera allmänheten om vårdgivarens kvalitet och resultat, och
• för att kunna administrera ett lagligt utlämnande av uppgifter.
I sammanhanget kan förtydligas att ovanstående tar sikte på direktåtkomst till själva personuppgifterna. Tillgång till rena statistiska uppgifter och sammanställningar som registret genererar och som presenteras utan att de registrerades identitet röjs, föranleder en annan bedömning. Sådana uppgifter kan i regel tillhandahållas öppet och exempelvis publiceras för att informera allmänheten om verksamheten.
Personuppgiftsansvar för central behandling av personuppgifter
Vi föreslår att nuvarande bestämmelse om personuppgiftsansvar för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister förs över oförändrad till hälso- och sjukvårdsdatalagen. Det innebär även fortsättningsvis får endast myndigheter inom hälso- och sjukvården vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister. Vidare får regeringen besluta om undantag från detta.
I det centrala personuppgiftsansvaret ligger bland annat ett ansvar för den övergripande säkerheten kring det aktuella kvalitetsregistret, för att felaktiga uppgifter rättas och för att patienters begäran om utplånande av uppgifter tillgodoses. Uppgifter i ett nationellt kvalitetsregister ska skyddas på ett flertal olika sätt och generellt gäller samma krav på sekretess och skydd för uppgifter i kvalitetsregister som för uppgifter i patientjournaler. Den myndighet som har personuppgiftsansvar för central behandling av personuppgifter har bland annat ett ansvar för att beakta vad som gäller ifråga om utlämnande av personuppgifter. Inte sällan förekommer önskemål om att använda personuppgifter i kvalitetsregister för forskning inom hälso- och sjukvården. Det ankommer på den centralt ansvariga myndigheten att ha rutiner och arbetssätt som gör att rättsliga frågor om utlämnanden kan bedömas och att
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
517
beslutade utlämnanden kan administreras på ett sätt som överensstämmer med kraven på service i den offentliga förvaltningen.
Den myndighet som är personuppgiftsansvarig för central behandling av personuppgifter har även ansvar för att utlämnande genom direktåtkomst till inrapporterande vårdgivare görs på ett sätt som tillgodoser kraven på säkerhetsåtgärder för att skydda personuppgifterna. I samband med Datainspektionens tillsyn över nationella kvalitetsregister år 2010 uppmärksammades bland annat brister i tillvägagångssättet för utlämnande genom direktåtkomst. I flera nationella kvalitetsregister var det vid denna tidpunkt möjligt att ta del av uppgifter genom direktåtkomst över internet med hjälp av en inloggning med användarnamn och lösenord. Det är en otillräcklig säkerhetsnivå när det gäller åtkomst till känsliga personuppgifter om hälsa.
Bestämmelsen i 31 § personuppgiftslagen innebär enligt praxis från Datainspektionen att känsliga personuppgifter får lämnas ut via internet eller annat öppet nät endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering, exempelvis e-legitimation, engångslösenord eller motsvarande. Vidare följer av 2 kap. 5 § Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvård bl.a. att en vårdgivare som använder öppna nät för att hantera patientuppgifter har ansvar för att det finns rutiner som säkerställer att åtkomst till patientuppgifter föregås av stark autentisering. Innebörden av detta är att myndigheten med centralt personuppgiftsansvar måste se till att användares direktåtkomst till personuppgifter i nationella kvalitetsregister föregås av stark autentisering, exempelvis inloggning med SITHS-kort eller motsvarande.
Efter patientdatalagens ikraftträdande har fråga väckts om hur bestämmelsen som anger att endast myndigheter kan vara ansvariga för central behandling av personuppgifter i ett nationellt kvalitetsregister ska förhålla sig till sådana bolag där kommuner och landsting utövar ett rättsligt bestämmande inflytande. Frågan väcktes bland annat av Södersjukhuset AB i samband med ett tillsynsärende från Datainspektionen. På frågan om Södersjukhuset AB omfattas av begreppet myndighet i 7 kap. 7 § patientdatalagen anförde Datainspektionen bland annat följande.14
14 Datainspektionens beslut 2010-10-11, dnr 1606-2009.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
518
Till ledning för bedömningen kan regeringens följande uttalande i samband med den grundläggande bestämmelsen om personuppgiftsansvar i 2 kap. 6 § patientdatalagen tas (prop. 2007/08:126 Patientdatalag m.m. s. 230). ”Enligt förevarande paragraf är det emellertid inte landstinget eller kommunen som är personuppgiftsansvarig. Istället är det den myndighet, nämnd, som behandlar personuppgifterna som är personuppgiftsansvarig. Sådan myndighet omfattar också sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen (1980:100), d.v.s. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande.”
Den bestämmelse i sekretesslagen som regeringen hänvisar till ovan återfinns nu i 2 kap. 3 § OSL.
Mot ovanstående bakgrund gjorde Datainspektionen sedan följande bedömning i frågan.
Datainspektionen bedömer att Södersjukhuset, för det fall man är ett sådant aktiebolag som avses i 2 kap. 3 § offentlighets- och sekretesslagen, omfattas av begreppet myndighete både i 2 kap. 6 § patientdatalagen och i 7 kap. 7 §. Såvitt Datainspektionen kan bedöma utgör därför 7 kap. 7 § patientdatalagen inget hinder för Södersjukhuset att vara personuppgiftsansvarig för central behandling av personuppgifter i Auricula.
Utredningen ansluter sig till Datainspektionens bedömning. De skäl som regeringen anför till stöd för regleringen att enskilda verksamheter inte får vara personuppgiftsansvariga för central behandling av personuppgifter i nationella kvalitetsregister, gör sig inte gällande på samma sätt med avseende på enskilda verksamheter som bl.a. i sekretesshänseende är att jämställa med myndigheter. I sammanhanget bör dock uppmärksammas att bedömningen gäller just sådana bolag som avses i 2 kap. 3 § OSL, dvs. bolag där kommuner och landsting utövare ett rättsligt bestämmande inflytande genom att de ensamma eller tillsammans
1. äger aktier i ett aktiebolag eller andelar i en ekonomisk förening
med mer än hälften av samtliga röster i bolaget eller föreningen eller på någon annat sätt förfogar över så många röster i bolaget eller föreningen,
2. har rätt att utse eller avsätta mer än hälften av ledamöterna i
styrelsen för ett aktiebolag, en ekonomisk förening eller en stiftelse, eller
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
519
3. utgör samtliga obegränsat ansvariga bolagsmän i ett handels-
bolag.
Vidare ska, vid tillämpning av punkterna 1–3, inflytande som utövas av en juridisk person över vilken en kommun eller ett landsting bestämmer på det sätt som anges i de nämnda punkterna anses utövat av kommunen eller landstinget.
17.4.4 Kvalitetsregister ska få användas för att följa upp vård som ges av flera olika vårdgivare
Vårt förslag: En vårdgivare ska få ha direktåtkomst till de upp-
gifter om en patient som vårdgivaren lämnat och till de uppgifter om patienten som en annan vårdgivare lämnat till samma nationella eller regionala kvalitetsregister. För att möjliggöra utlämnande genom direktåtkomst införs en sekretessbrytande bestämmelse i offentlighets- och sekretesslagen.
Vår bedömning: Förslaget syftar till att möjliggöra att kvali-
teten i vården kan utvecklas och säkras även när patienternas vårdprocesser går över vårdgivargränser.
Inledning
Regelverket för nationella kvalitetsregister ger stöd för en särskild form av verksamhetsuppföljning. Samtidigt kan ifrågasättas om regelverket är utformat på ett ändamålsenligt sätt och medför tillräckliga möjligheter för att säkra och utveckla kvaliteten av patienternas vård oavsett hur den enskilde patientens resa genom hälso- och sjukvården har sett ut. Det har under utredningens arbete framkommit tydliga behov av att analysera om regelverket stödjer kvalitetssäkring av vårdprocesser som stäcker sig över vårdgivargränser.
Om en patient får vård av flera vårdgivare för samma hälsoproblem kommer uppgifter om patienten att rapporteras in till kvalitetsregistret från flera olika vårdgivare. Detta är särskilt vanligt vid sådan vård som utförs inom region- eller rikssjukvård, vilket bl.a. omfattar stora sjukdomsgrupper som t.ex. hjärtsjukvård och cancer. I dessa fall genomförs ofta utredningen och eftervården hos
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
520
en vårdgivare och det operativa ingreppet hos en annan vårdgivare. I dessa situationer finns behov av ett effektivt informationsutbyte för att kvalitetssäkra och kvalitetsutveckla såväl den enskilde patientens vårdprocess som den generella vårdprocessen för denna typ av patienter.
Det finns många ytterligare exempel på situationer när patienternas process går genom olika vårdgivares verksamheter. I kommuner och landsting med stor mångfald av vårdgivare, privata och offentliga, är det snarare regel än undantag. Även den hälso- och sjukvård som bedrivs i samverkan mellan kommuner och landsting, t.ex. rörande äldre, inom psykiatrin eller i missbruks- och beroendevården, visar av naturliga skäl också upp dessa förhållanden.
Regelverket för nationella kvalitetsregister medför dock begränsade möjligheter för de inblandade vårdgivarna att kvalitetssäkra hela patientens process. Bestämmelsen i nuvarande 7 kap. 9 § PDL ger vårdgivare möjlighet att ta del av de uppgifter vårdgivaren själv registrerat om en patient, men inte sådana uppgifter som andra vårdgivare registrerat om samma patient. Resultatet av bestämmelsen blir i praktiken att ingen inblandad vårdgivare har ansvar eller möjlighet att använda nationella kvalitetsregister för att säkra och utveckla resultatet av den sammantagna vård som patienten har fått. Detta är ett exempel på när nuvarande lagstiftning inte utgår ifrån individens perspektiv utan från de organisatoriska förutsättningarna. Begränsningarna har även påverkan på möjligheterna att bidra till jämlik vård över landet eftersom de organisatoriska förutsättningarna skiljer sig åt mellan olika landsting och kommuner (se exempel i avsnitt 13.3).
Att inrapporterande vårdgivare har direktåtkomst till uppgifter i kvalitetsregister är en avgörande förutsättning både för att kunna göra en kvalitetssäker registrering och för att i ett senare skede kunna använda uppgifterna och lägga dem till grund för kvalitetsutveckling och förbättringsarbeten. Vårdgivare behöver kunna använda kvalitetsregister för att följa upp sina egna insatser och utvärdera det sammantagna resultatet av vården, inklusive komplikationer m.m., för såväl enskilda patienter som för patientgruppen i stort. Vi kan även utgå ifrån att det ligger i patienternas intresse att de vårdgivare som tillsammans samverkar för att ge patienterna en god och säker vård har ändamålsenliga förutsättningar att kvalitetssäkra verksamheten.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
521
Det innebär en osäkerhet för en vårdgivare att rapportera in uppgifter om en patient utan att veta vilka data som tidigare har rapporterats in om patienten. Utan att kunna se vad som redan registrerats finns uppenbara risker för felaktig registrering, t.ex. genom att samma uppgifter registreras flera gånger, genom att registreringen inte går att hänföra till redan registrerade uppgifter, eller att genom att uppgifter inte alls registreras.
Nedan följer några praktiska exempel som visar på behovet av en ändrad lagstiftning.
Stentrelaterade kranskärlsingrepp – exempel på problem med dagens lagstiftning
Ett praktiskt exempel på behovet av att, för ändamålet kvalitetssäkring, ha direktåtkomst till uppgifter som registrerats om patienten av andra vårdgivare finns rörande hjärtpatienter som har fått en eller flera stentar inopererade i kranskärlen. Genom att samtliga vårdgivare deltar i kvalitetsregistret kan vi i Sverige få en i det närmaste hundraprocentig uppföljning av alla stentrelaterade kranskärlsingrepp och därigenom t.ex. utvärdera olika fabrikat och typer av stent.
Ett ingrepp med insättning av stentar kan utföras på ett länssjukhus under kontorstid, t.ex. Västmanlands sjukhus i Västerås. I sådant fall registreras viktiga uppgifter om stentens placering, dimensioner, tillverkare m.m. i det nationella kvalitetsregistret Swedeheart. Om patienten vid ett senare skede får en blodpropp eller annat akut problem relaterat till hjärtat eller stentarna under jourtid kommer patienten att transporteras akut till sjukhus i angränsande län. I detta fall ofta till Akademiska sjukhuset i Uppsala. Motsvarande aktualiseras även i alla situationer där patienten, efter att stenten inopererats, flyttat till ett annat län.
När patienten kommer till denne nye vårdgivare behöver vårdgivaren veta hur patientens stentar har registrerats i registret för att informationen om den akuta komplikationen ska kunna hänföras till rätt stent. Denna detaljerade information finns inte att tillgå inom ramen för vårddokumentationen och läkare kan inte heller enbart genom undersökning av patienten veta vilken typ av stent som är inopererad och hur den har placerats i hjärtat (ett stent kan vara osynligt vid kranskärlsröntgen). Risken finns då att läkaren inte får uppgift om stentens lokalisation. Uppgifterna om
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
522
den aktuella komplikationen kan då komma att registreras på fel stent, eller ingen stent alls. Detta innebär även uppenbara svårigheter att bedöma patientens komplikationer och följa upp behandlingsresultaten av specifika stentar. I förlängningen kan det leda till att man inte i tid upptäcker om och i sådant fall vilka stentar som ger upphov till så allvarliga komplikationer att det föranleder omedelbara vårdinsatser, nya riktlinjer m.m. samt vilka stentar som inte ger komplikationer.
Höftproteser – exempel på problem med dagens lagstiftning
Ytterligare exempel på en liknande problematik återfinns i samband med uppföljning av komplikationer, t.ex. vad gäller höftproteser. Både vårdvalet och vårdgarantin har ökat patienternas rörelse över vårdgivargränser inom höftproteskirurgin. Årligen görs omkring 2 200 reoperationer på grund av komplikationer, varav knappt 20 procent beräknas vara utförda av annan vårdgivare än den som gjorde primäroperationen.
För att kunna bedriva ett kvalitetssäkringsarbete måste vårdgivaren som gjort primäroperationen få information om de reoperationer som genomförts hos andra vårdgivare. Genom att direktåtkomst till uppgifterna inte är tillåtet är informationsutbytet i dag omständligt och görs enligt uppgift en gång årligen genom utlämnande av kopior efter sekretessprövning/patientsamtycke. Någon möjlighet för den primäropererande vårdgivaren att själv identifiera reoperationer, t.ex. genom direktåtkomst till vissa uppgifter som andra vårdgivare registrerat, för att löpande kunna följa upp sina komplikationer finns därmed inte. Det motverkar möjligheterna till en effektiv och ständigt pågående förbättringsprocess i situationer när patienten har blivit opererad av flera vårdgivare.
Barnhjärtkirurgi – exempel på problem med dagens lagstiftning
Ett annat exempel utgörs av barnhjärtkirurgin och dess nationella kvalitetsregister Swedcon. Barnhjärtkirurgin är en del av rikssjukvården och får därmed bara finnas på två orter, Lund och Göteborg. Det betyder att majoriteten av barn med medfödda hjärtfel kommer att få vård i ett annat landsting än det där barnet
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
523
diagnosticeras och utreds. Den barnkardiologiska kompetensen för utredning finns dessutom i huvudsak på regionsjukhusen. Nedan illustreras ett exempel på patientfall inom barnhjärtkirurgin.
Ett barn föds på Västerås BB och uppvisar tecken på hjärtmissbildning. En första ultraljudsundersökning visar på ett eventuellt behov av operation, varför barnet skickas till Akademiska sjukhuset i Uppsala för kompletterande utredning. Registrering av patientuppgifter påbörjas av Landstinget Västmanland i Swedcon. Utredningen i Uppsala visar att barnet behöver opereras och barnet skickas vidare till Sahlgrenska Universitetssjukhuset i Göteborg. Registrering av patientuppgifter i Swedcon görs av Landstinget i Uppsala län. Patienten opereras och eftervårdas i Göteborg. Registrering av operation och eftervård i Swedcon görs av Västra Götalandsregionen. Patienten följs inledningsvis upp med återbesök i Uppsala (registrering i Swedcon sker). Till och med vuxen ålder följs sedan patienten upp i Västerås. Uppgifter från återbesöken registreras i Swedcon.
I ovanstående exempel inom barnhjärtkirurgin har patienten, p.g.a. hur hälso- och sjukvården är organiserad, varit föremål för åtminstone tre olika vårdgivares åtgärder i en och samma vårdprocess. För att kunna göra en korrekt registrering i kvalitetsregistret och bedriva ändamålsenlig uppföljning av de olika vårdgivarnas insatser krävs tillgång till respektive vårdgivares inrapporterade uppgifter om just denna patient. Västerås behöver t.ex. tillgång till de uppgifter som registrerats av Uppsala och Västra Götalandsregionen dels för att kunna utvärdera det initiala omhändertagandet och utredningen, dels för att kunna se om deras uppföljning av barn som opererats görs på ett adekvat sätt. Den opererande enheten i Göteborg har i sin tur behov av tillgång till de uppgifter i registret som rör den preoperativa utredningen i Västerås och Uppsala. För att Västra Götalandsregionen ska kunna utreda om de väljer att operera rätt patienter och om deras operationer håller god kvalitet måste de ha tillgång till den information i registret rörande kort- och långtidsresultat som registrerats vid uppföljningarna i Uppsala och Västerås. Att göra detta genom utlämnanden efter sekretessprövning eller samtycke i varje enskilt fall är mycket tidskrävande och främjar inte ett effektivt och säkert kvalitetsarbete.
De negativa konsekvenserna som t.ex. dubbelinmatning (ibland t.o.m. trippelinmatning), felinmatning, avsaknad av information och en ökad administration är påtagliga. Ur integritetsperspektiv är det inte heller lätt att se om något har vunnits. Sannolikt kan
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
524
i stället risken för integritetsintrång öka i och med att en utlämnandeprocess kan behöva involvera fler personer än just de som är inblandade i patientens vård och det kontinuerliga förbättringsarbetet. Vidare innehåller en utlämnandeprocess alltid ett mått av osäkerhet. Om den enskildes samtycke av någon anledning inte kan inhämtas är det i dagsläget oklart om uppgifter över huvud taget kan lämnas ut.
Om den nye vårdgivaren snabbt kan få åtkomst till den information som en tidigare vårdgivare lämnat ut till det nationella kvalitetsregistret ökar möjligheterna till en säker hälso- och sjukvård, både för den enskilde patienten och för patientgruppen som helhet.
När det t.ex. gäller Swedeheart innebär åtkomst till de detaljerade uppgifterna i kvalitetsregistret att behandlande läkare redan i samband med det akuta patientbesöket får reda på var stenten är inopererad och vilken typ av stent det är fråga om (tillverkare, dimension m.m.). Genom tillgång till uppgifterna kan läkaren notera nya förträngningar eller stopp i det tidigare åtgärdade kärlsegmentet och registrera komplikationen. Förutom att läkaren får väsentligt bättre förutsättningar att vidta kvalitetssäkrade åtgärder för den enskilde patienten kan läkaren således redan vid patientmötet hänföra och registrera den akuta komplikationen till rätt stent. Det innebär att säkerheten och kvaliteten i registreringen av uppgifter ökar. Registret är också utformat så att det tvingar fram ett ställningstagande på varje tidigare insatt stent (komplikation; ja eller nej m.m.). Det innebär även att det är möjligt att få en komplett uppföljning av patienter, och stentar, oavsett om patienten varit föremål för ingrepp hos olika vårdgivare.
Närmare om vårt förslag
Som redovisats ovan är det inte tillåtet för vårdgivare att ha direktåtkomst till personuppgifter som andra vårdgivare lämnat ut till ett nationellt kvalitetsregister. Genom att utlämnanden av personuppgifter genom direktåtkomst endast är tillåten i den utsträckning som anges i lag eller förordning kan patienten inte heller genom samtycke förfoga över sättet för informationsutbytet. Ett samtycke från patienten möjliggör dock att den myndighet som är personuppgiftsansvarig för central behandling av personuppgifter i
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
525
kvalitetsregistret kan fatta beslut om att lämna ut personuppgifterna till den efterfrågande vårdgivaren. Ett sådant utlämnande kan ske elektroniskt. Det är dock en tidskrävande process att inhämta samtycke, fatta beslut om utlämnande och sedan lämna ut uppgifterna. En sådan handläggning främjar inte en effektiv informationshantering för patientens och verksamhetens bästa.
En annan aspekt i sammanhanget är att den som ska pröva en sådan utlämnandefråga, dvs. myndigheten med centralt personuppgiftsansvar, sällan har någon relation till den enskilde patienten. Dessa relationer har i stället de inrapporterande vårdgivarna. Även detta förhållande riskerar att leda till en utdragen och osäker utlämnandeprocess. Registreringen av uppgifter kan då sällan göras i samband eller i nära anslutning till patientbesöket. I en tidspressad situation är det dessutom inte alltid möjligt att inhämta samtycke. Om patienten inte kan kommunicera försämras dessutom möjligheterna att över huvud taget få reda på om det tidigare registrerats uppgifter om patienten och vilken vårdgivare som i sådant fall gjort det. Kan samtycke av någon anledning inte inhämtas är det även osäkert om uppgifterna, efter menprövning, kan lämnas ut över huvud taget.
Vi anser, bl.a. mot bakgrund av regelverkets organisatoriska fokus, att konsekvenserna av dagens reglering är olyckliga och inte främjar utvecklingen av hälso- och sjukvården. Regelverket bör i större utsträckning stödja en informationshantering som utgår ifrån patientens process – inte ifrån vilken vårdgivare som har varit inblandad i patientens vård och behandling. Enligt utredningens bedömning är det inte ändamålsenligt att begränsa möjligheten till direktåtkomst till de uppgifter om patienten som vårdgivaren själv registrerat. Möjligheterna att på ett effektivt sätt ta del av relevanta uppgifter för att göra en ändamålsenlig verksamhetsuppföljning beror i dagsläget i allt för hög grad på hur hälso- och sjukvården är organiserad.
För att kunna följa patientens väg genom vården och i nationella kvalitetsregister kunna registrera och hänföra uppgifter till den enskilde patienten krävs således ökade möjligheter till direktåtkomst till uppgifter som andra vårdgivare lämnat ut till kvalitetsregistret. Vi föreslår därför att en vårdgivare inte endast ska få ha direktåtkomst till sådana uppgifter om en patient som vårdgivaren själv registrerat i ett kvalitetsregister utan även till uppgifter om samma patient som andra vårdgivare registrerat i samma register. Förslaget gör det alltså möjligt att ta ansvar för och
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
526
kvalitetssäkra patienternas processer oavsett hur den enskilde patientens resa genom hälso- och sjukvården ser ut.
Det kan innebära risker för den personliga integriteten att ge ökade möjligheter till direktåtkomst. Vår bedömning är emellertid att riskerna i detta fall är små, medan den potentiella nyttan är väldigt stor. Ur ett integritetsperspektiv är det viktigt att erinra om att direktåtkomsten och behovet av denna alltid är beroende av om patienten har eller har haft en relation till en viss vårdgivare i just denna vårdprocess.
Vi föreslår alltså inte någon generell möjlighet för ett okontrollerbart antal vårdgivare att ta del av uppgifter om patienten. Det blir inte frågan om någon egentlig spridning av uppgifter till verksamheter eller användare som inte redan äger kännedom om patienten och dennes aktuella hälsotillstånd. Det handlar enbart om att öka möjligheterna för direktåtkomst till de situationer då patientens väg genom vården gör det påkallat. Även med beaktande av patientens grundläggande rätt till självbestämmande genom möjlighet att motsätta sig medverkan i nationella kvalitetsregister samt till övriga integritetsskyddande bestämmelser om t.ex. behörighetsstyrning och åtkomstkontroll, kan potentiella integritetsförluster betraktas som små.
Vidare vill vi förtydliga att de ökade möjligheterna till direktåtkomst inte innebär att uppgifter i kvalitetsregister får användas på något annat sätt än vad som är fallet i dag. Direktåtkomsten ska endast få ske för sådana ändamål för vilket kvalitetsregistret är tillåtet. Det innebär exempelvis att hälso- och sjukvårdspersonal inte får ta del av uppgifter i ett kvalitetsregister för ändamål som rör den enskilda patientens vård och behandling. För att ta del av och utbyta uppgifter som behövs i och för vården av patienter gäller de grundläggande bestämmelserna och de i det föregående redovisade förslagen om direktåtkomst genom sammanhållen journalföring samt direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för.
Sekretessbrytande bestämmelse
I offentlighets- och sekretesslagen finns i dag en sekretessbrytande bestämmelse som möjliggör själva kvalitetsregisterrapporteringen. Enligt bestämmelsen hindrar inte hälso- och sjukvårdssekretessen i 25 kap. 1 § OSL att uppgifter lämnas till ett nationellt eller
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
527
regionalt kvalitetsregister. Bestämmelsen tar därmed sikte det informationsutbyte som görs när en vårdgivare lämnar ut uppgifter till ett nationellt eller regionalt kvalitetsregister.
För att möjliggöra det utlämnande genom direktåtkomst som här föreslås behövs en motsvarande bestämmelse som gör att uppgifterna kan lämnas från ett nationellt eller regionalt kvalitetsregister. I rättslig mening görs utlämnandet från den myndighet som har personuppgiftsansvar för central behandling av personuppgifter för ett visst nationellt kvalitetsregister, till de vårdgivare som använder registret. Eftersom bestämmelser om direktåtkomst inte i sig har sekretessbrytande verkan, måste vårt förslag om direktåtkomst därför kombineras med en sekretessbrytande bestämmelse.
I sammanhanget kan noteras att utlämnande genom direktåtkomst från kvalitetsregister till inrapporterande vårdgivare redan i dag äger rum. Någon sekretessbrytande regel härom finns däremot inte. I förarbetena till patientdatalagen lämnas, såvitt vi kunnat avgöra, däremot ingen vägledning kring detta. Möjligen gjorde regeringen bedömningen att det för vårdgivares direktåtkomst inte behövdes någon sekretessbrytande bestämmelse, eftersom direktåtkomsten i dag bara får avse just de uppgifter som vårdgivaren själv lämnat till kvalitetsregistret. Formellt sett är det dock även i dag fråga om ett utlämnande när myndigheten som har det centrala ansvaret gör det möjligt för inrapporterande vårdgivare att ta del av uppgifter genom direktåtkomst. Regeringen uttalade bland annat följande i förarbetena.15
Det kan här påpekas att personuppgifterna som finns lagrade i ett kvalitetsregister enligt såväl sekretesslagens som personuppgiftslagens synsätt är utlämnade från den inrapporterande vårdenheten och att ett nytt utlämnande äger rum då vårdenheten ges tillgång till ”sina” patientuppgifter i registret.
Vårt förslag om utökade möjligheter till direktåtkomst innebär, som tidigare redovisats, att vårdgivare under vissa förutsättningar även får ta del av uppgifter som har lämnats till registret av andra vårdgivare. I samband med att vi lägger det förslaget är det viktigt att tydliggöra regleringen i offentlighets- och sekretesslagen, så att vårt förslag om direktåtkomst kan genomföras i praktiken. Vi föreslår således att det i offentlighets- och sekretesslagen tas in en bestämmelse som innebär att hälso- och sjukvårdssekretess enligt
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
528
26 kap. 1 § OSL inte hindrar att uppgifter lämnas från ett nationellt eller regionalt kvalitetsregister enligt vad som föreskrivs om direktåtkomst i 10 kap. hälso- och sjukvårdsdatalagen.
17.4.5 Kvalitetsregister ska kunna användas för patienter med nedsatt beslutsförmåga
Vårt förslag: Det ska vara möjligt för vårdgivare att behandla
personuppgifter i ett nationellt eller regionalt kvalitetsregister även om den enskilde inte endast tillfälligt saknar förmåga att ta ställning till personuppgiftsbehandlingen. Villkoren för sådan personuppgiftsbehandling ska vara att den enskildes inställning till personuppgiftsbehandlingen så långt möjligt klarlagts och att det inte är uppenbart att den enskilde skulle ha motsatt sig sådan personuppgiftsbehandling.
Inledning
Som redovisats ovan har patienter en rätt att motsätta sig registrering i ett nationellt kvalitetsregister. Personuppgifter rörande patienter som, efter att ha fått information om personuppgiftsbehandlingen, väljer att motsätta sig en medverkan får således inte behandlas i nationella och regionala kvalitetsregister. Omvänt innebär detta att vårdgivare får behandla personuppgifter rörande patienter som valt att inte motsätta sig. Som tidigare nämnts har Datainspektionen tolkat patientdatalagen på ett sådant sätt att en person som saknar beslutsförmåga inte kan inkluderas i ett nationellt kvalitetsregister med mindre än att en legal ställföreträdare fått information om registret och därefter inte motsatt sig registreringen. En sådan bedömning leder i praktiken till att den patient som saknar förmåga att ta del av informationen om registret och sedan ta ställning till sin medverkan inte kan inkluderas i kvalitetsregistret. Detta eftersom det i normala fall saknas legala ställföreträdare som i dessa avseenden anses kunna företräda individen.
Sammantaget får det enligt gällande rätt anses oklart om det över huvud taget är möjligt att inkludera vuxna personer som inte endast tillfälligt har nedsatt beslutsförmåga i nationella eller regionala kvalitetsregister. För att kunna tillgodose alla patienters
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
529
behov av en säker och ständigt förbättrad hälso- och sjukvård finns därför skäl av att lägga förslag som gör detta möjligt.
Utredningens delbetänkande SOU 2013:45
Utredningen har i delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga, SOU 2013:45, föreslagit ändringar av patientdatalagen som gör det möjligt för vårdgivare att behandla personuppgifter i nationella kvalitetsregister även för personer med nedsatt beslutsförmåga. Vi föreslår nu att det förslaget i stället tas in i den hälso- och sjukvårdsdatalag som vi föreslår.
I det följande återges centrala delar av vårt förslag, i linje med vad utredningen anförde i det ovan nämnda delbetänkandet. För ytterligare bakgrundsbeskrivning och vägledning hänvisas till delbetänkandet, se särskilt s. 103 f. och 131 f.
Närmare om vårt förslag
Det är enligt utredningen angeläget att det förbättringsarbete som genomförs med hjälp av nationella kvalitetsregister fortsättningsvis kan göras för alla patienter oavsett graden av beslutsförmåga. Det övergripande syftet med de nationella kvalitetsregistren är att säkra och utveckla kvaliteten inom olika områden i den svenska hälso- och sjukvården. Det allmänna intresset av sådan verksamhet kan knappast ifrågasättas. Det kan därför inte råda någon tvekan om att det är av stort allmänt intresse att kvaliteten i vården för de som inte själva kan ge uttryck för sin vilja eller ta ställning till olika alternativ ständigt utvecklas och säkras. Det handlar om bärande värden i samhället och om att tillgodose alla människors behov av trygghet och rätt till bästa möjliga vård och omhändertagande. De professionsdrivna initiativen som kvalitetsregister ofta är måste mot den bakgrunden även fortsättningsvis kunna skapa nytta och bidra till ett bättre resultat både för de som har och de som saknar beslutsförmåga. Det gör det också möjligt att utveckla själva kvalitetsregistren så att de blir ännu bättre verktyg och bidrar till ännu mer kunskap och kunskapsåterföring.
Vi anser att lagstiftaren har ett särskilt ansvar för den grupp som inte själva kan utöva sitt självbestämmande. Enligt vår mening
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
530
handlar ansvaret i detta fall om att göra det möjligt att använda nationella kvalitetsregister även för utvecklingen av vården för personer med nedsatt beslutsförmåga. Det står samtidigt klart att en sådan möjlighet även kan innebära ökade risker för intrång i enskildas personliga integritet.
Vår sammantagna bedömning är att det behov som finns av att utveckla vården och omhändertagandet av personer med nedsatt beslutsförmåga och den nytta som nationella kvalitetsregister kan bidra med, väger tyngre än den ökade risken för integritetsintrång som vårt förslag skulle kunna innebära.
Vidare innebär inte en registrering i ett kvalitetsregister att individens personuppgifter blir exponerade för en ansenlig mängd andra personer. En registrering i ett kvalitetsregister innebär rent formellt att uppgifterna lämnas ut till en myndighet i hälso- och sjukvården, dvs. i princip en myndighet inom ett landsting, där normalt sett endast ett fåtal personer har tillgång till det nationella kvalitetsregistret som helhet. Den mottagande myndigheten är på central nivå personuppgiftsansvarig för den behandling av personuppgifter som görs. I personuppgiftsansvaret ligger bl.a. ett ansvar för de tekniska och organisatoriska åtgärder som krävs för att skydda uppgifterna. Hos myndigheten gäller dessutom sekretess för uppgifterna. Vid en jämförelse med vårddokumentationen, dvs. uppgifter i en patientjournal, innehåller ett kvalitetsregister dessutom ett begränsat antal uppgifter om individen och dennes hälsa. Det är till stor del de verksamheter som själva registrerar uppgifter i ett register – enheter och kliniker på sjukhus, äldreboenden, vårdcentraler, m.fl. – som också sedan använder sina egna registrerade uppgifter för att förbättra sin egen verksamhet och resultatet för nuvarande och kommande patienter.
Mot den bakgrunden föreslår vi att det ska vara möjligt för vårdgivare att behandla personuppgifter i ett nationellt eller regionalt kvalitetsregister även om den enskilde inte endast tillfälligt saknar förmåga att tillgodogöra sig den information som lämnas och ta ställning till registreringen. Även patienter med nedsatt beslutsförmåga ska därmed få dra nytta av och bidra till den kvalitetsutveckling av hälso- och sjukvården som kan ske genom nationella kvalitetsregister.
Av hänsyn till behovet av skydd för den enskildes personliga integritet föreslår vi för det första att personuppgiftsbehandling rörande en person som inte endast tillfälligt saknar förmåga att ta ställning till registreringen endast får ske under förutsättning att
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
531
den enskildes inställning till personuppgiftsbehandlingen så långt möjligt klarlagts. Personuppgiftsbehandlingen får för det andra endast ske om det inte är uppenbart att den enskilde skulle ha motsatt sig personuppgiftsbehandlingen.
För att den föreslagna bestämmelsen över huvud taget ska vara tillämplig krävs således att
1. den enskilde bedöms inte endast tillfälligt sakna förmåga att ta
ställning till personuppgiftsbehandlingen,
2. den enskildes inställning till personuppgiftsbehandlingen så
långt möjligt klarlagts, och
3. det inte är uppenbart att den enskilde skulle ha motsatt sig
personuppgiftsbehandlingen.
Patienter som registrerats tidigare och inte motsatt sig
En särskild fråga är hur vårdgivare ska agera i förhållande till en patient som registrerats vid en tidpunkt när förmåga att ta ställning till personuppgiftsbehandlingen fanns, men som i ett senare skede utvecklar en sjukdom som påverkar beslutsförmågan negativt. Särskilt i vissa kvalitetsregister där uppgifter om patienten registreras över en längre tid, t.ex. register för kroniska sjukdomar och register med särskilt fokus på äldre, torde detta aktualiseras.
I sammanhanget bör därför tydliggöras att en vårdgivare, i relation till en patient som när denne inkluderades i ett kvalitetsregister för första gången fick information och hade förmåga att ta ställning till sin medverkan, kan fortsätta registrera och i övrigt behandla uppgifter om patienten även om denne vid ett senare skede drabbas av nedsatt beslutsförmåga. Det bör därmed inte krävas någon omprövning av patientens inställning ifall denne, när beslutsförmåga i detta avseende fanns, fått information och valt att inte motsätta sig registreringen. För en sådan patient, där laglig grund för registrering förelegat, kan således fortsatt registrering över tid ske.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
532
Närmare om bedömningen av beslutsförmåga och den enskildes inställning till personuppgiftsbehandlingen
I ett första skede ska en bedömning göras av den enskildes förmåga att själv ta ställning till medverkan i ett kvalitetsregister. Sedan har hälso- och sjukvårdspersonalen i ett andra skede att så lång möjligt försöka klarlägga vad den enskilde skulle ha kunnat ha för inställning till en sådan medverkan och den personuppgiftsbehandling det skulle innebära. Om det framstår som uppenbart att den enskilde skulle ha motsatt sig, får en registrering i ett nationellt kvalitetsregister inte ske.
Det är alltså yrkesutövare hos den vårdgivare som vill inkludera en individ och använda ett nationellt kvalitetsregister som också har att bedöma om patienten har beslutsförmåga i det enskilda fallet. Hur denna process för bedömning närmare bör se ut lämnas till vårdgivarna att avgöra. En förutsättning är dock att vårdgivarna tar fram rutiner och riktlinjer som ger hälso- och sjukvårdspersonalen stöd dels i hur en bedömning av beslutsförmågan bör göras, dels i frågor om hur personalen i olika situationer kan försöka klarlägga den enskildes inställning.
Utredningen anser inte att det i lagstiftning bör ställas upp något krav på vem som ska göra bedömningen och hur det ska ske. Sannolikt kommer rutinerna för detta skilja sig åt beroende på i vilken situation och i vilken typ av verksamhet patienten befinner sig i. I den kommunala hälso- och sjukvården bör det exempelvis finnas goda möjligheter att göra bedömningen antingen i samband med vårdplanering vid utskrivning från slutenvården eller vid en ny individuell vårdplanering i hemsjukvården eller i ett särskilt boende. Även ett informationsmöte inför en flytt till särskilt boende kan vara ett bra tillfälle, inte minst om närstående medverkar och kan ge vägledning för bedömningen. På samma sätt borde primärvården ha tillfälle att göra motsvarande bedömning vid en vårdplanering, men annars i samband med sina reguljära kontakter med patienterna. För de register som syftar till att utveckla och säkra kvaliteten i de delar av hälso- och sjukvården som bedrivs i mer akuta situationer borde, som ovan berörts, bedömningen av patientens förmåga att ta ställning till medverkan i kvalitetsregister kunna göras i samband med ett återbesök eller annan uppföljande kontakt.
En annan fråga är hur ofta en bedömning av patientens beslutsförmåga ska göras när det gäller registrering i nationella eller
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
533
regionala kvalitetsregister. Utredningens uppfattning är att vårdgivaren som sådan har en skyldighet att göra denna bedömning i anslutning till att vårdgivaren för första gången inkluderar en patient i ett kvalitetsregister. Det överensstämmer även med vad som redan i dag gäller. Bedömningen behöver därmed inte ske varje gång en och samma vårdgivare registrerar uppgifter i det aktuella kvalitetsregistret. Om patientens beslutsförmåga varierar över tiden är det dock viktigt att hälso- och sjukvårdspersonalen försöker nå fram till patienten vid ett tillfälle när man bedömer att förmågan att ta ställning finns.
Vidare behöver det inte vara den yrkesutövare som gör själva registreringen som även har bedömt den enskildes beslutsförmåga och försökt ta reda på den enskildes inställning enligt nedan. Arbetsuppgiften att registrera uppgifter i ett kvalitetsregister kan därmed vara åtskild från den bedömning som vårt förslag ställer krav på. Inte minst i den kommunala hälso- och sjukvården kan dessa två moment göras vid olika tillfällen och av olika kategorier av yrkesutövare. Själva bedömningen beslutsförmågan och utredningen om den enskildes inställning kanske t.ex. görs av en sjuksköterska vid dennes kontakter med den enskilde och dennes närstående, medan själva registreringen sedan kommer att utföras av undersköterskor, arbetsterapeuter, sjukgymnaster m.fl. som arbetar i verksamheten.
Den som står i begrepp att inkludera en patient som bedömts ha nedsatt beslutsförmåga i detta avseende ska självfallet respektera patientens inställning om det är känt att denne tidigare motsatt sig registrering i nationella kvalitetsregister. Hälso- och sjukvårdspersonalen ska beakta vad en patient tidigare i livet kan ha uttalat i frågan. Även vetskap om att patienten tidigare medverkat i andra kvalitetsregister kan vara sådan information som ger personalen stöd i sitt agerande. En förutsättning för registrering i ett kvalitetsregister ska därför vara att den enskildes inställning så långt möjligt klarlagts och beaktats. Det innebär även att närstående, i förekommande fall, bör tillfrågas om vad de vet om patientens inställning. Välgrundade uppfattningar från närstående ska tas om hand och vara vägledande för hälso- och sjukvårdspersonalens beslut om registrering ska ske eller inte. För flera av de kvalitetsregister som används i vården av de mest sjuka äldre borde möjligheterna att göra närstående delaktiga vara goda. Det kan exempelvis handla om att personalen i samband med att den enskilde får plats i ett särskilt boende även informerar närstående om hur man arbetar
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
534
med kvalitetsutveckling i allmänhet och om de för verksamheten aktuella kvalitetsregistren i synnerhet. Sådan information borde även kunna lämnas inför andra planerade åtgärder, som exempelvis operationer.
Även om närstående tillfrågas bör dock själva beslutet att registrera eller inte registrera uppgifterna alltid fattas av hälso- och sjukvårdspersonalen. Närstående har således ingen formell rätt att bestämma i den enskildes ställe. Registrering i ett kvalitetsregister ska därmed enligt vårt förslag inte heller vara otillåtet om närstående av någon anledning inte kan höras i saken. Ett sådant förbud skulle föra med sig att kvalitetsregister endast skulle kunna användas för de patienter som har en eller flera närstående som kan uttala sig i frågan. Lagstiftaren har redan i dag, genom att inte ställa krav på samtycke, utgått ifrån att de allra flesta personer skulle vilja bidra till den utvecklingen av hälso- och sjukvården som en medverkan i kvalitetsregister kan leda till om de blir tillfrågade. Det vore därför enligt vår uppfattning en olycklig utveckling att utesluta någon från deltagande i ett nationellt kvalitetsregister på grundval av faktorer som egentligen inte är bärande på frågan om vad den enskilde kan tänkas ha för inställning i saken.
Sammantaget bedömer vi att våra förslag gör det möjligt att bedriva ett effektivt arbete för att utveckla och säkra kvaliteten i vården för alla patienter, samtidigt som hänsyn tas till behovet av skydd för den personliga integriteten för dem som själva inte kan ge uttryck för sin inställning. Genom vårt förslag tar lagstiftaren ett särskilt ansvar för att tillhandahålla nödvändiga förutsättningar för att förbättra vården för en svag patientgrupp med ett särskilt behov av skydd. Våra förslag när det gäller personuppgiftsbehandling i nationella kvalitetsregister ökar möjligheterna till en jämlik hälso- och sjukvård av hög kvalitet.
Förslagets förhållande till personuppgiftsbehandling i mer akuta situationer
Redan i dag är det möjligt att inleda en personuppgiftsbehandling i ett nationellt kvalitetsregister innan den enskilde har fått information om registret och haft en möjlighet att ta ställning till sin medverkan. En förutsättning är dock att information ska lämnas så snart som möjligt och att redan registrerade personuppgifter ska tas bort ifall patienten i detta skede motsätter sig registrering. Som
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
535
redovisats ovan föreslår vi att denna möjlighet förs över oförändrad till hälso- och sjukvårdsdatalagen.
I en situation som det här är frågan om och som inte sällan är av mer akut karaktär kan det saknas möjlighet att bedöma om den enskilde endast högst tillfälligt eller mer varaktigt har nedsatt förmåga att ta emot information och ta ställning till medverkan i ett kvalitetsregister. De skäl som ligger bakom den nuvarande regleringen gör sig även lika starkt gällande alldeles oavsett eventuella variationer i patientens beslutsförmåga. Vårt förslag om personuppgiftsbehandling i kvalitetsregister för personer som inte endast tillfälligt saknar beslutsförmåga ska därför inte inskränka de nuvarande möjligheterna att i en mer brådskande situation företa en personuppgiftsbehandling för att i ett senare skede fullgöra informationsplikten m.m. Hälso- och sjukvårdspersonalen ska därför, precis som i dag, i dessa mer brådskande situationer inte behöva bedöma patienternas beslutsförmåga utan i stället kunna göra en registrering med stöd av de i dag befintliga bestämmelserna. Det innebär att personuppgifterna kan registreras i en sådan situation och att verksamheten sedan när patientens hälsotillstånd så medger ska lämna information och ge patienten en möjlighet att ta ställning till sin medverkan. Om det vid denna tidpunkt däremot visar sig att patienten sannolikt inte har återfått, eller inte tidigare haft, förmågan att ta ställning till saken ska vår föreslagna bestämmelse tillämpas. I ett sådant fall får fortsatt registrering således ske om det efter att man försökt klarlägga den enskildes inställning inte är uppenbart att den enskilde skulle ha motsatt sig personuppgiftsbehandlingen.
Detta förfarande kan bli särskilt aktuellt exempelvis i strokevården och i intensivvården. I dessa fall kan därmed bedömningen av patientens beslutsförmåga behöva göras i samband med en uppföljning efter t.ex. en eller tre månader.
17.4.6 Att utvidga ett nationellt kvalitetsregister
Vår bedömning: Nationella kvalitetsregister kan i enlighet med
gällande regelverk utvidgas genom en rad olika tillvägagångssätt, t.ex. genom hopslagning av två eller flera befintliga kvalitetsregister eller att nya variabler tillförs kvalitetsregistret. Beroende på omständigheterna i det enskilda fallet väcks ett antal frågor om sekretess och personuppgiftsbehandling. Några särskilda regler härom bör inte införas i hälso- och sjukvårdsdatalagen.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
536
Inledning
De nationella kvalitetsregistren har byggts upp under lång tid och successivt etablerats för avgränsade diagnoser, verksamheter eller medicinska specialiteter. I takt med att ny kunskap genereras utvecklas även de enskilda kvalitetsregistren. Det kan exempelvis handla om att nya variabler tillförs registret eller att redan insamlade uppgifter börjar användas för delvis nya ändamål. Efter en tid med många små kvalitetsregister har det, enligt vad utredningen fått veta, även identifierats fördelar med att under vissa förutsättningar slå ihop kvalitetsregister med varandra. Det handlar i dessa fall om två eller fler nationella kvalitetsregister, som om de hade startats i dag sannolikt hade utgjort ett samlat kvalitetsregister.
Gemensamt för de kvalitetsregister som överväger hopslagning är att det finns något centralt som förenar dem och att detta är större eller fler saker än vad som skiljer registren åt. Det kan exempelvis handla om att de följer och utvecklar vården för patienter i samma vårdkedja eller att de följer två patientgrupper där verksamhetens kvalitet bör säkras och utvecklas genom ett gemensamt arbetssätt. Frågor om hopslagning av nationella kvalitetsregister handlar därför inte, enligt utredningens bedömning, om en utveckling mot ett enda gigantiskt kvalitetsregister innehållande personuppgifter om större delen av den svenska befolkningen eller en utveckling mot kvalitetsregister som innehåller uppgifter som inte har något samband med varandra med avseende på frågan om att säkra och utveckla kvaliteten i hälso- och sjukvården.
Utredningen har förståelse för att nationella kvalitetsregister är under ständig utveckling och påverkas såväl av nya landvinningar som av organisatoriska och andra förutsättningar. Exempelvis kan ny kunskap ge anledning att ifrågasätta om befintliga strukturer för kvalitetsutveckling är ändamålsenliga eller om det finns anledning att vidta åtgärder för att åstadkomma ännu bättre förutsättningar för kvalitetssäkring och kvalitetsutveckling. Sådana överväganden kan mycket väl ha beröringspunkter med nationella kvalitetsregister och ge upphov till frågor om hopslagningar eller andra förändringar av befintliga kvalitetsregister. Även organisatoriska förändringar som exempelvis växling av ansvaret för hemsjukvård från landsting till kommuner kan också ge upphov till behov av att se över och eventuellt förändra kvalitetsregisters innehåll, bredd
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
537
och samverkan. I detta kan sannolikt uppstå situationer när två eller fler nationella kvalitetsregister, för att förbättra möjligheterna till kvalitetsutveckling, identifierar ett behov av att genom hopslagning skapa ett gemensamt nationellt kvalitetsregister.
Det är inte möjligt att uttömmande redovisa för samtliga tänkbara alternativa scenarion vid utvidgning av ett nationellt kvalitetsregister. På en övergripande nivå kan en utvidgning antingen ske genom att ett kvalitetsregister helt enkelt tillförs nya variabler som ska registreras eller att två eller fler befintliga kvalitetsregister slås ihop. Hopslagning av två kvalitetsregister torde därmed i rättslig mening betraktas som en utvidgning av ett av de befintliga registren.
En utvidgning av ett nationellt kvalitetsregister behöver, oavsett om det görs genom en hopslagning av befintliga register eller på andra sätt, dock föregås av en analys av de rättsliga förutsättningarna för utvidgningen. Enligt utredningens bedömning kan omständigheterna i det enskilda fallet skilja sig åt på en mängd olika sätt, vilket kan ge upphov till olika rättsliga frågeställningar. Gemensamt är dock att frågor om sekretess och personuppgiftsbehandling särskilt kan behöva analyseras.
Alldeles oavsett hur ett nationellt kvalitetsregister utvidgas ska regelverket för nationella kvalitetsregister följas. Det innebär att personuppgifter som avses inkluderas efter utvidgningen ska behandlas i enlighet med de grundläggande förutsättningarna i lagstiftningen. Det betyder bland annat att kraven på information om registret ska vara uppfyllt, att en myndighet har personuppgiftsansvar för central behandling av personuppgifter samt att patienterna inte har motsatt sig.
Personuppgifter som redan innan utvidgningen behandlades i det nationella kvalitetsregistret får naturligtvis även fortsättningsvis behandlas i registret. Beroende på omständigheterna i det enskilda fallet kan det dock inte uteslutas att en utvidgning medför att de redan inkluderade uppgifterna kommer att behandlas delvis för ett nytt ändamål. Om så är fallet beror på hur utvidgningen förhåller sig till registrets ursprungliga ändamål. I de flesta fall, t.ex. när nya variabler tillförs ett register, torde det emellertid inte innebära någon förändring i ändamålet med registret. I andra fall kan det emellertid vara fråga om en sådan väsentlig utvidgning att det handlar om att ändamålet med registret förändras. I ett sådant fall ska tydlig information om det nya ändamålet lämnas t.ex. på en
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
538
webbplats eller i tidningsannonser. I förarbetena till patientdatalagen anförde regeringen följande i sammanhanget.16
Om ett kvalitetsregister först i ett senare skede avses användas för ett nytt ändamål eller planeras att samköras utan att registrerade patienter blivit informerade om detta vid registreringen är det tillräckligt att tydlig information om det nya ändamålet eller samkörningen lämnas t.ex. på en webbplats eller i tidningsannonser.
Sammantaget anser utredningen att de frågeställningar om behandling av personuppgifter som uppstår, kan hanteras inom ramen för gällande rätt. Vi bedömer således att det inte finns behov av att i hälso- och sjukvårdsdatalagen särskilt reglera frågor om hur nationella kvalitetsregister kan och får utvidgas.
Kan uppgifter från ett annat kvalitetsregister inkluderas?
Om en utvidgning görs genom hopslagning av två eller fler nationella kvalitetsregister uppstår delvis andra frågor. Enligt utredningens synsätt innebär en hopslagning av två kvalitetsregister att ett av dessa register utvidgas, dvs. i den meningen att nya variabler kommer att registreras fortsättningsvis. De personuppgifter som redan finns i kvalitetsregistret får fortsatt behandlas i registret under förutsättningarna som redovisats ovan om nya ändamål m.m.
En central fråga är dock hur uppgifterna i det andra kvalitetsregistret får behandlas, dvs. i registret som i praktiken upphör eller som åtminstone inte kommer att vara föremål för nyregistreringar. Under utredningens arbete har frågan väckts om det är möjligt att till det utvidgade kvalitetsregistret överföra och fortsättningsvis behandla sådana personuppgifter som tidigare behandlades i det kvalitetsregister som nu upphör. Det handlar alltså i praktiken om möjligheterna att överföra historiska uppgifter från detta kvalitetsregister till det utvidgade, delvis nya, kvalitetsregistret.
Inledningsvis kan utredningen konstatera att frågan varken berördes av regeringen eller av patientdatautredningen i samband med förarbetena till patientdatalagen. Det finns därför ringa vägledning att hämta för en bedömning av saken. Samtidigt anser utredningen att det är viktigt att frågan får en närmare granskning. Inte minst eftersom den pågående utvecklingen av nationella
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
539
kvalitetsregister är stor. Vidare kan hopslagning av strukturer för kvalitetsutveckling även ha betydelse för ambitionerna att minska onödig administration i vården och åstadkomma ett effektivare resursutnyttjande. Vid en hopslagning av två befintliga kvalitetsregister är det, såvitt utredningen fått veta, inte heller ovanligt att det i registren finns till stor del samma kategorier av uppgifter om samma patienter. En sådan sammanslagning kan därmed möjligen underlätta för patienten att tillvarata sina rättigheter genom att det blir en myndighet och ett kvalitetsregister som patienten har att förhålla sig till, i stället för två.
Nedan redogörs för våra överväganden i två olika situationer. Det handlar om förutsättningarna dels när samma myndighet ansvarar för de två registren, dels när ansvaret för central personuppgiftsbehandling ligger på olika myndigheter.
Om samma myndighet har ansvar för registren
Förutsättningarna för att i den här aktuella situationen överföra redan registrerade uppgifter till ett annat nationellt kvalitetsregister kan skilja sig åt beroende på omständigheter i det enskilda fallet. Det kan exempelvis i handla om överföring av uppgifter från och till ett register som har samma myndighet som personuppgiftsansvarig för central behandling av personuppgifter. I ett sådant fall görs överföringen utan att en sekretessgräns passeras, vilket innebär att det inte är fråga om utlämnande av uppgifter till en aktör utanför den utlämnande aktörens organisation.
En sådan överföring av uppgifter mellan register som samma myndighet ansvarar för torde därför inte väcka några särskilda frågor kring tillämpningen av offentlighets- och sekretesslagstiftningen. Däremot kan det finnas behov av att analysera frågan ur ett personuppgiftslagsperspektiv.
En överföring av redan registrerade uppgifter, torde exempelvis kunna jämföras med en bestående samkörning av uppgifter. Enligt utredningens bedömning är det därför, på motsvarande sätt som redovisats ovan, viktigt att vid en eventuell inkludering av historiska uppgifter analysera om det kommer att innebära att personuppgifter behandlas för ett nytt ändamål i förhållande till det ursprungliga. Även om det övergripande ändamålet med ett kvalitetsregister är att säkra och utveckla kvaliteten i hälso- och sjukvården har varje nationellt kvalitetsregister mer precisa ändamål just för sin
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
540
personuppgiftsbehandling. Ändamålet med registret är även något som ska framgå i den information som de registrerade ska tillhandahållas innan vårdgivaren registrerar uppgifter i ett nationellt kvalitetsregister. När det gäller situationen att personuppgiftsbehandling i efterhand görs för andra ändamål än de som de registrerade har blivit informerade om, krävs som ovan nämnts att tydlig information om detta lämnas t.ex. på internet eller i tidningsannonser.
Enligt vår bedömning torde således samma resonemang som förs ovan kunna göra sig gällande om redan registrerade uppgifter ska överföras till ett utvidgat (nytt) kvalitetsregister hos samma centralt ansvariga myndighet. Såtillvida att registren inte haft i princip identiska ändamål torde det därmed krävas en informationsinsats från myndighetens sida för att personuppgifterna ska få inkluderas i det utvidgade registret och där fortsättningsvis behandlas för eventuellt nya ändamål.
Ur de registrerades perspektiv är en sådan informationsinsats även viktig för deras kännedom om den eventuella förändring av registrens namn m.m., som denna form av hopslagning kan föra med sig.
Om olika myndigheter ansvarar för registren
I en annan situation kan det aktualiseras ett behov av att överföra uppgifter från ett register med en viss myndighet som centralt personuppgiftsansvarig till det utvidgade registret med en annan myndighet som centralt ansvarig. Samma frågor som redovisas ovan, om eventuella förändringar i ändamålet, gör sig förstås även gällande i dessa situationer. Därutöver aktualiseras frågan om själva utlämnandet är tillåtet i sekretesshänseende.
Det handlar i dessa fall om att uppgifter som omfattas av hälso- och sjukvårdssekretess lämnas ut från en myndighet till en annan. En avgörande fråga är under vilka förutsättningar ett sådant utlämnande får göras. Uppgifter i hälso- och sjukvårdens nationella kvalitetsregister omfattas nämligen av sekretess enligt 25 kap. 1 § OSL, vilket innebär att uppgifterna inte får lämnas ut om det inte står klart att den enskilde eller någon närstående inte lider men av utlämnandet. Ett sådant utlämnande behöver som regel ha stöd antingen i en sekretessbrytande regel eller i patientens samtycke eller i en menprövning.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
541
Utredningen konstaterar att det kan vara fråga om en omfattande överföring av personuppgifter och att personuppgifterna till viss del kan ha inkluderats i registret för flera år sedan. Att i en sådan situation inhämta de registrerades samtycke, låter sig svårligen göras. Inte heller finns det någon sekretessbrytande bestämmelse som är tillämplig i detta fall. För att uppgifterna ska kunna lämnas ut måste det alltså stå klart att uppgifterna kan röjas utan att berörda enskilda, eller närstående till dem, lider men. Huruvida någon individuell menprövning är möjlig torde bero på omständigheterna i det enskilda fallet och bland annat avgöras av antalet patienter som omfattas av registret. Enligt vår bedömning torde det mest sannolika emellertid vara att någon form av generell prövning av sekretessfrågan skulle behöva göras.
Huruvida det är möjligt att göra massutlämnanden baserade på generella sekretessprövningar har varit föremål för diskussion och viss prövning genom åren. Frågan har särskilt aktualiserats i forskningssammanhang. I rättspraxis finns exempel på när ett utlämnande av ett stort antal uppgifter om ett stort antal personer har godtagits om det typiskt sett anses stå klart att uppgifterna kan lämnas ut utan att enskilda eller närstående lider men.17 Hänsyn har då bland annat tagits till vilket slags uppgifter det handlar om, vem som är mottagare och till syftet med utlämnandet och den fortsatta hanteringen av uppgifterna.
Den fråga om utlämnande av uppgifter som det här är fråga om har såvitt utredningen kunnat ta reda på inte varit föremål för rättslig prövning. Även om utredningen inte heller kan lämna något entydigt besked i denna fråga och som tar sikte på alla tänkbara olika situationer som kan uppkomma i dessa sammanhang, anser vi att det finns omständigheter som kan tala för att sådana utlämnanden i vissa fall kan ske i enlighet med gällande rätt och med bibehållet integritetsskydd för de registrerade. Dessa omständigheter utgörs bland annat av att det är samma sekretessbestämmelser som gäller för uppgifterna hos utlämnande och mottagande myndighet, att båda myndigheterna är sådana myndigheter inom hälso- och sjukvården som avses i patientdatalagen, att det även efter utlämnandet handlar om behandling av personuppgifter i nationella kvalitetsregister, att utlämnandet i egentlig mening inte innebär någon ökad spridning av uppgifter och att de registrerades rättigheter inte förändras av ett utlämnande. Vidare kan antas att
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
542
frågan om vilken myndighet som har personuppgiftsansvar för central behandling av personuppgifter i nationella kvalitetsregister inte är en avgörande omständighet för patientens val att medverka eller inte medverka i ett nationellt kvalitetsregister.
Sådana omständigheter kan, åtminstone ur ett mer pragmatiskt perspektiv, anses tala för att det bör vara möjligt att lämna ut personuppgifterna från en myndighet till en annan i kvalitetsregistersammanhang. Ytterst är det emellertid upp till de inblandade myndigheterna att göra en bedömning av de rättsliga förutsättningarna.
Om ett sådant utlämnande görs kan det, enligt utredningens bedömning, finnas skäl för den utlämnande myndigheten att tydligt informera om det. Därutöver behöver den utlämnande myndigheten ha rutiner som säkerställer att patienter som inte nåtts av sådan information och vänder sig till myndigheten med begäran om registerutdrag eller önskemål om att få personuppgifterna utplånade ur registret, blir hänvisade till den myndighet som har övertagit personuppgiftsansvaret för central behandling av personuppgifter.
17.4.7 Förändringar av personuppgiftsansvaret för central behandling av personuppgifter
Vår bedömning: Det bör enligt utredningens bedömning vara
möjligt att inom ramen för gällande rätt förändra fördelningen av personuppgiftsansvar för central behandling av personuppgifter i nationella kvalitetsregister, t.ex. genom att det centrala personuppgiftsansvaret övergår från en myndighet inom hälso- och sjukvården till en annan sådan myndighet.
Inledning
En frågeställning som rent rättsligt väcker till stor del samma frågor som redogjorts för ovan är förutsättningarna för att förändra personuppgiftsansvaret för central behandling av personuppgifter i ett nationellt kvalitetsregister, dvs. att i praktiken flytta personuppgiftsansvaret till en ny myndighet. Även om de bakomliggande orsakerna och effekterna av en sådan åtgärd får anses skilja sig väsentligt åt jämfört med vad som anförts ovan om utvidgning av
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
543
register, finns beröringspunkter vad gäller de grundläggande frågeställningarna.
Enligt utredningens uppfattning har frågan om vem som är personuppgiftsansvarig för central behandling av personuppgifter i nationella kvalitetsregister länge präglats av otydlighet. Den genomgång som gjordes av patientdatautredningen visade att det inte fanns någon entydig bild.18Därutöver har Datainspektionens tillsyn visat på en utbredd osäkerhet och otydlighet i frågan om vilken myndighet som ansvarar för vilket kvalitetsregister. Patientdatalagens bestämmelser om kvalitetsregister har tillsammans med Datainspektionens tillsyn satt ljuset på behovet av att tydliggöra personuppgiftsansvaret för central behandling av personuppgifter. Utredningens erfarenhet är även att hälso- och sjukvårdens aktörer, i kölvattnet av Datainspektionens tillsyn, nu har identifierat och tydliggjort det centrala personuppgiftsansvaret för respektive nationellt kvalitetsregister. Utredningen har bland annat fått information från SKL om att 15 olika myndigheter fördelade på 12 landsting och regioner har personuppgiftsansvar för central behandling av personuppgifter för ett eller flera nationella kvalitetsregister.
Nationella kvalitetsregister är emellertid en nationell angelägenhet som inte endast påverkas och styrs av den myndighet som är personuppgiftsansvarig för central behandling. Det innebär att det inte kan uteslutas att det i framtiden uppstår situationer när det, av olika anledningar, finns behov av att förändra fördelningen av personuppgiftsansvaret på ett sådant sätt att det i praktiken flyttas från en myndighet inom hälso- och sjukvården till en annan sådan myndighet. En möjlig orsak som kan föranleda ett sådant behov av att flytta personuppgiftsansvaret är exempelvis att den befintliga myndighetens verksamhet övergår i privat ägo. Eftersom endast myndigheter får ha personuppgiftansvar för central behandling av personuppgifter saknas därmed förutsättningar för organisationen att i en sådan situation fortsätta ansvara för kvalitetsregistret. Andra tänkbara skäl skulle kunna vara relaterade till praktiska, personella, organisatoriska eller IT-relaterade aspekter av betydelse för möjligheterna att säkra och utveckla kvaliteten i hälso- och sjukvården.
Det saknas i dag uttrycklig vägledning om hur sådana situationer ska hanteras och om vilka rättsliga överväganden som är
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
544
påkallade. Med hänsyn till att uppgifterna omfattas av sekretess enligt offentlighets- och sekretesslagen samt att det saknas en sekretessbrytande bestämmelse för denna situation, har det såvitt utredningen förstår ansetts osäkert om och i sådant fall hur en sådan omfördelning av personuppgiftsansvaret kan ske. Eftersom kvalitetsregister är en viktig nationell angelägenhet finns samtidigt behov av att belysa frågan och om möjligt tydliggöra förutsättningar som möjliggör för kvalitetsregister att fortleva i situationer där myndigheten med centralt personuppgiftsansvar inte längre kan ta fortsatt ansvar för registret.
Utredningen anser att viss vägledning kan hämtas från regeringens uttalanden i förarbetena till patientdatalagen. Regeringen uttalade att personuppgiftsansvar för behandling av personuppgifter i olika nationella kvalitetsregister är en komplex fråga och att det vid den tidpunkten inte fanns någon entydig bild. Vidare anförde regeringen följande av intresse i sammanhanget.19
Ansvaret för den stora mängden nationella och regionala kvalitetsregister är emellertid i hög grad utspritt inom den praktiserande hälso- och sjukvården. Nya register tillkommer hela tiden och vissa läggs ibland ner. Kvalitetsregistren är dessutom organiserade på olika sätt och har många involverade aktörer som i olika skeden och på olika sätt behandlar de personuppgifter som ingår i eller ska ingå i registren. En detaljreglering av personuppgiftsansvaret ter sig mot den bakgrunden knappast möjlig. En reglering skulle dessutom riskera att låsa fast registerföringen i oflexibla organisationslösningar, som kanske inte passar för alla typer av kvalitetsregister eller som inte visar sig vara ändamålsenliga över tiden.
Mot den bakgrunden föreslog regeringen ingen detaljreglering av personuppgiftsansvaret, utan i stället att personuppgiftsansvaret för den centrala hanteringen av inrapporterade uppgifter skulle vara samlat hos en eller flera myndigheter inom hälso- och sjukvården. Enligt utredningens bedömning visar regeringens uttalanden på en medvetenhet om den komplexa situation och de föränderliga organisatoriska strukturer som kännetecknar nationella kvalitetsregister. En uttalad avsikt med regeringens förslag var därför att inte låsa fast kvalitetsregisterföringen i organisationslösningar som inte är flexibla eller lösningar som inte visar sig vara ändmålsenliga över tiden. Det kan, enligt vår mening, anses tala för att det ska vara möjligt att vid behov överlåta personuppgiftsansvar för central behandling av personuppgifter från en myndighet till en annan.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
545
Vidare kan uppmärksammas det faktum att regelverket tillåter flera myndigheter att tillsammans vara personuppgiftsansvariga för central behandling av personuppgifter i nationella kvalitetsregister.
Eftersom uppgifter i ett nationellt kvalitetsregister omfattas av sekretess blir frågor om offentlighets- och sekretesslagens tillämpning aktuella även här. Det innebär att det måste finnas lagligt stöd för ett sådant utlämnande av sekretessbelagda uppgifter som en omfördelning av personuppgiftsansvar för central behandling av personuppgifter innebär. Ur ett rättsligt perspektiv är det i dessa fall fråga om ett utlämnande av uppgifter från en myndighet inom hälso- och sjukvården till en annan sådan myndighet. På motsvarande sätt som redovisats i föregående avsnitt anser utredningen att det finns mycket som talar för att ett sådant utlämnande kan göras utan att enskilda eller närstående lider men. Uppgifterna kommer även efter utlämnandet att omfattas av samma bestämmelser om hälso- och sjukvårdssekretess och även behandlas för samma ändamål som gällde innan utlämnandet. I övrigt är patientens integritetsskyddande rättigheter oförändrade. Det talar tillsammans för att det ur ett integritetsskyddsperspektiv svårligen kan sägas att den enskilde lider men av ett sådant utlämnande som en övergång av personuppgiftsansvaret innebär.
Vidare kan en övergång av personuppgiftsansvar för central behandling av personuppgifter även jämföras med en traditionell verksamhetsövergång där en ny aktör övertar en befintlig verksamhet. Ett kvalitetsregister som är föremål för byte av personuppgiftsansvarig myndighet kan liknas vid en vårdcentral där hela vårdgivarens verksamhet köps upp av en ny aktör. En sådan verksamhetsövergång, där de personuppgifter som behandlas ingår i själva överlåtelsen, har sedan länge bedömts kunna göras utan hinder av bestämmelser om sekretess. Det saknas enligt vår uppfattning anledning att bedöma den här aktuella frågan om kvalitetsregister annorlunda.
Sammantaget anser vi att en tillämpning av gällande rätt ger stöd för en sådan förändrad fördelning av personuppgiftsansvar för central behandling av personuppgifter som har beskrivits i detta avsnitt. Vi bedömer inte att några uttryckliga regler härom bör införas i lagstiftning.
547
18 En socialtjänst i utveckling
18.1 Vad är socialtjänst?
Socialtjänsten har ett mycket brett uppdrag med många olika uppgifter, exempelvis att ge stöd och hjälp till utsatta barn och deras familjer, vård och behandling till missbrukare, daglig vård och omsorg om äldre, stöd och service till personer med psykisk ohälsa och funktionshinder, ekonomiskt bistånd till personer med svårigheter att försörja sig och mottagandet av flyktingar. Med socialtjänst jämställs även verksamhet enligt lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS.
Av 1 kap. 1 § socialtjänstlagen (2001:453), förkortad SoL, följer att socialtjänsten ska främja människornas
ekonomiska och sociala trygghet,
jämlikhet i levnadsvillkor,
aktiva deltagande i arbetslivet.
Socialtjänsten ska under hänsynstagande till människans ansvar för sin och andras sociala situation inriktas på att frigöra och utveckla enskilda och gruppers egna resurser. Verksamheten ska bygga på respekt för människornas självbestämmande och integritet.
I detta avsnitt ges en redovisning av socialtjänstens uppdrag, verksamhet och organisatoriska förutsättningar. En närmare beskrivning av den ökande samverkan mellan socialtjänst och hälso- och sjukvård återfinns i det avsnitt som handlar om informationshantering rörande personer som har behov av insatser både från socialtjänsten och från hälso- och sjukvården. Se vidare avsnitt 31 och 32.
En socialtjänst i utveckling SOU 2014:23
548
Definition av socialtjänst
Det finns i dag ingen enhetlig definition för vad som närmare ska räknas som socialtjänst utan det finns en rad olika uppräkningar i olika lagstiftning. Som vägledning bör dock definitionen i 26 kap. 1 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, kunna tjäna. Av bestämmelsen följer att med socialtjänst förstås
1. verksamhet enligt lagstiftningen om socialtjänst,
2. verksamhet enligt den särskilda lagstiftningen om vård av unga
och missbrukare utan samtycke, och
3. verksamhet som i annat fall enligt lag bedrivs av socialnämnd
eller av Statens institutionsstyrelse.
Till socialtjänst räknas också
1. verksamhet hos annan myndighet som innefattar omprövning av
socialnämnds beslut eller särskild tillsyn över nämndens verksamhet, och
2. verksamhet hos kommunal invandrarbyrå.
Med socialtjänst jämställs
1. ärenden om bistånd åt asylsökande och andra utlänningar,
2. ärenden om tillstånd till parkering för rörelsehindrade
3. ärenden om allmän omvårdnad hos nämnd med uppgift att
bedriva patientnämndsverksamhet, och
4. verksamhet enligt lagstiftningen om stöd och service till vissa
funktionshindrade.
18.2 Kommunernas ansvar för socialtjänsten
Av 2 kap. 1 § SoL följer att varje kommun svarar för socialtjänsten inom sitt område, och har det yttersta ansvaret för att enskilda får det stöd och den hjälp som de behöver. Det handlar exempelvis om försörjningsstöd, vård av barn och unga, vård av personer med missbruksproblem och åtgärder för andra utsatta grupper i samhället. Det innebär dock ingen inskränkning i det ansvar som vilar på andra huvudmän.
SOU 2014:23 En socialtjänst i utveckling
549
Genom bestämmelser i SoL har kommunerna fått möjlighet att sluta avtal med annan om att utföra kommunens uppgifter inom socialtjänsten. Genom ett sådant avtal får en kommun även tillhandahålla tjänster åt en annan kommun. Däremot får uppgifter som innefattar myndighetsutövning inte överlämnas till ett bolag, en förening, en samfällighet, en stiftelse eller en enskild individ.
För äldre finns en värdegrund som gäller för äldreomsorgen i såväl offentlig som privat regi.1Socialtjänstens omsorg om äldre ska inriktas på att äldre personer får leva ett värdigt liv och känna välbefinnande (värdegrund). Värdegrunden omfattar både handläggning av ärenden och utförandet av själva insatsen.
I det följande redogörs kort för ett antal olika områden inom kommunernas socialtjänst. Det bör i sammanhanget noteras att de antalsuppgifter m.m. som presenteras i allmänhet endast innefattar sådana insatser som har föregåtts av en individuell behovsprövning, dvs. att ett biståndsbeslut har fattats. Som utredningen kommer att uppmärksamma i det fortgående har utvecklingen dock kommit att medföra att allt mer av socialtjänstens verksamhet utförs utan att sådana biståndsbeslut fattas, dvs. inom ramen för vad som ofta kallas råd och stöd. För en mer rättvisande bild av socialtjänstens innehåll och omfattning skulle därför även dessa insatser behöva tas med. Någon kvalificerad statistik över det som ges inom ramen för råd och stöd har vi inte funnit.
Hemtjänst
Av 5 kap. 5 § SoL följer att kommunen ska tillhandahålla stöd och hjälp i hemmet till enskilda som behöver detta. Någon enhetlig definition av begreppet hemtjänst finns inte, utan kommunerna benämner det på lite olika sätt och delar ofta även upp begreppet i servicetjänster och personlig omvårdnad. Som servicetjänster räknas vanligtvis sådant som hjälp med inköp, uträtta ärenden, sköta bostaden och att laga eller tillhandahålla mat. Personlig omvårdnad kan sedan beskrivas som de insatser som utöver servicetjänster behövs för att den enskildes behov ska tillgodoses. Det kan handla om hjälp med att sköta den personliga hygienen, hjälp med att förflytta sig, ledsagning och hjälp med att äta och dricka. Även trygghetslarm ingår i hemtjänsten.
En socialtjänst i utveckling SOU 2014:23
550
I sammanhanget kan noteras att den 1 oktober 2012 uppgick antalet äldre med hemtjänst i det egna hemmet, s.k. ordinärt boende, till 220 000 personer.2
Stöd och service till vissa funktionshindrade
Ansvaret för individuella stödinsatser när det gäller olika former av funktionshinder ligger framför allt på kommuner och landsting. Det gäller insatser både enligt socialtjänstlagen och enligt lagen om stöd och service till vissa funktionshindrade. Exempelvis har landstingen ansvaret för insatsen rådgivning och annat personligt stöd enligt LSS. Som exempel på särskilda insatser som kan begäras enligt LSS kan följande nämnas.
• Råd och stöd – rådgivning och annat personligt stöd som ställer krav på särskild kunskap om förutsättningarna för människor med stora och varaktiga funktionshinder.
• Personlig assistans – biträde av personlig assistent eller ekonomiskt stöd till sådan assistans som exempelvis rör hjälp med personlig hygien, måltider, påklädning eller kommunikation med andra.
• Ledsagarservice – service för att underlätta möjligheterna att delta i samhällslivet m.m.
• Kontaktperson – biträde av kontaktperson för att utgöra ett personligt stöd och underlätta ett självständigt liv.
Andra insatser är exempelvis avlösarservice, korttidsvistelse och korttidstillsyn.
För människor med funktionshinder ska kommunen även medverka till att den enskilde får en meningsfull sysselsättning. Enligt 9 § 10 punkten LSS ska kommunen erbjuda daglig verksamhet för personer i yrkesverksam ålder som saknar arbete och som inte utbildar sig. Sådan daglig verksamhet bör innehålla både aktiviteter med habilitering och mer produktionsinriktade uppgifter. Det senare innebär dock inte att det är fråga om något avlönat arbete där syftet är att tillhandahålla tjänster eller producera varor. I sammanhanget kan nämnas att företag som vill erbjuda daglig
2 Äldre och personer med funktionsnedsättning – regiform år 2012, Socialstyrelsen (2013).
SOU 2014:23 En socialtjänst i utveckling
551
verksamhet behöver tillstånd från Inspektionen för vård och omsorg.
Kommunen har även ansvaret för att personer med funktionshinder får bo på ett sätt som är anpassat efter den enskildes behov av särskilt stöd. Kommunen ska även inrätta bostäder med särskild service för dem som till följd av funktionshinder behöver ett sådant boende. Ett av de grundläggande syften med LSS är just att tillförsäkra personer med funktionshinder goda levnadsvillkor och rätten till en bostad som är särskilt anpassad efter en enskildes behov. Boendet kan vara ett gruppboende, serviceboende eller annat särskilt anpassat boende. Betydelsen av ett eget boende med allt vad det innebär i form av trygghet och trivsel har av regeringen i förarbetena till LSS uttryckts enligt följande.3
Ingen annan enskild faktor kan sägas ha så stor betydelse för känslan av den egna identiteten som den egna bostaden. Det är i bostaden man normalt tillgodoser sina mest elementära behov och bostaden är för de flesta människor tillsammans med arbetet den plattform från vilken man skapar relationer med andra människor och deltar i samhällslivet. Många personer med omfattande funktionshinder tillbringar en stor del av sin dag i det egna hemmet. Därför är bostaden många gånger ännu mer betydelsefull för personer med funktionshinder än den är för icke funktionshindrade personer.
Den 1 oktober 2012 hade, enligt en rapport från Socialstyrelsen, 64 200 personer en eller flera insatser enligt LSS (exklusive insatsen råd och stöd).4 Det är en ökning med ungefär 15 procent under en sexårsperiod, dvs. sedan år 2006. Av samma rapport följer att 24 400 av dessa personer hade insatsen bostad med särskild service för vuxna eller annan särskilt anpassad bostad för vuxna.
Vidare följer av SoL att kommunen ska ingå en överenskommelse med landstinget om ett samarbete i fråga om personer med psykisk funktionsnedsättning.
Personer med funktionsnedsättning kan, precis som andra, även ha behov av kommunal hälso- och sjukvård. I statistik från Socialstyrelsen anges att det i oktober 2012 fanns 29 400 personer med funktionsnedsättning under 65 år som fick insatser från den kommunala hälso- och sjukvården. 78 procent av dessa bodde i
3Prop. 1992/93:159 s. 83. 4 Personer med funktionsnedsättning – insatser enligt LSS år 2012, Socialstyrelsen (2013).
En socialtjänst i utveckling SOU 2014:23
552
kommuner som helt eller delvis hade övertagit ansvaret för hemsjukvården i ordinärt boende från landstinget.5
Äldreomsorg i särskilt boende
Kommunen har även ansvaret när det gäller äldreomsorg enligt socialtjänstlagen. Det handlar exempelvis om att kommunen ska verka för att äldre människor får goda bostäder och det stöd och hjälp i hemmet som de behöver. För äldre människor som behöver särskilt stöd ska kommunen inrätta särskilda boendeformer, s.k. särskilt boende, för service och omvårdnad.6
Den 1 oktober 2012 bodde omkring 86 800 personer över 65 år permanent i särskilda boendeformer.7Av dessa var ca 70 300 eller 4 av 5 fyllda 80 år. Enligt rapporten från Socialstyrelsen fanns det 2011 omkring 2 700 särskilda boenden, varav 900 korttidsboenden och 325 servicehus. På ett särskilt boende bor i genomsnitt ungefär 40 personer.
I sammanhanget kan även nämnas att det av den ovan nämnda rapporten från Socialstyrelsen framgår att 161 000 personer över 65 år fick insatser från den kommunala hälso- och sjukvården någon gång under oktober 2012.
Barn och unga
Kommunen har ett omfattande ansvar för barn och ungas levnadssituation. Det handlar både om ett ansvar för förebyggande åtgärder, t.ex. att motverka missbruk och verka för att barn växer upp under trygga förhållanden, och ett ansvar för det särskilda stöd som föranleds när barnet riskerar att utvecklas ogynnsamt.
När det gäller insatser till barn och unga enligt SoL eller lagen (1990:52) om särskilda bestämmelser om vård av unga, förkortad LVU, framgår bland annat följande av statistik från Socialstyrelsen.8Noteras kan att insatser till barn och unga på grund av funktionsnedsättning eller insatser som ges utan biståndsbeslut inte ingår i statistiken.
5 Personer md funktionsnedsättning – vård och omsorg 1 oktober 2012, Socialstyrelsen (2013). 65 kap. 5 § andra stycket SoL. 7 Äldre- vård och omsorg den 1 oktober 2012, Socialstyrelsen (2013). 8 Barn och unga – insatser år 2012, Vissa insatser enligt SoL och LVU, Socialstyrelsen (2013).
SOU 2014:23 En socialtjänst i utveckling
553
• Nästan 29 600 barn och unga hade heldygnsinsats någon gång under år 2012. Med heldygnsinsats avses vård med placering enligt SoL eller LVU eller omedelbart omhändertagande enligt LVU.
• Bland pojkar i åldrarna 13–17 år har andelen som placerats på
Hem för vård eller boende (HVB) femdubblats under en åttaårsperiod, dvs. mellan 2004 och 2012.
• Ungefär 28 200 barn och unga hade en eller flera öppenvårdsinsatser den 1 november 2012. Med öppenvårdsinsatser avses strukturerade öppenvårdsprogram enligt SoL, behovsprövat personligt stöd enligt SoL samt kontaktperson eller kontaktfamilj enligt SoL.
Personer med missbruk och beroende
För personer med missbruksproblem ska kommunen aktivt sörja för att den enskilde får den hjälp och vård som han eller hon behöver för att komma ifrån missbruket. Kommunerna fullgör detta i dag både genom individuellt behovsprövade insatser och sådana insatser som ges utan biståndsbeslut, s.k. råd och stöd.
Av statistik från Socialstyrelsen vad gäller socialtjänstens insatser för vuxna med missbruks- och beroendeproblem år 2012 framgår bland annat följande.9 De insatser som kommunerna ger utan biståndsbeslut ingår inte i statistiken.
• Den 1 november 2012 hade drygt 6 200 personer med missbruks- och beroendeproblem bistånd som avser boende. Bistånd som avser boende omfattade totalt omkring två miljoner boendedygn under 2012. Biståndet fördelades på 15 000 inskrivningar under året, vilket innebär att det genomsnittliga antalet boendedygn per inskrivningar var 133 dygn.
• Vid samma tidpunkt hade cirka 11 200 personer någon typ av individuellt behovsprövad öppen insats, t.ex. rådgivning, motivation och behandling för sitt missbruk och beroende. Under hela året beviljades omkring 27 500 sådana insatser.
9 Insatser år 2012 för vuxna personer med missbruks- och beroendeproblem och för övriga vuxna, Socialstyrelsen (2013).
En socialtjänst i utveckling SOU 2014:23
554
• Under hela 2012 vårdades omkring 7 400 personer med missbruks- och beroendeproblem i frivillig institutionsvård enligt socialtjänstlagen.
Familjerådgivning
Av 5 kap. 3 § SoL följer att kommunerna ska se till att familjerådgivning erbjuds de som begär det. Syftet med familjerådgivningen kan sägas vara att genom samtal medverka till bearbetning av samlevnadsproblem och konflikter m.m. i par- och familjerelationer. Det kan uppmärksammas att familjerådgivningen utgör en i sekretesshänseende självständig verksamhet i socialtjänsten. Antalet ärenden i kommunernas familjerådgivning uppgick till omkring 33 000 under år 2012.10
18.3 Ansvar för Statens institutionsstyrelse (SiS)
Statens institutionsstyrelse (SiS) ansvarar för den statligt bedrivna ungdoms- och missbrukarvården som bedrivs utan individens eget samtycke enligt lagen (1988:870) om vård av missbrukare i vissa fall, förkortad LVM, lagen med särskilda bestämmelser om vård av unga samt lagen (1998:603) om verkställighet av sluten ungdomsvård, förkortad LSU.
SiS ansvarar för själva utförandet och verkställigheten, även om planeringen görs i nära samverkan med den enskildes hemkommun.
18.4 Ansvar för landstingen
Även landstingen har ett ansvar för att avhjälpa sociala problem eller påverka förhållanden som orsakar eller förstärker problemen. Av hälso- och sjukvårdslagen (1982:763), förkortad HSL, följer att landstingen exempelvis har ansvar för habilitering och rehabilitering rörande personer med missbruk och psykiska problem. Vidare har landstinget ett ansvar för funktionshindrades behov av hjälpmedel. Landstingens ansvar omfattar dock inte sådana insatser som en kommun har ansvar för, exempelvis rehabilitering och habilitering för personer i särskilda boenden.
10 Kommunal familjerådgivning under 2012, Socialstyrelsen (2013).
SOU 2014:23 En socialtjänst i utveckling
555
18.5 Samverkan med andra huvudmän
Förutom kommunerna, som har huvudansvaret för den sociala omsorgen, finns det några aktörer med olika uppdrag vad gäller att påverka människors livssituation i en positiv riktning. Ett exempel på en sådan aktör är arbetsförmedlingen och dess ansvar för att underlätta ny- och återinträde på arbetsmarknaden. Detta gäller inte minst bland personer med psykisk ohälsa eller missbruksproblematik. Ytterligare en aktör med en viktig roll i detta sammanhang är Försäkringskassan.
Även skolan har ett ansvar för elever i behov av särskilt stöd och kan ofta behöva samverka med kommunens socialtjänst i olika frågor för att hjälpa barn och unga med sociala utmaningar.
Över huvud taget förekommer mycket samverkan mellan olika aktörer för att stötta de personer som är i behov av insatser av olika karaktär för att kunna förbättra sin livsföring eller öka sina förutsättningar att t.ex. få en sysselsättning. Lagstiftaren har även tagit initiativ för att öka förutsättningarna för samverkan. Av 3 § HSL följer att landstinget får träffa överenskommelse med kommun, Försäkringskassa och Arbetsförmedlingen om att inom ramen för landstingets uppgifter samverka i syfte att uppnå en effektivare användning av tillgängliga resurser. Landstinget ska bidra till finansiering av sådan verksamhet som bedrivs i samverkan. Enligt bestämmelser i lagen (2003:1210) om finansiell samordning av rehabiliteringsinsatser får landstinget delta i finansiell samordning inom rehabiliteringsområdet. Motsvarande bestämmelser finns för kommunens del i 2 kap. 6 § SoL.
För att sådan finansiell samordning ska komma till stånd krävs att Försäkringskassa, Arbetsförmedling, landsting och kommun deltar som samverkande parter. Den finansiella samordningen ska bedrivas genom ett fristående samordningsförbund där parterna är representerade. Målgruppen består av personer som är i behov av samordnade rehabiliteringsinsatser från flera av de samverkande parterna med det primära syftet att uppnå eller förbättra sin förmåga till förvärvsarbete. Ett annat viktigt syfte är att förhindra att människor hamnar mellan stolarna eller blir föremål för en rundgång mellan olika aktörer.
Samordningsförbundet ska, inom ramen för den finansiella samordningen, finansiera samordnade rehabiliteringsinsatser och andra aktiva åtgärder inom de samverkande parternas ansvarsområde. Förbundet ansvarar också för lokal uppföljning och utvärdering.
En socialtjänst i utveckling SOU 2014:23
556
Däremot får samordningsförbundet inte ägna sig åt myndighetsutövning gentemot enskilda personer. Det ansvarar alltså inte får själva rehabiliteringsinsatserna eller andra aktiva åtgärder i enskilda fall. De samverkande parterna behåller sitt nuvarande ansvar för rehabilitering och annat stöd till enskilda personer. Rehabiliteringsinsatser och andra aktiva åtgärder beviljas i de enskilda fallen av respektive samverkande part.
Ett resultat av den finansiella samordningen kan exempelvis vara att parterna finansierar särskilda projekt som syftar till effektiv samverkan för att uppnå målen. Det kan bl.a. handla om att förbundet stöder en integrerad verksamhet med representanter från de olika aktörerna som alla tillsammans arbetar för att öka den enskildes möjligheter till förvärvsarbete. Som ett av flera exempel på detta kan nämnas projektet Columbus i Göteborg. Det är ett initiativ som integrerar personal från landstinget (psykiater), kommunen (psykologer och coacher), Försäkringskassan (coach) och Arbetsförmedlingen (coach). Personalen arbetar i samma lokaler och tar ett gemensamt ansvar för unga vuxna mellan 18–29 år med psykisk ohälsa och svårigheter att komma ut i arbetslivet. Även om personalen har sina grundanställningar hos respektive aktör bedrivs själva verksamheten helt integrerat för att kunna stötta den unge på ett optimalt sätt. Ingen myndighetsutövning förekommer utan det är i stället fråga om att gemensamt och utifrån varje profession utföra de vård-, omsorgs- och stödinsatser som behövs för att öka förutsättningarna för den unge vuxne att få ett arbete.
18.6 Privata utförare i socialtjänsten
Kommunerna har möjligheter att sluta avtal med annan om att utföra kommunens uppgifter inom socialtjänsten. Det finns i dag ett antal tänkbara sätt att göra detta. Ett är att genom ett avtal anlita en extern leverantör som åtar sig att för kommunens räkning varaktigt och självständigt utföra en eller flera tjänster på socialtjänstens område. Ett sådant avtal innebär dock inte att kommunen kan frånhända sig till övergripande ansvar som huvudman för verksamheten. Det innebär exempelvis att kommunen alltid har ett ansvar för den utförda verksamhetens inriktning och kvalitet. Ansvaret omfattar även uppföljning och utvärdering.
En kommun kan även köpa enstaka platser eller tjänster på privata anläggningar. I sådana fall har kommunen inget ansvar för
SOU 2014:23 En socialtjänst i utveckling
557
verksamhetens inriktning, men alltjämt för att de insatser den enskilde får håller god kvalitet.
18.6.1 Valfrihetssystem i socialtjänsten
Många kommuner har även valt att införa valfrihetssystem enligt lagen (2008:962) om valfrihetssystem, förkortad LOV, på socialtjänstens område, vilket innebär att antalet privata utförare har ökat de senast åren. LOV har gjort det möjligt för kommuner som vill konkurrenspröva verksamheter att överlåta valet av utförare av stöd, vård- och omsorgstjänster på socialtjänstområdet till individen. Precis som för hälso- och sjukvården anger kommunen i ett förfrågningsunderlag de villkor som leverantören ska uppfylla för att bli godkänd. LOV förändrar inte det faktum att kommunen är huvudman för verksamheten och har därmed ansvar för att tjänsterna tillhandahålls individen enligt lagstiftningen och att de motsvarar uppställda kvalitetskrav.
Fram till 2011 hade 248 av landets 290 kommuner sökt och beviljats stimulansmedel för att förbereda eller utveckla valfrihetssystem enligt LOV inom äldreomsorg och när det gäller stödinsatser för personer med funktionsnedsättning. Det är vanligast att valfrihetssystemen omfattar en kombination av service och omvårdnadsinsatser inom hemtjänsten, enligt Socialstyrelsens delrapport Stimulansbidrag LOV (2012).
Enligt Sveriges Kommuner och Landsting, SKL, fanns i oktober 2013 valfrihetssystem infört i sammanlagt 144 kommuner. Ytterligare 37 kommuner hade vid detta tillfälle beslutat om att införa valfrihetssystem enligt LOV medan 42 kommuner beslutat att inte göra detta. I 38 av de 67 kommuner som ännu inte tagit ställning utreds frågan om ett införande.
Kommunernas möjligheter att genom upphandling eller införande av valfrihetssystem överlåta utförandet av socialtjänst till privata aktörer har gjort att mångfalden av utförare i dag är betydligt större än vad det har varit tidigare. Under 2010 fanns det t.ex. 687 externa utförare inom kommunernas valfrihetssystem, enligt Konkurrensverkets delrapport Kommunernas valfrihetssystem – så fungerar konkurrensen. Utredningen om framtida valfrihetssystem inom socialtjänsten presenterar i sitt betänkande att siffran i juli 2013 var uppe i 846 unika utförare anslutna till
En socialtjänst i utveckling SOU 2014:23
558
kommunernas valfrihetssystem.11I betänkandet uppmärksammas även att det totalt finns 618 privata utförare anslutna till kommuneras valfrihetssystem rörande hemtjänst. Det kan jämföras med Konkurrensverkets undersökning som visar 499 privata utförare beträffande hemtjänst i slutet av 2011.12 Under perioden, drygt 18 månader, har således 119 privat utförare tillkommit, en ökning med 24 procent.
När det gäller äldreomsorgen framgår av Socialstyrelsens Äldreguide att det 2011 fanns omkring 2700 särskilda boenden i Sverige. Av dessa var 900 kortidsboenden och 325 servicehus. Vidare framgår att 84 procent av dessa drivs i kommunal regi och 16 procent i privat regi. De privata utförarna har i genomsnitt fler äldre personer per enhet, 44 personer jämfört med 33 för kommunala utförare. Det gör att det vid denna tidpunkt var ungefär 20 procent av de äldre som vistades på ett särskilt boende som drivs i privat regi jämfört med 80 procent i kommunala boenden. Variationerna bland landets kommuner är dock väldigt stora.
För att få en ännu mer rättvis bild över andelen privata utförare i socialtjänsten skulle man även behöva ta reda på hur många privata utförare som kommunerna har upphandlat genom lagen (2007:1091) om offentlig upphandling, förkortad LOU. Vi har dock inte fått fram några sådana siffror som vi kan presentera. Konstateras kan dock att mångfalden av utförare har ökat i betydande omfattning i socialtjänsten de senaste åren.
Olika varianter av valfrihetssystem
Bland kommunerna förekommer ett antal olika varianter för valfrihetssystemet. Förutom skillnader i ersättningssystem m.m. finns skillnader i vilka tjänster man väljer ska ingå i valfrihetssystemet, dvs. för vilka tjänster individen själv kan välja utförare. Enligt SKL är det i oktober 2013 156 kommuner som har valfrihet inom hemtjänsten. Av dessa har 127 kommuner valfrihet både för omvårdnads- och servicetjänster, medan 29 kommuner har valfrihet endast för servicetjänster. Noteras kan även att 53 kommuner för hemsjukvården. Endast 10 kommuner har valfrihetssystem för särskilt boende för äldre.
11SOU 2014:2, Framtidens valfrihetssystem – inom socialtjänsten, s. 73. 12 Kommunernas valfrihetssystem, Konkurrensverket, Rapport 2013:1.
SOU 2014:23 En socialtjänst i utveckling
559
När det gäller de kommuner som har infört valfrihetssystem i hemsjukvården föreligger även stora skillnader i utbudet för den enskilde. I 8 av de 53 kommunerna har valfrihetssystem införts i hela hemsjukvården, dvs. för alla insatser som ges med stöd av HSL. I resterande 45 kommuner har valfrihetssystemet endast införts för de hälso- och sjukvårdsinsatser som utförs av personal utan legitimation. I dessa kommuner har alltså ansvaret för insatser av sjuksköterskor, arbetsterapeuter och sjukgymnaster behållits av kommunen själv, medan insatser gjorda av omsorgspersonal utförs av de organisationer som ingår i valfrihetssystemet. Det benämns ibland som delegerad hemsjukvård.
En sådan lösning kräver en tät och tydlig samverkan mellan den kommunala delen av hemsjukvården och den aktör som den enskilde valt för utförandet av omvårdnads- och delegerade insatser. Även med landstinget förekommer en viktig samverkan eftersom landstinget ansvarar för läkarinsatserna inom ramen för hemsjukvården. Insatser som även de kan utföras av privata vårdgivare.
Utredningen om framtida valfrihetssystem inom socialtjänsten
Utredningen om framtida valfrihetssystem inom socialtjänsten har i sitt nyligen överlämnade delbetänkande bland annat beskrivit hur valfrihetssystemen har utvecklats och vilken betydelse de har haft för enskilda.13 Utredningen har gjort en kartläggning av befintliga utförare och jämfört kvalitet, kostnader och effektivitet mellan kommuner som tillämpar respektive inte tillämpar lagen om valfrihetssystem. Utredningen belyser även sambandet mellan vinstutdelning, ersättningssystem och kvalitet samt frågor om kvalitetsäkring och ekonomisk uppföljning.
Utredningens bedömning är att en enskild uppskattar möjligheten att välja utförare av hemtjänst och att möjligheten att välja bör inte vara beroende av i vilken kommun man bor. Mot den bakgrunden föreslås att en ändring i socialtjänstlagen görs som innebär att kommunerna ska vara skyldiga att skapa förutsättningar för enskilda att välja mellan olika utförare inom hemtjänsten. Det ska vara upp till en kommun att själv bestämma i vilken omfattning som ska omfattas av valfrihetslösningen.
För att det ska vara möjligt för en enskild att tillgodogöra sig fördelarna med valfrihet är att de har tillräckliga underlag för att
13SOU 2014:2.
En socialtjänst i utveckling SOU 2014:23
560
göra ett val. Utredningen föreslår därför att Socialstyrelsen får i uppdrag att ta fram en vägledning till stöd för personal i deras arbete med att informera en enskild vid valet av utförare. I uppdraget bör även ingå att Socialstyrelsen ska ta fram en vägledning för hur informationen kan förmedlas och göras tillgänglig för en enskild med nedsatt beslutsförmåga.
I betänkandet uppmärksammas även hur valfrihetssystemet har bidragit till att sätta fokus på frågor om kvalitet och kvalitetssäkring. Följande faktorer lyfts fram som särskilt viktiga för att få till stånd en fungerande uppföljning av kvaliteten i socialtjänsten.14
• Riktlinjer och stöd för hur kommunerna kan genomföra en ändamålsenlig uppföljning.
• Förtydligande av kommunernas ansvar för kvaliteten i upphandlad verksamhet.
• Offentliggörande av resultaten av uppföljningen
18.7 Sammanfattande reflektioner
Socialtjänsten har, i likhet med hälso- och sjukvården, genomgått en omfattande strukturförändring under senare år. Mångfalden av utförare har ökat liksom specialiseringen mellan utförarna. Medborgarna kan i större utsträckning själv välja utförare för hela eller delar av de insatser som beviljats. Samarbetet med andra aktörer har utvecklats och ställs inför nya utmaningar.
Utredningen om framtida valfrihetssystem anför exempelvis följande, som enligt vår uppfattning sammanfattar situationen på ett bra sätt.15
Detta får till följd att antalet aktörer som är delaktiga i vård och omsorg ökar. Valfrihetssystem ställer krav på samarbete i nya former eftersom de aktörer som utför omsorgen av en brukare kan komma att vara fler och variera över tid. Samarbete mellan aktörer och organisationer bygger på relationer mellan människor och ju fler sådana relationer som finns kring en brukare desto högre blir kraven på fungerande rutiner för samverkan.
SOU 2014:23 En socialtjänst i utveckling
561
Vi delar denna beskrivning och kan konstatera att såväl kraven på som behoven av samverkan inom och utom socialtjänsten sannolikt är större än någonsin tidigare. Till skillnad mot tidigare när de stora samverkansbehoven framför allt ansågs finnas mellan kommuner och landsting finns dagens behov av samverkan även inom en och samma kommun och ett och samma landsting, dvs. mellan det stora antal utförare av socialtjänst och vårdgivare i hälso- och sjukvården som har etablerats med offentlig finansiering under de senaste åren.
Enskilda i socialtjänsten och patienter i hälso- och sjukvården rör sig därmed i dag i ett helt annat landskap än förut, när det i princip uteslutande talades om gränsen mellan kommuner och landsting. De gränserna har blivit allt fler i dag. På en övergripande nivå blir det även tydligt att nya samverkansformer utvecklas mellan det offentligas och det privatas intresse- och samarbetsorganisationer.
Sammantaget är bilden i dag mer komplex än tidigare, vilket även innebär att det behöver finnas goda förutsättningar för att samverka på ett ändamålsenligt sätt för att individer ska få bästa möjliga socialtjänst och hälso- och sjukvård. Det är inte minst viktigt att de legala kraven på samverkan backas upp av legala förutsättningar för en sådan samverkan.
Vidare kan konstateras att huvudmännens lagstadgade ansvar för socialtjänst, och för den delen även hälso- och sjukvård, är bestående och påverkas i sig inte av valfrihetsreformernas införande. Däremot är det tydligt att formerna för och kraven på samverkan mellan kommuner och landsting påverkas av att valfrihetssystem blivit obligatoriska inom primärvården och ökat i omfattning inom socialtjänsten. Detta medför bl.a. ökade och delvis nya behov av en samlad kvalitetssäkring och kvalitetsutveckling av socialtjänstens verksamhet. För huvudmannen behöver det därför finnas goda förutsättningar att säkra kvaliteten i den socialtjänst som invånarna får, alldeles oavsett om socialtjänsten drivs av kommunen själv eller av en privat aktör.
Sedan vill vi återigen understryka att socialtjänsten har ett viktigt och diversifierat uppdrag som rör en mängd olika situationer i människors liv. I olika delar av landet och ibland i olika delar av samma kommun föreligger även skillnader i omfattning och förutsättningar för verksamheten. Det kan därför vara något vanskligt att prata om socialtjänst som något allt igenom homogent och enhetligt. Samtidigt är de grundläggande värderingarna och övergripande målen som uttrycks genom socialtjänstlagen samma
En socialtjänst i utveckling SOU 2014:23
562
för all socialtjänst som bedrivs. De grundförutsättningar som lagstiftningen om informationshantering tillhandahåller bör därför så långt möjligt vara såväl robusta, för att exempelvis bidra till en bibehållen rättssäkerhet, som flexibla för att möta de skillnader som finns i organisationsformer, mångfald och andra faktorer.
563
19 Informationshantering inom socialtjänsten
19.1 Bakgrund
Socialtjänstens uppdrag spänner över ett väldigt brett område som innehåller många olika uppgifter och ansvarsområden. Det handlar exempelvis om att ge stöd och hjälp till utsatta barn och deras familjer, att ge vård och behandling till personer med missbruksproblematik, att ge daglig vård och omsorg om äldre samt ge stöd och service till personer med psykisk ohälsa eller funktionshinder. I socialtjänstens uppdrag ingår även att ge ekonomiskt bistånd till personer med svårigheter att försörja sig och att ta emot flyktingar och invandrare på ett ändamålsenligt sätt.
Socialtjänstens breda verksamhetsområde medför att informationshanteringen är mångfacetterad i den meningen att information hanteras för många olika ändamål, i flera olika processer, under olika långa tidsperioder och utbyts av ett antal olika aktörer beroende på vad saken rör.
Som redovisas närmare i avsnitt 18 har kommunen det yttersta ansvaret för socialtjänsten inom sitt område, men i praktiken finns som visats många andra aktörer som tillsammans med och vid sidan av kommunen bidrar till att enskilda får det stöd som lagstiftningen om socialtjänst föreskriver. Informationshanteringen förekommer inte sällan i olika skeden av processen, exempelvis initialt av kommunen i samband med en individuell behovsbedömning (biståndsbedömning) och därefter av en kommunal eller privat utförare i samband med genomförandet av beslutade insatser. Dokumentation kan även ske i sådan verksamhet som erbjuds som råd och service, dvs. verksamhet som enskilda kan vända sig till utan att först ha ansökt och fått insatsen beviljad genom ett biståndsbeslut.
Informationshantering inom socialtjänsten SOU 2014:23
564
19.2 Dokumentation och handläggning för rättssäkerhet, kvalitet och insyn
Både i socialtjänstlagen (2001:453), förkortad SoL, och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, finns bestämmelser om krav på dokumentation. I lagarna uttrycks som en utgångspunkt att handläggning av ärenden som rör enskilda samt genomförande av beslut om stödinsatser, vård och behandling ska dokumenteras. Dokumentationen ska utvisa beslut och åtgärder som vidtas i ärenden samt faktiska omständigheter och händelser av betydelse.
Vidare anges att den enskilde bör hållas underrättad om de journalanteckningar och andra anteckningar som förs om honom eller henne. Genom hänvisningar till förvaltningslagens (1986:223) bestämmelser tydliggörs även att socialtjänsten bland annat har att tillämpa reglerna om remiss, en parts rätt att meddela sig muntligen, en parts rätt att få del av uppgifter, motivering av beslut, underrättelse av beslut m.m.
Ett grundläggande syfte med dokumentationen är att tillgodoses den enskildes rättsäkerhet, dvs. att den enskilde ska få sin sak prövad och avgjord på ett sakligt och opartiskt sätt. Allt som har kommit fram i en utredning om den enskilde och som har avgörande betydelse för en myndighets ställningstagande i ett ärende ska dokumenteras. Dokumentation och den enskildes rätt till insyn i ärenden som rör myndighetsutövning stärker den enskildes skydd mot felaktig eller bristfällig myndighetsutövning. 1Dokumentationen är därför viktig för att den enskilde sak kunna klaga eller begära rättelse och för att förvaltningsdomstolar ska få det underlag som beslutsfattaren har haft för att kunna pröva ett överklagande.
Det individuella tjänstemannaansvaret i socialtjänsten medför att det är den enskilde tjänstemannen som är ansvarig för innehållet i den anteckning som han eller hon gör om varje enskild person. Det är viktigt för personalens rättsliga ställning och ansvar att dokumentera uppgifter som rör det enskilda ärendet och ärendets
1 Myndighetsutövning är beslut eller andra åtgärder som ytterst är ett uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Det behöver inte vara frågan om åtgärder som innebär förpliktelser för enskilda utan kan även vara gynnande beslut t.ex. bistånd. Ärenden som avgörs genom att myndigheten träffar avtal eller överenskommelser i saken med enskild faller utanför tillämpningsområdet för förvaltningslagens särskilda bestämmelser om myndighetsutövning.
SOU 2014:23 Informationshantering inom socialtjänsten
565
handläggning. Dokumentation ska säkerställa god kvalitet i såväl beslutsfattande som genomförande av en insats.
En korrekt och fullständig dokumentation underlättar även en individuell uppföljning av om den enskilde får den insats som han eller hon är berättigad till enligt beslut samt om insatserna ges i enlighet med fastställda kvalitetskriterier och normer. Det är också viktigt för att den enskilde ska få kontinuitet när det gäller beslutade och överenskomna insatser. Det är en skyldighet för ansvarig tjänsteman att dokumentera och detta gäller oberoende av den enskildes inställning till dokumentationen som sådan. (11 kap. 5 § SoL och 21 a § LSS). Den enskilde kan således inte motsätta sig sådan dokumentation som enligt lag ska göras i socialtjänsten.
Ett annat viktigt syfte med dokumentationen är att möjliggöra för kommunen som huvudman att kunna följa upp och utvärdera sin verksamhet samt att planera olika insatser och aktiviteter. En god dokumentation underlättar också för ett systematiskt och fortlöpande arbete med att utveckla och säkra verksamheter så att man kan upprätthålla en god kvalitet.
19.3 Informationshantering i olika skeden
Även om informationshantering inom socialtjänsten förekommer kontinuerligt kan det urskiljas tre eller fyra olika skeden som vart och ett ligger till grund för att uppgifter om enskilda dokumenteras och används. Det första skedet kan utgöras av den förhandsbedömning en socialnämnd gör angående skälen att inleda en utredning enligt 11 kap. SoL. Det kan exempelvis handla om en bedömning om det finns skäl att inleda en utredning för att ta reda på om ett barn är i behov av särskilt skydd.
En stor del av informationshanteringen görs sedan i nästa skede när en individuell behovsbedömning görs. I det skedet dokumenteras och inhämtas uppgifter för att en biståndshandläggare ska kunna fatta beslut om socialtjänstinsatser som den enskilde har ansökt om, t.ex. hemtjänst. När sedan insatserna är beslutade och genomförs av personal inom hemtjänsten görs nästa steg i dokumentationsprocessen. Under genomförandefasen kan såväl kommunala som privata eller idéburna utförare står för insatserna och dokumentationen, i många fall beroende på vilken utförare den enskilde själv har valt. För att de beslutade insatserna ska kunna genomföras på ett ändamålsenligt sätt görs ett informationsutbyte
Informationshantering inom socialtjänsten SOU 2014:23
566
mellan den kommunala verksamhet som fattat beslut om insatsen och den utförare som ska genomföra beslutet.
Som ett fjärde steg i processen hanteras ofta uppgifter om enskilda för att följa upp de insatser som har genomförts. Det kan exempelvis handla om att kommunen som huvudman följer upp att den enskilde får den beviljade insatsen utförd enligt nämndens beslut och gällande författningar.
Under den myndighetsutövande processen socialtjänsten utreder och fattar beslut i ärenden hanteras information i första hand av kommunen som huvudman. I detta skede inhämtas vanligtvis även information från andra källor som bedöms nödvändiga för att driva utredningen framåt och fatta ett beslut på goda grunder. Förutom från den enskilde som omfattas av utredningen förekommer att kommunen inhämtar information exempelvis från anhöriga, hälso- och sjukvården, skolan, polisen m.fl.
I vissa ärenden förekommer även en omfattande informationsinhämtning från andra myndigheter eller andra aktörer som Centrala studiestödsnämnden (CSN), Försäkringskassan, Skatteverket, Arbetsförmedlingen, Pensionsmyndigheten samt arbetslöshetskassorna. Dessa har en uppgiftsskyldighet i förhållande till kommunernas socialnämnder, vilken ger socialnämnden rätt att inhämta omfattande uppgifter om enskilda för sin egen handläggning av exempelvis ärenden om ekonomiskt bistånd. I ett antal olika författningar medges även att socialnämnden har direktåtkomst till de uppgifter som dessa myndigheter ska lämna ut till socialnämnden.2Det innebär att socialnämnden i stor utsträckning på eget initiativ kan bereda sig åtkomst till de uppgifterhos t.ex. CSN som behövs för att socialnämnden ska kunna fatta beslut i ett enskilt ärende. I dagsläget görs socialnämndens informationsinhämtning i viss mån elektroniskt, men till stor del förekommer även en manuell hantering genom brev, fax eller telefon. På uppdrag av E-delegationen driver CSN i samverkan med bl.a. Sveriges Kommuner och Landsting, Försäkringskassan och Arbetsförmedlingen projektet Effektiv informationsförsörjning (EIF). Syftet att minska den manuella hanteringen genom att bygga en tjänst som möjliggör för kommunen att via sitt verksamhetssystem elektroniskt inhämta information från flera myndigheter samt akassornas samorganisation. Förhoppningen är att projektet ska leda
2 Se bl.a. studiestödsdataförordning (2009:321), förordning (2003:766) om behandling av personuppgifter inom socialförsäkringens administration och lag (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten.
SOU 2014:23 Informationshantering inom socialtjänsten
567
till en förenklad och mer säker hantering av informationen samt frigöra arbetstid i kommunens handläggningsprocess.
19.4 Den rättsliga regleringen av dokumentation och personuppgiftsbehandling
Generellt kan sägas att den rättsliga regleringen för informationshantering inom socialtjänsten inte är lika omfattande som den för hälso- och sjukvården. Exempelvis regleras inte dokumentationsfrågorna särskilt utförligt i socialtjänsten, medan det för hälso- och sjukvårdens del finns en lång tradition av detaljerade författningsbestämmelser kring journalföringens innehåll m.m. De regler som styr handläggning och dokumentation i socialtjänsten återfinns framför allt i förvaltningslagen, socialtjänstlagen och de särskilda lagarna om vård av unga, vård av missbrukare samt stöd och service till vissa funktionshindrade. Socialstyrelsen har även utfärdat föreskrifter och allmänna råd (SOSFS 2006:5) om dokumentation vid handläggning av ärenden och genomförande av insatser enligt socialtjänstlagen, lag med särskilda bestämmelser om vård av unga, lag om vård av missbrukare i vissa fall och lag om stöd och service till vissa funktionshindrade.
Socialtjänstens hantering av personuppgifter regleras sedan genom närmare bestämmelser i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL, och förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPULF. Dessutom tillämpas bestämmelserna i personuppgiftslagen (1998:204), förkortad PUL.
Av de grundläggande bestämmelserna i SoL och LSS följer krav på att handläggningen av ärenden som rör enskilda samt genomförande av beslut om stödinsatser, vård och behandling ska dokumenteras. Dokumentationen ska utvisa beslut och åtgärder som vidtas i ärendet samt faktiska omständigheter och händelser av betydelse. Handlingar som rör enskildas personliga förhållanden skall förvaras så att obehöriga inte får tillgång till dem.
Vidare anges att dokumentationen ska utformas med respekt för den enskildes integritet och att den enskilde bör hållas underrättad om de journalanteckningar och andra anteckningar som förs om honom eller henne. Om den enskilde anser att någon uppgift i dokumentationen är oriktig ska detta antecknas
Informationshantering inom socialtjänsten SOU 2014:23
568
19.4.1 Socialstyrelsens föreskrifter SOSFS 2006:5
Socialstyrelsen har bland annat för att komplettera de förhållandevis få bestämmelser i lagstiftningen som rör dokumentation vid själva utförandet av insatser inom socialtjänsten utfärdat föreskrifter och allmänna råd på området3. Genom föreskrifterna tydliggörs kraven på dokumentationens innehåll och utformning, bland annat att handlingar som rör enskilda ska innehålla tillräckliga, väsentliga och ändamålsenliga uppgifter. När det gäller barn finns i vissa fall krav på genomförandeplan (jfr 11 kap. 3 § andra stycket SoL).
När det gäller dokumentationen i samband med genomförande av insatser bör det i en genomförandeplan framgå hur en beslutad insats praktiskt ska genomföras. I allmänna råd framgår att genomförandeplanen bör
• i regel upprättas inom den verksamhet som svarar för det praktiska genomförandet, och
• med utgångspunkt i ett beslut om en insats och målet för insatsen beskriva hur den praktiskt ska genomföras.
Av planen, som bör höra till den enskildes personakt, ska vidare framgå
• om det ingår flera delar i insatsen och i sådant fall vilka,
• vilka mål som gäller för insatsen eller delar av den,
• när och hur insatsen eller delar av den ska genomföras,
• på vilket sätt den enskilde har utövat inflytande över planeringen,
• vilka personer som har deltagit i planeringen,
• när planen har fastställts, och
• när och hur planen ska följas upp.
Vidare följer av föreskrifterna att genomförandet av ett beslut om en insats ska dokumenteras fortlöpande. Om en beslutad insats genomförs av den beslutande nämnden, bör dokumentationen som rör handläggningen av ärendet och genomförandet av insatsen hållas samman i en och samma personakt.
3 SOSFS 2006:5 Socialstyrelsens föreskrifter och allmänna råd om dokumentation vid handläggning av ärenden och genomförande av insatser enligt SoL, LVU, LVM och LSS.
SOU 2014:23 Informationshantering inom socialtjänsten
569
Om en beslutad insats däremot genomförs i privat verksamhet bör dokumentationen under genomförandet hållas samman i en personakt hos den som genomför insatsen.
Av journalen som förs regelbundet bör det bland annat framgå när insatsen har påbörjats, om det inträffat omständigheter som gjort att insatsen inte har kunnat genomföras som planerat, vad som har kommit fram av betydelse i kontakt med den enskilde, hur de enskildes behov har förändrats, när och av vilka skäl insatsen har avslutats m.m.
19.4.2 Lagen om behandling av personuppgifter inom socialtjänsten
Lagen tillämpas vid personuppgiftsbehandling inom socialtjänsten om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt ett eller flera särskilda kriterier. Lagen omfattar både myndigheter och privata verksamheter som hanterar personuppgifter inom socialtjänstens område
Med socialtjänst avses enligt lagen
1. verksamhet enligt lagstiftningen om socialtjänst och den särskilda
lagstiftningen om vård utan samtycke av unga eller missbrukare,
2. verksamhet som i annat fall enligt lag handhas av socialnämnd,
3. verksamhet som i övrigt bedrivs av Statens institutionsstyrelse,
4. verksamhet hos kommunal invandrarbyrå,
5. verksamhet enligt lagstiftningen om stöd och service till vissa
funktionshindrade
6. handläggning av ärenden om bistånd som lämnas av socialnämnd
enligt lagstiftningen om mottagande av asylsökande m.fl.,
7. handläggning av ärenden om introduktionsersättning för flyktingar
och vissa andra utlänningar,
8. handläggning av ärenden om tillstånd till parkering för rörelse-
hindrade, samt
9. verksamhet enligt lagen (2007:606) om utredningar avseende
vissa dödsfall.
Informationshantering inom socialtjänsten SOU 2014:23
570
Med socialtjänst avses även tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamhet som avses i punkterna 1– 9 ovan.
Enligt 6 § SoLPUL får personuppgifter bara behandlas om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska kunna utföras. Någon reglering, likt den i patientdatalagen (2008:355), av för vilka ändamål personuppgifter ska få behandlas innehåller lagen därmed inte.
Lagen ger socialtjänsten stöd för att behandla person- och samordningsnummer, känsliga personuppgifter som avses i 13 § PUL samt även uppgifter om lagöverträdelser, om uppgifterna har lämnats in i ett ärende eller är nödvändiga för verksamheten (7 §). Det sista kan sägas vara ett uttryck för den försiktighetsprincip som socialtjänsten ska iaktta vid behandlingen av personuppgifter4.
Förutom personakter som upprättas i socialtjänstverksamheten görs även olika typer av sammanställningar av uppgifter om individerna. Sammanställningarna kan vara både automatiserade och manuella och sökbara på ett eller flera kriterier. I sådana sammanställningar av personuppgifter i socialtjänsten får det som huvudregel inte tas in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga personliga förhållanden (7 a §). Från huvudregeln finns emellertid undantag för
1. uppgifter om åtgärder som har beslutats inom socialtjänsten
som innebär myndighetsutövning och om den bestämmelse som ett sådant beslut grundar sig på,
2. uppföljning, utvärdering och kvalitetssäkring,
3. tillsynsverksamhet som bedrivs av Socialstyrelsen,
4. administration som bedrivs av Statens institutionsstyrelse centralt
5. verksamhet enligt lagen (2007:606) om utredningar avseende
vissa dödsfall.
I fråga om utlämnande av uppgifter innehåller lagen inga särskilda bestämmelser utan endast hänvisningar till vad som följer av offentlighets- och sekretesslagen (2009:400), förkortad OSL, socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade. Det innebär bl.a. att uppgifter som får lämnas ut kan lämnas ut på medium för automatiserad behandling om person-
4 Jfr prop. 2000/01:80 s. 176.
SOU 2014:23 Informationshantering inom socialtjänsten
571
uppgiftsbehandlingen som sådan är tillåten enligt personuppgiftslagen.
Närmare om sammanställningsregister
Hos socialtjänsten finns personuppgifter om enskilda framförallt i en personakt. En personakt är en akt med handlingar som rör en eller flera enskilda personer. Det blir allt vanligare att en personakt för med hjälp av ADB, så kallad elektronisk akt.5Hur en personakt förs varierar mellan olika kommuner men som regler läggs en akt upp på den person som ärendet gäller eller på en person som har valts till så kallad registerledare. Akterna innehåller en mängd uppgifter om den enskilde och hans eller hennes anhöriga. En akt kan även innehålla löpande anteckningar från samtal som förs med den enskilde i samband med planering och genomförande av insatser. Även tidigare utredningar och läkarintyg m.m. kan finnas i en personakt. En personakt innehåller således handlingar om en eller flera personer som är eller har varit aktuella för utredning eller insats hos socialnämnden.6 Den del av en personakt där anteckningar av betydelse för handläggning av ett ärende och genomförande av en insats görs kontinuerligt och i kronologisk ordningen kallas journal. 7Förutom de personakter som upprättas görs även olika typer av sammanställningar av uppgifter om enskilda inom socialtjänsten. I dag används begreppet sammanställning av personuppgifter.
Begreppet sammanställning av uppgifter i personakt har funnits med sedan införandet av personuppgiftslagen. Med begreppet avses sådana sammanställningar som görs i samband med socialtjänstens administration och planering. Med dessa sammanställningar avses sådant som upprättas inom socialtjänsten för bland annat att underlätta administrationen och vilka utgör ett slags register i mer inskränkt betydelse. Sammanställningarna, eller sammanställningsregister som de ibland kallas, används främst som stöd för handläggning, beslut och i samband med verkställigheten av besluten. När det gäller verkställighet av beslut kan de användas för genomförande av olika insatser eller utbetalningar m.m.
5 Handläggning inom socialtjänsten Clevesköld, Lundgren och Thunved s. 334 f. 6 Socialstyrelsens handledning Dokumentation inom socialtjänsten LVU, LVM, LSS och m.m. 7 Socialstyrelsens handledning Dokumentation inom SoL, LVU, LVM och LSS m.m.
Informationshantering inom socialtjänsten SOU 2014:23
572
Registren används i första hand som stöd för handläggningen av de ärenden där socialtjänsten har en utredningsskyldighet och som stöd för de beslut som utredningen utmynnar i 8. Den används även som administrativt stöd vid handläggningen av arbetsplaner och utbetalningar av ekonomiskt bistånd. Till viss del används de även som underlag för tillsyn, uppföljning och utvärdering av socialtjänstens verksamhet. Registren underlättar också rapporteringen av uppgifter till Socialstyrelsen som under för den offentliga statistiken.
Sammanställningsregister skiljer sig från personakterna på det viset att det är tillgängliga på ett mer omedelbart sätt än som är fallet med personakter. Alltsedan socialtjänstlagens tillkomst har det funnits ett förbud för socialnämnderna att ta in uppgifter om ömtåliga personliga förhållanden i olika typer av sammanställningar av personuppgifter. Om sådana anteckningar behöver göras så är det nödvändigt att lägga upp en personakt och sedan får en hänvisning till personakten göras i sammanställningsregistret.
I sammanställningar av personuppgifter får i dag inte tas in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga personliga förhållanden (jfr 7 a § SoLPUL). Med uppgifter om ömtåliga personliga förhållanden avses förutom känsliga personuppgifter enligt personuppgiftslagen utan även andra uppgifter om personliga förhållanden som kan förekomma inom socialtjänsten och som vars behandling kan anses vara kränkande för den personliga integriteten. Från detta förbud finns undantag för uppgifter om åtgärder som har beslutats inom socialtjänsten som innebär myndighetsutövning och om den bestämmelsen som ett sådant beslut grundar sig på, uppföljning, utvärdering och kvalitetssäkring samt tillsynsverksamhet som bedrivs av Inspektionen för vård och omsorg. Undantaget gäller även för administration och tillsynsverksamhet som bedrivs av Statens institutionsstyrelse centralt. Uppgift som avslöjar medlemskap i fackförening får aldrig tas in i sammanställningarna.
8 Handläggning inom socialtjänsten Clevesköld, Lundgren och Thunved s. 335.
SOU 2014:23 Informationshantering inom socialtjänsten
573
19.4.3 Förordningen om behandling av personuppgifter inom socialtjänsten
Förordningen9 reglerar behandlingen av personuppgifter inom socialtjänsten för Statens institutionsstyrelse, kommunala myndigheter, privat verksamhet och Socialstyrelsen enligt lagen om behandling av personuppgifter inom socialtjänsten.
Förordningen innehåller bland annat bestämmelser om personuppgiftsansvar, tillåtna ändamål för personuppgiftsbehandlingen, direktåtkomst, sökbegrepp och samkörning.
Med privat verksamhet avses yrkesmässig verksamhet som bedrivs av en juridisk eller fysisk person med tillstånd av Socialstyrelsen och sådan privat verksamhet inom socialtjänsten som i övrigt bedrivs enligt avtal med kommunen (5 §).
Statens institutionsstyrelse
I 6 § förordningen anges att Statens institutionsstyrelse (SiS) är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som görs i dess verksamhet. Enligt 7 § får SiS bland annat behandla personuppgifter för platsanvisning och institutionsplacering inom deras verksamhetsområde, dokumentation av vård, behandling och behandlingsresultat samt tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten.
Möjligheterna för SiS att göra samkörningar är begränsade i förordningen. Ett hem som drivs av SiS får inte hämta personuppgifter från ett annat hem som drivs av SiS för samkörning (10 §).
Kommunal myndighet
Av förordningens 11 § framgår att en kommunal myndighet är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som myndigheten utför. Om behandlingen görs gemensamt för flera myndigheter inom kommunen är varje myndighet personuppgiftsansvarig för sin egen behandling.
Vad avser ändamålen för behandling av personuppgifter (12 §) får en kommunal myndighet behandla personuppgifter för
9 Förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten.
Informationshantering inom socialtjänsten SOU 2014:23
574
1. handläggning av ärenden om bistånd och annat stöd samt
genomförande av beslut om bistånd, stödinsatser, vård och behandling samt annan social service som följer av bestämmelserna i socialtjänstlagen och lagen om vissa kommunala befogenheter,
2. faderskapsutredningar, utredning om vårdnad av barn,
adoptionsärenden samt annan verkställighet inom familjerätten,
3. handläggning av ärenden och annan verksamhet som följer av
bestämmelserna i lagen med särskilda bestämmelser om vård av unga och lagen om vård av missbrukare i vissa fall,
4. handläggning av ärenden om insatser och för särskilda uppgifter
som följer av bestämmelserna i lagen om stöd och service till vissa funktionshindrade,
5. handläggning av ärenden om tillstånd till parkering för rörelse-
hindrade,
6. handläggning av ärenden om bistånd som lämnas av social-
nämnd enligt lagstiftning om mottagande av asylsökande m.fl.,
7. handläggning av ärenden om introduktionsersättning för
flyktingar och vissa andra utlänningar,
8. handläggning av ärenden och annan verksamhet inom social-
tjänsten som utförs vid kommunal invandrarbyrå,
9. handläggning av ärenden som följer av bestämmelserna i lagen
med särskilda bestämmelser om unga lagöverträdare och körkortsförordningen, samt 10. tillsyn, uppföljning, utvärdering, kvalitetssäkring och administra-
tion av verksamheten.
Vid handläggning av ärenden och i verksamhet som avses i punkterna 1–9 får en kommunal myndighet endast använda uppgifter om namn eller uppgift om person-, samordnings- eller ärendenummer som sökbegrepp vid sökning efter uppgifter eller i samband med sammanställningar.
SOU 2014:23 Informationshantering inom socialtjänsten
575
Privat verksamhet
Privata utförare av socialtjänst är enligt 17 § i förordningen personuppgiftsansvariga för den behandling av personuppgifter som utförs i dess verksamhet.
I privat verksamhet får personuppgifter behandlas för dokumentation av sådan vård, behandling eller omsorg av enskilda som ges inom verksamheten. Även de personuppgifter som behövs för administrationen av verksamheten får hanteras.
När det gäller samkörning av personuppgifter får ett boende, en öppen verksamhet eller en annan enhet i privat verksamhet inte hämta personuppgifter från annat boende, annan öppen verksamhet eller annan enhet inom privat verksamhet för behandling av uppgifter genom samkörning.
19.4.4 Direktåtkomst och utlämnande på medium för automatiserad behandling
Ifråga om utlämnande av uppgifter i socialtjänsten gäller de begränsningar som finns i offentlighets- och sekretesslagen, socialtjänstlagen samt lagen om stöd och service till vissa funktionshindrade. Dessa författningar tar i detta avseende framför allt sikte på frågan om huruvida uppgifter får lämnas ut, inte hur de i sådant fall får lämnas ut.
Avsaknaden av bestämmelser innebär inte att det är omöjligt att elektroniskt lämna ut uppgifter i socialtjänsten. Utlämnande av uppgifter på medium för automatiserad behandling är en form av behandling av personuppgifter enligt 3 § PUL, som är tillåten om utlämnandet görs i enlighet med de ändamål som är bestämda för personuppgiftsbehandlingen och att kraven på informationssäkerhetsåtgärder iakttas. Dessutom måste utlämnandet ske med beaktande av bestämmelser om sekretess och tystnadsplikt.
Sammanfattningsvis gäller således att uppgifter kan lämnas ut elektroniskt mellan olika verksamheter inom socialtjänsten om personuppgiftsbehandlingen som sådan är tillåten samt sekretessen för uppgifterna bryts, t.ex. genom den enskildes samtycke.
Däremot är direktåtkomst mellan olika verksamheter med sekretessgränser mellan sig inte möjligt i socialtjänsten. Det saknas exempelvis bestämmelser som motsvarar hälso- och sjukvårdens möjligheter att i system för sammanhållen journalföring hålla
Informationshantering inom socialtjänsten SOU 2014:23
576
uppgifter från flera olika vårdgivare tillgängliga för varandra genom direktåtkomst. Olika privata utförare av socialtjänst kan således inte ta del av varandras uppgifter om individen genom direktåtkomst. Inte heller kan en kommunal utförare av socialtjänst med direktåtkomst få tillgång till en privat utförares dokumentation om den enskilde.
19.5 Sekretess på socialtjänstens område
När det gäller den offentligt utförda socialtjänsten finns relevanta bestämmelser i 26 kap. offentlighets- och sekretesslagen. Sekretess gäller inom socialtjänsten för uppgift om enskilds personliga förhållanden om det inte står klart att uppgiften kan röjas utan att den enskilde eller närstående lider men (26 kap. 1 §). Med socialtjänst förstås enligt samma bestämmelse huvudsakligen verksamhet enligt lagstiftningen om socialtjänst och den särskilda lagstiftningen om våra av unga och missbrukare utan samtycke samt verksamhet som i annat fall enligt lag bedrivs av socialnämnd eller av Statens institutionsstyrelse.
Sekretess gäller dessutom även i kommunal familjerådgivning för uppgift som en enskild har lämnat i förtroende eller som har inhämtats i samband med rådgivningen.
För privat verksamhet inom socialtjänsten, t.ex. utförare av hemtjänst, finns bestämmelser om tystnadsplikt i 15 kap. 1 § SoL. Den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet som avser insatser enligt socialtjänstlagen får inte obehörigen röja vad han eller hon i det sammanhanget har fått veta om enskildas personliga förhållanden. Vid tolkningen av detta obehörighetsrekvisit har det ansetts naturligt att söka ledning i sekretesslagens regler.10Den bakomliggande tanken är att den enskilde ska ha samma skydd för sin personliga integritet vare sig han eller hon är föremål för insatser från en privat eller offentlig verksamhet.
I OSL finns några sekretessbrytande bestämmelser på socialtjänstens område. Av 26 kap. 9 § framgår att sekretess inte hindrar att uppgift om en enskild eller någon närstående till denne lämnas från en myndighet inom socialtjänsten till en annan sådan myndighet eller till en myndighet inom hälso- och sjukvården, om det behövs för att ge den enskilde nödvändig vård, behandling eller
10 Bl.a. prop. 2005/06:141 s. 63, prop. 2005/06:161 s. 82 och 93 och prop. 2007/08:126 s. 133.
SOU 2014:23 Informationshantering inom socialtjänsten
577
annat stöd och denne (1) inte har fyllt arton år, (2) fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel, eller (3) vårdas med stöd av lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård. Detsamma gäller uppgift om en gravid kvinna eller någon närstående till henne, om uppgiften behöver lämnas för en nödvändig insats till skydd för det väntade barnet.
Inte heller hindrar sekretess att uppgift i verksamhet som avses i 7 kap. 5 § SoL lämnas till en socialnämnd och uppgift i verksamhet som avses i 23 d § LSS lämnas till en nämnd som avses i 22 § samma lag, om uppgiften behövs för handläggning av ärende eller verkställighet av beslut om stödinsatser, vård eller behandling och det är av synnerlig vikt att uppgiften lämnas. (26 kap. 10 § OSL).
Det saknas dock sekretessbrytande bestämmelser motsvarande de som för hälso- och sjukvården gäller enligt 25 kap. 13 § OSL. Av den bestämmelsen följer att hälso- och sjukvårdssekretess inte hindrar att uppgift om en enskild, som p.g.a. sitt hälsotillstånd eller av andra skäl inte kan samtycka till utlämnandet, lämnas ut för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd. Under de förutsättningarna får en myndighet inom hälso- och sjukvården lämna ut uppgifterna till en annan sådan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en privat vårdgivare eller privat utförare på socialtjänstens område. Bestämmelsen möjliggör således ett uppgiftsutlämnande både inom sjukvården och mellan sjukvården och socialtjänsten. En sådan motsvarande bestämmelse saknas dock på socialtjänstens område, dvs. en myndighet inom socialtjänsten kan inte med motsvarande förutsättningar lämna ut uppgifter till andra myndigheter eller privata utförare inom socialtjänsten eller motsvarande aktörer i hälso- och sjukvården.
Det kan också nämnas att det i dokumentationen kan finnas uppgifter om enskildas hälso- tillstånd eller andra personliga förhållanden som lämnats i anmälan eller annan utsaga från annan person än den enskilde. Även sådana uppgifter kan enligt 26 kap. 5 § OSL omfattas av sekretess i förhållande till den enskilde om det kan antas att fara uppkommer för att den som har lämnat uppgifterna eller dennes närstående utsätts för våld eller allvarligt men om uppgifterna röjs. Bestämmelsen skyddar den som lämnar uppgifter till socialtjänsten om andras förhållanden.
Informationshantering inom socialtjänsten SOU 2014:23
578
19.5.1 Sekretess mellan myndigheter och självständiga verksamhetsgrenar
Av offentlighets- och sekretessregleringen följer att sekretess även gäller mellan myndigheter. Kommuner har en stor frihet att organisera sina olika nämnder som de själva önskar och efter lokala behov och förutsättningar. Det är bl.a. möjligt att dela upp socialtjänstens uppgifter på flera nämnder. Det förekommer exempelvis en geografisk uppdelning på kommundelsnämnder, men det kan även vara en uppdelning på olika kompetensområden eller utifrån ett beställar- och utförarperspektiv. Varje nämnd i en sådan socialtjänstorganisation är att anse som egna myndigheter i offentlighets- och sekretesslagens mening och sekretess gäller då som huvudregel mellan dessa olika nämnder inom samma kommun.
Sekretess kan utöver detta i vissa fall även gälla inom en och samma nämnd, nämligen om det inom nämnden finns verksamhetsgrenar som är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL). Vad som avses med självständiga verksamhetsgrenar inom en myndighet har inte definierats av lagstiftaren och tolkningen av begreppet har vållat svårigheter för den praktiska tillämpningen. Ett vanligt sätt att beskriva det är dock att en självständig verksamhetsgren i förhållande till en annan verksamhet inom en myndighet uppstår om det är fråga om olika verksamhetsgrenar och dessa är självständiga i förhållande till varandra.
Om olika delar av myndighetens verksamhet ska tillämpa helt olika uppsättningar av sekretessbestämmelser kan det vara fråga om olika verksamhetsgrenar. Ifall verksamheterna bedöms vara olika verksamhetsgrenar måste man också bedöma om de har organiserats på ett sådant sätt att de förhåller sig självständiga till varandra. Om dessa både kriterier är uppfyllda finns en sekretessgräns inom myndigheten. Omständigheter av betydelse för bedömningen av självständigheten kan vara att organet självständigt förvaltar viss egendom, har viss handlingsfrihet inom en angiven ekonomisk ram eller i övrigt kan vidta vissa faktiska åtgärder självständigt och på eget ansvar. Andra omständigheter som påverkar bedömningen kan vara att man i vissa frågor beslutar självständigt och i eget namn.
SOU 2014:23 Informationshantering inom socialtjänsten
579
Ett undantag från ovanstående huvudregel har emellertid gjorts genom Ädelreformen11. I de verksamheter som omfattas av Ädelreformen bedöms den kommunala hälso- och sjukvården och socialtjänsten, om de bedrivs inom en och samma nämnd, i sekretesshänseende tillhöra samma verksamhetsområde och inte vara självständiga i förhållande till varandra.
Även när det gäller sekretessen mellan myndigheter inom samma kommun skiljer det sig åt mellan hälso- och sjukvården och socialtjänsten. För hälso- och sjukvårdens del gäller enligt 25 kap. 11 § punkten 1 OSL att sekretessen inte hindrar att uppgift lämnas från en myndighet som bedriver hälso- och sjukvård i en kommun till en annan sådan myndighet i samma kommun. Motsvarande sekretessbrytande bestämmelse finns således inte på socialtjänstens område.
19.5.2 Sekretess i förhållande till privata utförare av socialtjänst
Som tidigare nämnts utförs mycket av socialtjänstinsatserna i dag av privata aktörer som har avtal med kommunen. En sådan utveckling för även med sig konsekvenser i sekretesshänseende. Sekretessregleringen i offentlighets- och sekretesslagen innebär som ovan beskrivits att det finns en sekretessgräns runt en myndighet. Denna gräns gäller i förhållande till alla som är utanför men normalt inte i förhållande till den som uppgiften handlar om. Detta innebär att sekretessgränsen runt en myndighet även gäller i förhållande till en enskild verksamhet (privat driven) inom socialtjänsten. Sekretessgränsen innebär att uppgifter som är omfattas av sekretess hos myndigheten inte får lämnas ut till den privata utföraren om inte den enskilde samtycker till utlämnandet eller en sekretessbrytande bestämmelse eller en menprövning tillåter det. Utredningens bedömning är vidare att motsvarande måste anses gälla för ett uppgiftsutlämnande från en privat utförare till en kommunal myndighet inom socialtjänsten eller till en annan privat utförare av socialtjänst. Eftersom innebörden av bestämmelserna om tystnadsplikt i socialtjänstlagen ska tolkas och tillämpas med ledning av bestämmelserna i offentlighets- och sekretesslagen saknas grund för att göra en annan bedömning än att det finns
11 Ädelreformen 1992, innebar att kommuner fick ett samlat ansvar för vård och omsorg för bland annat äldre.
Informationshantering inom socialtjänsten SOU 2014:23
580
motsvarande tystnadspliktsgräns runt en privat driven socialtjänstverksamhet som det i sekretesshänseende finns runt en myndighet.
I Socialtjänstdatautredningen, SOU 2009:32, gjorde visserligen utredaren bedömningen att tystnadsplikt enligt 15 kap. 1 SoL inte utgör hinder mot att uppgifter om enskild lämnas från enskild verksamhet inom socialtjänsten till myndighet inom socialtjänsten. Som grund för bedömningen anfördes bl.a. att det yttersta ansvaret för en kommuns uppgifter inom socialtjänsten inte kan överlåtas på annan och att nämnden har det direkta ansvaret för att sådant som lagts ut på ett företag kontrolleras och följs upp.
Att det inte skulle finnas någon tystnadspliktsgräns mellan en privat utförd socialtjänst och en kommunal myndighet inom socialtjänsten saknar emellertid enligt vår bedömning stöd i nuvarande sekretessreglering. Vidare kan inte kommunens övergripande ansvar exempelvis för kontroll av utförd verksamhet, med dagens reglering, innebära oinskränkta möjligheter för kommunala myndigheter att ta del av individuppgifter som under genomförandefasen dokumenteras av olika utförare. Det kan dock inte uteslutas att ett utlämnande i enskilda fall, exempelvis från en privat utförare till en kommunal myndighet, kan bedömas vara tillåtet vid en tillämpning av bestämmelserna om tystnadsplikt i 15 kap. 1 § SoL.
Frågan om kommunens skyldigheter att följa upp verksamhet som drivs av annan än kommunen och vilka möjligheter kommunen har att ta del av personuppgifter över sekretessgränser för detta ändamål är komplex. Utredningen om en ny kommunallag för framtiden överlämnade 2013 delbetänkandet Privata utförare – kontroll och insyn (SOU 2013:53). I betänkandet gör utredningen ett försök att i någon mån precisera det kommunala huvudmannaskapet för vissa verksamheter och vilka krav på uppföljning som bör ställas på verksamheter som ingår i huvudmannens ansvarsområde. Någon egentlig analys av vilka uppgifter huvudmannen har rätt att ta del av och hur det kan ske gjordes däremot inte. Det kan därför finnas behov av att ytterligare analysera och överväga behovet av en ökad tydlighet rörande kommunens möjligheter att inhämta och använda uppgifter som dokumenteras hos privata utförare av socialtjänst.
581
20 En ändamålsenlig informationshantering – iakttagelser och reflektioner
20.1 Bakgrund
Vi har inledningsvis i betänkandet redogjort för våra generella iakttagelser och utgångspunkter kring nödvändiga förutsättningar för en ändamålsenlig informationshantering inom hälso- och sjukvården och socialtjänsten. Det inbegriper exempelvis lagstiftning, teknik, informatik, ledarskap, kulturer, arbetssätt m.m. Vi har då kunnat konstatera att alla dessa faktorer måste samspela och tillsammans stödja en utveckling mot en mer sammanhållen och ändamålsenlig informationshantering med individen i centrum. I detta avsnitt redogör vi översiktligt för ett antal faktorer som utredningen bedömer som centrala för möjligheterna att skapa en ännu mer ändamålsenlig och sammanhållen informationshantering inom socialtjänsten. Frågor om informationshantering i integrerade verksamheter mellan socialtjänst och hälso- och sjukvård m.m. berörs primärt inte här utan i avsnitt 31 och 32.
20.2 Informatik och it
Det har under utredningens arbete blivit tydligt att såväl hälso- och sjukvården som socialtjänsten har behov av att utveckla och implementera ett nationellt fackspråk och en mer strukturerad dokumentation. Det är på många sätt en grundläggande förutsättning för ökad kvalitet och säkerhet samt möjligheter till jämförelser. I ett vidare perspektiv påverkar det även möjligheterna till en jämlik socialtjänst för alla, alldeles oavsett vilken kommun medborgaren bor i eller vilken utförare medborgaren väljer för sina beviljade
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
582
insatser. Eftersom en strukturerad dokumentation enligt ett nationellt fackspråk blir kunskapsstyrande och direkt kan påverka arbetssätt och arbetsflöden i socialtjänsten, kan det även med fog hävdas vara en demokrati- och rättvisefråga.
Under arbetet har utredningen kunnat konstatera att den tekniska utvecklingen inte nått lika långt inom socialtjänsten som inom hälso- och sjukvården. Det förekommer exempelvis fortfarande en del manuell informationshantering inom socialtjänsten. Samtidigt är det viktigt att komma ihåg att det inom vissa delar av socialtjänsten inte finns samma behov av att dokumentera som det gör inom andra delar. För genomförandet av vissa insatser kan det handla om att dokumentera att insatsen är utförd eller orsaken till att insatsen inte är utförd. För genomförandet av andra insatser kan det dock finnas behov av att tydligare dokumentera utförandet av insatser för att hela tiden ställa det mot uppställda mål som rör den enskildes utveckling och förmåga att själv vidta hela eller delar av en insats.
Ett positivt exempel som förtjänar att lyftas fram är den utveckling som har skett i Motala kommun. Som en av tre s.k. pilotkommuner har Motala bedrivit ett arbete mot ett mer behovs- och processinriktat arbetssätt med stöd av en strukturerad dokumentation med fastställda klassifikationer (ICF). Både utredning, planering av genomförande och uppföljningen av resultaten görs utifrån den enskilde i centrum samt med hjälp av ett särskilt framtaget it-stöd. Genom utveckla verksamhetens arbetssätt och kombinera det med ett it-system som stödjer det nya arbetssättet och den enskildes process genom socialtjänsten blir informationshanteringen mer ändamålsenlig och arbetet mer kunskapsstyrt.
Utredningens bild är att det finns mycket som generellt fungerar bra i socialtjänsten och att det pågår en hel del utvecklingsarbeten för att förbättra kvaliteten i socialtjänstens olika delar. I sammanhanget kan exempelvis arbetet med evidensbaserad praktik för god kvalitet inom socialtjänsten nämnas. Med stöd av en överenskommelse mellan regeringen och Sveriges Kommuner och Landsting har ett antal utvecklingsarbeten startats runt om i landet. Arbetet mot en evidensbaserad praktik handlar bland annat om involvera brukarna i arbetet, ta tillvara kunskap från professionen och forskningen och att analysera resultatet av sitt arbete. Enligt utredningens mening finns mycket att vinna på att inom ramen för det arbete som nu görs även inkludera frågor om hur informationshanteringen och it-stöden bör utformas för att
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
583
stödja den önskade utvecklingen. En evidensbaserad praktik som bygger på ett systematiskt arbetssätt och uppföljning av resultat kräver bland annat en enhetlig och strukturerad dokumentation samt it-stöd som möjliggör framtagandet av underlag för olika typer av uppföljningar och förbättringsarbeten. Den arena som erbjuds genom de olika satsningarna inom ramen för arbetet med evidensbaserad praktik har förutsättningar att låta verksamhetsutveckling och it-utveckling att gå hand i hand.
20.3 Samtycke till insatser – en utgångspunkt för informationshanteringen
I huvudsak aktualiseras en enskild individ inom socialtjänsten genom en kontakt som kan gälla exempelvis en ansökan eller en anmälan. I sådan verksamhet som drivs som serviceinsatser ser processen av naturliga skäl annorlunda ut eftersom det i dessa verksamheter varken görs sådana utredningar som avses i socialtjänstlagen (2001:453), förkortad SoL, eller fattas några biståndsbeslut. Alldeles oavsett bygger socialtjänstens verksamhet i huvudsak på frivillighet och delaktighet från den enskildes sida. Socialtjänstens arbete ska så långt möjligt utformas och genomföras tillsammans med den enskilde.
Vid en ansökan finns en ständig dialog med den sökande. Det görs exempelvis genom kompletterande information, ställningstaganden till utredningsplanen, dialogen kring inhämtande av information, medverkan i behovsbedömningen och ställningstagande till det beslutsunderlag som kommunicerats. Är beslutet gynnande ska den sökande vara delaktig i valet av utförare och delaktig i en uppdragsdialog där individen är med och utvärderar mot mål och uppdrag. I de flesta fall förekommer informationshantering därför primärt i två olika steg, först i och med behovs- och biståndsbedömningen och sedan i och med verkställigheten av biståndsbeslutet. Utöver detta hanteras information även för ändamål som uppföljning, administration, kontroll, tillsyn etc.
Handläggningsprocessen gör att kommunikation, delaktighet och den enskildes samtycke sedan länge är bärande beståndsdelar inom socialtjänsten. Den enskildes samtycke till insatser i socialtjänsten kan många gånger sägas utgöra själva utgångspunkten för informationshanteringen. Något särskilt samtycke för själva informationshanteringen behöver däremot inte inhämtas. Åtminstone inte
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
584
om det är fråga om sådan verksamhet inom socialtjänsten där det föreligger en dokumentationsskyldighet. I sådant fall kan den enskilde inte heller motsätta sig dokumentation och behandling av personuppgifter.
Även om samtycke inte behöver inhämtas särskilt för att behandla personuppgifter, behövs det ofta för att möjliggöra att uppgifter om den enskilde utbyts mellan olika aktörer inom eller utanför socialtjänstens verksamhet. Vid utredningens kontakter med företrädare för socialtjänsten har framkommit att arbetet med att inhämta samtycke för informationsutbyte är en naturlig del av verksamheten, inte minst eftersom det många gånger förekommer ett samarbete med andra aktörer. Det kan exempelvis handla om samarbete med andra delar av en kommuns socialtjänstverksamhet, skola, hälso- och sjukvård eller centrala myndigheter som Försäkringskassan och Arbetsförmedlingen.
Mycket av den hantering och utbyte av information som i dag förekommer mellan olika verksamheter inom socialtjänsten görs därför med stöd av den enskildes samtycke. Det finns verksamheter och processer i socialtjänsten där det är ändamålsenligt att arbeta med samtycke och utifrån det utforma en informationshantering och ett informationsutbyte. Utredningens erfarenhet är att det fungerar särskilt väl i sådana situationer där informationsutbytet görs förhållandevis enstaka gånger och där det finns tid att invänta samtycket innan information utbyts. I sådana situationer torde även behovet av informationsutbyte kunna tillgodoses genom en manuell hantering, t.ex. att uppgifter lämnas ut muntligt eller på papper.
Under utredningens gång har det framkommit att det samtidigt finns situationer när samtycke inte upplevs ändamålsenligt. Vår erfarenhet är att det framför allt gäller när samtycket ändå inte möjliggör ett effektivt användande av moderna tekniska lösningar, t.ex. direktåtkomst till uppgifter om enskilda mellan olika utförare av socialtjänst. En sådan direktåtkomst till uppgifter över sekretessgränser som efterfrågas är nämligen inte möjlig endast med stöd av ett den enskildes samtycke. Det torde även krävas att sekretessen för uppgifterna bryts genom en särskild sekretessbrytande regel i offentlighets- och sekretesslagen (2009:400).
Att inte kunna utbyta uppgifter genom direktåtkomst fastän den enskilde lämnat sitt samtycke till ett visst informationsutbyte upplevs, enligt utredningens erfarenhet, många gånger som hindrande för en ändamålsenlig verksamhet. Inte minst kommuner som
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
585
organiserat sin egen socialtjänst under olika myndigheter påverkas av detta. Utredningen delar verksamheternas tveksamhet inför regelverkets begränsningar och konstaterar att det sannolikt bidrar till att förhindra en utveckling mot införandet av tekniska lösningar för ett snabbt, säkert och ändamålsenligt informationsutbyte.
20.4 Övergripande nämndstruktur påverkar informationshanteringen
Utvecklingen inom många kommuner innebär att det inte längre bara finns en kommunal nämnd för varje verksamhetsområde. Införandet av den fria kommunala nämndorganisationen har inneburit att en del kommuner kommit att dela upp socialtjänsten på flera sektorer som organisatorisk hör till olika nämnder. Det kan exempelvis handla om att kommunen delar upp verksamheten enligt en beställar- och utförarmodell, där det som tidigare var en socialnämnd splittras och blir en eller flera beställar- och utförarnämnder. Ett annat exempel är att dela upp nämndstrukturen efter ett geografiskt perspektiv, t.ex. i kommundels- eller stadsdelsnämnder. Det förekommer även att den organisatoriska uppdelningen är uppbyggd efter olika ämnesområden inom socialtjänsten, t.ex. ekonomiskt bistånd och missbruk.
Den fria kommunala nämndorganisationen har tillsammans med offentlighets- och sekretessregleringen dock medfört att nya sekretessgränser kan uppstå beroende på hur en kommun väljer att organisera sin verksamhet. Att en organisatorisk utveckling medför att sekretessgränser uppstår i verksamheter som tidigare kunnat utgöra ett enda sekretessområde kan leda till tillämpningsproblem för kommunerna och de individer de har att ansvara för. Sekretessgränserna upplevs sällan som adekvata och bidrar till en tröghet i systemet som kan motverka nya sätt att samverka och samarbeta mellan de olika kommunala nämnderna. Vidare uttrycks en oförståelse för regelverkets konsekvenser eftersom det i de kommuner där man valt att enbart ha en nämnd för verksamheten på socialtjänstens område inte finns någon motvarande sekretessgräns.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
586
20.5 Valfrihet och mångfald påverkar informationshanteringen
Inte endast den fria kommunala nämndorganisationen, utan även valfrihetsreformer och ökat antal privata utförare i socialtjänsten har bland annat medfört att allt fler aktörer är inblandade i verkställigheten av de insatser som beviljas den enskilde. En individ kan exempelvis få hemtjänstinsatser utförda av flera olika utförare. Det kan röra sig om städning, tvättning, inköp, personlig omvårdnad, matlagning, promenadsällskap, ledsagning m.m. Det kan även vara så att en individ får en eller flera hemtjänstinsatser utförda av olika aktörer beroende på vilken tid på dygnet det är.
Dagens regelverk medger inte att olika utförare har direkt tillgång till varandras dokumentation och dokumentationssystem. Ett sätt att lösa behovet av informationsöverföring har därför under lång tid varit att, med stöd av individens samtycke eller åtminstone med individens kännedom, anteckna det viktigaste i en pärm eller dagbok som förvaras hos individen och som de olika utförarna kan läsa och dokumentera i. Ett sådant sätt att överföra information kan visserligen fungera i vissa situationer och för vissa ändamål. Men för att få till stånd en mer kvalitetssäker informationsöverföring skulle ett användande av modern teknik vara ändamålsenligt och effektivt. Ibland kan det även handla om att information om individen behöver nå en utförare redan innan denne exempelvis kommer hem till den enskilde för att utföra en hemtjänstinsats. Att redan innan ett besök kunna ta del av information som kan vara relevant gör att personalen kan förbereda sitt besök och ytterligare anpassa verksamheten efter individens aktuella behov.
Det konstateras att rådande regelverk innebär att möjligheterna till en effektiv och säker informationshantering är mycket beroende av hur kommunen organiserar sig. En kommun med få kommunala nämnder inom socialtjänsten och få privata aktörer bland utförarna har i dag väsentligt bättre förutsättningar till en ändamålsenlig informationshantering än kommuner med många nämnder och privata utförare i den offentligt finansierade verksamheten. De organisatoriska förändringarna påverkar såväl den individinriktade informationshanteringen i samband med beslut och genomförande av insatser i socialtjänsten som den hantering av information som behöver göras i form av uppföljning, kvalitetssäkring, verksamhetsutveckling m.m. Kommunen har som huvudman alltid det yttersta
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
587
ansvaret för att invånarna får det stöd och den hjälp de behöver, oavsett om t.ex. omsorg bedrivs i offentlig eller i privat regi.
20.6 Informationshantering i samband med rådgivning och annat stöd
Inom socialtjänsten har det i dag kommit att bli allt mer vanligt att kontakter förekommer och insatser utförs utan att den enskilde har ansökt om insatsen och sedan fått den biståndsbedömd. Det kan exempelvis handla om olika former av förebyggande insatser vid kontakter med enskilda. Inte sällan utförs rådgivning och andra stödinsatser inom ramen för missbruksvården eller i samband med familjerådgivning utan att ett biståndsbeslut har meddelats.
I förarbeten till ändringar av socialtjänstlagen anförde regeringen att de insatser som ska dokumenteras under genomförande är de individuellt behovsprövade stöd-, vård- och behandlingsinsatserna. Verksamheter som rådgivning och information samt vissa öppna verksamheter bedömdes, som tidigare, inte omfattas av dokumentationsskyldigheten1.
Enligt socialtjänstlagen följer därmed ingen skyldighet att dokumentera rådgivning t.ex. vid alkohol- eller narkotikamottagning samt familjerådgivning. I de fall sådan rådgivning övergår till någon form av behandling som är individuellt anpassad ska dock biståndsbeslut fattas och dokumentation göras. Ett av de främsta skälen till att rådgivnings- och stödverksamheter ligger utanför dokumentationsskyldigheten är att det annars skulle kunna vara avskräckande för personer att kontakta socialtjänsten och få stöd och råd i utsatta situationer. En ytterligare effekt är att socialtjänsten blir mer lättillgänglig eftersom verksamheten genomförs utan att en biståndsbedömning aktualiseras. Den enskilde kan då snabbare få en tid för exempelvis samtal vid en ungdomsmottagning, missbruksenhet eller hos familjerådgivningen.
Under utredningens gång har det visat sig att den verksamhet som bedrivs inom ramen för råd och stöd kan skilja sig väsentligt åt mellan olika kommuner. I en del kommuner erbjuds enskilda ett fåtal besök utan biståndsbeslut medan individer i andra kommuner kan ha väldigt många kontakter med socialtjänsten utan att behovet om bistånd bedöms. I de senare situationerna kan verksamheten
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
588
komma att bedrivas på ett sådant sätt att det i praktiken är svårt att skilja ifrån vad som hade varit fallet om saken blivit individuellt behovsprövad och beslutad.
Behovet av att dokumentera insatser inom socialtjänstens öppna verksamheter är naturligtvis större om verksamheten bedrivs under längre tid och utifrån de sökandes individuella behov. Frågan är hur enskildas behov av rättssäkerhet och god kvalitet ska säkras om verksamheten inte dokumenterar insatserna. Ur ett uppföljningsperspektiv är det även önskvärt att kunna följa utvecklingen av verksamheten i stort, men även utifrån enskilda personers vård- och omsorgskedja.
Vid utredningens kontakter med verksamheter bl.a. inom ungdomshälsa och missbruksvård framkommer en tydlig bild av att verksamheterna själva bedömer att det finns ett behov av att dokumentera, både för det individinriktade arbetet och för verksamhetsuppföljning och kvalitetssäkring. Det förekommer ett antal olika lösningar för att tillgodose dessa behov. Exempelvis görs dokumentation med stöd av den enskildes samtycke under den tid den enskilde är föremål för rådgivning eller annat stöd.
Någon möjlighet att dokumentera och behandla personuppgifter utan samtycke finns troligen inte eftersom verksamheten inte omfattas av de tillåtna ändamålen för personuppgiftsbehandling som anges i förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPULF, (jfr 12 §). Det är även osäkert ifall en personuppgiftsbehandling som inte är tillåten enligt lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL, och SoLPULF över huvud taget kan grunda sig på den enskilde samtycke. Eftersom SoLPULF anger de ändamål för vilka personuppgiftsbehandling får genomföras i socialtjänsten är det oklart om de grundläggande bestämmelserna om samtycke i personuppgiftslagen (1998:204) kan tillämpas. Denna osäkerhet är otillfredsställande såväl för den enskilde som för verksamheterna. Utredningens erfarenhet är nämligen, som nämnts tidigare, att verksamheter inom råd och stöd i dagsläget inhämtar den enskildes samtycke för att behandla personuppgifter och dokumentera det som förekommer vid kontakter med den enskilde. Samtycke för att efter avslutad kontakt behandla personuppgifter för ändamål som uppföljning och kvalitetssäkring verkar, såvitt utredningen kan bedöma, inte förekomma i någon större utsträckning. Däremot uppger några kommuner att de på olika sätt avlägsnar de direkt utpekande personuppgifterna för att sedan låta upp-
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
589
gifterna ligga till grund för verksamhetsuppföljning, statistikframställning m.m.
Våra iakttagelser visar att socialnämnderna har behov av att ytterligare analysera och ta ställning till hur verksamheter inom ramen för råd och stöd ska bedrivas. Det handlar bl.a. om att överväga hur många och hur ingående kontakter med den enskilde som ska kunna förekomma utan att saken ska behovsprövas och beslutas. En annan fråga är var gränsen går för när en insats blir anpassad efter individens behov och när en insats är så generell att den kan sägas rikta sig till hela befolkningen i kommunen. Oavsett var man landar i sådana överväganden är frågan om dokumentation och informationshantering nära sammankopplad med karaktären på verksamheten. Frågor om informationshantering bör därför i första hand vara kopplade till vilka behov för den enskilde och för verksamheten som rent faktiskt föreligger. Situationen blir dessutom än mer komplex i de integrerade verksamheter som finns mellan socialtjänst och hälso- och sjukvård. Här kan verksamhetens karaktär och de olika dokumentationsbestämmelserna göra att en insats blir dokumenterad om individen möter en yrkesverksam inom hälso- och sjukvården, medan samma insats inte alls dokumenteras om den enskilde i stället har kontakt med en yrkesverksam inom socialtjänsten. Exempel på detta finns både i ungdomshälsan, i psykiatrin och i missbruksvården m.m.
20.7 Verksamhetsuppföljning och kvalitetssäkring
Av grundläggande bestämmelser i socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade (1993:387), förkortad LSS, följer att insatser inom socialtjänsten ska vara av god kvalitet och att kvaliteten i verksamheten systematiskt och fortlöpande ska utvecklas och säkras.
Regelverket för verksamhetsuppföljning och kvalitetssäkring är dock inte helt tydligt på socialtjänstens område. Till skillnad från hälso-och sjukvården som har bestämmelser som uttryckligen tillåter samtliga vårdgivare att dels hantera personuppgifter i sin egen verksamhet för kvalitetssäkring m.m., dels registrera uppgifter i nationella kvalitetsregister, saknas i princip motsvarande bestämmelser för socialtjänsten.
Av förordningen om behandling av personuppgifter inom socialtjänsten följer dock att en kommun får behandla personuppgifter
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
590
för tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten. Sådana bestämmelser saknas däremot för juridiska eller fysiska personer som ansvarar för privat verksamhet inom socialtjänsten. Det är därmed otydligt i vilken utsträckning en privat utförare får hantera personuppgifter för att utveckla verksamheten.
Vidare kan noteras att den nationella uppföljningen av socialtjänstens insatser visar upp betydande skillnader jämfört med hälso- och sjukvården. Medan det i hälso- och sjukvården finns omkring ett 100-tal nationella kvalitetsregister som vårdgivarna själv har huvudansvaret för samt därutöver ett antal centrala hälsodataregister där Socialstyrelsen följer utvecklingen på ett antal områden, kan konstateras att motsvarande till stora delar saknas i socialtjänsten. Visserligen samlar Socialstyrelsen in vissa uppgifter från kommunernas socialtjänst inom ramen för lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken. Några verktyg för förbättringsarbete som liknar hälso- och sjukvårdens nationella kvalitetsregister finns däremot inte. Under utredningens gång har väckts frågan om det bör finnas liknande möjligheter till kvalitetsutveckling inom socialtjänsten som regelverket om nationella kvalitetsregister ger för hälso- och sjukvården.
Även om det kan finnas anledning att ifrågasätta regelverkets ändamålsenlighet vad gäller möjligheterna att hantera personuppgifter för att säkra och utveckla kvaliteten i verksamheten, har vi under vårt arbete även mött olika attityder och kulturer inom socialtjänsten. Medan det i vissa verksamheter finns ett stort driv mot kvalitetssäkring och förbättringsarbete har vi även erfarenhet av verksamheter som inte bedriver, eller till och med säger sig behöva bedriva, något systematiskt kvalitetsarbete av detta slag. De senare exemplen har vi i allmänhet mött i verksamheter som bedrivs som råd och service, dvs. inte biståndsbedömda insatser. Särskilt med tanke på utvecklingen inom råd och service i dag, där det många gånger i praktiken torde handla om en sådan kvalificerad och individuellt anpassad insats som traditionellt sett hade blivit biståndsbedömd, är detta bekymmersamt. Även om det självklart i många verksamheter är naturligt att systematiskt arbeta för att förbättra resultatet för individerna bedömer vi att de erfarenheter vi fått av det motsatta inte bör ignoreras. Det är viktigt att all verksamhet som syftar till att förbättra hälsa och livskvalitet för människor i behov av stöd har ett sätt att systematiskt ta reda på
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
591
vad som görs i verksamheten och vilka resultat det medför för individerna.
20.8 SoLPUL och SoLPULF – ett svårtillgängligt regelverk
Lagen om behandling av personuppgifter i socialtjänsten har länge kritiserats för att vara otydlig och svår att tillämpa. Inte minst har relationen till personuppgiftslagen och till förordningen om behandling av personuppgifter i socialtjänsten lyfts fram och sagts vara komplicerad. Bestämmelserna som reglerar för vilka ändamål personuppgifter får behandlas är exempelvis samlade i olika författningar och i nuvarande lag om behandling av personuppgifter inom socialtjänsten finns ingen uppräkning över vilka ändamål som är tillåtna. Dessutom är de ändamålsbestämmelser som trots allt finns i SoLPULF olika utformade beroende på vilken aktör som ska behandla personuppgifterna. Det bidrar till att regelverket blir svårtillgängligt, men kan även påverka förutsättningarna för en jämlik socialtjänst oavsett om en offentlig eller en privat utförare står för insatsernas genomförande.
Sedan patientdatalagen (2008:355) trädde ikraft har det även blivit än mer tydligt att regleringen på socialtjänstens område inte är lika uppdaterad och att de två författningarna har helt olika systematik och struktur. Särskilt med tanke på att hälso- och sjukvård och socialtjänst ligger mycket nära varandra har det framförts behov av att harmonisera lagstiftningen så att de i större utsträckning liknar varandra.
Exempelvis saknas för socialtjänstens del i dag en lagstiftning om behandling av personuppgifter som tydliggör vad syftet är med informationshanteringen eller som närmare reglerar frågor om inre sekretess, t.ex. behörighetsstyrning och åtkomstkontroll. För en ändamålsenlig informationshantering med hjälp av modern teknik är det viktigt att de grundläggande förutsättningarna som styr hur information får hanteras är så tydliga och kända som möjligt. Så är fallet inte i dag, där socialtjänsten måste söka stöd i personuppgiftslagens regler och praxis från Datainspektionen för att få ledning t.ex. i säkerhetsrelaterade frågor.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
592
Socialtjänstdatautredningen2 hade, bl.a. mot bakgrund av några av ovanstående perspektiv, som ett huvuduppdrag att göra en översyn av hur personuppgiftsbehandlingen i socialtjänsten regleras och vid behov lämna förslag för att åstadkomma en mer välfungerande och sammanhållen reglering av området.3 Eftersom betänkandet ännu inte lett till någon lagstiftning återstår fortfarande behovet av en översyn av lagen om behandling av personuppgifter inom socialtjänsten och den därtill hörande förordningen.
20.9 Kunskap, kompetens, ledning och styrning
Utredningen uppfattar att det, på motsvarande sätt som är fallet för hälso- och sjukvården, finns ett behov av ökad kunskap och kompetensutveckling i socialtjänsten när det gäller förutsättningarna för att hantera och utbyta information. Det kan handla om allt ifrån en osäkerhet på vad som är tillåtet i ett enskilt fall till en mer utbredd okunskap om vilka tekniska lösningar för att t.ex. utbyta information mellan olika aktörer som står till buds och är tillåtna enligt lagstiftningen. Inte minst i mindre verksamheter där socialtjänsten arbetar tillsammans med andra aktörer, t.ex. hälso- och sjukvård eller andra myndigheter, har vi kunnat konstatera ett behov av ökat stöd för en mer ändamålsenlig informationshantering.
Mycket av detta handlar ytterst, som vi ser det, om en mer aktiv och målmedveten ledning och styrning i frågorna. Vi bedömer därför att behovet av kompetensutveckling och kunskapsstyrning på detta område finns såväl på den mer verksamhetsnära nivån som på de olika ledningsnivåerna i socialtjänsten. Många gånger handlar det om att i organisationen bygga upp en struktur som på olika sätt stödjer ett ändamålsenligt arbetssätt vad gäller dokumentation och informationshantering. Inte minst behöver det stödet finnas i samband med framtaget och utvecklingen av de verksamhetssystem som ska användas i socialtjänsten.
Utredningen ser även att det ökade antalet utförare i socialtjänsten för med sig behov av att utveckla strukturer för att även stödja dessa. Många gånger är det relativt små företag som etablerar sig i kommunernas valfrihetssystem. Att förutsätta att dessa organisationer ska ha uppbyggd egen kunskap och kompetens i dessa
2SOU 2009:32. 3 Dir. 2007:92.
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
593
frågor är inte rimligt. Inte sällan är dessa mindre företag även i praktiken hänvisade att använda de system för informationshantering som kommunen själv använder och tillhandahåller. Det finns därför behov för kommunen som huvudman att ta ett ansvar för att de privata utförarna på något sätt omfattas av de strukturer och regelverk som tas fram i syfte att stödja en ändamålsenlig informationshantering.
Samtidigt som vi ser ett behov av ökad kunskap och en mer aktiv ledning och styrning kan vi även konstatera att det pågår en önskvärd utveckling på olika områden. Som vi nämnt i tidigare avsnitt pågår ett arbete, t.ex. inom ramen för projektet evidensbaserad praktik där även dessa frågor är aktuella. På en mer lokal nivå har vi även kunnat konstatera att det i kommunernas olika samverkansorganisationer drivs många projekt som ökar kunskapen och stöttar enskilda kommuner i utvecklingen mot ökad kvalitet och effektiv informationshantering. Det är viktigt att denna utveckling fortsätter.
Det finns heller ingen anledning att ifrågasätta den insikt som finns i socialtjänsten om att uppgifter många gånger är integritetskänsliga och behöver hanteras varsamt och i enlighet med regler om sekretess och tystnadsplikt. Vi bedömer att detta medvetande är högt och att det är en självklar och naturlig del av verksamhetskulturen att värna den enskildes intressen. Kunskapsbehovet finns snarare i den mer aktiva och verksamhetsnära tillämpningen av lagstiftningen. Inte minst för att verksamheten ska kunna införa ändamålsenliga IT-stöd behövs en ökad kunskap om hur uppgifter om enskilda får hanteras i en verksamhet och utbytas med andra verksamheter.
20.10 Sammanfattande reflektioner
Även om det finns mycket som fungerar bra kan utredningen konstatera att det finns ett antal faktorer som har stor betydelse för målsättningen att skapa en ännu mer ändamålsenlig och sammanhållen informationshantering inom socialtjänsten. Mot bakgrund av ovanstående och vad som tidigare redovisats vill vi sammanfattningsvis lyfta fram följande behov som särskilt viktiga att belysa i det följande. Den gemensamma nämnaren för alla dessa behov är att de i olika utsträckning påverkar kvaliteten i den socialtjänst som enskilda får.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
594
• Behovet av att införa ett nationellt fackspråk och en informationsstruktur som stödjer ett evidensbaserat arbete.
• Behovet av att se över sekretessregleringens konsekvenser för kommunens möjligheter till en ändamålsenlig och sammanhållen informationshantering.
• Behovet av att de rättsliga förutsättningarna för samverkan kring enskilda ligger i linje med de krav på samverkan som finns i lagstiftningen.
• Behovet av att de rättsliga förutsättningar för att säkra och utveckla kvaliteten i socialtjänsten ligger i linje med de krav som finns i lagstiftningen.
• Behovet av ökad kunskap, ledning och styrning ifråga om möjligheterna att hantera och utbyta information.
• Behovet av en modernisering av regleringen av personuppgiftsbehandling i SoLPUL och SoLPULF.
• Behovet av tydliga bestämmelser om inre sekretess, t.ex. behörighetsstyrning och åtkomstkontroll.
• Behovet av ett regelverk som möjliggör direktåtkomst mellan utförare när så behövs.
• Behovet av rättsliga möjligheter för privata utförare att behandla personuppgifter för systematiskt kvalitetsarbete.
• Den ibland långtgående tolkningen av vad som kan erbjudas som serviceinsatser (där dokumentationsskyldighet saknas).
595
21 En mer ändamålsenlig sekretessreglering i socialtjänsten
21.1 Bakgrund
Genom regler i offentlighets- och sekretesslagen (2009:400), förkortad OSL, uppstår sekretess runt olika myndigheter. I en kommunal nämndorganisation ses varje nämnd med underlydande förvaltning som en egen myndighet i sekretesshänseende. För en kommun som, för att t.ex. höja kvaliteten och servicen gentemot invånarna, valt att organisera socialtjänsten i olika nämnder gäller således sekretess mellan nämnderna. Det påverkar kommunens möjligheter att hantera och utbyta information i socialtjänsten, t.ex. med avseende på införandet av ett kommungemensamt itsystem för socialtjänstverksamheten. De sekretessgränser som uppstår medför även att den personal som arbetar i de olika verksamheterna inte kan ha direktåtkomst till varandras information, oavsett om individerna ofta är aktuella i båda verksamheterna och ett tätt samarbete krävs för att individen ska få sina behov tillgodosedda på bästa sätt.
För att en sekretessbelagd uppgift ska få lämnas ut från en verksamhet under den ena nämnden till en verksamhet under en annan nämnd krävs antingen att det finns en sekretessbrytande bestämmelse som tillåter det, att den enskilde samtycker till det eller att man vid en sekretessprövning kommer fram till att uppgifterna kan lämnas ut. Om en uppgift får lämnas ut mellan verksamheter som leds av olika nämnder, t.ex. med stöd av den enskildes samtycke, kan utlämnandet göras på flera olika sätt. Det kan exempelvis göras muntligt, på papper eller genom elektroniskt utlämnande på medium för automatiserad behandling, t.ex. cd, USB-minne eller
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
596
filöverföring. Uppgifterna får dock inte lämnas ut genom direktåtkomst.
Direktåtkomst är ett sätt att lämna ut uppgifter över sekretessgränser utan att det görs en sekretessprövning i varje enskilt fall. Den som formellt ansvarar för utlämnandet gör därmed inte någon manuell aktivitet vid varje överföringstillfälle som kan jämställas med ett beslut om utlämnande och en sekretessprövning. Vid direktåtkomst är det i stället mottagaren som själv direkt bereder sig åtkomst till uppgifter i den utlämnande verksamheten. För att det ska vara tillåtet att lämna ut uppgifter genom direktåtkomst krävs att det finns en sekretessbrytande bestämmelse som tillåter det. Någon sådan bestämmelse finns inte på socialtjänstens område. På hälso- och sjukvårdens område är situationen en annan. Där finns bestämmelser såväl i offentlighets- och sekretesslagen som i patientdatalagen (2008:355) som gör det möjligt för kommunen dels att organisera sin hälso- och sjukvård i olika nämnder utan att sekretess hindrar att uppgifter lämnas mellan nämnderna, dels att utbyta uppgifter genom direktåtkomst.
Det har under utredningens arbete blivit allt tydligare att den fria kommunala nämndorganisationen tillsammans med offentlighets- och sekretessregleringen har medfört att omotiverade sekretessgränser kan uppstå inom socialtjänsten beroende på hur en kommun väljer att organisera sin verksamhet. Att en organisatorisk utveckling medför att sekretessgränser uppstår mellan verksamheter som tidigare kunnat utgöra ett enda sekretessområde kan leda till tillämpningsproblem för kommuner och de invånare en kommun ansvarar för. Det finns därför anledning att överväga om sekretessregleringen bör utformas på ett mer ändamålsenligt sätt både för kommunens möjligheter att organisera sin verksamhet och för individernas behov av sekretess- och integritetsskydd.
Vidare har utredningen i uppdrag att överväga om det finns skäl att för socialtjänstens del införa sekretessbrytande bestämmelser som i relevanta delar motsvarar dem som redan gäller inom hälso- och sjukvården. För hälso- och sjukvårdens del finns exempelvis vissa möjligheter att lämna ut uppgifter till andra myndigheter inom hälso- och sjukvården eller socialtjänsten i fall där den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till utlämnandet.
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
597
21.1.1 Kort om kommunens ansvar och organisation
Kommunen har som huvudman det yttersta ansvaret för att invånarna får det stöd och den hjälp som de behöver, oavsett om t.ex. omsorg sedan bedrivs i offentlig eller i privat regi. Kommunens uppgifter inom socialtjänsten fullgörs enligt 2 kap. 4 § socialtjänstlagen (2001:453), förkortad SoL, av den eller de nämnder som kommunfullmäktige bestämmer. När det gäller kommunens insatser för särskilt stöd och särskild service till funktionshindrade finns motsvarande bestämmelser i 2 och 22 §§ lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS. Det som sägs i socialtjänstlagen eller en annan författning om socialnämnd gäller i förekommande fall den eller de nämnder som kommunfullmäktige har utsett.
Kommunallagen (1991:900), förkortad KL, ger kommunerna stor frihet i fråga om nämndorganisationen och det är möjligt att dela upp socialtjänsten på flera olika facknämnder. Det är således möjligt att ha särskilda äldreomsorgsnämnder eller särskilda äldre- och handikappnämnder som har ansvar både för sociala och medicinska insatser. Det finns även en möjlighet att inrätta så kallade kommundelsnämnder vilket innebär att en nämnd har hand om en eller flera verksamheter för en del av kommunen (3 kap. 4 § punkten 2 KL). Även om det finns en stor frihet för en kommun att utforma sin nämndverksamhet måste målen i socialtjänstlagen kunna uppfyllas.
Kommuner har också möjlighet att samverka genom bestämmelserna om gemensam nämnd i 3 kap. kommunallagen. En gemensam nämnd får fullgöra alla de uppgifter som annars ankommer på en nämnd inom kommunen eller landstinget (3 kap. 3 a § KL). Genom lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet kan landsting och kommuner verka inom en gemensam nämnd inom landstingets hälso- och sjukvård och tandvård, kommunernas hälso- och sjukvård och socialtjänst samt kommunernas och landstingets verksamheter enligt lagen om stöd och service för vissa funktionshindrade och lagen (1998:1656) om patientnämndsverksamhet m.m. Bakgrunden till att denna lag infördes var att stödja en fortsatt kvalitetsutveckling inom aktuella områden. Samverkan i en gemensam nämnd innebär dock inte att sekretess mellan samverkande verksamheter bryts.
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
598
21.1.2 Något om tidigare lagstiftningsarbeten
Det har även i tidigare utredningar ifrågasatts om det är lämpligt att sekretess ska gälla inom socialtjänsten i en kommun beroende på hur kommunen har organiserat verksamheten inom socialtjänsten. Offentlighets- och sekretesskommittén (OSEK) lade i sitt huvudbetänkande, Ny sekretesslag, fram ett förslag som förenklat uttryckt innebar att sekretess inte skulle gälla mellan de olika kommunala nämnder som utgjorde socialnämnder, dvs. nämnder som enligt 2 kap. 4 § SoL fullgjorde uppgifter enligt den lagen.1 Enligt förslaget skulle sekretess inte heller gälla mellan kommunens socialnämnd och den nämnd som svarar för kommunens verksamhet enligt lagen om stöd och service till vissa funktionshindrade. I stället för att sekretess ska gälla mellan olika självständiga verksamhetsgrenar, skulle sekretess inom nämnderna gälla mellan verksamheter som är av olika slag. Med verksamheter av olika slag avsågs verksamheter som rör olika förhållanden eller har olika inriktning.
I och med patientdatalagen infördes nya sekretessbrytande bestämmelser inom hälso- och sjukvården som bland annat innebär att sekretess inte hindrar att en uppgift lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting. Bestämmelsen gör det således möjligt för exempelvis en kommun att organisera och bedriva sin hälso- och sjukvårdsverksamhet genom olika myndigheter, utan att det uppstår sekretessgränser dem emellan. Kommunala företag som avses i 2 kap. 3 § OSL, dvs. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande, är dessutom i detta sammanhang att jämställa med myndigheter. Det gör det exempelvis möjligt att utan hinder av sekretess lämna uppgifter mellan ett kommunalt bolag i vilket en kommun äger mer än 50 procent av aktierna och den nämnd eller de nämnder i kommunen som fullgör uppgifter när det gäller kommunal hälso- och sjukvård.
Socialtjänstdatautredningen föreslog i betänkandet Socialtjänsten Integritet – Effektivitet att en ny sekretessbestämmelse införs med motsvarande regler som inom hälso- och sjukvården där det stadgas att samma sekretessgränser bör gälla inom socialtjänsten oavsett hur en kommun väljer att organisera denna verksamhet.2 Eftersom
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
599
reformen redan hade genomförts inom hälso- och sjukvården ansåg utredningen att det var av central betydelse att motsvarande regler införs inom socialtjänsten. Utredningen ansåg det särskilt viktigt då utredningen även lämnade andra förslag såsom sekretessbrytande bestämmelser för att underlätta utbytet av personuppgifter mellan socialtjänsten och hälso- och sjukvården. Utredningen hänvisade till offentlighets- och sekretesskommitténs skäl samt regeringens skäl i förarbetena till patientdatalagen3 för förslaget. Utredningens förslag har inte lett till någon lagstiftning. Vid remissbehandlingen framförde Justitieombudsmannen bland annat följande.
Enligt det förslag som nu föreligger ska sekretess inte heller gälla mellan de kommunala förvaltningar som bedriver verksamhet om bistånd åt asylsökande, introduktionsersättning åt flyktingar, tillstånd till parkering för rörelsehindrade, patientnämndsverksamhet och LSS. Enligt bestämmelserna i offentlighets- och sekretesslagen är dessa verksamheter visserligen att jämställa med socialtjänst. Verksamheterna är emellertid inte en uppgift för socialnämnden, och de nämnder som svarar för uppgifterna utgör inte heller socialnämnder enligt 2 kap. 4 § socialtjänstlagen. Förslaget om att inskränka sekretessen går således längre än det förslag som Offentlighets- och sekretesskommittén lade fram. I det nu aktuella betänkandet redovisas inte varför sekretess inte ska gälla mellan t.ex. en kommunal nämnd som svarar för introduktionsersättning till flyktingar och en nämnd som handlägger frågor om tillstånd till parkering för rörelsehindrade.
21.2 Våra överväganden och förslag rörande sekretessregleringen i socialtjänsten
21.2.1 Omotiverade konsekvenser av dagens reglering
Utvecklingen inom många kommuner innebär att det inte längre bara finns en kommunal nämnd för varje verksamhetsområde. Införandet av den fria kommunala nämndorganisationen har inneburit att en del kommuner kommit att dela upp socialtjänsten på flera sektorer som organisatorisk hör till olika nämnder. Om kommunfullmäktige utser flera nämnder att fullgöra uppgifter som hör till socialnämndens ansvarsområde uppstår dock enligt 8 kap. 1 § OSL i princip sekretess mellan de nämnderna. Den fria kommunala nämndorganisationen har därför, tillsammans med offentlighets- och sekretessregleringen, medfört att nya sekretess-
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
600
gränser kan uppstå beroende på hur en kommun väljer att organisera sin verksamhet, även om överväganden som ligger till grund för vald organisationsform inte har någon relevans för sekretessfrågan. Val av en organisationsform kan således få till konsekvens att det uppstår sekretessgränser som inte är sakligt motiverade.
Enligt utredningens bedömning har den fria kommunala nämndorganisationen medfört tillämpningsproblem inom kommuner där organisatorisk utveckling fått till följd att sekretessgränser uppstått i verksamheter som tidigare kunna utgöra ett enda sekretessområde. Det innebär otillfredsställande hinder för verksamheter inom kommuner som sakligt sett kan höra samman men som formellt lagts under olika nämnder utifrån helt andra bevekelsegrunder än de som bär upp att socialtjänstsekretess ska gälla även mellan myndigheter. För den enskilde kan det innebära ett tidskrävande och i vissa fall oöverskådlig informationshantering.
Regelverket utgår i stor utsträckning ifrån organisatoriska gränser och medför att möjligheterna till en effektiv och säker informationshantering till stor del är beroende av hur kommunen av olika skäl har valt att organisera sin verksamhet och myndighetsstruktur. Synsättet borde vara mer inriktat mot en informationshantering med individen och individens behov i centrum. Regelverket bör även göra det möjligt att organisera en verksamhet utifrån de grunder som bedöms bäst kunna bidra till rättssäkerhet, god kvalitet och kostnadseffektivitet. De rättsliga förutsättningarna ska även stimulera till organisatorisk samverkan och samarbete för de enskildas bästa. Bland annat mot den bakgrunden anser vi att kommuner ska kunna organisera och bedriva socialtjänstverksamhet genom olika myndigheter, exempelvis stadsdelsnämnder eller beställar- och utförarnämnder, utan att omotiverade sekretessgränser uppstår mellan dessa myndigheter.
Under utredningsarbetet har det framförts att det är otillfredsställande (och att det råder viss osäkerhet) med sekretessgränser mellan olika nämnder på socialtjänstens område. Det kan ibland vara så att olika verksamheter inom socialtjänsten i en kommun, på grund av organisatoriska skäl, hamnar på olika nämnder och då uppstår det sekretess mellan t.ex. ekonomiskt bistånd och missbruk. I en annan kommun där man har valt att enbart ha en nämnd för ovan nämnda verksamheter så finns ingen sådan sekretessgräns.
Ett annat exempel kan vara att en kommun har delat upp verksamheten så att en nämnd fattar beslut i ett ärende gällande exempelvis äldreomsorg men att den verksamhet som genomför
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
601
själva insatsen (utförare) ligger under en annan nämnd. Här uppstår det en sekretessgräns mellan beslutsfattare och utförare, vilket inte hade varit fallet om det hade varit samma nämnd. Ytterligare ett exempel är om en kommun delar upp en tidigare sammanhållen verksamhet på flera stadsdelsnämnder. En kommun kan indela verksamheten i en kommundelsnämnd ”Omsorg öster” och en kommundelsnämnd ”Omsorg väster”. Detta får till konsekvens att om en enskild till exempel får hemtjänst från Omsorg öster så uppstår det en sekretessgräns mot avlastning och korttidsboende som hör under Omsorg väster.
Det är även vanligt att en kommun organiserar sig på så sätt att en arbetsmarknadsnämnd hanterar till exempel insatser till personer som behöver ekonomiskt bistånd medan socialnämnden beslutar om beslutar om ekonomiskt bistånd till enskilda. I dessa fall är det viktigt att nämnderna kan utbyta information om en enskilds deltagande i sådana insatser som organiseras av andra nämnder. Insatser för den enskilde ska enligt 3 kap. 5 § SoL, utformas och genomföras tillsammans med honom eller henne. Det innebär att socialtjänsten under en utredning inte ska eller bör inhämta uppgifter från andra enskilda eller myndigheter utan att den enskilde har lämnat sitt samtycke. (Socialtjänsten har möjlighet att inhämta uppgifter från t.ex. Försäkringskassa och Arbetsförmedlingen [jfr 11 kap. 11–12 § § SoL] när det gäller bl.a. förmåner och ersättningar.) Det bör inte vara någon skillnad i hanteringen av information beroende på hur en kommun väljer att inrätta sin organisation.
Att lagstiftningen ibland reser sekretessgränser utifrån helt andra bevekelsegrunder än de som normalt bär upp att sekretess bör gälla mellan myndigheter uppfattas därför som inadekvat. För den enskilde kan det innebära ineffektiv informationshantering. Samtidigt kan en avsaknad av sekretessgränser inom och mellan myndigheter få negativa konsekvenser för enskilda. Uppgifter som har lämnats till en myndighet för ett visst ändamål kan senare komma att användas inom myndigheten för ett annat ändamål. För att enskilda ska kunna känna förtroende för myndigheter är det angeläget att lagstiftningen i så stor utsträckning som möjligt ger skydd mot detta. Samtidigt är det viktigt att komma ihåg att varje sekretessgräns inom en myndighet skapar merarbete inom myndigheten. Det måste därför finnas en balans mellan skyddet för den
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
602
enskildes integritet och myndigheternas möjligheter att arbeta så effektivt som möjligt.4
Ibland framförs även att verksamheten inom socialtjänsten är väldigt bred och innehåller många olika delar, som inte alltid har en nära koppling till varandra ur ett individperspektiv. Precis som Justitieombudsmannen anförde i det tidigare nämnda remissyttrandet kan det handla om allt ifrån bistånd till asylsökande till parkeringstillstånd för rörelsehindrade. Motsvarande förhållande finns även inom hälso- och sjukvården, som innehåller verksamhet på vitt skilda områden som exempelvis barnhälsovård, geriatrik, kvinnofridsmottagning, arbetsmedicin m.m. På hälso- och sjukvårdens område har lagstiftaren dock valt att göra det möjligt för kommuner och landsting att fritt organisera sin verksamhet utan att behöva ta hänsyn bestämmelserna i offentlighets- och sekretesslagen. Vi anser att kommunerna bör ha en motsvarande möjlighet även på socialtjänstens område.
Det är i sammanhanget även viktigt att komma ihåg att nuvarande regelverk innebär att det inte finns någon sekretessgräns på socialtjänstens område i de kommuner som har valt att lägga all verksamhet under en nämnd. Självklart kan det samtidigt uppstå sekretess inom olika delar av en sådan bred myndighet, om verksamhetsgrenarna är självständiga i förhållande till varandra på ett sådant sätt som avses i 8 kap. 2 § OSL.
21.2.2 Alternativa lösningar
För att komma till rätta med hinder mot en mer ändamålsenlig och sammanhållen informationshantering inom socialtjänsten som dagens regleringar av sekretess och tystnadsplikt reser behövs sannolikt ett flertal åtgärder vidtas. En situation där en ökad tydlighet är angelägen är det informationsutbyte som är nödvändigt mellan en kommun och de privata utförare av socialtjänst som kommunen bedriver socialtjänst igenom. Dessa frågor behandlas i avsnitt 27.
Den andra situationen, som är aktuell i detta sammanhang, är frågan om sekretess inom och mellan olika nämnder som bedriver socialtjänst i samma kommun. Förmodligen finns ett antal olika alternativa lösningar för att skapa en reglering som på ett bättre sätt än i dag bidrar till att skapa likartade förutsättningar för social-
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
603
tjänsten oavsett hur enskilda kommuner har valt att närmare utforma sin nämndorganisation.
En lösning skulle kunna vara att slopa sekretessgränserna i socialtjänsten helt och hållet. Vår bedömning är att ett sådant alternativ inte är förenligt med enskilda individers berättigade behov av ett starkt integritetsskydd. Vidare är det svårt att överblicka konsekvenserna av en sådan åtgärd.
En annan lösning skulle möjligen kunna vara att förändra sekretessregleringen på ett sådant sätt att ett rakt skaderekvisit ska gälla mellan myndigheter inom socialtjänsten. Det kan dock, precis som bland annat OSEK och patientdatautredningen tidigare påpekat, ifrågasättas i vad mån möjligheterna till uppgiftsutbyte verkligen skulle öka med ett rakt skaderekvisit i stället för dagens omvända rekvisit. Patientdatautredningen framförde exempelvis följande när motsvarande fråga analyserades för hälso- och sjukvårdens del.5
Redan i dag kan uppgifter som inte är av alltför känslig natur i allmänhet utbytas mellan myndigheter inom hälso- och sjukvården och även socialtjänstens omsorg, om inte den enskilde motsatt sig det. I sådana fall står det nämligen ofta klart att utbytet kan ske utan men för den enskilde. Ömtåligare uppgifter torde inte bli lättare att lämna ut med ett rakt skaderekvisit. Menbegreppet är ju detsamma vare sig det är ett rakt eller omvänt skaderekvisit (SOU 2003:99 s. 298). Vi tror vidare att det skulle innebära tillämpningsproblem för den praktiserande hälso- och sjukvården att ha olika skaderekvisit för olika slags mottagare. Skulle man vidare inskränka det raka skaderekvisitet att bara gälla för ett visst ändamål, vårdsyfte, torde tillämpningsproblemen bli än större. Sammantaget finner vi inte skäl att föreslå några genomgripande och generella lättnader i hälso- och sjukvårdssekretessen utöver den vi föreslagit i samband med den sammanhållna journalföringen.
Vi ansluter oss i stora drag till flera av de skäl som patientdatautredningen anför ovan. Inte heller på socialtjänstens område bedömer vi att förändringar av skaderekvisitet skulle leda till en mer ändamålsenlig reglering och enhetlig tillämpning.
Ett tredje alternativ är att införa sekretessbrytande bestämmelser som i praktiken undanröjer socialtjänstsekretessen mellan olika myndigheter på socialtjänstens område i en och samma kommun. Det skulle bland annat kunna innebära att de i dag omotiverade sekretessgränser som uppstått inom kommuner där
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
604
organisatoriska förändringar ofrivilligt medfört att nya sekretessgränser uppstått i verksamheter som tidigare varit ett enda sekretessområde. En sekretessbrytande bestämmelse av ett sådant slag skulle inte innebära någon generell lättnad av socialtjänstsekretessen eller någon förändring av det i OSL grundläggande synsättet att det gäller sekretess mellan olika myndigheter. Vi bedömer därför att detta alternativ bäst balanserar de olika behov och skyddsintressen som finns. Dessutom överensstämmer alternativet med vad som redan i dag gäller för kommunen på hälso- och sjukvårdens område. En likartad reglering mellan socialtjänst och hälso- och sjukvård är av flera anledningar att föredra, inte minst med avseende på sådana verksamheter som rör sig i gränslandet mellan hälso- och sjukvården och socialtjänsten.
21.2.3 Förslag till en mer ändamålsenlig sekretessreglering i socialtjänsten
Vårt förslag: Ett sekretessbrytande undantag från socialtjänst-
sekretess ska införas i offentlighets- och sekretesslagen. Undantaget innebär att socialtjänstsekretess inte hindrar att uppgift lämnas från en myndighet inom socialtjänsten i en kommun till en annan sådan myndighet i samma kommun.
Vår bedömning: Förslaget gör det möjligt för en kommun att
organisera och bedriva socialtjänstverksamhet genom olika myndigheter, exempelvis stadsdelsnämnder eller beställar- och utförarnämnder, utan att omotiverade sekretessgränser uppstår mellan myndigheterna. Utredningens förslag ska läsas i ljuset av förslagen om tydligare reglering av inre sekretess i socialtjänstdatalagen, bland annat krav på behörighetsstyrning, åtkomstkontroll m.m.
Det är i dag inte ändamålsenligt att effekterna av sekretessregleringen är beroende på hur enskilda kommuner har organiserat sin verksamhet. Det uppstår tillämpningsproblem och i ett större perspektiv motverka det en över landet jämlik socialtjänst. Ur ett medborgarperspektiv är detta svårt att motivera. Därför är det angeläget att lagstiftaren inte bidrar till att skapa sådana omotiverade skillnader i människors förutsättningar att få stöd,
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
605
service, vård och behandling som gällande regelverk ger upphov till. En informationshantering som i större utsträckning utgår från den enskildes behov av hälso- och sjukvård och socialtjänst stärker förutsättningar för den enskildes möjlighet till en hög kvalitet i omsorgen.
Utredningen föreslår därför en sekretessbrytande bestämmelse inom socialtjänsten som bidrar till en mer ändamålsenlig reglering och tillämpning av sekretesslagstiftningen. Syftet är att komma till rätta med dagens omotiverade sekretessgränser som ger upphov till svårigheter för informationsutbyte och samverkan inom socialtjänsten. Med vårt förslag kommer offentlighets- och sekretesslagstiftningen inte längre att medföra olika förutsättningar att bedriva socialtjänst och hantera och utbyta information beroende på hur enskilda kommuner har valt att organisera sin verksamhet. Det bidrar till ökade möjligheter till en jämlik och god socialtjänst för alla.
Förslaget ger ökade möjligheter för kommunerna att organisera verksamheten och informationshanteringen med medborgaren i centrum och utifrån grundläggande värden som rättsäkerhet, god kvalitet och effektivitet. För den enskilde möjliggörs i större utsträckning en informationshantering utifrån hans eller hennes behov av bistånd, stödinsatser, vård och behandling. Därför föreslår vi att det införs en ny bestämmelse i offentlighets- och sekretesslagen som innebär att socialtjänstsekretess inte hindrar att uppgift lämnas från en myndighet som bedriver sådan verksamhet i en kommun till en annan sådan myndighet i samma kommun.
Förslaget innebär inte någon generell lättnad av socialtjänstsekretessen. Enskildas berättigade behov av skydd finns kvar. Bestämmelsen om socialtjänstsekretess ska fortfarande gälla. Inte heller innebär förslaget någon förändring av det i offentlighets- och sekretesslagen grundläggande synsättet att det gäller sekretess mellan olika myndigheter.
Även om utredningens förslag i praktiken undanröjer de sekretesshinder som i dag finns mellan olika myndigheter på socialtjänstens område i samma kommun, ska enskildas inställning fortfarande tillmätas betydelse. Det följer bland annat av den grundläggande bestämmelsen i 1 kap. 1 § SoL om att verksamheten ska bygga på respekt för människornas självbestämmande och integritet. Motsvarande bestämmelse finns i 6 § LSS. I linje med detta ska en enskilds uttryckliga önskemål om att uppgifter om honom eller henne inte fritt ska lämnas från en myndighet till en
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
606
annan inom kommunen normalt sett respekteras även om den föreslagna sekretessbrytande bestämmelsen införs.
Att införa en sådan bestämmelse som föreslås innebär heller ingen egentlig praktiskt förändring av sekretessen i jämförelse med de kommuner som i dag har organiserat sig på så sätt att en och samma nämnd ansvarar för socialtjänsten. I många små och medelstora kommuner är ansvaret för socialtjänstens olika verksamheter inte uppdelad på flera olika nämnder, utan hålls vanligtvis ihop under en socialnämnd och en socialförvaltning. Utredningens bedömning är dock att våra förslag om en socialtjänstdatalag med bland annat uttryckliga krav på behörighetsstyrning och åtkomstkontroll m.m. kommer att stärka integritetsskyddet i dessa kommuner jämfört med vad som är fallet i dag.
Frågan om sekretess bör enligt vår mening inte avgöras utifrån val av organisationsstruktur, utan från det grundläggande behovet av integritetsskydd. Det är naturligtvis så att alla verksamheter som faller under definitionen av socialtjänst, eller för den delen hälso- och sjukvård, inte alltid har behov av att utbyta uppgifter med varandra. Därför vill vi tydliggöra och stärka individens integritetsskydd i socialtjänsten. Vårt förslag om sekretessbrytande bestämmelse ska därför bedömas i ljuset av de förslag om reglering av den inre sekretessen som finns i förslaget till socialtjänstdatalag. För att ytterligare stärka individens behov av integritetsskydd föreslår vi därför att författningsbestämmelser om inre sekretess, behörighetsstyrning och åtkomstkontroll införs i den nya socialtjänstdatalagen (se avsnitt 24). Sådana bestämmelser saknas i dag och skulle enligt vår mening bidra till att stärka integritetsskyddet och upprätthålla förtroendet för informationshanteringen inom socialtjänsten. Den grundläggande bestämmelsen om inre sekretess som vi föreslår anger att den som arbetar inom socialtjänsten får ta del av dokumenterade uppgifter om en enskild endast om han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten. De föreslagna kraven på behörighetsstyrning innebär vidare att den som arbetar i socialtjänsten inte ska ha möjlighet att bereda sig elektronisk åtkomst till sådana uppgifter om individer som inte motsvarar det behov som finns för att arbetet ska kunna utföras. Den faktiska tillgången till uppgifter ska därmed så långt möjligt anpassas och begränsas till vad som är påkallat med hänsyn till varje anställds, eller motsvarande, behov.
Med regler om inre sekretess tydliggörs att det aldrig kan vara fråga om ett okontrollerat och fritt flöde av uppgifter inom och
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
607
mellan kommunala nämnder. Detta sätt att reglera sekretess- och dataskyddslagstiftningen skulle då även komma att likna vad som redan i dag gäller för hälso- och sjukvården.
21.2.4 Frågan om sekretess mellan LSS och övrig socialtjänstverksamhet
Vår bedömning: Verksamhet enligt LSS och verksamhet enligt
SoL är i dag mycket nära sammankopplade och kompletterar varandra. Det kan svårligen hävdas att sekretess gäller mellan verksamheter enligt LSS och verksamheter enligt SoL, om verksamheterna ligger under samma nämnd. Vi bedömer även att de skäl som vanligtvis motiverar sekretess saknas i sådana fall.
Under utredningens gång har det blivit allt tydligare att frågan om sekretess mellan verksamhet enligt lagen om stöd och service till vissa funktionshindrade och övrig socialtjänstverksamhet behöver tydliggöras. Såväl kommuner som myndigheter utredningen har haft kontakt med har vittnat om en osäkerhet kring vad som gäller i dag och en önskan om ett tydligare rättsläge framöver.
Frågan om verksamhet enligt LSS ska behandlas som en självständig verksamhet i förhållande till socialtjänsten i de fall då båda verksamheterna sorterar under samma nämnd har behandlats i bland annat JO 1995/96 s. 431. Av JO:s beslut framgår bland annat följande. När det gäller verksamhet enligt LSS kan man hävda att förhållandet framstår närmast som det motsatta i förhållande till Ädelreformen. I stället för att integrera verksamheten med socialtjänsten har man valt att behålla den skiljelinje som sedan länge funnits mellan omsorgsområdet och socialtjänsten även om man i förarbetena konstaterat att verksamhet enligt LSS står socialtjänsten nära. Också den omständigheten att lagstiftaren rent tekniskt valt att jämställa verksamhet enligt LSS med socialtjänst – och detta enbart vad gäller tillämplig sekretessbestämmelse – i stället för att uttryckligen ange att verksamheten ska bedrivas av socialnämnden eller på annat sätt göra verksamheten till en del av socialtjänsten i sekretesslagens mening, talar i samma riktning. Vad som ändå med viss styrka enligt JO ansågs tala för att sekretess inte gäller mellan verksamheterna, när det ligger under samma nämnd, är att verksamhet enligt LSS och socialtjänst står varandra nära och
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
608
att verksamheterna i vissa hänseenden kan anses utgöra komplement till varandra. Härtill kom enligt JO att det kan ifrågasättas om en verksamhetsgren för att vara självständig inte borde ha större självbestämmanderätt än vad som är förenligt med att olika verksamheter bedrivs av samma nämnd. JO fann slutligen att rättsläget måste betecknas som oklart.
När det gäller om verksamhet enligt lagen om stöd och service till vissa funktionshindrade ska förstås som socialtjänst har OSEK ansett att de fortsättningsvis i sekretesslagens mening bör anses som en och samma verksamhet.6Detta eftersom verksamheterna står varandra nära och i vissa hänseenden kan anses utgöra komplement till varandra. OSEK har även uttalat att skälet till att det inte uppstår sekretess i en nämnd mellan integrerad verksamhet som omfattas av Ädelreformen snarare är att hälso- och sjukvårdsverksamheten och socialtjänstverksamheten i sådana situationer inte är självständiga i förhållande till varandra än att det skulle vara fråga om verksamhet av samma slag. Detta reser enligt kommittén i sin tur frågan hur det förhåller sig med andra verksamheter där hälso- och sjukvård och socialtjänst integreras och hanteras av samma nämnd.7Frågan får troligen avgöras efter en bedömning av verksamheternas organisering utifrån det självständighetsrekvisit som uppställs i 8 kap. 2 § OSL.8
Utredningens bedömning är att verksamhet enligt LSS och verksamhet enligt SoL ligger mycket nära och kompletterar varandra. Det gäller oavsett hur en enskild kommun valt att organisera sin verksamhet. Vi anser att det i dag svårligen kan hävdas att sekretess gäller mellan verksamhet enligt LSS och verksamhet enligt SoL om verksamheterna ligger under samma nämnd. De skäl som vanligtvis motiverar varför sekretess ska gälla i en viss situation och mellan vissa verksamheter saknas även.
Vårt förslag till sekretessbrytande regel i socialtjänsten tar dock inte sikte på frågan om det gäller sekretess mellan olika delar i en och samma nämnd. Frågan om sekretess mellan verksamhet enlig LSS och övrig socialtjänstverksamhet inom samma nämnd är därför inte riktigt relevant i sammanhanget. Samtidigt kan vi konstatera att bedömningen av sekretess mellan LSS och övrig verksamhet enligt vad som beskrivits ovan är viktig i relation till gällande rätt i dag. I den delen gör vi således bedömningen att det i regel inte
6SOU 2003:99 s. 274. 7SOU 2003:99 s. 257. 8 Lenberg, Geijer och Tansjö, Offentlighets- och sekretesslagen – En kommentar, s. 26:1:9.
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
609
kan anses gälla sekretess mellan LSS och annan socialtjänstverksamhet som bedrivs under samma nämnd. Verksamheterna är i dessa fall att betrakta som av samma slag och komplement till varandra samt i övrigt inte självständiga på ett sådant sätt som avses i 8 kap. 2 § OSL.
Inte heller innebär vårt förslag att sekretessen som sådan upphävs mellan olika nämnder på socialtjänstens område. Vårt förslag innebär att det ska införas ett sekretessbrytande undantag från socialtjänstsekretessen mellan myndigheter inom socialtjänsten i samma kommun. Den sekretessbrytande bestämmelsen kommer i praktiken att undanröja socialtjänstsekretessen mellan verksamhet enligt LSS och övrig socialtjänstverksamhet, även om verksamheterna ligger under olika nämnder. Det innebär däremot inte att det blir fråga om en okontrollerad spridning av uppgifter. Den individ som uttrycker önskemål om att uppgifter om honom eller henne inte fritt ska lämnas från en myndighet till en annan myndighet ska normalt sett respekteras. Dessutom ska utredningens förslag ses i ljuset av de särskilt integritetsskyddande förslagen i den föreslagna socialtjänstdatalagen. Se bland annat avsnitt 24.2.1 om förslag på bestämmelser för att reglera den inre sekretessen i socialtjänsten, t.ex. med avseende på krav på behörighetsstyrning och åtkomstkontroll.
21.2.5 Frågan om sekretess mellan LSS och den kommunala hälso- och sjukvården i boenden med särskild service
Vår bedömning: Sekretess bedöms inte föreligga mellan LSS
och kommunal hälso- och sjukvård i boenden med särskild service, när verksamheterna bedrivs under samma nämnd. På motsvarande sätt som anses gälla i verksamheter som omfattas av Ädelreformen, bör hälso- och sjukvården och verksamheten enligt LSS i detta fall inte betraktas som självständiga i förhållande till varandra.
Som tidigare har nämnts integrerades den kommunala hälso- och sjukvården och socialtjänsten genom den s.k. Ädelreformen. I förarbetena till de lagändringar som gjordes i samband med reformen kan utläsas att socialtjänsten och den kommunala hälso- och sjuk-
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
610
vården genom reformen inte kan betraktas som självständiga i förhållande till varandra utan att de tillhör samma verksamhetsområde i sekretesshänseende.9 Det har däremot inte uttalats att den kommunala hälso- och sjukvården och LSS ska tillhöra samma verksamhetsområde.
Kommunens ansvar för hälso- och sjukvård enligt 18 § hälso- och sjukvårdslagen (1982:763), förkortad HSL, anses även gälla de personer som bor i bostad med särskild service för vuxna enligt 9 § 9 LSS, men en lagreglering om detta saknas (jfr 18 § HSL). Enligt förarbetena till LSS ska bostad med särskild service enligt socialtjänstlagen och motsvarande boende enligt LSS jämställas i detta sammanhang.10
Socialstyrelsen har tolkat att undantaget gällande att hälso- och sjukvård och socialtjänst inte är självständiga verksamhetsgrenar bara har gällt den hälso- och sjukvård som kommunerna tog över ansvaret för i särskilda boendeformer enligt Ädelreformen. Däremot råder en osäkerhet om detsamma gäller områdena hälso- och sjukvård och bostad med särskild service för vuxna enligt 9 § 9 LSS. Detta innebär i praktiken att om man kommer fram till att det är fråga om två skilda verksamhetsgrenar så måste samtycke inhämtas från den enskilde om information lämnas mellan dessa båda verksamhetsgrenar. Socialstyrelsen har bland annat i en skrivelse till regeringen uppmärksammat denna oklarhet och skillnad jämfört med vad som uttalades i samband med Ädelreformen.11
Utredningen kan konstatera att det finns oklarheter när det gäller sekretessen mellan verksamhet enligt LSS i bostad med särskild service och den kommunala hälso- och sjukvården som kommunen har ansvar för i en sådan boendeform.
Den verksamhet som bedrivs i de särskilda boendena enligt 9 § 9 LSS bedrivs integrerat och i nära samarbete såväl med den kommunala hälso- och sjukvården som med de läkarinsatser som landstinget ansvarar för. Ett vanligt behov av stöd och omvårdnad är t.ex. att få hjälp med att ta sina, av läkare ordinerade, läkemedel. För vissa räcker det med att bli påmind om att ta medicinen medan andra behöver mer omfattande och personlig hjälp sin läkemedelsbehandling. Den som förskriver läkemedel kan vid förskrivningstillfället behöva ta ställning till om patienten klarar av att själv hantera sina läkemedel. Om förskrivaren bedömer att patienten
9Prop. 1990/91:14 s. 85. 10Prop. 1992/93:159 s. 182. 11 Socialstyrelsens skrivelse till regeringen 2003-02-17, dnr 72-1219/2003.
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
611
inte klarar det, bör ställningstagandet dokumenteras i patientjournalen.
Alla hälso- och sjukvårdsuppgifter behöver inte utföras av en sjuksköterska utan en del av dessa kan delegeras. Personal som arbetar i bostad med särskild service kan alltså även utföra hälso- och sjukvårdsuppgifter på delegation exempelvis från en legitimerad sjuksköterska.12Den som utför arbetsuppgifter på delegation tillhör hälso- och sjukvårdspersonalen vid utförandet av dessa. Detta innebär bl.a. att personal på ett särskilt boende enligt LSS utför både hälso- och sjukvårdsinsatser och socialtjänstinsatser.
Den verksamhet som bedrivs inom ett sådant särskilt boende som avses i LSS kan därmed ha stora likheter med den verksamhet som bedrivs i särskilda boenden enligt socialtjänstlagen. För den senare verksamheten uttalades i samband med Ädelreformen att den kommunala hälso- och sjukvården och socialtjänsten i detta fall inte blir att betrakta som självständiga i förhållande till varandra, eftersom det inte är fråga om verksamheter av skilda slag.13Utredningen finner inga skäl till att en annan bedömning skulle göras endast på den grunden att den enskilde har fått stödet och servicen beviljad genom en tillämpning av LSS.
Vår bedömning är således att verksamheterna i dessa fall, om de bedrivs under samma nämnd, kan betraktas som av samma slag och komplettera varandra samt i övrigt inte anses självständiga på ett sådant sätt som avses i 8 kap. 2 § OSL.14
21.2.6 Frågan om sekretess mellan hemtjänst och kommunal hemsjukvård
Vår bedömning: Verksamhet avseende hemtjänst enligt social-
tjänstlagen och kommunal hemsjukvård är i dag mycket nära sammankopplade och kompletterar varandra. Det kan svårligen hävdas att sekretess gäller mellan dessa verksamheter när de ligger under samma nämnd. Vi bedömer att de skäl som vanligtvis motiverar sekretess saknas i sådana fall.
12 Socialstyrelsen Bostad med särskild service för vuxna enligt LSS – Stöd för rättstillämpning och handläggning 2007 s. 51 f. 13Prop. 1990/91:14 s. 85. 14 Jfr även SOU 2003:99 s. 257–258.
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
612
Under utredningens arbete har även frågan om hur man ska se på sekretessfrågorna i den kommunala hemtjänsten nu när kommunerna även har tagit över ansvaret för hemsjukvården. Socialstyrelsen har framfört att den nuvarande tolkningen när det gäller undantaget att hälso- och sjukvård och socialtjänst inte är självständiga verksamhetsgrenar bara har gällt den hälso- och sjukvård som kommunerna tog över ansvaret för i särskilda boendeformer i samband med Ädelreformen. Socialstyrelsen anser att det inte är helt klart att uttalanden i samband med Ädelreformen angående självständiga verksamhetsgrenar kan utsträckas till att även avse sådan kommunal hälso- och sjukvård i ordinärt boende som kommunen har ansvar för efter avtal med landstinget.
Det finns således en tveksamhet ute i verksamheterna om detta även kan gälla den hälso- och sjukvård som kommunerna har tagit över från landstingen. Samtidigt kan konstateras att en stor del av de som i dag får både hemtjänst och kommunal hemsjukvård är personer som skulle kunna få en plats på ett särskilt boende enligt socialtjänstlagen. En stor andel äldre vill dock bo kvar hemma och där få insatser enligt socialtjänstlagen och även få den hälso- och sjukvård som kommunen har ansvaret för. Naturligtvis handlar det i vissa fall även om att det kan saknas platser i särskilda boenden och att enskilda därför kan få sina behov tillgodosedda i ordinärt boende i stället.
Vidare har framför allt den medicinska utvecklingen de senaste årtiondena fört med sig att allt mer hälso- och sjukvård kan utföras i enskildas hem. Sådan hälso- och sjukvård som tidigare krävde intagning i slutenvård eller vistelse i ett särskilt boende kan i dag i större utsträckning erbjudas i ordinärt boende. En konsekvens av detta kan sägas vara att delar av den verksamhet som kommunerna tog över i samband med Ädelreformen i dag i praktiken utförs inom ramen för hemsjukvården och hemtjänsten.
Bland annat mot den bakgrunden saknas det enligt utredningens bedömning skäl att i den här aktuella situationen göra en annan bedömning av sekretessfrågan än vad som gjordes i samband med Ädelreformen. Om den kommunala hemsjukvården och hemtjänsten bedrivs i samma nämnd bör inte dessa verksamheter, lika lite som om de hade bedrivits i ett särskilt boende, anses vara självständiga i förhållande till varandra i den mening som avses i offentlighets- och sekretesslagen. Det avgörande kan rimligen inte heller vara om hälso- och sjukvården och hemtjänsten utförs i ett av kommunen anvisat särskilt boende eller i den enskildes egna
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
613
hem. Vår bedömning är således att verksamheterna i dessa fall, om de bedrivs under samma nämnd, kan betraktas som av samma slag och komplettera varandra samt i övrigt inte anses självständiga på ett sådant sätt som avses i 8 kap. 2 § OSL.
21.2.7 Frågan om en sekretessbrytande regel i förhållande till hälso- och sjukvården m.m.
Av utredningsdirektiven framgår bland annat att utredningen ska undersöka om det finns skäl att i 26 kap. OSL införa sekretessbrytande bestämmelser som i relevanta delar motsvarar dem som redan gäller inom hälso- och sjukvården. Bestämmelser som bryter sekretessen gör det möjligt att i vissa situationer lämna ut uppgifter om enskilda utan att en menprövning görs eller den enskildes samtycke inhämtas.
I hälso- och sjukvården gäller att om en enskild på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar inte sekretess att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvård till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område (25 kap. 13 § OSL). Frågan är om det finns skäl att införa motsvarande sekretessbrytande bestämmelse för socialtjänsten.
Något om tidigare lagstiftningsarbeten
Offentlighets- och sekretesskommittén (OSEK) föreslog när det gäller uppgiftsutbyte mellan och inom vård- och omsorgsområdena en begränsning av sekretessen som innebär en utvidgning av bestämmelserna som bryter sekretess avseende underåriga, missbrukare och gravida (dåvarande 14 kap. 2 § sjätte stycket sekretesslagen
[1980:100])
.15I stället för att rikta sig till dessa utpekade grupper skulle bestämmelsen kunna inkludera alla som är i behov av nödvändig vård, omsorg, behandling eller annat stöd. Enligt OSEK:s förslag ska sekretess således inte hindra att uppgifter om en enskild som behövs för att han eller hon ska få nödvändig vård,
15SOU 2003:99.
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
614
omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården eller socialtjänsten till en annan sådan myndighet eller till enskild vårdgivare eller enskild verksamhet på socialtjänstens område. Som skäl anfördes bl.a. att det av patientsäkerhetsskäl är väsentligt att nödvändiga uppgifter om en patient finns tillgängliga vid ett vårdtillfälle även då patientens samtycke inte kan inhämtas eller patienten motsätter sig att uppgifter lämnas ut. Enligt OSEK var förslaget ett undantag från det sekretesskydd som den enskilde har enligt sekretesslagstiftningen som måste användas med urskillning och varsamhet.
OSEK:s förslag i de delar som avsåg hälso- och sjukvården togs upp av patientdatautredningen som i sitt betänkande föreslog att om den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att en uppgift lämnas ut, hindrar inte hälso- och sjukvårdssekretessen inte att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område.16 Utredningen ansåg att det fanns skäl att göra ett förtydligande så att det av lagtexten skulle framgå att bestämmelsen ska användas när den enskilde kan antas motsätta sig ett utlämnande eller att saken brådskar så att tid inte finnas att inhämta samtycke (jfr OSEK:s förslag ovan). Detta mot bakgrund av att det i remisshanteringen av OSEK:s betänkande uttalades viss kritik mot att det av lagtexten inte framgick att bestämmelsen var tänkt att användas på detta sätt. Patientdatautredningen begränsade sig till den del som enbart rör uppgiftsflödet inom hälso- och sjukvården eller från hälso- och sjukvården till socialtjänsten. Utredningen anförde att hur socialtjänsten ska få hantera sin information i individinriktad faktisk verksamhet låg klart utanför direktiven och krävde särskilda överväganden.
Vid införandet av ovan nämnda sekretessbrytande bestämmelse som gäller inom hälso- och sjukvården(25 kap. 13 § OSL) anförde regeringen bland annat följande.17
Mot bakgrund av de patientsäkerhetsaspekter som gör sig gällande när vårduppgifter om en enskild i allt större utsträckning sprids på allt fler vårdgivare och de brister i omhändertagandet som finns i integrerade verksamheter, därför att information om den enskilde på grund av
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
615
sekretessen inte alltid kan förmedlas mellan de olika verksamheterna i tillräcklig utsträckning, har såväl offentlighets- och sekretesskommittén som patientdatautredningen föreslagit att det bör införas ytterligare en sekretessbrytande bestämmelse. Förslaget innebär att sekretess inte ska hindra att uppgift om en enskild som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område. Patientdatautredningen har därutöver föreslagit att det av lagtexten ska framgå att sekretessgenombrottet bara gäller om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att uppgifter lämnas ut. Förslaget tar med detta tillägg i huvudsak sikte på patienter som på grund av hälsorelaterat skäl inte kan samtycka eller som annars inte har beslutsförmåga. Viljan hos den patienten som klart och utan inflytande av allvarlig psykisk störning eller liknande motsätter sig ett uppgiftsutlämnande ska däremot respekteras. Detta överensstämmer med bestämmelserna i 2 a § HSL om att hälso- och sjukvård ska bygga på respekt för patientens självbestämmande och integritet samt att vårdens behandling så långt möjligt ska utformas och genomföras i samråd med patienten.
Socialtjänstdatautredningen har i sitt betänkande Socialtjänsten Integritet – Effektivitet enbart föreslagit en ny bestämmelse om sekretessbrytande regler när det gäller att genomföra gemensam individbaserad verksamhetsuppföljning mellan socialtjänsten och hälso- och sjukvården.18 Förslaget har inte lett till någon lagstiftning.
I betänkandet av utredningen om skyddsåtgärder inom vård och omsorg för personer med nedsatt beslutsförmåga föreslogs att socialtjänstsekretess inte ska hindra att uppgifter om enskild som behövs för ställningstagande i frågor gällande tvångsåtgärder enligt förslagen till lag om tvångs- och begränsningsåtgärder inom socialtjänsten i vissa fall och lag om tvångs-och begränsningsåtgärder vid medicinsk behandling i vissa fall lämnas från myndighet inom hälso- och sjukvården och socialtjänsten till annan sådan myndighet eller till enskild vårdgivare eller enskild verksamhet på socialtjänstens område.19Som bakgrund till förslaget anfördes bland annat att uppgifter om enskilda inom såväl den offentliga hälso- och sjukvården som socialtjänsten är sekretessreglerade med ett omvänt skaderekvisit. Båda områdena är också undantagna från den s.k. generalklausulens tillämpningsområde. Detta innebär att det
18SOU 2009:32. 19SOU 2006:110.
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
616
inte finns något generellt undantag från huvudregeln om att uppgiften inte får lämnas ut om det inte står klart att den kan röjas utan att den enskilde eller någon honom närstående lider men. Det kan dock finnas andra begränsningar i sekretess i form av uppgiftsskyldighet eller andra undantag från sekretessen. Någon bestämmelse med ett sådant innehåll som är tillämplig inom detta område finns dock inte. För dessa verksamheter blir ett uppgiftslämnande i princip därför beroende av den enskildes samtycke. När det gäller den personkrets som uppdraget omfattar kommer således problem att uppstå eftersom samtycket normalt inte kan inhämtas, trots att den myndighet som efterfrågar uppgiften har behov av den för att kunna ta ställning till om tvång enligt de föreslagna lagstiftningarna ska få användas.
21.2.8 Förslag till en sekretessbrytande regel när den enskilde inte kan samtycka
Vårt förslag: Ett sekretessbrytande undantag från socialtjänst-
sekretessen ska införas i offentlighets- och sekretesslagen. Innebörden av bestämmelsen är följande.
Om en enskild på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att en uppgift lämnas ut, hindrar socialtjänstsekretessen enligt 26 kap. offentlighets- och sekretesslagen inte att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom socialtjänsten till en annan myndighet inom socialtjänsten eller hälso- och sjukvården eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område.
Bestämmelsen ska införas i 26 kap. 9 a § OSL och motsvarar den bestämmelse i 25 kap. 13 § samma lag som gäller inom hälso- och sjukvården.
Vår bedömning: Bestämmelsen syftar till att underlätta sam-
arbetet i den individinriktade verksamheten inom och mellan socialtjänsten och hälso- och sjukvården.
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
617
Utredningen har funnit att det behövs en liknande sekretessbrytande regel vad gäller socialtjänsten så att den s.k. socialtjänstsekretessen i 26 kap. 1 § OSL inte hindrar att uppgifter om enskild som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom socialtjänsten till en annan myndighet inom socialtjänsten eller hälso- och sjukvården eller till enskilda verksamheter på socialtjänstens område eller till enskilda vårdgivare. Våra närmare överväganden framgår i det följande.
I de fall då den enskilde av någon anledning inte kan samtycka till att en uppgift inhämtas är det är svårt att motivera varför uppgifter får lämnas ut från hälso- och sjukvården till bland annat socialtjänsten men att det inte är möjligt att lämna uppgifter från socialtjänsten till annan verksamhet inom socialtjänsten eller till hälso- och sjukvården. Det finns inte några argument för att det är någon skillnad på uppgiftens beskaffenhet som gör att det ena är mer lämpligt än det andra.
Den information som hälso- och sjukvården behöver från socialtjänsten är framför allt uppgifter om vilka insatser som den enskilde har från socialtjänstens sida. Det är uppgifter som kan vara direkt nödvändiga för att den behandlande personalen ska kunna utföra och ge en bra vård. Det gör sig inte minst gällande i integrerade verksamheter där socialtjänst och hälso- och sjukvård arbetar tillsammans för att stödja den enskilde eller i situationer av mer akut eller annars brådskande karaktär.
Hälso- och sjukvården har behov av information som rör insatser från socialtjänsten, främst i områdena äldre, psykiatri, missbruks- och beroendevård samt för personer med funktionsnedsättning. Behovet av informationsutbyte varierar och kan dels vara begränsat till själva uppgiften om den enskilde är föremål för en viss socialtjänstinsats eller inte, dels handla om mer specifik information om den enskildes hälsa och funktionsnivåer.
Även mellan olika myndigheter inom socialtjänsten eller enskilda verksamheter på socialtjänstens område finns naturligtvis behov av att kunna utbyta information exempelvis för att den enskilde ska få det stöd som är nödvändigt i en viss situation. Behov av uppgiftsutbyte kan således uppkomma såväl mellan olika myndigheter inom socialtjänsten respektive hälso- och sjukvården som i alla fall där hälso- och sjukvården samverkar med socialtjänsten kring insatser inom hälso- och sjukvården och socialtjänsten. Detta gäller även gentemot privatpraktiserande läkare m.m. när det är en enskild som
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
618
söker vård. Oavsett vem som ska ge en enskild vård, omsorg, behandling eller annat stöd är det för den enskildes bästa väsentligt att nödvändiga uppgifter finns tillgängliga när och på den plats de behövs, även om den enskilde vid tillfället inte kan samtycka till informationsutbytet.
Under utredningens arbete har det blivit tydligt att det finns problem med gränsdragningen mellan vilken information som ska hänföras till och dokumenteras inom hälso- och sjukvård respektive inom socialtjänst, främst vad gäller omvårdnad. Viss information, som exempelvis uppgifter om olika funktionsnivåer, kan primär- och slutenvård eventuellt få från den kommunala hälso- och sjukvårdens patientjournal, men uppgifterna skulle lika gärna kunna finnas i socialtjänstens (omvårdnads)dokumentation. En väg att förbättra tillgången till behövlig information är således att införa en sekretessbrytande bestämmelse som utredningen föreslår. Det har då, med avseende på utlämnandefrågan, ingen avgörande betydelse var en viss uppgift kan finnas (hälso- och sjukvård eller socialtjänst). I linje med vad som måste anses ligga i den enskildes intresse blir det därmed inte avgörande var en uppgift är dokumenterad, utan i stället i vilken vård- och omsorgssituation uppgiften behövs.
Bakgrunden till förslaget är således att värna den enskildes bästa i situationer där förmågan att själv besluta saknas. Utgångspunkten är den enskildes berättigade krav att få en god och säker hälso- och sjukvård och socialtjänst. Viktiga vård- och omsorgsuppgifter om en enskild sprids i dag på allt fler omsorgs- och vårdgivare. Det uppstår även brister i omhändertagandet om den enskilde i integrerade verksamheter eftersom informationen om den enskilde på grund av sekretess inte alltid kan förmedlas mellan de olika verksamheterna i tillräcklig omfattning. Den föreslagna sekretessbrytande regeln förenklar ett utlämnande när utbytet görs fysiskt med papperskopior (till exempel med fax) eller genom ett medium för automatiserad behandling (till exempel med ett USB-minne) eller filöverföring. Bestämmelsen gör det däremot inte möjligt att lämna ut uppgifterna genom direktåtkomst.
Förslaget innebär förvisso att sekretesskyddade uppgifter kan lämnas ut och kan spridas utanför det område som socialtjänstsekretessen omfattar i det enskilda fallet. Den risken uppvägs dock av nödvändigheten vid dessa speciella tillfällen att få tillgång till uppgifter som kan vara direkt nödvändiga för att den behandlande personalen ska kunna utföra och ge den enskilde bra insatser inom
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
619
hälso- och sjukvården och socialtjänsten. Ett utlämnande som inte kan göras på ett effektivt sätt riskerar att medföra att viktig information inte är tillgänglig när den behövs. Det kan innebära en fara för en patients säkerhet eller för en enskildes säkerhet i en behandlings- eller omsorgssituation. Vid en avvägning mellan integritetsaspekter av behovet av sekretessgenombrott väger behovet av uppgiftsutlämnandet enligt utredningens bedömning tyngre. Förslaget leder till bättre möjligheter att ge nödvändig hälso- och sjukvård och socialtjänst till en enskild vid varje vårdtillfälle för att tillgodose vård och omsorg som baseras på bästa möjliga informationsutbyte. Att avstå att ta del av informationen i aktuellt fall kan inte anses försvarbart eftersom det är grundläggande för all vård och omsorg att rätt information finns tillgänglig vid rätt tillfälle.
Informationshanteringen måste så långt möjligt ta hänsyn till en individs behov av skydd för den personliga integriteten. Vi anser att förslaget väl tillgodoser detta intresse. Det är behovet av att ge god och säker vård och omsorg som motiverar den föreslagna regeln om att bryta sekretessen. Intresset av att bryta sekretessen för aktuella uppgifter väger tyngre än det intresse sekretessen avser att skydda. De situationer som är aktuella är också klart avgränsade. Det är dock viktigt att framhålla att det är fråga om undantagsfall där informationen behövs i ett enskilt fall för att den enskilde eller patienten behöver få nödvändig vård, omsorg eller behandling.
Vi föreslår därför att det införs en bestämmelse om undantag från socialtjänstsekretessen i 26 kap. 1 § OSL som innebär att sekretess inte hindrar att en uppgift om en enskild som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom socialtjänsten till en annan myndighet inom socialtjänsten eller hälso- och sjukvården eller till en enskild verksamhet på socialtjänstens område eller en enskild vårdgivare. Bestämmelsen kompletterar de övriga förslagen om bland annat direktåtkomst inom socialtjänsten(se avsnitt 27).
Förslaget i förhållande till enskild verksamhet i socialtjänsten
Offentlighets- och sekretesslagen gäller inte utanför den offentliga verksamheten. När det gäller den enskilda socialtjänsten finns bestämmelser om tystnadsplikt i 15 kap. 1 § SoL och 29 § LSS. Den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet som avser insatser enligt SoL eller LSS får inte
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
620
obehörigen röja vad han eller hon i detta sammanhang har fått veta om enskildas personliga förhållanden.
Som obehörigt röjande anses till att börja med inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Tystnadsplikt enligt 15 kap. 1 § SoL och 29 § LSS bedöms inte utgöra hinder mot att uppgifter om enskild lämnas från enskild verksamhet inom socialtjänsten till myndighet inom socialtjänsten. Det yttersta ansvaret för kommunens uppgifter inom socialtjänsten kan inte överlåtas på annan. Av kommunallagen följer bl.a. att nämnden har det direkta ansvaret för att sådant som lagts ut på ett företag kontrolleras och följs upp (3 kap. 19 § och 6 kap. 7 § KL). Vidare får socialnämnd som beslutat om en insats som genomförs i en enskild verksamhet träffa avtal med den som bedriver verksamheten om att handlingar ska överlämnas till nämnden när gallringsskyldighet inträder (7 kap. 3 § SoL och 23 a § LSS).
Vid tolkningen av obehörighetsrekvisitet har det vidare ansetts naturligt att söka ledning i OSL:s regler.20 Ståndpunkten är att den enskilde ska ha samma skydd för sin personliga integritet vare sig han eller hon behandlas av en offentlig eller enskild vårdgivare. Tystnadsplikten enligt SoL och LSS utgör inte, enligt utredningens bedömning, något hinder för enskild verksamhet på socialtjänstens område att i motsvarande utsträckning som myndigheter inom socialtjänsten lämna uppgifter om enskilda i den utsträckning som behövs när fråga om sådana insatser uppkommer. Sådant utlämnande som, genom den föreslagna bestämmelsen om sekretessgenombrott när individen inte kan lämna samtycke, är tillåtet för myndigheter ska därmed även vara tillåtet för utlämnanden från enskild verksamhet.
Närmare om hur bestämmelsen ska tillämpas
Ett utlämnande med stöd av den sekretessbrytande bestämmelsen som föreslås måste alltid föregås av en prövning i det enskilda fallet. Prövningen görs av den som ansvarar för uppgiften. En lättnad i sekretessen måste även vägas mot den enskildes krav på ett starkt integritetsskydd. I det avseendet ansluter vi oss till den bedömning som har gjorts vid införandet av motsvarande sekretessbrytande bestämmelse för hälso- och sjukvården. Det innebär
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
621
bl.a. att den enskildes samtycke i första hand ska utverkas av den som ansvarar för frågan om utlämnande.
Vidare ska bestämmelsen användas med urskillning och varsamhet då det framstår som direkt påkallat att bistå en enskild och den enskilde inte kan samtycka eller kan antas motsätta sig ett utlämnande eller att saken brådskar så att tid inte finns att inhämta samtycke (jfr SOU 2003:99 s. 299 och 453). Detta innebär att det av bestämmelsen ska framgå att sekretessgenombrottet bara ska gälla om den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att uppgifter lämnas ut. Förslaget tar i första hand sikte på enskilda som på grund av hälsorelaterat skäl inte kan samtycka eller som annars inte har beslutsförmåga. Viljan hos den individ som klart och utan inflytande av en allvarlig psykisk störning eller liknande motsätter sig ett uppgiftsutlämnande ska däremot respekteras. Det ligger helt i linje med de grundläggande kraven i socialtjänstlagstiftningen på att verksamheten ska bygga på respekt för den enskildes självbestämmanderätt och integritet.
Det är den utlämnande myndigheten som ska göra en prövning av om en uppgift ska lämnas ut. I första hand är det handläggaren som ska pröva frågan om utlämnande av en allmän handling. Det är således den person som enligt arbetsordning eller ett särskilt beslut svarar för vården av en handling som har att pröva ett utlämnande (6 kap. 3 § OSL). I tveksamma fall ska den anställde låta myndigheten göra prövningen om det kan göras utan onödigt dröjsmål (6 kap. 3 § andra stycket OSL). Om det är så att den person som ansvarar för vården av en handling anser att det är tveksamt eller föreligger hinder för att lämna ut handlingen ska denne upplysa om rätten att begära att myndigheten ska pröva saken och även se till att en sådan begäran kommer till rätt instans inom myndigheten. Vem som prövar ett utlämnande är beroende på vad som framgår av arbetsordning eller särskilt beslut.
Om den myndighet som begär uppgifterna påstår att uppgifterna behövs för att den enskilde ska få nödvändig vård kan det vara svårt för den som ska lämna ut uppgifterna att bilda sig en reell uppfattning om detta. Det ankommer dock på den presumtive uppgiftslämnaren att bedöma förutsättningarna för ett utlämnande.21Är det fråga om nödvändig vård finns förutsättningar för ett sekretessgenombrott och uppgifterna ska då lämnas ut när uppgiften begärs från annan myndighet.
21 JO 1992/93 s. 517.
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
622
21.3 Våra överväganden och förslag om kommunens möjligheter att följa upp socialtjänst i enskild verksamhet
Vi har tidigare uppmärksammat att mycket av socialtjänstinsatserna i dag utförs av privata aktörer som har avtal med kommunen och att denna utveckling har medfört en osäkerhet vad gäller kommunens möjlighet att inhämta uppgifter från de privata utförarna för att följa upp och kvalitetssäkra socialtjänsten.
I Socialtjänstdatautredningen gjorde visserligen utredaren bedömningen att tystnadsplikt enligt 15 kap. 1 SoL inte utgör hinder mot att uppgifter om enskild lämnas från enskild verksamhet inom socialtjänsten till myndighet inom socialtjänsten.22
Att det inte skulle finnas någon tystnadspliktsgräns mellan en privat utförd socialtjänst och en kommunal myndighet inom socialtjänsten saknar dock enligt vår bedömning stöd i nuvarande sekretessreglering. Men det kan inte uteslutas att ett utlämnande i enskilda fall, exempelvis från en privat utförare till en kommunal myndighet, kan bedömas vara tillåtet vid en tillämpning av bestämmelserna om tystnadsplikt i 15 kap. 1 § SoL.
Frågan om kommunens skyldigheter att följa upp verksamhet som drivs av annan än kommunen och vilka möjligheter kommunen har att ta del av personuppgifter över sekretessgränser för detta ändamål är komplex. Utredningen om en ny kommunallag berörde i delbetänkandet Privata utförare – kontroll och insyn frågorna på en mer övergripande nivå.23Däremot finns fortfarande anledning att ytterligare analysera och överväga behovet av en ökad tydlighet rörande kommunens möjligheter att inhämta och använda uppgifter som dokumenteras hos privata utförare av socialtjänst. Dessa frågor sätter även ljuset på innebörden av kommunens roll som huvudman för socialtjänsten.
22SOU 2009:32. 23SOU 2013:53.
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
623
21.3.1 Det kommunala huvudmannaansvaret
Vår bedömning: När en kommun överlåter åt en privat utförare
att utföra kommunens uppgifter inom socialtjänsten behåller kommunen sitt huvudmannaansvar för verksamheten. Det innebär bland annat att kommunen, precis som för verksamhet som bedrivs i egen regi, har det övergripande ansvaret för att den enskilda verksamheten bedrivs på ett tillfredsställande sätt och att detta följs upp.
I 2 kap. 4 § SoL anges att en kommuns uppgift inom socialtjänsten ska fullgöras av den eller de nämnder som kommunfullmäktige bestämmer. Vidare får kommunen enligt 2 kap. 5 § SoL sluta avtal med annan om att utföra kommunens uppgifter inom socialtjänsten. Genom ett sådant avtal får en kommun tillhandahålla tjänster åt en annan kommun. Uppgifter som innefattar myndighetsutövning får dock inte med stöd av denna bestämmelse överlämnas till ett bolag, en förening, en samfällighet, en stiftelse eller en enskild individ. Med annan avses inte bara privata utförare utan även t.ex. kommunala företag.
Även när det gäller LSS är kommunen huvudman för samtliga former av stöd och service enligt den lagen, med undantag för rådgivning och annat personligt stöd som är en uppgift för landstinget (2 § LSS). En kommun får med bibehållet ansvar sluta avtal med någon annan om att tillhandahålla insatser enligt denna lag (17 § LSS).
När en kommun sluter avtal med annan om att utföra kommunens uppgifter inom socialtjänsten innebär det inte någon förändring vad gäller huvudmannaskapet. Kommunen är huvudman även om verksamheten utförs av t.ex. en privat utförare. Detta framgår indirekt av 6 kap. 7 § KL i vilken det anges att de kommunala nämnderna har ett ansvar att kontrollera att verksamheten bedrivs på ett tillfredställande sätt, även när en kommunal angelägenhet har lämnats över till någon annan.24Av kommunallagen följer således att nämnden har det direkta ansvaret för att sådant som lagts ut på ett företag kontrolleras och följs upp (3 kap. 19 § och 6 kap. 7 § KL). Vidare får socialnämnd som beslutat om en insats som genomförs i en enskild verksamhet träffa avtal med den som bedriver verk-
24 Privata utförare-Kontroll och insyn, SOU 2013:53 s. 99.
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
624
samheten om att handlingar ska överlämnas till nämnden när gallringsskyldighet inträder (7 kap. 3 § SoL).
Oavsett hur en verksamhet utformas har kommunen alltjämt ett ansvar för att den omsorg och de stödinsatser som de enskilde inom kommunen erhåller bedrivs med god kvalitet.
I vissa delar kvarstår även det kommunala ansvaret för uppföljning, utvärdering och eventuella kompletterande insatser, trots att en extern leverantör åtagit sig att utföra vissa tjänster för kommunens räkning inom socialtjänsten. Det gäller i de fall en kommun anlitar en extern leverantör som genom avtal åtar sig att för kommunens räkning utföra tjänster inom socialtjänstens område. När en kommun köper enstaka platser eller tjänster på en privat institution eller anläggning har kommunen inget inflytande över verksamhetens utformning men har fortfarande ansvar för att de omsorgs- och stödinsatser som den enskilde får håller god kvalitet.
I dag regleras ofta i avtal mellan kommunen och den enskilda verksamheten hur uppgiftsskyldigheten ska gå till. Om kommunen inte har denna möjlighet till information får kommunen svårighet att planera och utvärdera arbetet.
Bör begreppet huvudman definieras i socialtjänstdatalagen?
När det gäller hälso- och sjukvården så har vi i hälso- och sjukvårdsdatalagen föreslagit en bestämmelse som definierar kommunen som huvudman. Argumenten för detta är att det underlättar tillämpningen av hälso- och sjukvårdslagstiftningen i allmänhet att skilja mellan landstingens och kommunernas ansvar i egenskap av huvudmän och deras ansvar i egenskap av vårdgivare. När det gäller personuppgifter i hälso- och sjukvården förekommer sådan behandling både för kommuner och för landsting som huvudmän och som vårdgivare och det är därför relevant att kunna använda båda begreppen vid tillämpningen av den föreslagna hälso- och sjukvårdsdatalagen. Teoretiskt sett kan ett landsting eller en kommun även upphöra att vara vårdgivare, i den meningen att landstinget eller kommunen inte längre bedriver någon individinriktad hälso- och sjukvård i egen regi. Rollen och ansvaret som huvudman kvarstår dock. Även när det gäller förslaget till förbättrat informationsutbyte mellan vårdgivare inom en huvudmans ansvarsområde är begreppet nödvändigt för att beskriva de förutsättningar som
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
625
gäller. Utredningen har övervägt om det behövs en liknande bestämmelse om definition av huvudman i socialtjänstdatalagen.
När det gäller socialtjänsten så har kommunen det yttersta ansvaret för att ge invånarna en bra och säker socialtjänst. I 2 kap. 1 § SoL framgår att varje kommun svarar för socialtjänsten inom sitt område och har det yttersta ansvaret för att enskilda får det stöd och den hjälp som de behöver. Av bestämmelser i bl.a. hälso- och sjukvårdslagen och socialtjänstlagen framgår att kommuner och landsting genom avtal får lämna över viss uppgift till privata utförare.
En kommun kan inte lämna över uppgifter som avser myndighetsutövning till ett privaträttsligt subjekt om det inte finns lagstöd för det.25Något sådant lagstöd finns inte när det gäller socialtjänsten vilket innebär att en kommun alltid har kvar uppgifter som innefattar myndighetsutövning. Med detta avses hela handläggningen av är ett ärende som leder fram till ett beslut. En kommun kan dock lämna över bland annat själva utförandet av en beslutad insats till en annan utförare. Detta innebär således att en kommun alltid fattar beslut om insatser i ärenden rörande individer. Till skillnad mot i hälso- och sjukvården där ett landsting eller en kommun är oförhindrade att låta all individinriktad patientvård bedrivas av privata vårdgivare och därigenom inte längre själv bedriva hälso- och sjukvård, kommer kommunen alltid att bedriva en individinriktad socialtjänstverksamhet. Bland annat mot den bakgrunden är vår bedömning att det inte finns behov av en motsvarande bestämmelse som definierar huvudmannen i socialtjänsten. Kommunen kommer alltid att omfattas av den definition som föreslås i socialtjänstdatalagen, dvs. vara den som bedriver
verksamhet inom socialtjänsten.
21.3.2 Förslag om uppgiftsskyldighet från enskilda verksamheter till kommunen
Vårt förslag: En tystnadspliktsbrytande uppgiftsskyldighet ska
införas i socialtjänstlagen och i lagen om stöd och service till vissa funktionshindrade.
Uppgiftsskyldigheten ska gälla enskilda verksamheter i förhållande till den kommunal myndighet som har huvudmannaansvar för verksamheten. En sådan enskild verksamhet ska lämna ut de personuppgifter som den kommunala myndigheten behöver för ändamål som anges i 2 kap. 5 § socialtjänstdatalagen.
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
626
Inledning
Offentlighets- och sekretesslagen gäller inte för enskilda verksamheter enligt socialtjänstlagen och lagen med stöd och service till vissa funktionshindrade. I stället finns bestämmelser om tystnadsplikt (15 kap. SoL och 29 § LSS). Enligt dessa bestämmelser får den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet inte obehörigen röja vad man har fått veta om enskildas personliga förhållanden. Det kan beskrivas på det sättet att uppgifter inte obehörigen får spridas utanför för den enskilt bedrivna verksamheten. Det finns inga direkta bestämmelser som anger vad ett obehörigt röjande är. En viss ledning kan dock hämtas från den menprövning som ska göras enligt offentlighets- och sekretesslagen.26Även andra bestämmelser i offentlighets- och sekretesslagen kan vara till ledning, till exempel de som reglerar när sekretessen kan brytas.
Enligt förarbetena till bestämmelserna om tystnadsplikt ska det vara en nära överenstämmelse mellan tystnadsplikten för den offentliga och tystnadsplikten för socialtjänstpersonal i enskild verksamhet. Vid tolkningen av obehörighetsrekvisitet har det vidare ansetts naturligt att söka ledning i offentlighet- och sekretesslagens regler.27Grunden är att den enskilde ska ha samma skydd för sin personliga integritet vare sig han eller hon får insatser av en offentlig eller enskild verksamhet. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning.
Under utredningens arbete har det framkommit att det finns en osäkerhet från företrädare för enskilda verksamheter om när man kan lämna ut information och vilken information man kan lämna ut. Även från kommunernas sida finns det en osäkerhet om vilken information man kan begära in. Den fråga som uppstår är då om det är en lyckad lösning att det för ett sådant regelbundet informationsutbyte som det är frågan om här ha den nuvarande situationen där det kan uppstå en viss tveksamhet.
Som vi tidigare redovisat delar vi den osäkerhet som verksamheterna ger uttryck för. Enligt utredningens uppfattning står det i dag inte klart att enskilda verksamheter kan lämna ut uppgifter till den kommunala nämnden som ansvarar för verksamheten utan hinder av tystnadsplikt. Det finns därför ett behov av att tydliggöra
26Prop. 1980/81:28, prop. 1981/82:186, prop. 2007/08:126 och prop. 2005/06:161. 27Prop. 2005/06:141 s. 63, prop. 2005/06:161 s. 82 och 93 och prop. 2007/08:126 s. 133.
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
627
rättsläget och skapa reella förutsättningar för huvudmannen att följa upp och ta sitt ansvar för att alla medborgare får en socialtjänst av god kvalitet.
Kommunallagen ställer krav på att en kommun som överlåtit till privata utförare att utföra viss socialtjänst ska följa upp och kontrollera den verksamhet som bedrivs. Oavsett hur kommunerna sköter den här uppföljningen bör det vara tydligt vad en kommun kan begära in och vilka uppgifter den privata utföraren ska lämna ut till den kommunala huvudmannen.
I dag regleras ofta i avtal mellan kommunen och den enskilda verksamheten hur uppgiftsskyldigheten ska gå till. Om kommunen inte har denna möjlighet till information får kommunen svårighet att planera och utvärdera arbetet.
Utredningen om en kommunallag för framtiden har föreslagit att bland annat kommunernas ansvar att systematiskt följa upp och kontrollera privata utförares verksamhet bör förtydligas i kommunallagen.28 Utredningen konstaterar att de utvärderingar som gjorts visar på en splittrad bild av hur bra kommuner är på att följa upp verksamhet som bedrivs av privata utförare. Utredningen anger att vissa ligger långt framme med ambitiösa uppföljningssystem medan det finns brister i andras kontrollsystem. Ett omfattande utvecklingsarbete pågår på detta område inom Sveriges Kommuner och Landsting och hos bland annat Kammarkollegiets upphandlingsstöd och Socialstyrelsen.
Vidare pekar utredningen på att det i framtiden kan bli nödvändigt att de flesta kommuner har en genomtänkt strategi för hur de i förfrågningsunderlag och avtal tillförsäkrar sig metoder för att aktivt följa upp verksamheten och också har en organisation för detta.
Oavsett hur en kommun arbetar med att följa upp verksamhet med privata utförare, så kan vi se att det finns ett behov av att klarlägga när och vilka uppgifter en enskild verksamhet ska lämna till en kommunal huvudman för uppföljning.
En bestämmelse om uppgiftsskyldighet bör införas
Utredningens generella utgångspunkt är att det kommunala huvudmannaansvaret innebär ett ansvar för uppföljning och kvalitetssäkring av den socialtjänstverksamhet som erbjuds invånarana.
28 SOU2013:53.
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
628
Vidare ska de rättsliga möjligheterna att vidta en sådan kvalitetssäkring inte bero på organisatoriska förutsättningar. Kommunen har i dag möjligheter att följa upp kvaliteten av sådana insatser som görs av kommunala utförare på socialtjänstens område. Samma möjligheter bör rimligen finnas även för sådana insatser som kommunen ansvarar för men som genomförs av en enskild verksamhet etablerad t.ex. enligt lagen (2008:962) om valfrihetssystem eller lagen (2007:1091) om offentlig upphandling. I annat fall riskerar förutsättningarna för en jämlik socialtjänst av god kvalitet att bli beroende av organisatoriska faktorer.
Det yttersta ansvaret för kommunens uppgifter inom socialtjänsten kan inte överlåtas på annan. Socialnämnden har det direkta ansvaret för att sådant som lagts ut på ett företag kontrolleras och följs upp. Regelverket bör därför tydligt tillhandahålla förutsättningar för en ändamålsenlig uppföljning av all socialtjänst en kommun ansvarar för.
Även om socialtjänstdatautredningen gjorde bedömningen att bestämmelserna om tystnadsplikt inte hindrade ett uppgiftsutlämnande från en enskild verksamhet till den kommunala myndigheten som ansvarar för verksamheten, anser vi alltjämt att frågan behöver få en ökad tydlighet. Därutöver är vi tveksamma till att den bedömningen socialtjänstdatautredningen gjorde kan läggas till grund för det omfattande och regelmässiga informationsutbyte som det här skulle vara fråga om.
För att tydliggöra och för att underlätta för både den kommunala huvudmannen och den enskilda verksamheten anser utredningen att det bör införas en bestämmelse som reglerar skyldighet att lämna ut information när det gäller uppföljning och kontroll av kommunen som huvudman. Förslaget innebär dock ingen inskränkning i den enskilda verksamhetens eget ansvar för att bedriva ett systematiskt kvalitetsarbete.
Förslaget till uppgiftsskyldighet innebär att det inte gäller någon tystnadsplikt gentemot kommunen som huvudman avseende de uppgifter som kommunen behöver för sådana ändamål som är tillåtna enligt socialtjänstdatalagen.
Vi har redan tidigare avsnitt lämnat förslag till en mer ändamålsenlig sekretessreglering inom kommunens egen verksamhet. Det förslaget innebär att myndigheter inom socialtjänsten i samma kommun ska kunna utbyta uppgifter utan att hindras av sekretess. Genom det nu aktuella förslaget om uppgiftsskyldighet uppnås i
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
629
praktiken motsvarande effekt i förhållande till enskilda verksamheter på socialtjänstens område.
Kommunallagen ställer krav på att en kommun som överlåtit till privata utförare att utföra viss socialtjänst ska följa upp och kontrollera den verksamhet som bedrivs. Även om kommunernas uppföljning kan se olika ut i landet bör det vara tydligt vad en kommun kan begära in och vilka uppgifter den privata utföraren ska lämna ut till den kommunala huvudmannen. Enligt utredningens bedömning är det olyckligt att det råder en osäkerhet när det gäller uppföljning av hur en verksamhet bedrivs. Speciellt mot bakgrund av de långtgående krav som lagstiftaren ändå har lagt på kommunen som huvudman och att öka möjligheterna att lämna över verksamhet till privata utförare för att uppmuntra valfrihet och nytänkande.29
Genom att föreslå tydliga bestämmelser kan den osäkerhet om informationsutbytet som finns i verksamheterna tas bort. Att införa bestämmelser när det är tillåtet att lämna ut information och vad man kan begära in från en huvudmans sida från en enskild verksamhet bidrar till att öka en säker informationshantering. Även om det vid tolkningen av vad som är obehörigt att lämna går att ledas av offentlighets- och sekretesslagens bestämmelser så är det enligt utredningens bedömning nödvändigt att det finns klara bestämmelser om vad som gäller. Eftersom socialtjänstverksamhet omfattas av sträng sekretess och det finns bestämmelser om tystnadsplikt i både SoL och LSS för den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet som avser insatser enligt socialtjänstlagen och LSS så kan det uppstå problem i informationsutbytet.
Föreskrifter om förhållandet mellan enskilda och det allmänna som gäller åligganden för enskilda ska meddelas genom lag (8 kap. 2 § regeringsformen). En bestämmelse om uppgiftsskyldighet när det gäller enskild verksamhet ska således tas in i en lagbestämmelse.
29 Jfr bland annat SOU 2013:53 s. 114.
631
22 En ny lag: socialtjänstdatalag
22.1 Bakgrund
Den nuvarande regleringen av personuppgiftsbehandlingen i socialtjänsten finns i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL, och förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPULF. Dessutom gäller i vissa delar bestämmelserna i personuppgiftslagen (1998:204), förkortad PUL. Det finns även regler som rör dokumentation och skyddet av den enskildes integritet på socialtjänstens område i den materiella lagstiftningen såsom socialtjänstlagen (2001: 453), förkortad SoL, och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS. Det kan därmed konstateras att de bestämmelser som reglerar vilka personuppgifter som får hanteras i socialtjänsten och hur det ska göras är utspridda på en mängd olika författningar.
Genom åren har även ett antal olika utredningar haft i uppdrag att analysera delar av dessa regelverk. Senast var det Socialtjänstdatautredningen som hade i uppdrag att göra en översyn av hur personuppgiftsbehandlingen i socialtjänsten regleras och vid behov lämna förslag för att åstadkomma en mer välfungerande och sammanhållen reglering av området.1Eftersom betänkandet ännu inte lett till någon lagstiftning återstår fortfarande behovet av en översyn av lagen om behandling av personuppgifter inom socialtjänsten och den därtill hörande förordningen.
1 Dir. 2007:92.
En ny lag: socialtjänstdatalag SOU 2014:23
632
Vårt uppdrag m.m.
I utredningens uppdrag ingår bland annat att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom socialtjänsten. I direktiven framgår även att utredaren har möjlighet att ta upp frågor som inte nämns i direktiven men som enligt utredaren behöver analyseras eller regleras för att uppdraget ska utföras på ett tillfredställande sätt.2I uppdraget har utredningen sett att det finns ett behov av se över hur en mer samlad hantering av personuppgifter kan möjliggöras inom socialtjänsten mot bakgrund av de övriga förslag som läggs fram i betänkandet. Vi har i avsnitt 20 redogjort översiktligt för några av de brister vi upplever att den nu gällande regleringen har. Bristerna utgörs, enligt utredningens bedömning, bland annat av följande.
• Det är generellt ett svåröverskådligt regelverk.
• Otydligt förhållande mellan SoLPUL, SoLPULF och PUL.
• Olika regler för olika aktörer på socialtjänstens område.
• Avsaknad av bestämmelser som tydliggör krav på de informationssystem som innehåller personuppgifter.
• Avsaknad av bestämmelser som tydliggör när någon som arbetar i socialtjänsten får ta del av uppgifter.
• Avsaknad av uttryckliga krav på behörighetsstyrning och åtkomstkontroll.
• Avsaknad av tydlig vägledning för vad som gäller ifråga om utlämnande av personuppgifter på medium för automatiserad behandling och direkåtkomst.
• Bristande harmonisering med motsvarande reglering på hälso- och sjukvårdens område, dvs. patientdatalagen (2008:355).
• Avsaknad av ett regelverk för ett ändamålsenligt utbyte av uppgifter mellan socialtjänst och hälso- och sjukvård.
Sammantaget har utredningen mot denna bakgrund funnit övervägande skäl för att föreslå en helt ny reglering för personuppgiftsbehandlingen på socialtjänstens område. Våra förslag redovisas
2 Dir. 2011:111 Förbättrad tillgång till personuppgifter inom och mellan hälso- och sjukvården och socialtjänsten m.m.
SOU 2014:23 En ny lag: socialtjänstdatalag
633
i följande avsnitt. Förutom att vi bedömer att det är nödvändigt för att ge socialtjänsten stöd att utveckla en mer ändmålsenlig informationshantering skulle det bidra till att öka medvetenheten om denna lagstiftnings existens och innehåll.
22.1.1 Kort om våra utgångspunkter för denna typ av lagstiftning
I de regelverk som styr hur personuppgifter får användas och utbytas finns ett antal olika intressen som behöver balanseras och så långt möjligt tillgodoses. Vår generella utgångspunkt är att regelverket ska ha som målsättning att öka förutsättningarna för ännu bättre resultat för de individer som är i behov av socialtjänstens stöd. Det handlar om att tillförsäkra den enskilde en rättssäker handläggning, men även om att se till att informationshanteringen i sig bidrar till en mer jämlik socialtjänst samt ökad kvalitet och bättre resultat.
Både för individens del och för verksamheten är det alldeles nödvändigt att personuppgifter används och i övrigt hanteras på ett sådant sätt att behovet av personlig integritet tillgodoses. Det handlar många gånger om grundläggande och självklara förutsättningar som att uppgifter skyddas och inte kan kommas åt av obehöriga, att det bara är den personal som behöver använda uppgifterna i sitt arbete som tar del av dem, att det finns ett systematiskt arbetssätt för att upptäcka och beivra obehörig åtkomst, att uppgifter om enskilda inte kan användas på ett otillbörligt sätt, att uppgifter inte kan hanteras på omotiverat sätt med hänsyn till den risk för integritetsintrång och den nytta som den aktuella hanteringen för med sig. En grundläggande utgångspunkt är därför att en lagstiftning av detta slag ska ge uttryck för en balans och en proportionalitetsbedömning där risken för personuppgiftsbehandlingen alltid vägs mot nyttan med densamma.
Generellt bedömer vi att enskildas intresse av en god socialtjänst och ett välfungerande integritetsskydd inte står i motsats till motsvarande intressen om kvalitet, tillgänglighet, förtroende och effektivitet m.m. som kan finnas i verksamheten och i samhället i övrigt. På en övergripande nivå anser vi därför att ett starkt integritetsskydd är en förutsättning för en ändamålsenlig informationshantering inom socialtjänsten. Det är på många sätt en farlig utveckling om enskilda känner en sådan otrygghet i hur uppgifter hanteras att enskilda väljer att hålla inne med information
En ny lag: socialtjänstdatalag SOU 2014:23
634
som kan vara viktig för möjligheterna att tillgodose den enskildes behov på bästa sätt. Med det sagt vill vi samtidigt understryka att vi inte upplever att det finns något tillitsproblem visavi socialtjänstens informationshantering. Tvärtom har våra kontakter med både enskilda, anhörigorganisationer och verksamheterna själva stärkt bilden av att förtroendet för socialtjänsten och det sätt information hanteras på är högt.
För att återkoppla till inledningen i detta avsnitt vill vi tydliggöra att vår utgångspunkt är att lagstiftningen på detta område på ett tydligt sätt ska stödja en informationshantering som främjar god kvalitet, effektivitet och ett starkt integritetsskydd. Det ställer inte endast krav på hur intentionerna bakom lagstiftningen motiveras, utan även hur enskilda paragrafer utformas och formuleras. Det senare har vi inte minst haft anledning att reflektera över i samband med vår analys av tillämpningen och konsekvenserna av patientdatalagen på hälso- och sjukvårdens område. Där är det tydligt att inte minst många yrkesutövare på olika nivåer har svårt att läsa lagens bestämmelser och genom det se den avvägning mellan olika intressen som ligger bakom bestämmelsen. Vi har försökt dra lärdom av detta när vi har utformat vårt förslag till en ny socialtjänstdatalag.
Samtidigt är det viktigt att understryka att en registerlagstiftning, som detta är fråga om, delvis behöver anpassas och förhålla sig till vad som gäller enligt andra författningar. Inte minst personuppgiftslagen och dess definitioner och terminologi är styrande även för motsvarande begrepp används och formuleras i socialtjänstdatalagen. Det innebär att språket i vissa delar är mer byråkratiskt och svårtillgängligt än vad som egentligen är önskvärt i en lagstiftning som i stor utsträckning ska tillämpas av dem som inte primärt är skolade i personuppgiftslagstiftning. Vi bedömer av att det är viktigt att denna typ av lagstiftning åtföljs av ett mer konkret och verksamhetsnära tillämpningsstöd.
SOU 2014:23 En ny lag: socialtjänstdatalag
635
22.2 Våra överväganden och förslag
22.2.1 En samlad reglering i en ny lag
Vårt förslag: Den i dag gällande lagen om behandling av person-
uppgifter inom socialtjänsten ska upphöra att gälla och ersätts med en ny lag om behandlingen av personuppgifter inom socialtjänsten med namnet socialtjänstdatalag. Bestämmelser i lagen och förordningen om behandling av personuppgifter inom socialtjänsten ska sammanföras till socialtjänstdatalagen.
En särskild registerlagstiftning innebär i många fall en bättre garanti för utformningen av integritetsskyddet vad gäller särskilt känsliga register. Myndighetsregister med ett stort antal registrerade personer och med ett särskilt integritetskänsligt innehåll bör vara reglerade i lag.3 Den behandling av personuppgifter som förekommer inom socialtjänsten är av sådan karaktär och omfattning att de grundläggande principerna för behandlingen ska finnas i en lag. Riksdag och regeringen har i flera sammanhang uttalat att ett myndighetsregister som behandlar känsliga uppgifter om ett stort antal personer bör regleras i lag4.
Som redovisats ovan och i tidigare avsnitt har den nuvarande lagen, dvs. SoLPUL, vissa brister. Lagens förhållande till bland annat personuppgiftslagen och till förordningen om behandling av personuppgifter inom socialtjänsten, är komplicerad. Särskilt lagens förhållande till förordningen bidrar enligt utredningen till en mer splittrad reglering än vad som är ändamålsenligt för en socialtjänst av i dag. För att få till stånd en mer sammanhållen reglering bör, enligt utredningens uppfattning, utgångspunkten vara att samtliga bestämmelser i den nuvarande lagen och förordningen ska föras över till den nya lagen i den mån bestämmelserna ska finnas kvar.
Lagen saknar en uppräkning för vilka ändamål personuppgifter får behandlas inom socialtjänsten. Inte heller är lagen harmoniserad med patientdatalagen, med avseende på struktur och systematik. Särskilt med tanke på att hälso- och sjukvård och socialtjänst ligger mycket nära varandra har det framförts behov av att harmonisera lagstiftningen så att de i större utsträckning liknar varandra.
3 Prop. 1990/91 s. 56 ff, prop. 1997/98:44 s. 41 och prop. 2009/10:80. 4 Bet. 1990/91:KU11 s. 11, bet. 1997/98:KU18 s. 43, prop. 1990/91:60 s. 58, prop. 1997/98:44 s. 40 och rskr. 1997/98:180.
En ny lag: socialtjänstdatalag SOU 2014:23
636
Utredningen har av de redovisade skälen kommit fram till att en ny lag om behandling av personuppgifter inom socialtjänsten ska införas, med namnet socialtjänstdatalag.
Utredningens bedömning är att författningsstrukturen och det materiella innehållet bör överensstämma i stort med den författningsreglering angående behandling av personuppgifter som föreslås för hälso- och sjukvården. När man ser på socialtjänstens mål, syften och organisation kan vi konstatera att socialtjänstverksamheten och hälso- och sjukvården ligger mycket nära varandra. En stor del av utredningens uppdrag gäller just ett utökat utbyte av uppgifter mellan socialtjänsten och hälso- och sjukvården (se avsnitt 32). Utredningen har därför gjort bedömningen att den reglering som föreslås för behandling av personuppgifter inom hälso- och sjukvården och en ny lag om behandling av personuppgifter inom socialtjänsten så långt möjligt bör harmoniseras.
För att den nya lagen ska bli överblickbar föreslår vi att den delas in i ett flertal olika kapitel. I ett inledande kapitel bör lagens tillämpningsområde och vissa grundläggande begrepp definieras. Ett kapitel bör innehålla grundläggande bestämmelser om personuppgiftsbehandling, t.ex. ifråga om ändamål och personuppgiftsansvar. Ett annat kapitel bör innehålla bestämmelser om en säker och ändamålsenlig hantering av personuppgifter. Lagen bör också innehålla särskilda kapitel med bestämmelser om utlämnande av uppgifter, direktåtkomst mellan olika utförare av socialtjänst, rättigheter för enskilda samt informationshantering i verksamheter som rör enskilda med sammansatta behov av insatser från socialtjänsten och hälso- och sjukvården.
22.2.2 Bestämmelser om handläggning och dokumentation ligger kvar i befintlig lagstiftning
Vår bedömning: Bestämmelser om handläggning och doku-
mentation m.m. bör lämnas oförändrade och ligga kvar i befintlig lagstiftning, som exempelvis socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade.
Vårt förslag: I socialtjänstdatalagen ska det finnas en hänvisning
till bestämmelserna om handläggning och dokumentation i socialtjänstlagen och i lagen om stöd och service till vissa funktionshindrade.
SOU 2014:23 En ny lag: socialtjänstdatalag
637
Utredningen har övervägt om bestämmelser om handläggning och dokumentation bör återfinnas samlat i socialtjänstdatalagen eller om dessa bestämmelser bör ligga kvar i befintlig lagstiftning. Bestämmelser om handläggning och dokumentation är viktiga för att garantera den enskildes rättsäkerhet. Bestämmelser som reglerar handläggning och dokumentation finns i förvaltningslagen (1986:223) och i socialtjänstlagen och i lagen om stöd och service till vissa funktionshindrade. Även i lagen (1988:870) om vård av missbrukare i vissa fall, förkortad LVM, och i lagen (1990:52) med särskilda bestämmelser om vård av unga, förkortad LVU, finns bestämmelser om handläggning och dokumentation i dessa speciella situationer. Socialstyrelsen har i sina föreskrifter och allmänna råd (SOSFS 2006:5) kompletterande bestämmelser när det gäller bl.a. dokumentation. Bestämmelserna är väl inarbetade i respektive lagstiftning. Om bestämmelser om dokumentation ska tas med i den nya socialtjänstdatalagen bör även bestämmelser om gallring m.m. finnas där. Mot bakgrund av att det ändå inte skulle vara möjligt att samla alla bestämmelser om handläggning och dokumentation i socialtjänstdatalagen är utredningens bedömning att dessa bestämmelser bör ligga kvar i socialtjänstlagen och i lagen om stöd och service till vissa funktionshindrade. Vår bedömning är att det annars kan finnas en risk att det upplevs som splittrat eftersom vissa handläggningsbestämmelser fortfarande måste finnas kvar i den materiella lagstiftingen.
Vi har därför stannat för att bestämmelser om dokumentation ska ligga kvar i befintliga författningar men att en hänvisning ska finnas i den nya lagen.
22.2.3 Lagens tillämpningsområde
Vårt förslag: Socialtjänstdatalagen ska gälla vid behandling av
personuppgifter inom socialtjänsten för kommunala myndigheter, enskilda verksamheter och Statens institutionsstyrelse (den som bedriver socialtjänst).
Med kommunal myndighet avses socialnämnd eller motsvarande kommunal nämnd i fråga om sådan socialtjänst som kommunen har ansvar för och bedriver enligt socialtjänstlagen, lagen med särskilda bestämmelser om vård av unga, eller lagen om vård av missbrukare i vissa fall. Vidare omfattar det kommunal nämnd ifråga om sådan verksamhet som
En ny lag: socialtjänstdatalag SOU 2014:23
638
kommunen har ansvar för och bedriver enligt lagen om stöd och service till vissa funktionshindrade.
Med enskild verksamhet avses yrkesmässig verksamhet som bedrivs av en juridisk eller fysisk person med tillstånd enligt socialtjänstlagen eller enligt lagen om stöd och service till vissa funktionshindrade och sådan enskild verksamhet inom socialtjänsten som i övrigt bedrivs enligt avtal med kommunen.
Tillämpningsområdet omfattar all helt eller delvis automatiserad behandling av personuppgifter samt manuell behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. I tillämpliga delar gäller lagen även för behandling av uppgifter om avlidna.
Vår bedömning: Även hos den som bedriver socialtjänst och
omfattas av lagens tillämpningsområde förekommer personuppgiftsbehandling som bör falla utanför den nya socialtjänstdatalagens tillämpningsområde. Det kan exempelvis vara sådan personuppgiftsbehandling som görs i den interna administrativa verksamheten, t.ex. rörande anställda eller leverantörer av varor eller tjänster.
Sådan särskild personuppgiftsbehandling som görs för forskningsändamål eller utbildningsändamål bör också falla också utanför lagens tillämpningsområde.
Utredningen gör bedömningen att de föreslagna bestämmelserna i socialtjänstdatalagen ska tillämpas av sådana myndigheter och enskilda verksamheter som agerar på socialtjänstens område när det gäller individinriktad verksamhet. Det handlar om personuppgiftsbehandlingen hos dem som i egentlig mening har ansvar för eller bedriver socialtjänst. Hos dessa är det dessutom själva kärnverksamheten som regleras. Det innebär exempelvis att personuppgifter som behandlas för helt andra ändamål, t.ex. intern personaladministration, faller utanför lagens tillämpningsområde.
Genom utredningens förslag avgränsas tillämpningsområdet även i förhållande till sådana andra aktörer som på olika sätt agerar i anslutning till socialtjänstsektorn, t.ex. myndigheter som Socialstyrelsen och Inspektionen för vård och omsorg. Även verksamheter som olika frivilligorganisationer utför faller utanför lagens tillämpningsområde,
SOU 2014:23 En ny lag: socialtjänstdatalag
639
åtminstone till den del organisationen inte faller inom ramen för definitionen av enskild verksamhet nedan.
Kärnverksamheten i socialtjänsten ska regleras
Vår utgångspunkt är att den nya lagen endast ska rikta in sig på behandlingen av personuppgifter hos kommunala myndigheter, enskild verksamhet och Statens institutionsstyrelse. Det handlar därmed om de aktörer som i egentlig mening har ansvar för och bedriver socialtjänst enligt socialtjänstlagstiftningen, t.ex. sådan ärendehandläggning och faktiskt handlande som görs med stöd av socialtjänstlagen eller lagen om stöd och service till vissa funktionshindrade. Det är således den individinriktade verksamheten i socialtjänsten och den informationshantering som förekommer i denna verksamhet som i första hand ska regleras.
Detta är en skillnad jämfört med dagens reglering i SoLPUL och SoLPULF som i viss utsträckning även reglerar personuppgiftsbehandling hos Socialstyrelsen och Inspektionen för vård och omsorg. Vi anser att personuppgiftsbehandlingen hos dessa myndigheter med fördel regleras utanför kommunernas, de enskilda verksamheternas och Statens institutionsstyrelses behandling av personuppgifter. Det legala stödet för Socialstyrelsens och Inspektionen för vård och omsorgs hantering av personuppgifter får sökas i PUL. När det gäller sådan hantering av personuppgifter som i dag gäller för Socialstyrelsens verksamhet som avses i lagen (2007:606) om utredningar avseende vissa dödsfall, föreslår utredningen i avsnitt 30 att detta överförs till en särskild lag.
Kommunal myndighet
Med kommunal myndighet avses kommunala nämnder och underlydande förvaltning på socialtjänstens område. Begreppet omfattar socialnämnd eller motsvarande kommunal nämnd i fråga om sådan socialtjänst som kommunen har ansvar för och bedriver enligt socialtjänstlagen, lagen med särskilda bestämmelser om vård av unga eller lagen om vård av missbrukare i vissa fall. Vidare omfattar det kommunal nämnd ifråga om sådan verksamhet som kommunen har ansvar för och bedriver enligt lagen om stöd och service till vissa funktionshindrade.
En ny lag: socialtjänstdatalag SOU 2014:23
640
Detta innebär att det är personuppgiftsbehandlingen hos den nämnd eller annan myndighet som utövar ledningen av eller utför den faktiska socialtjänsten som regleras av lagen. Härmed avses exempelvis både beställar- och utförarnämnder med underlydande förvaltningar och verksamheter. Lagen reglerar därmed både sådan behandling av personuppgifter som utförs i kommunens myndighetsutövande verksamhet och i sådan verksamhet kommunen själv bedriver för att genomföra beslut om insatser, vård, stöd eller annan behandling. Det innebär vidare att lagen ska tillämpas av sådana verksamheter som kommunen bedriver inom ramen för råd och service.
Statens institutionsstyrelse
Socialtjänstdatalagen ska omfatta den behandling av personuppgifter på socialtjänstens område som görs av Statens institutionsstyrelse. Det innebär att myndigheten ska tillämpa lagen i dess verksamhet enligt lagen om vård av missbrukare i vissa fall, lagen med särskilda bestämmelser om vård av unga samt lagen (1998:603) om verkställighet av sluten ungdomsvård.
Enskilda verksamheter
Begreppet enskild verksamhet inom socialtjänsten ska enligt utredningens mening definieras på samma sätt som i dag. Definitionen finns i förordningen om behandling av personuppgifter i socialtjänsten. Det saknas enligt vår mening anledning att förändra detta begrepp.
Med enskild verksamhet avses alltså yrkesmässig verksamhet som bedrivs av en juridisk eller fysisk person med tillstånd enligt socialtjänstlagen eller enligt lagen om stöd och service till vissa funktionshindrade. Vidare så avses med enskild verksamhet även sådan verksamhet inom socialtjänsten som i övrigt bedrivs enligt avtal med kommunen.
Definitionen gäller oavsett om den enskilda verksamheten är etablerad genom exempelvis lagen (2007:1091) om offentlig upphandling eller lagen (2008:962) om valfrihetssystem. Även sådan enskild verksamhet som anlitar underleverantörer omfattas av definitionen.
SOU 2014:23 En ny lag: socialtjänstdatalag
641
Forskning och utbildning
Även om det inom ramen för socialtjänsten förekommer forskning och utbildning är det verksamheter som enligt utredningens bedömning inte bör regleras av socialtjänstdatalagen. Som anförts ovan är det framför allt socialtjänstens individinriktade kärnverksamhet och den personuppgiftsbehandling som förandleds av denna som ska regleras. Sådan särskilt personuppgiftsbehandling som föranleds av enskilda forskningsprojekt bör därför, precis som i dag, även fortsättningsvis regleras av personuppgiftslagen (1998:204). Det gäller oavsett om forskningen bedrivs av kommunen som forskningshuvudman eller om den exempelvis bedrivs av ett universitet. Förutom personuppgiftslagen gäller naturligtvis även lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Enligt etikprövningslagen ska bl.a. all forskning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL etikprövas.
Motsvarande bör gälla även för sådan utbildning som kan förekomma inom socialtjänstens område. Det har inte varit möjligt för utredningen att närmare granska förutsättningarna för att använda uppgifter om enskilda i teoretisk eller praktisk utbildning av studeranden. I den utsträckning en studerande, t.ex. på praktik, rent faktiskt deltar i ärendehandläggning eller genomförande av insatser, omfattas den studerande naturligtvis av socialtjänstdatalagens tillämpningsområde. Det innebär att den studerande i sådant fall får ta del av och dokumentera uppgifter om enskilda i den utsträckning som är nödvändig för arbetets utförande och i övrigt följer de rutiner och riktlinjer som finns hos den som bedriver verksamheten.
Den slags personuppgiftsbehandling som regleras
Inom socialtjänsten förekommer en omfattande personuppgiftsbehandling i en oöverblickbar mängd elektroniska system. Det förekommer dessutom såväl rent manuell hantering som sådan elektronisk hantering som inte har systematiserats på ett sätt som gör att man kan tala om register. Precis som på hälso- och sjukvårdens område är it-strukturen så komplex att frågan om personuppgiftsbehandlingen görs i särskilda register eller databaser blir oväsentlig. Det avgörande är i stället att uppgifterna hanteras
En ny lag: socialtjänstdatalag SOU 2014:23
642
elektroniskt och samlas in för uttryckligt angivna ändamål. Mot den bakgrunden bör socialtjänstdatalagen, precis som annan modern registerlagstiftning, omfatta all helt eller delvis automatiserad behandling av personuppgifter i socialtjänstens kärnverksamhet.
Utredningens förslag innebär att vissa grundläggande bestämmelser om personuppgiftsbehandling – bestämmelser om den enskildes inställning till personuppgiftsbehandling, ändamål för personuppgiftsbehandlingen, personuppgiftsansvar, personuppgifter som får behandlas och sökbegrepp – alltid ska tillämpas vid sådan behandling av personuppgifter som är helt eller delvis automatiserad. Bestämmelserna ska i enlighet med vad som anförts ovan inte bara tillämpas på personuppgiftsbehandling i särskilda register eller databaser utan ska omfatta all helt eller delvis automatiserad behandling av personuppgifter som förekommer inom socialtjänsten. Utöver detta ska bestämmelserna tillämpas på viss manuell hantering i register, nämligen om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Detta innebär att manuell behandling av personuppgifter som inte ingår eller är avsedda att ingå i register inte omfattas av de grundläggande bestämmelserna om behandling av personuppgifter. Däremot kan andra bestämmelser komma att tillämpas på sådan personuppgiftsbehandling. Det gäller exempelvis bestämmelserna om när den som arbetar i socialtjänsten får ta del av dokumenterade uppgifter om en enskild.
I socialtjänstens verksamhet förekommer även en mängd uppgifter om avlidna. Uppgifter om avlidna omfattas dock inte i dag av personuppgiftslagens bestämmelser. Vi anser att uppgifter om avlidna kan vara integritetskänsliga och att sådana uppgifter behöver omfattas av en reglering som tillvaratar det behov av integritetsskydd som finns i förhållande till den avlidna och de efterlevande. Eftersom utredningens utgångspunkt är att socialtjänstdatalagen ska innehålla de bestämmelser som behövs och så lång möjligt omfatta den informationshantering som förekommer i verksamheten, bedömer vi att lagen i tillämpliga delar även bör omfatta behandling av uppgifter rörande avlidna. Det gäller exempelvis för vilka ändamål uppgifter om avlidna får användas eller vilken elektronisk åtkomst som får förekomma till uppgifterna.
SOU 2014:23 En ny lag: socialtjänstdatalag
643
22.2.4 Definition av socialtjänst
Vårt förslag: Den definition av begreppet socialtjänst som i dag
återfinns i lagen om behandling av personuppgifter inom socialtjänsten ska, med ett undantag, alltjämt vara gällande. Undantaget innebär att det med socialtjänst enligt socialtjänstdatalagen inte ska avses verksamhet enligt lagen om utredningar av vissa dödsfall.
Vi har i tidigare avsnitt konstaterat att det inte finns någon enhetlig definition av socialtjänst utan att det finns en rad uppräkningar i olika lagstiftningar. Socialtjänstdatautredningen framhöll i sitt betänkande att det inte var en enkel uppgift att försöka avgränsa vad som i detta sammanhang bör avses med socialtjänst och att situationen kompliceras ytterligare genom att socialnämnderna i kommunerna (som är de som främst hanterar socialtjänsten) i sin tur kan se olika ut från kommun till kommun beroende på kommunens storlek, folkmängd, organisation och politiska struktur m.m.5
Vi har under vårt arbete utgått från den nuvarande definitionen av socialtjänst i offentlighet- och sekretesslagen (jfr 26 kap. 1 § ). Den definition av socialtjänsten som finns i sekretesslagstiftningen har även stått som förebild för den nuvarande definitionen i lagen om behandling av personuppgifter inom socialtjänsten.
Det är helt nödvändigt att definiera det område som en ny lag om behandling av personuppgifter inom socialtjänsten ska reglera. Utredningen har inte sett behov av att föreslå någon ny definition utan anser att den som förekommer i dag kan kvarstå. Den definition av begreppet socialtjänst som i dag förekommer i lagen om behandling av personuppgifter inom socialtjänsten ska således i stort sett fortsätta att gälla. Ett undantag bör dock göras. Verksamhet enligt lag om utredningar avseende vissa dödsfall ska i stället överföras till en särskild lag om Socialstyrelsens behandling av personuppgifter i verksamhet avseende utredningar av vissa dödsfall.
5 Socialtjänsten Integritet – Effektivitet, SOU 2009:32 s. 279.
En ny lag: socialtjänstdatalag SOU 2014:23
644
Närmare om vad som ska avses med socialtjänst
Handläggning av ärenden och faktiskt handlande enligt socialtjänstlagen är att hänföra till socialtjänst. Det kan röra socialnämndens ansvar för omsorg, service, upplysningar, råd, stöd, vård, ekonomiskt bistånd m.m. Även verksamhet enligt lagen om vård av missbrukare i vissa fall och lagen med särskilda bestämmelser om vård av unga omfattas av begreppet socialtjänst. Servicetjänster åt äldre (jfr 2 kap. 7 § lagen [2009:47]om vissa kommunala befogenheter) ingår i definitionen socialtjänst. Kommunens uppgifter inom socialtjänsten fullgörs av den eller de nämnder som kommunfullmäktige bestämmer. Särskilda bestämmelser om gemensam nämnd finns i lagen (2009:192) om gemensam nämnd inom vård- och omsorgsområdet(jfr 2 kap. 4 § SoL).
Med socialtjänst ska avses även övrig verksamhet som enligt lag eller förordning bedrivs av socialnämnd. Det inbegriper bl.a. de uppgifter socialnämnden har inom det familjerättsliga området. I föräldrabalken finns t.ex. regler om nämndens medverkan vid fastställande av faderskap, adoption m.m. Vidare ska nämnden enligt andra författningar komma in med yttranden till myndigheter eller ta emot underrättelser eller vidta åtgärder. Sådana bestämmelser finns t.ex. i lagen (1964:167) om särskilda bestämmelser om unga lagöverträdare, namnlagen (1982:670), körkortsförordningen (1998:980), lagen (1991:2041) om särskild personutredning i brottmål m.m., lagen (1991:1137) om rättspsykiatrisk undersökning och lagen (2007:606) om utredningar av vissa dödsfall.
Den verksamhet som bedrivs av Statens institutionsstyrelse (SiS) är socialtjänst. SiS ansvar för särskilda ungdomshem enligt 12 § LVU och LVM-hem enligt 22 och 23 §§ LVM. Ytterligare uppgifter följer av förordningen (2007:1132) med instruktion för SiS. Även sådan verksamhet som bedrivs i enlighet med förordningen är att anse som socialtjänst vid tillämpningen av denna lag. SiS ansvarar även för verkställigheten av sluten ungdomsvård enligt 32 kap. 5 § brottsbalken som ska bedrivas vid sådana särskilda ungdomshem som avses i 12 § LVU (1 § lagen om verkställighet av sluten ungdomsvård).
Verksamhet vid kommunal invandrarbyrå är att betrakta som socialtjänst. En invandrarbyrå är en frivillig kommunal serviceinrättning med uppgift att hjälpa invandrare till rätta i samhället och informera olika kommunala förvaltningar och kommun-
SOU 2014:23 En ny lag: socialtjänstdatalag
645
invånare om invandrarnas bakgrund. Det är dock osäkert hur många kommuner som i dag bedriver verksamhet i form av kommunal invandrarbyrå. I de kommuner som inte har en särskild invandrarbyrå, handläggs frågor som rör invandrare inom ramen för socialtjänsten.
Socialtjänst omfattar också handläggning av ärenden om bistånd som lämnas av socialnämnd åt asylsökande och andra utlänningar. I lagen (1994:137) om mottagande av asylsökande m.fl., förkortad LMA, finns bestämmelser om sysselsättning för och bistånd till vissa utlänningar. En socialnämnds verksamhet enligt LMA ska därmed anses som socialtjänst enligt denna lag.
Med socialtjänst avses verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade. Med detta inbegrips även de åtgärder som åläggs kommunen och som regleras i 51 kap. socialförsäkringsbalken angående assistansersättning.
Slutligen som omfattas handläggning av ärenden om tillstånd till parkering för rörelsehindrade av begreppet socialtjänst.
22.2.5 Syftet med lagen
Vårt förslag: En bestämmelse om syftet med lagen införs där
det anges att informationshanteringen i socialtjänsten ska vara organiserad så att den tillgodoser god kvalitet, rättssäkerhet, och kostnadseffektivitet inom socialtjänsten. Vidare ska lagen särskilt främja att
1. den som arbetar i socialtjänsten säkert, snabbt och enkelt får
tillgång till de personuppgifter som han eller hon behöver för att kunna utföra sitt arbete, och
2. personuppgifter utformas och i övrigt behandlas så att
individers personliga integritet respekteras.
Målet för socialtjänsten är att den på demokratins och solidaritetens grund ska främja människors ekonomiska och sociala trygghet, jämlikhet i levnadsvillkor och aktiva deltagande i samhällslivet. Socialtjänsten ska under hänsynstagande till människans ansvar för sin och andra sociala situation inriktas på att frigöra och utveckla enskildas och gruppers egna resurser. Verksamheten ska bygga på respekt för människors självbestämmanderätt och integritet
En ny lag: socialtjänstdatalag SOU 2014:23
646
(jfr 1 kap. 1 § SoL). I den nuvarande lagen om behandling av personuppgifter saknas en syftesbestämmelse. Utredningen har kommit fram till att det borde finnas en portalbestämmelse som talar om vad lagen ska åstadkomma. Vi anser att det tydligt ska framgå av en syftesbestämmelse att lagens bestämmelser ska leda till att social omsorg ska vara ska vara organiserad så att den tillgodoser god kvalitet, rättsäkerhet och kostnadseffektivitet.
Det grundläggande syftet med anteckningar m.m. inom socialtjänsten är att tillgodose en för de enskilda rättssäker och god kvalitet i insatser inom socialtjänsten. Det är även av stor vikt att informationen om de enskilda inte hanteras på ett sätt som äventyrar den enskildes integritet. En reglering bör vara enkel och anpassad till såväl nuvarande och framtida förhållanden.
All behandling av personuppgifter ska utföras på ett sätt som respekterar de registrerades integritet. Det gäller oavsett för vilka ändamål personuppgifter utformas och behandlas. Integritetsfrågan är lika viktig när det gäller andra personer som det kan finnas uppgifter om i socialtjänstens verksamhet, t.ex. anhöriga. Därför ska det framgå att syftet gäller till förmån för samtliga personer som det kan finnas uppgifter om.
Ett grundläggande syfte med hanteringen av personuppgifter inom socialtjänsten är att den som arbetar inom socialtjänsten snabbt och enkelt ska få tillgång till de uppgifter som han eller hon behöver för att kunna utföra sitt arbete. Det gäller i ärendehantering men framförallt i genomförandeledet. Den som arbetar inom socialtjänsten måste ha nödvändig information för att kunna utföra sitt arbete. Att snabbt och enkelt ha tillgång till rätt information möjliggör att den enskilde får de insatser och den omsorg som man har behov av.
Informationshanteringen inom socialtjänsten kommer således att ha betydelse för den enskilde men även för underlag vid verksamhetsuppföljning, kontroll och tillsyn eller i rättsliga sammanhang. Även som källmaterial vid forskning och kvalitetssäkring kan personuppgifter inom socialtjänsten få betydelse. Det är därför enligt utredningens bedömning av vikt att en bestämmelse om syftet med lagen ska införas.
SOU 2014:23 En ny lag: socialtjänstdatalag
647
22.2.6 Förhållandet till personuppgiftslagen
Vårt förslag: Förhållandet till personuppgiftslagen ska uttryckas
på ett sådant sätt att personuppgiftslagen ska gälla om inget annat sägs i socialtjänstdatalagen eller i föreskrifter som meddelas med stöd av lagen. Socialtjänstdatalagen innehåller således de särbestämmelser och förtydliganden i förhållande till personuppgiftslagen som det bedömts finnas ett behov av.
Personuppgiftslagen är generellt tillämplig på all behandling av personuppgifter och gäller därför för socialtjänstens personuppgiftsbehandling om det inte finns avvikande bestämmelser i lag eller förordning. Utredningen föreslår att en särskild registerlag införs när det gäller behandling av personuppgifter i socialtjänsten. Lagen ska vara generellt tillämplig på all behandling av uppgifter, oavsett om behandlingen av uppgifter görs av en enskild tjänsteman eller i ett register eller en databas där uppgifter och handlingar är gemensamt tillgängliga i verksamheten. Lagens bestämmelser ska tillämpas på all behandling av uppgifter inom socialtjänsten, oavsett om det gäller e-posthantering, enkel ordbehandling eller förfarandet av omfattande gemensamma personregister.
Det framtagna förslaget har utgått ifrån vad som har legat till grund för motsvarande reglering i nu gällande patientdatalag. Det innebär att personuppgiftslagens regler gäller om inte annat följer av det framtagna förslaget. Eftersom socialtjänsten och hälso- och sjukvården i många delar ligger nära varandra och inom vissa områden, såsom när det gäller äldreomsorgen, ibland är integrerade så finns det skäl att beakta regleringen i patientdatalagen. Utredningen har därför haft som utgångspunkt att regleringen av behandling av personuppgifter i socialtjänsten och i hälso- och sjukvården bör, i den utsträckning som bedöms lämpligt, vara likartade vad gäller systematik och övergripande innehåll.
Utredningen föreslår att socialtjänstdatalagen endast innehåller de särbestämmelser och förtydliganden som det har bedömts finnas ett behov av. I övrigt ska personuppgiftslagen tillämpas. Det innebär exempelvis att begrepp som exempelvis ”behandling” av personuppgifter och ”personuppgifter” har samma innebörd i socialtjänstdatalgen som begreppen har i personuppgiftslagen. Socialtjänstdatalagen ska dock i tillämpliga delar även gälla i förhållande till avlidna. Vid tillämpningen av lagen gäller även 8 §
En ny lag: socialtjänstdatalag SOU 2014:23
648
första stycket PUL om utlämnande av personuppgifter enligt 2 kap. tryckfrihetsförordningen (TF). Ett uttryckligt förtydligande om detta ska tas in i socialtjänstdatalagen.
Även de grundläggande kraven enligt 9 § PUL ska gälla vid behandling av personuppgifter enligt socialtjänstdatalagen, dock med de begränsningar som kan följa av t.ex. särskilda bestämmelser om bevarande och gallring. Finalitetsprincipen i 9 § första stycket
d) PUL gäller inte heller vid behandling av personuppgifter enligt socialtjänstdatalagen.6 Inte heller gäller 9 § andra stycket om att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte generellt ska anses som oförenligt med de ändamål för vilka uppgifterna samlades in. Att dessa bestämmelser inte gäller vid tillämpningen av socialtjänstdatalagen följer av den uttömmande ändamålsbestämmelsen som tas i lagens andra kapitel, se avsnitt 23.
Socialtjänstdatalagen anger således uttömmande för vilka ändamål som uppgifter får behandlas inom socialtjänsten. En sådan ordning stärker integritetsskyddet och bidrar till en bättre förutsebarhet för den enskilde registrerade. För att inte låsa utvecklingen föreslår vi samtidigt att personuppgiftsbehandling som är otillåten enligt denna lag ändå får utföras med stöd av den enskildes samtycke, se avsnitt 23.
När det gäller behandling av uppgifter om personnummer (jfr 22 § PUL) kommer enligt socialtjänstdatalagen personnummer att få behandlas om det behövs för ett sådant ändamål som är tillåtet enligt ändamålsbestämmelserna eller i övrigt med stöd av förslaget om verkan av den enskildes samtycke. Vi återkommer i det följande vilka ytterligare bestämmelser i personuppgiftslagen som ska tillämpas vid behandling av personuppgifters om regleras i socialtjänstdatalagen.
Närmare om vilka bestämmelser i personuppgiftslagen som är tillämpliga
Även personuppgiftslagens bestämmelser (33–35 §§) om överföring av personuppgifter till tredje land ska som huvudregel gälla vid behandling av personuppgifter inom socialtjänsten. När det gäller ärenden om fastställande av faderskap, vårdnad om barn och
6 Finalitetsprincipen innebär att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket de samlades in.
SOU 2014:23 En ny lag: socialtjänstdatalag
649
om internationella adoptioner ska särskilda bestämmelser finnas i socialtjänstdatalagen. En kommunal myndighet får lämna ut uppgifter till tredje land i ärenden om fastställande av faderskap, vårdnad om barn och om internationella adoptioner. Detta regleras i dag i 16 § förordningen om behandling av personuppgifter inom socialtjänsten och en motsvarande bestämmelse ska införas i socialtjänstdatalagen. Bestämmelsen ska således med avseende på dessa ärenden (dvs. fastställande av faderskap, vårdnad om barn och om internationella adoptioner) tillämpas i stället för bestämmelserna om överföring av personuppgifter till tredje land i 33– 35 §§ PUL.
I den utsträckning som den som är personuppgiftsansvarig har utsett ett personuppgiftsombud blir bestämmelserna i personuppgiftslagen om sådana ombud även tillämpliga på socialtjänstdatalagens område.
Eftersom socialtjänstdatalagen saknar särskilda bestämmelser om upplysningar till allmänheten om behandlingar som inte har anmälts (42 § PUL) och om befogenheter för tillsynsmyndigheten vid tillsyn över behandling av personuppgifter (43–47 §§) gäller också dessa på socialtjänstdatalagens område.
Bestämmelserna i 48 § PUL om att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat ska tillämpas på motsvarande sätt vid behandling av personuppgifter i socialtjänsten.
Bestämmelsen i 49 § PUL om ansvar för överträdelser gäller endast vid överträdelser av de paragrafer i personuppgiftslagen som ska gälla och är straffsanktionerade. I praktiken blir bestämmelsen därför tillämplig endast i ett fåtal fall på socialtjänstens område, t.ex. vid uppsåtligt eller grovt oaktsamt lämnande av osann uppgift i ett registerutdrag eller vid uppsåtlig eller grovt oaktsam överföring av personuppgifter till tredjeland i strid med 33–35 §§ PUL.
Även bestämmelserna i 51 § första stycket, 52 § första stycket och 53 § PUL om överklagande ska tillämpas vid behandling av personuppgifter i socialtjänsten.
651
23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
23.1 Bakgrund
Utredningens utgångspunkt är som tidigare nämnts att en lagstiftning på detta område bör utformas på ett sätt som bidrar till att stödja utvecklingen mot en ändamålsenlig informationshantering i socialtjänsten. Det handlar bland annat om att tillförsäkra den enskilde en rättssäker handläggning, men även om att se till att informationshanteringen i sig bidrar till en mer jämlik socialtjänst samt ökad kvalitet och bättre resultat.
Både för den enskilde och för socialtjänstens verksamheter behöver de grundläggande förutsättningarna för informationshantering och personuppgiftsbehandling vara tydliga. Det innebär bl.a. att socialtjänstdatalagen ska kunna ge svar på vilka personuppgifter som får dokumenteras och vad de får användas till. I en sådan komplex verksamhet som socialtjänsten är det dock inte möjligt att i detalj förutse och reglera varje form av personuppgiftsbehandling. Däremot bedömer vi att det finns goda förutsättningar att utforma socialtjänstdatalagen som en ramlagstiftning, som i princip anger den yttersta ramen för det tillåtna när det gäller behandling av personuppgifter inom socialtjänsten. I detta avsnitt redogörs för ett antal av dessa mer grundläggande och övergripande frågeställningar som avses gälla generellt inom socialtjänstdatalagens tillämpningsområde.
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
652
23.2 Våra överväganden och förslag
Utredningen föreslår ett antal grundläggande bestämmelser om behandling av personuppgifter i 2 kap. socialtjänstdatalagen. Kapitlet innehåller bestämmelser om personuppgiftsansvar, tillåtna ändamål för behandling av personuppgifter, vilka personuppgifter som får behandlas inom socialtjänsten, vilken betydelse individens inställning till personuppgiftsbehandling har och vilka sökbegrepp som får användas i socialtjänsten.
23.2.1 Tillåtna ändamål för behandlingen av personuppgifter
Vårt förslag: I socialtjänstdatalagen ska uttömmande anges de
ändamål för vilka personuppgifter får samlas in och i övrigt behandlas inom socialtjänsten. Ändamålen ska vara följande
1. att handlägga ärenden som rör enskilda och för att doku-
mentera genomförande av beslut om stödinsatser, vård och behandling,
2. att upprätta eller inhämta annan dokumentation som följer av
lag, förordning eller annan författning,
3. att systematiskt och fortlöpande utveckla och säkra kvali-
teten i verksamheten,
4. administration, planering, uppföljning, utvärdering och till-
syn av verksamheten, eller
5. att framställa statistik.
Personuppgifter som behandlas för ändamål 1–5 får även behandlas för att fullgöra uppgiftslämnande som görs i överensstämmelse med lag eller förordning.
Bestämmelser om för vilka ändamål personuppgifter får behandlas har en central roll i registerförfattningar. Genom att ange ändamål och reglera vilka uppgifter som får behandlas avgränsas och tydliggörs förutsättningarna för behandling av personuppgifter. Genom att ange ändamål uppfylls det grundläggande kravet att personuppgifter endast får samlas in för särskilda, uttryckligt angivna
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
653
berättigade ändamål och fortsättningsvis behandlas på sätt som inte är oförenligt med de ändamål för vilka uppgifterna samlades in.1
Reflektioner kring nuvarande reglering m.m.
I dag är de tillåtna ändamålen för behandling av personuppgifter i socialtjänsten olika beroende på vilken aktör som bedriver socialtjänsten. I lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL, finns ingen ändamålsuppräkning utan i lagen anges endast som en grundläggande förutsättning att personuppgifter får behandlas bara om det är nödvändigt för att arbetsuppgifter inom socialtjänsten ska kunna utföras. De närmare ändamålen för tillåten behandling framgår sedan av förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPULF. Enligt förordningen får exempelvis en kommunal myndighet behandla personuppgifter vid handläggning av ärenden, genomförande av beslut, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten. För en enskilt driven socialtjänst är de tillåtna ändamålen betydligt mer begränsade. Exempelvis får en sådan verksamhet inte behandla personuppgifter för uppföljning, utvärdering och kvalitetssäkring av verksamheten, utan endast för dokumentation av vård, behandling eller omsorg samt administration.
Utredningen anser att den nuvarande regleringen av flera skäl inte är ändamålsenlig för att socialtjänsten ska kunna utföra sin verksamhet på ett tillfredsställande sätt. En brist är att de tillåtna ändamålen inte framgår direkt av lagen utan får sökas i förordningen. Det gör regelverket svåröverskådligt och bidrar i övrigt till ett komplicerat förhållande till den grundläggande bestämmelsen i SoLPUL om att personuppgifter får behandlas om det är nödvändigt för att arbetsuppgifter i socialtjänsten ska kunna utföras. Ett annat centralt problem är att förutsättningarna för behandling av personuppgifter regleras olika beroende på vilken aktör som bedriver socialtjänst. Enligt utredningens bedömning är detta olyckligt och inverkar negativt på enskilda individers möjligheter att få en jämlik och högkvalitativ socialtjänst oberoende av vilken aktör som står för genomförandet av insatser. Utredningen kan
1 Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) och personuppgiftslagen (1998:204).
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
654
exempelvis inte se att behoven av att behandla personuppgifter för att säkra och utveckla kvaliteten i verksamheten skiljer sig åt mellan en kommunal och en privat eller idéburen utförare av socialtjänst. Det berättigade intresset från medborgarna bör vara att verksamheter som utför likartade insatser har samma möjligheter att bedriva ett ständigt förbättringsarbete genom en systematisk kvalitetssäkring.
En uttömmande ändamålsbestämmelse som är generellt tillämplig för alla som bedriver socialtjänst
Mot bakgrund av vad som redovisats ovan anser utredningen att det i socialtjänstdatalagen bör tas in en ändamålsbestämmelse som gäller för alla som bedriver socialtjänst, vare sig det handlar om personuppgiftsbehandling inom kommunens myndighetsutövande del eller under genomförandet av insatser hos Statens institutionsstyrelse eller kommunal eller privat utförare. För vilka ändamål personuppgiftsbehandling kommer att förekomma bör rimligen avgöras av verksamhetens karaktär och behoven i det enskilda fallet. Av hänsyn till de befogade integritetsintressen som finns, anser utredningen att det bör finnas bestämmelser som preciserar när en behandling är tillåten. Det underlättar för de som ska behandla uppgifterna om det är tydligt när behandling av personuppgifter inom socialtjänsten är tillåten. I bestämmelsen anges därför en uppräkning över de ändamål som generellt är tillåtna vid behandling av personuppgifter i socialtjänsten. Uppräkningen kan därför sägas utgöra en yttersta ram för när och för vilka syften den som bedriver socialtjänst får behandla personuppgifter.
Vidare anser utredningen att ändamålsbestämmelsen ska vara uttömmande i den meningen att personuppgifter inte ska få behandlas för andra syften än de som framgår av bestämmelsen. Här har utredningen övervägt om det i stället skulle vara lämpligt med en ordning som gör det möjligt för socialtjänsten att behandla personuppgifter även för andra ändamål som eventuellt i ett senare skede kan bli aktuella i verksamheten. Samtidigt bör hänsyn tas till att den föreslagna lagen kommer att gälla uppgifter som typiskt sett är av integritetskänslig natur. Generellt i en sådan lagstiftning bör, som en försiktighetsprincip, en ändamålsbestämmelse vara uttömmande om inte särskilda skäl talar för det motstående. Stöd för det senare kan exempelvis föreligga om det är svårt att förutse för
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
655
vilka ändamål personuppgifter kommer att behöva behandlas och risken för oönskade konsekvenser, t.ex. med hänsyn till individers eller allmänna intressen, är uppenbar. Med tanke på socialtjänstens karaktär, uppgifternas känslighet och enskilda individers behov av förutsebarhet och skydd för den personliga integriteten bedömer utredningen dock att ändamålsbestämmelsen bör vara uttömmande. Denna bedömning gjordes även av Socialtjänstdatautredningen i Betänkandet Socialtjänsten Integritet – Effektivitet.2
Detta är även i linje med flertalet övriga registerförfattningar som reglerar behandling av särskilt integritetskänsliga uppgifter. En innebörd av utredningens förslag är att personuppgiftslagens finalitetsprincip inte kommer att gälla vid behandling av personuppgifter enligt socialtjänstdatalagen. Finalitetsprincipen i 9 § 1 stycket d personuppgiftslagen (1998:204), förkortad PUL, innebär, som tidigare nämnts, att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Även om vårt förslag kan sägas medföra en viss inskränkning av flexibiliteten att behandla personuppgifter för andra ändamål än de insamlade, kan ifrågasättas hur stort utrymme finalitetsprincipen i praktiken har på socialtjänstens område. Socialdatautredningen uttalade bl.a. följande om den prövning av de nya ändamålen jämfört med de ursprungliga som skulle behöva göras.3
Enligt utredningens uppfattning bör man vid denna ”oförenlighetsprövning”, hypotetiskt utgå från hur en registrerad typiskt sett (inte den registrerade i det enskilda fallet) skulle se på saken. Kommer man vid en sådan bedömning fram till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får behandlas för det nya ändamålet, kan det nya ändamålet inte anses vara oförenligt med det ursprungliga ändamålet. Detta är, menar utredningen, en rimlig utgångspunkt med tanke på syftet bakom EG-direktivet, dvs. att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatlivet, i samband med behandling av personuppgifter. Vid ett sådant förhållande blir det fråga om en restriktiv tillämpning av bestämmelsen i 9 § första stycket d personuppgiftslagen och utrymmet för att behandla redan insamlade uppgifter för andra ändamål blir följaktligen litet.
Den omständigheten att utrymmet för att tillämpa finalitetsprincipen bedöms vara litet kan i och för sig motivera att principen bör få genomslag även på socialtjänstens område. Av skäl som
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
656
redovisats ovan är utredningens bedömning dock att en uttömmande bestämmelse är att föredra. Om en sådan bestämmelse dessutom utformas på ett tämligen generellt sätt anser vi att behovet av en sund balans mellan tydlighet och flexibilitet kan uppnås. Eftersom verksamheten inom socialtjänsten är omfattande och mångskiftande är det därför viktigt att de föreslagna ändamålen är generellt utformade så att inte socialtjänstens verksamhet begränsas på ett oavsiktligt sätt. Denna avvägning gör enligt utredningen att de skäl som å ena sidan talar för en uttömmande bestämmelse och de intressen som å andra sidan finns av att tillhandahålla ett ändamålsenligt regelverk som ger goda förutsättningar för lång tid framöver båda tillgodoses och förenas.
Däremot, och som ett undantag från vad som ovan sägs, anser utredningen att det finns skäl att tillåta personuppgiftsbehandling som i och för sig saknar stöd i den föreslagna lagens ändamålsbestämmelse men som den enskilde individen samtycker till. Det kommer därmed att vara tillåtet att behandla personuppgifter för andra ändamål än de uppräknade om individen har lämnat sitt samtycke. För ytterligare om betydelsen av individens inställning se avsnitt 23.2.4.
Nedan följer en redogörelse för utredningens närmare överväganden och förslag om tillåtna ändamål för personuppgiftsbehandlingen.
Handlägga ärenden och dokumentera genomförande av beslut
Den största delen av behandling av personuppgifter inom socialtjänsten är förstås den som behövs för att handlägga ärenden som rör enskilda. Det kan till exempel handla om den personuppgiftsbehandling som utförs när beslut om individuellt behovsprövade insatser fattas. Även dokumentationen för att genomföra verkställigheten av beslut om stödinsatser, vård och behandling utgör en stor del av den dokumentation som utförs inom socialtjänsten. Sådan dokumentation ska således omfattas av det aktuella ändamålet. Det innebär att ändamålet ska omfatta sådan behandling av personuppgifter som utförs inom ramen för verkställigheten, exempelvis när omsorg ges på ett särskilt boende eller olika hemtjänstinsatser genomförs. Det aktuella ändamålet tar sikte på dokumentation av verkställighet av beslut och därmed omfattas inte sådan rådgivning eller sådant stöd som inte är biståndsbedömt av
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
657
detta ändamål. Därmed görs en tydlig koppling mellan dokumentationsskyldigheten och möjligheterna att behandla personuppgifter utan att den enskilde kan motsätta sig det. Sådan personuppgiftsbehandling som det kan finnas behov av i verksamhet som inte omfattas av dokumentationsskyldighet kan dock göras med stöd av den enskildes samtycke, se vidare avsnitt 23.2.4.
Socialstyrelsen har i sin handbok om handläggning och dokumentation inom socialtjänsten förklarat ordet handläggning som ett förfarande som börjar med att ett ärende väcks och efter utredning utmynnar i ett beslut.4Till handläggning av ett ärende avses här även att följa upp en insats så länge insatsen pågår, att göra en omprövning och att handlägga ett överklagande.
Begreppet ärende ska i bestämmelsen ges en vidare innebörd än vad som avses i förvaltningslagen (1986:223) och 11 kap. 1 § socialtjänstlagen (2001:453), förkortad SoL. Även när en socialnämnd ännu inte beslutat att inleda en utredning enligt 11 kap. 1 § SoL ska personuppgifter få behandlas. Det innebär exempelvis att socialnämnden får behandla personuppgifter inom ramen för den förhandsbedömning som görs innan nämnden fattat beslut om att inleda eller inte inleda en utredning.
När det gäller barn och unga regleras i 11 kap. 1 a § SoL att socialnämnden vid anmälan genast ska göra en bedömning av om barnet eller det unge är i behov av omedelbart skydd och att en sådan bedömning ska dokumenteras. I andra stycket framgår att beslut att inleda eller inte inleda utredning ska, om det inte finns synnerliga skäl, fattas inom fjorton dagar efter att anmälan kommit in och att ett sådant beslut inte behöver fattas om det redan pågår en utredning om det barn eller den unge som anmälan avser. I förarbetena5 framgår att några remissinstanser anser att det är oklart om ställningstagandet att inleda eller inte inleda utredning är ett egentligt beslut. Regeringen föreslog mot den bakgrunden att det i lagen tydligt anges att det är ett formellt beslut som dokumenteras på sedvanligt sätt.
4 Socialstyrelsen Handläggning och dokumentation inom socialtjänsten. 5Prop. 2012/13:10 s. 59.
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
658
Upprätta eller inhämta dokumentation som följer av lag eller annan författning
I andra fall än vad som avses när det gäller ändamålen att handlägga ärende kan det finnas en skyldighet för socialtjänsten att lämna ifrån sig uppgifter. Denna skyldighet kan finnas i lag, förordningen eller annan författning. För att kunna fullgöra den skyldigheten måste socialtjänsten göra en särskild personuppgiftsbehandling. I allmänhet bör det vara fråga om utlämnande av sådana uppgifter som uppkommer i ett ärende. I viss mindre utsträckning kan det dock vara nödvändigt med en särskild personuppgiftsbehandling där dokumentationen i stället utformas utifrån hur uppgiftsskyldigheten ska fullgöras. Det behövs därför ett särskilt ändamål som reglerar den här uppgiften.
Det kan till exempel vara sådan personuppgiftsbehandling som görs i samband med att socialnämnden lämnar ut uppgifter enligt 12 kap. 5–10 §§ SoL eller uppgift som lämnas ut till åklagare om ungdomsvård eller ungdomstjänst som någon dömts till och som inte fungerar.
Att säkra och utveckla kvaliteten i verksamheten
Av 3 kap. 3 § SoL framgår att insatser inom socialtjänsten ska vara av god kvalitet. Kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras. Det innebär bland annat att verksamheter inom socialtjänsten ska utveckla metoder för att noga följa och analysera utvecklingen vad gäller kvalitet.
Motsvarande bestämmelser finns i 6 § lagen (2003:387) om stöd och service till vissa funktionshindrade, förkortad LSS, som säger bland annat att en sådan verksamhet ska vara av god kvalitet och bedrivas i samarbete med andra berörda samhällsorgan och myndigheter. Enligt LSS föreskrivs även att verksamheten ska bygga på respekt för den enskildes självbestämmanderätt och integritet och att kvaliteten ska systematiskt och fortlöpande utvecklas och säkras. Det ska även finnas personal som behövs för att ett gott stöd och en god service och omvårdnad ska kunna ges.
Vad som avses med god kvalitet är svårt att fastställa på ett objektivt sätt eftersom olika behov och förväntningar påverkar förställningarna av vad som är god kvalitet. God kvalitet i socialtjänstens verksamhet har beskrivits som att tjänsterna ska motsvara
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
659
målen i gällande lagstiftning.6 Under de senaste åren har arbete med att ta fram så kallade kvalitetsindikatorer på påbörjats för att kunna belysa flera av aspekter av de sociala tjänsternas kvalitet. Socialstyrelsen har beslutat om föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete. Föreskrifterna och allmänna råden ska tillämpas i verksamhet enligt socialtjänstlagen och LSS m.fl. De områden som särskilt har lyfts fram är kvalitetssäkring av bland annat sociala tjänster och handläggning och dokumentation.
Mot bakgrund av det allmänna intresset och den stora betydelsen av att kvaliteten i socialtjänsten hela tiden utvecklas är det centralt att personuppgifter får behandlas för ändamålet. Med utredningens förslag blir det tydligt att även juridiska eller fysiska personer som ansvarar för privat verksamhet inom socialtjänsten får hantera personuppgifter för att utveckla verksamheten och för att säkra kvaliteten i verksamheten.
Kvalitetssäkringsarbete kan göras enlig olika metoder och i olika former. I allmänhet behöver dock arbetet inbegripa någon form av personuppgiftsbehandling. Många gånger handlar det om att uppgifter som redan är dokumenterade i den mer individinriktade verksamheten för att fatta eller genomföra beslut om stödinsatser, vård eller behandling, senare återanvänds i det systematiska kvalitetsarbetet. Men det kan i vissa fall även handla om att personuppgifter samlas in särskilt för kvalitetssäkringsändamål. Som exempel på det kan nämnas olika former av enkäter där enskildas upplevelser av verksamheten och insatsernas resultat efterfrågas och analyseras. Ibland kan det sannolikt även uppstå svårigheter att i praktiken avgöra vad som är det övergripande syftet med en viss behandling av personuppgifter, t.ex. om den görs för genomförandet av insatserna eller för det systematiska kvalitetsarbetet. Enligt utredningens uppfattning är det helt naturligt att ändamålen ibland överlappar varandra. Det är heller inget problem så länge den som bedriver verksamheten själv är klar över för vilka ändamål som personuppgifter samlas in och behandlas i verksamheten. Detta ska självklart även återspeglas i den information om personuppgiftsbehandling som enskilda har rätt att få.
Utredningens förslag till ändamålsbestämmelse tydliggör att personuppgifter får behandlas inom socialtjänsten för ett systematiskt kvalitetsarbete. Med stöd av bestämmelsen kan därför t.ex.
6 God kvalitet i socialtjänsten – om ledningssystem för kvalitet i verksamhet enligt SoL, LSS, LVU, LVM, Socialstyrelsen 2008.
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
660
en kommun eller en privat utförare behandla personuppgifter i sin egen verksamhet för att mäta kvaliteten och få underlag till förbättringsarbeten. Bestämmelsen tar dock inte sikte på eventuella möjligheter för olika aktörer att behandla personuppgifter för en gemensam kvalitetssäkring, t.ex. genom att personuppgifter samlas in från flera aktörer för en samlad behandling och analys. Ett sådant informationsutbyte är även beroende av vad som bedöms möjligt med hänsyn till bestämmelser om sekretess och tystnadsplikt. Här kommer utredningens förslag om en mer ändamålsenlig sekretessreglering i socialtjänsten att föra med sig nya och tydliga möjligheter för den kommun som har det yttersta ansvaret för kvaliteten i socialtjänsten att samla in personuppgifter från olika verksamheter och låta dem ligga till grund för kvalitetsarbetet.
Inom hälso- och sjukvården finns så kallade nationella och regionala kvalitetsregister som syftar till att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Inom socialtjänsten finns inte något motsvarande. Utredningen lämnar inte något förslag när det gäller frågan om kvalitetsutveckling med hjälp av nationella kvalitetsregister inom socialtjänsten. Se vidare avsnitt 28.
Administration, planering, uppföljning och utvärdering av verksamheten
Med administration och planering avses på ett mer övergripande plan, till exempel att planera och dimensionera antalet omsorgsplatser, fördela anslag m.m.
Det är av vikt att den som är verksam inom socialtjänsten kontinuerligt eller vid särskilda tillfällen kan behandla personuppgifter för att administrera, planera, följa upp och utvärdera verksamheten. Det kan röra sig om allt ifrån att planera och dimensionera olika verksamheter till att fördela anslag inom det geografiska ansvarsområdet. Den administration och planering som avses i bestämmelsen genomförs därmed på en mer övergripande nivå än vad som avses med ändamålet att handlägga ärenden.
Det är även viktigt att göra det möjligt att använda individuppgifter för att följa upp och utvärdera verksamheten. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av verksamheten i förhållande till de mål som bestämts för densamma. Inom socialtjänsten upprättas personakter men det görs även olika typer av sammanställningar av uppgifter om enskilda
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
661
(från personakt). I nuvarande bestämmelser anges begreppet sammanställning av personuppgifter som ett ändamål (se avsnitt 23.2.2). Med det avses sådana sammanställningar som görs i samband med socialtjänstens administration och planering. Med sådana sammanställningar avses således sådana som upprättas inom socialtjänsten bl.a. för att underlätta administrationen och som utgör register i en mer inskränkt bemärkelse. Sammanställningarna används främst som stöd för handläggning, beslut och i samband med verkställigheten av besluten. En sådan sammanställning får anses ingå i ändamålet administration och därför anser utredningen att begreppet sammanställning inte behöver anges i lagen.
Med tillsyn avses den interna tillsynen som den som bedriver verksamhet inom socialtjänsten har att göra i sin egen verksamhet. Det kan vara kontroll i individärenden och enskilda verksamheter.
Statistik
För närvarande får en socialnämnd stödja sig på bestämmelserna i personuppgiftslagen om nämnden vill göra sammanställningar av personuppgifter för framställning av statistik.7 Till socialtjänstens uppgifter hör enligt 3 kap. SoL att bland annat göra sig väl förtrogen med levnadsförhållandena i kommunen och att informera om socialtjänsten i kommunen. Vidare ska socialtjänsten genom uppsökande verksamhet och på annat sätt främja förutsättningarna för goda levnadsförhållanden. I den uppsökande verksamheten ska socialnämnden upplysa om socialtjänsten och erbjuda grupper och enskilda sin hjälp. När det är lämpligt ska socialnämnden samverka med andra samhällsorgan och med organisationer och andra föreningar.
Enligt utredningens bedömning är det av vikt att det klart och tydligt framgår av ändamålsbestämmelsen att den som bedriver socialtjänst får behandla personuppgifter även för framställning av statistik. Därför föreslås att personuppgifter ska få behandlas för statistikändamål. Det kan exempelvis vara sådan statistik som kommunen tar fram för att informera invånarna om socialtjänstens olika verksamheter. Men det kan även handla om att privata utförare av socialtjänst sammanställer statistik för att underlätta för enskilda som ska välja utförare.
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
662
Även om det är tillåtet för den som bedriver socialtjänst att behandla personuppgifter för framställning av statistik gäller samtidigt det grundläggande kravet på att endast de personuppgifter som behövs för ändamålet får användas. Verksamheten behöver därför göra en noggrann värdering av vilka personuppgifter som är relevanta för ändamålet. Det bör även övervägas om de som har till uppgift att ta fram statistik behöver ha tillgång till direkt utpekande personuppgifter som namn och personnummer eller om det räcker med sådana uppgifter som endast indirekt pekar ut den enskilde. Naturligtvis gäller även att presentation och publicering av statistik från socialtjänsten ska göras på ett sådant sätt att enskilda individer inte röjs.
Vidare ska tydliggöras att detta ändamåls inte tar sikte på sådan behandling som omfattas av lagen (2001:99) om den officiella statistiken vid behandling av personuppgifter vid framställning av officiell statistik.
Uppgiftsutlämnande som görs i överensstämmelse med lag eller förordning
Personuppgifter som behandlas i socialtjänsten lämnas i olika sammanhang ut till enskilda eller till myndigheter och andra organisationer. Om utlämnandet görs för syften som gäller den utlämnande verksamheten, omfattas personuppgiftsbehandlingen av något av de ändamål som har angetts ovan. I själva verket görs dock många utlämnanden för mottagarens räkning. Det kan exempelvis handla om sådant informationsutbyte som behövs i samband med handläggning av ärenden eller genomförandet av beslut. Men det kan även handla om att uppgifter lämnas ut till enskilda eller någon denne närstående. Eftersom ett utlämnande i rättslig mening är en personuppgiftsbehandling i sig, behöver den även ha stöd i lag.
För sådan socialtjänst som bedrivs av kommuner och av Statens institutionsstyrelse gäller att utlämnande av allmänna handlingar i enlighet med tryckfrihetsförordningen alltid kan göras utan att sådant utlämnande behöver anges som ett särskilt ändamål för vilket personuppgiftsbehandling är tillåten. Det följer av grundlags företräde framför vanlig lag och av 8 § PUL, som också gäller vid behandling av personuppgifter enligt socialtjänstdatalagen. Eftersom sekretess normalt gäller för uppgifter om enskilda i socialtjänsten, krävs även att sekretessen inte hindrar ett utlämnande.
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
663
Samtidigt finns i offentlighets- och sekretesslagen (2009:400), förkortad OSL, bestämmelser som tillåter eller medger att uppgifter lämnas ut utan hinder av sekretess. En sådan bestämmelse är bl.a. den sekretessbrytande bestämmelse vi föreslår för vissa situationer när den enskilde inte kan samtycka till utlämnandet. Offentlighets- och sekretesslagen innehåller även bestämmelser om att uppgifter utan hinder av sekretess får lämnas till en enskild.
Gemensamt för det uppgiftsutlämnande som det är fråga om i detta fall är att det görs med stöd av författningar som påbjuder eller tillåter ett utlämnande, dvs. ett annat slags uppgiftsutlämnande än det som grundar sig på en uppgiftsskyldighet. För att undanröja några som helst tveksamheter om vad som gäller bör det därför uttryckligen införas en ändamålsbestämmelse som medger att personuppgifter som behandlas med stöd av något eller några av de i tidigare nämnda ändamålen, också får behandlas för sådant uppgiftsutlämnande som görs i överensstämmelse med lag eller förordning. Socialtjänstdatalagen gör det därmed möjligt att behandla personuppgifter för att kunna administrera ett utlämnande som är lagligt.
23.2.2 Sammanställningar av personuppgifter
Vår bedömning: De nuvarande reglerna om sammanställning av
personuppgifter i SoLPUL bör utgå och inte föras över till socialtjänstdatalagen.
Vårt förslag: Som en konsekvens av detta ska utgångspunkten
för att beräkna gallringsfrist för sådana sammanställningar, enligt vad som i dag framgår av socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade, utgå. Den gemensamma utgångspunkt för att beräkna gallringsfristen blir när den sista anteckningen om den enskilde har gjorts i en personakt.
Hos socialtjänsten finns personuppgifter om enskilda framförallt i en personakt. En personakt är en akt med handlingar som rör en eller flera enskilda personer och innehåller handlingar om en eller flera personer som är eller har varit aktuella för utredning eller insats hos socialnämnden. En akt kan innehålla löpande anteckningar från samtal som förs med den enskilde i samband med
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
664
planering och genomförande av insatser. Även tidigare utredningar och läkarintyg m.m. kan finnas i en personakt.8Den del av en personakt där anteckningar av betydelse för handläggning av ett ärende och genomförande av en insats görs kontinuerligt och i kronologisk ordningen kallas journal.9I dag är det vanligt att personakter förs elektroniskt i ett verksamhetssystem.
Förutom de personakter som upprättas görs även olika typer av sammanställningar av uppgifter om enskilda inom socialtjänsten. I dag används begreppet sammanställning av personuppgifter i SoLPUL. Begreppet sammanställning av uppgifter i personakt har funnits med sedan införandet av personuppgiftslagen. Med begreppet avses sådana sammanställningar som görs i samband med socialtjänstens administration och planering. Registren används i första hand som stöd för handläggningen av de ärenden där socialtjänsten har en utredningsskyldighet och som stöd för de beslut som utredningen utmynnar i.10 Det används även som administrativt stöd vid handläggningen av arbetsplaner och utbetalningar av ekonomiskt bistånd. Till viss del används de även som underlag för tillsyn, uppföljning och utvärdering av socialtjänstens verksamhet. Registren underlättar också rapporteringen av uppgifter till Socialstyrelsen som under för den offentliga statistiken.
Sammanställningsregister har traditionellt även ansetts skilja sig från personakterna på det viset att de är tillgängliga på ett mer omedelbart sätt än som är fallet med personakter. Sammanställningarna kan mot den bakgrunden framstå som mer integritetskänsliga eftersom de är tillgängliga för ett större antal tjänstemän och lämnar ut uppgifter om den enskilde utan att den nödvändigtvis samtidigt ges en objektiv beskrivning av den enskildes förhållanden. Alltsedan socialtjänstlagens tillkomst har det funnits ett förbud för socialnämnderna att ta in uppgifter om ömtåliga personliga förhållanden i olika typer av sammanställningar av personuppgifter. Om sådana anteckningar behöver göras så är det nödvändigt att lägga upp en personakt och sedan får en hänvisning till personakten göras i sammanställningsregistret.
I sammanställningar av personuppgifter får i dag inte tas in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga personliga förhållanden (jfr 7 a § SoLPUL). Med uppgifter om ömtåliga personliga förhållanden avses förutom känsliga person-
8 Socialstyrelsens handbok Handläggning och dokumentation inom socialtjänsten. 9 Socialstyrelsens handbok Handläggning och dokumentation inom socialtjänsten. 10 Handläggning inom socialtjänsten Clevesköld, Lundgren och Thunved s. 335.
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
665
uppgifter enligt personuppgiftslagen även andra uppgifter om personliga förhållanden som kan förekomma inom socialtjänsten och vars behandling kan anses vara kränkande för den personliga integriteten. Det kan till exempel vara uppgifter om försörjningsförmåga och familjeförhållanden.11
Från detta förbud finns undantag för uppgifter om åtgärder som har beslutats inom socialtjänsten som innebär myndighetsutövning och för uppgifter om den bestämmelsen som ett sådant beslut grundar sig på. Vidare undantas uppföljning, utvärdering och kvalitetssäkring samt tillsynsverksamhet som bedrivs av Inspektionen för vård och omsorg. Undantaget gäller även för administration och tillsynsverksamhet som bedrivs av Statens institutionsstyrelse centralt. Uppgift som avslöjar medlemskap i fackförening får aldrig tas in i sammanställningarna.
Med beaktande av den preciserade uppräkning av de ändamål som personuppgifter får behandlas för, behöver utredningen överväga om sammanställning av personuppgifter i personakt, behöver nämnas som ett särskilt ändamål. Sådana sammanställningar används för administration, för stöd vid handläggning av enskilda ärenden samt för uppföljning, utvärdering och kvalitetssäkring. I vissa fall även som underlag till Socialstyrelsen för den offentliga statistiken. Enligt utredningens bedömning behöver begreppet sammanställning av personuppgifter i personakt inte särskilt nämnas i ändamålsbestämmelsen eftersom det ryms i de punkter som nyss har räknats upp.
Utredningen föreslår vidare att förbudet mot att i sammanställningsregister ta in känsliga personuppgifter inte ska finnas kvar. Det bör inte föras över till socialtjänstdatalagen. I dag finns bestämmelser om undantag från förbudet när det gäller uppgifter om åtgärder som har beslutats inom socialtjänsten och uppgifter om den bestämmelse som ett sådant beslut grundar sig på. Vidare finns undantag för uppföljning, utvärdering och kvalitetssäkring. Skälen till att de sistnämnda ska omfattas av undantaget är att det är fråga om tillfälliga sammanställningar som förstörs efter en viss tid och att de enbart blir tillgängliga för ett begränsat antal personer. Undantag finns även för tillsynsverksamhet och för administration som bedrivs av Statens institutionsstyrelse centralt.
Det är enligt utredningens bedömning inte nödvändigt att i den särskilda registerlagstiftning för socialtjänsten som nu föreslås
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
666
reglera en viss sort av sammanställning. De grundläggande reglerna om när det är tillåtet att behandla de personuppgifter som behövs för ett av de särskilt uppräknade ändamålen gäller alltid. Detta innebär att det ändå inte är fritt fram att göra vilka typer av sammanställningar man vill. De grundläggande bestämmelserna om ändamålen och bestämmelserna om ansvar för den som arbetar i socialtjänsten begränsar möjligheterna att behandla personuppgifter. Den som arbetar inom socialtjänsten får bara ta del av dokumenterade uppgifter om en enskild om han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten och uppgifterna ska användas för något av de ändamål som den föreslagna lagen anger. Därmed upprätthålls den enskildes integritetsskydd samtidigt som behovet av att ta del av uppgifter om enskilda kan tillgodoses. I socialtjänstdatalagen kommer det även att finnas bestämmelser som inskränker möjligheten att göra sökningar. Det innebär i princip att de känsliga personuppgifter som avses i 13 § personuppgiftslagen inte får användas som sökbegrepp.
Även vid en jämförelse med den reglering som finns inom hälso- och sjukvårdens område framgår att det för hälso- och sjukvårdens del inte finns några uttryckliga begränsningar i fråga om sammanställningar, utan de grundläggande reglerna i patientdatalagen anger ramen för det som är tillåtet. Utredningens uppfattning är att det inte är konsekvent eller ändamålsenligt att ha skilda regler för socialtjänsten och hälso- och sjukvården när det gäller sammanställningar.
Det framgår visserligen av förarbetena att när regeringen övervägde en viss utökning av undantaget från förbudet avseende uppföljning, utvärdering och kvalitetssäkring så ansåg inte regeringen att det fanns fog för att vare sig göra ett generellt undantag eller ta bort förbudet.12
Regeringen uttalade att mot bakgrund av att bestämmelsen om förbud mot s.k. sammanställningsregister i socialtjänstlagen infördes för snart tjugo år sedan fanns det skäl att fråga om bestämmelsen har spelat ut sin roll. Den moderna tekniken att söka information som finns lagrad i datorer är nämligen sådan att informationen, även om den inte finns i ett register, kan tas fram sekundsnabbt med de sökmotorer som numera finns. Regeringen uttalade att det bör, om förbudet i något avseende ska lättas upp, kunna presentera ett starkt behov därav; ett behov som får anses väga tyngre än behovet av att skydda den enskildes integritet. Det kan därför inte rent allmänt hävdas att bestämmelsen inte länger fyller någon funktion. Den moderna tekniken och
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
667
dess sökmöjligheter kan t.o.m. medföra att behovet av en sådan bestämmelse är större i dag än tidigare då sådana sökmotorer möjliggör att ett sådant sammanställningsregister kan skapas på ett ögonblick. Naturligtvis får bestämmelsen inte – om det inte finns starka integritetsskäl som talar i den andra riktningen – hindra att personuppgifter kan behandlas inom socialtjänsten på ett modernt, effektivt och rationellt sätt.
Den tekniska utvecklingen gör att det i dag förs fler personakter elektroniskt än tidigare. Att fler personakter förs elektroniskt innebär att uppgifter är sökbara på ett annat sätt än tidigare. Mot bakgrund av denna utveckling och mot bakgrund av att utredningen föreslår en särskild socialtjänstdatalag som reglerar när och hur personuppgifter inom socialtjänsten får användas, anser utredningen att det inte längre är ändamålsenligt med ett förbud mot känsliga personuppgifter i s.k. sammanställningsregister. Syftet med det nuvarande förbudet mot att socialtjänsten i sammanställningsregister får ta in känsliga personuppgifter, kan tillgodoses genom tillämpning av de grundläggande bestämmelserna i socialtjänstdatalagen. Det är av vikt att socialtjänsten tillåts kunna utföra sitt uppdrag på ett modernt och effektivt sätt.
Utredningen föreslår därtill (avsnitt 24) tydliga regler om inre sekretess och om vilken personal som får ha tillgång till personuppgifter samt även bestämmelser om åtkomst- och behörighetskontroll m.m. Den som bedriver verksamhet inom socialtjänsten bestämmer villkoren för tilldelning av behörighet för åtkomst och även begränsningar av behörighet till vad som behövs för att personal ska kunna utföra sina arbetsuppgifter. Med dessa bestämmelser säkerställs ett grundläggande skydd för den enskildes integritet.
Närmare om utgångspunkt för gallringsfrist enligt SoL och LSS
Vårt förslag innebär att det inte behövs särskilda bestämmelser när det gäller informationshanteringen för just dessa sammanställningar. Ändamålsbestämmelsen i socialtjänstdatalagen ska vara heltäckande för den personuppgiftsbehandling som utförs inom socialtjänsten och ska även rymma hanteringen av personuppgifter som gäller aktuella sammanställningar. I både socialtjänstlagen och i LSS finns dock bestämmelser om bevarande och gallring av sådana
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
668
uppgifter som tillhör en sådan sammanställning av uppgifter som avses i SoLPUL.13
Utgångspunkten för gallringsbestämmelserna är att socialnämnden inte bör arkivera mer material än som är nödvändigt för den egna verksamheten. Enligt 12 kap. 1 § första stycket SoL innebär gallringsplikten beträffande personakter att dessa ska gallras ut sedan i aktuellt fall fem år förflutit från den sista kontakten med socialtjänsten. Datum för sista anteckning i akten bildar utgångspunkt för beräknande av fristen. För register som utgör sammanställningar av uppgifter, dvs. register i egentlig mening, bestäms enligt andra stycket samma paragraf utgångspunkten för gallringsfristen av den tidpunkt då de förhållanden som den antecknade uppgiften avser har upphört, t.ex. avslutande av en kontakt med socialtjänsten. Först då får personakten gallras, om dessutom i aktuellt fall fem år gått från sista anteckningen i personakten. Motsvarande bestämmelser finns för den enskilt bedrivna socialtjänsten (jfr 7 kap. 3 § SoL) samt i verksamhet som avser LSS (jfr 21 c § och 23 a § LSS), med den skillnaden att gallringstiden i enskild verksamhet är satt till två år i stället för fem.
Datum för sista anteckningen bildar således utgångspunkt för tidsberäkningen. För register som utgör sammanställningar av personuppgifter, dvs. register i egentlig mening, bestäms däremot utgångspunkten för gallringsfristen av den tidpunkt då de förhållanden som den antecknade uppgifter avser har upphört.
De nuvarande bestämmelserna innebär att en uppgift i en sammanställning om t.ex. en placering i särskilt boende, inte ska gallras förrän två respektive fem år efter det att placeringen har upphört. Först då får personakten gallras, om dessutom två respektive fem år har gått från sista anteckningen i personakten (jfr 12 kap. 1 § SoL).
Vid införandet av den nya socialtjänstlagen från 2001 fördes diskussioner om beräkningen av gallringsfristen och de skillnader som kunde uppstå. Av förarbetena framgår bl.a. följande.14
Vid beräkningen av gallringsfristen för en personakt är det enligt 60 § socialtjänstlagen tidpunkten för den sista anteckningen i akten som är bestämmande. För register som utgör sammanställningar av uppgifter, dvs. register i egentlig mening, bestäms däremot utgångspunkten för gallringsfristen av den tidpunkt, då de förhållanden som den antecknade uppgiften avser har upphört. Om en socialnämnd beslutar om en fortgående åtgärd, t.ex. placering i familjehem, kan vid oförändrade
13 7 kap. 3 § och 12 kap. 1 § SoL, 21 c § och 23 a § LSS. 14Prop. 1989/90:72 s. 94.
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
669
regler två olika gallringsfrister komma att tillämpas: akten gallras fem år efter beslutet om ingen anteckning görs efter fattat beslut, medan registeruppgiften gallras först fem år efter det att placeringen upphör. Därmed kan följande situation uppstå. En åtgärd fortgår (eller är nyligen avslutad) och socialnämnden håller reda på detta genom sitt register men är, i avsaknad av den redan gallrade akten, okunnig om bakgrunden till åtgärden. En tänkbar lösning på detta problem, vilken föreslås av socialdatautredningen, är att akter alltid tillförs anteckning om fortgående förhållanden. Så torde för övrigt oftast ske. För att undvika eventuella missförstånd och otydligheter vill jag dock i enlighet med utredningens ställningstagande föreslå en mindre ändring i 60 § socialtjänstlagen. Där bör anges att akten inte får gallras tidigare än en eventuell registeruppgift om ett bestående förhållande.
Som vi tidigare har nämnt ska den föreslagna ändamålsbestämmelsen vara heltäckande för det som utförs inom socialtjänsten och ska även rymma hanteringen av personuppgifter som gäller aktuella sammanställningar. Enligt vår bedömning finns då inte heller några skäl för att ha skilda utgångspunkter för att beräkna gallringsfristerna. Vid bestående åtgärder inom socialtjänsten behövs oftast löpande anteckningar i personakten. Det är utredningens bedömning att reglerna om utgångspunkt för gallringsfrist då har begränsad betydelse.
Om vi tar exemplet ovan t.ex. placering familjehem görs fortlöpande anteckningar i en personakt. Bestämmelser om socialnämndens ansvar för att den unge får god vård finns i socialtjänstlagen och där regleras även att sådan vård ska bedrivas i samråd med socialnämnden (jfr 6 kap. 1 och 4 §§). Det har även införts bestämmelser i socialtjänstlagen som tydliggör det ansvar för uppföljning som socialnämnden har (t.ex. 6 kap. 7 b §). Det är svårt att se att sådana uppgifter inte skulle antecknas i en personakt. Många personakter förs i dag elektroniskt. Det kan inte vara vanligt att det finns uppgifter i en sammanställning av personuppgifter som inte finns i en personakt.
Även i andra sammanställningar, t.ex. uppgifter om kontaktperson etc. borde uppgift behövas i den enskildes dokumentation. Utredningens bedömning är att det i dag inte finns underlag för att det ska vara en skillnad mellan utgångspunkten när den sista anteckningen gjordes i en personakt eller när de förhållanden som den antecknade uppgiften avser har upphört. Enligt utredningens bedömning finns inte skäl för att ha olika utgångspunkter för att beräkna gallringsfristen. Utredningen föreslår att hänvisningen till SoLPUL både i socialtjänstlagen och i LSS utgår och att den särskilda utgångspunkten för att beräkna gallringsfristen när det gäller sammanställningar tas bort.
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
670
23.2.3 Personuppgifter som får behandlas i socialtjänsten
Vårt förslag: Endast sådana personuppgifter som behövs för det
ändamål för vilket personuppgiftsbehandlingen utförs, får behandlas enligt socialtjänstdatalagen. Känsliga personuppgifter som avses i 13 § PUL och uppgifter om lagöverträdelser m.m. får endast behandlas om det är nödvändigt för de ändamål som anges i socialtjänstdatalagen.
Även den som bedriver verksamhet inom socialtjänsten och som inte är myndighet får under dessa förutsättningar behandla uppgifter om lagöverträdelser m.m.
Känsliga personuppgifter och uppgifter om lagöverträdelser m.m. får även behandlas om de förekommer i en ansökan, anmälan eller handling som kommer in till socialtjänsten.
Vid handläggning av ärenden som rör parkeringstillstånd m.m. får inte andra känsliga personuppgifter som avses i 13 § PUL än uppgifter som rör hälsa behandlas.
Det är från integritetssynpunkt viktigt att inte andra personuppgifter behandlas inom socialtjänsten än vad som är befogat utifrån verksamhetens behov och krav. Som vi tidigare har redogjort för behandlas ett stort antal personuppgifter av olika slag inom socialtjänsten. Det är inte möjligt att närmare specificera vilka personuppgifter som generellt får behandlas i verksamheten inom socialtjänsten eftersom behov skiftar och det kan avse en mängd olika förhållanden.
Av den nuvarande regleringen i SoLPUL följer att socialtjänsten i princip får behandla de personuppgifter som är nödvändiga för verksamheten. Utredningen anser att denna princip alltjämt bör vara gällande och föreslår därför inte några konkreta bestämmelser som anger vilka personuppgifter som får behandlas. Vi föreslår i stället att det är ändamålen som får styra över vilka personuppgifter som får eller inte får behandlas enligt socialtjänstdatalagen. De personuppgifter som samlas in för tillåtna ändamål får sedan användas för och vidarebehandlas för dessa ändamål. Enligt socialtjänstdatalagen ska därför, som en grundläggande förutsättning, alla personuppgifter som behövs för det ändamål för vilket en behandling utförs få behandlas. Det grundläggande kravet på att personuppgifterna ska behövas för att få behandlas innebär att endast
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
671
sådana uppgifter som behövs för att uppfylla de aktuella ändamålen med personuppgiftsbehandlingen får behandlas.
När det gäller känsliga personuppgifter enligt 13 § PUL och uppgifter om lagöverträdelser m.m. enligt 21 § samma lag, finns dock skäl att överväga att erinra om en försiktighet.
Känsliga personuppgifter och uppgifter om lagöverträdelser
Vid behandling av personuppgifter så anses känsliga personuppgifter enligt 13 § PUL ha en särställning. Enligt denna bestämmelse är det i princip förbjudet att behandla känsliga personuppgifter utan enskildas samtycken. Vad som avses med känsliga personuppgifter är uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening samt uppgifter som rös hälsa eller sexualliv. I 14–20 §§ PUL anges vissa generella undantag från förbudet mot att behandla känsliga personuppgifter.
Socialtjänstdatautredningen15 föreslog att det inte skulle införas några begränsningar när det gäller vilka kategorier av personuppgifter som får behandlas inom socialtjänsten. För att socialtjänsten ska kunna klara sina uppgifter finns ett behov av att behandla även personuppgifter som är känsliga i personuppgiftslagens mening. Det finns otvivelaktigt ett allmänt intresse av att socialtjänsten ska kunna utföra sina arbetsuppgifter på ett tillfredställande sätt. Personuppgifterna inom socialtjänsten omgärdas därtill av en mycket sträng sekretess. Enligt utredningens bedömning finns det därmed inte ur integritetssynpunkt något hinder mot att känsliga personuppgifter får behandlas. För att socialtjänsten ska kunna klara sina uppgifter finns ett behov av att behandla även personuppgifter som känsliga i personuppgiftslagens mening. 16
Inom socialtjänstens verksamhet finns, enligt utredningens bedömning, ett behov av att behandla ett stort antal olika personuppgifter med olika grad av känslighet. Det är därför viktigt att det framgår att socialtjänsten, för att kunna utföra sina uppgifter på ett tillfredsställande sätt, får behandla integritetskänsliga uppgifter när det bedöms vara nödvändigt för verksamheten.
I personuppgiftslagen regleras även särskilt vad som gäller för behandling av personuppgifter om lagöverträdelser. Av 21 § följer
15SOU 2009:32. 16Prop. 2000/01:80 s. 144 ff.
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
672
att det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Det råder ingen tvekan om att verksamheter inom socialtjänsten ibland behöver behandla personuppgifter om lagöverträdelser.
Av nuvarande reglering i SoLPUL följer att socialtjänsten får behandla känsliga personuppgifter som avses i 13 § PUL och uppgifter om lagöverträdelser om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten. Utredningen har inte funnit något skäl för att ändra detta. Känsliga personuppgifter och uppgifter om lagöverträdelser måste därför också enligt socialtjänstdatalagen få behandlas om det är nödvändigt för ett sådant ändamål som avses i lagen. Att uttryckligen lyfta fram att personuppgiftsbehandlingen ska vara nödvändig är ett uttryck för den försiktighetsprincip som bör gälla vid behandling av så integritetskänsliga personuppgifter som det här är fråga om. Därutöver gäller dessutom alltid de grundläggande kraven på att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen samt att inte fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen får behandlas.
En utgångspunkt för utredningen är att förutsättningarna för att behandla personuppgifter så lång möjligt bör vara samma oavsett i vilken driftsform socialtjänsten bedrivs. När det gäller en sådan välfärdstjänst som socialtjänsten, skulle olika spelregler för olika aktörer kunna medföra negativa konsekvenser för den enskilde och påverka förutsättningarna för en jämlik och högkvalitativ socialtjänst för alla. Inte minst eftersom många individer i dag ges möjlighet att själv välja utförare av biståndsbedömda insatser, är det viktigt att ge samma möjligheter till alla. Om det inte finns starka skäl mot detta, bör därför enskild verksamhet inom socialtjänsten få behandla personuppgifter under samma förutsättningar som myndighet som bedriver sådan verksamhet. Det kan inte uteslutas att även privata och idéburna aktörer som bedriver socialtjänst kan ha behov av att behandla uppgifter om lagöverträdelser, exempelvis vid genomförandet av insatser för enskilda. Eftersom behandling av uppgifter om lagöverträdelser enligt personuppgiftslagen endast får göras av myndigheter behöver socialtjänstdatalagen uttryckligen ange att även enskilda verksamheter får behandla dessa personuppgifter. Utredningen föreslår därför en bestämmelse som tydliggör att enskild verksamhet får behandla uppgifter om lagöverträdelser om det är nödvändigt för ett av de i socialtjänstdatalagen tillåtna ändamålen.
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
673
Uppgifter som kommer in i verksamheten
Av SoLPUL följer bl.a. att känsliga personuppgifter och uppgifter om lagöverträdelser får behandlas om uppgifterna har lämnats i ett ärende. Syftet med bestämmelsen är att uttrycka att sådana uppgifter som kommer in till verksamheten får behandlas, även om de i och för sig inte skulle vara nödvändiga för verksamheten. Utredningen bedömer att denna princip bör vara gällande även vid behandling av personuppgifter enligt socialtjänstdatalagen, dock med språkliga förändringar. Utredningen föreslår således en bestämmelse som generellt tydliggör att samtliga personuppgifter som förekommer i en ansökan, anmälan eller handling som kommer in i verksamheten alltid får behandlas. Detta undantag gäller inte om uppgifter kommit till socialtjänstens kännedom på något annat sätt, t.ex. genom egna iakttagelser. Undantaget gäller inte heller om uppgifterna inkommer på socialtjänstens egen begäran. I sådana fall gäller dels den grundläggande förutsättningen att personuppgifterna får behandlas endast om det behövs för ett tillåtet ändamål, dels att känsliga personuppgifter och uppgifter om lagöverträdelser endast får behandlas om det är nödvändigt för sådant ändamål.
Handläggning av parkeringstillstånd m.m.
Av SoLPULF följer att det vid handläggning av ärenden om tillstånd till parkering för rörelsehindrade och som följer av bestämmelserna i körkortsförordningen inte är tillåtet att behandla andra känsliga personuppgifter än uppgifter som rör hälsa. Utredningen bedömer att detta tillgodoser det behov av behandling av personuppgifter som behövs vid hantering av aktuella ärenden och föreslår därför att bestämmelsen överförs till socialtjänstdatalagen.
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
674
23.2.4 Den enskildes inställning till personuppgiftsbehandlingen
Vårt förslag: Behandling av personuppgifter enligt socialtjänst-
datalagen får göras även om den enskilde motsätter sig personuppgiftsbehandlingen. Undantag från denna huvudregel kan gälla enligt lag eller förordning. Vissa undantag följer av socialtjänstdatalagen.
Vidare föreskrivs att även sådan personuppgiftsbehandling som går utöver vad socialtjänstdatalagen tillåter får utföras, om den enskilde lämnat ett uttryckligt samtycke till behandlingen och inte annat följer av andra bestämmelser i lagen eller av annan lag eller förordning. Dessutom föreslås regeringen få meddela ytterligare undantag.
I personuppgiftslagen tillmäts den enskildes inställning till personuppgiftsbehandlingen som huvudregel en avgörande betydelse. Behandling av personuppgifter är enligt personuppgiftslagen exempelvis tillåten, om den enskilde har lämnat sitt samtycke till behandlingen enligt 10 § PUL. Från detta finns dock ett antal undantag. I de fall personuppgiftslagen tillåter personuppgiftsbehandling utan den registrerades samtycke, har den registrerade ingen rätt att med rättslig verkan motsätta sig personuppgiftsbehandlingen. Det följer av 12 § andra stycket PUL. Det gäller till exempel om behandlingen är nödvändig för att (10 § punkten b) att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet eller (punkten d) för att en arbetsuppgift av allmänt intresse ska kunna utföras.
Enligt nuvarande bestämmelser i SoLPUL har en enskild inte rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten enligt lagen. Vid införandet av bestämmelsen anfördes bland annat följande.17I vissa fall får personuppgifter behandlas enligt personuppgiftslagen trots att samtycke från registrerade saknas. En förutsättning i samtliga fall är att behandlingen är nödvändig för ändamålen.18 Det finns ett allmänt intresse att socialtjänstens verksamhet bedrivs effektivt och säkert. Även med beaktande av den enskildes krav på integritet bör personuppgifter få behandlas i verksamheten utan att den som uppgifterna avser har gett sitt
17Prop. 2000/01:80 Ny socialtjänstlag m.m. 18Prop. 2000/01: 80 avsnitt 13.4.
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
675
samtycke. Behandlingen av personuppgifter inom socialtjänstens område är integritetskänsliga i de flesta fall. Behandlingen kommer därutöver att omfatta även särskilt känsliga uppgifter, t.ex. lagöverträdelser och frihetsberövanden. För att behålla förtroendet för en sådan behandling är det viktigt att grundläggande krav ställs på behandlingen och att den tillgodoser den enskildes integritetsskydd.
Vår bedömning är att denna princip alltjämt ska vara gällande på socialtjänstens område. Den enskilde ska därmed inte kunna motsätta sig sådan personuppgiftsbehandling som är tillåten enligt socialtjänstdatalagen.
Samtidigt kommer vi i det följande att föreslå ett krav på samtycke för viss personuppgiftsbehandling. Detta bör framgå redan av socialtjänstdatalagens grundläggande bestämmelser. Se vidare avsnitt 27 om direktåtkomst till personuppgifter mellan olika utförare av socialtjänst.
Regleringen av socialtjänstens verksamhet är omfattande och komplex. Det kan därför inte uteslutas att bestämmelser i annan lag eller förordning ger enskilda rätt att motsätta sig viss personuppgiftsbehandling som i och för sig regleras av socialtjänstdatalagen. Av det skälet bör det av socialtjänstdatalagen framgå att det kan finnas sådana bestämmelser i annan lag eller förordning.
Vad ska gälla om den enskilde samtycker till en personuppgiftsbehandling?
En relevant fråga är i vilken mån en personuppgiftsbehandling, som inte har stöd i socialtjänstdatalagens bestämmelser, ändå ska få utföras om den enskilde lämnat sitt uttryckliga samtycke till den.
Ett samtycke gör i princip alltid personuppgiftsbehandling tillåten enligt personuppgiftslagen. I förarbetena till lagen berördes frågan om artikel 8.2 i dataskyddsdirektivet och möjligheterna att i lagstiftning bestämma att förbudet mot behandling av känsliga personuppgifter inte kan upphävas genom den registrerades samtycke. Regeringen var dock inte av den åsikten utan hade uppfattningen att det, när någon har lämnat ett samtycke till en viss personuppgiftsbehandling, inte finns något integritetsskyddsintresse som gör det befogat att förbjuda den behandling som den registrerade och den personuppgiftsansvarige är överens om.19
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
676
Vår bedömning är att regeringens resonemang har principiell karaktär och bör vara vägledande även på socialtjänstens område. Därför finns det skäl att tillåta även sådan personuppgiftsbehandling som avviker från socialtjänstdatalagens bestämmelser, om den enskilde lämnar sitt uttryckliga samtycke till behandlingen. Med ett uttryckligt samtycke kan personuppgifter exempelvis samlas in och behandlas för ett ändamål som inte anges i socialtjänstdatalagens ändamålsbestämning. Som vi redovisar i det följande kan principen även ha betydelse för socialtjänstens behandling av personuppgifter i verksamhet som ges i form av råd och service, dvs. sådant som inte är individuellt behovsbedömt.
Mot utredningens förslag kan anföras att en enskild kan befinna sig i ett utsatt läge eller annars i en svag position i sina kontakter med socialtjänsten. Det skulle därför kunna finnas en risk för att han eller hon skulle kunna känna sig tvingad till att samtycka till en personuppgiftsbehandling eller till att godta den utan att kunna överblicka konsekvenserna. Utredningen gör dock bedömningen att denna möjlighet inte skulle missbrukas av den som bedriver verksamhet inom socialtjänsten. Som vi redogjort för i det tidigare bygger socialtjänsten på den enskildes frivilliga val och verksamheten ska bygga på respekt för den enskildes självbestämmande och integritet. Vi föreslår därför att även sådan personuppgiftsbehandling som går utöver vad socialtjänstdatalagen tillåter får utföras, om den enskilde uttryckligen samtycker till det.
Utredningen föreslår vidare att det från den huvudregeln ska finnas ett undantag, som innebär att samtycket har rättslig verkan endast om inte annat följer av annan lag eller förordning. Dessutom föreslår vi att regeringen får meddela föreskrifter om att en behandling av personuppgifter som inte är tillåten enligt socialtjänstdatalagen inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen. Utgångspunkten för att meddela sådana föreskrifter bör vara att skydda enskilda från integritetskränkningar.
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
677
23.2.5 Behandling av personuppgifter vid råd och service
Vår bedömning: Behandling av personuppgifter i samband med
genomförandet av sådan verksamhet som inte är individuellt behovsbedömd, t.ex. råd och service, får som en konsekvens av utredningens förslag om tillåtna ändamål, utföras om den enskilde har lämnat ett uttryckligt samtycke till behandlingen.
Utredningen föreslår att behandling av personuppgifter som inte är tillåten enligt socialtjänstdatalagen ändå ska få utföras om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det ska gälla om inte annat framgår av lag eller förordning. Bestämmelsen bedöms bl.a. ha betydelse för sådan personuppgiftsbehandling som utförs inom ramen för råd och service, dvs. i verksamhet som inte omfattas av dokumentationsskyldighet enligt socialtjänstlagen och inte heller är individuellt behovsbedömd.
För tydlighets skull ska nämnas att särskilt stöd och särskild service som behovsprövas enligt LSS omfattas av ändamålen i 2 kap. 5 § i den föreslagna lagen.
Inom socialtjänsten har det i dag kommit att bli allt mer vanligt att kontakter förekommer och insatser utförs utan att den enskilde har ansökt om insatsen och sedan fått den biståndsbedömd. Det kan exempelvis handla om olika former av förebyggande insatser. Det förekommer att rådgivning och andra stödinsatser utförs inom ramen för missbruksvården eller i samband med familjerådgivning utan att ett biståndsbeslut har meddelats. Enligt socialtjänstlagen följer ingen skyldighet att dokumentera rådgivning t.ex. vid alkohol- eller narkotikamottagning samt familjerådgivning. Ett av de främsta skälen till att rådgivnings- och stödverksamheter ligger utanför dokumentationsskyldigheten är att det annars skulle kunna avhålla personer från att kontakta socialtjänsten och få stöd i utsatta situationer. Det faktum att en biståndsbedömning inte krävs innebär vidare att socialtjänsten blir mer lättillgänglig för den enskilde som är i behov av råd eller stöd. Det finns stora skillnader i hur olika kommuner bedriver verksamhet inom ramen för råd och stöd. I en del kommuner erbjuds enskilda ett fåtal besök utan biståndsbeslut medan individer i andra kommuner kan ha många kontakter med socialtjänsten utan behovet om bistånd bedöms. Det kan konstateras att det finns olika tolkningar vilket utrymme dagens bestämmelser ger för att dokumentera i aktuell verksamhet.
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
678
Det kan dock finnas behov av att på individnivå dokumentera insatser inom de öppna verksamheterna som inte är individuellt behovsprövade. Dokumentationsbehovet kan finnas både för ändamål i den individinriktade verksamheten och för att kunna utvärdera, kvalitetssäkra och följa upp den icke biståndsbedömda verksamheten.
Enligt vårt förslag till ändamålsbestämmelse får personuppgifter bl.a. behandlas för att handlägga ärenden som rör enskilda och för att dokumentera genomförande av beslut om bistånd, stödinsatser, vård och behandling. Verksamhet inom råd och service faller utanför detta eftersom det vare sig handlar om ärendehandläggning rörande enskilda eller genomförandet av sådana beslut som avses. Inte heller finns någon annan föreslagen ändamålsbestämmelse som tar sikte på den aktuella personuppgiftsbehandlingen. Eftersom bestämmelsen med tillåtna ändamål är uttömmande är således personuppgiftsbehandling inom råd och service som huvudregel otillåten. Samtidigt bedömer utredningen att det inte kan uteslutas att det kan finnas ett behov av att behandla personuppgifter även i sådan service, råd och stöd som inte är individuellt behovsbedömd.
Utredningen föreslår dock att personuppgifter kan samlas in och behandlas för ett ändamål som inte anges i lagens ändamålsbestämning, om den enskilde har lämnat ett uttryckligt samtycke till detta. Det finns inga formkrav för ett sådant samtycke, vilket t.ex. innebär att det inte behöver vara skriftligt. Det är ett uttryck för principen att en enskilds uttryckliga samtycke till en viss personuppgiftsbehandling normalt ska respekteras. Bestämmelsen ger exempelvis den som är verksam inom socialtjänsten en
möjlighet att behandla personuppgifter i sådan verksamhet som inte
är biståndsbedömd, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Med stöd av den enskildes samtycke kan således en personuppgiftsbehandling göras även exempelvis inom ramen för sådan familjerådgivning, ungdomsmottagning, missbruks- och beroendevård m.m. som inte är biståndsbedömd. Vid sådan behandling gäller självklart de grundläggande bestämmelserna i den föreslagna lagen vilket innebär att personuppgifter ska utformas och behandlas så att enskilda individers personliga integritet respekteras. Vidare gäller de grundläggande kraven i personuppgiftslagen om att endast de personuppgifter som behövs med hänsyn till ändamålet får behandlas.
Utredningens förslag ger således socialtjänsten en möjlighet att i enskilda fall behandla personuppgifter utan att det för den skull
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
679
bidrar till att avhålla enskilda från att i utsatta situationer vända sig till socialtjänsten. Personuppgiftsbehandling kan dock aldrig vara en förutsättning för att en enskild ska få tillgång till en insats inom ramen för råd och stöd, utan det ska helt och hållet bygga på den enskildes fria vilja. Om socialtjänsten bedömer att en viss insats eller åtgärd inom ramen för det som i dag betraktas som råd och stöd inte kan genomföras utan att personuppgifter behandlas, får socialtjänsten i stället tillhandahålla insatsen eller åtgärden med stöd av ett biståndsbeslut efter en individuell behovsbedömning.
Vårt förslag innebär endast att den som bedriver socialtjänst får en möjlighet att behandla personuppgifter med stöd av den enskildes samtycke. När det kommer till dokumentationens utformning m.m. får de allmänna förvaltningsrättsliga principerna gälla. I socialtjänstdatalagen ska inte finnas några bestämmelser om handläggning och dokumentation, utan detta ska även fortsättningsvis regleras i de nu befintliga lagstiftningarna som t.ex. SoL, LSS och förvaltningslagen.
23.2.6 Personuppgiftsansvar
Vårt förslag: Den som bedriver socialtjänstverksamhet är
personuppgiftsansvarig för den behandling av personuppgifter som den utför.
Av 3 § PUL följer att med personuppgiftsansvar avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter. I registerförfattningar är det vanligt att på ett tydligt sätt peka ut vem som är ansvarig för den behandling som regleras i de särskilda författningarna. Utredningen anser att det är lämpligt att göra så även i den nu föreslagna lagen.
Utredningen föreslår en grundläggande bestämmelse om personuppgiftsansvar. Motsvarande bestämmelse i nu gällande patientdatalag har tjänat som förebild. Den som bedriver verksamhet inom socialtjänsten är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som utförs i dess verksamhet.
Det är inte kommunen som sådan som är personuppgiftsansvarig utan i en kommun är varje myndighet eller sådana kom-
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
680
munala bolag som avses i 2 kap. 3 § OSL som bedriver socialtjänst personuppgiftsansvarig för den behandling av personuppgifter som myndigheten eller bolaget utför. Personuppgiftsansvaret i enskilda verksamheter ligger på den juridiska eller fysiska person som yrkesmässigt bedriver och ansvarar för socialtjänstverksamheten.
Personuppgiftsansvaret omfattar även sådan behandling av personuppgifter som görs när den som bedriver verksamhet inom socialtjänsten genom direktåtkomst lämnar ut eller tar del av personuppgifter, se vidare avsnitt 27.2.5.
23.2.7 Sökbegrepp
Vårt förslag: Uppgifter som avslöjar ras, etniskt ursprung,
religiös eller filosofisk övertygelse, medlemskap i fackförening eller rör sexualliv får inte användas som sökbegrepp.
Regeringen får meddela föreskrifter om att en kommunal myndighet får använda uppgifter om etniskt ursprung som sökbegrepp för att vissa slags sammanställningar.
Med sökbegrepp avses i så kallade registerförfattningar vanligtvis begrepp som används som urvalskriterier för att söka fram handlingar eller för att med begreppet som utgångspunkt göra sammanställningar av olika slag. Vilka sök- och sammanställningsmöjligheter som finns har även betydelse för frågan om vilka handlingar som kan anses förvarade hos en myndighet och vad som därmed kan bli tillgängligt för allmänheten i enlighet med 2 kap. tryckfrihetsförordningen.
En grundläggande fråga när det gäller integritetsskydd är på vilket sätt personuppgifter kan sammanställas. Med fler möjligheter att sammanställa uppgifter om enskilda blir risken större för ett otillbörligt intrång i den personliga integriteten. Det är framför allt när det gäller känsliga personuppgifter enligt 13 § PUL som det av integritetsskäl finns anledning att ha begränsningar för vilka uppgifter som får användas vid sökning efter personuppgifter.
Den nu gällande regleringen av känsliga personuppgifter som sökbegrepp finns i 7 a § SoLPUL angående sammanställning av personuppgifter. Av bestämmelsen framgår att det i sammanställningar av personuppgifter inte får tas in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga förhållanden. Undantag och
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
681
därmed möjlighet att göra sökningar m.m. gäller dock i vissa i bestämmelsen angivna situationer. Det anges uttryckligen att uppgifter som avslöjar medlemskap i fackförening inte får tas in.
Vidare finns i SoLPULF bestämmelser om vilka sökbegrepp som får användas vid sökning efter uppgifter eller i samband med sammanställningar. Bestämmelserna är olika utformade beroende på om det är en kommunal myndighet, Statens institutionsstyrelse eller en privat verksamhet som ska utföra personuppgiftsbehandlingen. För kommunala myndigheter finns inga som helst begränsningar av vilka personuppgifter som får användas som sökbegrepp i samband med uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten. Vid handläggning av ärenden och i samband med genomförandet av beslut får dock endast uppgift om namn eller person-, samordnings- eller ärendenummer användas.
Detta kan jämföras med hälso- och sjukvården, där patientdatalagen anger ett förbud mot att behandla sådana känsliga personuppgifter som anges i 13 § PUL som sökbegrepp. Till förbudet finns även ett undantag som innebär att uppgift om hälsa och uppgift om att någon varit föremål för vissa tvångsingripanden ändå får användas som sökbegrepp.
Det är enligt utredningen av allmänt intresse att socialtjänstens verksamhet kan utföras på ett tillfredställande sätt. Informationshantering och behandlingar av personuppgifter är en av de grundläggande uppgifterna i socialtjänstens verksamhet. Det finns inom socialtjänsten behov av att kunna göra sammanställningar vid verksamhetsuppföljning, kvalitetssäkring, planering av verksamheten m.m. Till exempel inom det individinriktade arbetet är det väsentligt att vid verksamhetsuppföljningar kunna göra sammanställningar utifrån sökkriterier såsom insatser och vissa fall sjukdomar och andra mer hälsorelaterade uppgifter. Samtidigt är det viktigt att sökbegrepp övervägs noga så att otillbörliga integritetsintrång kan förhindras.
I dag kan man använda vilket sökbegrepp som helst för ändamålen tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av kommunal verksamhet och hos Statens Institutionsstyrelse. När det gäller enskild verksamhet får däremot bara sökbegreppen namn, personnummer eller ärendenummer användas. Vi föreslår att bestämmelserna om sökbegrepp både ska begränsas och utvidgas i jämförelse med vad som gäller i dag. Den bestämmelse om sökbegrepp som vi föreslår, ska gälla för alla som bedriver socialtjänst, vare sig det är en kommunal myndighet eller en enskild
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
682
verksamhet. Den nya socialtjänstdatalagen ska gälla även för uppgifter som hanteras manuellt. Detta innebär att lagen även omfattar personuppgifter som finns i kronologiska pärmar. Om de är sökbara på mer än ett kriterium, omfattas registren av socialtjänstdatalagen.
Utredningen har valt att reglera vilka begrepp som inte får användas som sökbegrepp. Det innebär att det inte ska vara tillåtet att göra sådana sökningar. Vissa känsliga personuppgifter, ska som huvudregel, inte få användas som sökbegrepp. Det gäller fram för allt uppgifter som avslöjar ras, etniskt ursprung, religiös eller filosofisk övertygelse, medlemskap i fackförening eller sexualliv. Vi har inte heller sett att det finns ett behov av att använda dessa uppgifter som sökbegrepp.
Sammanfattningsvis föreslår utredningen att uppgifter som avslöjar ras, etniskt ursprung, religiös eller filosofisk övertygelse, medlemskap i fackförening eller rör sexualliv inte får användas som sökbegrepp. Samtidigt ges regeringen möjlighet att meddela föreskrifter om att en kommunal myndighet får använda uppgifter om etniskt ursprung som sökbegrepp för att vissa slags sammanställningar.
Nedan redogörs närmare för användandet av vissa uppgifter som sökbegrepp.
Närmare om hälsa som sökbegrepp
När det gäller sökbegreppet hälsa kan detta behöva användas som sökbegrepp för att man snabbt och effektivt ska kunna finna relevanta journalanteckningar från en enskilds tidigare aktualitet inom socialtjänsten. Det kan således finnas behov att använda hälsa som sökbegrepp i det individinriktade arbetet. Men det kan även finnas behov av att använda hälsa som ett sökkriterium vid verksamhetsuppföljningar m.m. Socialtjänsten har ett brett uppdrag och ska medverka i samhällsplaneringen och informera om socialtjänstens verksamhet (jfr 3 kap. 1 § SoL). Ett syfte med socialtjänstens uppsökande verksamhet, förutom att ge information om vad socialtjänsten kan erbjuda för de som behöver hjälp, är ska skaffa en god kännedom om människors situation i kommunen så att väsentliga behov kan tillgodoses. För att kunna fullgöra dessa uppgifter kan det vara nödvändigt att använda sökbegrepp som rör hälsa vid verksamhetsplaneringen. Det kan t.ex. behövas när socialtjänsten
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
683
ska bevaka att åtgärder vidtas för att skapa en god samhällsmiljö och goda förhållanden för barn och ungdom, för äldre och för andra grupper som har behov av samhällets särskilda stöd (jfr 3 kap. 2 § SoL).
Närmare om politiska åsikter som sökbegrepp
En fråga som särskilt har behandlats vid tidigare lagstiftningsarbeten är om politiska åsikter ska få behandlas i socialtjänstens verksamhet.20 Regeringen har bl.a. i förarbetena till SoLPUL uttalat att det är ett viktigt allmänt intresse att socialtjänsten ska kunna utföra sina arbetsuppgifter på ett tillfredställande sätt. I nämnda arbete ansåg såväl Lagrådet som regeringen att det var klart motiverat att socialtjänsten skulle få behandla personuppgifter som avslöjar politiska åsikter. Det framhölls att behandlingen kan gälla ungdomar som på grund av sina politiska åsikter ägnar sig åt kriminalitet eller annat beteende som föranleder att en socialnämnd behöver veta vilken gruppering en viss individ tillhör för att undvika att enskilda placeras tillsammans med politiska motståndare och riskerar att råka illa ut.
Utredningen ansluter sig till de avvägningar som har gjorts i tidigare lagstiftningsarbeten och anser att det finns starka skäl för att behandla personuppgifter av sådan karaktär i socialtjänsten. Utredningen föreslår därför att politiska åsikter ska kunna användas som sökbegrepp. Det innebär självklart inte att det ska göras slentrianmässigt. Sådana uppgifter ska i första hand behandlas i de fall det har särskild betydelse för att garantera framför allt ungdomar nödvändig vård eller behandling.
Närmare om lagöverträdelser som sökbegrepp
Vidare kan uppmärksammas att bestämmelsen inte gör något undantag vad gäller möjligheterna att inom socialtjänsten använda uppgifter om lagöverträdelser m.m. som avses i 21 § PUL som sökbegrepp. Anledningen till detta är att det inom socialtjänsten finns ett generellt behov av att behandla uppgifter om lagöverträdelser och om administrativa frihetsberövanden som t.ex. tvångsingripande enligt lagen (1990:52) med särskilda bestäm-
20 Jfr prop. 2000/01:80 s. 144 f och SOU 2009:32.
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
684
melser om vård av unga, förkortad LVU, lagen (1988:870) om vård av missbrukare i vissa fall, förkortad LVM, lagen (1991:1128) om psykiatrisk tvångsvård, förkortad LPT, och lagen (1991:1129) om rättspsykiatrisk vård, förkortad LRV. Såväl myndigheter som enskilda verksamheter inom socialtjänsten kan ha behov av att kunna söka efter uppgifter om lagöverträdelser.
I förarbetena till nuvarande lag om behandling av personuppgifter inom socialtjänsten21anförs att det finns ett behov inom socialtjänsten för såväl myndigheter som andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden och att lagen bör tillåta även sådana uppgifter får behandlas inom socialtjänsten. När det gäller administrativa frihetsberövanden kan nämnas tvångsingripanden enligt LVU och LVM.
I patientdatalagen har det tagits in bestämmelser om att uppgifter om att någon har varit föremål för tvångsingripanden enligt LPT eller LRV får användas som sökbegrepp.
Närmare om etnicitet som sökbegrepp
Bakgrunden till att etnicitet, efter beslut från regeringen, ska kunna få användas som sökbegrepp är att en kommunal myndighet kan behöva planera, utföra och följa upp socialtjänstverksamheten utifrån invånarnas etniska ursprung. Med beaktande av de integritetsskyddsintressen som finns vid behandling av sådana personuppgifter bör det dock inte införas en generell möjlighet för kommunala myndigheter att använda etnicitet som sökbegrepp.
Om det visar sig att det för kommunerna finns ett väsentligt behov av att använda etnicitet som sökbegrepp innebär den här lösningen att regeringen kan meddela föreskrifter som tillåter det. Det ger en bra balans mellan enskildas behov av skydd för den personliga integriteten och socialtjänstens behov av behandla relevanta personuppgifter för att kunna planera och utföra verksamheten på ett tillfredställande sätt. Därför föreslås att regeringen ska kunna meddela föreskrifter om att en kommunal myndighet får använda etnicitet som sökbegrepp.
685
24 Säker och ändamålsenlig hantering av personuppgifter
24.1 Bakgrund
Dokumentationen i socialtjänsten är i allmänhet av mer integritetskänslig karaktär än information i många andra sammanhang. Informationen rör inte sällan enskildas privata förhållanden om sådant som exempelvis hälsa och sociala och ekonomiska förhållanden. Av hänsyn till behovet av skydd för den personliga integriteten är det därför nödvändigt att de uppgifter om enskilda som dokumenteras i socialtjänsten hanteras på ett säkert och ändamålsenligt sätt. Det handlar även om att inte äventyra enskildas förtroende för socialtjänstens informationshantering. Samtidigt behöver uppgifter kunna användas på ett ändamålsenligt sätt som leder till att den enskilde får sina behov tillgodosedda. Dokumenterade personuppgifter behöver därför hanteras på ett sätt som gör att behovet av integritetsskydd kan tillgodoses samtidigt som verksamheten ges förutsättningar att skapa bästa möjliga resultat för enskilda individer.
Grundläggande förutsättningar för en ändamålsenlig informationshantering är bland annat att uppgifter finns tillgängliga när de behövs för att utreda, fatta beslut eller genomföra insatser för enskilda. En annan förutsättning är att de uppgifter som dokumenteras om enskilda förvaras och hanteras på ett sådant sätt att behoven av integritetsskydd tillvaratas. Det handlar exempelvis om att se till att obehöriga inte kan komma åt uppgifter om enskilda, att uppgifter inte sprids utanför verksamheten, att de informationssystem som används i verksamheten är utformade på ett sådant sätt att integritetsskyddet tillgodoses, att en användares behörighet till uppgifter anpassas och begränsas till de behov som användaren har samt att åtkomsten till uppgifterna loggas och kontrolleras m.m.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
686
Inom socialtjänstens område saknas i dag uttryckliga författningsbestämmelser om detta som ibland kallas för inre sekretess. Visserligen finns i socialtjänstlagen (2001:453), förkortad SoL, och i lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, bestämmelser om att handlingar som rör enskildas personliga förhållanden ska förvaras så att obehöriga inte får tillgång till dem. Däremot innehåller varken lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL eller förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPULF, uttryckliga bestämmelser om de närmare kraven på hur personuppgifter i enlighet med detta ska hanteras och skyddas. Ledning på detta område får i stället sökas i personuppgiftslagens (1998:204), förkortad PUL, bestämmelser, t.ex. i 31 § om säkerhetsåtgärder, och i praxis från Datainspektionen.
Detta kan jämföras med hälso- och sjukvården som såväl i patientdatalagen (2008:355) som i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården har ett antal bestämmelser som just tar sikte på en säker och ändamålsenlig hantering av personuppgifter.
24.2 Våra överväganden och förslag
Vår bedömning: Socialtjänstdatalagen bör innehålla ett kapitel
om en säker och ändamålsenlig hantering av personuppgifter där bestämmelser om inre sekretess samlas med bestämmelser om ansvaret för att uppgifter finns tillgängliga när det behövs för att arbetet i socialtjänsten ska kunna utföras på ett sätt som tillgodoser enskildas behov m.m.
Förtroendet för integritetsskyddet i informationshanteringen har relevans inte bara när det gäller den yttre sekretessen gentemot utomstående och vid överföring av personuppgifter inom socialtjänsten. Det är även viktigt att det i en verksamhet inom socialtjänsten finns ett integritetsskydd avseende hanteringen av uppgifter om enskilda. I det följande används begreppet inre
sekretess vid överväganden om hur känsliga uppgifter om t.ex.
enskildas personliga förhållanden bör hanteras inom en verksamhet för att motverka intrång i den personliga integriteten.
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
687
För att tydliggöra vikten av att uppgifter endast är tillgängliga när det behövs för dem som behöver det och i övrigt hanteras på ett säkert sätt bör socialtjänstdatalagen innehålla grundläggande bestämmelser om detta. Vi föreslår därför ett särskilt kapitel som samlar dessa bestämmelser och tydliggör vilket ansvar som ligger dels på den som arbetar i socialtjänsten, dels på den som bedriver själva verksamheten.
En uttrycklig reglering av den inre sekretessen är även en förutsättning för våra förslag exempelvis om förändrade sekretessgränser mellan kommunala myndigheter inom socialtjänstens område. Med regler om inre sekretess, behörighetsstyrning och åtkomstkontroll tydliggörs att det aldrig kan vara fråga om ett okontrollerat flöde av uppgifter inom socialtjänsten. Detta sätt att reglera sekretess- och dataskyddet skulle då även komma att likna vad som redan i dag gäller för hälso- och sjukvården.
Den som bedriver verksamhet inom socialtjänsten har det övergripande ansvaret för informationssäkerheten i verksamheten. Informationssäkerhet handlar i detta avseende om betydelsen av att de system som innehåller personuppgifter är lätta att använda och i övrigt ändamålsenliga samt att systemen utformas på ett sätt som tillgodoser de enskildas behov av integritetsskydd. Tillgång till personuppgifter inom socialtjänsten vid rätt tillfälle är en förutsättning för att en enskild ska få säkra insatser av hög kvalitet. Mot den bakgrunden anser vi att socialtjänstdatalagen även ska uttrycka den övergripande skyldigheten för den som bedriver verksamheten att se till att personalen har tillgång till de uppgifter som behövs för att utföra sina arbetsuppgifter på ett för verksamheten och de enskilda, tillfredsställande sätt. Balansen mellan behovet av uppgifter och den enskildes intresse av en integritetsskyddande hantering kan sammanfattas i devisen ”rätt information på rätt plats i rätt tid”. I ett kapitel om en säker och ändamålsenlig hantering bör dessa intressen förenas och tillsammans stödja en utveckling mot en ändamålsenlig informationshantering i socialtjänsten.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
688
24.2.1 Ansvar för den som arbetar i socialtjänsten – inre sekretess
Vårt förslag: I socialtjänstdatalagen ska det finnas bestämmelser
som tydliggör när den som arbetar hos någon som bedriver verksamhet inom socialtjänsten får ta del av dokumenterade uppgifter om enskilda. Det är tillåtet endast när han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten och uppgifterna ska användas för något av de ändamål som är tillåtna enligt socialtjänstdatalagen.
I nuvarande lagstiftning finns ett antal bestämmelser som har direkt eller indirekt betydelse för informationshanteringen inom den egna verksamheten, exempelvis inom den verksamhet som en enskild eller offentlig utförare av socialtjänst bedriver. Av grundläggande betydelse är framför allt bestämmelserna i 1 kap. 1 § SoL och i 6 § LSS om att verksamheten ska vara grundad på respekt för den enskildes självbestämmande och integritet.
Vidare följer av 11 kap. 5 § 2 st. SoL och 21 a § LSS att handlingar som rör enskildas personliga förhållanden ska förvaras så att inte obehöriga får tillgång till dem. Handlingar får enligt bestämmelserna inte vara fritt tillgängliga inom den egna verksamheten. Något förenklat kan bestämmelserna sägas innebära att den som inte har behov av handlingarna för att kunna utföra sitt arbete inte heller ska ha tillgång till dem. De är att betrakta som obehöriga i bestämmelsens mening. Dessa regler slår därmed fast en s.k. inre sekretess som kompletterar det integritetsskydd som följer av bestämmelser om sekretess i offentlighets- och sekretesslagen (2009:400), förkortad OSL, och om tystnadsplikt i SoL och LSS.
I nuvarande lagstiftning om behandling av personuppgifter inom socialtjänsten saknas dock bestämmelser som uttrycker de närmare kraven på hur detta ska tillgodoses vid användandet av elektroniska verksamhets- och journalsystem. Utredningens bedömning är att kraven på inre sekretess bör konkretiseras genom bestämmelser som riktar sig till den personuppgiftsansvarige, men även genom bestämmelser som uttryckligen reglerar när den som arbetar inom socialtjänsten får ta del av uppgifter om enskilda som finns inom den egna verksamheten. Det innebär inte att vi ifrågasätter den medvetenhet i frågor om sekretess och tystnadsplikt som vi har upplevt vid våra kontakter med företrädare från
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
689
socialtjänsten. Däremot anser vi att elektronisk utveckling med en potentiell tillgång till uppgifter som generellt är större än vid en helt manuell hantering, ger upphov till nya och delvis ökade risker för integritetsintrång. En integritetsskyddslagstiftning som den föreslagna socialtjänstdatalagen bör därför, enligt vår bedömning, innehålla bestämmelser som särskilt syftar till att motverka sådana otillbörliga integritetsintrång som en otillåten åtkomst till uppgifter ger upphov till. Vi tror också att det är till fördel, inte minst ur pedagogisk synvinkel, att det klargörs när personal inom socialtjänsten får ta del av uppgifter om enskilda. Inte minst med tanke på de straffbestämmelser som finns om s.k. dataintrång, är det viktigt att det för personalens del så långt möjligt är tydligt vad som är lagligt och vad som inte är det i fråga om åtkomst till personuppgifter.
Mot bakgrund av detta föreslår utredningen att det införs en grundläggande bestämmelse om inre sekretess som gäller oavsett om uppgifter hanteras manuellt eller elektroniskt. Bestämmelsen ska ange att den som arbetar hos någon som bedriver verksamhet inom socialtjänsten får ta del av dokumenterade uppgifter om en enskild endast om han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten. Som en ytterligare förutsättning ska uppgifterna behövas för något av de ändamål som är tillåtna enligt lagen.
Den som arbetar inom socialtjänsten, vare sig det är i en kommunal myndighet eller i en enskild verksamhet eller på Statens institutionsstyrelse, får alltså ta del av dokumenterade uppgifter om en enskild endast om han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten och uppgifterna ska användas för något av de tillåtna ändamålen. Detta ska gälla all personal eller motsvarande oavsett var han eller hon arbetar och oavsett för vilka syften uppgifterna behövs. Det är endast när en anställd eller en uppdragstagare behöver uppgifter för att kunna utföra sina arbetsuppgifter som denne får ta del av uppgifter om enskilda individer. Av bestämmelsen följer vidare att den anställde eller motsvarande endast får ta del av just de uppgifter som i det enskilda fallet behövs.
Bestämmelsen om inre sekretess tydliggör att den som arbetar i socialtjänsten exempelvis får ta del av de uppgifter i verksamheten som behövs för att handlägga ärenden om enskilda eller i nästa skede, de uppgifter som behövs för att genomföra beslut om stödinsatser, vård eller behandling. På motsvarande sätt får den som
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
690
arbetar i socialtjänsten ta del av de uppgifter som behövs för det systematiska kvalitetsarbetet, för administration och planering av verksamheten etc. En grundläggande förutsättning är naturligtvis att den anställde eller motsvarande har i uppdrag att utföra sådana arbetsuppgifter.
Syftet med bestämmelsen är att bidra till att stärka integritetsskyddet och upprätthålla förtroendet för informationshanteringen i socialtjänsten samt göra det tydligt för den som arbetar i socialtjänsten när man får bereda sig åtkomst till uppgifter i verksamheten. Bestämmelsen kompletteras även av regler om den personuppgiftsansvariges ansvar för tilldelning av behörighet för elektronisk åtkomst till uppgifter om enskilda och om ansvar för kontroll av den åtkomst som har förekommit till uppgifter i verksamheten. Se mer om de förslagen i det följande.
Av betydelse för gällande rätt om inre sekretess är vidare att olovligt intrång och olovligt efterforskande i elektroniska informationssystem kan vara straffbart enligt straffbestämmelser om dataintrång. Den som olovligen bereder sig tillgång till upptagning för automatisk databehandling eller olovligen ändrar eller utplånar eller i register för in sådan upptagning kan enligt 4 kap. 9 § brottsbalken dömas för dataintrång till böter eller fängelse i högst två år. Bestämmelsen är tillämplig då någon använder sig av sin behörighet till åtkomst till ett elektroniskt journalsystem för att läsa uppgifter om en enskilde utan detta behövs från arbetssynpunkt, t.ex. på grund av nyfikenhet.1
24.2.2 Ansvar för att uppgifter är tillgängliga när de behövs
Vårt förslag: I socialtjänstdatalagen ska anges att den som bedriver
verksamhet inom socialtjänsten ska se till att dokumenterade personuppgifter är tillgängliga för den som arbetar i verksamheten när uppgifterna behövs för arbetets utförande.
Själva syftet med att dokumentera handläggningen av ärenden och genomförandet av beslut i socialtjänsten går förlorad om uppgifterna inte finns tillgängliga när det behövs. Därför måste den som bedriver verksamheten vara medveten om detta ansvar och
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
691
arbeta systematiskt med att säkerställa att personuppgifterna finns tillgängliga i verksamheten. Det behöver t.ex. finnas väl utarbetade skydd mot avbrott i systemen, reservplaner och robusta rutiner för tilldelning av behörigheter mm.
Ytterst är det fråga om rättsäkerhet för den enskilde att personal inom socialtjänsten som till exempel fattar beslut eller genomför insatser har tillgängliga och aktuella uppgifter för att kunna utföra insatser inom socialtjänst av god kvalitet. Att ha tillgång till uppdaterade uppgifter om en enskild och övrigt underlag är en förutsättning för att personal ska kunna leva upp till socialtjänstlagens grundläggande krav på att insatserna inom socialtjänsten ska vara av god kvalitet.
Mot denna bakgrund föreslår vi en bestämmelse som uttrycker ansvaret för att rätt information faktiskt finns tillgängliga för rätt personer inom socialtjänsten så att kraven på god kvalitet och rättssäkerhet kan tillgodoses. Utredningen gör bedömningen att det av tydlighetsskäl är nödvändigt att inte enbart uttrycka kraven på integritetsskyddande åtgärder i lagen. Det är viktigt att betona även tillgänglighetsaspekten.
24.2.3 Ansvar för att skydda uppgifterna vid överföring via internet m.m.
Vårt förslag: I socialtjänstdatalagen ska tas in bestämmelser om
att den som bedriver verksamhet inom socialtjänsten ska se till att dokumenterade personuppgifter hanteras och förvaras så att inte obehöriga får tillgång till dem. Om internet eller andra jämförliga nät används för att överföra personuppgifter som behandlas enligt socialtjänstdatalagen, ska den som bedriver verksamhet inom socialtjänsten se till att överföringen görs så att ingen obehörig kan ta del av uppgifterna.
Vi föreslår att det i socialtjänstdatalagen tydligt uttrycks ett ansvar för att inte obehöriga kan ta del av uppgifter om enskilda. Visserligen anges såväl i socialtjänstlagen som i lagen om stöd och service till vissa funktionshindrade krav på att handlingar som rör enskildas personliga förhållanden ska förvaras så att inte obehöriga
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
692
får tillgång till dem.2Vi menar dock att denna princip är så central i en integritetsskyddslagstiftning att den även bör komma till uttryck i socialtjänstdatalagen. Den är även något annorlunda formulerad eftersom bestämmelsen ska tydliggöra ansvaret inte bara för förvaringen av uppgifterna, utan för att uppgifter rent generellt hanteras så att obehöriga inte kan få tillgång till dem.
Ansvaret innebär bl.a. att den som bedriver verksamhet inom socialtjänsten måste se till att de informationssystem som används i verksamheten är skyddade mot obehörig åtkomst och att det finns bra system för tilldelning av behörighet och för åtkomstkontroll. Bestämmelsen syftar till att skydda uppgifterna från otillåten spridning såväl inom som utom verksamheten. Även om uppgifterna finns tillgängliga inom verksamheten så innebär det inte att uppgifterna får användas eller spridas obefogat inom detta område. I linje med det ska den som bedriver verksamhet inom socialtjänsten ge tydliga anvisningar om vilka förväntningar som ställs på personalens hantering av personuppgifter. Det ska vara tydligt för den anställde eller motsvarande vad som ingår i dennes arbetsuppgifter och vilken information som han eller hon förväntas ta del av för att sköta sitt arbete.
Överföring av personuppgifter över internet eller andra jämförliga nät
I dag kommuniceras personuppgifter allt mer över internet eller andra jämförliga nät. Det kan handla både om sådan mer intern informationsöverföring som görs mellan olika kommunala verksamheter inom socialtjänsten och om sådan överföring som görs till mottagare utanför den egna organisationen. Som exempel på det senare kan nämnas sådant informationsutbyte som kan komma att göras mellan kommunens beslutande nämnd och en utförare i enskild verksamhet eller utbyte av information med stöd av de regler om direktåtkomst som föreslås längre fram. Ett annat exempel kan vara överföring av uppgifter om den enskilde till den enskilde själv.
Internet är ett exempel på vad som i allmänhet brukar betraktas som ett öppet nät. Som ett annat sådant exempel anges ofta även Sjunet, vilket är ett nät med många anslutna kunder som exempelvis samtliga landsting, ett antal kommuner, ett antal privata
211 kap. 5 § SoL och 21 a § LSS.
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
693
vårdgivare samt Skatteverket, Apoteket och ett antal leverantörer. Av utredningens förslag följer särskilda krav på säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät. Med andra jämförliga nät avser utredningen sådana öppna nät som kan jämföras med internet. Det finns dock ingen legaldefinition av öppet nät. Datainspektionen har dock i ett ärende uttalat följande av intresse i sammanhanget.3
Avgörande för frågan om ert intranät är ett öppet nät är hur det är konfigurerat, vilka och hur många som trafikerar nätet och kan ta del av resurser anslutna till nätet samt hur god säkerheten i övrigt är för nätverket. Ett öppet nät kan karaktäriseras av att fler än den personuppgiftsansvarige kan ta del av uppgifter som kommuniceras i nätet eller nå resurser som är tillgängliga via det.
Det är enligt vår bedömning inte möjligt att i socialtjänstdatalagen definiera öppna nät eller närmare precisera vad som avses med andra jämförliga nät. Vi bedömer dock att vägledning för tillämpningen kan hämtas ur Datainspektionens uttalande ovan. Den som bedriver verksamhet inom socialtjänsten behöver därför göra en bedömning av om de nät, utöver internet, som används för överföring av personuppgifter är sådana som, exempelvis beroende på hur de är konfigurerade och om flera personuppgiftsansvariga kan ta del av uppgifter som kommuniceras i nätet, är att betrakta som sådana andra jämförliga nät som avses i den föreslagna bestämmelsen.
I jämförelse med helt verksamhetsintern informationshantering, t.ex. på interna nätverk som inte är exponerade mot internet och där inga andra personuppgiftsansvariga använder samma nät, kan särskilda risker uppstå när uppgifter överförs över internet. Av den anledningen är det nödvändigt att vidta särskilda säkerhetsåtgärder för att skydda uppgifterna och minska risken för att obehöriga personer kan få tillgång till informationen. Vid en bedömning av vilka åtgärder som bör vidtas och karaktären på dessa ska bland annat hänsyn tas till hur pass känsliga personuppgifter det rör sig om. Enligt personuppgiftslagen gäller särskilda begränsningar för behandling av s.k. känsliga personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Om sådana personuppgifter överförs via internet
3 Datainspektionen, dnr. 1409-2012.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
694
eller andra jämförliga nät måste den personuppgiftsansvarige vidta särskilda åtgärder för att skydda uppgifterna.
Även andra personuppgifter, som i och för sig inte omfattas av uppräkningen av de s.k. känsliga personuppgifterna i 13 § PUL, kan naturligtvis också vara så integritetskänsliga att även de kräver mer omfattande säkerhetsåtgärder, till exempel uppgifter om lagöverträdelser enligt 21 § PUL. Omständigheter som kan peka på att uppgifterna är mer integritetskänsliga är exempelvis om uppgifterna omfattas av tystnadsplikt eller sekretess, om behandlingen omfattas av en särskild registerlagstiftning eller om uppgifterna rör enskildas personliga förhållanden. Ekonomisk hjälp eller vård inom socialtjänsten är, enligt allmänna råd från Datainspektionen, exempel på personuppgifter som normalt sett är att anse som känsliga.4
Mot bakgrunden av ovanstående kan konstateras att uppgifter inom socialtjänsten många gånger är att betrakta som känsliga enligt 13 § PUL, exempelvis om de rör enskildas hälsa. Vidare konstateras att uppgifter i socialtjänsten, för det fall uppgifterna inte är att betrakta som känsliga i personuppgiftslagens mening, åtminstone är av sådan integritetskänslig karaktär att de ska omfattas av särskilda säkerhetsåtgärder vid överföring över internet eller andra jämförliga nät. Utredningens bedömning är således att personuppgifter som behandlas enligt socialtjänstdatalagen är så pass integritetskänsliga att de, med avseende på säkerhetsåtgärder vid kommunikation över internet, bör skyddas på samma sätt alldeles oavsett om personuppgifterna är sådana som avses i 13 § PUL eller inte.
När det gäller de närmare kraven på säkerhetsåtgärder har Datainspektionen i sin tillämpning av 31 § PUL sedan länge slagit fast att känsliga personuppgifter får lämnas ut via öppna nät (t.ex. internet) endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering (t.ex. e-legitimation), engångslösenord eller motsvarande. I praxis har även termen stark autentisering använts för att beskriva detta. Dessutom ska, enligt samma praxis, känsliga personuppgifter vara krypterade vid överföring.
För socialtjänstens del finns i dag ingen särskild bestämmelse om säkerhet vid behandling av personuppgifter, vilket innebär att
4 Datainspektionens allmänna råd, Säkerhet för personuppgifter (2008), s. 18.
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
695
det är bestämmelserna i personuppgiftslagen som gäller. Av dessa bestämmelser framgår inte uttryckligen vilka säkerhetsåtgärder eller vilken säkerhetsnivå som ska uppnås i olika situationer, utan det framgår i allt väsentligt av Datainspektionens praxis. Utredningen bedömer att detta är en inte helt tillfredsställande lösning med avseende på den omfattande behandlingen av integritetskänsliga personuppgifter som görs inom socialtjänsten. Vidare är utredningens utgångspunkt att socialtjänstdatalagen ska vara så uttömmande som möjligt ifråga om de integritetsskydds-bestämmelser som det bedöms finnas särskilt behov av för socialtjänstens del. Därför anser vi att det i socialtjänstdatalagen bör tas in en grundläggande bestämmelse som tydliggör kravet på särskilda säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät.
I sammanhanget kan noteras att det för hälso- och sjukvårdens del finns motsvarande bestämmelser i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring. Av 2 kap. 5 § nämnda föreskrifter följer att vårdgivare som använder öppna nät för att hantera patientuppgifter ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att överföringen av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna och att åtkomst till patientuppgifter föregås av stark autentisering.
Sammantaget föreslår utredningen således att det i socialtjänstdatalagen ska tas in en bestämmelse som tydliggör kraven på säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät. Om den som bedriver verksamhet inom socialtjänsten använder internet eller andra jämförliga nät för att överföra personuppgifter som behandlas enligt socialtjänstdatalagen, ska denne se till att överföringen görs så att ingen obehörig kan ta del av uppgifterna. Det innebär i praktiken att uppgifterna måste överföras genom en krypterad förbindelse eller genom att uppgifterna i sig krypteras.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
696
24.2.4 Ansvar för informationssystemens utformning
Vårt förslag: I socialtjänstdatalagen ska anges att den som
bedriver verksamhet inom socialtjänsten ska se till att de informationssystem som innehåller personuppgifter är lätta att använda, stödjer arbete i socialtjänsten, underlättar arbetet med kvalitetsutveckling, underlättar samverkan och utbyte av uppgifter samt är utformade på sådant sätt att de enskildas integritetsskydd tillgodoses.
Den som bedriver verksamhet inom socialtjänsten har ett yttersta ansvar för informationshanteringen och för verksamheten som helhet. Enligt 3 kap. 3 § SoL ska insatser inom socialtjänsten vara av god kvalitet och för utförande av uppgifter inom socialtjänsten ska det finnas personal med lämplig utbildning och erfarenhet. Kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras (tredje stycket ovan nämnda paragraf). Motsvarande bestämmelser finns även i 6 § LSS.
Den som bedriver verksamhet inom socialtjänsten är således skyldig att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. I Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete finns bestämmelser om hur detta kvalitetsarbete ska bedrivas. Tanken är att det som bedriver verksamhet inom socialtjänsten med hjälp av processer och rutiner samt ett systematiskt förbättringsarbete ska uppnå kvalitet i verksamheten. Det systematiska förbättringsarbetet ska bestå av riskanalys, egenkontroll och hantering av avvikelser.
Som utredningen tidigare har konstaterat har den tekniska utvecklingen i vissa delar inte kommit lika långt inom socialtjänsten som inom hälso- och sjukvården och att det fortfarande förekommer en del manuell informationshantering inom socialtjänsten. Utredningens bedömning är dock att det pågår en hel del utvecklingsarbeten för att förbättra informationshanteringen. I många kommuner och hos enskilda utövare av socialtjänst finns ett it-stöd för den dokumentation som görs inom verksamheten. Ett informationssystem bör stödja yrkesutövaren i arbetssituationen. Systemet bör t.ex. underlätta för yrkesutövaren att göra rätt och förhindra att fel görs både i systemet och vid utförandet av insatserna inom socialtjänsten. Ett användarvänligt informationssystem
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
697
kan öka kvaliteten för enskilda och för personal samt minska kostnaderna för den som bedriver verksamhet inom socialtjänsten.
Vi föreslår en bestämmelse som konkretiserar några av de grundläggande krav som måste ställas på ett informationssystem som innehåller personuppgifter och som ska användas inom socialtjänsten. Den som bedriver verksamhet inom socialtjänsten ansvarar för att insatser inom socialtjänsten är av god kvalitet och för hanteringen av personuppgifter i verksamheten. I detta ligger även ett ansvar för att ställa krav på och i förekommande fall upphandla informationssystem som är ändamålsenliga, säkra och kan användas som stöd i arbetet.
Vi föreslår att bestämmelsen ställer ett uttryckligt krav på att den som bedriver verksamhet inom socialtjänsten ska se till att de informationssystem som innehåller personuppgifter är lätta att använda och är ett stöd i det dagliga arbetet. Detta krav finns även uttryckt som ett av målen för Nationell Ehälsa.5
Vård- och omsorgspersonal ska ha tillgång till välfungerande och samverkande elektroniska beslutsstöd som säkerställer en hög kvalitet och säkerhet samtidigt som det underlättar deras dagliga arbete. Nödvändig och strukturerad information ska finnas tillgänglig som underlag för beslut om insatser och behandlingar.
Vi föreslår också att bestämmelsen ska omfatta krav på den som bedriver verksamhet inom socialtjänsten att se till att informationssystemen underlättar kvalitetetsarbetet. Att ta del av personuppgifter för att säkra och följa upp resultatet av insatser inom socialtjänsten är endast en av många saker som görs inom ramen för det systematiska kvalitetsarbetet. I avsnitt 28 ger vi en samlad bild av hur våra förslag sammantaget ökar möjligheterna att bedriva ett ändamålsenligt kvalitetsarbete. En av flera förutsättningar för att kunna ta tillvara de möjligheterna handlar om informationssystemens utformning. Enligt utredningens bedömning bör informationssystemen bland annat vara uppbyggda så att det är möjligt att använda personuppgifter för att fortlöpande och systematiskt utveckla och säkra kvaliteten i verksamheten. Vi vill i sammanhanget även poängtera vikten av att informationssystemen utformas på ett sådant sätt att den enskildes behov av integritetsskydd tas tillvara vid kvalitetsarbetet. Bland annat måste den som
5 Nationell eHälsa 2010 – strategin för tillgänglig och säker information inom vård och omsorg.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
698
bedriver verksamhet inom socialtjänsten verka för att inte fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet används vid kvalitetsarbetet. Informationssystemen kan därför, bland annat, behöva utformas så att användaren inte exponeras för fler personuppgifter än vad som är nödvändigt och att sammanställningar och andra underlag som tas fram vid kvalitetsarbetet inte innehåller personuppgifter som är direkt hänförliga till enskilda individer.
Vi föreslår även att den som bedriver verksamhet inom socialtjänsten ska ansvara för att systemen möjliggör samverkan med andra enheter och verksamheter och andra som bedriver verksamhet inom socialtjänsten samt möjliggör utbyte av uppgifter. För att lyckas med detta måste den som bedriver verksamhet inom socialtjänsten arbeta med informationssystemens struktur och innehåll. Stöd i detta arbete kan exempelvis hämtas från Socialstyrelsens arbete med en nationell informationsstruktur och ett nationellt fackspråk.
Vidare innebär det övergripande ansvaret för de informationssystem som innehåller personuppgifter, enligt utredningens förslag, ett krav på att utforma systemen på ett sådant sätt att integritetsskyddet tillgodoses. Att direkt i verksamhetssystemen bygga in integritetsskyddande funktioner som för personalen gör det lätt att göra rätt och svårt att göra fel, har stora fördelar. Att implementera integritetsskydd i teknik ger ökade förutsättningar för ett starkt integritetsskydd. Bestämmelsen uttrycker ett samlat ansvar för den som bedriver verksamhet inom socialtjänsten för flera aspekter av informationssäkerhet vid behandlingen av personuppgifter i socialtjänsten. Det är alltså ett ansvar för att lagens intentioner kan genomföras.
24.2.5 Ansvar för behörighetstilldelning
Vårt förslag: I socialtjänstdatalagen ska anges att den som bedriver
verksamhet inom socialtjänsten ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till personuppgifter. Behörigheten ska anpassas och begränsas till vad som behövs för att den som arbetar i socialtjänsten ska kunna fullgöra sina arbetsuppgifter. Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om tilldelning av behörigheter.
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
699
På socialtjänstens område saknas i dag uttryckliga bestämmelser om krav på styrning av behörighet och kontroll av åtkomst till uppgifter. Enligt utredningens bedömning är det en brist, inte minst mot bakgrund av att socialtjänsten är en verksamhet med en omfattande hantering av integritetskänsliga personuppgifter.
Behörighetsstyrning av elektronisk åtkomst till personuppgifter inom socialtjänsten regleras för närvarande av säkerhetsbestämmelserna i 31 § PUL. Den bestämmelsen anger dock endast de generella och övergripande kraven på säkerhetsåtgärder. Vad som gäller för behörighetsstyrning anges inte heller uttryckligen i personuppgiftslagen, utan detta område har framför allt fått sin tydlighet genom praxis och vägledande uttalanden från Datainspektionen. Tilldelade behörigheter ska enligt etablerad praxis motsvara befattningshavarens aktuella arbetsuppgifter. Det behövs därför väl avpassade rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter. 6
För att ytterligare stärka individens behov av integritetsskydd anser utredningen att starka skäl talar för att införa författningsbestämmelser för behörighetsstyrning och åtkomstkontroll i den nya socialtjänstdatalagen. Sådana bestämmelser saknas i dag och skulle bidra till att tydliggöra kraven och därigenom stärka integritetsskyddet samt upprätthålla förtroendet för informationshanteringen i socialtjänsten.
Behörighet för åtkomst är en användares faktiska möjligheter att ta del av uppgifter exempelvis i socialtjänstens verksamhetssystem. Behörighetsstyrningen är de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete. Den som arbetar inom socialtjänsten ska tilldelas en individuell behörighet för åtkomst till uppgifter om enskilda. Behörigheten för åtkomst till uppgifter ska vara anpassad efter den anställdes behov av uppgifter för att kunna utföra sitt arbete. Det innebär exempelvis att olika personalkategorier m.m. behöver ha olika behörigheter för elektronisk åtkomst till uppgifter om enskilda. Sådana uppgifter som en anställd eller motsvarande över huvud taget inte har behov av att ta del av för att kunna utföra sitt arbete ska i normala fall inte heller vara elektroniskt tillgängliga för den anställde. Behörigheten
6 Datainspektionens beslut den 7 december 2011, dnr 876-2010.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
700
handlar därmed om den tekniska möjlighet en anställd har att ta del av uppgifter. Den föreslagna bestämmelsen kompletterar bestämmelsen om inre sekretess, som utredningen också föreslår.
I verksamheter som hanterar en stor mängd mycket integritetskänsliga uppgifter, som socialtjänsten, ställs stora krav på en ändamålsenlig behörighetsstyrning. Även om det vid behörighetsstyrning kan vara svårt att vid varje givet tillfälle uppnå ett exakt förhållande mellan en användares behov och en användares tekniska möjligheter att ta del av uppgifter, måste ambitionen hos den som bedriver verksamheten vara att komma så nära som möjligt. Samtidigt är det viktigt att inte behörigheten blir för snäv och på så sätt bidrar till att uppgifter inte är tillgängliga för användaren när det behövs. Behörighetsstyrningen behöver därför innehålla moment av både risk- och behovsanalys.
Det är inte endast användarens behörighet för åtkomst till uppgifter som avgör vad som är tillåtet i enskilda fall. Behörigheten anger generellt endast vad användaren kan göra, dvs. vilka tekniska möjligheter användaren har att ta del av uppgifter. För att en användare ska få ta del av uppgifter krävs dessutom att han eller hon har behov av de aktuella uppgifterna för att kunna utföra sitt arbete. Ju vidare användarnas behörigheter är, desto större blir skillnaden mellan vad användarna kan göra och vad de får göra. En sådan situation ställer stora krav på olika former av integritetsskyddande åtgärder som verkar både preventivt och reaktivt. Det handlar exempelvis om kontinuerlig information till användarna om vilka förväntningar ledningen har på hur uppgifter ska användas i verksamheten, om vad som är tillåtet och inte m.m. Ytterligare en viktig åtgärd är det som föreslås i det följande, dvs. systematiska och fortlöpande kontroller av användarna åtkomst till uppgifter om enskilda.
Vidare bedömer utredningen att närmare föreskrifter om behörighetsstyrning med fördel ska meddelas på myndighetsnivå. Utredningen förutsätter att det är Socialstyrelsen som meddelar dessa föreskrifter efter samråd med Datainspektionen.
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
701
24.2.6 Ansvar för kontroll av elektronisk åtkomst
Vårt förslag: I lagen ska det anges att den som bedriver verk-
samhet inom socialtjänsten ska se till att åtkomst till uppgifter om enskilda som förs helt eller delvis automatiserat dokumenteras och att systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna utförs. Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om dokumentation och kontroll av åtkomst.
Precis som när det gäller frågan om behörighetsstyrning, saknas i dagsläget uttryckliga bestämmelser inom socialtjänstens område som tydliggör kravet på kontroll av den åtkomst till uppgifter som förekommit i verksamheten. Samtidigt får det av Datainspektionens praxis vid tillämpningen av 31 § PUL redan i dag anses följa ett krav på den som bedriver verksamhet inom socialtjänsten att logga åtkomsten till uppgifter och att kontrollera om obehörig åtkomst har ägt rum.
Utredningen bedömer dock att det inte är en helt tillfredsställande lösning att kraven på spårbarhet och åtkomstkontroll för socialtjänstens del endast framgår av Datainspektionens praxis. Dessa krav är enligt vår bedömning så pass grundläggande att de bör regleras uttryckligen i den föreslagna socialtjänstdatalagen. I lagen bör därför införas bestämmelser som ställer krav på att de anställdas åtkomst till uppgifter om enskilda dokumenteras (loggas). Det som bedriver verksamhet inom socialtjänsten ska även säkerställa att det görs systematiska och återkommande kontroller av om obehörig åtkomst har förekommit. Vidare ska regeringen eller den myndighet regeringen bestämmer få meddela närmare föreskrifter om dokumentation och kontroll av åtkomst. Som jämförelse kan nämnas att det i patientdatalagen finns motsvarande reglering för hälso- och sjukvårdens del.
Dokumentation av åtkomsten (behandlingshistorik)
En förutsättning för att över huvud taget kunna kontrollera om någon obehörig har tagit del av uppgifter om enskilda är att åtkomsten till uppgifter dokumenteras, dvs. loggas. Loggen bildar därmed den behandlingshistorisk som behövs för att kunna ta ställning till om en otillåten åtkomst har ägt rum. Av behandlingshistoriken måste det
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
702
därför gå att utläsa den information som behövs för att historiken ska kunna ligga till grund för den systematiska och återkommande kontrollen av obehörig åtkomst.
Enligt vår uppfattning är det inte lämpligt att i lag slå fast exakt vad som ska loggas för att kontrollen ska kunna bedrivas på ett ändamålsenligt sätt. Normalt brukar anföras att en logg åtminstone ska kunna svara på vilken användare som tagit del av uppgifter, vilken individs uppgifter det rör, vilka åtgärder som vidtogs med uppgifterna samt vid vilken tidpunkt uppgifterna användes. Utredningen bedömer dock att närmare föreskrifter om dokumentation av åtkomst och åtkomstkontroll med fördel meddelas på myndighetsnivå och att det ska vara Socialstyrelsen som meddelar dessa föreskrifter efter samråd med Datainspektionen. För hälso- och sjukvårdens del återfinns bestämmelser om detta exempelvis i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.
Åtkomstkontroll
Enligt utredningens förslag ska den som bedriver verksamhet inom socialtjänsten genomföra systematiska och återkommande kontroller av om någon obehörigen kommit åt uppgifter om enskilda. Det räcker därmed inte att göra kontroller vid särskilda fall när obehörig åtkomst misstänkts, utan kontrollerna ska göras systematiskt och återkommande. Genom att införa en bestämmelse i socialtjänstdatalagen tydliggörs detta ansvar.
För hälso- och sjukvårdens del har kraven på åtkomstkontroll delvis gett upphov till en osäkerhet kring vad en vårdgivare bör tänka på när denne utformar sina närmare riktlinjer för den systematiska logguppföljningen. Bland annat av den anledningen har Datainspektionen tagit fram en checklista som sammanfattar ett antal grundläggande principer som kan vara vägledande för den systematiska uppföljningen. Utredningen bedömer att checklistan, i tillämpliga delar, med fördel även kan användas av den som bedriver verksamhet inom socialtjänsten. Av checklistan framgår bland annat följande.7
7 Datainspektionen, Checklista för hälso- och sjukvården, Systematisk logguppföljning.
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
703
• Informera personalen om att logguppföljning görs. Det har en preventiv effekt. Personalen behöver informeras om det egna ansvaret, det vill säga under vilka omständigheter de får ta del av uppgifter och om följderna av att olovligen ta del av uppgifter.
• Gå igenom de krav som ställs på loggarna och kontrollera att de tekniska förutsättningarna för åtkomstkontroll finns.
• Bestäm urval och omfattning och utforma en verkningsfull rutin.
• Följ rutinen och dokumentera resultatet av granskningen.
• Utvärdera och utveckla rutinen.
I checklistan förmedlar Datainspektionen även det viktiga budskapet att det inte endast är antalet loggkontroller som avgör hur verkningsfullt arbetet med åtkomstkontroll är. I linje med Datainspektionens uttalande nedan anser utredningen att även socialtjänstens aktörer behöver analysera de närmare förutsättningarna för verksamheten och utforma en rutin för logguppföljning som bedöms verkningsfull för den enskilda verksamheten. I dag finns även tekniska hjälpmedel i form av olika logganalysverktyg som kan underlätta åtkomstkontrollen.
Bestäm med vilken omfattning (antal och tidsintervall) logguppföljningen ska ske. Eftersom det inte enbart är antalet loggposter vid logguppföljningen som avgör om kontrollen blir verkningsfull, finns det inget generellt svar på hur många loggposter som bör granskas vid varje tillfälle. Varje vårdgivare måste ta hänsyn till verksamhetens omfattning (antalet patienter och personal med behörighet) samt vilket urval och vilken systematik som används vid uppföljningen.
Utöver ovanstående bedömer utredningen att den enskildes tillgång till loggar, t.ex. via internet, om den åtkomst som har förekommit till uppgifter om den enskilde själv, kan vara ett komplement till den personuppgiftsansvariges arbete med åtkomstkontroller. Sådan tillgång för den enskilde förändrar dock inte det rättsliga ansvar för åtkomstkontrollen som följer av utredningens förslag.
705
25 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
25.1 Bakgrund
Dagens utveckling med ökad mångfald av aktörer i socialtjänst och hälso- och sjukvård, ökade krav på samverkan och ökad patient- och brukarrörlighet har medfört nya behov av att samarbeta i frågor som innefattar behandling av personuppgifter. Vårdgivare i hälso- och sjukvården och utförare i socialtjänsten kan inte på samma sätt som tidigare arrangera sin personuppgiftsbehandling utan att reflektera över eventuella behov av samverkan för att kunna leverera en jämlik hälso- och sjukvård och socialtjänst m.m.
För socialtjänstens del har utvecklingen bland annat medfört konkreta samarbeten och gemensamma utvecklingsprojekt på lokal, regional och nationell nivå. Inte sällan handlar det om att gemensamt använda system och tekniska lösningar som tagits fram tillsammans eller av en aktör, som sedan låter övriga använda den framtagna lösningen. Det kan vara fråga både om personuppgiftsbehandling som görs i socialtjänstens kärnverksamhet, t.ex. vid genomförandet av insatser, eller sådan personuppgiftsbehandling som görs i kontakter med invånare.
Ett ytterligare exempel på gemensamma lösningar är framväxten av regionala och nationella tjänsteplattformar för att kunna hantera och utbyta information. En tjänsteplattform förenklar, säkrar och effektiviserar integrationen mellan olika it-system inom socialtjänsten. Varje tjänst som vill ansluta sig till en viss tjänsteplattform följer så kallade tjänstekontrakt som specificerar regelverket för hur informationsöverföringen ska gå till mellan de olika systemen och tjänsterna. När ett system försöker kontakta ett annat går denna kommunikation inte direkt mellan systemen utan i stället
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
706
genom tjänsteplattformen, som sin tur dirigerar meddelandet vidare till rätt tjänst hos exempelvis den som bedriver verksamhet inom socialtjänsten. Något förenklat kan plattformen sägas utgöra navet mellan olika tjänster och system och vara en förutsättning för att möta de skiftande behov av informationsöverföring som finns. Ett syfte med en tjänsteplattform är att förhindra den komplexitet som en s.k. punkt-till-punktintegration av system medför.
Ett annat exempel som kan nämnas är projektet Effektiv informationsförsörjning, EIF. Projektet drivs av Centrala studiestödsnämnden på uppdrag av E-delegationen och genomförs i samverkan mellan Sveriges Kommuner och Landsting, Försäkringskassan, Arbetsförmedlingen, Centrala studiestödsnämnden, Skatteverket, Pensionsmyndigheten och Arbetslöshetskassornas samarbetsorganisation. Syftet är att bygga en tjänst som möjliggör för kommuner att via sina verksamhetssystem elektroniskt inhämta information från flera myndigheter samt Arbetslöshetskassornas samarbetsorganisation. Det kan därmed liknas vid en tjänsteplattform med ett gemensamt regelverk som gör att samtliga kommuner kan inhämta information från dessa olika myndigheter och organisationer på ett strukturerat och likartat sätt.
På den nationella arenan finns alltså flera olika aktörerer som på många olika sätt deltar i utvecklingsarbeten som inbegriper behandling av personuppgifter. Dessa aktörer kan vara kommuner, landsting, myndigheter, leverantörer, intresseorganisationer, samverkansorgan m.fl. Sammantaget utkristalliseras en komplex bild där det inte alltid är enkelt att bedöma vem som ansvarar för vad eller vem som har befogenhet eller faktiska möjligheter att vidta åtgärder i fråga om personuppgiftsbehandling. De samarbeten rörande informationshantering som i dag finns och kontinuerligt utvecklas inom ramen för regionala och nationella utvecklingsarbeten väcker därför nya frågor relaterat till ansvaret för behandlingen av de personuppgifter som hanteras i de gemensamma lösningarna. Genom att gemensamma lösningar skapas uppkommer ett behov av att identifiera ansvaret för funktioner och åtgärder som utgör själva basen för den gemensamma personuppgiftsbehandlingen och som alla inblandade är beroende av och behöver rätta sig efter.
Frågor om hur personuppgiftsansvaret fördelas vid samverkan mellan olika aktörer är ingalunda ny, även om den har en helt annan aktualitet i dag jämfört med tidigare. Nu står vi för en utveckling där hundratals och kanske så småningom tusentals aktörer inom
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
707
socialtjänsten kan komma att samverka kring gemensamma lösningar för att ta del av personuppgifter hos centrala myndigheter eller för att utbyta uppgifter med varandra eller för att göra uppgifter från socialtjänsten tillgängliga över internet för invånare. Det kan inte heller uteslutas att en rad nya områden och utvecklingsarbeten initieras där frågor om personuppgiftsansvarets fördelning blir aktuella.
Förutom nya utmaningar vad gäller att fastställa omfattning och innebörd av personuppgiftsansvar i olika delar, uppstår vid många samarbeten även ett grundläggande behov av att gemensamt fastställa hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Det kan handla om sådant som att komma överens om vilka säkerhetslösningar som ska användas för att obehöriga inte kan komma åt personuppgifter eller hur incidenter och avvikelser ska hanteras. Vidare uppstår ett behov av att fastställa krav och nivåer för grundläggande informationssäkerhetsaspekter som tillgänglighet, riktighet, konfidentialitet och spårbarhet. Ytterst handlar det om att vidta gemensamma åtgärder för att skydda personuppgifterna och försäkra sig om att rätt uppgifter finns på rätt plats i rätt tid.
25.1.1 Vårt uppdrag m.m.
I utredningens uppdrag ingår att utreda hur personuppgiftsansvaret bör regleras i framtiden samt vid behov lämna förslag på sådan reglering. Tidigare har vi redovisat för vårt förslag att i socialtjänstdatalagen införa bestämmelser om personuppgiftsansvar. Enligt den grundläggande bestämmelse som föreslås ska den som bedriver verksamhet inom socialtjänsten vara personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som utförs i dess verksamhet. Av bestämmelsen följer vidare att i en kommun är varje myndighet som bedriver socialtjänst personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Det kan utöver detta finnas anledning att ytterligare överväga frågor om personuppgiftsansvar och skydd för personuppgifter i en ny tid när allt fler aktörer samverkar kring behandling av personuppgifter i socialtjänsten. En central fråga är om det i vissa samarbeten kan, vid en analys av de faktiska omständigheterna, fastställas att en av de samverkande aktörerna har ett personuppgifts-
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
708
ansvar för övergripande frågor om tekniska och organisatoriska säkerhetåtgärder.
Vi har på hälso- och sjukvårdens område lämnat en närmare och mer omfattande redogörelse för frågor om personuppgiftsansvar och skydd för personuppgifter vid samverkan mellan flera personuppgiftsansvariga. I avsnitt 10 finns redovisningar av gällande rätt, vägledningar från tidigare utredningar och exempel från Datainspektionens tillsyn. De beskrivningar som ges i det avsnittet har även grundläggande relevans för våra bedömningar i samma fråga på socialtjänstens område. I stället för att i detta sammanhang upprepa bakgrunds- och problembeskrivningen m.m. hänvisar vi i stället till vad som anges i det avsnittet.
25.2 Våra överväganden och förslag
25.2.1 Krav på risk- och sårbarhetsanalys, överenskommelse och tydliggörande av personuppgiftsansvar
Vårt förslag: I socialtjänstdatalagen ska anges att den som
bedriver verksamhet inom socialtjänst och som medger andra som bedriver sådan verksamhet direktåtkomst eller på annat sätt samarbetar vid behandling av personuppgifter, ska göra en risk- och sårbarhetsanalys och komma överens med de andra om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Detta ska göras innan samarbetet inleds. Av överenskommelsen ska även framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.
Krav på risk- och sårbarhetsanalys och överenskommelse avseende informationssäkerhet och skyddet för personuppgifterna
När flera personuppgiftsansvariga samverkar vid behandling av personuppgifter uppstår ett behov av att gemensamt komma överens om de närmare villkoren för samarbetet. Ett sådant behov finns inte minst med avseende på skyddet för personuppgifterna. Tidigare har vi bland annat redogjort för vårt förslag om möjligheter till direktåtkomst mellan olika utförare i socialtjänsten samt motsvarande möjligheter för myndigheter inom socialtjänsten i
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
709
samma kommun. Inte minst vid sådana samarbeten där personuppgifter lämnas ut genom direktåtkomst är det nödvändigt att vidta åtgärder för att säkra skyddet av personuppgifterna.
Utförare i socialtjänsten som exempelvis lämnar ut personuppgifter genom direktåtkomst har ett självklart intresse av att skyddet för personuppgifterna garanteras hos mottagande utförare och att denne har förutsättningar för att behandla personuppgifter på ett sätt som stämmer överens med integritetsskyddsbestämmelserna.
För samverkande aktörer inom socialtjänst handlar det bland annat om att se till att informationssäkerheten anpassas till legala krav i socialtjänstdatalagen, men även till exempelvis offentlighets- och sekretesslagen (2009:400), arkivlagen (1990:782) och socialtjänstlagen (2001:453). Den nuvarande lagstiftningen ställer inga uttryckliga krav på de samverkande personuppgiftsansvariga att genom avtal eller annan överenskommelse ange de närmare villkoren för samarbetet och hur de legala kraven ska tillgodoses.
Enligt vår bedömning riskerar avsaknaden av krav på överenskommelse att medföra att personuppgiftsansvariga inte säkerställer hur samarbetet ska bedrivas för att informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Mot den bakgrunden föreslår vi att socialtjänstdatalagen ska innehålla uttryckliga krav på överenskommelser i dessa avseenden. Personuppgiftsansvarig som medger andra direktåtkomst eller på annat sätt samarbetar vid behandling av personuppgifter ska därför komma överens med andra personuppgiftsansvariga hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Som exempel på andra situationer än direktåtkomst, där samarbetet kan sägas innebära ett gemensamt tillvägagångssätt för behandling av personuppgifter, avses exempelvis de utvecklingsarbeten som bedrivs inom nationell e-hälsa. I det föregående har exempelvis nämnts sådan personuppgiftsbehandling som utförs inom ramen för utlämnanden genom direktåtkomst till enskilda eller grundläggande funktioner som regionala eller nationella tjänsteplattformar.
Överenskommelsen mellan de personuppgiftsansvariga ska, enligt utredningens förslag, föregås av en risk- och sårbarhetsanalys rörande de samverkande aktörernas organisatoriska och tekniska förutsättningar att skydda personuppgifterna. Risk- och sårbarhetsanalysen ska därmed utgöra en grund för överenskommelsens innehåll och omfattning. Därutöver kan risk- och sårbarhetsanalysen även resultera i att en av aktörerna, eller de samverkande
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
710
aktörerna tillsammans, kan behöva vidta åtgärder innan uppgifter lämnas ut genom direktåtkomst eller innan annat samarbete avseende behandling av personuppgifter inleds. Om risk- och sårbarhetsanalysen exempelvis visar att någon av de samverkande aktörerna saknar väsentliga förutsättningar att skydda personuppgifterna i enlighet med de krav på informationssäkerhet och integritetsskydd som ställs vid behandling av så pass känsliga personuppgifter det här är fråga om, ska dessa brister avhjälpas innan exempelvis utlämnande genom direktåtkomst får medges. I risk- och sårbarhetsanalysen bör bland annat ingå frågor om de samverkande aktörernas förutsättningar att leva upp till socialtjänstdatalagens krav på behörighetsstyrning och åtkomstkontroll. Den som bedriver verksamhet inom socialtjänsten ska göra risk- och sårbarhetsanalysen och överenskommelsen innan samarbetet med de andra aktörerna inleds.
Hur överenskommelsen ska tecknas är upp till parterna att avgöra. Allt för detaljerade anvisningar från lagstiftarens sida riskerar att låsa in socialtjänstens aktörer i lösningar som inte är tillräckligt flexibla med hänsyn till den komplexa situation och de olika slags samarbeten som det kan vara fråga om. Det finns inget som hindrar att överenskommelsen utgörs av en kombination av flera olika åtgärder, t.ex. ett anslutningsavtal som i vissa delar kompletteras av att parterna ansluter sig till ett eller flera utpekade regelverk för informationssäkerhet. Begreppet överenskommelse ska därmed ges en vidsträckt innebörd. Det handlar enligt vår bedömning inte i första hand om hur överenskommelsen rent formellt konstrueras utan fokus bör i stället sättas på frågorna i sak, dvs. hur en tillfredsställande informationssäkerhet och hur skyddet för personuppgifterna ska tillgodoses.
I sammanhanget kan nämnas att Myndigheten för samhällsskydd och beredskap, MSB, tillsammans med några andra myndigheter har formulerat en strategi för ökad informationssäkerhet i vård och omsorg. Syftet med strategin är att skapa förutsättningar för att vård och omsorg ska kunna bedrivas med rätt nivå av informationssäkerhet för att kunna tillgodose medborgare, patienters och samhällets behov av insyn, delaktighet, patientsäkerhet och personlig integritet. Strategin ska ge stöd för att hantera de nya risker som inte enbart kan åtgärdas av de enskilda sjukvårdshuvudmännen.1Om den strategin så småningom utmynnar i ett
1 Myndigheten för samhällsskydd och beredskap, 2012-06-20, Strategi för stärkt informationssäkerhet inom vård och omsorg.
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
711
förslag till ett mer detaljerat regelverk skulle det kunna vara ett exempel på ett sådant gemensamt regelverk som de som bedriver socialtjänst och andra aktörer kan ansluta sig till.
Det är i detta sammanhang inte möjligt att uttömmande ange vad en överenskommelse enligt vårt förslag ska innehålla, eftersom de samarbeten som här avses kan visa upp betydande skillnader i omfattning och innebörd. Syftet är att överenskommelsen ska omfatta samtliga områden som behövs för att skydda personuppgifterna och de olika former av resurser som används för att behandla personuppgifter samt det som behövs för att se till att personuppgiftsbehandlingen kan bedrivas på ett sätt som upprätthåller en god och säker vård. På en övergripande nivå berör det grundläggande informationssäkerhetsaspekter som tillgänglighet, riktighet, konfidentialitet och spårbarhet.
Den överenskommelse som här avses kan, för det fall det är lämpligt, även innefatta hur vissa av de registrerades rättigheter ska kunna tillgodoses i praktiken. Det kan exempelvis handla om sådant som var den enskilde vänder sig för att, om det är tillämpligt, få ett loggutdrag över den åtkomst som har förekommit till patientens uppgifter. I stället för att den enskilde exempelvis ska behöva vända sig flera av de inblandade utförarna i socialtjänsten kan det finnas skäl för dessa att komma överens om och praktiskt arrangera det på sådant sätt att den enskilde endast behöver vända sig till en aktör för att få loggutdraget. En sådan insats behöver naturligtvis inte administreras av de inblandade aktörerna, utan kan mycket väl skötas ett personuppgiftsbiträde. Vidare kan överenskommelsen även reglera hur och till vem de registrerade ska vända sig med frågor, synpunkter eller klagomål. En enskilds möjligheter att ta till vara sina rättigheter underlättas om det är tydligt vem han eller hon ska vända sig till med krav eller klagomål, t.ex. för det fall bristfällig information lämnats om vem som är personuppgiftsansvarig för behandling av personuppgifter som avser honom eller henne.
Att i lagen ställa krav på överenskommelse mellan de som bedriver verksamhet inom socialtjänst bidrar enligt vår bedömning till en förstärkning av integritetsskyddet och till en uppmärksamhet kring grundläggande informationssäkerhetsfrågor. För ett sådant samhällsviktigt område som socialtjänsten är informationssäkerheten en grundläggande förutsättning för att kärnverksamheten ska kunna fungera optimalt och på ett sätt som reducerar säkerhetsrisker som kan medföra negativa konsekvenser
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
712
för enskilda. Medborgare ska kunna känna trygghet och förtroende för att informationshanteringen utformas på ett sådant sätt att behovet av integritetsskydd förenas med möjligheterna att ge en rättssäker socialtjänst av god kvalitet, oavsett vilken av de inblandade aktörerna som den enskilde möter.
Kravet på överenskommelse innebär att samverkande aktörer, innan det faktiska samarbetet avseende behandlingen av personuppgifter inleds, behöver arbeta aktivt tillsammans för att identifiera vad överenskommelsen behöver innehålla för att informationssäkerheten och skyddet för den personliga integriteten ska kunna tillgodoses. För tillsynsmyndigheten blir det förhoppningsvis även, till skillnad från i dag, ett underlag för att mer effektivt kunna bedöma reella integritetsskyddsrisker och vidtagna åtgärder i sådana samarbeten inom socialtjänsten. Det bidrar även till att upprätthålla förtroendet för socialtjänstens informationshantering och reducera riskerna för sådana omotiverade och ofrivilliga integritetsförluster som annars kan uppstå om ett gemensamt grepp över dessa frågor saknas.
Ett tydligt tillämpningsområde för den föreslagna bestämmelsen är de samarbeten som förekommer på lokal och regional nivå när olika utförare utbyter personuppgifter genom direktåtkomst. De som bedriver socialtjänst har därför ett ansvar för att inte lämna ut uppgifter genom direktåtkomst till varandra om inte en sådan överenskommelse finns.
Ett tydliggörande av personuppgiftsansvaret
Generellt bedömer vi att det för skyddet av den enskildes personliga integritet finns starka skäl för att tydliggöra ansvaret för övergripande tekniska och organisatoriska åtgärder i sådana samarbeten där flera aktörer använder samma lösningar för att bland annat behandla personuppgifter. Förutom att det blir tydligt för den enskilde vilken aktör som den enskilde ska vända sig till i övergripande frågor, blir ansvaret även tydligt för de inblandade aktörerna själva. I dag kan detta ansvar ibland vara höljt i dunkel. Inte minst i sådana samarbeten där hundratals aktörer samverkar. Ett tydliggörande av personuppgiftsansvarets fördelning kan bland annat leda till att det fastställs att samtliga inblandade tillsammans har personuppgiftsansvar för övergripande säkerhetsåtgärder, men det kan även innebära att en eller ett fåtal av aktörerna anses ha
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
713
detta ansvar. Enligt utredningens uppfattning borde det senare, mot bakgrund av de faktiska omständigheterna inte vara en alltför ovanlig situation i de samarbeten som det kan vara fråga om.
I dessa samarbeten ingår aktörer som har vitt skilda förutsättningar att agera i frågor som rör de närmare villkoren för övergripande frågor. Det kan exempelvis ifrågasättas vilka reella möjligheter en privat utförare av socialtjänst har att utföra åtgärder för att påverka övergripande säkerhetsfrågor i system som utvecklats av en eller flera stora kommuner tillsammans. Inte sällan kan dessutom den privata utföraren vara mer eller mindre hänvisad till att använda en viss teknisk funktion eller ett visst system för den aktuella personuppgiftsbehandlingen. Motsvarade frågor aktualiseras även på en högre nivå, där det på samma sätt kan finnas skäl att analysera vilka faktiska möjligheter en mindre kommun har att påverka i frågor om t.ex. säkerhetsåtgärder relaterat till gemensamma lösningar för det som utvecklas inom ramen för projektet Effektiv informationsförsörjning.
Att vid behov tydligt peka ut en aktör som ansvarig för de övergripande åtgärderna skulle synliggöra ansvaret för de övergripande säkerhetsåtgärderna och bättre överensstämma med de faktiska förutsättningarna. Vi bedömer att detta behov, i takt med en mer gemensam utveckling, kommer att bli större än tidigare. Utvecklingen i socialtjänsten går, liksom i hela den offentliga e-förvaltningen, mot att många behöver samarbeta för att åstadkomma en informationshantering som är kostnadseffektiv, säker och ger en bra service till medborgarna. Inte sällan är dessa samarbeten i praktiken även en förutsättning för jämlika förhållanden för medborgare i olika delar av landet.
För att inte enskilda ska riskera att lida omotiverade integritetsförluster på grund av att personuppgiftsansvaret är oklart eller odefinierat till sitt innehåll anser utredningen att det finns skäl att i större utsträckning än vad som förekommit hittills tydliggöra personuppgiftsansvaret för övergripande säkerhetsåtgärder. Vår utgångspunkt är att frågor om personuppgiftsansvar i första hand bör hanteras av den eller de personuppgiftsansvariga själva. Det är de inblandade som har bäst kännedom om de bakomliggande faktorerna och de faktiska omständigheterna. Av den anledningen finns det skäl att stimulera de inblandade aktörerna att själva aktivt analysera och ta ställning till frågan om någon eller några anses ha ett personuppgiftsansvar för övergripande säkerhetsåtgärder. Det skulle i allt väsentligt vara en positiv utveckling ur ett integritets-
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
714
skyddsperspektiv. Därför föreslår vi en grundläggande bestämmelse som anger att flera som bedriver socialtjänst och som utbyter uppgifter genom direktåtkomst, eller på annat sätt samverkar vid behandling av personuppgifter, genom överenskommelse ska tydliggöra hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder. Syftet med bestämmelsen är att stimulera de inblandade aktörerna att analysera det närmare samarbetet och tydliggöra personuppgiftsansvaret utifrån de faktiska omständigheterna. Resultatet av överenskommelsen kan således vara att samtliga aktörer tillsammans anses ha personuppgiftsansvar för övergripande säkerhetsåtgärder, eller att en eller ett fåtal av de samverkande anses ha detta ansvar.
Enligt vår bedömning behövs ingen särskild författningsreglering som tydliggör att en av de inblandade aktörerna kan ha ett personuppgiftsansvar för övergripande frågor. Det följer redan av personuppgiftslagens (1998:204) principer och definitionen av personuppgiftsansvar. Inte heller hindrar bestämmelserna i förslaget till socialtjänstdatalag detta. Den grundläggande regleringen i socialtjänstdatalagen handlar närmast om på vilken organisatorisk nivå personuppgiftsansvaret ska ligga, snarare än att göra ett avsteg från den grundläggande principen om att personuppgiftsansvaret utgår ifrån de faktiska omständigheterna. Det faktum att den som bedriver socialtjänst är personuppgiftsansvar för den behandling av personuppgifter som utförs i dess verksamhet utesluter därför enligt vår bedömning inte att det kan finnas någon annan som också har ett personuppgiftsansvar i fråga om delar av den kedja av personuppgiftsbehandlingar som aktualiseras i samarbeten mellan utförare som bedriver socialtjänst m.fl.
Det är enligt vår bedömning inte möjligt att i lag fastslå vad ett ansvar för de övergripande säkerhetsåtgärderna innebär. Som tidigare påpekats handlar det om samarbeten av vitt skilda slag, av olika omfattning och för olika syften. Organisation, samarbetsformer och övriga faktiska omständigheter blir således avgörande för vad som mer specifikt kan anses ingå i ett sådant ansvar. Utgångspunkten bör dock vara ett personuppgiftsansvar för övergripande säkerhetsåtgärder exempelvis i förhållande till sådana funktioner och förutsättningar som utgör basen för den gemensamma personuppgiftsbehandlingen och som samtliga inblandade aktörer är beroende av och måste rätta sig efter. Som exempel på
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
715
sådana åtgärder som i olika utsträckning kan tänkas ingå i ett övergripande ansvar kan följande nämnas.
• Organisatoriska och administrativa åtgärder som risk- och sårbarhetsanalyser och kontinuerlig övervakning av de centrala tjänsterna.
• Kontroll över att de ingående aktörernas följer de gemensamma rutiner, regelverk och villkor som gäller för samarbetet.
• Ansvar för att förvalta och utveckla de centrala funktioner och tjänster som används för att skydda personuppgifterna.
• Kontinuerliga tester för att analysera att informationssäkerhetskraven uppfylls.
• Kontroll av personuppgiftsbiträden och underleverantörer.
• Ansvar för att personuppgiftsbiträdesavtal och instruktioner finns med förekommande externa leverantörer som behandlar personuppgifter för sådana ändamål som har att göra med de övergripande frågorna.
Utredningen anser således att frågan om fördelningen av personuppgiftsansvar för övergripande säkerhetsåtgärder ska avgöras med hänsyn till de faktiska omständigheterna i det enskilda fallet. Det är således upp till de samverkande personuppgiftsansvariga att analysera situationen och tydliggöra hur personuppgiftsansvaret är fördelat. Vi har i avsnitt 10 belyst frågan om hur ett övergripande personuppgiftsansvar kan identifieras utifrån de faktiska omständigheterna. I stället för att i detta sammanhang upprepa detta, hänvisar vi till det avsnittet. Samtidigt finns skäl att även här ge exempel på några konkreta omständigheter som enligt vår bedömning kan tyda på att en, eller ett fåtal, av de inblandade aktörerna har ett särskilt ansvar för övergripande säkerhetsåtgärder.
• Om en aktör dikterat villkoren för övrigas medverkan.
• Om en aktör har faktiska möjligheter och befogenheter att vidta åtgärder med avseende på den övergripande säkerheten för personuppgiftsbehandlingen.
• Om en aktör ansvarar för kravställning, utveckling, driftsättning och förvaltning av sådant som avser den övergripande säkerheten för personuppgiftsbehandlingen.
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
716
• Om det av avtal mellan de samverkande aktörerna framgår att en av dem har en dominerande och självständig ställning i frågor som rör övergripande säkerhetsåtgärder.
Samtidigt råder i många samarbeten naturligtvis helt andra förutsättningar än de som räknas upp ovan. Exemplen ska endast betraktas som vägledande just för frågan om någon av de inblandade kan anses ha ett ensamt personuppgiftsansvar för de övergripande säkerhetsåtgärderna. Oavsett om de inblandades bedömning resulterar i att personuppgiftsansvaret för frågor om organisatoriska och tekniska säkerhetsåtgärder är gemensamt eller om det ligger på en av aktörerna, ska det enligt vårt förslag framgå av överenskommelsen hur personuppgiftsansvaret är fördelat.
717
26 Elektroniskt utlämnande av personuppgifter
26.1 Bakgrund
Utredningen har i tidigare avsnitt redogjort för vilka ändamål personuppgifter ska få behandlas hos den som bedriver verksamhet inom socialtjänsten. Inom ramen för dessa ändamål kan det många gånger bli att aktuellt att behandla personuppgifter i form av att lämna ut uppgifter till någon utanför den egna verksamheten. Utlämnande kan t.ex. avse personuppgifter som begärs utifrån av en annan som bedriver verksamhet inom socialtjänsten eller föranledas av en särskilt reglerad uppgiftsskyldighet. Det kan t.ex. också avse sådana uppgifter som ska lämnas ut för att den egna verksamheten ska kunna fullgöra sina uppgifter, t.ex. i samband med samverkan mellan socialtjänsten och hälso- och sjukvården.
Personuppgifter kan lämnas ut på olika sätt. Ett sätt är via pappersutskrifter från en dator som postas eller sänds per telefax. Utlämnande kan också göras i elektronisk form t.ex. på medium för automatiserad behandling eller genom direktåtkomst. Den elektroniska formen inrymmer i sig ett stort antal variationer, t.ex. användning av e-post, lagring på diskett eller cd-rom, direkt överföring till ett datorsystem till ett annat via telenätet eller att en mottagare ges elektroniskt tillgång till det utlämnande organets datorsystem (direktåtkomst). Alla dessa olika varianter utgör behandling av personuppgifter enligt det begrepp som definieras i 3 § personuppgiftslagen (1998:204), förkortad PUL.
Personuppgiftslagen och dataskyddsdirektivet saknar bestämmelser som reglerar om eller under vilka förutsättningar uppgifter får lämnas ut i elektronisk form.1I lagen om behandling av person-
1Personuppgiftslagen (1998:204) och Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).
Elektroniskt utlämnande av personuppgifter SOU 2014:23
718
uppgifter inom socialtjänsten (2001:454), förkortad SoLPUL, anges inte heller några närmare förutsättningar för tillvägagångssättet vid utlämnanden. Däremot anges i lagens 8 § att det vid utlämnande gäller de begränsningar som följer av offentlighets- och sekretesslagen (2009:400), förkortad OSL, socialtjänstlagen (2001:453), förkortad SoL, och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS. För vissa utlämnanden av uppgifter till tredje land finns en bestämmelse i förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPULF.
Enligt utredningens bedömning innebär den särskilda tekniken för utlämnande i elektronisk form att det kan uppstå risk för ett otillbörligt intrång i integriteten. Normalt innebär nämligen just den elektroniska formen att mottagaren efter utlämnandet har större möjligheter att bearbeta informationen än om utlämnandet görs på papper. Utlämnande genom direktåtkomst innebär t.ex. att en mottagare har elektronisk tillgång till någon annans informationssystem eller databas och på egen hand kan söka efter information.
Grundläggande bestämmelser om utlämnande bör införas i den nya socialtjänstdatalagen för att upprätthålla höga krav på att ett utlämnande görs under säkerhetsmässigt godtagbara former.
26.2 Våra överväganden och förslag
26.2.1 Utlämnande på medium för automatiserad behandling
Vårt förslag:
I socialtjänstdatalagen ska anges att en personupp-
gift som får lämnas ut, kan lämnas ut på medium för automatiserad behandling. Regeringen eller den myndighet som regeringen bestämmer, får föreskriva de krav på säkerhetsåtgärder som ska gälla vid sådant utlämnande.
Vår utgångspunkt är att personuppgifter ska kunna lämnas ut på medium för automatiserad behandling om de får lämnas ut. Den nuvarande regleringen i SoLPUL medför inga hinder för socialtjänsten att lämna ut personuppgifter elektroniskt på detta sätt, under förutsättning att utlämnandet kan göras utan att sekretessen hindrar det och om personuppgiftsbehandlingen som sådan är laglig. Om uppgifter överhuvudtaget får lämnas ut bestäms av
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
719
bestämmelserna i offentlighets- och sekretesslagen samt av bestämmelserna om tystnadsplikt. Inom socialtjänsten råder en sträng sekretess och tystnadsplikt, vilket innebär att det alltid måste prövas om ett utlämnande över huvud taget kan göras eller inte. För att tydliggöra att personuppgifter får behandlas för ändamålet utlämnande har vi lämnat förslag på en uttrycklig bestämmelse i socialtjänstdatalagen. Bestämmelsen innebär att personuppgifter, som behandlas för ett tillåtet ändamål, också får behandlas för att fullgöra ett uppgiftslämnande som är lagligt.
Det finns enligt vår bedömning inget skäl att begränsa sådan användning av modern teknik som i dag finns i hela samhället. Utredningen har inte uppfattat något hinder mot att uppgifter kan lämnas ut från socialtjänsten på medium för automatiserad behandling. Ett sådant utlämnande kan exempelvis göras genom olika former av filöverföring eller på USB-minne. Det är upp till den som bedriver verksamhet inom socialtjänsten att efter en lämplighetsprövning ta ställning till valet mellan en automatiserad överföring och annan överföring.
Under utredningens arbete har det blivit tydligt att det både i socialtjänsten och i hälso- och sjukvården finns behov av att utveckla och implementera it-stöd som gör det möjligt att administrera elektroniska utlämnanden på ett ändamålsenligt och säkert sätt. Det skulle kunna förenkla och effektivisera sådana utlämnanden som görs mellan olika verksamheter inom socialtjänsten, exempelvis i kommunikationen mellan den beslutande nämnden och den utförare som den enskilde väljer. Andra användningsområden kan vara sådana utlämnanden som görs till enskilda eller som görs för forskningsändamål. Som ett exempel på ett område där utlämnanden på medium för automatiserad behandling regelmässigt görs kan den samordnade vårdplaneringen nämnas. De flesta kommuner och landsting har i dag möjlighet att kommunicera elektroniskt vid sådan samordnad vårdplanering som vid vissa tillfällen ska genomföras när patienter skrivs ut från slutenvården och är i behov av insatser från socialtjänsten och den kommunala hälso- och sjukvården.
Vid elektroniska utlämnanden är det viktigt att överföringen av uppgifter görs under former som garanterar en hög säkerhetsnivå. Utlämnande av personuppgifter på medium för automatiserad behandling är en form av behandling som omfattas av den föreslagna regleringen men även av personuppgiftslagen. Det innebär bl.a. att den personuppgiftsbehandling som utlämnandet innebär
Elektroniskt utlämnande av personuppgifter SOU 2014:23
720
måste vara tillåten enligt de ändamålsbestämmelser och de informationssäkerhetskrav som finns i den föreslagna lagen. Det innebär till exempel att utlämnande av känsliga personuppgifter över öppet nät, t.ex. internet, får göras om det endast är den avsedda mottagaren som kan ta del av uppgifterna och om uppgifterna är krypterade vid en eventuell överföring. Enligt utredningens bedömning bör det finnas närmare krav på säkerhetsåtgärder vid utlämnande i föreskrifter. Mot den bakgrunden föreslår vi att regeringen eller den myndighet som regeringen föreslår får meddela föreskrifter om krav på säkerhetsåtgärder vid utlämnanden på medium för automatiserad behandling. Enligt vår uppfattning bör vara Socialstyrelsen som, efter samråd med Datainspektionen, meddelar föreskrifter i ämnet.
26.2.2 Utlämnande genom direktåtkomst
Vårt förslag: I socialtjänstdatalagen ska anges att utlämnande
genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. I socialtjänstdatalagen regleras vissa fall av tillåten direktåtkomst.
Vår bedömning: Med direktåtkomst avses i socialtjänstdata-
lagen en form av elektroniskt utlämnande av personuppgifter till mottagare utanför den som bedriver verksamhet inom socialtjänstens organisation.
Det är i dag svårt att finna ett entydigt svar på frågan om vad som är skillnaden mellan direktåtkomst respektive utlämnande på medium för automatiserad behandling. Frågan är föremål för en översyn av Informationshanteringsutredningen (Ju 2011:11), som enligt sina direktiv ska överväga om det finns skäl att i registerförfattningar behålla åtskillnaden mellan olika former av elektroniskt utlämnande. Uppdraget ska redovisas 1 december 2014 och av direktiven framgår bland annat följande.2
Den tekniska utvecklingen har inneburit att det numera finns betydligt fler sätt att överföra uppgifter elektroniskt än tidigare och nya åtkomstmetoder tillkommer alltjämt. Detta har medfört att det uppfattas som oklart hur begreppen direktåtkomst och utlämnande på
2 Dir. 2011:86 s. 19.
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
721
medium för automatiserad behandling ska tillämpas på modernare metoder för informationsutbyte. Gränsdragningsproblematiken illustreras bl.a. i en rapport som har tagits fram av E-delegationens expertgrupp för rättsliga frågor (Vägledning för direktåtkomst och utlämnande på medium för automatiserad behandling). De aktuella begreppen används inte heller på ett enhetligt sätt i de olika registerförfattningarna och utöver nu nämnda begrepp förekommer andra begrepp, t.ex. ”elektronisk åtkomst” (SOU 2010:4 s. 364 f.). Mot den angivna bakgrunden ska utredaren analysera vilka effektivitetsvinster och integritetsrisker som är förknippade med olika former av elektroniskt informationsutbyte samt ta ställning till om det finns skäl att i registerförfattningarna upprätthålla en skillnad mellan direktåtkomst och andra former av elektroniskt utlämnande eller om denna åtskillnad bör utmönstras. Om utredaren anser att en åtskillnad mellan olika former av elektroniskt utlämnande även i fortsättningen bör upprätthållas, ska denne lämna förslag på vilka begrepp som bör användas samt hur dessa bör definieras.
Även om frågor om direktåtkomst är under översyn finns ett behov för socialtjänstens del att i detta sammanhang så långt möjligt beskriva vad dessa begrepp innebär och vad som skiljer olika former av utlämnanden åt. Eftersom vi föreslår ett antal bestämmelser om direktåtkomst i socialtjänstlagen är det därför nödvändigt att tydliggöra vad vi avser med direktåtkomst.
Det finns inte någon legaldefinition av begreppet direktåtkomst. En vedertagen uppfattning får dock anses vara att det innebär att en mottagare har elektronisk tillgång till någon annans informationssystem eller databas, t.ex. via internet, och på egen hand kan söka efter och ta del av information. Vanligtvis innebär direktåtkomst ingen möjlighet för mottagaren att kunna bearbeta eller på annat sätt påverka innehållet i det system, register eller databas som åtkomsten avser.3 Ibland kan mottagaren dock ha en möjlighet att kopiera eller på olika sätt ladda ner och hämta hem informationen till sitt eget system för fortsatt personuppgiftsbehandling.4
Frågan om vad som bör anses som direktåtkomst berördes bland annat av patientdatautredningen och i denna del ansluter vi oss till den utredningens resonemang. Inte minst eftersom det finns behov av ett harmoniserat regelverk mellan hälso- och sjukvården och socialtjänsten är det viktigt att detta begrepp inte skiljer sig åt för de olika verksamheterna. Patientdatautredningen anförde bland annat följande.5
3Prop. 2000/01:33 s. 110 f. 4 Se t.ex. Prop. 2001:02:144 s. 35 eller SOU 2001:100 s. 149. 5SOU 2006:82 s. 217.
Elektroniskt utlämnande av personuppgifter SOU 2014:23
722
I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Det innebär t.ex. att om vårdgivare A har direktåtkomst till samtliga uppgifter i ett register eller en databas hos vårdgivare B, så kan A själv välja vilka uppgifter den vill ta del av vid ett visst tillfälle, utan att B, d.v.s. den som är ansvarig för registret eller databasen, först fattar ett beslut om att just dessa uppgifter ska överföras till A. Beslutet om varje överföring fattas i stället av mottagaren. Direktåtkomst innebär att någon egentlig sekretessprövning hos B inte sker varje gång någon hos A använder direktåtkomsten för att ta del av en uppgift. Sekretessprövningen sker istället då B bestämmer vilka uppgifter som skall vara möjliga för A att ta fram via direktåtkomsten. Direktåtkomst kan därvid avse all information som finns samlad i ett datasystem eller endast en på förhand bestämd del av denna.
Regeringen uttalar även i förarbetena till patientdatalagen att det med direktåtkomst avses ett sätt att bereda sig automatisk tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation, men utan möjlighet att kunna bearbeta eller annars påverka uppgifternas innehåll.6
Mot denna bakgrund anser utredningen att med direktåtkomst ska i socialtjänstdatalagen avses en speciell form av elektroniskt utlämnande av personuppgifter till en mottagare utanför den organisation som bedriver verksamhet inom socialtjänsten. Direktåtkomst skiljer sig från andra typer av elektroniska utlämnanden genom att det är mottagaren av uppgifterna som bereder sig tillgång till informationen utan att den som lämnar ut informationen vidtar någon åtgärd med informationen vid överföringstillfället, till exempel en sekretessprövning. I de här fallen är det fråga om ett helt automatiskt utlämnande.
Sammantaget kan konstateras att direktåtkomst medför helt andra risker för integritetsskyddet än andra former av utlämnande som t.ex. innebär att beslut om utlämnande fattas vid varje givet överföringstillfälle. Därför bör det i socialtjänstdatalagen framgå att
utlämnande genom direktåtkomst endast är tillåten i den utsträck-
ning som anges i lag eller förordning. I linje med detta finns även skäl att här tydliggöra att bestämmelser om direktåtkomst inte anses ha en sekretessbrytande effekt enligt offentlighets- och sekretesslagen. Bestämmelser om direktåtkomst har en annan funktion än sekretessbrytande regler. Medan sekretessbrytande
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
723
regler anger i vilken mån sekretessbelagda uppgifter över huvud taget får lämnas från en myndighet till en annan, tar bestämmelser om direktåtkomst sikte på själva formerna för utlämnandet. Om en myndighet ska få ha direktåtkomst till uppgifter som omfattas av sekretess hos en annan myndighet måste bestämmelser om direktåtkomst därför kompletteras med en sekretessbrytande bestämmelse. I anslutning till våra resonemang om möjligheter till direktåtkomst inom socialtjänsten och mellan hälso- och sjukvården och socialtjänsten berörs denna fråga ytterligare.
Vidare kan konstateras att det i dag finns ett antal lagar som medger tillgång till uppgifter genom direktåtkomst för socialnämndens räkning. Som exempel kan nämnas att en socialnämnd under vissa förutsättningar har rätt att ta del av vissa uppgifter hos Centrala studiestödsnämnden, Försäkringskassan och arbetsförmedlingen genom direktåtkomst. I dessa fall är det dock registerförfattningarna för de respektive myndigheterna som reglerar förutsättningarna för den utlämnande myndigheten att medge direktåtkomst för socialnämnden. Det regleras således inte av socialtjänstdatalagen.
Genom vårt förslag får den som bedriver verksamhet inom socialtjänsten lämna ut personuppgifter genom direktåtkomst endast i den utsträckning som anges i lag eller förordning. I socialtjänstdatalagen ska vissa typer av tillåten direktåtkomst regleras, t.ex. mellan olika verksamheter som samtidigt genomför insatser rörande den enskilde eller i integrerade verksamheter för personer med sammansatta behov av hälso- och sjukvård och socialtjänst. Vidare föreslår vi att den som bedriver socialtjänst ska få medge en enskild direktåtkomst till personuppgifter om sig själv. Förslaget behandlas i avsnitt 33, tillsammans med ett antal övriga frågor som rör kommunikationen mellan socialtjänsten och enskilda.
26.2.3 Utlämnande av uppgifter till tredje land
Vårt förslag: Nuvarande bestämmelse i SoLPULF om överföring
av uppgifter till tredje land i ett ärende om fastställande av faderskap och om internationella adoptioner överförs till socialtjänstdatalagen. Även bestämmelsen i SoLPUL om regeringens möjligheter att meddela föreskrifter om när personuppgifter får föras över till tredje land överförs till socialtjänstdatalagen.
Elektroniskt utlämnande av personuppgifter SOU 2014:23
724
I personuppgiftslagen finns en bestämmelse om förbud mot överföring av personuppgifter till tredje land (33–35 §§). Med tredje land förstås en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet. Förbudet är inte undantagslöst utan i PUL finns en uppräkning av i vilka fall det är tillåtet att föra över personuppgifter till tredje land.
I SoLPUL finns en bestämmelse som föreskriver att regeringen får meddela föreskrifter om när personuppgifter får föras över till tredje land. Regeringen har i SoLPULF sedan föreskrivit att en kommunal myndighet får föra över uppgifter till tredje land i ett ärende om fastställande av faderskap och om internationella adoptioner (16 §). Möjligheterna att kunna överföra uppgifter i nämnda ärenden om faderskap och internationella adoptioner till tredje land är fortfarande aktuella och bör enligt utredningens bedömning tas in i den föreslagna socialtjänstdatalagen.
Vi föreslår även att bestämmelsen i SoLPUL om regeringens möjlighet att meddela föreskrifter om när personuppgifter får föras över till tredje land överförs till socialtjänstdatalagen.
26.2.4 Vissa bestämmelser om utlämnande från Statens institutionsstyrelse
Vårt förslag: Nuvarande bestämmelser i 10 a § SoLPULF om
vissa utlämnanden från Statens institutionsstyrelse till Försäkringskassan, Pensionsmyndigheten och Rikspolisstyrelsen förs över till lag (1998:603) om verkställighet av sluten ungdomsvård.
I nuvarande 10 a § SoLPULF finns bestämmelser om uppgiftsskyldighet för Statens institutionsstyrelse att lämna ut uppgifter till Försäkringskassan, Pensionsmyndigheten och Rikspolisstyrelsen. Det gäller personer som är intagna i särskilt ungdomshem med stöd av lagen (1998:603) om verkställighet av sluten ungdomsvård. Statens institutionsstyrelse ska fortlöpande lämna uppgifter om dagen för verkställighetens början och slut samt eventuell ändrad slutdag. Uppgifter ska även lämnas till Rikspolisstyrelsen, om dagen för verkställighetens början om den sammanlagda vårdtiden är minst ett år. Det finns även bestämmelser om skyldighet att i
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
725
andra fall lämna uppgifter till Rikspolisstyrelsen i 34 § förordningen (1999:1134) om belastningsregister. Den uppgiftsskyldighet som är i fråga i aktuella fall hör ihop med bestämmelserna i lagen (1998:603) om verkställighet av sluten ungdomsvård och ska därför flyttas över till den lagen.
727
27 Nya möjligheter till informationsutbyte i socialtjänsten
27.1 Bakgrund
Vi har tidigare redogjort för de senaste årens strukturförändring inom socialtjänstens område. Antalet aktörer som bedriver socialtjänst har ökat väsentligt och enskilda har fått en ökad valfrihet att välja utförare för olika insatser. Utvecklingen medför behov av nya samarbeten och nya samarbetsformer på olika nivåer. För att samverkan ska bli ändamålenlig och bidra till en rättsäker socialtjänst av god kvalitet behöver informationshanteringen i den individinriktade verksamheten arrangeras på sätt som möjliggör detta. Det krävs naturligtvis insatser på en rad olika områden för att åstadkomma en ändamålsenlig och sammanhållen informationshantering i socialtjänsten. Det handlar bland annat om faktorer som ledning och styrning, arbetssätt, it-utveckling och olika former av kunskaps- och komptensstödjande insatser. Informatiken, dvs. frågor om gemensamt fackspråk och informationsstruktur är ytterligare ett exempel på ett nödvändigt utvecklingsområde.
Utöver detta är det naturligtvis även angeläget att socialtjänsten har legala förutsättningar som stimulerar och möjliggör en ändamålsenlig samverkan och informationshantering i den individinriktade verksamheten. Olika utförare som sida vid sida arbetar tillsammans för att ge den enskilde insatser av god kvalitet kan behöva utbyta uppgifter på ett effektivt och säkert sätt. För socialtjänstens del saknas dock lagstiftning som möjliggör informationsutbyte genom direktåtkomst exempelvis mellan olika utförare av socialtjänst eller mellan olika myndigheter på socialtjänstens områden inom samma kommun. Socialtjänsten har således inte
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
728
några möjligheter att utbyta information på ett sätt som motsvarar de möjligheter olika vårdgivare inom hälso- och sjukvården har att dela information i system för sammanhållen journalföring.
Vårt uppdrag i denna del handlar om hur lagstiftningen om personuppgiftbehandling i socialtjänsten kan utformas för att möta individens behov av rättssäkerhet och god kvalitet i en tid som präglas av valfrihet, mångfald och samverkan. Ur ett samhällsperspektiv handlar det även om frågan hur lagstiftningen kan bidra till att informationshanteringen i socialtjänsten kan arrangeras mer kostnadseffektivt, t.ex. genom att uppgifter kan behandlas och utbytas med moderna tekniska lösningar.
27.2 Våra överväganden och förslag
27.2.1 Direktåtkomst mellan myndigheter i samma kommun
Vårt förslag: En bestämmelse ska införas i socialtjänstdatalagen
som anger att om en kommun bedriver socialtjänst genom flera myndigheter eller sådana kommunala bolag som avses i 2 kap. 3 § offentlighet- och sekretesslagen (2009:400), förkortad OSL, får en sådan myndighet eller bolag ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet eller bolag i samma kommun.
Utredningen har i avsnittet om en mer ändamålsenlig sekretessreglering i socialtjänsten föreslagit en sekretessbrytande bestämmelse om att socialtjänstsekretess inte ska hindra att en uppgift lämnas ut från en myndighet inom socialtjänsten i en kommun till en annan sådan myndighet i samma kommun. För att förslaget i praktiken ska få avsedd effekt krävs att det kompletteras med en särskild bestämmelse som tillåter nämnderna och bolagen att ha direktåtkomst till varandras personuppgifter. Detta behövs eftersom det enligt förslaget till socialtjänstdatalag endast ska vara tillåtet med direktåtkomst i den utsträckning det framgår av lag eller förordning. En sådan bestämmelse är i konsekvens med motiven till sekretessgenombrottet och innebär att socialtjänstdatalagen inte samtidigt med förslaget i sekretessdelen uppställer nya hinder för uppgiftsutbytet inom kommuner som valt eller som överväger att dela upp socialtjänstverksamheten på olika nämnder. Stora tillämpningsproblem skulle i så fall kunna uppstå i frågor om
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
729
informationshanteringen. Därutöver riskerar sådana regler att låsa fast nämndstrukturerna i kommunen.
Utredningen föreslår därför att det införs bestämmelser som möjliggör för en kommun som bedriver socialtjänst genom flera myndigheter eller sådana kommunal bolag som avses i 2 kap. 3 § OSL, att ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet eller bolag i samma kommun. Det innebär att en kommun som väljer att organisera socialtjänsten på flera olika nämnder och bolag kan lämna ut personuppgifter mellan nämnderna och bolagen genom direktåtkomst.
Motsvarande förutsättningar finns redan i dag inom hälso- och sjukvårdens område, både för kommunala och landstingskommunala nämnder. Som motivering till förslaget om att kommunala nämnder som bedriver hälso- och sjukvård ska kunna utbyta uppgifter genom direktåtkomst anfördes bland annat följande av patientdatautredningen.1
En sådan bestämmelse är i konsekvens med motiven till sekretessgenombrottet och innebär att patientdatalagen inte parallellt med förslaget i sekretessdelen uppställer nya hinder för uppgiftsutbytet inom sådana landsting eller kommuner som valt att dela upp hälso- och sjukvårdsverksamheten mellan olika nämnder. Stora tillämpningsproblem torde i annat fall kunna uppstå. Då skulle uppgiftsflöde genom direktåtkomst mellan nämnderna i ett sådant landsting eller kommun enbart få ske med stöd av våra förslag om sammanhållen journalföring. Vad skulle då gälla när ett landsting, som satsar på att införa ett journalsystem under en nämnd, av organisatoriska eller politiska skäl senare väljer att dela upp verksamheten i flera nämnder? Sannolikt skulle det kräva en reglering för sådana fall av huruvida all befintlig vårddokumentation skall presumeras vara spärrad mellan nämnderna tills varje patients inställning klargjorts eller huruvida presumtionen ska vara omvänd. Man kan fråga sig om en reglering med sådana konsekvenser inte låser fast nämndstrukturerna i landsting och kommuner på ett olyckligt sätt. Våra förslag innebär att det i praktiken inte kommer att vara någon väsentlig skillnad i patientdatahanteringen om ett landsting eller en kommun bedriver hälso- och sjukvård genom en eller flera myndigheter.
Vår bedömning är att patientdatautredningens motivering, som regeringen sedan anslöt sig till i propositionen till patientdatalagen (2008:355), även gör sig gällande inom socialtjänstens område. Vi anser att det finns skäl att tillåta direktåtkomst mellan nämnder inom socialtjänsten i samma kommun. I annat fall skulle reglerna i
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
730
socialtjänstdatalagen ställa upp hinder som förslagen i sekretessdelen syftar till att undanröja.
Att medge direktåtkomst mellan kommunala nämnder innebär en ändamålsenlig flexibilitet och att de organisatoriska förutsättningarna inte tillåts styra flödet av information. I sammanhanget kan även konstateras att de kommuner som i dag i allt väsentligt har organiserat socialtjänsten i en och samma nämnd, redan har stora möjligheter till ett sådant ändamålsenligt och effektivt informationsutbyte som förslaget om direktåtkomst syftar till att möjliggöra för alla kommuner. Även denna fråga handlar, som vi ser det, ytterst om att öka förutsättningarna för en jämlik socialtjänst av hög kvalitet för alla, oavsett hur myndighetsstrukturen i olika kommuner ser ut.
Det är inte i fråga om att tillåta någon okontrollerad spridning av uppgifter. Den grundläggande bestämmelsen om inre sekretess, dvs. att den som arbetar i socialtjänsten endast får ta del av de uppgifter som behövs för arbetets utförande, gäller alltid. Vi har tidigare redogjort för ett antal andra förslag som bl.a. syftar till att stärka integritetsskyddet i socialtjänsten jämfört med vad som är fallet i dag. Våra förslag om sekretessbrytande regler och tillåten direktåtkomst ska därför även läsas i ljuset av förslagen som förtydligar det ansvar för en säker hantering av personuppgifter som den som bedriver verksamhet inom socialtjänsten har, liksom i ljuset av bestämmelserna om inre sekretess, behörighetsstyrning, åtkomstkontroll m.m. Exempelvis ska den som ansvarar för verksamheten i socialtjänsten genom behörighetsstyrning se till att behörig personal får tillgång till de uppgifter som behövs för att utföra arbete och samtidigt se till att begränsa behörigheten just efter detta behov. Socialtjänstdatalagen ska även tydliggöra ansvaret för fortlöpande och systematiska kontroller av åtkomsten till uppgifter om enskilda. Vidare har den som bedriver verksamhet i socialtjänsten alltid ett grundläggande ansvar för att se till att dokumenterade uppgifter hanteras och förvaras så att obehöriga inte får tillgång till dem. Dessutom innebär det övergripande ansvaret för de system som innehåller personuppgifter ett krav på att utforma systemen på ett sådant sätt att integritetsskyddet tillgodoses. Att direkt i verksamhetssystemen bygga in integritetsskyddande funktioner som för personalen gör det lätt att göra rätt och svårt att göra fel, har stora fördelar. Att implementera integritetsskydd genom teknik ger ökade förutsättningar för ett starkt integritetsskydd.
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
731
Utredningens sammantagna bedömning är att de integritetsskyddande bestämmelserna tillsammans med dessa nya möjligheter till informationsutbyte ger en bra balans mellan de olika intressen som behöver värnas.
Med vårt förslag får alla kommuner – oavsett hur den interna myndighetsstrukturen ser ut – samma grundläggande möjlighet att ordna informationshanteringen på ett sätt som ser till att individens behov av rättssäkerhet och god kvalitet tillgodoses. Vidare kan informationshanteringen bli mer kostnadseffektiv eftersom uppgifter, under vissa förutsättningar, tillåts utbytas på ett sätt som minskar de administrativa insatserna som exempelvis sekretessprövningar och utlämnanden på medium för automatiserad behandling ger upphov till. Direktåtkomst innebär även att behovet av dubbeldokumentation, dvs. att samma uppgift behöver dokumenteras flera gånger på flera ställen, minskar. Detta eftersom uppgifterna så fort de har dokumenterats kan hållas potentiellt tillgängliga för de behöriga användare som i enskilda situationer har ett behov av uppgifterna för att kunna utföra sitt arbete. Genom förslaget kan sådana verksamheter inom socialtjänsten som kommunen driver i egen regi utbyta viktig information om enskilda utan fördröjning. Inte minst för enskilda som på grund av sitt hälsotillstånd växelvis kan få insatser tillgodosedda t.ex. i hemmet, på korttidsboende eller i särskilt boende medför reglerna om direktåtkomst att insatserna alltid kan utföras med stöd av korrekt och aktuell information.
Genom att tillgången till uppgifter blir tillåten utifrån det behov som föreligger, snarare än utifrån vilken organisatorisk del i kommunens socialtjänstverksamhet som uppgifterna dokumenterats i, får kommunen även väsentligt förbättrade möjligheter att bedriva ett systematiskt kvalitetsarbete och att planera och följa upp verksamheten. Exempelvis kan med vårt förslag uppgifter sambearbetas oavsett om uppgifterna finns utspridda i olika system i kommunens verksamhet och oavsett om uppgifterna finns hos ett kommunalt bolag eller myndighet inom socialtjänsten. Det sagda gäller förstås under förutsättning att socialtjänstdatalagens och personuppgiftslagens (1998:204), förkortad PUL, övriga bestämmelser följs. Det innebär t.ex. att uppgifter som kan härledas till en enskild bara får användas om det verkligen behövs för att t.ex. göra uppföljningen ändamålsenlig. Vidare kan det många gånger vara lämpligt att bygga in integritetsskyddande funktioner i ITsystemen som exempelvis gör att personuppgifter kan behandlas på
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
732
systemnivå utan att några direkt utpekande personuppgifter exponeras i sammanställningar eller underlag som ska användas för exempelvis kvalitetsarbete eller annan uppföljning av verksamheten.
27.2.2 Direktåtkomst mellan olika utförare i socialtjänsten
Vårt förslag: I socialtjänstdatalagen införs en reglering som
innebär att olika utförare som bedriver verksamhet inom socialtjänst – under vissa förutsättningar – kan få direktåtkomst till personuppgifter hos varandra. Direktåtkomsten ska begränsas till personuppgifter som behandlas för dokumentation av genomförande av beslut om bistånd, stödinsatser, vård eller behandling. Som ytterligare förutsättningar ska gälla att uppgifterna rör en enskild som är föremål för genomförande av insatser hos både utlämnande och mottagande verksamhet inom socialtjänsten. Dessutom ska krävas att den enskilde samtycker till utlämnandet genom direktåtkomst.
Utlämnande genom direktåtkomst på detta sätt ska endast få göras så länge den enskilde är föremål för genomförande av insatser hos den utlämnande verksamheten.
Ifråga om överenskommelser för att fastställa hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses vid utlämnande genom direktåtkomst, se vidare avsnitt 25.
Inledning
På hälso- och sjukvårdens område har det sedan år 2008 varit möjligt för olika vårdgivare att under vissa förutsättningar utbyta vårddokumentation genom direktåtkomst, s.k. sammanhållen journalföring. För socialtjänstens del saknas motsvarande möjligheter. I dag är det inte tillåtet för olika utförare inom socialtjänsten att ha direktåtkomst till varandras personuppgifter. Behov kan t.ex. finnas när den enskilde har insatser från en utförare på dagen och en annan på kvällen eller när flera olika utförare samtidigt står för olika insatser som den enskilde har rätt till.
Vi har i tidigare avsnitt redogjort för den kraftfulla ökningen av antalet aktörer inom socialtjänstens område som har ägt rum under de senaste åren. Även den ökade valfriheten för enskilda att välja
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
733
utförare för olika insatser har medfört behov av nya samarbeten och samarbeten på nya nivåer. Det är därför angeläget att socialtjänsten också har legala förutsättningar som möjliggör en ändamålsenlig samverkan i den individinriktade verksamheten. Olika utförare som sida vid sida arbetar tillsammans för att ge den enskilde insatser av god kvalitet kan behöva utbyta uppgifter på ett effektivt och säkert sätt. Det handlar om ett behov av en mer sömlös informationshantering som ser till att uppgifter finns tillgängliga när de behövs, där de behövs utan omotiverad tidsfördröjning. Inte minst för den enskildes behov av kontinuitet och säkerhet kan tillgång till rätt information i rätt tid vara avgörande.
Mot denna bakgrund föreslår vi en reglering som innebär att olika utförare som bedriver socialtjänst kan – under vissa förutsättningar – få direktåtkomst till personuppgifter hos varandra. Det rör sig således om en möjlighet att på frivillig väg utbyta information om enskilda. Vidare bör regleringen utformas på ett sätt som både motsvarar verksamheternas behov och möjligheter att utbyta uppgifter samt enskildas behov av skydd för den personliga integriteten.
Några utgångspunkter
Det finns en mängd olika tänkbara alternativ för att reglera en sådan direktåtkomst som det är fråga om här. Vi ställer oss dock tveksamma till motsvarande lösning som finns inom hälso- och sjukvården eftersom behoven i socialtjänsten är delvis annorlunda. Inom hälso- och sjukvården behöver uppgifter ofta färdas före patienterna. Detta beror bland annat på att patienterna är rörliga och när som helst kan vända sig till vilken vårdgivare som helst med sitt hälsoproblem. I praktiken behöver uppgifter därför finnas potentiellt tillgängliga på den plats behovet av uppgifter kan komma att uppstå, redan innan detta behov rent faktiskt infinner sig. Det kan vara en fråga om liv eller död att uppgifterna finns snabbt tillgängliga.
Någon sådant omedelbart behov av uppgifter är det oftast inte fråga om inom socialtjänsten. Inom socialtjänsten initieras normalt ett ärende efter en kontakt med den enskilde. En behovsbedömning görs och ett biståndsbeslut fattas. Därefter väljer den enskilde utförare eller blir tilldelad en eller flera utförare. Det finns
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
734
i socialtjänsten helt andra förutsättningar att i samband med handläggningsprocessen och den enskildes val av utförare planera och ordna det informationsutbyte som behövs när väl behovet uppstår. Enligt vår bedömning finns därför inte något behov av att generellt låta uppgifter vara potentiellt tillgängliga för ett ospecificerat antal utförare.
Mot bakgrund av detta är utredningens utgångspunkt att direktåtkomsten, dvs. den potentiella tillgången till uppgifter om enskilda, ska vara begränsad till att avse endast de enskilda som faktiskt och för tillfället är föremål för insatser hos både utlämnande och mottagande utförare. Det innebär vidare att direktåtkomsten endast ska omfatta det informationsutbyte som behövs i samband med genomförandefasen i socialtjänsten. Vi har under arbetets gång övervägt om det även skulle vara tillåtet med direktåtkomst mellan en utförande privat verksamhet och kommunens myndighetsutövande del. Vi har dock inte funnit övervägande skäl som talar för en sådan direktåtkomst. Även om det naturligtvis i vissa situationer finns ett behov av informationsutbyte mellan t.ex. den biståndshandläggande verksamheten och en privat utförare, betraktar vi behovet som mer avgränsat och tillfälligt än vad som är fallet i genomförandefasen.
I sammanhanget ska även nämnas att den uppgiftsskyldighet som vi föreslår för enskilda verksamheter i förhållande till kommunen som huvudman, kommer att ge nya möjligheter jämfört med vad som gäller i dag. Kommunen får med vårt förslag bättre möjligheter att använda personuppgifter som dokumenterats i enskilda verksamheter för att fullgöra huvudmannens ansvar för kvaliteten i socialtjänsten. Ett sådant uppgiftsutbyte kan även göras elektroniskt på medium för automatiserad behandling, t.ex. genom filöverföring. Sammantaget anser vi därför att de förslag som vi lägger i andra delar motsvarar de behov som kommunens myndighetsutövande del har av uppgifter från enskilda utförare.
Genom att införa en bestämmelse som tillåter direktåtkomst görs det exempelvis möjligt för olika verksamheter, kommunala som enskilda, att vid behov ha direktåtkomst till uppgifter rörande en enskild som är föremål för insatser av de olika verksamheterna. Det kan exempelvis handla om att företaget A som står för hemtjänstinsatser dagtid och företaget B som står för motsvarande insatser under kvällstid, kan medge varandra direktåtkomst till uppgifter om den enskilde brukaren som dokumenteras i respektive
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
735
organisation. Det kan göras oavsett om insatser utförs till förmån för en enskild i ordinärt eller i särskilt boende.
För att medge direktåtkomst enligt bestämmelsen ställs ett antal grundläggande krav för att skydda den enskildes personliga integritet. Bestämmelsen kan på inget sätt ge stöd för ett okontrollerat flöde av uppgifter mellan verksamheter som saknar eller har vaga behov av tillgång till uppgifterna. Tillämpningsområdet handlar snarast om de verksamheter som redan i dag kan utbyta uppgifter mellan varandra när bestämmelserna om sekretess och tystnadsplikt ger stöd för det, dvs. när utlämnandet bedöms kunna göras utan att den enskilde lider men av det. I sådana fall ska, med vårt förslag, även modern, säker och effektiv teknik kunna användas.
Vidare riktar sig bestämmelsen till alla som bedriver verksamhet inom socialtjänsten, dvs. både kommunala myndigheter, enskilda verksamheter och Statens institutionsstyrelse.
Bestämmelser om direktåtkomst är inte sekretessbrytande. Av den anledningen föreslår utredningen att det, som en konsekvens av förslaget om direktåtkomst mellan olika utförare, införs en sekretessbrytande bestämmelse som gör detta möjligt. Se vidare avsnitt 27.2.7.
Den enskilde ska vara aktuell i båda verksamheterna
Enligt utredningens förslag får direktåtkomst endast medges till uppgifter som i den utlämnande verksamheten behandlas för dokumentation av genomförande av beslut om bistånd, stödinsatser, vård eller behandling. Vidare krävs att uppgifterna rör en enskild som är föremål för genomförande av sådana insatser hos både utlämnande och mottagande verksamhet inom socialtjänsten. Genom detta krav tydliggörs att direktåtkomst aldrig får medges till uppgifter rörande enskilda som vid utlämnandetillfället inte är föremål för insatser i respektive verksamhet. Den som bedriver verksamhet inom socialtjänsten får därmed inte genom direktåtkomst ha potentiell tillgång till uppgifter om individer som inte är aktuella i den egna verksamheten.
Till skillnad mot vad som gäller för hälso- och sjukvården enligt reglerna om sammanhållen journalföring får olika verksamheter inom socialtjänsten inte genom direktåtkomst hålla personuppgifter rörande individer som möjligen kan bli aktuella i verksamheten tillgängliga för varandra. Mot bakgrund av socialtjänstens
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
736
karaktär saknas det behovet i princip helt. I socialtjänsten finns tid att i samband med biståndshandläggning och val av utförare hantera frågor om behov av informationsöverföring mellan olika verksamheter.
Vår bedömning är att detta krav innebär att behovet av en ändamålsenlig informationshantering balanseras mot behovet av skydd för den personliga integriteten. En enskild som samtycker till denna typ av direktåtkomst ska känna trygghet inför att uppgifterna endast kan nås av den utförare som faktiskt utför insatser för individens räkning. Någon potentiell tillgång, dvs. teknisk möjlighet, att ta del av uppgifterna för andra utförare är således inte tillåtet.
Den enskildes samtycke är en förutsättning
Eftersom de uppgifter som hanteras i socialtjänsten ofta är av integritetskänslig natur är det rimligt att ge den enskilde en rätt att själv ta ställning till frågan om direktåtkomst mellan olika utförare. Det ligger även i linje med den grundläggande principen om frivillighet inom socialtjänsten. Vidare finns, som redovisats ovan, i socialtjänsten inte motsvarande brådskande skäl att hålla personuppgifter tillgängliga som det ofta kan vara fråga om i hälso- och sjukvården. I socialtjänsten är det i allmänhet tillräckligt och fullt möjligt att inhämta ett samtycke under handläggningsprocessen och inför att genomförandet av beslutade insatser startas. Den enskildes delaktighet gör tillsammans med processen i socialtjänsten att det finns goda förutsättningar, t.ex. i form av tid och kontakter, att även låta samtycket ligga till grund för den direktåtkomst som föreslås.
Mot den bakgrunden föreslår vi att en förutsättning för direktåtkomst mellan utförare i socialtjänsten är att den enskilde har lämnat sitt samtycke till detta. Redan i dag inhämtas samtycke i många situationer i socialtjänsten, vilket gör att det bör finnas förutsättningar att inhämta även detta samtycke inom ramen för de befintliga rutinerna.
Det ett sådant samtycke som följer av personuppgiftslagen som avses i vårt förslag. Det innebär att samtycket ska vara frivilligt, särskilt och informerat. Kravet på att samtycket ska vara särskilt innebär att ett helt generellt samtycke till behandling av personuppgifter inte godtas. Det bör egentligen vara oproblematiskt i
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
737
detta fall eftersom det här handlar om den specifika och särskilda situationen när uppgifter behandlas genom att lämnas ut genom direktåtkomst. Dessutom är den tillåtna behandlingen begränsad till den tid när den enskilde får insatser utförda av den som lämnar ut uppgifterna. När insatserna upphör ska inte utlämnande genom direktåtkomst längre få förekomma.
Den som bedriver socialtjänst ska informera den enskilde om vilka slags uppgifter det är fråga om och vilket som är ändamålet med att lämna ut uppgifterna genom direktåtkomst. Först när information har lämnats och den enskilde gett sitt samtycke får personuppgiftsbehandlingen inledas (informerat samtycke). Innan dess får uppgifterna inte göras potentiellt tillgängliga för en annan utförare. Samtycket ska således inhämtas av den personuppgiftsansvarige som står i begrepp att lämna ut personuppgifterna genom direktåtkomst. Många gånger kan det dock finnas behov för två utförare att ömsesidigt lämna ut personuppgifter till varandra genom direktåtkomst. Det finns i sådana fall inget hinder mot att utförarna samarbetar i fråga om rutiner, tillvägagångssätt och praktiskt genomförande för att inhämta samtycke. Många gånger kan det ur den enskildes perspektiv även vara lämpligt. Som redovisats ovan kan det även vara möjligt att ordna samtyckeshanteringen på sådant sätt att det kan göras redan i samband med eller i anslutning till att biståndsbeslutet beviljas och den enskilde väljer utförare av insatserna. Samtycket kan också inhämtas först när den enskilde möter och har kontakt med utförarna av insatserna, t.ex. i samband med hemtjänst i ordinärt eller särskilt boende.
Det krävs inte att samtycket är skriftligt, men vid en eventuell tvist har den personuppgiftsansvarige bevisbördan för att ett giltigt samtycke har inhämtas. Det är således upp till parterna att avgöra om situationen är sådan att ett skriftligt samtycke är att föredra eller inte. Oavsett om den enskilde lämnar samtycke muntligt eller skriftligt, kan det finnas skäl att den personuppgiftsanvarige dokumenterar att samtycke har inhämtats.
Tiden för direktåtkomst är begränsad
För att säkerställa den enskildes integritet föreslår utredningen att den som lämnar ut uppgifter om en enskild genom direktåtkomst får göra det så länge den enskilde är föremål för genomförande av
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
738
bistånd, stödinsatser, vård eller behandling hos den utlämnande verksamheten. När den enskilde inte längre är aktuell i verksamheten ska således utlämnandet genom direktåtkomst upphöra. Syftet med bestämmelsen är att åstadkomma en situation som innebär att personuppgifter inte behandlas för utlämnande genom direktåtkomst längre än vad som behövs med hänsyn till ändamålet med behandlingen. Bestämmelsen förhindrar därmed att olika verksamheter har direktåtkomst till uppgifter i varandras system om enskilda som inte längre är föremål för de olika verksamheternas insatser. Den potentiella tillgången till uppgifter ska därmed vid varje given tidpunkt inte vara större än vad som är motiverat för individens och verksamhetens behov.
27.2.3 Personer med nedsatt beslutsförmåga
Vårt förslag: Den som bedriver verksamhet inom socialtjänsten
får medge en annan sådan verksamhet direktåtkomst till personuppgifter som behandlas för att dokumentera genomförandet av beslut om bistånd, stödinsatser, vård eller behandling om en enskild som inte endast tillfälligt saknar förmåga att lämna samtycke om
1. den enskilde är föremål för genomförande av insatser hos både utlämnande och mottagande verksamhet inom socialtjänsten, och
2. uppgifterna kan antas ha betydelse för att genomföra de insatser som är nödvändiga med hänsyn till den enskildes behov.
Även personer med nedsatt beslutsförmåga, som inte kan samtycka till att information utbyts genom direktåtkomst, har behov av att nödvändig information finns tillgänglig vid en insats. Behovet av tillgång till aktuell information vid rätt tillfälle kan väga tyngre än den enskildes behov av ett sådant skydd för den personliga integriteten som ett exkluderande från dessa möjligheter skulle kunna innebära.
Utredningen har under sitt arbete uppfattat att många enskilda redan i dag förutsätter att viktig information finns tillgänglig vid själva utförande av insatsen. Enligt utredningens bedömning ska det avgörande inte vara i vilken organisation uppgifterna är dokumenterade utan i vilken vård- eller omsorgssituation uppgifterna
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
739
behövs. Detta är än mer nödvändigt när den enskilde inte själv kan redogöra för viktiga detaljer kring sitt tillstånd.
I den föreslagna socialtjänstdatalagen finns antal krav som särskilt syftar till att tillförsäkra den enskilde ett starkt integritetsskydd. Därutöver omfattas den som arbetar i socialtjänsten av bestämmelser om sekretess och tystnadsplikt. Den som bedriver socialtjänst har ett tydligt ansvar för att vidta tekniska och organisatoriska åtgärder för att tillgodose behovet av skydd för den personliga integriteten. Detta kommer bl.a. till utryck genom de bestämmelser om inre sekretess, behörighetsstyrning, åtkomstkontroll m.m. som utredningen föreslår. Det grundläggande integritetsskyddet ska vara starkt för alla som är i behov av socialtjänstens stöd.
Frågan om hur lagstiftaren ska hantera personer som saknar förmåga att ta ställning till en viss personuppgiftsbehandling är komplex och ger upphov till svåra avvägningar. Samtidigt anser vi att lagstiftaren har ett särskilt ansvar för att se till att den grupp människor som kanske har allra mest att vinna på ett smidigt och ändamålsenligt informationsutbyte mellan olika utförare, också omfattas av de möjligheter som gäller för de personer som själva kan föra information vidare och ta ställning i dessa frågor.
Utredningen anser att det finns skäl att möjliggöra direktåtkomst även om den enskilde saknar förmåga att ta ställning till det, men att det samtidigt måste ställas krav på en aktiv bedömning av om det finns något behov av ett sådant informationsutbyte. I det följande redovisas de närmare förutsättningarna enligt vårt förslag.
Om enskild inte endast tillfälligt saknar förmåga att samtycka får, enligt vårt förslag, den som bedriver verksamhet inom socialtjänsten medge en annan sådan verksamhet direktåtkomst till personuppgifter som behandlas för att dokumentera genomförandet av beslut om bistånd, stödinsatser, vård eller behandling för personer som inte endast tillfälligt saknar förmåga att samtycka. Även denna bestämmelse uppställer krav på att uppgifterna rör en enskild som är föremål för genomförande av sådana insatser hos både den utlämnande och mottagande verksamheten inom socialtjänsten.
Enligt utredningens bedömning ska vidare krävas att uppgifterna som omfattas av utlämnande genom direktåtkomst måste bedömas nödvändiga med hänsyn till den enskildes omsorgsbehov eller hälsotillstånd. Det handlar om att de uppgifter som lämnas ut ska bedömas vara nödvändiga med beaktande av den enskildes
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
740
behov och för att uppnå god kvalitet i de insatser som utförs. Detta ställer krav på att den som bedriver verksamhet inom socialtjänsten vid olika situationer dels tar ställning till vilken typ av uppgifter som är nödvändiga att utbyta genom direktåtkomst, dels skapar tekniska förutsättningar för att lämna ut just den för ändamålet relevanta informationen. Bestämmelsen kan därför sägas ge uttryck för målsättningen att se till att rätt information finns på rätt plats, varken mer eller mindre.
Enligt utredningens bedömning är det viktigt att en enskild som inte endast tillfälligt saknar beslutsförmåga ska kunna omfattas av bestämmelserna om direktåtkomst. Behovet av att nödvändiga uppgifter finns tillgängliga i samband med insatser för denna grupp individer går inte att ifrågasätta och väger tyngre än det intrång i den enskildes integritet som dessa bestämmelser kan innebära. Utredningen anser att det inte skulle vara försvarbart att ställa denna grupp av enskilda utanför denna möjlighet till ändamålsenlig informationshantering. Det skulle inte heller vara förenligt med de grundläggande målen i socialtjänstlagen (2001:453), förkortad SoL, om att främja människors sociala trygghet och jämlikhet i levnadsvillkor. Genom kravet på att det för sådan direktåtkomst krävs att uppgifterna behövs för insatser som är nödvändig med hänsyn till den enskildes behov, säkerställs att direktåtkomsten bara är tillåtet i vissa speciella situationer. För att den som arbetar inom socialtjänsten sedan ska få ta del av uppgifterna i ett aktuellt fall krävs att uppgifterna behövs för att kunna genomföra beslut om bistånd, stödinsatser, vård eller behandling. Bestämmelserna om behörighetstilldelning och åtkomstkontroll innebär ett ytterligare skydd för den enskildes integritet.
27.2.4 Tillåtna ändamål vid direktåtkomst till uppgifter hos annan verksamhet
Vårt förslag: I socialtjänstdatalagen ska anges att den som
bedriver verksamhet inom socialtjänsten får ta del av uppgifter om en enskild som har gjorts tillgängliga genom direktåtkomst, endast om uppgifterna behövs för att genomföra beslut om bistånd, stödinsatser, vård eller behandling eller för att systematiskt och fortlöpande utveckla och säkra kvaliteten av sådana insatser, vård eller behandling som har genomförts. I paragrafen ska även tas in en påminnelse om att bestämmelserna om
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
741
behörighetstilldelning och åtkomstkontroll även gäller vid direktåtkomst till uppgifter hos en annan verksamhet.
Vår bedömning: I praktiken tydliggörs genom bestämmelsen
att den som arbetar inom socialtjänsten får ta del av sådana uppgifter om en enskild som gjorts tillgängliga genom direktåtkomst endast om uppgifterna behövs för att genomföra beslut om bistånd, stödinsatser, vård eller behandling eller för att säkra och utveckla kvaliteten av sådan verksamhet.
Tillåtna ändamål
I avsnittet ovan har vi redogjort för när direktåtkomst överhuvudtaget får göras möjligt. För att motsvara de högt ställda kraven för att tillvarata den enskildes integritet anser utredningen att dessa bestämmelser måste kompletteras med en bestämmelse om vad direktåtkomsten får användas till, dvs. för vilka ändamål den som bedriver verksamhet inom socialtjänst får ta del av uppgifter hos annan som bedriver sådan verksamhet. Bestämmelsen riktar sig till den som ansvarar för verksamheten, men ska också ge närmare vägledning för de som arbetar i socialtjänsten och tydliggöra för vilka skäl de kan ta del av uppgifter genom direktåtkomst.
Syftet med bestämmelserna om direktåtkomst är att förbättra omhändertagandet om den enskilde genom att de som arbetar inom socialtjänsten får tillgång till rätt information på ett snabbt och tekniksäkert sätt. Den som arbetar hos någon som bedriver verksamhet inom socialtjänsten ska därför få ta del av sådana uppgifter om en enskild som gjorts tillgängliga genom direktåtkomst, om uppgifterna behövs för att genomföra beslut om bistånd, stödinsatser, vård eller behandling. Bestämmelsen bygger på socialtjänstdatalagens grundläggande ändamålsbestämmelse, där ett tillåtet ändamål är personuppgiftsbehandling för genomförande av beslut om bistånd, stödinsatser, vård eller behandling.
Vidare anser utredningen att verksamheter som har ett nära samarbete kring en enskild också måste kunna utvecklas och förbättras. Behoven av att kvalitetssäkra och utveckla socialtjänsten är inte mindre i dessa situationer jämfört med situationer där individens alla insatser tillgodoses av en och samma aktör. För att inte förutsättningarna för att kvalitetssäkra den socialtjänst
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
742
enskilda får i dessa fall ska vara sämre än motsvarande förutsättningar i den egna verksamheten, krävs att reglerna om informationshantering inte sätter upp hinder för detta. Mångfalden av utförare och ökade möjligheter för enskilda att fritt välja utförare gör också att allt fler aktörer är involverade i de insatser som enskilda blivit beviljade. För att enskilda ska tillförsäkras en socialtjänst av hög kvalitet behöver det finnas goda legala möjligheter att bedriva ett effektivt kvalitetssäkringsarbete vid sådana samarbeten.
Mot den bakgrunden föreslår utredningen att direktåtkomst också ska få användas för att systematiskt och fortlöpande utveckla och säkra kvaliteten av sådana insatser, vård och behandling som enskilda har fått. Det handlar därmed om att kvalitetssäkra den egna verksamheten i relation till enskilda som är föremål för flera olika aktörers insatser och samverkan.
Utredningens förslag innebär således en begränsning av för vilka ändamål den som bedriver verksamhet inom socialtjänsten genom direktåtkomst får ta del av uppgifter hos annan som bedriver sådan verksamhet, jämfört med vad som gäller för personuppgiftsbehandling i den egna verksamheten.
I övrigt ska dock enskilda yrkesutövare göra samma bedömning som gäller när yrkesutövaren tar del av uppgifter i den egna verksamheten. Det betyder att den grundläggande bestämmelsen om inre sekretess även gäller vid sådan direktåtkomst som de här är fråga om. Det är således endast den som har behov av uppgifterna för att kunna genomföra beslut om bistånd, stödinsatser, vård eller behandling eller för att säkra och utveckla kvaliteten av sådana insatser m.m. som har en laglig rätt att ta del av dem.
Behörighetsstyrning och åtkomstkontroll
Det är viktigt att framhålla att de grundläggande bestämmelserna om behörighetsstyrning och åtkomstkontroll gäller för personalens åtkomst till uppgifter som annan verksamhet gjort tillgängliga genom direktåtkomst. Det innebär exempelvis att den som bedriver verksamhet inom socialtjänsten måste analysera vilka anställda som behöver tillgång till vilka uppgifter som gjorts tillgängliga av andra verksamheter och därefter utforma och tilldela behörigheter som är begränsade till den respektive anställdes behov av uppgifter.
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
743
Det uppställs även krav på dokumentation av åtkomst och kontroll av åtkomst när personal genom direktåtkomst tar del av uppgifter som en annan verksamhet gjort tillgängliga.
Utredningen föreslår att en påminnelse om att socialtjänstdatalagens bestämmelser om behörighetstilldelning och åtkomstkontroll även gäller vid direktåtkomst till uppgifter hos en annan verksamhet, tas in i den här aktuella paragrafen om direktåtkomst.
27.2.5 Personuppgiftsansvar
Vårt förslag: Den som bedriver verksamhet inom socialtjänsten
är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som utförs i dess verksamhet. Det omfattar även sådan behandling av personuppgifter som görs när den som bedriver verksamhet inom socialtjänsten genom direktåtkomst lämnar ut eller tar del av personuppgifter.
Enligt den grundläggande bestämmelsen i socialtjänstdatalagen om personuppgiftsansvar gäller att den som bedriver verksamhet inom socialtjänsten är personuppgiftsansvarig för den behandling av personuppgifter som utförs i dess verksamhet. Utredningens bedömning är att motsvarande bestämmelse ska gälla även vid sådan personuppgiftsbehandling som utförs när den som bedriver verksamhet inom socialtjänsten genom direktåtkomst som nu är aktuell lämnar ut personuppgifter eller genom direktåtkomst tar del av personuppgifter som annan sådan verksamhet gjort tillgängliga.
Detta innebär att bl.a. att den som gör en personuppgift tillgänglig genom direktåtkomst har personuppgiftsansvar för att det görs i enlighet med de grundläggande bestämmelserna. Vilket innebär att det ska avse genomförande av beslut om bistånd, stödinsatser, vård eller behandling om det avser en enskild som är föremål för genomförande av sådana insatser hos både utlämnande och mottagande verksamhet. Den enskilde ska även samtycka till det. På motsvarande sätt är den som bedriver verksamhet inom socialtjänsten och som genom direktåtkomst tar del av personuppgifter som gjorts tillgängliga, personuppgiftsansvarig för den personuppgiftsbehandling som detta innebär. Det personuppgiftsansvaret omfattar således ett ansvar för att de grundläggande
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
744
förutsättningarna för att få använda direktåtkomsten är uppfyllda. Ansvaret omfattar även att säkerställa att kraven på behörighetstilldelning och åtkomstkontroll tillgodoses.
27.2.6 Bevarande och gallring
Vårt förslag: När personuppgifter genom direktåtkomst är
tillgängliga för flera som bedriver verksamhet inom socialtjänsten gäller skyldigheten att bevara uppgifterna endast den som ansvarar för uppgiften. Om en uppgift är tillgänglig för en kommunal myndighet och Statens institutionsstyrelse bara genom direktåtkomst och myndigheten inte ansvarar för uppgiften, får myndigheten gallra den från sitt arkiv.
Grundläggande bestämmelser om bevarande och gallring av uppgifter i socialtjänsten finns i socialtjänstlagen och i lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS. Dessutom gäller bestämmelserna i arkivlagen (1990:782) för bevarande och gallring av allmänna handlingar. När direktåtkomst nu föreslås behöver det klargöras vem som har skyldighet att bevara uppgifterna. När personuppgifter är tillgängliga genom direktåtkomst för flera som bedriver verksamhet inom socialtjänsten så ska skyldigheten att bevara uppgifterna endast gälla den som ansvarar för uppgifterna. Detta ansvar har alltså inte den som endast har potentiell tillgång till dessa uppgifter. Det innebär i princip att det för respektive uppgift som görs tillgänglig genom direktåtkomst endast är en verksamhet som har ansvaret för att uppgiften bevaras, arkiveras och gallras.
Om en uppgift bara är tillgänglig för en kommunal myndighet och Statens institutionsstyrelse genom direktåtkomst och myndigheten inte ansvarar för uppgiften ska myndigheten få gallra den från sitt arkiv. Den här gallringsregeln behövs bland annat för att inte någon av de deltagande myndigheterna ska bli arkivansvariga för enskilda verksamheters uppgifter som myndigheten har potentiell tillgång till.
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
745
27.2.7 Sekretessbrytande regel
Vårt förslag: En bestämmelse ska införas i 26 kap. OSL och
ange att sekretess enligt 26 kap. 1 § inte hindrar att uppgift lämnas till en myndighet som bedriver verksamhet socialtjänst eller till en enskild verksamhet på socialtjänstens område enligt vad som föreskrivs om direktåtkomst i 5 kap. socialtjänstdatalagen.
Vår bedömning: Bestämmelsen syftar till att möjliggöra den
direktåtkomst mellan olika verksamheter i socialtjänsten som föreslås i socialtjänstdatalagen. Någon motsvarande bestämmelse som bryter tystnadsplikten i privat verksamhet bedöms inte behövas. Inte heller behövs någon bestämmelse om absolut sekretess som liknar den som i dag gäller vid direktåtkomst mellan vårdgivare i hälso- och sjukvården (25 kap. 2 § OSL).
Utredningen har föreslagit bestämmelser i socialtjänstdatalagen som möjliggör att en kommun, som bedriver socialtjänst genom flera myndigheter eller sådana kommunala bolag som avser i 2 kap. 3 § OSL, ska kunna ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet eller bolag i samma kommun (se avsnitt 27.2.1). Direktåtkomst ska även vara möjligt för olika utförare inom socialtjänsten att lämna ut personuppgifter genom direktåtkomst till annan som bedriver verksamhet inom socialtjänsten (avsnitt 27.2.2).
Utredningen har även konstaterat att förslagen om sekretessgenombrott (avsnitt 27.2.1) inte upphäver sekretessgränser mellan en myndighet inom socialtjänsten i en kommun till en annan sådan myndighet i samma kommun. Det innebär bland annat att det fortfarande är fråga om ett utlämnande enligt tryckfrihetsförordningens och offentlighets- och sekretesslagens mening när uppgifter utbyts mellan nämnderna och att det krävs en särskild bestämmelse som tillåter nämnderna att ha direktåtkomst till varandras uppgifter.
Vid direktåtkomst blir personuppgifter potentiellt tillgängliga för myndigheter eller andra som bedriver verksamhet inom socialtjänst och det görs ett utlämnande i tryckfrihetsförordningens och offentlighets- och sekretesslagens mening. Redan i detta skede måste en myndighet göra en prövning av om det finns
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
746
något hinder enligt offentlighets- och sekretesslagen mot att uppgifterna lämnas ut till samtliga mottagare som har tillgång till uppgifterna.
Socialtjänstsekretessen har ett omvänt rekvisit som förutsätter en prövning i varje enskilt fall av om socialtjänstdokumentation kan lämnas ut utan men för den enskilde eller någon närstående till honom eller henne.2Det är inte möjligt att använda de sekretessbrytande undantagen som i övrigt finns i offentlighets- och sekretesslagen när det är fråga om direktåtkomst eftersom grunden är att uppgifterna ska finnas potentiellt tillgängliga under de förutsättningar som anges i socialtjänstdatalagen. Den så kallade generalklausulen i 10 kap. 27 § OSL, som inskränker i vissa delar sekretesskyddet, omfattar inte socialtjänstsekretess. Bestämmelsen i 10 kap. 2 § OSL som säger att sekretess inte utgör hinder mot att en uppgift lämnas ut till en enskild eller till en annan myndighet om det är nödvändigt för att den myndighet som lämnar ut uppgiften ska kunna göra fullgöra sin egen verksamhet kan inte användas. Inte heller finns det någon uppgiftsskyldighet som avses i 10 kap. 28 § samma lag som skulle möjliggöra nu aktuellt utlämnade.
Bestämmelserna om direktåtkomst enligt 5 kap. socialtjänstdatalagen innebär att den enskilde ska vara föremål för genomförande av beslutade insatser både hos utlämnande och mottagande verksamhet inom socialtjänsten och att den enskilde ska samtycka till direktåtkomsten. Den enskildes samtycke innebär bara att direktåtkomst får användas men innebär inte ett samtycke i varje enskilt fall, vilket krävs för att ett utlämnande ska få göras med stöd av samtycke enligt offentlighets- och sekretesslagen.3
Socialtjänstsekretessen utgör därmed ett hinder mot att möjliggöra direktåtkomst, om det inte införs en sekretessbrytande regel. Det krävs alltså ändringar i offentlighets- och sekretesslagen för att föreslaget om direktåtkomst ska kunna tillämpas. Utredningen föreslår därför att en sekretessbrytande regel tas in i offentlighets- och sekretesslagen för att möjliggöra föreslagen om direktåtkomst.
Utredningens bedömning är att det inte finns några skäl ur integritetssynpunkt som talar emot förslaget om sekretessbrytande regel när det gäller direktåtkomst, eftersom förslaget ska ses tillsammans med övriga förslag till integritetskyddande regler i socialtjänstdatalagen. Som framgår av avsnitt 27.2.4 ska direktåt-
226 kap. 1 § offentlighets- och sekretesslagen (2009:400). 3 Jfr 12 kap. 2 § offentlighets- och sekretesslagen.
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
747
komst bara vara möjligt då den enskilde är föremål för genomförande av beslutade insatser hos både utlämnande och mottagande verksamhet inom socialtjänsten och när den enskilde samtycker till direktåtkomsten. Det införs även bestämmelser om att det ska göras en risk- och sårbarhetsanalys och en överenskommelse om informationssäkerhet m.m. innan direktåtkomst möjliggörs samt om att direktåtkomsten ska begränsas i tid. I de fall den enskilde inte kan samtycka på grund av att denne inte endast tillfälligt saknar beslutsförmåga, får direktåtkomst medges bara om uppgifterna kan antas ha betydelse för att genomföra de insatser som är nödvändiga med hänsyn till den enskildes behov.
För att ytterligare stärka individens behov av integritetsskydd har utredningen även föreslagit att författningsbestämmelser om inre sekretess, behörighetsstyrning och åtkomstkontroll införs i den nya socialtjänstdatalagen (se avsnitt 24). Bestämmelserna saknas i dag och bidrar enligt utredningens bedömning till att stärka integritetsskyddet och upprätthålla förtroendet för informationshanteringen i socialtjänsten. I socialtjänstdatalagen föreslås också bestämmelser om en enskilds rätt att kontrollera vilken åtkomst som faktiskt har förekommit till dokumentationen. Utredningens bedömning är att de bestämmelser som föreslås i socialtjänstdatalagen sammantaget ger ett gott integritetsskydd som klart uppväger den föreslagna lättnaden sekretessen.
Tystnadsplikten i enskild verksamhet
Offentlighets- och sekretesslagen gäller bara för den allmänna socialtjänsten. För personal inom den enskilda verksamheten inom socialtjänsten gäller tystnadsplikt enligt 15 kap. 1 § SoL och 29 § LSS. Tystnadsplikten innebär att den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet som avser insatser enligt socialtjänstlagen och lagen om stöd och service till viss funktionshindrade inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskildas personliga förhållande.
Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Vid tolkningen av detta obehörighetsrekvisit har det ansetts naturligt att söka ledning i offentlighets- och sekretesslagens regler.4
4 Jfr prop. 2005/06:141 s. 63 och prop. 2005/06:161 s. 82 och 93.
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
748
Mot bakgrund av att en sekretessbrytande regel införs i offentlighets- och sekretesslagen och med hänsyn till att det i socialtjänstdatalagen anges förutsättningarna för när direktåtkomst kan medges gör utredningen bedömningen att tystnadsplikten i den yrkesmässigt bedrivna enskilda verksamheten inte utgör något hinder mot den direktåtkomst som föreslås.
Bestämmelse om absolut sekretess behövs inte
För myndigheters del innebär en potentiell tillgång till uppgifter genom direktåtkomst att uppgifterna anses som en förvarad och inkommen allmän handling, i enlighet med tryckfrihetsförordningens bestämmelser, hos varje myndighet som är ansluten till systemet med direktåtkomst. Därför uppkommer vissa särskilda frågor om sekretess. Även uppgifter som genom direktåtkomst görs tillgängliga för myndigheter av enskilda, privata, verksamheter blir redan vid tillgängliggörandet inkomna allmänna handlingar hos samtliga myndigheter som tekniskt kan bereda sig tillgång till uppgifterna.
En konsekvens av detta är att en begäran om att få del av allmänna handlingar ur systemet för direktåtkomst kan riktas till vem som helst av de anslutna myndigheterna. För hälso- och sjukvårdens del finns därför en bestämmelse om absolut sekretess i 25 kap. 2 § OSL. Bestämmelsen har bedömts nödvändig eftersom hälso- och sjukvårdssekretessen inte är absolut. Vid avsaknaden av bestämmelser om absolut sekretess skulle därför en vårdgivare som är ansluten till ett system för sammanhållen journalföring, om någon begär att uppgifter i systemet lämnas ut, vara tvungen att ta del av uppgifterna för att kunna pröva om de kan lämnas ut, oavsett om vårdgivaren har någon patientrelation till den aktuella patienten. För att förhindra sådan omotiverad åtkomst till uppgifter endast för att kunna ta ställning till frågan om utlämnande finns därför en bestämmelse om absolut sekretess. Bestämmelsen innebär att absolut sekretess gäller hos en vårdgivande myndighet för uppgifter som en annan vårdgivare har gjort tillgänglig för myndigheten i ett system för sammanhållen journalföring i sådana situationer då de förutsättningar för behandling av uppgifterna som anges i 6 kap. patientdatalagen inte är uppfyllda. När myndigheten saknar befogenhet enligt patientdatalagen att behandla uppgifterna ska uppgifterna således omfattas av absolut sekretess och
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
749
myndigheten skulle då inte behöva ta del av de närmare uppgifterna om personen för att kunna konstatera att så är fallet.
Även vårt förslag om direktåtkomst mellan de som bedriver socialtjänst innebär att uppgifter som är tillgängliga genom direktåtkomst är att anse som allmänna handlingar enligt tryckfrihetsförordningen. Vi har därför övervägt om det även för socialtjänstens del behövs en motsvarande bestämmelse om absolut sekretess. I denna del har vi dock kommit fram till att det, på grund av konstruktionen av förslaget om direktåtkomst i socialtjänstdatalagen, inte är motiverat. Till skillnad mot vad som gäller i system för sammanhållen journalföring får de som bedriver socialtjänst endast ha direktåtkomst, dvs. teknisk möjlighet att ta del av uppgifter, avseende enskilda som är föremål för genomförandeinsatser i verksamheten. Någon potentiell tillgång till uppgifter rörande enskilda som inte är aktuell i verksamheten är det därför inte fråga om. Mot den bakgrunden bedömer vi att det inte är motiverat med bestämmelser om absolut sekretess för direktåtkomst mellan utförare i socialtjänsten.
751
28 Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten
28.1 Bakgrund
Verksamhet inom socialtjänsten ska enligt grundläggande bestämmelser i 3 kap. 3 § i socialtjänstlagen (2001:453), förkortad SoL, vara av god kvalitet. Av bestämmelsen följer även att det för utförandet av arbetsuppgifter i socialtjänsten ska finnas personal med lämplig utbildning och erfarenhet. Vidare anges att krav på att kvaliteten i verksamheten systematiskt och fortlöpande utvecklas och säkras. Motsvarande krav ställs även i lagen (1993:387) om stöd och service till vissa funktionshindrade.
Socialstyrelsen har sedan i föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete närmare preciserat kraven på socialtjänsten. Bland annat ska den som bedriver socialtjänst ha ett ledningssystem som ska användas för att systematiskt och fortlöpande utveckla och säkra verksamhetens kvalitet. Den som bedriver verksamheten ska med stöd av ledningssystemet planera, leda, kontrollera, följa upp, utvärdera och förbättra verksamheten. Ledningssystemet ska vidare ge stöd åt ett fortlöpande systematiskt förbättringsarbete, där vikt läggs vid förebyggande åtgärder som riskanalyser för att kunna hindra att enskilda tar skada eller att missförhållanden eller andra avvikelser inträffar. I föreskrifterna definieras kvalitet som att en verksamhet uppfyller de krav och de mål som gäller för verksamheten enligt lagar och andra föreskrifter om socialtjänst och stöd och service till vissa funktionshindrade och beslut som har meddelats med stöd av sådana föreskrifter.
Lagstiftningen och Socialstyrelsens föreskrifter innebär att socialtjänsten måste arbeta systematiskt med att utveckla och säkra
Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten SOU 2014:23
752
kvaliteten i alla nivåer av verksamheten. Kvalitetsbegreppet omfattar därmed socialtjänstens strukturinriktade, allmänt inriktade och individinriktade verksamhet. Vidare gäller kraven på god kvalitet för alla som bedriver socialtjänst, offentliga som enskilda verksamheter.
Utredningen har under arbetets gång kunnat konstatera att det pågår flera olika utvecklingsprojekt, både lokal, regionalt och nationellt, för att stödja kvalitetsutvecklingen inom socialtjänsten. I detta sammanhang kan exempelvis nämnas de olika satsningar som görs inom ramen för regeringens och Sveriges Kommuner och Landstings, SKL, överenskommelse om evidensbaserad praktik. Regeringen och SKL ingick 2010 en överenskommelse om en plattform för arbete med att utveckla en evidensbaserad praktik inom socialtjänsten. Målet är att enskilda ska få ta del av insatser som bygger på bästa tillgängliga kunskap. Med evidensbaserad praktik innebär, enligt överenskommelsen från 2013, en medveten och systematisk användning av flera kunskapskällor för beslut om insatser. Tanken är att den enskilde och yrkesutövarna utifrån bästa tillgängliga kunskap, den enskildes erfarenheter och professionernas expertis fattar beslut om lämpliga insatser. Evidensbaserad praktik beskrivs även som ett förhållningssätt för ett ständigt och systematiskt lärande. Som ett exempel kan nämnas programmet Leda för Resultat, som arbetar för att öka kunskapen om hur ledningen i socialtjänsten kan arbeta strategiskt med resultatstyrning för att öka kvaliteten och utveckla verksamheten. Ett annat exempel är satsningarna som görs för att initiera, genomföra och utveckla en systematisk uppföljning inom de verksamhetsområden som riktar sig till personer med funktionshinder. Satsningen är inriktad på uppföljning både på individ-, verksamhets- och systemnivå. Ett tredje exempel är satsningen för att påskynda och underlätta utvecklingen av eHälsa i socialtjänsten, dels genom statliga stimulansmedel till kommunerna och regionala samordnare, dels genom nationella stödinsatser.
Insatserna för att främja en evidensbaserad praktik och utvecklingen av eHälsa har flera gemensamma nämnare. För båda områdena är frågor om informationshantering centrala. De handlar båda om ett strategiskt utvecklingsarbete som enskilda kommuner kan ha svårt att genomföra helt på egen hand. Utvecklingen av en enhetlig och strukturerad dokumentation är en del av arbetet med ehälsa, och är också en förutsättning för en evidensbaserad praktik
SOU 2014:23 Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten
753
baserad på ett systematiskt lärarande och uppföljning av resultat och arbetssätt.
Vidare behövs en nationell informationsstruktur för att information ska kunna återanvändas i olika verksamheter, av olika användare och för olika ändamål. I överenskommelsen pekas därför särskilt på sambandet mellan evidensbaserad praktik och eHälsa.1
Verksamhetsuppföljning och kvalitetsarbete kan bedrivas på en mängd olika sätt, i olika skeden och på olika nivåer i verksamheten. För att följa upp och säkra kvaliteten i verksamheten samt skapa bättre resultat för individerna i socialtjänsten finns därför ofta ett behov av att låta dokumenterade uppgifter om enskilda och om genomförandet av insatser samt resultaten av dessa ligga till grund för ett ständigt förbättringsarbete. Personuppgiftbehandlingen behöver utföras i olika skeden av ett systematiskt kvalitetsarbete. Det är nödvändigt för att ge underlag för att kunna mäta och värdera resultatet av verksamhetens insatser, identifiera förbättringsområden, kartlägga processer och följa upp effekter av olika arbetssätt. Dagens socialtjänst med valfrihet för individer och ökad mångfald av utförare ställer även delvis nya krav på kvalitetssäkringen. I egenskap av huvudman har kommunen ett ansvar för socialtjänsten, oavsett om den bedrivs i egen regi eller av enskilda utförare. Det finns behov av att hålla ihop kvalitetsarbetet så att medborgare tillförsäkras en god kvalitet i socialtjänsten oavsett vilken aktör som står för genomförandet av insatsen. Mot den bakgrunden behöver även informationshanteringen för att utveckla kvaliteten i socialtjänsten i större utsträckning än tidigare ta sin utgångspunkt i och följa individernas processer och deras möten med kommunala eller privata utförare av socialtjänst.
Vårt uppdrag
Personuppgiftsbehandling för verksamhetsuppföljning och kvalitetssäkring kan göras på många olika sätt och på olika nivåer i socialtjänsten. På verksamhetsnivå, t.ex. inom en utförares verksamhet, används ofta personuppgifter för utförarens lokala kvalitetsarbete. Vid sidan om detta finns även behov för kommunen i egenskap av huvudman för socialtjänsten att kunna behandla personuppgifter som dokumenterats hos olika utförare för att i sin
1 Stöd till en evidensbaserad praktik för god kvalitet inom socialtjänsten, Överenskommelser för år 2013 mellan staten och Sveriges Kommuner och Landsting.
Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten SOU 2014:23
754
tur kunna arbeta med den övergripande kvalitetssäkringen av socialtjänsten i kommunen. Därutöver kan viss personuppgiftsbehandling aktualiseras vid uppföljning, analyser och jämförelser av kvaliteten i socialtjänsten i olika delar av landet.
I utredningens direktiv anför regeringen att personal och beslutsfattare bör få använda uppgifter i olika slags stödsystem för att löpande kvalitetssäkra och förbättra insatserna som vänder sig direkt till enskilda och att relevant lagstiftning bör främja en effektiv och ständigt pågående förbättringsprocess inom socialtjänsten.2
Vidare har under utredningens arbete i olika sammanhang frågan väckts om socialtjänsten har behov av en motsvarande reglering som finns för hälso- och sjukvårdens del i form av regelverket för nationella och regionala kvalitetsregister.
28.2 Våra överväganden
Vår bedömning: Våra förslag i tidigare avsnitt innebär förbätt-
rade möjligheter till verksamhetsuppföljning och kvalitetssäkring inom socialtjänsten. Vi har inte funnit övervägande skäl som talar för att en motsvarighet till regleringen av nationella kvalitetsregister i hälso- och sjukvården bör införas på socialtjänstens område. Vi bedömer att socialtjänsten med våra förslag får förutsättningar att bedriva ett systematiskt kvalitetsarbete som i praktiken kan jämföras med hälso- och sjukvårdens möjligheter.
Vi har i tidigare avsnitt redogjort för ett antal förslag som på olika sätt förbättrar möjligheterna till kvalitetssäkring och verksamhetsuppföljning på socialtjänstens område. Våra förslag ger ökade möjligheter såväl för ett lokalt kvalitetsarbete exempelvis hos enskilda utförare av socialtjänst, som för ett mer övergripande kvalitetsarbete hos den ansvariga kommunen. I praktiken innebär våra förslag, som vi ser det, även bättre förutsättningar att implementera system för kvalitetssäkring och uppföljning som möjliggör uppföljning och jämförelser av socialtjänstens verksamhet i olika delar av landet.
2 Dir. 2011:11.
SOU 2014:23 Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten
755
Förslagen är dock i viss utsträckning utspridda på ett antal olika avsnitt i detta betänkande. Det kan därför finnas anledning att här lämna en korfattad, men mer samlad bild såväl av de enskilda förslagens påverkan på möjligheter till kvalitetssäkring och verksamhetsuppföljning som av förslagens samlade effekt.
Ändamålsbestämmelser som inkluderar kvalitetsarbete och verksamhetsuppföljning för alla som bedriver socialtjänst
Av vårt förslag till ändamålsbestämmelse i socialtjänstdatalagen framgår att personuppgifter ska få användas även för verksamhetsuppföljning och kvalitetssäkring. I många fall torde det vara fråga om uppgifter som primärt samlats in därför att de behövs i den individinriktade verksamheten, vid handläggning av ärenden eller vid genomförandet av insatser, och som sedan återanvänds för uppföljning och kvalitetssäkring. Samtidigt kan det även vara fråga om att samla in personuppgifter särskilt för något av dessa ändamål, t.ex. genom att be enskilda fylla i enkäter kring upplevelserna av socialtjänstens verksamhet.
För kommunala myndigheter är detta möjligt redan i dag, men med vårt förslag görs personuppgiftsbehandling för dessa ändamål även möjliga för enskilda verksamheter inom socialtjänstens område. Vi har tidigare pekat på att begränsningarna för enskilda verksamheter att behandla personuppgifter för kvalitetssäkring inverkar negativt på enskilda individers möjligheter att få en jämlik och högkvalitativ socialtjänst oberoende av vilken aktör som står för genomförandet av insatser. Med vårt förslag ges verksamheter som utför likartade insatser samma möjligheter att bedriva ett ständigt förbättringsarbete genom en systematisk kvalitetssäkring.
De möjligheter som tillhandahålls innebär att personuppgifter får behandlas om det behövs för kvalitetssäkring och verksamhetsutveckling, men förslaget innebär naturligtvis inte att det blir tilllåtet att utan inskränkning eller behovsbedömning behandla personuppgifter. Den grundläggande begränsningen i personuppgiftslagen (1998:204) om att inte fler personuppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, måste alltid beaktas. Det gäller oavsett vilka syften personuppgifter behandlas för och innebär att den personuppgiftsansvarige alltid har att bedöma vilka personuppgifter som behöver användas för olika ändamål. Särskilt vid sådan personuppgiftsbehandling som
Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten SOU 2014:23
756
inte direkt syftar till att öka nyttan för den individ vars personuppgifter behandlas, finns skäl att vara särskilt noggrann vid bedömningen av vilka uppgifter som behöver behandlas och i vilken utsträckning det exempelvis räcker att behandla personuppgifter som endast indirekt pekar ut den enskilde. Samtidigt bedömer utredningen att den tekniska utvecklingen har medfört att personuppgiftsbehandling för ändamål som exempelvis kvalitetssäkring och verksamhetsuppföljning i delar av bearbetningen borde kunna göras utan att personuppgifter som direkt identifierar enskilda exponeras. I regel saknas det exempelvis behov av direkt utpekande personuppgifter i sådana resultatsammanställningar som tas fram. Se vidare avsnitt 23 om ändamålsbestämmelsen.
Ny sekretessreglering, uppgiftsskyldighet och nya möjligheter till direktåtkomst ger bättre förutsättningar för kvalitetsarbete och verksamhetsutveckling
I sammanhanget kan förtydligas att uppföljning av socialtjänst på ett övergripande plan inom en myndighet inte är att betrakta som en egen verksamhetsgren som är självständig i förhållande till den individinriktade verksamheten inom samma myndighet på sätt som avses i 8 kap. 2 § offentlighets- och sekretesslagen (2009:400). Motsvarande bedömningar har bland annat gjorts på hälso- och sjukvårdens område i samband med patientdatareformen.3 I förarbetena till lagen (2005:787) om behandling av personuppgifter i Tullverkets verksamhet framhöll regeringen, med anledning av lagrådets påpekande, att planering, uppföljning och utvärdering av verksamheten i fråga måste anses vara en så integrerad del av själva verksamheten att den inte kan ses som en fristående aktivitet.4Detta innebär att det inte finns någon formell gräns mellan verksamhetsuppföljning på ett övergripande plan och den individinriktade socialtjänstverksamheten. Så länge det bedrivs inom samma myndighet finns det således ingen sekretessgräns mellan dessa verksamheter.
Däremot finns det i dag en sekretessgräns mellan olika myndigheter som bedriver socialtjänst inom samma kommun, dvs. mellan olika nämnder som delats upp efter sakområden, geografiska områden eller på annat sätt. För att kvalitetsarbete och verksam-
3SOU 2006:82 s. 418. 4Prop. 2004:05:164 s. 66.
SOU 2014:23 Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten
757
hetsuppföljning ska kunna göras på central nivå i kommunen, krävs i dagsläget således att en sekretessprövning leder till att uppgifterna kan lämnas ut till den kommunala myndighet som är tänkt att genomföra verksamhetsuppföljningen eller kvalitetssäkringsarbetet. Enligt utredningens bedömning kan sekretessregleringen därmed begränsa möjligheterna till gemensam och individbaserad uppföljning avseende kommunens totala socialtjänstverksamhet.
Vi har, bland annat mot bakgrund av ovanstående, i avsnitt 21 lämnat förslag till en mer ändamålsenlig sekretessreglering i socialtjänsten. Vårt förslag om slopade sekretessgränser mellan nämnder och kommunala bolag i en kommun, har inte bara betydelse för den informationshantering som förekommer i den individinriktade verksamheten utan omfattar också utbyte av uppgifter för uppföljning och kvalitetssäkring. Ett sådant uppgiftsutbyte kommer enligt vårt förslag att kunna göras utan hinder av sekretess. I praktiken innebär det att kommunen, med hjälp av att behandla personuppgifter, kan genomföra en mer samlad verksamhetsuppföljning än vad som är fallet om uppgifter inte hade fått sambearbetas mellan de olika kommunala myndigheterna på socialtjänstens område. Vårt förslag innebär att alla kommuner, alldeles oavsett hur de har valt att organisera sin myndighetsstruktur inom socialtjänsten, får samma legala möjligheter att följa upp, säkra och utveckla kvaliteten i verksamheten.
Därutöver har vi i avsnitt 27 lämnat förslag till nya möjligheter till direktåtkomst till personuppgifter som behandlas enligt socialtjänstdatalagen. Utredningens förslag till direktåtkomst mellan myndigheter och kommunala bolag på socialtjänstens område i samma kommun innebär ökade möjligheter att arrangera personuppgiftsbehandlingen på ett ändamålsenligt och effektivt sätt, även för behov som finns för verksamhetens uppföljning. Sammantaget kommer det att vara möjligt för en kommun att, med stöd av moderna tekniska lösningar, behandla personuppgifter för kvalitetssäkring och uppföljning även om uppgifterna är utspridda i olika system hos olika kommunala myndigheter inom socialtjänsten.
Vidare är utredningens generella utgångspunkt att det kommunala huvudmannaskapet innebär ett ansvar för uppföljning och kvalitetssäkring av all socialtjänstverksamhet som erbjuds invånarna. Det innebär att kommunen bör ha motsvarande möjligheter att följa upp kvaliteten av insatser som utförs av sådana enskilda verksamheter som kommunen har huvudmannaansvar för. Det har i tidigare utredningar bedömts att reglerna om tystnads-
Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten SOU 2014:23
758
plikt inte hindrar ett utlämnande från en enskild verksamhet till den kommunala myndighet som ansvarar för verksamheten.5 Det saknas dock uttryckligt lagstöd för en sådan bedömning. Mot den bakgrunden har vi i avsnitt 21.3.2 lämnat förslag om uppgiftsskyldighet som tydliggör att ett sådant utlämnande kan göras utan hinder av tystnadsplikt. Vårt förslag innebär att det är tillåtet för enskilda verksamheter inom socialtjänsten att lämna ut de uppgifter som den beslutande kommunala nämnden behöver t.ex. för kvalitetssäkring och verksamhetsuppföljning. Förslaget innebär ingen inskränkning i den enskilda verksamhetens eget ansvar för att bedriva ett systematiskt kvalitetsarbete, men det gör det möjligt för kommunen att genomföra en samlad uppföljning av all socialtjänstverksamhet som kommunen ansvarar för gentemot invånarna. I sammanhanget ska samtidigt erinras om att kommunen alltid har att göra en bedömning av vilka personuppgifter som är nödvändiga att behandla för att följa upp och säkra kvaliteten i verksamheten. Att slentrianmässigt begära uppgifter från enskilda verksamheter utan att ha gjort en närmare analys av uppgifterna är nödvändiga med hänsyn till ändamålet kommer inte att vara tillåtet.
När det gäller tillvägagångssättet för utlämnande av uppgifter från enskilda verksamheter till den ansvariga kommunala myndigheten innebär vårt förslag att uppgifterna kan lämnas ut på medium för automatiserad behandling, dvs. elektroniskt. Vi föreslår däremot inte att utlämnandet ska kunna göras genom direktåtkomst. Något sådant behov för den kommunala nämnden att på eget initiativ och utan att den enskilda verksamheten vet vilka uppgifter kommunen tar del av eller när det görs, har vi inte funnit. Vi bedömer snarare att kommunen har ett behov av att arbeta aktivt med frågan om vilka typer av uppgifter som behövs för ändamål som rör verksamhetens uppföljning och utifrån det tillhandahålla tekniska lösningar som gör att uppgifterna kan utbytas elektroniskt på ett smidigt sätt. Genom att det kommer att vara tillåtet med utlämnanden på medium för automatiserad behandling har kommunen och de enskilda verksamheterna möjlighet att utveckla ändamålsenliga tekniska lösningar som gör att kommunen kontinuerligt vid behov får tillgång till de uppgifter som behövs för verksamhetsuppföljning och kvalitetssäkring.
Sammanfattningsvis innebär således socialtjänstdatalagen i förening med förslagen om att undanröja sekretesshinder mellan
SOU 2014:23 Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten
759
socialtjänstverksamhet i en kommun samt förslaget om uppgiftsskyldighet för enskilda verksamheter, att kommunen får avsevärt förbättrade rättsliga möjligheter att bedriva verksamhetsuppföljning och kvalitetssäkring jämfört med vad som följer av gällande rätt.
Möjligheterna till regional och nationell kvalitetssäkring och kvalitetsutveckling
Ytterligare en fråga som har ställts till utredningen under arbetets gång är om socialtjänsten bör ha motsvarande rättsliga möjligheter att bedriva kvalitetssäkring över organisatoriska gränser som hälso- och sjukvården har genom regleringen för nationella och regionala kvalitetsregister. Det ska framhållas att utredningen inte har fått del av något egentligt underlag om behovet av detta, vilka risker som kan vara förknippade med detta eller hur en sådan reglering närmare skulle kunna se ut för att vara anpassad just till förutsättningarna i socialtjänsten. Utredningen har inte fått del av någon närmare precisering av vad socialtjänsten – om samma möjligheter som finns i hälso- och sjukvården gavs – skulle göra, för vilka syften och med vilka personuppgifter. Det kan jämföras med hälso- och sjukvårdens nationella kvalitetsregister där lagstiftaren har reglerat ett område som har varit etablerat sedan över 30 år tillbaka i tiden. Det fanns således tydliga förebilder och omfattande underlag för en sådan reglering.
Även om det finns stora likheter mellan kvalitetsarbete i socialtjänsten och kvalitetsarbete i hälso- och sjukvården finns det, enligt vår bedömning, även vissa stora skillnader. Sådana skillnader finns bland annat just vad gäller de närmare förutsättningarna som kännetecknar de nationella kvalitetsregistren. Hälso- och sjukvårdens nationella kvalitetsregister är exempelvis uteslutande initierade av de olika professionerna. Utvecklingsarbetet har drivits av olika professionella sammanslutningar som inom sina respektive områden har sett ett behov av att mäta vad som görs, jämföra kvaliteten och inspirera till lokalt förbättringsarbete. För att möjliggöra utvecklingen av nationella kvalitetsregister har även en organisatorisk utveckling ägt rum på den regionala och nationella nivån. I dag kännetecknas nationella kvalitetsregister av en omfattande och komplex organisatorisk samverkan, där professionernas engagemang fortfarande är centralt men där det i dag backas upp av
Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten SOU 2014:23
760
nya finansiella förutsättningar och nationella organisatoriska överbyggnader samt regionala stödstrukturer i form av registercentra.
Naturligtvis finns det vissa områden inom socialtjänsten som i viss mån kan visa upp liknande strukturer, men på det stora hela finns ingen motsvarighet till en sådan etablerad och kraftfull inomprofessionell rörelse och nationell samt regional stödstruktur. Det behöver nödvändigtvis inte vara eftersträvansvärt för socialtjänsten att gå i exakt samma spår som hälso- och sjukvården. Det kan finnas viktiga skillnader mellan hälso- och sjukvården och socialtjänsten vad gäller behov och förutsättningar för det systematiska kvalitetsarbetet. Skillnaderna har sannolikt även historisk betydelse, vilket kan innebära att socialtjänsten i dagsläget har möjlighet att ta andra vägar för att uppnå motsvarande målsättningar som hälso- och sjukvårdens kvalitetsregister ställde upp för länge sedan.
Vidare bedömer utredningen även att det kan ifrågasättas om en reglering överensstämmande med vad som gäller för hälso- och sjukvården, av andra skäl, är lämplig för socialtjänstens del. Exempelvis innebär en registrering i ett nationellt kvalitetsregister att en vårdgivare formellt sett lämnar ut personuppgifter till den mottagande myndigheten som har det centrala ansvaret för kvalitetsregistret. Det är vanligtvis en landstingsstyrelse eller motsvarande i ett annat landsting som har det centrala ansvaret för registret. Vid våra kontakter med företrädare från kommuner har vi mötts av viss tveksamhet inför en sådan motsvarighet på socialtjänstens område, där samtliga kommuner således i formell mening då skulle lämna ut personuppgifter från sin socialtjänstverksamhet till en myndighet i en annan kommun.
Därutöver får det enligt vår bedömning anses tveksamt om det vore lämpligt att grunda en registrering i ett nationellt register över viss socialtjänstverksamhet på individens tysta samtycke, vilket är fallet i hälso- och sjukvården. För personuppgiftsbehandling i hälso- och sjukvårdens nationella kvalitetsregister krävs nämligen inget samtycke från individen, utan den legala konstruktionen innebär i stället att individen har en rätt att motsätta sig medverkan. Den enskilde har således ett ansvar för att aktivt säga nej. Vi bedömer att det för socialtjänstens del finns mycket som talar för att en registrering i ett nationellt register ska kräva den enskildes samtycke. Det skulle inte minst vara naturligt för behandling av sådana personuppgifter som i första skedet har dokumenterats med stöd av den enskildes samtycke, t.ex. i verk-
SOU 2014:23 Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten
761
samhet som bedrivs som råd och stöd utan individuell behovsprövning.
En ytterligare omständighet som kan visa på att det i viss utsträckning finns olika behov i hälso- och sjukvården och i socialtjänsten är att hälso- och sjukvårdens patientrörlighet generellt får bedömas som större än socialtjänstens. Även om enskilda naturligtvis rör sig inom socialtjänstens område, förekommer den rörligheten typiskt sett inte inom ramen för genomförandet av en och samma insats. I hälso- och sjukvården bedrivs däremot i olika delar ett omfattande samarbete i den individinriktade patientvården. Enskilda som exempelvis har behov av mer högspecialiserad vård, som t.ex. viss cancersjukvård, får inte sällan sitt behov av hälso- och sjukvård tillgodosett genom insatser från flera olika vårdgivare i flera olika landsting. Även för patienter som har behov av rikssjukvård är det en realitet att flera vårdgivare deltar i en och samma övergripande vårdprocess. Akutsjukvården är ett annat exempel där enskilda, inte minst om de är bosatta i gränsområden mellan två olika landsting, kan behöva få hälso- och sjukvård av vårdgivare i olika landsting. Sedan är naturligtvis hälso- och sjukvården för äldre ett tydligt exempel på när flera vårdgivare, både från landstingssidan som från kommunsidan, är involverade i vården av den äldre. Sammantaget ger en sådan patientrörlighet och ett sådant samband mellan vårdgivare ett behov av att kunna bedriva en gemensam kvalitetssäkring av patienternas processer. Regelverket för nationella kvalitetsregister, där personuppgifter från flera olika vårdgivare samlas på ett och samma ställe, ger därför möjligheter att vid behov genomföra en organisationsöverskridande kvalitetssäkring. Behoven av att göra kommunöverskridande uppföljningar får generellt bedömas som mindre på socialtjänstens område.
Sammanfattningsvis bedömer vi således att det saknas övervägande skäl som talar för att socialtjänsten bör ha ett regelverk som motsvarar regelverket för hälso- och sjukvårdens nationella kvalitetsregister. Vi vill understryka att utredningens sammantagna bedömning är att de förslag vi lämnar ger socialtjänsten möjligheter som i praktiken hamnar mycket nära de som finns i hälso- och sjukvården. Vi bedömer även att de förslag vi lägger är anpassade efter de förutsättningar och de behov som finns på socialtjänstens område. Vi har i det föregående redogjort för den praktiska betydelsen av våra förslag till nya ändamålsbestämmelser, ny sekretessreglering, uppgiftsskyldighet för enskilda verksamheter samt vissa
Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten SOU 2014:23
762
möjligheter till elektroniska utlämnanden av uppgifter genom direktåtkomst eller på medium för automatiserad behandling. Med våra förslag kommer kommunernas socialtjänst att få väsentligt bättre förutsättningar att säkra och utveckla kvaliteten i verksamheten jämfört med vad som följer av gällande rätt.
I praktiken kan socialtjänsten behandla personuppgifter som gör att det systematiska kvalitetsarbetet kan uppnå motsvarande effekter som hälso- och sjukvården kan genom att använda nationella kvalitetsregister. Det finns med våra förslag exempelvis inget som hindrar att socialtjänsten, likt hälso- och sjukvårdens nationella kvalitetsregister, samarbetar på ett sådant sätt att verksamheter i hela landet enas kring vad som ska mätas, hur det ska dokumenteras och hur resultaten ska framställas. Inte heller finns det något som hindrar framtagandet av särskilda it-stöd som i praktiken gör det möjligt för verksamheter i socialtjänsten att arbeta med kvalitetssäkring på ett sådant sätt som man enats om. En sådan utveckling skulle enligt vår bedömning innebära att socialtjänsten arbetar med kvalitetssäkring på ett sätt som ligger mycket nära hälso- och sjukvårdens nationella kvalitetsregister. Genom att alla skulle dokumentera på samma standardiserade sätt skapas goda möjligheter för jämförelser av kvalitet och resultat mellan olika utförare av socialtjänst eller mellan olika delar av landet. Den stora rättsliga skillnaden jämfört med de nationella kvalitetsregistren skulle då i princip endast vara att respektive kommun eller enskild verksamhet inte formellt lämnar ut uppgifter till någon utomstående myndighet. Var och en som använder ett sådant framtaget IT-stöd för t.ex. beslutsstöd eller uppföljande kvalitetssäkring skulle precis som i dag vara ansvarig för sin egen behandling av personuppgifter. Sammantaget skulle detta, som vi ser det, ge socialtjänsten möjligheter att kvalitetssäkra sin verksamhet och få underlag för jämförelser över landet utan att det skapas stora nationella register med integritetskänsliga uppgifter.
763
29 Allmänna frågor om enskildas rättigheter m.m.
29.1 Bakgrund
När det gäller behandling av personuppgifter är den enskildes rättigheter av central betydelse för skyddet av den registrerades personliga integritet. För att otillbörliga intrång i den personliga integriteten i största möjliga mån ska undvikas har det ansetts nödvändigt att enskilda har särskilda rättigheter. I personuppgiftslagen (1998:204), förkortad PUL, finns därför bestämmelser om bland annat information, rättelse och skadestånd. Bestämmelserna ger enskilda möjligheter till insyn i vad som finns registrerat om dem i register av betydelse för att de ska kunna kräva rättelse av felaktiga uppgifter. När personuppgiftsansvariga behandlar uppgifter i strid med gällande regler finns möjligheter för enskilda att kunna få ersättning för skada och kränkning av den personliga integriteten.
Även för den omfattande personuppgiftsbehandling som socialtjänsten utför med stöd av bestämmelserna i den föreslagna socialtjänstdatalagen är det viktigt att det tydligt framgår vad som ska gälla i form av rättigheter för enskilda. Eftersom socialtjänstdatalagen så långt möjligt ska vara heltäckande för personuppgiftsbehandlingen inom socialtjänsten finns även skäl att direkt i lagen ta in de bestämmelser om enskildas rättigheter som bedöms relevanta. En sådan ordning bidrar till en ökad tydlighet både för dem som har att tillämpa lagen och för de enskilda registrerade.
Allmänna frågor om enskildas rättigheter m.m. SOU 2014:23
764
29.2 Våra överväganden och förslag
29.2.1 Enskildas rätt att ta del av uppgifter
Vårt förslag: I socialtjänstdatalagen ska hänvisas till enskildas
rätt att ta del av uppgifter enligt tryckfrihetsförordningen, förvaltningslagen (1986:223), offentlighets- och sekretesslagen (2009:400), socialtjänstlagen (2001:453) och lagen (1993:387) om stöd och service till vissa funktionshindrade.
En enskild rätt att ta del av uppgifter framgår av tryckfrihetsförordningen och offentlighet- och sekretesslagen. När det gäller ärenden hos en socialnämnd som rör myndighetsutövning gäller även förvaltningslagens bestämmelser om parts rätt att ta del av uppgifter i den utsträckning inte annat följer av socialtjänstlagen förkortad SoL, och offentlighets- och sekretesslagen. En påminnelse om detta bör tas in i socialtjänstdatalagen.
29.2.2 Information om personuppgiftsbehandlingen
Vårt förslag: Den som bedriver verksamhet inom socialtjänsten
ska enligt socialtjänstdatalagen se till att den registrerade får information om personuppgiftsbehandlingen. Informationen ska innehålla upplysningar om
1. vem som är personuppgiftsansvarig,
2. ändamålet med behandlingen,
3. vilka kategorier av uppgifter som behandlas,
4. den uppgiftsskyldighet som följer av lag eller förordning,
5. de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,
6. rätten att få information om åtkomst,
7. rätten att ta del av uppgifter enligt 26 § PUL
8. rätten till rättelse och underrättelse av tredje man enligt 28 § PUL,
9. rätten till skadestånd vid behandling av uppgifter i strid med socialtjänstdatalagen,
10. vad som gäller ifråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,
11. vad som gäller ifråga om bevarande och gallring, samt 12. ifall personuppgiftsbehandlingen är frivillig eller inte.
SOU 2014:23 Allmänna frågor om enskildas rättigheter m.m.
765
Personuppgiftslagen innehåller särskilda bestämmelser om den personuppgiftsansvariges skyldighet att lämna information om behandling av personuppgifter till den registrerade. Utredningens förslag innebär att personuppgiftsbehandling enligt socialtjänstdatalagen som huvudregel ska få genomföras även om den enskilde motsätter sig behandlingen. Därmed är det viktigt från integritetssynpunkt att de registrerade får utförlig information om behandlingen av personuppgifter. Informationen behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med personuppgiftsbehandlingen. Den är även viktig för att skapa en grund för allmänhetens förtroende för behandlingen. I socialtjänstdatalagen görs därför hänvisningar till relevanta bestämmelser i personuppgiftslagen. Exempelvis gäller bestämmelserna i 26 § PUL om tillgång till uppgifter genom registerutdrag och även bestämmelsen i 27 § om undantag från informationsskyldighet även vid personuppgiftsbehandling enligt socialtjänstdatalagen.
I 25 § PUL anges vilken information som den personuppgiftsansvarige självmant ska lämna till den registrerade. Denna informationsskyldighet bör preciseras i den föreslagna socialtjänstdatalagen eftersom det då blir tydligare för både den personuppgiftsansvarige som den enskilde vilken information som ska lämnas. Mot den bakgrunden föreslår utredningen att det i socialtjänstdatalagen förs in en särskild bestämmelse om vilken information som den personuppgiftsansvarige ska lämna.
Den information som den personuppgiftsansvarige ska lämna innefattar bland annat upplysningar om den uppgiftsskyldighet som innebär att uppgifter får lämnas ut.
Den allmänna informationen som den personuppgiftsansvarige ska lämna omfattar även information om att den enskilde har rätt att få information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter om honom eller henne.
När det gäller upplysningar om rätten till rättelse av oriktiga eller missvisande uppgifter och om rätten till skadestånd görs hänvisningar till relevanta bestämmelser i personuppgiftslagen.
Hur informationen ska ges bör överlåtas till varje personuppgiftsansvarig att bestämma. Något rättsligt krav på att informationen ska ges i viss form, muntlig eller skriftlig, föreslås inte. Det är dock viktigt att den personuppgiftsansvarige skapar rutiner för hur informationsskyldigheten ska fullgöras. Att det finns säkra rutiner ligger i den personuppgiftsansvariges intresse, då denne har bevisbördan för att den obligatoriska informationen som krävs
Allmänna frågor om enskildas rättigheter m.m. SOU 2014:23
766
faktiskt har lämnats till den enskilde. Informationsskyldigheten bör kunna fullgöras genom att till exempel broschyrer och anslag finns i lokalerna hos den som bedriver verksamhet inom socialtjänsten. Det åligger även den personuppgiftsansvarige att se till att information är utformad på ett sätt som kan förstås av den registrerade. Det kan till exempel innebära att information finns tillgänglig på informationsblanketter på flera språk.
Det kan i vissa fall vara så att en enskilds omsorgsbehov omöjliggör att information kan lämnas till honom eller henne om aktuell personuppgiftsbehandling. Det kan till exempel bero på att den enskilde är alltför fysiskt eller psykiskt medtagen för att kunna tillgodogöra sig information som det nu är frågan om. Många gånger saknar dessa personer legala ställföreträdare, t.ex. god man eller förvaltare, som i stället skulle kunna få informationen. Informationen bör i dessa fall, i jämförelse med vad som görs i hälso- och sjukvården, kunna lämnas till någon närstående. I sådana fall bör den enskilde så fort det är möjligt informeras om personuppgiftsbehandlingen. Att beakta i sammanhanget är att en närstående till en vuxen person inte kan samtycka till en personuppgiftsbehandling. Som framgår i våra förslag innebär en personuppgiftsbehandling enligt socialtjänstdatalagen som huvudregel att sådan får utföras även om den enskilde motsätter sig behandlingen.
I övrigt ska personuppgiftslagens bestämmelser om information gälla. Detta behöver inte särskilt anges i socialtjänstdatalagen, eftersom personuppgiftslagens bestämmelser gäller om inte annat sägs.
29.2.3 Information om åtkomst till den enskildes uppgifter
Vårt förslag: I den nya lagen ska det anges att den enskilde på
begäran har rätt att få information om den åtkomst till den enskildes uppgifter som har förekommit i verksamheten. Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om den information om åtkomst som ska lämnas.
En viktig del av integritetsskyddet är enskildas möjligheter att själva bilda sig en uppfattning om hur uppgifter hanteras och vem
SOU 2014:23 Allmänna frågor om enskildas rättigheter m.m.
767
som tar del av dem. I hälso- och sjukvården finns exempelvis en rättighet för patienter att få information om vilken åtkomst som har förekommit till uppgifter om honom eller henne i elektroniska patientjournalsystem. Vi anser att denna rättighet även bör gälla för enskilda i förhållande till en behandling av personuppgifter som utförs hos de som bedriver verksamhet inom socialtjänsten.
Utredningens bedömning är att allmänhetens förtroende för socialtjänstens informationshantering blir ännu större, om den enskilde får information om vilken åtkomst som har förekommit till uppgifter om honom eller henne. Bara vetskapen om att man som enskild har den möjligheten skulle troligen innebära en trygghet för flertalet ifråga om att deras personliga integritet skyddas i verksamheten. Liksom när det gäller förslaget om att åtkomstkontroller ska göras systematiskt och fortlöpande borde vetskapen om patientens rätt att själv kontrollera åtkomsten ha en starkt avhållande verkan för obehörig personal att ta del av uppgifter om enskilda.
Den bestämmelse utredningen föreslår ska tillämpas av alla som bedriver verksamhet inom socialtjänsten, dvs. både offentliga och privata aktörer. Vi vill dock poängtera att detta är en informationsbestämmelse. Rätten av få information med stöd av denna bestämmelse är inte jämförlig med rätten att begära ut en allmän handling hos myndigheter.
Exakt vad informationen ska innehålla och hur eller hur ofta den ska lämnas bör inte regleras i lag utan av regeringen eller, efter vidarebemyndigande, av Socialstyrelsen i samråd med Datainspektionen. En rimlig utgångspunkt är dock att den information som lämnas ska kunna förstås av den enskilde och även ge vägledning för bedömningen om en åtkomst varit befogad eller inte. Samtidigt kan det inte uteslutas att det i vissa situationer är svårt för den enskilde själv att göra denna bedömning, t.ex. när uppgifter har använts av personal som den enskilde inte har varit i kontakt med. För socialtjänstens del kan det i dessa fall handla om åtkomst som förekommit till uppgifter för mer sekundära ändamål, som kvalitetssäkring, statistik, administration och liknande.
I sammanhanget kan även uppmärksammas den utveckling som i dag sker på hälso- och sjukvårdens område, där patienter över internet själva och när som helst de önskar kan ta del av uppgifter om åtkomsten till uppgifter i journalsystemen. Ifall den utvecklingen även kommer att göra sig gällande på socialtjänstens område återstår dock att se. De bestämmelser utredningen föreslår om
Allmänna frågor om enskildas rättigheter m.m. SOU 2014:23
768
direktåtkomst för enskilda och rätt till information om åtkomst gör i vart fall en sådan utveckling möjlig.
Som redovisats ovan är denna bestämmelse en informationsbestämmelse och inte en bestämmelse om rätten att ta del av allmänna handlingar hos myndigheter. Det innebär att den bestämmelse som utredningen föreslår gäller utöver eventuella möjligheter enskilda har att begära information om åtkomst med stöd av tryckfrihetsförordningens bestämmelser om rätten att ta del av allmänna handlingar.
29.2.4 Rättelse
Vårt förslag:Personuppgiftslagens bestämmelser om rättelse
ska gälla vid sådan behandling av personuppgifter som helt eller delvis automatiserad eller där uppgifterna ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som görs enligt socialtjänstdatalagen. I socialtjänstdatalagen ska en hänvisning göras till personuppgiftslagens regler om rättelse.
Av 28 § PUL följer en skyldighet för den personuppgiftsansvarige att på begäran av den enskilde snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. Att en uppgift rättas innebär att den ersätts eller kompletteras med korrekta uppgifter. Blockering definieras i 3 § PUL som ”en åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen”. Att en uppgift utplånas innebär att den förstörs så att den inte längre kan återskapas. Det är upp till den personuppgiftsansvarige att själv välja vilken av dessa korrigeringsmetoder som ska användas.
Personuppgiftslagens regler om rättelse av personuppgifter är dock endast tillämpliga när uppgifter behandlas i strid med den lagen eller föreskrifter som har meddelats med stöd av den lagen. Har personuppgifter behandlats på något sätt som endast står i
SOU 2014:23 Allmänna frågor om enskildas rättigheter m.m.
769
strid med annan författning kan alltså inte rättelse göras med stöd av personuppgiftslagens bestämmelser. Av den anledningen föreslår vi att det i socialtjänstdatalagen ska anges att personuppgiftslagens bestämmelser om rättelse ska gälla även då personuppgifter behandlats i strid mot socialtjänstdatalagen. Det gör att den enskilde har samma möjligheter att få personuppgifter rättade vid behandling av personuppgifter i strid mot socialtjänstdatalagen som vid behandling i strid mot personuppgiftslagen.
29.2.5 Skadestånd
Vårt förslag:Personuppgiftslagens bestämmelser om skade-
stånd ska gälla vid sådan behandling av personuppgifter som helt eller delvis automatiserad eller där uppgifterna ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som har utförts i strid mot socialtjänstdatalagen. I socialtjänstdatalagen ska en hänvisning göras till personuppgiftslagens regler om skadestånd.
Personuppgiftslagens bestämmelser om skadestånd gäller endast vid överträdelser av den lagen. Genom denna paragraf görs bestämmelserna tillämpliga även då uppgifter behandlas i strid med socialtjänstdatalagen. Enligt 48 § PUL ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. Således är det den personuppgiftsansvarige som även enligt socialtjänstdatalagen har det skadeståndsrättsliga ansvaret för en behandling av personuppgifter som stått i strid med lagen. Enligt vårt förslag till socialtjänstdatalag är det i kommuner en myndighet som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Talan om eventuellt skadestånd ska dock väckas mot den juridiska personen, dvs. kommunen.
771
30 Socialstyrelsens behandling av personuppgifter
30.1 Bakgrund
I dag reglerar lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL, och förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPULF, viss behandling av personuppgifter hos Socialstyrelsen. Det handlar om sådan verksamhet som Socialstyrelsen utför i dess verksamhet enligt lagen (2007:606) om utredningar avseende vissa dödsfall och förordningen (2007:748) om utredningar avseende vissa dödsfall.
Eftersom vi bedömer att socialtjänstdatalagen, till skillnad från dagens reglering i SoLPUL och SoLPULF, uteslutande bör rikta sig till den egentliga kärnverksamheten hos dem som bedriver socialtjänst finns behov av en ny och fristående reglering av Socialstyrelsens behandling av personuppgifter.
30.2 Våra överväganden och förslag
30.2.1 Ny lag om Socialstyrelsens behandling av personuppgifter i verksamhet avseende utredningar av vissa dödsfall
Vårt förslag: En ny lag om Socialstyrelsens behandling av
personuppgifter i verksamhet avseende utredningar av vissa dödsfall ska införas. Bestämmelser från SoLPUL och SoLPULF ska överföras till den nya lagen.
Utredningens bedömning är att socialtjänstdatalagen ska tillämpas i den kärnverksamhet som bedrivs inom socialtjänsten hos kommunala
Socialstyrelsens behandling av personuppgifter SOU 2014:23
772
myndigheter, Statens institutionsstyrelse och enskilda verksamheter. Socialtjänstdatalagen ska således inte tillämpas av Socialstyrelsen eller andra myndigheter. De bestämmelser i SoLPUL och SoLPULF som i dag är tillämpliga på Socialstyrelsens behandling av personuppgifter i verksamhet om utredningar avseende vissa dödsfall ska således överföras till en ny lag. Vi bedömer inte att det finns behov av några förändringar jämfört med vad som gäller i dag, utan relevanta bestämmelser överförs till den nya lagen efter viss språklig justering.
Den nya lagen bör i likhet med många andra registerlagstiftningar reglera frågor om tillämpningsområdet, personuppgiftsansvaret, förhållandet till personuppgiftslagen (1998:204), när behandling av personuppgifter är tillåten, vilka personuppgifter som får behandlas, vad som gäller ifråga om den enskildes inställning och ifall uppgifter får lämnas ut genom direktåtkomst.
30.2.2 Lagens tillämpningsområde
Vårt förslag: Lagen ska tillämpas av Socialstyrelsen i dess verk-
samhet enligt lagen (2007:606) om utredningar avseende vissa dödsfall, om behandlingen av personuppgifter är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Personuppgiftslagen ska gälla om inte annat följer av lagen.
Vi föreslår att lagen, precis som är fallet i dag, ska gälla för behandling av personuppgifter som är helt eller delvis automatiserad. Lagen bör även gälla för manuell behandling av personuppgifter som ingår i eller är avseedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Regleringen är således inte begränsad till särskilda datoriserade register, databaser eller elektroniska uppgiftssamlingar.
Vi bedömer även att den nya lagen ska komplettera personuppgiftslagen på ett sådant sätt att lagen ska gälla utöver personuppgiftslagen. När en reglering saknas i den nya lagen ska därför reglerna i personuppgiftslagen tillämpas. Detta gör att den nya
SOU 2014:23 Socialstyrelsens behandling av personuppgifter
773
lagen endast bör innehålla de särbestämmelser och förtydliganden i förhållande till personuppgiftslagen som det finns behov av.
30.2.3 Personuppgiftsansvar
Vårt förslag: Socialstyrelsen ska vara personuppgiftsansvarig för
behandling av personuppgifter.
Vi föreslår att Socialstyrelsen, i enlighet med vad som i dag anges i SoLPULF, ska vara personuppgiftsansvarig för behandling av personuppgifter enligt den nya lagen.
30.2.4 Tillåten personuppgiftsbehandling
Vårt förslag: I lagen ska anges att Socialstyrelsen endast får
behandla de personuppgifter som är nödvändiga för att ge underlag till förslag om åtgärder som avser att förebygga att
1. barn far illa, eller
2. kvinnor och män utsätts för våld eller andra övergrepp av närstående eller tidigare närstående personer.
Personuppgifter som behandlas för sådana ändamål får också behandlas för att fullgöra uppgiftsutlämnande som görs i överensstämmelse med lag eller förordning.
Behandling av personuppgifter som är tillåten enligt lagen får utföras även om den enskilde motsätter sig den.
Socialstyrelsen får använda de sökbegrepp vid sökning efter uppgifter eller i samband med sammanställningar som behövs för utredningsverksamheten.
Socialstyrelsen får inte medge andra myndigheter eller enskilda direktåtkomst till personuppgifter som behandlas med stöd av lagen.
Vi föreslår att de bestämmelser som i dag reglerar en tillåten personuppgiftsbehandling, med vissa språkliga justeringar, ska överföras från SoLPUL och SoLPULF.
775
31 Behov av en mer sammanhållen informationshantering
31.1 Bakgrund
I vårt uppdrag ingår att kartlägga vilket behov hälso- och sjukvården och socialtjänsten har av att ta del av uppgifter från respektive verksamhet och vilka uppgifter som då behöver dokumenteras för att möjliggöra samverkan mellan socialtjänsten och hälso- och sjukvården.1
Vidare ska utredningen identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten samt vilka hinder (juridiska eller tekniska) som finns i dag för en sådan informationshantering och i förekommande fall i vilka lagar dessa hinder finns. Om det finns behov ska utredningen föreslå sådana lagstiftningsåtgärder som medger att behörig personal och beslutsfattare inom hälso- och sjukvården och socialtjänsten får ha tillgång till nödvändiga uppgifter inom eller över organisatoriska gränser. En avvägning ska göras mellan behoven och den enskildes intresse av integritet för att fastställa vilka uppgifter som bedöms vara nödvändiga att behandlas genom t.ex. utlämnande genom direktåtkomst.
31.1.1 Individens behov som utgångspunkt
Även om utredningens direktiv ger uttryck för det, har vår primära utgångspunkt inte varit att analysera behovet för olika organisationer att dokumentera och utbyta uppgifter om individer. Ur vårt perspektiv är organisationernas behov sekundära. Vi anser att det är vårt uppdrag att så långt möjligt utgå ifrån individens behov i stället
1 Direktiv 2011:111.
Behov av en mer sammanhållen informationshantering SOU 2014:23
776
för de organisatoriska förutsättningarna. Den grundläggande frågan blir då vilket behov individer med sammansatta behov av vård, omsorg och annat stöd har för att nå ökad hälsa och livskvalitet. De behoven bör sedan vara styrande för hur lagstiftning, teknik, informatik, arbetssätt, ledning och styrning m.m. utformas för att stödja en ändamålsenlig informationshantering.
För individens del är det av mindre vikt om information är dokumenterad i en verksamhet som lagstiftaren benämnt hälso- och sjukvård eller i en verksamhet som betraktas som socialtjänst. Det kan även antas att individen inte heller fäster någon avgörande vikt vid om den personal individen möter i vård och omsorg representerar ett flertal olika vårdgivare eller utförare. Vi utgår ifrån att det berättigade intresset hos enskilda och deras närstående är att den information som behövs för att bidra till bästa möjliga resultat för individen finns tillhands för den personal, på den plats och vid den tid behovet uppstår – alldeles oavsett organisatoriska förutsättningar. Det avgörande bör inte vara i vilken organisation uppgifter om den enskilde är dokumenterade utan i vilken vård- och omsorgssituation uppgifterna behövs.
Samtidigt är det tydligt att det i dag krävs en omfattande samverkan över organisationsgränser för att den enskilde i praktiken ska få sina behov tillgodosedda. Det kan med fog hävdas att det är få verksamheter som i grunden är organiserade för att tillgodose de behov som just människor med sammansatta behov av hälso- och sjukvård och socialtjänst har. Äldreomsorgen är ett sådant exempel där man organisatoriskt delat in verksamheten i hälso- och sjukvård och socialtjänst, trots att den enskilde ofta har så sammansatta behov att det i praktiken ofta inte går att avgöra om de insatser som han eller hon behöver ska hänföras till hälso- och sjukvård eller socialtjänst. Dessutom är den hälso- och sjukvård som den äldre behöver också uppdelad mellan olika huvudmän eftersom ansvaret för läkarinsatserna ligger på landstinget medan kommunen ansvarar för övrig sjukvård. Det saknas alltså en aktör som har helhetsansvar och som är organiserad på ett ändamålsenligt sätt för att tillmötesgå den äldres totala behov.
Även regelverket för informationshantering bidrar till splittringen genom att ställa krav på personalen att avgöra vad som ska dokumenteras i hälso- och sjukvårdens patientjournal och vad som ska antecknas i den sociala dokumentationen. Det ställningstagandet medför sedan konsekvenser för vem som får tillgång till
SOU 2014:23 Behov av en mer sammanhållen informationshantering
777
uppgifterna, på vilket sätt informationsutbytet ska gå till, hur länge uppgifterna ska bevaras m.m.
Motsvarande situation gäller i samband med vård och omsorg av personer med missbruk eller beroendeproblem samt av personer med psykisk sjukdom eller funktionsnedsättning.
En konsekvens av den organisatoriska ansvarsfördelningen och den ökade mångfalden av aktörer har blivit att samverkan mellan olika aktörer, såväl i frågor om utförandet av själva vård- och omsorgsinsatserna som kring informationshanteringen, är avgörande för att människor med sammansatta behov ska få en vård och omsorg av god kvalitet och säkerhet.
31.1.2 Det delade ansvaret för hälso- och sjukvård och socialtjänst
Den svenska hälso- och sjukvården och socialtjänsten karaktäriseras bl.a. av en stark decentralisering. Förutom att staten ansvarar för den övergripande vård- och omsorgspolitiken har de 21 landstingen/regionerna samt de drygt 290 kommunerna tillsammans ansvaret för hälso- och sjukvården och socialtjänsten i landet. För att förstå vilket behov av samverkan mellan olika aktörer som finns när det gäller människor med sammansatta behov av hälso- och sjukvård och socialtjänst är det viktigt att kort nämna något om dels de centrala reformer som genomförts på området, dels den ansvarsfördelning som råder mellan landstingen och kommunerna. I sammanhanget bör även uppmärksammas det ökade antalet vårdgivare i hälso- och sjukvården och utförare i socialtjänsten som i dag är delaktiga i individens vård och omsorg.
Kort om centrala reformer på vård- och omsorgsområdet
Socialtjänsten och hälso- och sjukvården utgör väsentliga delar av samhällets totala välfärdssystem. Båda verksamheterna har en helhetssyn som en grundläggande princip. Det är den enskildes totala situation och den enskildes omgivning som ska beaktas. Under 1990-talet genomfördes flera stora huvudmannaskapsreformer.
Den så kallade Ädelreformen genomfördes 1992 för att uppgiftsfördelningen mellan medicinska och sociala insatser inte ansågs
Behov av en mer sammanhållen informationshantering SOU 2014:23
778
ändamålsenlig. Lagstiftaren ansåg att det var viktigt att den sociala och medicinska kompetensen integrerades genom att yrkesroller och arbetsorganisation inom socialtjänsten och delar av hälso- och sjukvården samordnades.2 Genom denna reform fick kommunerna skyldighet att inrätta särskilda boendeformer för service och omvårdnad för äldre och att inrätta bostäder med särskild service för funktionshindrade. Parallellt med detta fick kommunerna också ansvaret för att tillhandahålla hälso- och sjukvård åt dem som bor i särskilda boendeformer och bostäder eller som vistas i dagverksamhet. Kommunerna fick också möjlighet att erbjuda hälso- och sjukvård till dem som bor hemma (hemsjukvård). Ingen kommunal hälso- och sjukvård på detta område får dock omfatta läkarvård. Ädelreformen innebär även att kommunerna fick ett betalningsansvar för personer som blivit medicinskt färdigbehandlande i sluten vård eller med ett annat ord utskrivningsklara patienter.
Före Ädelreformen hade gränszoner mellan sociala och medicinska insatser förorsakat en rad olägenheter. Genom att en huvudman – kommunen – fick ansvaret för människors skiftande behov, såväl medicinska som sociala, var avsikten att situationen skulle förbättras. Efter Ädelreformen har ytterligare reformer genomförts som har haft betydelse för vård- och omsorgsområdet.
Lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, infördes 1994. Denna lag är en del av det som kallas för handikappreformen. Lagen innebar att bland annat kommunerna övertog ett betydande verksamhetsansvar från landstingen. Syftet med denna reform var att tydligare slå fast den enskildes rätt till hjälp och att stärka funktionshindrades personers inflytande över vilka hjälpinsatser som de vill ha.
Psykiatrireformen år 1995 gav kommunerna ett ökat ansvar för
insatser till långvarigt psykiskt sjuka. Genom reformen ålades kommunerna att erbjuda lämpliga boendeformer och stöd i hemmet för personer med omfattande psykiska funktionshinder. Kommunerna fick även överta betalningsansvaret för personer som efter vård inom landstingets psykiatriska vård bedöms som färdigbehandlade. En tanke med reformen var även att bättre samordna insatserna mellan huvudmännen för den berörda gruppen.
Syftena med reformerna har varit att skapa ett bättre och mer samlat omhändertagande av äldre och andra personer med sammansatta behov av både medicinska och sociala insatser.
SOU 2014:23 Behov av en mer sammanhållen informationshantering
779
Kort om landstingens ansvar för hälso- och sjukvård
Landstingen har enligt hälso- och sjukvårdslagen (1982:763), förkortad HSL, ett omfattande ansvar och ska på ett övergripande plan erbjuda en god hälso- och sjukvård åt dem som är bosatta inom landstinget samt verka för en god hälsa hos hela befolkningen. Vidare ska de som är bosatta i landstinget erbjudas en vårdgaranti som försäkrar att den enskilde inom viss tid får kontakt med primärvården, besöka läkare inom primärvården, besöka den specialiserade vården och planerad vård. I landstingens planeringsansvar ingår att planera sin hälso- och sjukvård med utgångspunkt i befolkningens behov av sådan vård. Planeringen ska även avse den hälso- och sjukvård som bedrivs av privata och andra vårdgivare.
Andra grundläggande krav på landstingen är att det ska finnas sjukhus för sådan hälso- och sjukvård som kräver intagning i vårdinrättning, s.k. sluten vård. Annan hälso- och sjukvård benämns öppen vård. Primärvården ska som en del av den öppna vården utan avgränsning vad gäller sjukdomar, ålder eller patientgrupper svara för befolkningens behov av sådan grundläggande medicinsk behandling, omvårdnad, förebyggande arbete och rehabilitering som inte kräver sjukhusens medicinska och tekniska resurser eller annan särskild kompetens. Dessutom ska landstingen, enligt 5 § HSL, organisera primärvården så att alla som är bosatta inom landstingen kan välja utförare av hälso- och sjukvårdstjänster samt få tillgång till och välja en fast läkarkontakt (vårdvalssystem).
Landstingen har ett särskilt ansvar för läkarinsatser, som ställer stora krav på samverkan med kommuner och privata utförare av såväl hälso- och sjukvård som socialtjänst. Av hälso- och sjukvårdslagen följer att landstingen till kommunerna inom landstinget ska avsätta de läkarresurser som behövs för att invånare som bor i särskilt boende eller deltar i dagverksamhet enligt 3 kap. 6 § socialtjänstlagen (2001:453), förkortad SoL, får en god hälso- och sjukvård. Samma krav på läkarinsatser gäller även för hemsjukvården. Även om kommunen tagit över ansvaret för hälso- och sjukvårdsinsatser för de som bor kvar i hemmet har landstinget ansvar för de läkarinsatser som den enskilde är i behov av.
I Sverige har vi i dag nio regionsjukhus, omkring 20 länssjukhus och 40 länsdelssjukhus. Inom slutenvården finns cirka 20 000 vårdplatser. För primärvården finns drygt 1 000 vårdcentraler.
Behov av en mer sammanhållen informationshantering SOU 2014:23
780
Kort om kommunernas ansvar för hälso- och sjukvård och socialtjänst
Av socialtjänstlagen följer att kommunen svarar för socialtjänsten inom sitt område och har det yttersta ansvaret för att enskilda får det stöd och den hjälp som de behöver. Det innebär bl.a. ett ansvar för omsorgen av barn och unga, äldre, människor med funktionshinder och missbrukare. Kommunen ska exempelvis
sörja för att den enskilde missbrukaren får den hjälp och vård som hon eller han behöver för att komma ifrån missbruket,
verka för att människor med fysiska eller psykiska funktionshinder får möjlighet att leva som andra,
inrätta bostäder med särskild service till människor med fysiska eller psykiska funktionshinder,
verka för att äldre människor får en möjlighet att leva och bo självständigt under trygga förhållanden, och
inrätta särskilda boendeformer för service och omvårdnad för äldre i behov av särskilt stöd.
Kommunen ansvarar även för insatser för särskilt stöd och service åt personer med utvecklingsstörning, autism, bestående begåvningsmässiga funktionshinder, andra varaktiga fysiska eller psykiska funktionshinder. Det kan exempelvis handla om personlig assistans, korttidsvistelser utanför egna hemmet, boende i familjehem eller bostad med särskild service för vuxna.
Vidare ska varje kommun erbjuda en god hälso- och sjukvård åt de äldre eller funktionshindrade som efter beslut av kommunen bor i särskilt boende. Även i sådan dagverksamhet som avses i 3 kap. 6 § SoL ska kommunen ansvara för hälso- och sjukvård åt dem som vistas i verksamheten.
När det gäller hälso- och sjukvård i hemmet (hemsjukvård) ligger det primära ansvaret på landstingen även om kommunerna i 18 § HSL har befogenheter att erbjuda dem som vistas i kommunen hemsjukvård. Landstingen har även möjlighet att, genom en överenskommelse med en kommun, överlåta skyldigheten att erbjuda hemsjukvård. Den möjligheten har använts i stor utsträckning och i dag har drygt tio län kommunaliserat hemsjukvården. Hemsjukvård är avsedd för personer som behöver långvariga insatser från både hälso- och sjukvården och socialtjänsten. Insatser av mera tillfällig karaktär som hälso- och sjukvårdspersonal utför i
SOU 2014:23 Behov av en mer sammanhållen informationshantering
781
hemmet har inte räknats som hemsjukvård.3 Enligt statistik från Socialstyrelsen var det i december 2009 168 000 personer som fick hemsjukvård.
Som det har nämnts ovan är det inte möjligt att inom ramen för en överenskommelse om hemsjukvården överlåta sådan hälso- och sjukvård som bedrivs av läkare. Det innebär att landstinget, även efter en kommunalisering av hemsjukvården, står för de läkarinsatser som den enskilde behöver. Den kommunala hemsjukvården samarbetar då med läkare på vårdcentraler, mottagningar och sjukhus för att den enskilde ska få de insatser som behövs.
Kort om privata vårdgivare och utförare av socialtjänst
Fram till mitten på 1990-talet var det huvudsakligen landstingen och kommunerna som själva både ansvarade för och utförde hälso- och sjukvården och socialtjänsten i landet. Även om landsting och kommuner alltjämt ansvarar för hälso- och sjukvård och socialtjänst har utvecklingen gjort att det blivit vanligare att de offentliga aktörerna anlitar privata aktörer som utförare. Bland de privata aktörerna finns allt ifrån vinstdrivande bolag till ideella och idéburna aktörer.
Inom hälso- och sjukvården finns det ökade antalet privata vårdgivare framför allt inom primärvården, men även sjukhus som S:t Görans sjukhus, Lundby sjukhus och sjukhuset i Simrishamn drivs av privata aktörer. Det förekommer även att flera olika privata vårdgivare i samverkan, t.ex. inom ramen för en mottagning eller ett mindre sjukhus, erbjuder hälso- och sjukvård. Av det totala antalet vårdcentraler drivs nästan hälften av privata utförare i dag. Den största utvecklingen har skett efter 2009. Siffror från Myndigheten för tillväxtpolitiska utvärderingar och analyser visar att antalet vårdcentraler innan vårdvalet infördes var 1022 och av dem drevs 288 i privat regi. År 2011 finns det 1213 vårdcentraler i landet och av dem drivs nu 602 i privat regi. Privatiseringen av primärvården har därmed gått i en snabb takt mellan 2009 och 2011. Även i den kommunala hälso- och sjukvården ökar antalet privata utförare av den sjukvård som exempelvis bedrivs i särskilt boende eller i hemsjukvården.
Fortfarande är det dock landstingen och kommunerna som finansierar verksamheten, men med andra aktörer som utförare. De
Behov av en mer sammanhållen informationshantering SOU 2014:23
782
offentliga aktörerna är som beställare ansvariga för uppföljning och kontroll av de privata vårdgivarnas offentligfinansierade verksamheter. Hälso- och sjukvård kan även bedrivas helt i privat regi utan att något avtal föreligger med landstinget eller kommunen och utan inslag av offentlig finansiering. I dessa fall ansvarar följaktligen inte heller landstinget eller kommunen i egenskap av huvudman för verksamheten.
Precis som inom hälso- och sjukvården har kommuner möjligheter att sluta avtal med annan om att utföra kommunens uppgifter inom socialtjänsten. Det finns i dag ett antal tänkbara sätt att göra detta. Ett är att genom ett avtal anlita en extern leverantör som åtar sig att för kommunens räkning varaktigt och självständigt utföra en eller flera tjänster på socialtjänstens område. Ett sådant avtal innebär dock inte att kommunen kan frånhända sig till övergripande ansvar som huvudman för verksamheten. Det innebär exempelvis att kommunen alltid har ett ansvar för den utförda verksamhetens inriktning och kvalitet. Ansvaret omfattar även uppföljning och utvärdering. En kommun kan även köpa enstaka platser eller tjänster på privata anläggningar. I sådana fall har kommunen inget ansvar för verksamhetens inriktning, men alltjämt för att de insatser den enskilde får håller god kvalitet.
Många kommuner har även valt att införa valfrihetssystem enligt lagen (2008:962) om valfrihetssystem, förkortad LOV, på socialtjänstens område, vilket innebär att antalet privata utförare har ökat de senast åren. LOV har gjort det möjligt för kommuner som vill konkurrenspröva verksamheter att överlåta valet av utförare av stöd, vård- och omsorgstjänster på socialtjänstområdet till individen. Precis som för hälso- och sjukvården anger kommunen i ett förfrågningsunderlag de villkor som leverantören ska uppfylla för att bli godkänd. LOV förändrar inte det faktum att kommunen är huvudman för verksamheten och har därmed ansvar för att tjänsterna tillhandahålls individen enligt lagstiftningen och att de motsvarar uppställda kvalitetskrav.
Fram till 2011 hade 248 av landets 290 kommuner sökt och beviljats stimulansmedel för att förbereda eller utveckla valfrihetssystem enligt LOV inom äldreomsorg och när det gäller stödinsatser för personer med funktionsnedsättning. Det är vanligast att valfrihetssystemen omfattar en kombination av service och omvårdnadsinsatser inom hemtjänsten, enligt Socialstyrelsens delrapport Stimulansbidrag LOV (2012).
SOU 2014:23 Behov av en mer sammanhållen informationshantering
783
Enligt Sveriges Kommuner och Landsting, SKL, fanns i oktober 2013 valfrihetssystem infört i sammanlagt 144 kommuner. Ytterligare 37 kommuner hade vid detta tillfälle beslutat om att införa valfrihetssystem enligt LOV medan 42 kommuner beslutat att inte göra detta. I 38 av de 67 kommuner som ännu inte tagit ställning utreds frågan om ett införande.
Kommunernas möjligheter att genom upphandling eller införande av valfrihetssystem överlåta utförandet av socialtjänst till privata aktörer har gjort att mångfalden av utförare i dag är betydligt större än vad det har varit tidigare. Under 2010 fanns det t.ex. 687 externa utförare inom kommunernas valfrihetssystem, enligt Konkurrensverkets delrapport Kommunernas valfrihetssystem – så fungerar konkurrensen. Utredningen om framtida valfrihetssystem inom socialtjänsten presenterar i sitt betänkande att siffran i juli 2013 var uppe i 846 unika utförare anslutna till kommunernas valfrihetssystem.4 I betänkandet uppmärksammas även att det totalt finns 618 privata utförare anslutna till kommunernas valfrihetssystem rörande hemtjänst. Det kan jämföras med Konkurrensverkets undersökning som visar 499 privata utförare beträffande hemtjänst i slutet av 2011.5 Under perioden, drygt 18 månader, har således 119 privat utförare tillkommit, en ökning med 24 procent.
31.1.3 Stora krav på informationsöverföringen
Utredningen kan konstatera att frågan om informationsutbyte mellan olika aktörer har kommit att bli central för att individens behov ska kunna tillgodoses. Såväl i hälso- och sjukvården som i socialtjänsten har antalet aktörer ökat markant under den senaste tioårsperioden. Ur ett informationshanteringsperspektiv har det bland annat medfört att den information som tidigare hölls samman i en eller ett fåtal organisationer nu hanteras av ett flertal aktörer.
Behov av informationsöverföring mellan hälso- och sjukvården och socialtjänsten kan uppstå i en mängd olika situationer och i flera olika typer av verksamheter. Det kan exempelvis handla om sådana integrerade verksamheter där en eller flera vårdgivare arbetar tätt tillsammans med en eller flera utförare av socialtjänst.
4SOU 2014:2, Framtidens valfrihetssystem – inom socialtjänsten, s. 73. 5 Kommunernas valfrihetssystem, Konkurrensverket, Rapport 2013:1.
Behov av en mer sammanhållen informationshantering SOU 2014:23
784
Den vård och omsorg om äldre som bedrivs inom ramen för särskilda boenden är ett tydligt exempel på en sådan verksamhet där kommunalt finansierad hälso- och sjukvård och socialtjänst respektive landstingsfinansierade läkarinsatser arbetar integrerat. Motsvarande exempel finns även inom psykiatrin och missbruks- och beroendevården.
Under utredningens arbete har vi även sett bredare verksamheter där exempelvis socialtjänst, hälso- och sjukvård, Försäkringskassa och Arbetsförmedling arbetat integrerat i samma lokaler och enligt sådana arbetssätt och principer som om de vore en enda organisation. Sådan samverkan har vi även sett mellan socialtjänst, hälso- och sjukvård och Kriminalvård. Även utanför en sådan mer integrerad verksamhet kan finnas stora behov av att ta del av uppgifter antingen från socialtjänsten eller från hälso- och sjukvården. Det kan exempelvis röra slutenvården eller den öppna specialiserade vården som möter individer med sammansatta behov av vård och omsorg.
Ordet integrera betyder att förena, sammanföra, samordna och fullständiga genom införlivning. Utredningen använder uttrycket för att beskriva de verksamheter där flera aktörer, både offentliga och privata vårdgivare och utförare i socialtjänst m.fl., är inblandade och samverkar för att ett en enskild ska få den vård och omsorg som man har rätt att kräva. Oavsett grad av integration handlar det i dessa verksamheter om ett grundläggande behov att med individens bästa för ögonen samverka över organisatoriska gränser för att möjliggöra en så bra vård och ett så bra omhändertagande som möjligt. En förutsättning för det är att behörig personal har tillgång till den information som behövs i varje enskilt fall.
31.2 Rättsliga krav på samverkan mellan huvudmän
Behovet av att samverka mellan olika huvudmän och de vårdgivare och utförare som finansieras av huvudmännen är stort och behöver ständigt utvecklas. För att stimulera och förmå olika organisationer att samverka kring enskilda finns ett antal bestämmelser i lag och föreskrifter som ställer krav på vård- och omsorgssektorns aktörer. I det följande nämns några.
SOU 2014:23 Behov av en mer sammanhållen informationshantering
785
31.2.1 Samverkan på övergripande nivå
Samverkan regleras på olika sätt mellan olika huvudmän och kan avse avtal mellan huvudmän men även bedrivas genom kommunalförbund eller gemensam nämnd. En allmän bestämmelse om samverkan mellan myndigheter finns i förvaltningslagen (1986:223) där det ställs krav på att varje myndighet ska lämna andra myndigheter hjälp inom ramen för den egna verksamheten (6 §). Kommuner och landsting har möjlighet att samverka genom t.ex. kommunalförbund eller gemensamma nämnder (t.ex. 3 kap. 3 a § kommunallagen [1991:900]).
Socialtjänsten ska medverka i samhällsplanering och ska i samarbete med andra samhällsorgan, organisationer, föreningar och enskilda främja goda miljöer i kommunen (3 kap. 1 § SoL). En kommun får sluta avtal med ett landsting, försäkringskassa och arbetsförmedling om att samverka i gemensamma projekt inom ramen för socialtjänstens uppgifter, (jfr 2 kap. 6 § SoL). Bakgrunden till bestämmelsen är att effektivare utnyttja samhället resurser för att bättre kunna tillgodose människors behov av olika stödåtgärder. För att kunna uppnå en bra rehabilitering för den enskilde måste utveckling av samverkansformer hela tiden utvecklas och förbättras. En bra samverkan mellan olika aktörer ger möjlighet till individuella lösningar och ett bättre omhändertagande. Motsvarande bestämmelse finns för landstinget del i 3 § HSL.
Vidare ska landstinget ingå en överenskommelse med kommunen om ett samarbete i fråga om personer med psykisk funktionsnedsättning (8 a § HSL och 5 kap. 8 a § SoL). Det ställs således krav på kommuner och landsting att ingå formaliserade, övergripande överenskommelser.
Motsvarande krav har nyligen även tillkommit med avseende på missbruksvården. Här åläggs landstinget enligt 8 b § HSL att ingå en överenskommelse med kommunen om ett samarbete i fråga om personer som missbrukar alkohol, narkotika, andra beroendeframkallande medel, läkemedel eller dopningsmedel. För kommunens del regleras motsvarande samverkansskyldighet i 5 kap. 9 a § SoL. Motivet med de nya kraven är att stärka samverkan mellan landsting och kommuner för att bättre tillgodose behovet av vård, stöd och behandling.6 I propositionen framgår även att rege-
Behov av en mer sammanhållen informationshantering SOU 2014:23
786
ringen avser att följa upp huvudmännens överenskommelser med fokus på tillgänglighet, samordning och kvalitet i insatser.
31.2.2 Samverkan på individuell nivå
Det finns i lagstiftningen flera exempel på när hälso- och sjukvården och socialtjänsten ska samverka på en individuell nivå, dvs. i och för vården och omsorgen om enskilda personer. För att sådan samverkan ska fungera och för att resultatet ska bli ändamålsenligt för individen måste de olika aktörerna utbyta information.
Av 4 kap. 5 § Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete anges särskilt att den som bedriver socialtjänst ska identifiera
de processer där samverkan behövs för att säkra kvaliteten på de
insatser som ges i verksamheten. På motsvarande sätt ska vårdgivare enligt 4 kap. 6 § identifiera de processer som behövs för att förebygga att patienter drabbas av vårdskada. Det ska framgå av processerna och rutinerna hur samverkan ska bedrivas i den egna verksamheten. Exempel på sådan samverkan är t.ex. informationsöverföring mellan olika yrkesgrupper, exempelvis biståndshandläggare, sjuksköterskor och omvårdnadspersonal eller mellan olika arbetsskift. Men det kan också avse en samordnad planering avseende vården och omsorgen. Utöver detta ska verksamhetens processer och rutiner säkerställa att det blir möjligt att samverka med andra verksamheter och myndigheter kring vård och omsorg.7
Nedan nämns kortfattat några av de områden där hälso- och sjukvård och socialtjänst har ett särskilt ansvar för samverkan på individuell nivå.
Individuell plan för den som är i behov av insatser från både socialtjänst och hälso- och sjukvård
När en enskild har behov av insatser från både socialtjänsten och från hälso- och sjukvården ska kommunen tillsammans med landstinget upprätta en individuell plan (2 kap. 7 § SoL). För landstingen del regleras detta i 3 f § HSL. Planen ska bland annat innehålla vilka
7 Inspektionen för vård och omsorg, Nationell tillsyn av vård och omsorg om äldre – slutrapport 2013, s. 46.
SOU 2014:23 Behov av en mer sammanhållen informationshantering
787
insatser som behövs, vilka insatser respektive huvudman ska svara för och vilka åtgärder som vidtas av någon annan än landstinget eller kommunen. Kravet på individuella planer förtydligar det ansvar som kommuner och landsting har och behövs för att planera hur en enskilds samlade behov av socialtjänst och hälso- och sjukvård ska kunna tillgodoses.8 Avsikten med dessa bestämmelser är att förbättra samverkan mellan kommun och landsting för personer med till exempel psykisk sjukdom, missbruk eller andra personer som behöver insatser både från hälso- och sjukvård och socialtjänst.
Samordnad vårdplanering vid utskrivning från slutenvården
Av lagen (1990:1404) om kommunernas betalningsansvar för viss hälso- och sjukvård samt Socialstyrelsens föreskrifter (SOSFS 2005:27) om samverkan vid in- och utskrivning av patienter i sluten vård följer ytterligare krav. Det innebär bl.a. att landsting och kommuner i samråd ska utarbeta rutiner för samordnad vårdplanering inför utskrivning av patienter och för överföring av information, som t.ex. befintliga planer, mellan vård- och omsorgsgivare i samband med in- och utskrivning av patienter från sluten vård till öppen vård och socialtjänst. Information om patientens behov av hälso- och sjukvård och socialtjänst ska, om det inte finns hinder för detta i sekretesslagstiftningen överföras mellan berörda enheter inom den slutna vården och den öppna vården samt socialtjänsten. Information om patientens behov av hälso- och sjukvård och socialtjänst ska senast samma dag som patientens skrivs ut överföras från den slutna vården till berörda enheter inom den öppna vården och socialtjänsten. Informationen ska innehålla vårdplanen och övriga väsentliga uppgifter.
Samordning för rehabilitering och habilitering
Vidare är Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2007:10) om samordning för habilitering och rehabilitering tillämpliga när insatser för enskildas rehabilitering och habilitering inom hälso- och sjukvården planeras och samordnas med omsorgsinsatser för äldre och personer med funktionshinder. Även här ska samordningen dokumenteras i en plan.
Behov av en mer sammanhållen informationshantering SOU 2014:23
788
Genomförandeplan för barn och unga i hem för vård eller boende
För barn och unga som vårdas i ett hem för vård eller boende eller i ett familjehem ska en plan upprättas över hur vården ska genomföras (genomförandeplan) och denna ska även uppta åtgärder och insatser som andra huvudmän har ansvar för (jfr 11 kap. 3 § SoL). När det gäller barn och ungdomar är socialtjänsten generellt skyldig att samverka med samhällsorgan, organisationer och andra som berörs i frågor som rör barn som far illa eller riskerar att fara illa. Socialtjänsten ska aktivt verka för att samverkan kommer till stånd (5 kap. 1 § SoL). Det finns även bestämmelser i skollagen (2010:800) om samverkan i frågor som rör barn som far illa eller riskerar att fara illa. Av 3 kap. 8 § skollagen framgår att rektor ansvarar för att se till att elevens behov av särskilt stöd utreds skyndsamt och för att samråd genomförs med elevhälsan om det inte är uppenbart obehövligt.
Individuell plan enligt LSS
Enligt 6 § LSS ska verksamheten bedrivas i samarbete med andra berörda samhällsorgan och myndigheter. När en insats beviljas enligt lagen om stöd och service till vissa funktionshindrade ska den enskilde erbjudas att en individuell plan upprättas. Landsting och kommunen ska underrätta varandra om upprättade planer (10 § LSS).
31.3 Utredningens iakttagelser och reflektioner när det gäller integrerade verksamheter
Inom hälso- och sjukvården och socialtjänsten finns ett växande behov av att samverka i olika former. Detta är särskilt viktigt mot bakgrund av att ett bra och samlat omhändertagande ofta är beroende av stöd och insatser av både landsting och kommun samt privata vårdgivare eller privat utförare av socialtjänst. Det gäller både för äldreomsorgen, psykiatrin, missbruks- och beroendevården och verksamheter för funktionshindrade. Även arbetet med barn och unga ställer stora krav på samverkan mellan hälso- och sjukvård och socialtjänst. Till detta kommer inte heller sällan
SOU 2014:23 Behov av en mer sammanhållen informationshantering
789
ytterligare behov av stöd från andra aktörer som exempelvis skola, polis, kriminalvård, Försäkringskassa, Arbetsförmedling m.fl.
Trots de tidigare reformerna finns det fortfarande samordningsproblem och brister i omhändertagandet. En av bristerna som har påtalats är svårigheter i informationsutbytet mellan vård och omsorg. Under utredningens arbete har vi deltagit i ett stort antal möten, studiebesök, konferenser och seminarier m.m. för att identifiera och kartlägga vilka hinder och utmaningar som finns för en mer sammanhållen informationshantering mellan hälso- och sjukvård och socialtjänst. I det följande anges ett antal av utredningens centrala iakttagelser och reflektioner utifrån nämnda aktiviteter och annan kunskapsinhämtning.
31.3.1 Vård och omsorg om äldre i särskilt boende och i hemmet
Många äldre som i dag drabbas både av olika typer av sjukdomar och fysiska eller kognitiva funktionsnedsättningar är beroende av att insatserna från socialtjänsten och hälso- och sjukvården fungerar. I dag får äldre dessa behov tillgodosedda antingen inom ramen för särskilt boende eller genom hemsjukvård, rehabilitering och hemtjänstinsatser. Utvecklingen har gått mot att fler äldre med omfattande och komplexa behov av vård och omsorg bor kvar i sina hem. I en rapport från Socialstyrelsen framkommer exempelvis att antalet äldre som bor i särskilt boende har minskat, samtidigt som omfattningen av hemtjänst- och dagverksamheter ökat så att fler äldre kan bo hemma. Ungefär 30 procent av individer i gruppen mest sjuka äldre bor i särskilt boende, medan de övriga bor i ordinärt boende och oftast har stöd från socialtjänsten.9
Som redovisats ovan har utvecklingen samtidigt gått mot att allt fler aktörer och personal är inblandade i vården och omsorgen om de äldre. För att öka patientsäkerheten, höja kvaliteten, behålla kontinuiteten och skapa en helhetsbild av den enskildes behov av vård och omsorg ställs stora krav på informationsöverföring mellan de inblandade aktörerna. Det handlar i detta avseende inte bara om den personal som i vardagen står för insatserna utan även om de aktörer som möter den äldre när något särskilt inträffar, t.ex. när behovet av sjukhusvård uppstår. Siffror från Socialstyrelsen visar
9 Socialstyrelsen, Tillståndet och utvecklingen inom hälso- och sjukvård och socialtjänst, lägesrapport 2013.
Behov av en mer sammanhållen informationshantering SOU 2014:23
790
exempelvis att omkring 40 procent av de mest sjuka äldre har insatser både från socialtjänsten och öppen och sluten specialistläkarvård. Andelen mest sjuka äldre som även har sjukvårdsinsatser från primärvård eller hemsjukvård är gissningsvis ännu större, men eftersom primärvården inte ingår i patientregistret har det inte gått att mäta.10
För att förbättra säkerhet och kvalitet för äldre är det i dag nödvändigt att relevant information kan överföras mellan den slutna vården, landstingsfinansierad primärvård och övrig öppenvård, kommunal hälso- och sjukvård samt socialtjänst. I samtliga dessa delar kan dessutom organisatoriska gränser förekomma, t.ex. mellan vårdgivare och olika utförare av socialtjänst.
Utredningens generella reflektion är att det regelverk som styr hur information får hanteras inom och mellan inblandade vårdgivare och utförare i större utsträckning än vad som är fallet i dag måste stödja en sammanhållen informationshantering. För de aktörer som arbetar tillsammans eller i någon typ av samverkan runt den äldre finns det ett stort behov av en gemensam bild av den enskildes hälsosituation. Vid våra kontakter med verksamhetsföreträdare har framkommit att information inte hålls ihop på ett sådant sätt att det bidrar till ökad kvalitet och säkerhet. Vidare anförs inte sällan att närstående många gånger får agera budbärare och hålla de olika aktörerna i vårdkedjan uppdaterade med viktig information.
I en rapport från stiftelsen Leading Healthcare framkommer en tydlig bild av den enskilde och närstående som administratörer och förmedlare av information, kontakter och instruktioner i en situation med många inblandade aktörer kring multisjuka personer.11För att illustrera de utmaningar som finns refereras här till en situation som beskrivs i den nämnda rapporten. Det handlar om en 79 årig man med 9 diagnoser, omkring 15 läkemedel, viss hjälp från hemtjänsten, heldygnsinsats från maka, 149 dagar i slutenvården senaste 18 månaderna, 53 olika kontakter med ett antal olika läkare i öppenvård, 142 hembesök från 16 olika distriktssköterskor, 54 hembesök från ett antal olika arbetsterapeuter och sjukgymnaster. Under 18 månader framgår bl.a. följande om mannens kontakter med vård och omsorg.
Mannen har vårdats inom sluten sjukhusvård sju olika gånger. Han har haft 26 kontakter med läkare inom fem olika specialistområden inom
10 Socialstyrelsen, Registeranalyser av de mest sjuka äldres vård och omsorg, 2013. 11 Leading Healthcare, Icke värdeskapande episoder i äldres vårdkedjor, 2012.
SOU 2014:23 Behov av en mer sammanhållen informationshantering
791
den öppna vården. Fyra gånger har han åkt in till sjukhusets akut med ambulans. Journalen från hälsocentralen består av 128 sidor med 399 notat. Sex olika läkare samt 20 olika distriktssköterskor och två undersköterskor har dokumenterat i läkar- respektive omvårdnadsjournalen. Över 142 hembesök har genomförts av 16 olika distriktssköterskor. Fem olika sjukgymnaster har genomfört 27 hembesök. Lika många hembesök har genomförts av nio olika arbetsterapeuter. I övrigt fanns fyra olika besök dokumenterade om kontakter nattetid med primärvårdens jourverksamhet. I dokumentationen från kommunens biståndshandläggare framgår att tre vårdplaneringar har genomförts på sjukhuset i samband med utskrivning därifrån. Vid den första vårdplaneringen får mannen ett egenvårdsintyg vilket ger honom rätt till bistånd från kommunen och hjälp med insatsen ”handräckning till egenvård”. Detta innebär att hemtjänstpersonal kan ge stöd till dialys för att avlasta anhörig maka. Vid en andra vårdplanering dokumenteras att maka sköter mathållning och övrig service i hemmet. Det stöd som behövs är hjälp med dialys två gånger dagligen och dialyssköterska på sjukhuset utbildar den hemtjänstpersonal som ska ge insatsen. Vid den tredje vårdplaneringen i slutet av perioden tar maka och parets barn upp behovet av korttidsvård eftersom vårdbehoven i hemmet blivit alltför omfattande och tar på anhörigas krafter. Anhöriga anhåller dock inte skriftligt om korttidsvård och någon sådan kommer inte till stånd. Vid några tillfällen finns notat om att personal från sjukhuset tagit kontakt med vårdcentralen eftersom de varit missnöjda med sårvården så som den skötts i hemmet. Från sjukhuset erbjuds utbildning till hemtjänstens personal. Hela undersökningsperioden beskrivs oklarheter och osäkerheter kring såromläggningar, injektioner, läkemedel och hjälpmedel. Anhörig maka fungerar som budbärare av information mellan sjukhus, vårdcentral, apotek och hemtjänst. Anhörig ger själv injektioner och delar läkemedel. Läkemedel förskrivs från olika kliniker på sjukhuset samt från vårdcentralens olika läkare. Vid de oklarheter som ofta uppstår tar anhörig kontakt med vårdcentralen som ber henne söka information från sjukhusets olika kliniker och specialister som har kontakt med mannen.
Exemplet ovan visar på ett flertal olika utmaningar och brister när det gäller vården och omhändertagandet av svårt sjuka äldre. Utöver dessa utmaningar framkommer dessutom att många personer från flera olika organisationer har ett behov av en samlad information om den äldres aktuella hälsa och livssituation.
Även Inspektionen för vård och omsorg, IVO, konstaterar i en rapport att överföringen mellan slutenvård, öppenvård och socialtjänst inte fungerar tillräckligt bra i samband med de övergångar i
Behov av en mer sammanhållen informationshantering SOU 2014:23
792
vårdkedjan som uppstår när äldre skrivs ut från slutenvården. 12IVO pekar bl.a. på att rutiner inte tillämpas, att IT-systemen inte fungerar fullt ut, att uppgifter om omvårdnadsbehov och läkemedelsordinationer riskerar att inte följa med från en instans i kedjan till nästa. Hela tre fjärdedelar av de chefer och den personal i kommuner och primärvård som tillfrågats i myndighetens tillsyn ansåg att aktuell ordinationshandling för läkemedel ofta saknades vid utskrivning. När personal sedan försöker lösa informationsöverföringen på andra sätt kan det finnas en risk för att det stjäl tid från själva vården om den äldre. I rapporten framkommer även bl.a. följande.13
I övrigt framkom det av intervjuerna att informationsöverföringen kunde utebli eller försvåras när den äldre sökte sjukhusvård själv, utan att först ha kontaktat hemtjänsten eller hemsjukvården. Den äldre har naturligtvis rätt att göra detta, men följden kan bli att överenskomna rutiner inte fungerar. Den äldre kan ha svårt att förklara sitt hälsotillstånd eller vilka insatser som annars ges och av vem. Sjukhuspersonal, vanligtvis på akutmottagningar, får därmed inte tillräckligt med information om exempelvis vilka läkemedel den äldre redan är ordinerad. Det kan uppstå svårigheter att veta vilken verksamhet inom hemtjänsten eller hemsjukvården som ska informeras när den äldre skrivs in.
Även om erfarenheterna från ovan nämnda tillsyn delvis pekar på andra brister än just det legala regelverket, dvs. att rutiner inte tillämpas eller att IT-stöd inte fungerar optimalt, kan samtidigt konstateras att regelverket i större utsträckning än i dag hade kunnat bidra till att reducera några av de uppmärksammade riskerna och bristerna. Om det exempelvis fanns rättsliga förutsättningar för den som är i behov av viss information att själv ta del av informationen i ett IT-system, dvs. genom direktåtkomst och oavsett om informationen dokumenterats i hälso- och sjukvården eller i socialtjänsten, skulle sannolikt vissa av dessa utmaningar bli mindre.
12 Inspektionen för vård och omsorg, Nationell tillsyn av vård och omsorg om äldre – slutrapport 2013, s. 6. 13 Inspektionen för vård och omsorg, Nationell tillsyn av vård och omsorg om äldre – slutrapport 2013, s. 19.
SOU 2014:23 Behov av en mer sammanhållen informationshantering
793
En gemensam bild av individens hälsosituation saknas
Under utredningens arbete har vi kunnat konstatera att de äldres sammansatta behov och dokumentationsreglernas organisationsmässiga uppdelning har medfört problem. I en så pass integrerad verksamhet som äldreomsorgen är det ett problem att dokumentationen styrs av olika regelverk, dvs. patientdatalagen (2008:355), förkortad PDL, för hälso- och sjukvårdsinsatserna och socialtjänstlagen m.fl. för de sociala insatserna. Det är inte alltid så enkelt för personalen att i enskilda fall veta vilken information som ska dokumenteras enligt vilket regelverk. Det är inte självklart var information om den äldres humör, aktiviteter, sömn, funktionsnivåer, kosthållning och liknande ska dokumenteras. Om sådana uppgifter dokumenteras i den sociala dokumentationen är den inte tillgänglig exempelvis för primärvårdsläkaren när denne möter den äldre för att utvärdera effekterna av den senaste läkemedelsordinationen.
IVO anför i den tidigare nämnda rapporten att vård- och omsorgspersonal ofta inte vet hur de ska dokumentera på ett korrekt sätt. Samtidigt konstaterar myndigheten att hälso- och sjukvårdsinsatser och sociala insatser ofta flyter ihop för äldre som bor på särskilt boende. Detta kan enligt IVO vara en förklaring till att en dryg tredjedel av korttids- och demensboendena förde anteckningar enligt socialtjänstlagen och patientdatalagen i samma dokument.14
Även utredningens erfarenheter är att vissa verksamheter dokumenterar i samma journal oavsett vilka insatser det handlar om. Det har även i olika sammanhang förts fram önskemål om att det borde vara möjligt att vid behov dokumentera i en gemensam vård- och omsorgsjournal. Samverkansutredningen behandlade just denna fråga men fann betydande lagtekniska svårigheter med ett gemensamt dokumentationssystem för patientjournalföring och sociala anteckningar. Något förslag i frågan lämnades därför inte. Enligt samverkansutredningen fanns dock goda förutsättningar att, i samråd med den enskilde, praktiskt hantera båda slagen av information i t.ex. gemensamma pärmar på äldreboenden.15
Vår uppfattning är att manuell hantering i pärmar inte kan övervägas som ett ändamålsenligt alternativ i dag. För att höja säkerheten och kvaliteten i vård och omsorg behöver informations-
14 Inspektionen för vård och omsorg, Nationell tillsyn av vård och omsorg om äldre – slutrapport 2013, s. 27. 15 Samverkansutredningens betänkande; Samverkan – om gemensamma nämnder på vård och omsorgsområdet, SOU 2000:114 s. 256 ff.
Behov av en mer sammanhållen informationshantering SOU 2014:23
794
hanteringen snarare vara mer elektronisk än vad som är fallet i dag. En manuell hantering saknar dessutom alla möjligheter att svara upp mot det omfattande behov av informationsöverföring som finns mellan de vårdgivare och utförare som möter äldre med sammansatta behov. Det bör därför övervägas hur svårigheterna med att särskilja socialtjänstens omvårdnadsdokumentation från vad som ska betraktas som hälso- och sjukvårdsinformation kan överbryggas. Förutom att det för personalen måste bli lättare att göra rätt, bör olika åtgärder övervägas som förbättrar möjligheterna för de inblandade aktörerna att arbeta tillsammans med stöd av gemensam information om individens hälsosituation.
Frågan om någon form av gemensam dokumentation har inte endast uppstått i relationen mellan hälso- och sjukvård och socialtjänst. Även mellan olika aktörer som i olika former av integrerade verksamheter står antingen för hälso- och sjukvårdsinsatser eller socialtjänstinsatser kan finnas behov av en mer sammanhållen informationshantering. Som exempel kan nämnas de olika vårdgivare som tillsammans står för hälso- och sjukvårdsinsatserna i särskilt boende och i hemsjukvården. Det förekommer exempelvis att privata vårdgivare (med kommunal finansiering) står för hälso- och sjukvårdsinsatserna under dagtid på vardagar, medan kommunens egen hälso- och sjukvårdspersonal har ansvar för samma individer under kvällar, nätter och helger. Inte sällan har patienterna ett flertal diagnoser, ett omfattande omvårdnadsbehov och behov av medicinska insatser stora delar av dygnet. För en verksamhet som är organiserad på ett sådant sätt uppstår i dag svårigheter ur ett informationshanteringsperspektiv. I stället för att ha ett gemensamt system och i det dokumentera tillsammans i en och samma patientjournal ställer regelverket krav på att de inblandade vårdgivarna ska föra sin egen journal.
Det är visserligen möjligt att genom direktåtkomst visa upp information för varandra (sammanhållen journalföring), men det kan ifrågasättas om de möjligheterna är tillräckliga för en verksamhet som är så pass integrerad. Ett exempel utredningen tagit del avsåg en patient som får smärtor vid 16-tiden och då får läkemedel av sjuksköterskan som arbetar för den privata vårdgivaren. När kommunens sjuksköterska kl. 17:30 tar över ansvaret för patienten följs läkemedelsadministrationen upp och ställningstagande till fortsatta åtgärder görs. Liknande exempel uppstår i en mängd situationer, t.ex. när en person i ett flertal dygn vårdas i livets slutskede och dokumentationen bör vara samlad i patientens journal
SOU 2014:23 Behov av en mer sammanhållen informationshantering
795
oavsett om vården utförs av olika vårdgivare olika tider på dygnet. Motsvarande exempel finns även när det gäller dokumentation mellan olika utförare av socialtjänstinsatser, när ansvaret är uppdelat på olika tider av dygnet eller på olika insatser.
Utredningens generella reflektioner
Utredningen anser att regelverket när det gäller integrerade verksamheter inte på bästa möjliga sätt tillgodoser den enskilde patientens och verksamhetens behov av en sammanhållen informationshantering. Detta är särskilt tydligt för den som bor i särskilt boende och för den som bor i ordinärt boende med insatser från hemsjukvården och socialtjänsten. I sådana verksamheter arbetar all inblandad personal, oavsett organisatorisk tillhörighet, med den enskildes totala hälso- och livssituation.
De gränsdragningsproblem mellan kommuner och landsting som lagstiftaren ville komma till rätta med genom Ädelreformen, upprätthålls alltjämt av de skilda dokumentations- och registerförfattningarna för hälso- och sjukvården och socialtjänsten. Trots att det inte föreligger någon sekretess mellan den hälso- och sjukvård och den socialtjänst som erbjuds inom ramen för sådan verksamhet som kommunen står för enligt Ädelreformen medför dokumentationsbestämmelserna att gränsdragningsproblemen i stor omfattning kvarstår. Situationen har förstås blivit ännu mer komplex nu när det inte längre alltid är samma kommunala nämnd som står för hälso- och sjukvårds- respektive socialtjänstinsatserna. Sekretessgränser som tidigare inte har funnits, har nu kommit att uppstå i verksamheter där olika organisationer, vårdgivare i sjukvård och utförare i socialtjänst, samverkar i äldreomsorgen. I stället för en kvalitetssäker och samlad information om den enskildes vård- och omsorgssituation visar verksamheterna upp en splittrad, oöverskådlig och tidskrävande informationshantering med uppenbara risker för den enskilde.
Regelverket medför även att det inte är alldeles enkelt att hantera de verksamhetsövergångar som ofta uppstår. I fall där det är flera olika utförare av insatserna finns behov av att information om den enskilde på ett effektivt sätt kan föras över till nästa utförare. Detta gäller särskilt i äldreomsorgen där såväl insatser från hälso- och sjukvården som från socialtjänsten behövs över en längre tid.
Behov av en mer sammanhållen informationshantering SOU 2014:23
796
31.3.2 Vård och omsorg om personer med psykisk sjukdom och funktionshinder
För personer med psykisk sjukdom och funktionshinder som är i behov av insatser från både hälso- och sjukvården och socialtjänsten finns flera likheter med det som redovisats om äldreomsorgen ovan. Även inom psykiatrin finns exempel på integrerade verksamheter där samverkan och informationsöverföring är centrala för de behov den enskilde har.
Socialstyrelsen konstaterar i en vägledning för arbetet med psykisk ohälsa hos äldre att flera kommuner och landsting har startat särskilda team med inriktning på äldres psykiska ohälsa.16Teamen tillhör ibland antingen den kommunala verksamheten eller landstinget, men i några fall är teamen en gemensam angelägenhet för båda huvudmännen. Teamens uppdrag, upplägg och sammansättning varierar men många är tvärprofessionella i den bemärkelsen att de medverkande har olika roller och professioner. Det är exempelvis vanligt att teamen består av läkare, sjuksköterska, arbetsterapeut, sjukgymnast, skötare, undersköterska, boendestödjare och någon som har en samordnande funktion. För sådana tvärprofessionella verksamheter blir frågor om hur information får hanteras och utbytas mellan de ingående organisationerna och personalkategorierna en avgörande faktor för att nå de önskade resultaten.
Det finns även flera exempel på samverkan mellan huvudmännen genom olika varianter av samordnade resurser, dvs. att den enskilde får en sammanhållande kontaktperson. Kontaktpersonen kan t.ex. vara vårdbiträden, undersköterskor, boendestödjare eller samordningssjuksköterska. Det kan även erbjudas i form av en care manager eller case manager. En vidare form av samverkan utgörs av ett resursgruppsarbete enligt ACT-modell. En sådan samverkan kan bestå i att alla viktiga personer runt den enskilde med psykisk ohälsa, exempelvis närstående, kontaktperson, sjuksköterska m.fl., samlas i en grupp där alla bidrar med sin del för att tillsammans kunna arbeta utifrån ett helhetsperspektiv. Socialstyrelsen har exempelvis rekommenderat detta vid insatser för personer med schizofreni och liknande tillstånd.
Utredningen har varit i kontakt med verksamheter bestående av tvärprofessionella team som arbetar i samma lokaler för att till-
16 Socialstyrelsen, Att arbeta med äldres psykiska ohälsa – vägledning för socialtjänsten och den kommunala hälso- och sjukvården, 2013.
SOU 2014:23 Behov av en mer sammanhållen informationshantering
797
sammans ge den enskilde det stöd och den vård som behövs. De huvudmän som representeras kan vara både kommunens socialtjänst, landstingets hälso- och sjukvård, kommunens hälso- och sjukvård samt statliga myndigheter som Kriminalvården, Försäkringskassan och Arbetsförmedlingen. Om verksamheten omfattar insatser för barn och unga kan även skolan ha en viktig roll.
Nedan återges några exempel från sådana integrerade verksamheter som utredningen har haft kontakt med för att försöka kartlägga och identifiera hinder och utmaningar för en mer sammanhållen informationshantering.
Stödverksamhet för unga vuxna
Utredningen har tagit del av erfarenheter från ett samverkansteam som arbetar för att unga vuxna 18–29 år med psykiska besvär ska kunna komma ut i arbetslivet. Teamet har som uppdrag att arbeta tvärprofessionellt med coachning och insatser av psykolog och psykiatriker i syfte att minska psykisk ohälsa och öka aktivitets- och sysselsättningsgrad. Verksamheten samfinansieras av landsting, kommun, Arbetsförmedlingen och Försäkringskassa. Kommunen har ansvar för samordnad ledning och organisatoriskt stöd.
Teammedlemmarna har olika grundanställningar, men verksamheten är integrerad och genomförs i gemensamma lokaler och med gemensam verksamhetsledning. Fyra psykologer är anställda i kommunen, en psykiatriker är anställd i landstinget, en coach är kommunanställd, en coach är anställd av Försäkringskassan och en coach av Arbetsförmedlingen. Den unge vuxne söker sig dit självständigt, men har ofta även andra kontakter med landstinget, Arbetsförmedlingen, Försäkringskassan eller socialtjänst. Samverkan utövas med samtycke från den unge vuxne och i den omfattning som behövs. Deltagandetiden är ett år.
När den unge börjar i verksamheten inhämtas alltid ett skriftligt samtycke för teamarbetet, för den gemensamma dokumentationen av behandlingsinsatsen, och för att vid behov samverka med befintliga vårdgivare och handläggare. Samtycket gäller i tre år och kan återkallas. I praktiken har det aldrig hänt att någon har återkallat ett samtycke.
Behandlingsinsatsen från teamet består av psykologisk behandling, psykiaterkonsult och sociala eller arbetsinriktade insatser från coacher. Teamets uppbyggnad är mycket likt ett psykiatriskt team
Behov av en mer sammanhållen informationshantering SOU 2014:23
798
som har regelbundna möten. All inskrivning i verksamhet samt alla förändringar i behandling eller deltagande går via teambeslut, eftersom teamet gemensamt ansvarar för planering och upplägg.
Alla insatser bygger på tät samverkan mellan teamets medlemmar. Det är därför nödvändigt att all väsentlig information kan delas i teamet, vilket görs muntligt på möten. För att kunna säkerställa god vård vill verksamheten ha ett dokumentationssystem som uppfyller krav på ett journalföringssystem där samtliga inkopplade på samma ärende kan följa andra teammedlemmars insatser. Alla som arbetar runt individen behöver ha samma helhetsbild av den enskildes hälsa och utveckling.
Södertäljemodellen – samverkan mellan kommun och landsting
I Södertälje har det alltsedan psykiatrireformen 1995 funnits ett samarbete mellan landsting och kommun när det gäller psykiatri,
Södertäljemodellen. Modellen har sedan utökats att gälla även
personer med beroendeproblem. Målgruppen är personer med långvarig och allvarlig psykisk sjukdom som medför varaktiga funktionsnedsättningar (exv. psykossjukdomar). Det finns två huvudmän för verksamheten; landstinget som ansvarar för den psykiatriska behandlingen och kommunerna som har ansvaret för boendestöd, sysselsättning och övergripande planering. Det övergripande ansvaret för samordning och ledning av det gemensamma arbetet har en gemensam styrgrupp. Det finns två särskilda projektledare, en från varje huvudman.
Parterna samarbetar i öppenvården på gemensamma rehabiliteringsenheter. På varje enhet erbjuds social gemenskap, sysselsättning, psykiatrisk behandling och boendestöd. Genom det delade huvudmannaskapet på enheterna finns kontakterna med både psykiatrins heldygnsvård och olika kommunala verksamheter kvar. På de fyra enheterna (gårdarna) samverkar personal från kommunen med personal från landstinget. Verksamheten leds gemensamt av två chefer, en från respektive huvudman.
Varje individ får två samordnare, en från kommunen och en från landstinget, som har samordningsansvar för stöd och behandling. Att vara samordnare (Case Manager) är en speciell arbetsuppgift, som ligger utanför de specifika yrkesrollerna. Samordnarna har ansvaret för att planeringen för klienten blir genomförd. På varje enhet finns personal i form av läkare, sjuksköterskor, mental-
SOU 2014:23 Behov av en mer sammanhållen informationshantering
799
skötare, arbetsterapeut, psykolog, socialsekreterare, boendestödjare, rehabiliteringsassistent, receptionist och lokalvårdare.
Personalen har önskemål om att det ska finnas ett gemensamt system för dokumentation eftersom det skulle underlätta deras arbete och i större utsträckning tillgodose den enskildes behov och ge en nödvändig helhetsbild av den aktuella situationen. I dag inhämtas samtycke från den enskilde om att få dela personuppgifter. Detta upplevs i och för sig inte som ett problem. Däremot bedöms inte förutsättningarna för ett effektivt utbyte av information vara tillräckligt goda, vare sig ur rättslig eller ur teknisk synvinkel. Även om personalen har en faktisk möjlighet att utbyta information med stöd av samtycket skulle det vara mycket mer effektivt om informationsutbytet fick göras genom sådan direktåtkomst där man kan ta del av informationen direkt i varandras system. I dag görs det ett dubbel- eller trippelarbete genom att relevant information dokumenteras både i kommunens hälso- och sjukvård och i socialtjänsten samt i landstingets hälso- och sjukvård. I praktiken finns i dag tre olika system, kommunen har två (ett för socialtjänst och ett för LSS) och landstinget har ett system. De privata verksamheter som anlitas har i sin tur sina egna system för dokumentation av insatsernas genomförande. Verksamheten vittnar även om att informationsöverföringen i viss omfattning är beroende av samordnarens goda minne, dvs. att information finns i huvudet på ett antal centrala aktörer i verksamheten. Ett annat alternativ som framförs och som man anser skulle tillgodose verksamhetens och de enskildas behov skulle vara en gemensam dokumentation över verksamhets- och huvudmannagränserna.
Behov av ett stödjande regelverk för informationshantering
Precis som inom äldreomsorgen har personer med psykisk sjukdom och funktionshinder behov av att alla de möter har tillgång till relevant och aktuell information som ger en rättvisande bild av individens totala situation. Framväxten av integrerade verksamheter bestående av tvärprofessionella team som tillsammans arbetar för att förbättra hälsa och livskvalitet för personer med komplexa och sammansatta behov är positiv. Det är en utveckling som lagstiftaren på många olika sätt vill stödja. Därför anser utredningen att det bör övervägas nya möjligheter för att samtliga inblandade, oavsett organisationstillhörighet, ska få tillgång till den information
Behov av en mer sammanhållen informationshantering SOU 2014:23
800
som behövs för att på bästa möjliga sätt kunna stötta individen och vara en del i ett samverkande team. Det handlar i första hand om att överväga nya möjligheter för informationsutbyte mellan vårdgivare i hälso- och sjukvården och utförare i socialtjänsten. Men det handlar dessutom om möjligheterna för övriga inblandade aktörer att med stöd av den enskildes samtycke ha tillgång till den information som behövs för att kunna vara en effektiv resurs i en integrerad verksamhet. Det kan som nämnts tidigare handla om Försäkringskassa, Arbetsförmedling, Kriminalvård m.fl.
31.3.3 Vård och omsorg om personer med missbruk och beroendeproblem
Utredningen har haft kontakt med ett antal olika verksamheter som är inriktade på att stödja personer med missbruk och beroenden. I stort visar dessa verksamheter upp motsvarande problematik som finns i äldreomsorgen eller inom psykiatrin. Även personer med missbruksproblem är ofta i behov av insatser både från landstingsfinansierad hälso- och sjukvård, kommunal hälso- och sjukvård samt socialtjänst. Inte sällan har individer med missbruks- och beroendeproblem dessutom samtidigt psykisk ohälsa, vilket gör den enskildes behov än mer komplexa.
I dag tillgodoses behoven av samverkan mellan de olika aktörerna på olika sätt i olika städer, kommuner och delar av landet. Även verksamheterna har olika behov av att kunna utbyta information på annat sätt än vad som är möjligt i dag, vilket beror på hur sammansatta problem de enskilda som berörs av verksamheten har. Utredningen har både besökt verksamheter som på det stora hela upplever att informationsöverföringen fungerar tillfredsställande och även verksamheter där man har stora behov av bättre legala och tekniska förutsättningar m.m.
Samverkan rörande individer med komplex problematik
Utredningen har bland annat fått ta del av erfarenheter från en mottagning där tre huvudmän, Kriminalvården (Frivården), kommunen (socialtjänst) och landstinget (beroendekliniken) arbetar i en integrerad teamverksamhet för att på bästa möjliga sätt tillgodose individernas behov. Teamet består i dag av frivårdsinspektörer,
SOU 2014:23 Behov av en mer sammanhållen informationshantering
801
socialsekreterare, psykolog, teamsekreterare, sjuksköterska, psykiater samt en sektionsledare. Verksamheten vänder sig till vuxna personer med komplex problematik av missbruk/beroende och psykisk ohälsa och som under kortare eller längre perioder har ett behov av extra tät samverkan mellan olika aktörer. De individer som verksamheten försöker nå har ofta problem inom många områden. De behöver ofta ta itu med missbruk, med sociala problem, med kriminalitet och med aggressionsproblem på samma gång. I dagsläget omfattas omkring 75 personer av teamets insatser. Många av dessa har svårt att upprätthålla en kontinuitet i kontakten. Behandlingen avbryts ofta för inneliggande sjukhusvård, fängelsevistelse, LVM-vård, eller vård på behandlingshem m.m. Teamets förhållningssätt är att arbeta långsiktigt, vilket bl.a. kan innebära att behandlingen vid sådana avbrott inte avslutas även om det blir ett uppehåll.
När en individ börjar i verksamheten inhämtas ett samtycke som innebär att information får utbytas inom teamet, det vill säga mellan de tre huvudmännen. En individ i behandling har alltid en bas i sin samtalskontakt i teamet, som kan vara antingen en frivårdsinspektör, socialsekreterare, psykolog eller sjuksköterska. Utöver det har individen åtminstone kontakt med en sjuksköterska för medicinering samt psykiater vid behov. Majoriteten av personerna har även en kontakt med myndighetsutövande socialtjänst, över hälften har en pågående kriminalvårdspåföljd och omkring 60– 70 procent har en neuropsykiatrisk diagnos utöver sitt missbruk. Sammantaget har individerna stora svårigheter och omfattande behov av stöd från olika organisationer som kan arbeta tillsammans och utbyta information för att tillgodose de komplexa behoven.
Verksamheten vittnar om att informationshanteringen i dag inte stödjer det täta teambaserade arbetet. De iblandade aktörerna dokumenterar alla i sina dokumentationssystem vilket leder till att den gemensamma bilden av individens behov saknas. Även om det finns samtycke från individen saknas förutsättningar att effektivt ta del av den information som är dokumenterad av respektive aktör genom direktåtkomst. Socialsekreterarna kan exempelvis inte ta del av sådan information landstingets representanter dokumenterar i patientjournalen. Behov finns dock att kunna se t.ex. vilket läkemedel som ordinerats, resultat av drogtester, andra kontakter som individen har och om han eller hon är inlagd i slutenvården m.m. Verksamheten är i dag i stor utsträckning hänvisad till att uppdaterar varandra muntligen. När det gäller arbetet i teamet uppger
Behov av en mer sammanhållen informationshantering SOU 2014:23
802
verksamheten dock att det är viktig att vara uppdaterad avseende vad som är aktuellt för den enskilde. Det är viktigt att såväl kunna ta del av den vård som individerna får vid akutsjukvård som att dokumentera de behandlingsinsatser och de bedömningar som alla behandlare står för på mottagningen.
Behov av sammanhållen informationshantering
Exemplet ovan tydliggör återigen behovet för vissa typer av integrerade verksamheter att ha en sammanhållen individinformation över organisatoriska gränser så att personalen snabbt kan fatta beslut som ligger i linje med tidigare beslutade insatser för individens tillfrisknande eller rehabilitering. I dag arbetar man uteslutande med att inhämta samtycke från den enskilde för att kunna dela nödvändig information. Information om vad som är aktuellt avseende den enskildes hälsotillstånd kan därför inte utbytas tillräckligt effektivt mellan de olika yrkeskategorierna eftersom dokumentationen görs i olika system och inte heller kan nås genom direktåtkomst.
För den enskilde medför personalens brist på information och effektiva möjligheter till informationsöverföring risker. Om de inblandade aktörerna inte har relevant bakgrundsinformation eller dagsaktuell information om nuläget riskerar den enskilde att få en vård och omsorg på osäkra villkor. Inte minst för individer med komplex problematik och samsjuklighet är det nödvändigt att den personal individen möter i vården och omsorgen har tillgång till aktuell information. Dessa verksamheter bygger i grunden på den enskildes fria vilja att delta. Han eller hon har gett sitt samtycke till informationsutbyte över organisatoriska gränser och har därför även rätt att förutsätta att rätt information finns på rätt plats i rätt tid.
Förutsättningarna för att effektivt bidra till bästa möjliga resultat för individen påverkas av vilka möjligheter till informationshantering som finns. Utredningen anser att det bör vara möjligt för verksamheter att använda modern teknik för att hålla en aktuell och kvalitetssäkrad information om individen tillgänglig för personal som över organisatoriska gränser arbetar tillsammans för individens bästa. Utan en sammanhållen informationshantering och gemensam bild av individens hälsosituation motverkas även själva syftet med en tät samverkan mellan hälso- och sjukvård, socialtjänst och andra aktörer.
SOU 2014:23 Behov av en mer sammanhållen informationshantering
803
31.3.4 Vård och omsorg om barn och unga
Kommuner och landsting har under de senaste decennierna ålagts att stärka sin samverkan när individens behov kräver det. När det gäller barn och unga är samverkan en viktig nationell angelägenhet som omfattar staten, kommuner och landsting och deras intresseorganisation Sveriges kommuner och landsting (SKL) m.fl. Även myndigheter som Försäkringskassa, Migrationsverket och Polisen kan vara inblandade i samverkan kring ett barn. Andra viktiga samverkansparter på lokal och regional nivå är privat och idéburna aktörer. Samverkan görs på lokal, regional och nationell nivå.17
Under utredningens arbete har kontakter förekommit med flera olika typer av verksamheter som rör barn och unga. Exempelvis kan de så kallade Barnahusen nämnas, som bl.a. vänder sig till barn som utsatts för sexuella övergrepp. I dessa verksamheter förekommer en omfattande samverkan framför allt mellan landstingsfinansierad hälso- och sjukvård, socialtjänst och polis.
Vidare har utredningen haft kontakt med och tagit del av erfarenheter från det så kallade Modellområdesprojektet där SKL och 14 områden ingick (landsting/en region tillsammans med en eller flera kommuner). Projektet pågick under åren 2009–2011 och syftade till att synkronisera insatserna för barns och ungdomars psykiska hälsa. I juni 2011 enades regeringen och SKL om en ny överenskommelse för barn och ungas psykiska hälsa. Arbetet drivs inom ramen för Psynkprojektet (Psykisk hälsa, barn och unga – synkronisering av insatser) och har som fortsatt ambition att synkronisera samhällets alla insatser för barn och unga som har eller riskerar att utveckla psykisk ohälsa. Det handlar bl.a. om att samverka över organisatoriska gränser och behandla psykiska problem i ett tidigt skede. Barn och unga ska ges stöd i sin närmiljö och på ett lättillgängligt sätt. I modellområdesprojektets slutrapport framfördes bl.a. följande angående vilka hinder som det i dag bedöms finnas för ett mer framgångsrikt arbete i första linjen.
Den skisserade modellen möter i dagsläget ett antal utmaningar i förhållande till lagstiftning, kompetenser och uppdrag. Sekretesslagstiftningen, personuppgiftslagstiftningen och vissa specifika lagar och riktlinjer för dokumentation i socialtjänst utgör de mest framträdande hindren för att skapa den samlade lägesbild kring barn, unga och familjer som skulle behövas för ett framgångsrikt systemövergripande systematiskt kvalitetsarbete. Därutöver har erfarenheten i Modell-
17 Socialstyrelsens vägledning Samverka för barns bästa – en vägledning om bans behov av insatser från flera aktörer.
Behov av en mer sammanhållen informationshantering SOU 2014:23
804
områdesprojektet visat att det trots begränsningarna i lagstiftningen ändå finns vissa möjligheter att utveckla gemensamma kvalitetssystem, men kompetensen att driva en sådan utveckling i kommuner och landsting utgör en ytterligare utmaning.
Även om rapporten visar på behov av insatser på fler områden än lagstiftning framkommer det tydligt att det är en helhetsbild av individens och målgruppens situation som eftersträvas. I en verklighet med många inblandade aktörer och olika lagstiftning, kompetenser och uppdrag saknas i dag den samlade lägesbild som önskas för att arbeta systematiskt med psykisk ohälsa hos barn och unga.
Ungdomsmottagning
Ett annat exempel där kommuner och landsting samverkar är i ungdomsmottagningarna. En ungdomsmottagning vänder sig typiskt sett till unga människor mellan 12 och 22 år. På mottagningarna arbetar vanligtvis barnmorskor, kuratorer och gynekologer. På vissa mottagningar finns även undersköterskor och psykologer. Verksamheten möter ungdomar bl.a. i frågor som rör kroppen, sexualitet, preventivmedel, graviditet och olika typer av samtal och rådgivning för att tillgodose unga människors behov.
En fungerande ungdomsmottagning ställer stora krav på samverkan på olika nivåer mellan kommuner och landsting. För den enskilde som vänder sig till en ungdomsmottagning upplevs det sannolikt som en enda verksamhet med uppdraget att särskilt stödja ungdomar. Men när det gäller förutsättningarna att dokumentera och dela information om individerna träder en annan bild fram. Det kan exempelvis konstateras att de olika personalkategorierna delvis omfattas av olika dokumentationsbestämmelser. Den landstingsanställda legitimerade personalen har journalföringsplikt och ska i övrigt följa bestämmelserna bl.a. i patientdatalagen. För de kommunala yrkeskategorierna med tillhörighet i socialtjänsten gäller framför allt socialtjänstlagens regler för dokumentation. Detta kan, beroende på hur verksamheten i övrigt är organiserad, bland annat leda till att en ungdoms kontakt med mottagningen blir dokumenterad i en patientjournal för det fall att han eller hon möter landstingets hälso- och sjukvårdspersonal. Om den unge har motsvarande kontakt med exempelvis kuratorn från kommunens socialtjänst är det inte säkert att någon
SOU 2014:23 Behov av en mer sammanhållen informationshantering
805
dokumentation över huvud taget görs. För det fall en sådan kontakt förekommer inom ramen för råd och stöd, dvs. utan biståndsbedömning, finns nämligen ingen dokumentationsskyldighet.
En annan faktor i sammanhanget är att informationsutbytet mellan de olika aktörerna inte kan göras genom så kallad direktåtkomst. Detta på grund av att lagstiftaren inte har gjort det tillåtet med direktåtkomst mellan hälso- och sjukvården och socialtjänsten.
Särskilda mottagningar för alkohol och drogproblematik
MiniMaria är exempel på mottagningar där Stockholms läns landsting och kommuner i länet i samverkan arbetar med att hjälpa ungdomar och deras familjer med problem som är kopplade till alkohol, droger och psykisk ohälsa. I verksamheten finns även kompetens för att behandla ungdomar med neuropsykologiska funktionshinder. I verksamheten som finns på 23 olika lokala mottagningar i länet arbetar t.ex. kuratorer, sjuksköterskor och läkare med rådgivning, samtal, behandling, drogtester, familjesamtal, anhörigsamtal m.m.
MiniMoa är ett exempel på en motsvarande verksamhet som drivs av Landstinget i Östergötland och socialtjänsten i Norrköpings kommun. Till verksamheten kan ungdomar vända sig för kostnadsfria drogtest, stödsamtal, telefonrådgivning m.m.
Gemensamt för dessa verksamheter är precis som för ungdomsmottagningarna att de har ett stort behov av samverka både mellan organisationerna och mellan personalen i verksamheten och i relation till övriga delar av socialtjänsten.
807
32 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
32.1 Bakgrund
Det finns särskilt stora behov av att hålla ihop informationen när det handlar om personer med sammansatta behov av både hälso- och sjukvård och socialtjänst. Det är utredningens uppdrag att lämna förslag som leder till att den informationshanteringen kan bli mer ändamålsenlig. Ansvarsfördelningen mellan de olika huvudmännen, det stora antalet vårdgivare i sjukvården och utförare i socialtjänsten samt de regelverk som styr informationshanteringen ligger bakom de utmaningar som finns för att kunna skapa en mer ändamålsenlig och sammanhållen informationshantering. Omfattande utmaningar finns även inom områden som teknisk utveckling, ledning och styrning, informatik, arbetssätt m.m. Samtliga faktorer behöver beaktas för att analysera problemen och stödja utveckling mot en informationshantering med individen och individens behov i centrum.
För kvaliteten i integrerade verksamheter är det utan tvekan centralt att all inblandad personal får den information som behövs för att ge den enskilde bästa möjliga vård och omsorg. De exempel som utredningen har redovisat i förra kapitlet visar att informationshanteringen måste förbättras och underlättas genom en moderniserad lagstiftning. Idag förekommer viss manuell hantering med papperskopior, muntliga informationsöverlämnanden och dubbeldokumentation i integrerade verksamheter. Det förekommer även att vissa personalkategorier, beroende på organisatorisk tillhörighet, på ett omotiverat sätt blir utestängda från en
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
808
mer effektiv informationshantering. Den enskilde individen som har lämnat sitt samtycke till att alla inblandade får ta del av den information som behövs har ett behov och ett intresse av att informationsöverföringen görs effektivt och på ett kvalitetssäkert och integritetsskyddande sätt. Här har lagstiftningen en viktig funktion att fylla.
Utredningen konstaterar att de olika reglerna för dokumentation i hälso- och sjukvården respektive socialtjänsten ger upphov till problem i sådana integrerade verksamheter där det i praktiken är svårt att avgöra vilka bedömningar och insatser som ska betraktas som socialtjänst och vilka som kan anses utgöra hälso- och sjukvård. Vi anser att sådana gränsdragningsproblem svårligen kan sägas ligga i enskilda individers intresse. Äldre människor som har så omfattande och sammansatta behov att de behöver bo i särskilt boende för att få vård- och omsorgsbehovet tillgodosett är sannolikt mer intresserade av att inblandad personal har en gemensam helhetsbild av hans eller hennes aktuella hälsosituation än av att informationen är splittrad och svåröverskådlig.
Mot bakgrund av de iakttagelser utredningen gjort kan sammanfattningsvis konstateras att regelverket i större utsträckning än vad som är fallet idag behöver stödja utvecklingen mot en mer ändamålsenlig och sammanhållen informationshantering. Det bör därför övervägas hur regelverket kan utformas för att bättre möjliggöra en informationshantering som bidrar till bättre resultat för individer med sammansatta behov.
32.2 Vilka förändringar behövs?
För att avgöra vilka förändringar i lagstiftning som behövs är det i ett första skede nödvändigt att ta ställning till hur långt det går att nå med nuvarande regelverk och de förslag som utredningen lämnat i andra delar. Vi kommer därför att i detta avsnitt gå igenom gällande rätt och vad som fattas i lagstiftningen för att uppnå ett ändamålsenligt informationsutbyte mellan hälso- och sjukvård och socialtjänst.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
809
32.2.1 Kort om nuvarande regelverk
Nuvarande reglering möjliggör en form direktåtkomst, sammanhållen journalföring, inom hälso- och sjukvården. Sammanhållen journalföring kan alltså bara användas när det är fråga om hälso- och sjukvård. Direktåtkomst mellan hälso- och sjukvården och socialtjänsten är i dagsläget inte tillåtet.
Direktåtkomst är inte heller tillåten mellan olika aktörer inom socialtjänsten. För socialtjänstens del finns det således ingen motsvarighet till sammanhållen journalföring i hälso- och sjukvården. Det är inte heller möjligt för den enskilde att genom samtycke tillåta att direktåtkomst kan användas. Därför inhämtas patientens samtycke till att dela information på traditionellt sätt genom papperskopior eller muntligt eller genom elektroniska utlämnanden.
Vidare kan uppgifter lämnas från hälso- och sjukvården till socialtjänsten för att en enskild, som själv inte kan samtycka till utlämnandet, ska få nödvändig vård och omsorg och behandling (25 kap. 13 § offentlighets- och sekretesslagen [2009:400], förkortad [OSL]). Bestämmelsen innebär dock inte uppgifterna kan tillhandahållas genom direktåtkomst utan kan bara tillämpas vid traditionellt utlämnande av uppgifter.
Vidare saknas idag möjligheter för olika aktörer som deltar i vården och omsorgen om en enskild att föra en gemensam patientjournal eller en gemensam social dokumentation. Det finns inte heller möjligheter för vårdgivare i hälso- och sjukvården och utförare i socialtjänsten att dokumentera i en gränsöverskridande vård- och omsorgsjournal eller liknande.
32.2.2 Kort om utredningens förslag i övriga delar
Våra förslag i tidigare avsnitt gällande hälso- sjukvård och socialtjänst innebär i korthet följande.
Vi föreslår vissa sekretesslättnader inom den offentligfinansierade vården inom ett landsting eller en kommun. Detta innebär att det under vissa förutsättningar inte ska vara sekretess mellan vårdgivares myndigheter och de privata utförare som landstinget eller kommunen anlitat. Detta för att landsting och kommun ska fritt kunna välja vilken myndighetsorganisation och vilka etableringsformer som passar huvudmannen bäst utan att det får negativa konsekvenser för hälso- och sjukvården.
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
810
Det ska även vara tillåtet med direktåtkomst till personuppgifter
mellan vårdgivare som finansieras av samma landstingskommunala eller kommunala huvudman. För att den ovan föreslagna lättnaden i
sekretessen ska få önskvärd effekt anser vi att det måste vara möjligt med direktåtkomst mellan de olika vårdgivarna och myndigheterna som bedriver hälso- och sjukvård i samma landsting eller kommun. Syftet med ändringen är att det ska vara lika enkelt att utbyta nödvändig information oavsett om vården bedrivs direkt i vårdgivarens regi eller genom en privat utförare. Förslaget innebär däremot inte lättnader jämfört med vad som är fallet idag när det gäller informationsutbytet mellan landstingsfinansierad och kommunalt finansierad hälso- och sjukvård. Det informationsutbyte som behövs mellan exempelvis kommunal hälso- och sjukvård i särskilt boende eller hemsjukvård och den landstingsfinansierade primärvården kommer med vårt förslag alltjämt få göras i enlighet med reglerna om sammanhållen journalföring.
När det gäller socialtjänsten har vi lämnat förslag till att det inte
ska finnas några sekretessgränser mellan olika nämnder i kommunen.
Detta för att göra det möjligt för en kommun att organisera och bedriva socialtjänstverksamhet genom olika myndigheter till exempel stadsdelsnämnder eller beställarnämnder utan att sekretessgränser uppstår mellan myndigheterna.
För att möjliggöra att de verksamheter som bedriver socialtjänst ska kunna utföra sitt arbete på ett ändamålsenligt och säkert sätt föreslås att det ska vara tillåtet med direktåtkomst mellan verksam-
heter inom socialtjänsten. Direktåtkomsten, dvs. den potentiella
tillgången till uppgifter om individer, ska endast kunna avse individer som faktiskt och för tillfället är föremål för insatser enligt socialtjänstlagen (2001:453), förkortad SoL, m.m.
Vidare har vi föreslagit ett undantag från socialtjänstsekretess för
att den enskilde ska få nödvändig vård och omsorg och behandling.
Denna sekretessbrytande regel gör det tillåtet att i situationer där samtycke inte kan inhämtas lämna ut uppgifter som behövs för att den enskilde ska få nödvändig vård, behandling eller annat stöd till andra myndigheter som bedriver socialtjänst och till myndigheter inom hälso- och sjukvården.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
811
32.2.3 Vad behövs ytterligare?
Sammanfattningsvis innebär utredningens förslag att informationshanteringen förbättras när det gäller tillgången inom både hälso- och sjukvården och socialtjänsten. Dessa förslag har dock ingen direkt påverkan på möjligheterna till en mer sammanhållen informationshantering i verksamheter där den enskilde är i behov av både hälso- och sjukvård och socialtjänst. Visserligen föreslår vi en sekretessbrytande regel som innebär att information kan lämnas ut i sådana fall där den enskilde inte kan samtycka och informationen behövs för att den enskilde ska få nödvändig vård och stöd. Det är dock en bestämmelse som ska tillämpas med varsamhet i enskilda fall och som inte möjliggör ett mer regelmässigt och automatiserat informationsutbyte mellan olika aktörer i integrerade verksamheter.
Vi kan mot bakgrund av den kartläggning som redovisats ovan konstatera att det finns behov av att modernisera regelverket så att det på ett bättre sätt kan möta de behov som människor med sammansatta behov av vård och omsorg har. För de aktörer som arbetar tillsammans för en ökad hälsa och livskvalitet för enskilda individer bör det bli lättare att skapa en gemensam bild av individens hälsosituation oavsett i vilken organisation grunduppgifterna är dokumenterade.
32.3 Våra överväganden och förslag
32.3.1 Inledande utgångspunkter
Vår utgångspunkt är att den information om individen som behövs för att individen ska få bästa möjliga vård och omsorg ska finnas tillhands för den personal som behöver den, oavsett organisatorisk tillhörighet eller verksamhetsområde. För olika former av integrerade verksamheter innebär detta att det skulle behövas en ömsesidig tillgång till information över vårdgivargränser, utförargränser och huvudmannagränser.
De hinder för en mer sammanhållen informationshantering som idag finns på grund av sekretessbestämmelser och olika dokumentationsbestämmelser för olika verksamhetsområden bör överbryggas. Vidare anser vi att regelverket bör ge uttryck för en sådan flexibilitet som krävs för att det ska finnas förutsättningar för en informationshantering som utgår ifrån individens behov. Samtidigt
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
812
behövs en robusthet som ser till att integriteten, säkerheten och kvaliteten garanteras för samtliga individer.
Mot denna bakgrund bör därför analyseras vilka alternativa lösningar som står till buds för att ge samtliga inblandade oavsett organisatorisk tillhörighet en samlad gemensam information om individens hälsosituation. Vår utgångspunkt är att modern, effektiv och säker teknik bör användas för att skapa den gemensamma bilden.
Vi anser dessutom att ett framtida regelverk ska minska konsekvenserna av att olika informationsmängder är dokumenterade i patientjournalen respektive den sociala dokumentationen. Regelverket bör även möjliggöra att kvaliteten i integrerade verksamheter kan följas upp, utvecklas och säkras. Slutligen vill utredningen understryka att individens behov av integritetsskydd måste tillvaratas och säkras vid utformningen av det nya regelverket.
32.3.2 Två alternativa möjligheter bör tillhandahållas
Vår bedömning: För att tillgodose behoven i en sådan komplex
verksamhet som vård och omsorg för personer med behov av både hälso- och sjukvård och socialtjänst, bör regelverket tillhandahålla flera olika möjligheter till en mer effektiv, ändamålsenlig och sammanhållen informationshantering. Därför bör verksamheterna få välja den form av informationshantering som är bäst lämpad för den verksamhet som bedrivs; antingen direktåtkomst mellan hälso- och sjukvård och socialtjänst eller en gemensam vård- och omsorgsjournal.
En utgångspunkt för utredningen är att regelverket om informationshantering bör ge verksamheterna möjlighet att arbeta integrerat fullt ut för att så långt som möjligt kunna använda den gemensamma kompetensen för att ge god och säker vård och omsorg. Organisationsgränser och olika regelverk bör så lite som möjligt hindra det informationsutbyte som behövs i detta syfte. Samtidigt har utredningen under arbetets gång kunnat konstatera att de integrerade verksamheterna är utformade på olika sätt, är integrerade i olika omfattning och har olika behov av informationsutbyte. Mot den bakgrunden har utredningen övervägt ett antal olika alternativa lösningar för att öka förutsättningarna för en mer
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
813
sammanhållen informationshantering mellan hälso- och sjukvården och socialtjänsten. Området är både komplext och svårnavigerat. Det är svårt att förutse vilka konsekvenser olika alternativa lösningar kan få eftersom beroendena är många till grundläggande regelverk om sekretess, hantering av allmänna handlingar, arkivfrågor och ansvar för dokumentationen.
Vi har under arbetets gång identifierat två alternativa lösningar. Vi bedömer att båda motsvarar de behov som finns i olika typer av integrerade verksamheter. Det ena alternativet handlar om att tillåta direktåtkomst mellan vårdgivare i hälso- och sjukvården och utförare i socialtjänsten. Det skulle exempelvis möjliggöra en mer sammanhållen bild av den enskildes hälsosituation än vad som idag är möjligt. Lite slarvigt uttryck liknar denna lösning en slags sammanhållen journalföring mellan aktörer i de olika verksamhetsområdena. Var och en av de inblandade aktörerna skulle med denna lösning precis som idag ansvara för egen dokumentation och se till att den lever upp till kraven i de nya lagarna; hälso- och sjukvårdsdatalagen och socialtjänstdatalagen m.m. Men de skulle också få en möjlighet att på ett samlat sätt visa upp information för varandra. Det skulle kunna göras såväl i lokala system och gränssnitt anpassat för den egna verksamheten, men även i lösningar som den Nationella Patientöversikten m.fl.
Det andra alternativet som vi har övervägt handlar om att göra det tillåtet för vårdgivare och de som bedriver verksamhet inom socialtjänsten att föra en gemensam vård- och omsorgsjournal. En integrerad verksamhet skulle med detta förslag kunna skapa en samlad informationsbärare som både utgör en patientjournal och en social dokumentation. I jämförelse med alternativet direktåtkomst är denna lösning förknippad med fler komplicerade juridiska frågor som handlar om ansvaret för vård- och omsorgsjournalen, hantering av allmänna handlingar och arkivering m.m.
I arbetet med att skapa bättre förutsättningar för dessa verksamheter bör vi vara öppna för att behoven i olika typer av verksamheter inte är desamma. Vissa verksamheter arbetar så pass integrerat att inte något annat än en gemensam dokumentation är tillräckligt bra. Behovet av en gemensam vård- och omsorgsjournal är sannolikt störst i tätt integrerade verksamheter där det finns ett mer eller mindre dagligt behov av att dokumentera och utbyta information mellan de inblandade vårdgivarna och utförarna. För andra verksamheter kommer det att vara tillräckligt att kunna skapa en gemensam bild av den enskildes behov genom att erbjuda
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
814
varandra direktåtkomst till nödvändiga uppgifter. Utredningen gör därför bedömningen att de skiftande behoven inte kan tillgodoses med enbart en typ av informationsutbyte.
Det finns förmodligen också verksamheter som på grund av sina tekniska förutsättningar har fördel av att välja den ena eller andra formen för informationsutbyte. Båda alternativa är frivilliga möjligheter för verksamheterna, som enbart får användas under vissa villkor. Det är t.ex. nödvändigt att kunna erbjuda tillräcklig säker hantering av personuppgifterna. Av dessa skäl kan det också finnas verksamheter som måste genomföra en hel del utvecklingsarbete innan man kommer igång med den ena eller andra formen för informationsutbyte.
Utredningens bedömning är således att de integrerade verksamheterna bör få möjlighet att välja den form av informationshantering som är mest ändamålsenlig; ömsesidig direktåtkomst eller gemensam dokumentation.
32.3.3 Särskilda kapitel i lagstiftningen
Vårt förslag: I hälso- och sjukvårdsdatalagen respektive social-
tjänstdatalagen ska införas ett särskilt kapitel om informationshantering avseende personer med behov av insatser från både hälso- och sjukvård och socialtjänst. Kapitlet ska inledas med en kort innehållsbeskrivning.
Det informationsutbyte som utredningen föreslår ska bli möjligt mellan hälso- och sjukvården och socialtjänsten är en ny företeelse jämfört med vad som gäller idag. I syfte att göra regleringen mer överskådlig och pedagogisk föreslår vi därför att både hälso- och sjukvårdsdatalagen och socialtjänstdatalagen förses med ett särskilt kapitel som ska reglera vissa frågor om informationshantering rörande enskilda som har behov av både hälso- och sjukvård och socialtjänst. Kapitlen ska inledas med bestämmelser om vad kapitlet reglerar. Av en inledande bestämmelse i respektive lag bör därför framgå att kapitlet innehåller bestämmelser om utlämnande av personuppgifter genom direktåtkomst och om en gemensam vård- och omsorgsjournal. I en sådan bestämmelse ska även lämnas en hänvisning till att vårdgivares möjligheter att lämna ut personuppgifter till den som bedriver verksamhet inom socialtjänsten
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
815
framgår av bestämmelser i hälso- och sjukvårdsdatalagen. På motsvarande sätt ska anges möjligheterna för den som bedriver verksamhet inom socialtjänsten att lämna ut personuppgifter genom direktåtkomst till vårdgivare framgår av bestämmelser i socialtjänstdatalagen.
32.3.4 Utlämnande genom direktåtkomst mellan hälso- och sjukvård och socialtjänst ska vara möjligt
Vårt förslag: Den som bedriver verksamhet inom socialtjänsten
ska få medge vårdgivare i hälso- och sjukvården direktåtkomst till personuppgifter som behandlas för genomförande av beslut om bistånd, stödinsatser, vård eller behandling om den enskilde har behov av både socialtjänst och hälso- och sjukvård.
Den som bedriver verksamhet inom socialtjänst får även medge sådan direktåtkomst till personuppgifter som behandlas för dokumentation av genomförande av insatser i form av råd och stöd om den enskilde samtyckt till att personuppgifter behandlas.
På motsvarande sätt ska en vårdgivare få medge den som bedriver verksamhet inom socialtjänsten direktåtkomst till uppgifter som dokumenterats för ändamålet vårddokumentation, om patienten har behov av både socialtjänst och hälso- och sjukvård.
Grundläggande villkor för denna form av direktåtkomst som anges ovan ska vara att uppgifterna som lämnas ut genom direktåtkomst kan antas ha betydelse för att genomföra beslut om bistånd, stödinsats, vård eller behandling eller för att förebygga, utreda eller behandla sjukdomar och skador, samt att den enskilde ger sitt samtycke till direktåtkomsten. Bestämmelser om detta ska tas in i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen.
Inledning
När det gäller användningen av it-system som stöd i den dagliga verksamheten och för utveckling har både landsting och kommuner kommit långt. Stora investeringar har gjorts för att skapa förutsättningar för en mer ändamålsenlig informationshantering.
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
816
Den tekniska utvecklingen har varit omfattande och skapar många nya möjligheter. Insatser inom socialtjänsten och den vård som både landsting och kommun ger kräver fortlöpande samarbete i dagliga vård- och omsorgssituationer. För att möjliggöra en gemensam och samlad bild med relevant information om enskilda som har sammansatta behov av vård och omsorg kan direktåtkomst vara ett alternativ. Det skulle innebära ett förenklat informationsutbyte och förhoppningsvis gynna den enskilde genom att bättre resultat i vård och omsorg kan nås. Rätt information vid rätt tillfälle ger bättre förutsättningar för inblandade aktörer i integrerade verksamheter att erbjuda hälso- och sjukvård och sociala insatser av rätt kvalitet.
Direktåtkomst är idag exempelvis tillåtet inom hälso- och sjukvården enligt regelverket för sammanhållen journalföring Genom den sammanhållna journalföringen i hälso- och sjukvården ges en tillgänglighet till uppgifter om patienter som kan medföra att informationen följer patienten i olika vårdkedjor och vårdprocesser. För att ytterligare förbättra möjligheterna till en sammanhållen informationshantering lämnar utredningen i betänkandet även förslag på ökade möjligheter till direktåtkomst mellan vårdgivare inom ett landstings eller inom en kommuns ansvarsområde. Därutöver föreslår vi att utförare i socialtjänsten under vissa förutsättningar ska få utbyta uppgifter om enskilde genom direktåtkomst.
Några regler som möjliggör direktåtkomst mellan hälso- och sjukvården och socialtjänsten finns dock inte idag. Vid införandet av patientdatalagen (2008:355), förkortad PDL, konstaterade regeringen att när det gäller överföring av uppgifter från kommunal hälso- och sjukvård till socialtjänst att det många gånger finns behov att socialtjänstpersonal får del av vårddokumentation om patienter i den vardagliga vården och omsorgen om äldre eller funktionshindrade som också inbegriper stöd och eller andra insatser inom socialtjänsten.1 Regeringen föreslog då inte bestämmelser om gränsöverskridande direktåtkomst för utlämnande av uppgifter från hälso- och sjukvård till socialtjänst eftersom utlämnande genom direktåtkomst är en särskilt integritetskänslig form av utlämnande.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
817
Dokumentationsosäkerhet och dubbeldokumentation
Enligt utredningens erfarenhet finns det idag dels en osäkerhet om vad som ska dokumenteras i hälso- och sjukvården respektive i socialtjänsten, dels ibland en dubbeldokumentation till följd av denna osäkerhet. Äldreomsorgen är ett tydligt exempel på ett verksamhetsområde som idag har vissa möjligheter att dela information mellan socialtjänsten och hälso- och sjukvården eftersom personalen utför både socialtjänst och hälso- och sjukvård. En undersköterska på ett särskilt boende dokumenterar både i en hälso- och sjukvårdsjournal och i en social dokumentation. Många gånger är det dock, enligt utredningens uppfattning, inte helt klart för undersköterskan vad som ska dokumenteras var. När det gäller sådan dokumentation i integrerade verksamheter finns sannolikt behov av ytterligare riktlinjer från ledningen och annat kunskapsstöd från t.ex. Socialstyrelsen, som tydligare beskriver vilken information om enskilda som ska dokumenteras i de olika delarna av verksamheten. Undersköterskor står idag med ett ben i hälso- och sjukvården och ett annat i socialtjänsten och ska utifrån denna position försöka avgöra vilka uppgifter som ska dokumenteras var.
Vi tror att en direktåtkomst mellan hälso- och sjukvården och socialtjänsten skulle kunna vara en av flera faktorer som skulle kunna råda bot på den rådande osäkerheten och bidra till en mer effektiv informationshantering med större nytta för den enskilde individen. Om behoven för den enskilde är så sammansatta att det knappt går att skilja på vad som är hälso- och sjukvård och vad som är socialtjänst anser vi att inte att det är helt ändamålsenligt att fokusera på var en viss informationsmängd är dokumenterad. Det viktiga bör istället vara att informationen är tillgänglig för den som i konkreta situationer behöver den för att utföra så bra vård- och omsorgsinsatser som möjligt.
Utredningen anser även att utvecklingsarbeten inom områden som informatik och teknik i stor utsträckning skulle kunna bidra till att minska svårigheterna att avgöra vad som ska dokumenteras var. I arbetet med att ta fram gemensamma termer och begrepp och med att införa en strukturerad vård- och omsorgsdokumentation kan lämpligen även tekniska lösningar införas, som så långt möjligt är förinställda för att kunna hänföra och koppla vissa informationsmängder till hälso- och sjukvården och andra till socialtjänsten. Det skulle då inte vara upp till den enskilde yrkesutövaren att alltid behöva ta ställning till saken. Som exempel på en sådan
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
818
utveckling kan Motala kommuns arbete med strukturerad dokumentation i socialtjänsten nämnas.
Att tillhandahålla legala möjligheter till direktåtkomst skulle i vissa verksamheter även kunna innebära att yrkesutövaren kan ta del av all relevant information i ett och samma gränssnitt. En möjlig effekt av det skulle vara att behovet av att hänföra viss information till hälso- och sjukvården och viss till socialtjänsten skulle minska. En sådan utveckling skulle även leda till att tillsynen på området kunde bli mer inriktad på att granska helheten när det gäller dokumentationen i verksamheten. Tillsynen på området skulle då kunna inrikta sig på att granska om uppgifterna finns tillgängliga för dem som har behov av det, istället för att kontrollera var en uppgift har dokumenterats.
Vad bör vara grunden för ett utlämnande genom direktåtkomst?
Utredningen anser att direktåtkomst mellan hälso- och sjukvård och socialtjänst i integrerade verksamheter är ett fullt möjligt alternativ. Men möjligheten till sådan direktåtkomst måste enligt vår mening vara förenade med tydliga krav som tillgodoser behovet av skydd för den personliga integriteten.
Den grundläggande utgångspunkten i både hälso- och sjukvården och socialtjänsten är frivillighet. Det är den enskilde som ska bestämma om han eller hon vill ta emot ett erbjudande om till exempel en viss social tjänst eller inte. Det behov av informationsutbyte som vi har beskrivit i ovan nämnda verksamheter är visserligen omfattande, men å andra sidan behöver information oftast inte färdas före individen. Det uppstår inte sådana behov av snabb tillgång till information som vid akuta hälso- och sjukvårdsinsatser eller vid annan oplanerad vård. Det finns därför inte skäl att låta information om individen finnas potentiellt tillgänglig innan han eller hon är aktuell i en viss integrerad verksamhet, t.ex. inflyttning i särskilt boende, beviljande av hemsjukvård, behandlingsstart i en integrerad verksamhet för personer med missbruk och psykisk ohälsa.
Ett krav på att samtycke från den enskilde ska inhämtas innan direktåtkomst får medges skulle kunna innebära en bra balans mellan den enskildes behov av förutsebarhet m.m. samtidigt som intresset av förbättrad informationshantering i aktuella fall tillgodoses. Utredningen bedömer att det i många fall skulle vara
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
819
tillräckligt att inhämta samtycke från den enskilde när en insats har beslutats eller påbörjats för att behovet av rätt information vid rätt tillfälle ska tillgodoses. Att införa ett krav på samtycke väcker dock frågor om hur informationshanteringen avseende personer som saknar förmåga att samtycka till personuppgiftsbehandling ska hanteras.
Några utmaningar att överväga
När bestämmelser om direktåtkomst övervägs aktualiseras flera frågor av rättslig karaktär. Lagtekniskt behöver exempelvis bestämmelser om direktåtkomst förenas med sekretessbrytande bestäm-
melser, som gör det möjligt för aktörerna att ta del av uppgifter
genom direktåtkomst utan hänsyn till sekretess.
Av förarbeten till patientdatalagen framgår vidare att uppgifter som är tillgängliga genom direktåtkomst hos en myndighet utgör
allmänna handlingar hos den myndigheten.2Regeringen anför att
om uppgifter görs tillgängliga för andra myndigheter som deltar i ett för system för sammanhållen journalföring, blir uppgiften enligt huvudregeln i 2 kap. 3 § andra stycket första meningen tryckfrihetsförordningen att anses som en förvarad och inkommen allmän handling hos varje ansluten annan myndighet redan genom den tekniska och potentiella möjlighet som dessa har att ta fram uppgiften. Även journalhandlingar och andra uppgifter som görs tillgängliga för myndigheter av privata vårdgivare, blir redan vid tillgängliggörandet inkomna allmänna handlingar hos alla anslutna myndigheter som tekniskt kan bereda sig tillgång till uppgifterna.
Utredningen gör bedömningen att motsvarande resonemang skulle bli tillämpligt om uppgifter görs tillgängliga för andra myndigheter genom direktåtkomst också mellan hälso- och sjukvård och socialtjänst. En konsekvens av att sådana uppgifter utgör allmänna handlingar hos alla anslutna myndigheter, oavsett vem som infört uppgifterna i systemet, är att en begäran att få del av sådana uppgifter kan göras hos vem som helst av de anslutna myndigheterna. Vid införandet av bestämmelser om direktåtkomst kan därför även behöva övervägas om det finns behov av bestämmelser om absolut sekretess, som förhindrar en större spridning av uppgifter än vad som är motiverat med hänsyn till det grundläggande behovet för uppgiftsutbytet.
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
820
Direktåtkomst mellan hälso- och sjukvården och socialtjänsten ska göras möjlig
I hälso- och sjukvårdsdatalagens mening är direktåtkomst en speciell form av elektroniskt utlämnande av personuppgifter till en mottagare utanför vårdgivarens organisation. Direktåtkomst skiljer sig från andra typer av elektroniska utlämnanden genom att det är mottagaren av uppgifterna som bereder sig tillgång till informationen utan att den som lämnar ut informationen vidtar någon åtgärd med informationen vid överföringstillfället, till exempel en sekretessprövning. I de här fallen är det fråga om ett helt automatiskt utlämnande. Mot bakgrund av grundläggande bestämmelser om den enskildes självbestämmande brukar utlämnande genom direktåtkomst anses vara en särskilt integritetskänslig form av utlämnande. I kapitel 11 och 26 går utredningen igenom vad som avses med utlämnande genom direktåtkomst.
När det gäller insatser för äldre och psykiskt sjuka är samverkan mellan hälso- och sjukvård och socialtjänsten är nödvändigt. En bra samverkan mellan olika huvudmän och utförare utgör grunden till att den enskilde får en så god och säker vård och omsorg som han eller hon har rätt att förvänta sig. När det gäller missbruksproblem är det två huvudmän som har ansvaret för vården. Båda huvudmännens insatser måste i många fall samordnas för att individens behov ska kunna tillgodoses utifrån ett helhetsperspektiv. Utredningen har noterat att man idag löser frågan om informationshanteringen genom att inhämta samtycke från den enskilde. Samtycke och delaktighet med den enskilde individen är grunden och målet med insatserna inom både vård och omsorg. En viktig utgångspunkt är att den enskilde ska medverka och aktivt ta ansvar för vilka insatser som man vill ha.
I ovan nämnda verksamheter handlar det om ett informationsutbyte som behövs kontinuerligt och som gäller både uppgifter om vård och omsorg. När det gäller integrerade verksamheter med vård- och omsorgsinsatser över en längre tid är verksamheterna och insatserna många gånger så sammankopplade att det inte går att urskilja var eventuella gränser går. En förutsättning för en bra vård och ett bra omhändertagande i dessa verksamheter är att alla inblandade har tillgång till rätt information – oavsett om uppgifterna dokumenterats i en patientjournal eller i den sociala dokumentationen.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
821
Vi anser att det skulle kunna förbättra såväl de medicinska som sociala insatserna att tillåta direktåtkomst mellan socialtjänsten och hälso- och sjukvården när det gäller uppgifter om enskilda som har behov av insatser både från hälso- och sjukvården och från socialtjänsten. Det skulle även kunna höja kvaliteten på dokumentationen och minska riskerna för att viktig information inte når rätt mottagare, t.ex. läkaren i hemsjukvården, bara för att uppgifterna råkar vara dokumenterade i den sociala dokumentationen istället för i patientjournalen. Direktåtkomsten skulle ge bättre förutsättningar för primärvårdsläkaren att ta emot, utreda och behandla den äldre personen med sammansatta behov av vård-och omsorgsinsatser. Vidare skulle det bli möjligt att skapa en röd tråd i dokumentationen. En direktåtkomst möjliggör utvecklingen av ett gränssnitt som presenterar information från olika utförare sida vid sida på ett sådant sätt att mottagaren får den överblick som krävs för att effektivt och säkert kunna fatta bra beslut om vård- och omsorgsinsatserna. Det krävs därför omfattande utveckling i frågor som rör informatik och teknik för att kunna realisera de nyttoeffekter som en direktåtkomst till uppgifter i integrerade verksamheter skulle kunna ha.
Även om varje inblandad vårdgivare och utförare dokumenterar i sina system behöver således ett gränssnitt utvecklas som gör att innehållet i dessa olika system kan presenteras på ett överskådligt och ändamålsenligt sätt. Det skulle kunna göras i lokala och mer verksamhetsanpassade lösningar och gränssnitt, men även genom att använda regionalt eller nationellt framtagna lösningar som exempelvis den Nationella Patientöversikten (NPÖ).
När det gäller informationsutbytet inom den kommunala hälsooch sjukvården gäller att uppgifter får utbytas genom direktåtkomst i de fall kommunen bedriver hälso- och sjukvård genom flera myndigheter, exempelvis geografiskt avgränsade nämnder som alla står för hälso-och sjukvården inom sitt geografiska område. Det är helt naturligt att olika myndigheter inom en kommun som alla bedriver hälso- och sjukvård ska kunna ha direktåtkomst till varandras uppgifter. Vi kan inte blunda för att behovet av ett sådant informationsutbyte är lika stort, om inte ännu större, mellan den hälso- och sjukvård och den socialtjänst som bedrivs i de särskilda boendeformerna.
Även vid direktåtkomst skulle förvisso gränsdragningsfrågor om vad som är att betrakta som hälso- och sjukvårdsinformation
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
822
och socialtjänstinformation finnas kvar, men konsekvenserna av en sådan uppdelning skulle bli avsevärt mindre än idag.
Utredningen vill hävda att utlämnande genom direktåtkomst mellan aktörer i integrerade verksamheter medför goda förutsättningar att förverkliga det grundläggande syftet med Ädelreformen; att kunna ge personer med behov av långvariga insatser från både hälso- och sjukvård och socialtjänst samordnade insatser. Sammantaget talar övervägande skäl för att det ska vara möjligt för hälso- och sjukvården och socialtjänsten att, under vissa förutsättningar, utbyta uppgifter genom direktåtkomst.
Närmare förutsättningar för utlämnandet genom direktåtkomst
Mot bakgrund av vad som redovisats föreslår utredningen att det ska bli tillåtet för vårdgivare och för de som bedriver verksamhet inom socialtjänsten att medge varandra direktåtkomst till vårddokumentation respektive uppgifter som behandlas för dokumentation av genomförande av beslut om bistånd, stödinsatser, vård eller behandling, om uppgifterna rör en enskild med behov av både socialtjänst och hälso- och sjukvård. Detta under förutsättning att uppgifterna behövs för vården och insatserna och att den enskilde samtycker till det. Bestämmelser som reglerar detta ska finnas för respektive verksamhet i hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen.
De uppgifter som den som bedriver verksamhet inom socialtjänst ska få medge vårdgivare direktåtkomst till är personuppgifter som behandlas för att genomföra beslut om bistånd, stödinsatser, vård eller behandling. Direktåtkomst ska även få medges till personuppgifter för att genomföra insatser i form råd och stöd om den enskilde samtyckt till personuppgiftsbehandlingen. Uppgifterna som får omfattas av direktåtkomst är alltså uppgifter i samband med genomförande av insatser. Direktåtkomst ska alltså inte vara tillåten avseende uppgifter om handläggning inför beslut om bistånd.
Vårdgivare får medge den som bedriver verksamhet inom socialtjänst direktåtkomst till vårddokumentation avseende den enskilde som är föremål för socialtjänstens insatser. Med vårddokumentation avses personuppgifter som behandlas för ändamål som avses i 2 kap. 5 § 2 och 3 i vårt förslag till hälso- och sjukvårdsdatalag. Det är uppgifter som behövs för att fullgöra
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
823
journalföringsplikten och upprätta annan dokumentation som behövs i och för vården av patienter samt för administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall. Definitionen av begreppet vårddokumentation finns angiven i utredningens förslag till hälso- och sjukvårdsdatalag.
Vårdgivare och de som bedriver verksamhet inom socialtjänsten får bara medge varandra direktåtkomst om uppgifterna rör en enskild med behov av både hälso- och sjukvård och socialtjänst. Det är således individens behov av samverkan mellan hälso- och sjukvård och socialtjänst i frågor om informationshantering som ska vara vägledande. För att ömsesidig åtkomst ska bli aktuell krävs att den enskilde får insatser enligt socialtjänstlagen. Insatserna för den som har behov av både vård och omsorg ska grunda sig på beslut om bistånd eller genomföras som råd och stöd. Förutsättningarna för direktåtkomst är således i praktiken knutna till genomförande av insatser enligt socialtjänstlagen antingen med stöd av beslut om insats eller med stöd av att den enskilde har samtyckt till att få insatser i form av råd och stöd och samtyckt till att dessa uppgifter behandlas.
För att den som bedriver verksamhet inom socialtjänsten ska få medge vårdgivare inom hälso- och sjukvården direktåtkomst till personuppgifter krävs att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador inom hälso- och sjukvården. På motsvarande sätt krävs att uppgifterna kan antas ha betydelse för att genomföra beslut om bistånd, stödinsatser, vård eller behandling för att en vårdgivare ska få medge direktåtkomst till den som bedriver verksamhet inom socialtjänsten.
Det som utredningen vill uppnå är att det ska vara möjligt att, med den enskildes behov och bästa för ögonen, genomföra insatser i de integrerade verksamheterna med bästa möjliga informationsunderlag. Direktåtkomsten ska av den anledningen endast vara tillåten under den tid som den enskilde har behov av både hälso- och sjukvård och socialtjänst, dvs. får de planerade insatserna, se vidare avsnitt 32.3.6.
Utredningen föreslår också, som ett grundläggande villkor för att vårdgivaren och den som bedriver verksamhet inom socialtjänsten ska få medge varandra direktåtkomst, att den enskilde samtycker till det. Redan idag bygger de integrerade verksamheternas informationsutbyte på att den enskilde har brutit sekre-
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
824
tessen mellan de olika verksamheterna genom att lämna sitt samtycke. För att de integrerade verksamheterna ska kunna ge den enskilde god vård och omsorg är den enskildes delaktighet ofta i hög grad nödvändig. Det är därför naturligt att den enskilde också får ta ställning till formen för informationsutbyte – om det utbyte av uppgifter som behövs för insatserna ska få göras genom direktåtkomst. För att ytterligare tillgodose den enskildes behov av integritetsskydd tydliggörs genom utredningens förslag att utlämnandet genom direktåtkomst ska begränsas till den tid när ett sådant behov av informationsutbyte föreligger för individen. Längre fram redogörs för vårt förslag om att utlämnande genom direktåtkomst endast får äga rum så länge den enskildes insatser inom socialtjänsten pågår. Genom författningskonstruktionen tydliggörs även att det aldrig kan vara fråga om en större potentiell tillgång till uppgifter om individer än vad som motsvaras av de konkreta behoven i varje enskild situation.
För vissa former av integrerade verksamheter kan behovet tillgodogöras såväl enklast och bäst genom ömsesidig direktåtkomst mellan hälso- och sjukvårds och socialtjänst. Sådana verksamheter kan då välja detta alternativ. Ett system för direktåtkomst kan utformas på ett sådant sätt att det för användarna i det närmaste framstår som en gemensam dokumentation. En ändamålsenlig teknisk implementering kan således möjliggöra att de som arbetar tillsammans för att tillgodose individens behov av hälso- och sjukvård och socialtjänst får en gemensam bild av individens hälsosituation och behov. Ett exempel på en sådan teknisk lösning som syftar till att skapa en sådan översiktsbild om en individ är hälso- och sjukvårdens Nationella patientöversikt, NPÖ.
Det finns naturligtvis en mängd andra sätt att arrangerar informationsutbytet genom direktåtkomst på, där ett exempel helt enkelt är att de olika verksamheterna ges direktåtkomst till de delar av varandras system där de aktuella individernas personuppgifter behandlas. En sådan lösning innebär att hälso- och sjukvården och socialtjänsten kan hitta och titta i varandras system, utan att en gemensam bild eller översikt skapas. Vid en sådan direktåtkomst är det nödvändigt att vårdgivaren och den som bedriver verksamhet i socialtjänsten ser till att endast uppgifter rörande enskilda som har lämnat sitt samtycke är tekniskt åtkomliga genom direktåtkomst. En vårdgivare eller den som bedriver verksamhet inom socialtjänsten får således inte medges en större potentiell tillgång till
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
825
personuppgifter än vad som är lagligt med hänsyn till bestämmelserna i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen.
Vidare finns en mängd olika tänkbara scenarion för vilka aktörer som kan samarbeta i frågor om direktåtkomst enligt utredningens förslag. Det kan exempelvis handla om att en vårdgivare inom kommunal hälso- och sjukvård på särskilt boende eller i hemsjukvården utbyter uppgifter genom direktåtkomst med den eller de utförare av socialtjänst som står för insatser till den enskilde. Det kan även handla om att vårdgivare i den landstingsfinansierade delen av hälso- och sjukvården lämnar ut uppgifter genom direktåtkomst till den enskildes utförare av socialtjänst. Även det omvända omfattas naturligtvis också av utredningens förslag, dvs. att socialtjänsten lämnar ut uppgifter till en landstingsfinansierad vårdgivare. På ett sådant sätt kan exempelvis en primärvårdsläkare ges möjlighet att ta del av aktuella och relevanta uppgifter som dokumenterats inom ramen för socialtjänsten.
32.3.5 Direktåtkomst avseende vuxna med inte endast tillfälligt nedsatt beslutsförmåga
Vårt förslag: Om den enskilde inte endast tillfälligt saknar för-
måga att samtycka till direktåtkomsten får den som bedriver verksamhet inom socialtjänsten medge vårdgivare direktåtkomst till personuppgifter som behandlas för genomförande av beslut om bistånd, stödinsatser, vård eller behandling. Detta under förutsättning att uppgifterna kan antas ha betydelse för den vård eller behandling som är nödvändig med hänsyn till den enskildes hälsotillstånd. På motsvarande sätt får vårdgivare genom direktåtkomst lämna ut uppgifter till den som bedriver socialtjänst om uppgifterna kan antas ha betydelse för att genomföra insatser som är nödvändiga med hänsyn till den enskildes behov. I båda fallen är en grundförutsättning att den enskilde har behov av insatser både från hälso- och sjukvård och socialtjänst. Bestämmelser som reglerar detta ska finnas i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen.
Utredningen föreslår bestämmelser i hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen för att möjliggöra att även vuxna med en inte endast tillfälligt nedsatt beslutsförmåga ska kunna dra nytta av
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
826
möjligheten till direktåtkomst i integrerade verksamheter. Det är nödvändigt för att på bästa sätt kunna tillgodogöra den enskildes behov av vård och omsorg.
Vi anser att det inte skulle vara acceptabelt att de som inte har samma möjligheter att värdera information och lämna samtycken till informationsutbytet skulle ställas utanför möjligheterna till integrerad vård och omsorg med ändamålsenlig informationshantering. Dessa personer som kan ha svårt att själva vara informationsbärare har sannolikt ett större behov av fungerande informationsöverföring än andra individer. Samtidigt måste både insatserna och informationshanteringen genomföras med respekt för den enskildes självbestämmande och integritet. Förutsättningarna för att hantera uppgifter om den enskilde måste därför vara rimliga med hänsyn till de olika intressen som gör sig gällande.
Den som saknar förmåga att samtycka till vård eller sociala insatser och den informationshantering som föranleds av vården och omsorgen har ett alldeles särskilt behov av lagstiftning som ger ökad trygghet och skydd. Därför lägger vi förslag som möjliggör ett säkert och effektivt informationsutbyte även avseende personer med inte enbart tillfälligt nedsatt beslutsförmåga.
En vårdgivare som deltar i en integrerad verksamhet och avser att göra uppgifter tillgängliga genom direktåtkomst för den som bedriver verksamhet inom socialtjänsten måste bedöma om patienten har förmåga att lämna ett samtycke till direktåtkomsten. Beslutsförmågan bör bedömas i relation till förmågan hos personen att tillgodogöra sig information om den aktuella personuppgiftsbehandlingen och självständigt överväga och ta ställning till åtgärden. Utredningens uppfattning är att en persons förmåga att i det aktuella avseendet ge uttryck för sin inställning måste bedömas i det enskilda fallet och som utgångspunkt vara neutral i förhållande till funktionshinder, diagnoser m.m. Utgångspunkten ska alltid vara att så långt möjligt låta den enskilde själv ta ställning.
Villkoren för att direktåtkomst ska kunna användas för utbyte av vård och omsorgsdokumentation i integrerade verksamheter när den enskilde själv inte kan ge sitt samtycke är att den enskilde har behov av insatser både från hälso- och sjukvården och från socialtjänsten och att uppgifterna kan antas ha betydelse för att han eller hon ska få de insatser som han eller hon behöver. De grundläggande förutsättningarna motsvarar således de som gäller för individer som kan ta ställning till informationsutbytet.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
827
När en patient inte kan samtycka till att ta emot hälso- och sjukvårdsinsatser är praxis, så som vi uppfattar det, att personalen ger patienten den vård man bedömer vara det bästa för patienten. Om patienten inte kan samtycka ges vården således utifrån en bedömning av vad som är bäst för patienten i det enskilda fallet.
Bland annat mot bakgrund av vad som får anses utgöra praxis vid ställningstagande till hälso- och sjukvårdsinsatser för personer som inte kan samtycka till vården gör utredningen bedömningen att det även i integrerade verksamheter bör göras en samlad bedömning av vilken vård och vilka insatser som är bäst för den enskilde i det enskilda fallet och vilken information som då är nödvändig att ta del av. Om personalen, i förekommande fall med stöd av närstående, bedömt vilken insats som är bäst för individen i det enskilda fallet bör personalen även få dela den information som är nödvändig för att vård- och omsorgsinsatserna ska kunna utföras i rätt tid och med hög kvalitet och säkerhet.
När det gäller utlämnande av uppgifter på annat sätt än genom direktåtkomst finns redan idag ett undantag från sekretess avseende den som saknar beslutsförmåga. I hälso- och sjukvården gäller att om en enskild på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut hindrar inte sekretess att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvård till en annan vårdgivare eller till den som bedriver verksamhet inom socialtjänsten (25 kap. 13 § OSL). Utredningen har föreslagit att motsvarande lättnad i sekretessen ska gälla för uppgifter inom socialtjänsten, se kapitel 21.
Vi anser att utlämnande av uppgifter genom direktåtkomst för att erbjuda insatser i en integrerad verksamhet till den som inte själv kan lämna sitt samtycke ska kunna göras under samma villkor som gäller vid andra typer av utlämnande. Om uppgifterna behövs för att den enskilde ska få nödvändiga insatser i den integrerade verksamheten ska uppgifterna få utbytas med hjälp av direktåtkomst mellan de deltagande aktörerna.
Utredningen anser att även den som har nedsatt beslutsförmåga måste få dra nytta av ett mer ändamålsenligt informationsutbyte mellan hälso- och sjukvård och socialtjänst. Med ett bättre informationsutbyte följer bättre förutsättningar för att erbjuda en god vård och omsorg.
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
828
Vidare anser utredningen att behovet av skydd för den enskildes personliga integritet tillgodoses på flera olika sätt. En sådan omständighet är att den direktåtkomst som föreslås endast får förekomma när den enskilde har behov av insatser både från socialtjänsten och från hälso- och sjukvården. Någon potentiell tillgång till uppgifter om individer ifall dessa konkreta behov inte föreligger ska således inte få förekomma. Vidare föreslår vi i det följande, för att ytterligare anpassa möjligheten till direktåtkomst efter den enskildes behov av ett sådant informationsutbyte, att direktåtkomst endast får vara tillåten så länge den enskilde har insatser från socialtjänsten. Därutöver gäller de olika lagstiftningarnas grundläggande regler om behörighetsstyrning och åtkomstkontroll m.m. även vid den direktåtkomst det här är fråga om.
32.3.6 Direktåtkomst är tillåten endast så länge det konkreta behovet finns
Vårt förslag: Den som bedriver verksamhet inom socialtjänsten
får medge vårdgivare inom hälso- och sjukvården direktåtkomst endast under den tid den enskilde är föremål för genomförande av bistånd, stödinsatser, vård eller behandling hos den som bedriver verksamhet inom socialtjänsten.
En vårdgivare får medge den som bedriver verksamhet inom socialtjänst direktåtkomst endast under den tid den enskilde är föremål för genomförande av beslut av bistånd, stödinsatser, vård eller behandling hos den som bedriver socialtjänst.
Vi föreslår att det tydligt regleras under vilken tid ömsesidig direktåtkomst är tillåten. Syftet med möjlighet till direktåtkomst är att den insats som den enskilde ska få ska kunna genomföras med bästa möjliga informationsunderlag. Detta underlag består av dokumentation från såväl hälso- och sjukvården och socialtjänsten. När den planerade insatsen är genomförd ska direktåtkomsten upphöra. Uppgifterna får inte finnas potentiellt tillgängliga efter det att insatsen för den enskilde är slutförd.
För vårdgivarens del begränsas tiden under vilken direktåtkomst får medges av att vårdgivaren enbart får medge den som bedriver socialtjänst direktåtkomst till uppgifter som avser en patient med behov av både hälso- och sjukvård och socialtjänst, och som är
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
829
föremål för genomförande av bistånd, stödinsatser, vård eller behandling hos denne.
Den som bedriver verksamhet inom socialtjänst begränsas förstås av samma villkor när det gäller den tid under vilken utlämnande genom direktåtkomst är tillåten. Förutsättningarna för direktåtkomst är knuten till genomförande av insatser enligt socialtjänstlagen antingen med stöd av beslut om insats eller med stöd av att den enskilde samtyckt får insatser i form av råd och stöd och samtyckt till att dessa behandlas. Direktåtkomsten ska därför enbart vara tillåten under den tid som den enskilde får de planerade insatserna.
32.3.7 Direktåtkomst ska föregås av risk- och sårbarhetsanalys och överenskommelse om skyddet för uppgifterna
Vårt förslag: Innan direktåtkomst får medges ska en vårdgivare
och den som bedriver verksamhet inom socialtjänst genomföra en risk- och sårbarhetsanalys och komma överens om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses
Av överenskommelsen ska framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.
Vårt förslag om möjlighet till direktåtkomst mellan hälso- och sjukvård och socialtjänst i integrerade verksamheter innebär en ny form av informationsutbyte. Syftet är att rätt information ska finnas tillgänglig för rätt personer. Sådana möjligheter att använda ny teknik för ändamålsenligt informationsutbyte får bara användas under säkra former. Såväl den som bedriver verksamhet inom socialtjänsten som vårdgivaren är ytterst ansvariga i sina verksamheter för en säker behandling av personuppgifter i verksamheten. Detta ansvar innebär t.ex. att personuppgifter ska behandlas på ett sådant sätt att obehöriga inte kan ta del av dem. I detta ansvar för personuppgifterna som behandlas i verksamheten ingår också att utlämnande av uppgifter måste göras på ett säkert sätt.
Mot den bakgrunden ska vårdgivare och den som bedriver socialtjänst vara skyldiga att göra en risk- och sårbarhetsanalys och komma överens om hur informationssäkerheten och skyddet för
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
830
personuppgifterna ska tillgodoses. Risk- och sårbarhetsanalysen ska därmed utgöra en grund för överenskommelsens innehåll och omfattning. Därutöver kan risk- och sårbarhetsanalysen även resultera i att en av aktörerna, eller aktörerna tillsammans, kan behöva vidta åtgärder innan uppgifter lämnas ut genom direktåtkomst. Om risk- och sårbarhetsanalysen exempelvis visar att någon av de samverkande aktörerna saknar väsentliga förutsättningar att skydda personuppgifterna i enlighet med de krav på informationssäkerhet och integritetsskydd som ställs vid behandling av så pass känsliga personuppgifter det här är fråga om, ska dessa brister avhjälpas innan exempelvis utlämnande genom direktåtkomst medges. I risk- och sårbarhetsanalysen bör bland annat ingå frågor om de samverkande aktörernas förutsättningar att leva upp till hälso- och sjukvårdsdatalagens och socialtjänstdatalagens krav på behörighetsstyrning och åtkomstkontroll.
Vidare föreslår utredningen att det av överenskommelsen ska framgår hur personuppgiftsansvaret är fördelat avseende på frågor om tekniska och organisatoriska säkerhetsåtgärder.
Hur överenskommelsen ska tecknas är upp till parterna att avgöra. Det kan exempelvis vara fråga om en kombination av flera åtgärder, t.ex. ett avtal som i vissa delar kompletteras av att parterna ansluter sig till ett eller flera utpekade regelverk för informationssäkerhet. Se vidare kapitel 10 och 26 där utredningen mer utförligt behandlat kravet på risk- och sårbarhetsanalys samt överenskommelse.
32.3.8 Bevarande och gallring vid direktåtkomst
Vårt förslag: När handlingar är tillgängliga för en vårdgivare
och den som bedriver socialtjänst genom direktåtkomst gäller skyldigheten att bevara handlingen endast den som ansvarar för handlingen. Övriga myndigheter får gallra handlingen. Bestämmelser om detta överförs från patientdatalagen till hälso- och sjukvårdsdatalagen och nya bestämmelser tas in i socialtjänstdatalagen.
Utredningen föreslår att den nuvarande bestämmelsen i 6 kap. 8 § patientdatalagen om bevarande och gallring vid sammanhållen journalföring överförs till hälso- och sjukvårdsdatalagen. Bestäm-
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
831
melsen är även tillämplig för sådan direktåtkomst mellan hälso- och sjukvård och socialtjänst som omfattas av utredningens förslag och har därför i allt väsentligt redovisats tidigare i detta betänkande. Se avsnitt 13.4.7.
I socialtjänstdatalagen införs en ny, motsvarande bestämmelse. Se avsnitt 27.2.6.
32.3.9 Fråga om absolut sekretess
Vår bedömning: På grund av den rättsliga konstruktionen för
direktåtkomst mellan hälso- och sjukvård och socialtjänst kommer den potentiella tillgången till uppgifter inte att vara större än vad som omfattas av det konkreta behovet. Några bestämmelser om absolut sekretess som motsvarar vad som idag gäller vid samarbete genom sammanhållen journalföring i hälso- och sjukvården bedöms därför inte behövas.
Villkoren för att få medge en sådan direktåtkomst som utredningen har föreslagit är att den enskilde har behov av insatser från både hälso- och sjukvård och socialtjänst och att uppgifterna kan ha betydelse för att genomföra bistånd, stödinsats eller vård och behandling och att patienten samtycker till det.
I ett samarbete som innefattar direktåtkomst enligt dessa regler kommer det därför inte att finnas potentiellt tillgängliga uppgifter om enskilda som inte är aktuella hos en myndighet som får en förfrågan om utlämnande av allmän handling. De handlingar om enskilda som en myndighet har tillgång till genom denna form av direktåtkomst är handlingar som berör enskilda som är aktuella hos myndigheten. Handlingarna får endast finnas tillgängliga genom direktåtkomst under den tid som den enskilda är föremål för insatser hos den som bedriver socialtjänst. Utredningen gör därför bedömningen att det inte behövs någon bestämmelse om absolut sekretess för uppgifter som är tillgängliga genom denna typ av direktåtkomst. Det behövs – till skillnad mot vad som gäller vid sammanhållen journalföring – ingen sådan regel om absolut sekretess för att förhindra åtkomst till uppgifter som en myndighet inte har rätt att ta del av. Direktåtkomst genom sammanhållen journalföring innebär ju en potentiell tillgång även till uppgifter som myndighet inte har rätt att ta del av, vilket inte är fallet när det
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
832
gäller sådan direktåtkomst i integrerade verksamheter som vi föreslår.
En begäran att få ta del av en allmän handling ska alltså prövas av den eller de myndigheter hos vilken begäran görs, se 2 kap. 14 § tryckfrihetsförordningen. Vid prövningen hos den aktuella myndigheten bör vanlig hälso- och sjukvårds- eller socialtjänstsekretess gälla för sådana uppgifter med samma styrka som vanligt, dvs. med ett omvänt skaderekvisit. Det innebär att möjligheterna för allmänheten att med stöd av tryckfrihetsförordningens bestämmelser få ta del av allmänna handlingar hos de deltagande myndigheterna är mycket små.
32.3.10 Gemensam vård- och omsorgsjournal för personer med behov av både socialtjänst och hälso- och sjukvård
Vårt förslag: Det ska, under vissa förutsättningar, vara möjligt
för vårdgivare och för de som bedriver verksamhet inom socialtjänsten att föra en gemensam vård- och omsorgsjournal. En förutsättning är att den enskilde har behov av både hälso- och sjukvård och socialtjänst samt att uppgifterna kan antas ha betydelse för att genomföra beslut om bistånd, stödinsats, vård eller behandling och för att förebygga, utreda, eller behandla sjukdomar och skador inom hälso- och sjukvården.
Grunden för samarbetet ska vara en överenskommelse mellan en eller flera vårdgivare och den eller de som bedriver verksamhet inom socialtjänsten.
Vård- och omsorgsjournalen ska få föras för att behandla personuppgifter som behandlas för ändamålet vårddokumentation tillsammans med de personuppgifter som behövs för att genomföra beslut om bistånd, stödinsatser, vård eller behandling inom socialtjänsten. Bestämmelserna som medger detta ska finnas i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen.
Inledning
En grundläggande förutsättning för att samverkan ska fungera genom hela vårdkedjan är att den information som behövs för att planera den enskildes vård och omsorg finns tillgänglig och kan
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
833
överföras mellan olika vård- och omsorgsgivare. Sådan samverkan försvåras i integrerade verksamheter av den omständigheten att dokumentationen i princip måste föras på flera olika ställen. Inom äldreomsorgen kan det handla om att dokumentation om en individ hanteras i en patientjournal hos primärvården där läkaren gör sina anteckningar, i en patientjournal hos den kommunala hälso- och sjukvården och – när det gäller de sociala insatserna – i en socialtjänstakt. De två sistnämnda dokumentationskategorierna – patientjournalen i kommunal hälso- och sjukvård och socialtjänstakten – förs ofta inom ramen för en och samma myndighetsorganisation i en integrerad verksamhet. Därutöver tillkommer inte sällan dokumentation om den äldre i sluten- och specialistsjukvården.
Motsvarande exempel finns även på flera andra områden, t.ex. inom ramen för ungdomsmottagningarnas verksamhet, inom psykiatrin, i vården och omsorgen om personer med funktionshinder eller i missbruks- och beroendevården. I princip kan det röra alla områden där en enskild har behov av samordnade insatser från både hälso- och sjukvård och socialtjänst.
Bestämmelserna om dokumentation inom hälso- och sjukvården respektive socialtjänsten har till viss del olika syften och utgångspunkter. Skillnaderna kan sägas återspegla den grundläggande skillnaden mellan hälso- och sjukvårdslagstiftningen och socialtjänstlagstiftningen. Medan beslut om insatser enligt socialtjänstlagen regelmässigt utgör myndighetsutövning mot enskild efter att beslut fattats av socialnämnden, eller av tjänstemän på delegation av nämnden, bygger regleringen av hälso- och sjukvården i högre grad på ett professionellt ansvar från den enskilde yrkesutövaren.
Genom åren har det ofta diskuterats om det borde vara tillåtet med en gemensam dokumentation när det till exempel gäller vård och omsorg av äldre. I de verksamheter där det inte finns sekretessgränser finns dessutom alltjämt svårigheter med att avgöra vilken dokumentation som ska hänföras till sjukvård respektive socialtjänst. Denna uppdelning mellan olika journalsystem är svår att motivera i integrerade verksamheter, t.ex. i särskilda boende.
Socialstyrelsen har i rapporten Nationell tillsyn av vård och omsorg om äldre (delrapport 2012) konstaterat att dokumentationen i samband med vård och omsorg om äldre behöver utvecklas. Av rapporten framgår bland annat att det finns behov av utveckling i verksamheterna avseende hanteringen av dokumentationen, främst enligt socialtjänstlagen men även enligt patient-
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
834
datalagen. Många planer för genomförande av insatserna är knapphändiga, följs inte upp och i sämsta fall saknas sådana planer. Den äldre personens delaktighet i upprättandet av planen framgår inte av dokumentationen. Löpande journalföring enligt socialtjänstlagen och patientdatalagen blandas samman.
Lagtekniska utmaningar
Samverkansutredningen undersökte bland annat om det var möjligt med en gemensam dokumentation i den kommunala vård och omsorgen av äldre i de särskilda boendena.3Den utredningen konstaterade att de lagtekniska svårigheterna att åstadkomma en möjlighet till gemensam dokumentation var betydande och skulle förutsätta ändringar i en rad olika bestämmelser.
Samverkansutredningen analyserade alternativet att avskaffa kravet på dokumentation i socialtjänsten när det gäller löpande anteckningar i äldreomsorgen under förutsättning att dokumentationen istället gjordes inom hälso- och sjukvården (i patientjournalen). En sådan möjlighet sågs dock inte som lämplig mot bakgrund av de principiella skillnader som finns mellan hälso- och sjukvården och socialtjänsten och de olika syften som dokumentationen på respektive område ska tjäna. De sociala anteckningarna ska även kunna användas som instrument för uppföljning och utvärderingen inom socialtjänsten och skulle med en sådan lösning ”medikaliseras” i sådan grad att de inte längre skulle tjäna sitt huvudsyfte att vara ett arbetsinstrument inom socialtjänsten. Vi delar denna bedömning. En gemensam journal bör enligt vår mening kunna uppfylla både de syften som gäller för dokumentation inom socialtjänsten och också de som gäller för patientjournalen.
Samverkansutredningen anförde vidare att under förutsättning av att man iakttar gällande bestämmelser om sekretess och s.k. inre
sekretess finns det i princip inte något som hindrar att man i en
integrerad verksamhet håller nödvändig dokumentation om den enskilde samlad. Utredningen konstaterade att frågan många gånger kan lösas praktiskt i samråd med den enskilde. Mot bakgrund av att de lagtekniska svårigheterna att åstadkomma en möjlighet till gemensam dokumentation var betydande och att
3 Samverkan – Om gemensamma nämnder på vård och omsorgsområdet, SOU 2001:114.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
835
tillgången till information redan fanns föreslog inte utredningen någon förändring när det gäller en samlad dokumentation.
Vi anser att nödvändig information måste kunna hållas samlad med hjälp av modern teknik. Vi vill därför utmana svårigheterna att hitta lagtekniska lösningar för en gemensam vård- och omsorgsjournal. Om lagstiftaren vill ha en lösning på de dokumentations- och informationsförsörjningsproblem som finns i vården och omsorgen av personer som har behov av både hälso- och sjukvård och socialtjänst så måste lagstiftaren också ta ansvar för att lösa de lagtekniska problemen.
När det gäller frågan om sekretess mellan de olika vårdgivare och utförare av socialtjänst som deltar i vården och omsorgen av personer med behov av gemensamma insatser från dessa aktörer så förutsätter själva samarbetet mellan aktörerna att sekretessen måste brytas på något sätt. Det är inte möjligt att genomföra integrerade insatser utan att utbyta nödvändig information. Detta löser man idag genom att den enskilde som vill ha och behöver de aktuella insatserna samtycker till att få vård och omsorg i denna form och till det informationsutbyte som det förutsätter.
Andra tveksamheter med gemensam dokumentation över huvudmannaskapsgränser som Samverkansutredningen tog upp hänger samman med tryckfrihetsförordningens bestämmelser om all-
männa handlingar. Bedömningen av frågan om en handling ska
anses allmän utgår – när det gäller handlingar som en myndighet producerar själv – från begreppen upprättad och förvaras. Utgångspunkten i dessa bestämmelser är att det är myndigheten själv – eller något organ som är knutet till myndigheten – som upprättat handlingen; om någon annan upprättat handlingen blir den i stället att anse som inkommen när den anländer till myndigheten.
Frågan är om det överhuvudtaget går att förena med dessa regler att en myndighetsperson från en självständig myndighet (t.ex. i landstinget) i den myndighetens verksamhet upprättar handlingar hos en annan myndighet (t.ex. i kommunen). I vilken myndighets verksamhet är då handlingen upprättad och var ska den anses förvarad? Blir handlingen att anse som upprättad hos den första myndigheten och inkommen till den senare? I så fall måste handlingen också bevaras av den första myndigheten. På grund av denna komplexitet analyserade inte Samverkansutredningen någon möjlighet till gemensam journal över huvudmannagränserna utan nöjde sig med att analyser möjligheten till gemensam journal för
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
836
olika verksamheter inom samma myndighet, dvs. enbart för kommunens hälso- och sjukvård och socialtjänst.
Frågan om konsekvenserna av tryckfrihetsförordningens regler är onekligen komplex. Om lagstiftaren vill lösa denna fråga är det sannolikt nödvändigt att se på utmaningen konstruktivt och pragmatiskt. Vilka värden är det som reglerna om allmänna handlingar vill skydda? Hur får vi offentlighetsprincipen att fungera även vid ett samarbete om en gemensam vård- och omsorgsjournal?
När det gäller den gemensamma journalens status som allmän handling i offentlig hälso- och sjukvård eller socialtjänst så utgår utredningen från att en gemensam journal skulle ha status som handling som är upprättad och förvarad hos alla de inblandade myndigheterna. En jämförelse kan göras med sammanhållen journalföring när det gäller dessa handlingars status.4 Handlingar som framställs i en myndighets egen verksamhet är upprättade hos den myndigheten. Om en befattningshavare som för in en uppgift i en journalhandling tillhör en myndighet, blir upptagningen en
förvarad och upprättad allmän handling hos den egna myndigheten.
Om det är befattningshavare från flera myndigheter som för in uppgifter i en gemensam journal får handlingen enligt vår mening anses som allmän handling hos samtliga deltagande myndigheter. En person som vänder sig till någon av myndigheterna för att begära ut en handling ska få frågan prövad av den myndigheten.
Vår utgångspunkt är att den gemensamma journalen ska uppfylla de krav på dokumentation som gäller i såväl hälso- och sjukvården som socialtjänsten. Så länge som den gemensamma journalen används bör den därför vara gemensam i de flesta bemärkelser. Den ska t.ex. uppfylla de syften motiverar att uppgifterna dokumenteras inom socialtjänsten. Därför måste den som utför socialtjänst och få betrakta handlingen som upprättad och förvarad i den egna verksamheten. Detta bör enligt vår mening inte hindra att en vårdgivare samtidigt betraktar samma journal som en allmän handling i den egna verksamheten. Ett sådant synsätt bör enligt vår mening kunna tillgodose de rättighets- och skyddsaspekter som finns när det gäller förvarande och utlämnande av allmänna handlingar. Med tanke på den stränga sekretess som råder för uppgifterna såväl i hälso- och sjukvården som socialtjänsten är dock möjligheterna för allmänheten att med stöd av tryckfrihetsförordningens bestämmelser få del av allmänna handl-
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
837
ingar hos myndigheter inom hälso- och sjukvården eller socialtjänsten mycket små.
Uppgifter, som hos offentliga vårdgivare eller offentliga utförare av socialtjänst utgör allmän handling, utgör inte allmän handling hos privata vårdgivare eller utförare, som har tillgång till uppgifterna i den gemensamma journalen. Frågan om samma journaluppgifts utlämnande kommer därför att regleras på olika sätt, beroende på om begäran görs hos en offentlig eller hos en privat vårdgivare eller utförare. Hantering av sådana förfrågningar regleras i patientsäkerhetslagen (2010:659) och i socialtjänstlagen.
Sammanfattningsvis bedömer utredningen att 2 kap. tryckfrihetsförordningen inte utgör hinder mot att flera vårdgivare, och flera som bedriver verksamhet inom socialtjänsten, offentliga eller privata, för gemensam journal.
Tillämpningsområdet för de lagar som ska reglera möjligheten till
en gemensam vård- och omsorgsjournal är enligt utredningens bedömning redan formulerade så att behandling av personuppgifter i integrerade verksamheter omfattas. När det gäller tillämpningsområdet för den föreslagna hälso- och sjukvårdsdatalagen så ska lagen tillämpas på vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Enligt socialtjänstdatalagen ska lagen tillämpas vid behandling av personuppgifter inom socialtjänsten för kommunala myndigheter, enskilda verksamheter och Statens institutionsstyrelse.
Personuppgiftsbehandling m.m.
Frågan om för vilka ändamål uppgifter i en gemensam vård- och
omsorgsjournal får behandlas kan behöva analyseras. I vårt förslag
till hälso- och sjukvårdsdatalag liksom i vårt förslag till socialtjänstdatalag kommer det att finnas bestämmelser som reglerar för vilka ändamål som det är tillåtet för vårdgivare respektive utförare av socialtjänst att behandla uppgifter. En vårdgivare får t.ex. behandla personuppgifter inom hälso- och sjukvården enligt vårt förslag till förtydligad ändamålsbestämmelse om det behövs för att förebygga, utreda eller behandla sjukdomar och skador hos patienter. Utredningen anser att de uppgifter som behövs för vården av patienten också omfattar sådana uppgifter som behöver behandlas i en integrerad verksamhet. På motsvarande sätt kan de tillåtna ändamålen inom socialtjänsten tolkas.
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
838
Syftet med att föra patientjournal är enligt nuvarande lagstiftning
i första hand att bidra till en god och säker vård av patienten. Utredningen gör bedömningen att denna bestämmelse inte behöver ändras för att stämma överens med syftena att föra patientjournal i en gemensam vård- och omsorgsjournal. Även dokumentationen av socialtjänstinsatser i en integrerad verksamhet har betydelse för den medicinska vården. Det kan allmänt sett vara av värde för den medicinska personalen att ha en helhetsbild av patienten för att kunna erbjuda denne en god och säker vård.
I gällande rätt och vårt förslag till hälso- och sjukvårdsdatalag finns bestämmelser om patientens rätt att få uppgifter i en patient-
journal förstörda. Någon motsvarande bestämmelse finns inte vad
gäller uppgifter i en dokumentation inom socialtjänsten. När det gäller tiden för bevarande och för arkivering behöver vidare övervägas om de regler som avser dokumentation i hälso- och sjukvården ska gälla för den gemensamma journalen. Det innebär i sådant fall en längre bevarandetid för uppgifter som härrör från socialtjänsten i en gemensam journal än vad som annars gäller.
Det finns idag viss skillnad i de regler som gäller möjligheten för
den enskilde att få ta del av sin dokumentation inom hälso- och
sjukvården och socialtjänsten. Normalt gäller inte sekretess till skydd för en enskild i förhållande till den enskilde själv. I hälso- och sjukvården finns dock i gällande rätt bestämmelser i offentlighets- och sekretesslagen samt patientsäkerhetslagen som i vissa fall medför att sekretess kan bedömas föreligga även gentemot den enskilde själv. Någon sådan motsvarande begränsning finns inte för uppgifter inom socialtjänsten. Utredningen kommer att lämna förslag om att reglerna om sekretess mot patientens själv avseende uppgifter om honom eller henne tas bort (se avsnitt 33.5.2). Skillnaden vad som gäller den enskildes möjlighet att ta del av handlingar kommer därför inte att bestå om utredningens förslag blir verklighet. Utredningen kommer även lämna förslag som gör det tillåtet för vårdgivare och den som bedriver verksamhet inom socialtjänsten att komma överens om att medge individen direkt-
åtkomst till den gemensamma journal som förs om honom eller henne.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
839
Tillsyn
Samverkansutredningen tyngsta argument för att inte föreslå en gemensam journal var svårigheterna att kunna dela upp dokumentationen i samband med tillsyn. När denna utredning lämnade sitt betänkande var fortfarande tillsynen över vård och omsorg uppdelad på olika myndigheter. Denna utmaning vad gäller en gemensam vård- och omsorgsjournalen är inte längre aktuell. Idag har Inspektionen för vård och omsorg ett uppdrag som täcker båda verksamheterna. Vi kan därför tvärtom hävda att den integrerade tillsynen är ett argument för en gemensam journal. En verksamhet som bedrivs integrerat ska förstås inspekteras integrerat. Tillsynsmyndigheten får sannolikt en bättre uppfattning om verksamheten och hur den bedrivs för att tillgodose den enskildes behov om det finns en integrerad och gemensam dokumentation.
Utredningens förslag
Det har under utredningens arbete blivit uppenbart att en gemensam dokumentation skulle kunna underlätta arbetet och bidra till en högre kvalitet i verksamheter där samverkan mellan olika aktörer och mellan hälso- och sjukvård och socialtjänst är ingående och omfattande. Exempel på sådana verksamheter finns kanske särskilt i äldreomsorgen, där såväl särskilda boenden som hemsjukvård och hemtjänst är verksamheter som kännetecknas av en djup integration. Genom Inspektionen för vård och omsorgs och tidigare Socialstyrelsens tillsyn har inte heller sällan framkommit att vissa verksamheter dokumenterar hälso- och sjukvårdsåtgärderna och socialtjänstinsatserna i samma journal. Det kan om inte annat visa på att det föreligger ett sådant behov för att kunna ge den enskilde en så bra vård och ett så bra omhändertagande som möjligt. I viss utsträckning kan därför inte uteslutas att nya rättsliga möjligheter att dokumentera i en gemensam vård- och omsorgsjournal skulle medföra att vissa saker som i och för sig redan förekommer idag blir lagliga.
Det finns även andra verksamheter inom både psykiatrin och missbruks- och beroendevården som skulle kunna dra nytta av möjligheterna till en gemensam vård- och omsorgsjournal. Det kan heller inte uteslutas att möjligheter till en gemensam vård- och omsorgsjournal innebär ett viktigt signalvärde och kan stimulera
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
840
till ökad samverkan genom att det i praktiken leder till en mycket djup integration av verksamheterna.
Utredningens uppfattning är att behovet av en gemensam vård- och omsorgsjournal framför allt finns i tätt integrerade verksamheter där det finns ett mer eller mindre dagligt behov av att dokumentera och utbyta information mellan de inblandade vårdgivarna och utförarna. Ett tydligt exempel är, som tidigare nämnts, den hälso- och sjukvård och socialtjänst som idag ges till personer på särskilda boenden. Inom områdena psykiatri och missbruksvård behövs för en bra vård och omsorg att uppgifter från både hälso- och sjukvården och socialtjänsten görs tillgängliga på ett bra sätt för att den enskilde ska kunna få optimalt stöd och hjälp. Allmänt framstår dock inte behovet av en gemensam journal lika tydligt i dessa verksamheter eftersom behovet av information inte uppstår lika ofta och är inte bestående över tid. Här utgörs behovet snarare av att tillgång till relevant information måste finnas vid rätt tillfälle. Det behöver alltså inte vara optimalt att sträva efter en gemensam vård- och omsorgsjournal inom alla verksamheter.
Utredningen föreslår, mot bakgrund av de behov som redovisats i det föregående, att det under vissa förutsättningar ska vara möjligt för vårdgivare och de som bedriver verksamhet inom socialtjänsten att föra en gemensam vård- och omsorgsjournal. Vi föreslår att denna möjlighet till gemensam vård- och omsorgsjournal ska vara en valfri form av vårddokumentation för de integrerade verksamheter som erbjuder vård och omsorg åt personer med behov av både hälso- och sjukvård och socialtjänst. Bestämmelser om vård- och omsorgsjournal ska finnas i våra förslag till hälso- och sjukvårdsdatalag respektive socialtjänstdatalag. Särskilda förutsättningar ska gälla för den gemensamma vård- och omsorgsjournalen, exempelvis vad gäller innehåll, bevarande och gallring. Se mer om detta i det följande.
Den gemensamma vård- och omsorgsjournalen innebär att vårdgivare och de som bedriver verksamhet inom socialtjänsten får behandla de personuppgifter som för socialtjänstens del behandlas för genomförande av beslut om bistånd, stödinsatser, vård eller behandling tillsammans med de uppgifter en vårdgivare behandlar för ändamålet vårddokumentation. Med vårddokumentation avses personuppgifter som behandlas för ändamål som avses i 2 kap. 5 § 2 och 3 i vårt förslag till hälso- och sjukvårdsdatalag. Det är uppgifter som behövs för att fullgöra journalföringsplikten och upprätta annan dokumentation som behövs i och för vården av patienter
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
841
samt för administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall. Definitionen av vårddokumentation finns angiven förslaget till hälso- och sjukvårdsdatalag.
Förutom att den enskilde ska ha behov av insatser från både hälso- och sjukvård och socialtjänst ska en ytterligare förutsättning för en gemensam vård- och omsorgsjournal vara att uppgifterna kan antas ha betydelse för att genomföra beslut om bistånd, stödinsats, vård eller behandling och för att förebygga, utreda, eller behandla sjukdomar och skador inom hälso- och sjukvården. Genom detta understryks ytterligare kravet på uppgifternas betydelse både för den hälso- och sjukvård och för den socialtjänst som individen har behov av. Det är därmed individen och individens behov som är det centrala för att verksamheter ska få använda sig av möjligheten med gemensam vård- och omsorgsjournal.
När det gäller vård och omsorg av enskilda med sammansatta behov är det inte sällan en teoretisk fråga i vilken dokumentation som t.ex. olika iakttagelser avseende den enskildes behov och tillstånd ska antecknas. Med utredningens förslag blir denna teoretiska gräns mellan dokumentation enligt hälso- och sjukvårdslagstiftningen och socialtjänstlagstiftningen onödig att ägna tid åt. Istället kommer journalföringen att kunna bli mer ändamålsenlig genom att samma företeelse inte behöver dokumenteras i två olika journaler. En gemensam vård- och omsorgsjournal gör det möjligt för integrerade verksamheter att fullt ut ta till vara fördelarna med ett samordnat arbetssätt. De hinder mot samverkan som uppställs genom det nuvarande regelverket om informationshantering ska inte finnas kvar. Utredningen gör bedömningen att den enskilde individen på så sätt kan få insatser av bättre kvalitet. En vård- och omsorgsjournal ersätter i verksamheten således det som idag betraktas som en patientjournal och det som betraktas som en social journal eller dokumentation. Det innebär att den gemensamma vård- och omsorgsjournalen måste kunna användas på motsvarand sätt och för samma ändamål som hittills har gällt för de två olika formerna av dokumentation. Personuppgiftsbehandlingen ska således kunna göras för att exempelvis planera och genomföra de gemensamma insatserna, men även för uppföljning, kvalitetssäkring m.m.
För att det ska vara tillåtet att börja föra en sådan vård- och omsorgsjournal ska vårdgivare och de som bedriver socialtjänst göra en överenskommelse om detta. I överenskommelsen ska ingå
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
842
hur ansvaret för att tillgodose den enskildes rättigheter ska fördelas, se vidare i det följande. Hur denna överenskommelse ska slutas och vad som närmare ska ingå i en sådan går, enligt vår bedömning, inte att reglera i detalj. Det kan finnas anledning för kommunen att, i egenskap av huvudman för den integrerade verksamhet som utförs i äldreomsorgen, överväga om detta sätt att dokumentera och hantera information kan bidra till en god vård och omsorg och en högre effektivitet i verksamheten.
32.3.11 Innehållet i en gemensam vård- och omsorgsjournal m.m.
Vi föreslår: En gemensam vård- och omsorgsjournal ska inne-
hålla de uppgifter som för en vårdgivares del ska dokumenteras i en patientjournal enligt vårt förslag till hälso- och sjukvårdsdatalag samt de uppgifter som den som bedriver verksamhet inom socialtjänsten ska dokumentera enligt socialtjänstlagen och lagen (1993:387) om stöd och service till vissa funktionshindrade.
Bestämmelser som reglerar innehållet i den gemensamma journalen ska finnas i såväl hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen.
Bestämmelsen om journalförstöring ska vara tillämplig även på uppgifter i en gemensam vård- och omsorgsjournal.
Bestämmelsen om utplåning av uppgifter i en patientjournal ska inte tillämpas avseende uppgifter i en vård- och omsorgsjournal enligt 9 kap. hälso- och sjukvårdsdatalagen.
Utredningens förslag till gemensam vård- och omsorgsjournal innebär ingen förändring av dokumentationsplikten inom hälso- och sjukvården och socialtjänsten. När en integrerad verksamhet väljer att använda sig av möjligheten till en gemensam vård- och omsorgsjournal ska såväl de regler som gäller för dokumentation inom socialtjänsten som hälso- och sjukvården följas. Dokumentationen ska alltså uppfylla kraven i båda regelverken. I den meningen bör verksamheten ha kunskap om vad som krävs för att uppfylla dessa krav – även om vårt förslag till gemensam journal inte gör det nödvändigt att klassificera viss information som antingen hörande till vårddokumentation eller socialtjänst-
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
843
dokumentation. Det viktiga är att det totala innehållet uppfyller krav som kan ställas i något av regelverken.
Syftet med en integrerad verksamhet kan bäst uppnås genom att den gemensamma dokumentationen i verksamheten uppfyller samtliga krav som gäller för de deltagande aktörerna. Bakgrunden till att man valt att arbeta samordnat bör vara att det finns fördelar med att ta tillvara den gemensamma kompetensen. Detta bör enligt utredningens mening återspeglas i den gemensamma journalen.
När det gäller innehållet i en patientjournal har patienten eller någon annan som omnämns i journalen rätt att få journalen helt eller delvis förstörd. Någon motsvarande bestämmelse finns inte vad gäller uppgifter i en dokumentation inom socialtjänsten. Utredningens förslag om gemensam vård- och omsorgsjournal innefattar förslag om att den ska försvaras i minst 10 år efter att sista anteckningen förts in. Det är samma bevarandetid som gäller för en patientjournal. Rätten för patienten att ansöka om journalförstöring ingår som en del i skyddet av hans eller hennes integritet.5 Mot denna bakgrund anser utredningen att även uppgifter i en gemensam vård- och omsorgsjournal ska omfattas av möjligheten att ansöka om journalförstöring. En enskild som anser att det finns uppgifter i den gemensamma journalen som är kränkande eller felaktiga ska få ansöka om journalförstöring oavsett om uppgiften kan hänföras till hälso- och sjukvården eller socialtjänsten.
Däremot föreslår vi inte att den nya bestämmelsen om vårdgivarens möjlighet att utplåna uppgifter i en patientjournal ska vara tillämplig på den gemensamma vård- och omsorgsjournalen. Denna undantagsbestämmelse ska tillämpas restriktivt. Innan en sådan möjlighet kan bli aktuellt avseende den gemensamma journalen måste tillämpningen få visa att det finns ett behov av denna form av utplåning av uppgifter.
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
844
32.3.12 Överenskommelse om gemensam vård- och omsorgsjournal
Vårt förslag: En överenskommelse om gemensam vård- och
omsorgsjournal ska fastslå vem av parterna som ska ansvara för att tillgodose den enskildes rättigheter enligt personuppgiftslagen (1998:204), hälso- och sjukvårdsdatalagen och socialtjänstdatalagen.
Överenskommelsen får omfatta att den enskilde ska medges direktåtkomst till uppgifter om sig själv enligt bestämmelserna i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen och ska fastställa hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Bestämmelser om överenskommelsens innehåll ska finnas i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen.
Utredningens förslag om möjlighet till direktåtkomst mellan hälso- och sjukvård och socialtjänst i integrerade verksamheter innebär en ny form av informationsutbyte. Även vårt förslag om en gemensam vård- och omsorgsjournal innebär en ny form av informationsutbyte mellan de inblandade verksamheterna. Syftet är att rätt information ska finnas tillgänglig för rätt personer, på rätt plats och i rätt tid. Sådan användning av ny teknik för dokumentation och för ändamålsenligt informationsutbyte får bara förekomma under säkra former. Såväl den som bedriver verksamhet inom socialtjänsten som vårdgivaren är ytterst ansvariga för en säker behandling av personuppgifter i sina verksamheter. Detta ansvar innebär t.ex. att personuppgifter ska behandlas på ett sådant sätt att obehöriga inte kan ta del av dem.
I detta ansvar för personuppgifterna som behandlas i verksamheten ingår att utlämnande av uppgifter måste göras på ett säkert sätt. För att det inte ska vara oklart vem som ska ansvara för att tillgodose den enskildes rättigheter enligt de lagar som reglerar hanteringen av personuppgifterna i hälso- och sjukvården och socialtjänsten, måste parterna komma överens om vem eller vilka som ska tillgodose den enskildes rättigheter. En sådan överenskommelse mellan vårdgivare och den eller de som bedriver verksamhet inom socialtjänsten ska göras inför det att ett samarbete genom en gemensam vård- och omsorgsjournal realiseras.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
845
Överenskommelsen som här avses kan innefatta hur vissa av de registrerades rättigheter ska kunna tillgodoses i praktiken. Det kan exempelvis handla om sådant som var den enskilde vänder sig för att få ett loggutdrag över den åtkomst som har förekommit till patientens uppgifter. Istället för att den enskilde exempelvis ska behöva vända sig till flera av de inblandade aktörerna kan det finnas skäl för dem att komma överens om och praktiskt arrangera det på sådant sätt att den enskilde endast behöver vända sig till en aktör för att få loggutdraget. En sådan aktör kan mycket väl vara ett personuppgiftsbiträde åt de inblandade aktörerna. Vidare kan överenskommelsen även reglera hur och till vem de registrerade ska vända sig med frågor, synpunkter eller klagomål. En enskilds möjligheter att ta till vara sina rättigheter underlättas om det är tydligt vem han eller hon ska vända sig till med krav eller klagomål, t.ex. för det fall bristfällig information lämnats om vem som är personuppgiftsansvarig för behandling av personuppgifter som avser honom eller henne.
En vårdgivare och den som bedriver verksamhet inom socialtjänsten får också enligt bestämmelsen komma överens om att medge en enskild direktåtkomst till uppgifter i en gemensam vård- och omsorgsjournal. Den enskilde får under samma förutsättningar medges direktåtkomst till sådan dokumentation (loggar). Direktåtkomsten ska utformas så att den följer bestämmelserna i 5 kap. hälso- och sjukvårdsdatalagen och 4 kap. socialtjänstdatalagen. I en sådan överenskommelse ska aktörerna även komma överens om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses.
32.3.13 Att ta del av uppgifter genom direktåtkomst eller i en gemensam vård- och omsorgsjournal
Vårt förslag: Vårdgivare får ta del av personuppgifter, som den
som bedriver verksamhet inom socialtjänsten har lämnat ut genom direktåtkomst, endast för ändamålen vård och behandling av patienten, kvalitetssäkring och kvalitetsutveckling av sådan vård och behandling samt intygsutfärdande. Den som bedriver verksamhet inom socialtjänsten får ta del av personuppgifter, som vårdgivare har lämnat ut genom direktåtkomst, endast för ändamålen att genomföra beslut om bistånd, stödinsatser, vård eller behandling eller för att säkra och utveckla kvaliteten av sådana insatser, vård eller behandling.
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
846
Vårdgivare och den som bedriver verksamhet inom socialtjänsten får behandla personuppgifter i en gemensam vård- och omsorgsjournal för de ändamål som för vårdgivarens del är tillåtna enligt hälso- och sjukvårdsdatalagen och för socialtjänsten del i socialtjänstdatalagen. Bestämmelser om detta ska tas in i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen.
Bestämmelserna om behörighetstilldelning och åtkomstkontroll i de respektive lagarna ska gälla även för behandling av personuppgifter i integrerade verksamheter.
Att ta del av uppgifter som gjorts tillgängliga genom direktåtkomst
Utlämnande av uppgifter genom direktåtkomst från en vårdgivare till den som bedriver verksamhet inom socialtjänsten är, enligt utredningens förslag, villkorat av att uppgifterna kan antas ha betydelse för att genomföra beslut om bistånd, stödinsatser, vård eller behandling. På motsvarande sätt får den som bedriver socialtjänst lämna ut uppgifter genom direktåtkomst till vårdgivare om uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador inom hälso- och sjukvården.
De grundläggande förutsättningarna för att få lämna ut uppgifter bör sedan, enligt utredningens bedömning, även vara avgörande för vilka syften uppgifterna sedan ska få användas i den mottagande verksamheten. Med en sådan lösning anpassas de tillåtna ändamålen för personuppgiftsbehandling till de konkreta behov som ligger bakom förslaget att ge hälso- och sjukvården och socialtjänsten nya möjligheter att utbyta uppgifter genom direktåtkomst. Det innebär att vårdgivare och den som bedriver verksamhet inom socialtjänsten endast ska kunna ta del av uppgifter som lämnats ut genom direktåtkomst för vissa begränsade ändamål.
Förutom för ändamål som rör den enskildes insatser, vård eller behandling anser utredningen att direktåtkomst även ska får användas för att säkra och utveckla kvaliteten av sådan verksamhet. Verksamheter inom hälso- och sjukvården och socialtjänsten som har ett nära samarbete kring en enskild måste också kunna utvecklas och säkras. Behoven av att kvalitetssäkra dessa situationer är inte mindre än vad behoven är i situationer där den enskilde bara har insatser från socialtjänsten eller bara är föremål för hälso- och sjukvård. Vårdgivare och de som bedriver socialtjänst och som samarbetar i frågor som rör enskildas hälsa och livskvalitet behöver
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
847
ha goda förutsättningar att vid behov behandla personuppgifter för kvalitetssäkring och utveckling. Reglerna om informationshantering bör enligt utredningens uppfattning inte uppställa hinder för ett sådant kvalitetsarbete.
Mot bakgrund av detta föreslår utredningen att vårdgivare får ta del av personuppgifter, som den som bedriver verksamhet inom socialtjänsten har lämnat ut genom direktåtkomst, endast för ändamålen vård och behandling av patienten, kvalitetssäkring och kvalitetsutveckling av sådan vård och behandling samt intygsutfärdande. Den som bedriver verksamhet inom socialtjänsten får i sin tur ta del av personuppgifter, som vårdgivare har lämnat ut genom direktåtkomst, endast för ändamålen att genomföra beslut om bistånd, stödinsatser, vård eller behandling eller för att säkra och utveckla kvaliteten av sådana insatser, vård eller behandling. Bestämmelser om detta bör tas in i hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen.
Att ta del av uppgifter i en gemensam vård- och omsorgsjournal
Det grundläggande syftet med utredningens förslag om gemensam vård- och omsorgsjournal är att öka förutsättningarna för en ändamålsenlig informationshantering avseende personer med behov av både hälso- och sjukvård och socialtjänst. Det handlar om att se till att rätt information kan finnas på rätt plats i rätt tid för att den enskilde ska säkerställas en god vård och omsorg. En sådan informationshantering med individen och individens behov i centrum kräver att de inblandade aktörerna får behandla personuppgifterna för de ändamål som krävs för att tillgodose detta behov.
När det gäller den gemensamma vård- och omsorgsjournalen ersätter den det som verksamheterna idag betraktar som en patientjournal och det som betraktas som en social journal eller social dokumentation. Det innebär att vård- och omsorgsjournalen måste kunna användas på motsvarande sätt och för samma ändamål som hittills har gällt för de två olika formerna av dokumentation. Det saknas därför, enligt utredningens bedömning, anledning att begränsa de tillåtna ändamålen för personuppgiftsbehandling. En sådan begränsning skulle även kunna motverka den djupare integration och det mer ändamålsenliga samarbete som utredningens förslag kan medföra.
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
848
Personuppgiftsbehandlingen ska således kunna göras för att exempelvis planera och genomföra de gemensamma insatserna, men även för uppföljning, kvalitetssäkring m.m. Annars riskerar fördelarna med en gemensam vård- och omsorgsjournal att kraftigt begränsas.
Vårdgivare och den som bedriver verksamhet inom socialtjänsten ska därför, enligt utredningens förslag, få behandla personuppgifter i en gemensam vård- och omsorgsjournal för de ändamål som för vårdgivarens del är tillåtna enligt hälso-och sjukvårdsdatalagen och för socialtjänsten del i socialtjänstdatalagen. Det innebär att vårdgivare får behandla personuppgifter i enlighet med den grundläggande ändamålsbestämmelsen i 2 kap. 5 och 6 §§ hälso- och sjukvårdsdatalagen. Den som bedriver verksamhet inom socialtjänsten får behandla personuppgifter i enlighet med ändamålsbestämmelsen i 2 kap. 5 och 6 §§ socialtjänstdatalagen. Bestämmelser om detta ska tas in i båda dessa lagar.
Behörighetsstyrning och åtkomstkontroll
Vidare föreslår utredningen att de grundläggande bestämmelserna om vårdgivarens ansvar för behörighetstilldelning och åtkomstkontroll ska gälla när en vårdgivare deltar i en integrerad verksamhet som har valt att använda direktåtkomst för utbyte av personuppgifter. Vårdgivaren ska även ha ansvar för behörighetstilldelning och åtkomstkontroll när det gäller de personer som arbetar åt vårdgivaren om vårdgivaren deltar i ett samarbete om gemensam vård- och omsorgsjournal. Motsvarande ansvar ska gälla för den som bedriver verksamhet inom socialtjänsten. Bestämmelser om detta ska tas in i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen.
Utredningens förslag om krav på behörighetstilldelning och åtkomstkontroll i hälso- och sjukvården och socialtjänsten finns i respektive avsnitt. Här erinras endast om att dessa bestämmelser även gäller vid personuppgiftsbehandling i integrerade verksamheter.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
849
32.3.14 Bevarande och arkivering av gemensam vård och omsorgsjournal
Vårt förslag: En handling i en gemensam vård- och omsorgs-
journal ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. För allmänna handlingar gäller därutöver arkivlagen och de bestämmelser som meddelats med stöd av arkivlagen gälla.
När insatser från både hälso- och sjukvård och socialtjänst har slutat att ges till de enskilde ska den gemensamma vård- och omsorgsjournalen överlämnas till den kommun som ansvarat för socialtjänstinsatserna.
För att en gemensam vård- och omsorgsjournal ska kunna uppfylla alla de syften som en social journal och en patientjournal ska uppfylla måste vi även lämna förslag på hur en sådan dokumentation ska arkiveras.
När det gäller bevarande, gallring och arkivering av uppgifter inom socialtjänst respektive hälso- och sjukvård så är det olika regler som gäller. En journalhandling ska bevaras i minst 10 år. Fram till dess får uppgifterna i journalen endast utplånas med stöd av bestämmelserna om journalförstöring. Utredningen har även lagt ett förslag som gör det möjligt för en vårdgivare att under vissa omständigheter utplåna vissa uppgifter (se kapitel 12). När det gäller socialtjänsten ska enligt huvudregeln anteckningar och andra uppgifter i en personakt hos socialnämnden gallras fem år efter det att sista anteckningen gjordes i akten. Detta följer av bestämmelser i 12 kap. 1 § SoL första stycket.
En gemensam vård- och omsorgsjournal är en ny typ av handling. Utredningen anser att denna dokumentation så långt möjligt ska avspegla och tillgodose behoven i en verksamhet som bedrivs integrerat. Den bör så långt som möjligt leva upp till de regelverk som gäller såväl inom socialtjänsten som inom hälso- och sjukvården. Men när det gäller bevarande och gallring kräver hänsynen till ordning och reda vid hantering av allmänna handlingar och till arkivvården att det finns ett tydligt regelverk som gäller just denna nya typ av handling.
Utredningen anser att de längre bevarandetiderna som gäller inom hälso- och sjukvården bättre tillvaratar de gemensamma behoven av att handlingar sparas och arkiveras. Det finns möjligen
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
850
även argument som kan tala för en lösning som mer liknar den för bevarande av handlingar inom socialtjänsten. Det kan t.ex. finnas skäl att av hänsyn till den registrerades integritet välja en lösning som innebär en kortare bevarandetid. Mot bakgrund av de patientsäkerhetsskäl som motiverar de längre bevarandetiderna som gäller inom hälso- och sjukvården väljer utredningen dock att föreslå att de längre tiderna också ska gälla för den gemensamma dokumentationen i en integrerad verksamhet.
När det gäller arkivering handlar det om att välja en lösning så att det blir tydligt vad som ska gälla för den nya typen av handling. Den grundläggande förutsättningen för att det ska få föras en gemensam vård- och omsorgsjournal är att uppgifterna som ska dokumenteras rör en person med behov av vård och omsorg som är föremål för insatser inom socialtjänsten. Eftersom uppgifterna måste röra en person som befunnits har rätt till kommunala insatser i socialtjänsten framstår det som naturligt att det är den kommun som ansvarat för och finansierat socialtjänstinsatserna som ska ta hand om arkiveringen av den gemensamma vård- och omsorgsjournalen. Utredningen gör dock bedömningen att när det gäller arkivfrågan kan det även finnas andra lämpliga alternativ. Det väsentliga är att det finns tydliga regler vad som gäller för handlingarna så att dessa lätt kan återfinnas. Mot den bakgrunden och i detta skede anser utredningen att det mest ändamålsenliga är att handlingar i en gemensam journal ska arkiveras i den kommun som har ansvarat för de beslutade insatser som varit förutsättningar för den enskildes deltagande i den integrerade verksamheten. Det kan framstå som logiskt för den som vill leta reda på en sådan journal att vända sig till den kommunen.
32.3.15 Sekretessbrytande bestämmelser för att möjliggöra förslagen
Vårt förslag: Hälso- och sjukvårdssekretess ska inte hindra att
en uppgift om en enskild lämnas från en myndighet inom hälso- och sjukvården till en myndighet inom socialtjänsten eller till enskild utförare av socialtjänst enligt vad som föreskrivs om direktåtkomst i integrerade verksamheter i vårt förslag till hälso- och sjukvårdsdatalag.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
851
Socialtjänstsekretess ska inte heller hindra att uppgift om en enskild lämnas från en myndighet inom socialtjänsten till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om direktåtkomst i integrerade verksamheter i vårt förslag till socialtjänstdatalag.
Sekretess ska inte heller hindra det informationsutbyte som en gemensam vård och omsorgsjournal för med sig.
Utredningens förslag om direktåtkomst mellan vårdgivare och den som bedriver verksamhet inom socialtjänst innebär att dessa aktörer under vissa förutsättningar kan få direktåtkomst till varandras personuppgifter. För att den vårdgivare som gör uppgifter tillgängliga inte ska behöva göra en sekretessprövning i varje enskilt fall, föreslås ett undantag från hälso- och sjukvårdssekretessen. Vi föreslår även motsvarande undantag från socialtjänstsekretessen. Undantaget innebär att sekretessen inte hindrar att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare eller till den som bedriver verksamhet inom socialtjänsten enligt vad som föreskrivs om denna typ av direktåtkomst i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen. Skyddet för den enskildes personliga integritet vid direktåtkomsten är tillgodosett genom de villkor som gäller för att direktåtkomsten ska vara tillåten.
På grund av de bestämmelser om undantag från sekretess som vi föreslår behövs ingen särskild reglering för att en enskild vårdgivare eller en enskild utförare ska kunna lämna ut uppgifter till en annan aktör genom direktåtkomst. Ett sådant utlämnande kan inte anses som obehörigt i den mening som avses i patientsäkerhetslagen eller socialtjänstlagen och innebär därmed inget brott mot tystnadsplikten. Det är samma konstruktion för lättnad i tystnadsplikten som gäller vid sammanhållen journalföring.
Vi föreslår även motsvarande lättnader i sekretessen för uppgifter inom hälso- och sjukvård och socialtjänsten för det utbyte av uppgifter som den gemensamma vård- och omsorgsjournalen för med sig.
Det råder alltså normalt sekretess mellan hälso- och sjukvården och socialtjänsten. Därför behöver vi föreslå ändringar i offentlighets- och sekretesslagen som bryter sekretessen när ett utbyte av uppgifter görs med stöd av de bestämmelserna om direktåtkomst mellan hälso- och sjukvård och socialtjänst eller genom att verksamheterna använder en gemensam vård- och omsorgsjournal.
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
852
32.3.16 Gemensam vård- och omsorgsjournal och sammanhållen journalföring
Vårt förslag: En vårdgivare får göra uppgifter i en gemensam
vård- och omsorgsjournal tillgängliga i system för sammanhållen journalföring under de förutsättningar som anges för detta i hälso- och sjukvårdsdatalagen. En påminnelse om detta ska tas in i anslutning till bestämmelserna om gemensam vård- och omsorgsjournal i hälso- och sjukvårdsdatalagen.
En gemensam vård- och omsorgsjournal innebär att vårdgivare och de som bedriver verksamhet inom socialtjänsten kan hålla information om en individ samlad så att den kan användas på ett ändamålsenligt sätt för att ge individen den vård och det stöd som han eller hon behöver. Vi föreställer oss att denna möjlighet till gemensam dokumentation framförallt kommer att användas i verksamheter som är djupt integrerade, t.ex. på särskilda boenden. Även om informationen i den gemensamma vård- och omsorgsjournalen kommer att tillgodose en stor del av det behov som finns av att utbyta uppgifter om den enskilde kommer det ändå att finnas behov av att utbyta information med aktörer utanför den integrerade verksamheten. Det behovet kan komma att vara olika stort beroende på vilka aktörer som deltar i samarbetet om en gemensam journal. Utredningen antar att det kanske inte kommer vara så vanligt att t.ex. landstingets läkarinsatser deltar i samarbetet. Sammanhållen journalföring kommer därför sannolikt att även fortsättningsvis behövas som ett sätt för t.ex. ett särskilt boende att utbyta information med primärvården.
Utredningen bedömer därför att en vårdgivare ska få göra uppgifter i en gemensam vård- och omsorgsjournal tillgängliga för andra vårdgivare med stöd av regelverket för sammanhållen journalföring. Det innebär t.ex. att sådana uppgifter kan göras tillgängliga i den nationella patientöversikten (NPÖ). En distriktsköterska eller hälso- och sjukvårdspersonal inom akutsjukvården kan i sitt omhändertagande genom att ta del av uppgifter i NPÖ beakta viktiga omständigheter i den enskildes hälsotillstånd. En vårdgivare som deltar i den integrerade verksamheten och som samtidigt deltar i ett system för sammanhållen journalföring kan å sin sida ta del av uppgifter om den enskilde i den sammanhållna journalföringen genom att tillämpa de regler som gäller för det. Det
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
853
är t.ex. viktigt för en kommunal vårdgivare att kunna ta del av uppgifter om vilka läkemedel som förskrivits till den enskilde av primärvården eller den slutna vården. Den gemensamma vård- och omsorgsjournalen får inte blir ett nytt sätt att låsa in information. Utredningen anser därför att det är nödvändigt att en vårdgivare som deltar i ett sådant arbete också kan utbyta uppgifter genom sammanhållen journalföring. En bestämmelse som erinrar och uttryckligen tillåter detta ska därför tas in i hälso- och sjukvårdsdatalagen.
855
33 Kommunikation mellan vård- och omsorgsaktörer och medborgare
33.1 Bakgrund
Internet har i dag kommit att bli en primär källa för medborgare i jakt på information relaterad till hälso- och sjukvården och socialtjänsten. Invånare söker efter information om hälsa och sjukdomar exempelvis på 1177 Vårdguiden, apoteksaktörernas hemsidor och på Google. På motsvarande sätt används enskilda kommuners hemsidor för att ta reda på information om enskildas rättigheter inom socialtjänsten och vilket utbud olika kommuner har.
Samtidigt har internet även blivit en viktig kommunikationskanal mellan medborgarna och vårdgivarna och mellan medborgarna och de som bedriver socialtjänst. I dag finns exempelvis möjligheter att via nätet ta del av uppgifter i patientjournaler, boka tider hos sjukvården, förnya recept, ställa frågor till läkare, beställa självtester m.m. Även för sådan information som vårdgivarna behöver från patienterna utvecklas nu funktioner för att kommunicera det över nätet. Som exempel kan nämnas funktioner som möjliggör för patienter att rapportera in olika mätvärden, att svara på enkäter om upplevd livskvalitet efter t.ex. en operation, att fylla i och skicka in hälsodeklarationer eller liknande inför ett kommande läkarbesök m.m.
På motsvarande sätt sker en utveckling inom socialtjänsten för att ta fram e-tjänster där invånare kan ansöka om bistånd, informera sig om och välja olika utförare, låta närstående ta del av omsorgsinformation från äldreomsorgen m.m.
I strategin för Nationell eHälsa anges bland annat följande.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
856
Individen i sin roll som invånare, patient, brukare och anhörig ska ha tillgång till lättillgänglig och kvalitetssäkrad information om hälsa, vård och omsorg samt åtkomst till dokumentation från sina tidigare insatser och behandlingar. Hon eller han ska erbjudas individuellt anpassad service och interaktiva e-tjänster för att kunna utöva delaktighet och självbestämmande utifrån sina egna förutsättningar.
33.1.1 Vårt uppdrag
Av utredningsdirektivet framgår bland annat att utvecklingen de senaste åren har varit sådan att den enskilde på flera sätt fått en starkare ställning i förhållande till hälso- och sjukvården. Den enskilde har i många fall behov av att kunna registrera uppgifter för att exempelvis komplettera eller förbereda ett läkarbesök. Den enskilde bör också som huvudregel kunna ha tillgång till sina egna uppgifter.
Vidare anför regeringen att det i nuvarande lagstiftning är svårt att identifiera gränsen mellan patientens egen personuppgiftsbehandling och vårdgivarens behandling av personuppgifter enligt dennes personuppgiftsansvar. För att patienten ska kunna vara en medproducent av information inom hälso- och sjukvården och rapportera in information som exempelvis patientrapporterade utfallsmått måste denna gräns tydliggöras i lagstiftningen. Mot denna bakgrund är vårt uppdrag följande.
• Analysera och lämna förslag som juridiskt tydliggör gränsen mellan patientens egen personuppgiftsbehandling och vårdgivarens personuppgiftsbehandling enligt dennes personuppgiftsansvar för sådana känsliga uppgifter som den enskilde rapporterar in till hälso- och sjukvården eller socialtjänsten,
• överväga behovet av lagreglering av personuppgiftsansvar för säkerhetsåtgärder vid it-kommunikation med enskilda individer.
Vidare har vi genom tilläggsdirektiv övertagit frågor på detta område, som ursprungligen hanterades av Patientmaktsutredningen.1 Vårt uppdrag är därför att ta ett helhetsgrepp om de rättsliga frågorna vid en ökad kommunikation mellan hälso- och sjukvårdens aktörer och medborgarna. Vi ska i detta sammanhang bland annat beakta sekretessfrågor, frågor om direktåtkomst och frågor om hantering av allmänna handlingar.
1 Dir. 2012:23.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
857
Utvidgning av uppdraget
I utredningsdirektivet talas, med något undantag, i princip endast om patienters kommunikation med hälso- och sjukvården. Eftersom vi ser att behovet av klarläggande även finns för liknande kommunikation mellan medborgare och socialtjänstens aktörer, har vi valt att vidga vårt uppdrag till att omfatta även de rättsliga frågor som gör sig aktuella i de situationerna. Vår bedömning är även att det ligger i linje med den grundläggande tanken i utredningsdirektivet om att utgå ifrån individen och individens behov oavsett hur individens resa genom hälso- och sjukvården och socialtjänsten ser ut.
Sammanfattningsvis är vårt uppdrag således att analysera de rättsliga förutsättningarna och vid behov lämna nödvändiga författningsförslag kring den ökade kommunikation som vi ser växa fram i dag mellan å ena sidan medborgarna och å andra sidan hälso- och sjukvårdens och socialtjänstens aktörer.
33.1.2 En utveckling med flera mål
Utvecklingen inom hälso- och sjukvård och socialtjänst går allt mer mot att patienter och närstående betraktas som samarbetspartners och resurser i arbetet. För att kunna vara den resursen krävs att individer får del av det kunskapsunderlag som skapas genom den dokumentation som skapas av vård- och omsorgsaktörerna. Många individer betraktar i dag det även som självklart att kunna ta del av personlig information om sin hälsa via nätet på samma sätt som man kan hantera sin ekonomi på internetbanken eller utföra ärenden på olika myndigheters webbplatser.
Många av de insatser som görs på detta område bottnar i övertygelsen om att e-tjänster på olika sätt kan bidra till att stödja, engagera, motivera och underlätta för individen i vardagen. Tjänster som gör det möjligt för individen att stärka sin ställning, öka sin delaktighet och få en fördjupad kunskap om sin hälsosituation. Information och smarta e-tjänster som tillsammans på ett enkelt och överskådligt sätt kan ge den enskilde just det beslutsstöd som behövs för att i större utsträckning kunna fatta rätt beslut om sin egen hälsosituation, vare sig det handlar om en individ med en kronisk sjukdom eller någon med ett mer tillfälligt hälsoproblem. Att ge tillgång till vårddokumentation handlar därför inte om att
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
858
göra individen till någon slags journalrevisor, utan istället om att ge individen bättre förutsättningar än tidigare för att kunna bli sin egen hälsocoach. Även om grundtanken och ambitionen har funnits sedan många årtionden tillbaka, genom att patienten länge haft en rätt att ta del av sin egen dokumentation, är det först nu som möjligheterna finns att göra det ännu bättre än tidigare. Med ny teknik ges möjligheter att hantera de omfattande och komplexa informationsmängder om individer på ett bättre och mer effektivt sätt än vad som är möjligt vid en manuell pappershantering.
Vidare finns en förhoppning om att en stärkt ställning för individen i sin tur ökar möjligheterna för en mer jämlik och tillgänglig vård och omsorg av hög kvalitet. Det förutsätter i sin tur att de nya möjligheterna för delaktighet och kommunikation möts upp av nödvändiga förändringar av vård- och omsorgsproducenternas verksamheter, arbetssätt, processer, organisations- och professionskulturer samt rutiner.
Parterna bakom strategin för Nationell eHälsa anför bl.a. att en ökad tillgänglighet till hälso- och sjukvården och socialtjänsten förutsätter en enkel och målgruppsanpassad tillgång till användarvänlig information. Det ger förutsättningar för egenmakt och självbestämmande samt stärker individens upplevda nytta, delaktighet och insyn i de insatser som berör en själv.
Genom att utveckla personliga e-tjänster vill man ge individen möjlighet att själv dokumentera uppgifter om sin egen hälsosituation. Det kan exempelvis handla om motionsvanor, kost, vilka receptfria läkemedel man tar, hur man mår från tid till annan osv. Det kan även handla om utveckling av e-tjänster med ett tydligt fokus på prevention och folkhälsofrämjande aspekter.
Ytterligare sådana tjänster som lyfts fram som centrala för individen är till exempel en samlad lista över de läkemedel individen står på, en samlad bild av de vaccinationer individen tagit, en möjlighet att kunna följa sin remiss från det att den skickats till att den mottagits och åtgärdats, en möjlighet att få provsvar levererade via nätet och att själv kunna rapportera in mätvärden och olika former av självskattningar.
I strategin för Nationell eHälsa anges att följande områden och tjänster är av särskild vikt för det fortsatta arbetet.
• Alla invånare ska kunna använda säkra personliga e-tjänster för åtkomst till information om egna vård- och omsorgsinsatser.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
859
• Tjänster där individen själv kan dokumentera och dela uppgifter om sin egen hälsa ska utvecklas som en resurs för både personal och individen själv.
• Information om kvalitet, tillgänglighet och bemötande ska presenteras på ett målgruppsanpassat och användarvänligt sätt för att möjliggöra fria och informerade val.
33.2 Några utvecklingsarbeten inom området
Sedan många år tillbaka har ett antal olika utvecklingsprojekt bedrivits för användningen av internet som kommunikationskanal mellan medborgarna och vård- och omsorgsaktörerna. I det följande nämns några av dessa projekt översiktligt, i syfte att ge en bild över vad som har gjorts och vilken utveckling som fortfarande är på gång.
33.2.1 E-tjänster och erfarenheter från landstinget i Uppsala
I Landstinget i Uppsala län har man alltsedan 1997 arbetat med att elektroniskt lämna ut journaluppgifter till patienter. Projektet Sustains (Support Users To Access Information and Services) har under många år bedrivits på en utvald vårdcentral där de listade patienterna, om de har velat, har haft möjlighet att läsa delar av sin journal på nätet. Inledningsvis var det en översikt över patienternas vårdkontakter och diagnoser.
Projektet har nu utvecklats och erbjuder sedan 8 oktober 2012 samtliga länsinvånare att ta del av sin patientjournal genom direktåtkomst över internet (Min journal på nätet). För att kunna ta del av sina uppgifter krävs bl.a. inloggning, med e-legitimation eller engångslösenord via sms, i Mina vårdkontakter.
Under arbetet med att tillhandahålla patientinformation över nätet har landstinget identifierat ett antal viktiga frågeställningar. En av dessa är hur vårdnadshavares tillgång till sina barns patientjournaler ska få gå till. Med tanke på att barn i takt med stigande ålder och mognad ska tillmätas egen förmåga att hantera sitt behov av sekretess och integritetsskydd, även gentemot föräldrar, har landstinget för närvarande valt att inte alls tillhandahålla journaluppgifter genom direktåtkomst för barn mellan 13–17 år. För
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
860
yngre barn har vårdnadshavare dock möjlighet att ta del av barnets journal över nätet.
Vidare har landstinget i detta skede valt att undanta patientinformation från vissa verksamheter från direktåtkomsten, bl.a. för att minimera riskerna för patienter i utsatta positioner. Det rör exempelvis enheten för kvinnofrid vid Akademiska sjukhuset.
Ytterligare en frågeställning som aktualiserats är hur sekretessbestämmelsen i 25 kap. 6 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, ska tillämpas. Enligt den bestämmelsen gäller sekretess även i förhållande till patienten själv, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne. En följd av bestämmelsen är att någon form av sekretessprövning behöver göras även när journaluppgifter ska lämnas ut till individen själv. För att kunna automatisera utlämnandeprocessen har landstinget valt att genom policybeslut slå fast vilka informationsmängder som alltid ska lämnas ut och vilka som ska kräva en mer manuell prövning i det enskilda fallet.
Intressant i sammanhanget är landstingets egen uppskattning över hur ofta den aktuella sekretessbestämmelsen tillämpas. Utredningen har vid kontakter med landstinget fått informationen att bland de 11 000 patientjournalerna som uppskattningsvis lämnades ut under 2011 har endast fem journaler gått för särskild bedömning enligt ovan. Av dessa fem är det sedan bara en journal som inte har lämnats ut.
Under projektet Sustains har flera olika e-tjänster introducerats för landstingets invånare. Det har bland annat handlat om möjligheter att betala sjukvårdsavgift och uppdatera patienters och närståendes kontaktuppgifter. Nedan följer en kortfattad redovisning av ytterligare några e-tjänster.
Min journal på nätet
Genom tjänsten får patienter tillgång till sin patientjournal. Sedan lanseringen av tjänsten 3 december 2012 har antalet nya användare ökat med omkring 100 per dag och den 12 december 2013 hade tjänsten använts av 42 081 unika patienter.2
2 Landstinget i Uppsala, Rapport om införande av e-hälsotjänster i Uppsala (2014) s. 22.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
861
Läsa logglistan
Patienter har fått möjlighet att direkt över internet ta del av uppgifter om vilka som har tagit del av patientens journal, dvs. logglistan. Genom funktionen får patienten en översikt över åtkomsterna och kan upptäcka om någon anmärkningsvärd åtkomst har förekommit och därefter initiera en utredning om det. Enligt uppgifter från landstinget har tjänsten, under perioden 11 april 2013 till 6 december 2013, använts av 12 274 unika patienter 67 168 gånger.3
Delegering av läsrättighet
Tjänsten innebär att patienten kan medge att en annan person får läsrättighet till patientens journal, dvs. själv kan ta del av den via internet. En tanke med tjänsten är att exempelvis göra det möjligt för närstående att följa med och vara delaktiga i familjemedlemmars kontakter med hälso- och sjukvården.
Spåra remiss
Det har gjorts möjligt för patienterna att själva läsa status på sin remiss, dvs. om och när den är skickad, mottagen och besvarad samt om och när svaret är läst av remittenten. Patienten får tillgång till e-tjänsten vid en inloggning på Min journal via nätet.
33.2.2 Mina vårdkontakter
Stockholms läns landsting har inom ramen för Vårdguiden, numera 1177 Vårdguiden, sedan 2003 utvecklat medborgartjänsten Mina vårdkontakter. Ett av syftena med tjänsten var att öka tillgängligheten och göra det enklare för medborgare att kontakta vården på sina egna villkor. I dag är samtliga landsting anslutna till Mina vårdkontakter och kan där välja vilka olika tjänster medborgarna ska kunna använda. Exempel på tjänster som kan tillhandahållas medborgarna är beställning av tider, av- och ombokning av tider, förnya recept, be mottagningen ta kontakt. Det är
3 Landstinget i Uppsala, Rapport om införande av e-hälsotjänster i Uppsala (2014) s. 11.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
862
även möjligt för individen att själv lägga in anteckningar om inbokade läkarbesök, vaccinationer m.m. i en kalender.
För att kunna använda Mina vårdkontakter måste individen registrera sig och skapa ett användarkonto. För att ingen ska kunna ta del av information om andra individer krävs det även att alla identifierar sig med stark autentisering vid inloggningen. I dag är det möjligt att logga in med e-legitimation eller med engångslösenord som distribueras via sms.
Mina vårdkontakter är under ständig utveckling och från och med 12 december 2012 är det möjligt att använda tjänsten även i en mobiltelefon eller på en surfplatta. Allt för att underlätta för individerna att kontakta vården och utföra tjänster.
PER – patientens egen registrering
PER är en tjänst som i dag nås via Mina vårdkontakter och som riktar sig till personer med en reumatisk sjukdom. Tjänsten gör det möjligt för individen att inför ett kommande besök hos sin behandlande läkare registrera uppgifter om sitt hälsotillstånd. Patienten registrerar sådant som rör det vardagliga livet och vad man klarar av i det, men även sådant som om lederna är ömma och svullna. Förutom att det ökar patientens flexibilitet att kunna registrera uppgifter hemifrån vid en tidpunkt som passar patienten bäst medför tjänsten också att uppgifterna finns tillgängliga för läkaren redan när patientbesöket startar. Vid besöket har läkare och patient därmed redan tillgång till samma information och kan utifrån den diskutera behandlingsåtgärder m.m.
Mina hälsotjänster
Stockholms läns landsting har på uppdrag av CeHis, Center för ehälsa i samverkan, drivit projektet Mina hälsotjänster. Målsättningen har varit att projektet ska bidra till utvecklingen av nya e-tjänster som samordnar och stödjer patienternas vårdprocesser och tillhandahålla en teknisk plattform som möjliggör tjänsterna samt leverera processbeskrivningar, affärsmodeller och riktlinjer som effektiviserar och kvalitetssäkrar utvecklingen av e-tjänster. Genom att vidareutveckla Mina vårdkontakter har projektet bidragit till att invånare bl.a. kan nå Mina vård-
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
863
kontakter via mobil och surfplatta, se sin remisstatus, boka provtagning och få svar samt lämna självskattningar som tillförs patientjournalen.
33.2.3 Omsorgsdagboken
Stockholms stad har utvecklat Omsorgsdagboken, där äldre personer och deras närstående kan följa hur omsorgen bedrivs dag för dag. Syftet med Omsorgsdagboken är att de äldre och deras närstående ska få en ökad insikt och delaktighet i hur omsorgen om den äldre bedrivs.
Via tjänsten kan användaren exempelvis ta del av beslut, journalanteckningar gjorda enligt socialtjänstlagen (2001:453), förkortad SoL, händelser av vikt, avvikelser, genomförandeplanen, rapporterade utförartillfällen, kontaktuppgifter och vad som kontinuerligt händer från den ena dagen till den andra. Den innehåller även information om hur samtycke ges, avbryts och ändras samt vilka personer som har fått samtycke att ta del av den äldres omsorgsdagbok.
För att ta del av innehåll i Omsorgsdagboken krävs inloggning med e-legitimation samt för en närstående, att den äldre lämnat ett skriftligt samtycke till att en närstående får ta del av informationen.
33.2.4 Mina vårdflöden
Mina vårdflöden är ett utvecklingsprojekt som leds av Stockholms läns landsting med som genomförs bland annat med Västra Götalandsregionen, Region Skåne, Karolinska Institutet, Lunds Universitet, Jönköping Business School m.fl. Projektet finansieras delvis av innovationsmyndigheten Vinnova.
Det övergripande syftet med projektet är att stimulera till att nya kunskapsbaserade e-tjänster utvecklas. Målet är dels att skapa nya invånartjänster för en mobil nationell plattform som gör det möjliggör för patienten att själv följa, äga och förvalta sina vårdflöden avseende stroke, lungcancer, höftoperationer och hjärtsjukdomar. En tanke är således att förse patienten med ett verktyg för att följa sin resa genom olika processer i vården och även kunna kommunicera direkt med exempelvis behandlande läkare. Patienten ska kunna följa sin remiss på samma sätt som det i dag t.ex. är
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
864
möjligt att följa leveransprocessen vid en bokbeställning på nätet, dvs. kunna se att remissen är skickad, mottagen, bokad samt att åtgärd är genomförd.
33.2.5 Din journal på nätet – förstudien
På uppdrag av CeHis har Inera AB genomfört en förstudie kring de etiska och rättsliga aspekterna för att ge patienten tillgång till sin journal över internet.4Förstudien består av två delrapporter och en slutrapport.
Förstudien har bland annat haft som mål att belysa vilka möjligheter som finns för att tillgängliggöra journalinformation via Internet till invånare och vilka juridiska, etiska och medicinska konsekvenser det kan få. En utgångspunkt i projektet har varit strategin för Nationell eHälsa, som bland annat strävar efter att alla invånare enkelt ska kunna ta del av information som rör den egna personen och kunna kommunicera och interagera med hälso- och sjukvård och socialtjänst på olika sätt.
Förstudien bygger dels på erfarenheter från projekt i Sverige och andra länder där man redan testat att göra journalinformation tillgänglig på internet, dels på egen, ny insamlad kunskap. Inom ramen för studien har man hållit seminarium, genomfört enkätundersökning bland invånare, gjort målgruppsanalyser med djupintervjuer av invånare och tagit fram en forskningsöversikt över publicerade vetenskapliga artiklar inom området.
Invånarnas behov och önskemål
Resultatet av förstudiens undersökningar bland invånare visar att de flesta har önskemål om att få ta del av sin journalinformation via internet, men att behoven kan se olika ut beroende på vilka vårdkontakter de enskilda individerna har.
De önskemål som i djupintervjuer framkom bland huvudsakligen friska personer med glesa vårdkontakter var främst att kunna överblicka sina vaccinationer, men också att kunna läsa i journalen efter ett läkarbesök för att bekräfta vad läkaren sa, både för en patient själv och ibland som närstående till exempelvis en äldre patient som har svårt att minnas och redogöra för samtalet.
4 Din journal på nätet – förstudien (Inera, 2011).
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
865
Bland gruppen med kroniska sjukdomar fanns behov av att ta del av uppgifter under vissa omständigheter. Exempelvis framkom behov av att kunna kontrollera uppgifter, att använda dem för en second opinion eller som grund för att anmäla upplevda fel eller missförhållanden.
Av förstudien framkommer även många andra möjliga behov, exempelvis att
• förstå och känna till sin diagnos och den utredning som är gjord,
• få direkt och snabbare information än i dag,
• kunna vara informationsbärare av sin egen sjukdomshistoria,
• kunna vara journalrevisor och bidra till ökad säkerhet och kvalitet, en medskapare,
• få en pedagogisk förstärkning av ett budskap via journalanteckningar,
• överblicka och förstå kommande vårdinsatser,
• kunna planera sitt liv bättre efter förväntade utredningar och vårdinsatser,
• att kunna se mönster, få en överblick, samt
• att kunna bli mer delaktig i och kunna påverka sin vård, till exempel genom att själv kunna tillföra information om exempelvis mätvärden och egenvårdsinsatser.
Sammanfattningsvis rör det första och största behovet specifika etjänster där journalinformation är en integrerad del av tjänsten tillsammans med exempelvis information från vårdens administrativa system. Det handlar bland annat om att få en samlad bild av sina läkemedel, vaccinationer, provsvar eller möjlighet att följa sina remisser.
Ytterligare ett önskemål gäller möjligheten till en allmän översikt över alla sina vårdkontakter och den relaterande journalinformationen. Här har förstudien funnit att invånare vill se både aktuella och historiska uppgifter för att själv kunna söka fram de uppgifter man vill ta del av. Att enbart visa upp patientjournalen som den ser ut i dag utan att utveckla varken presentationen av innehållet eller kommunikationen kring innehållet anses som mindre värdefullt.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
866
Förstudien visar även att invånare, över internet, vill kunna ta del av loggar över vilka som läst den egna vårddokumentationen.
I den allmänna diskussionen uttrycks ofta en oro för att patienter ska bli oroliga av att läsa sina journaler på nätet. Dels kan det handla om att språket är så svårtillgängligt att det skapar missförstånd, dels om risken för att journalinformationen beskriver något oroväckande som patienten inte känner till och som inte är lämpligt att få veta via internet utan att ha direkt tillgång till vårdpersonalens stöd och råd.
I förstudien framkommer att invånare till viss del har insikt om att informationen som skapas i vården kan vara svårtolkad, men att oron för feltolkningar och obehagliga insikter om hälsan inte verkar vara lika utbredd bland invånare som debatten ibland har gett uttryck för. Det som däremot oroar patienter är att vården skulle börja hålla viss information hemlig om journalen blev tillgänglig på Internet, dvs. att viss information skulle dokumenteras på ett annat ställe. Viss oro finns även för att själva informationen ska bli mer luddig och diffus om vårdpersonal inte vågar uttrycka sig i klartext.
Utöver transparens i informationen är frågor om personlig integritet och sekretess också områden där invånare uttrycker en viss oro över hur journalinformation över nätet kommer att hanteras.
Reflektioner från hälso- och sjukvårdens medarbetare
I förstudien har man även belyst frågorna vårdens perspektiv. Vårdens medarbetare ser både potentiella för- och nackdelar med att patienten får ta del av sin journalinformation över internet. Fördelarna beskrivs som att samarbetet med patienten kan bli mer jämlikt och individanpassat och att informationen kan ge ökad följsamhet och leda till bättre kvalitet på både informationen och på vården.
Som tänkbara nackdelar uppges att patienten kan få tillgång till känslig, och kanske inte helt verifierad information, exempelvis vid provsvar eller röntgenbilder. Oron för detta skulle i sin tur kunna leda till att vårdens medarbetare undviker att anteckna vissa arbetshypoteser, vilket skulle försämra patientsäkerheten.
Andra utmaningar som vårdpersonal ser med att göra journalinformation mer tillgänglig är till exempel att informationen inte är
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
867
pedagogiskt formulerad och därför svårbegriplig för patienten. Vidare har lyfts fram att journalsystemen inte är uppbyggda kring vårdprocesser och uppföljning utan består av en stor mängd uppgifter i kronologisk ordning, som kan vara svårt att ta till sig.
De farhågor som vården framför kring att preliminära uppgifter och arbetshypoteser kan bli synliga för patienten vid fel tillfälle och riskerar att skapa onödig oro har bland annat diskuterats av Sveriges Läkarförbund. Läkarförbundet har föreslagit ett system för rådrum avseende sådana uppgifter, vilket innebär en funktion för att märka vissa informationsmängder så att de inte utlämnas direkt, utan först då ansvarig läkare hunnit bekräfta uppgifterna och haft möjlighet att kommunicera med patienten. Senast efter 14 dagar föreslås rådrummet upphöra och informationen då göras tillgänglig för patienten, om inte ansvarig läkare manuellt har gjort den tillgänglig innan dess.
Några slutsatser från förstudien
Förstudiens slutsats är att patienter och vårdgivare i grunden vill samma sak, dvs. att bidra till och ta del av en så god vård som möjligt. Vården har en insikt om att patienterna vill ta del av den dokumentation som berör dem själva, men vill av olika skäl kunna erbjuda detta under bra och ordnade former. Patienterna har i sin tur en förståelse för vårdens behov av bra arbetsverktyg att dokumentera i, samt att vårdarbetet redan kräver en stor mängd administration som inte bör öka på grund av e-hälsotjänster på området.
I förstudien pekas även på det faktum att en individ sällan är enbart en patient inom hälso- och sjukvården utan samma person har ofta behov av kontakter med andra aktörer som skola, socialtjänst, försäkringskassa, arbetsförmedling, patientföreningar m.fl. De olika aktörerna har ibland behov av att få samlad information om, och kommunicera med varandra och med individen, exempelvis inom ett hälsoärende som innefattar både landstingets vård och kommunal omsorg. Förstudiens bedömning är att individens egna incitament att vara den som äger och ”förmedlar” informationen är starka och kan underlätta informationsöverföringen i vissa situationer.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
868
33.2.6 Hälsa för mig – ett personligt hälskonto
Regeringen har uttalat att patienter och medborgare bör få elektronisk tillgång till sin vårdinformation och ett verktyg som underlättar för den enskilde att engagera sig i sin egen hälsa och hälsoutveckling. Därför har regeringen under 2012 tagit initiativ till att utveckla och erbjuda samtliga invånare i Sverige ett personligt hälsokonto på internet, kallat Hälsa för mig. Det ska ge den enskilde en samlad tillgång till information och andra tjänster som rör deras hälsa. Syftena är bland andra att stimulera till ökat engagemang i den egna hälsan, stärka patientmedverkan i vården, öka patientsäkerheten och skapa förutsättningar för ny innovation på e-tjänsteområdet.
Regeringen skriver i ett informationsblad från den 18 oktober 2012 att ett personligt hälsokonto bedöms vara ett effektivt stöd för den enskilde vid planering, genomförande och uppföljning av livsstilsrelaterade förändringar liksom vid hälso- och sjukvårdsrelaterade händelser. Det personliga hälsokontot kan innehålla listor över förskrivna läkemedel, medicinsk information av olika slag eller information om genomförda vaccinationer. Det kan även innehålla en hälsodagbok där den enskilde kan föra in information om friskvård, egenvård, kostvanor etc. Hälsokontot ska således göra det möjligt för den enskilde att dokumentera och följa sin hälsoutveckling.
En ambition är att den enskilde ska kunna utbyta information med både vårdgivare som personen besökt eller behandlats hos, offentliga organisationer och myndigheter samt marknadens aktörer inom hälsosektorn för friskvårdsinformation som har uppgifter som berör den enskildes hälsa och hälsotillstånd och som kan vara av värde för denna.
Bland annat mot denna bakgrund har regeringen tagit initiativ till ett utvecklingsprojekt som syftar till att etablera en teknisk grundplattform för att utveckla hälsokontot. I det ingår att skapa förutsättningar för offentliga vårdgivare, privata utförare och andra entreprenörer att kunna erbjuda nya interaktiva tjänster.
Hälsa för mig ska kunna användas av alla invånare med bedöms av regeringen bli särskilt viktigt för dem som har stora vård- och omsorgsbehov och deras närstående.
Som en grundläggande förutsättning anger regeringen att den enskilde själv bestämmer vilken information som ska laddas ner och lagras i Hälsa för mig samt även vilken information som man
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
869
eventuellt vill dela med sin vårdgivare eller sina närstående. Hälsa för mig är även tänkt att ge en möjlighet att lämna frivillig information till vården om hälsa och biverkningar samt omdömen som kan användas i kvalitetsregister och i uppföljning och kvalitetssäkring av vården.
Uppdraget att driva utvecklingsprojektet Hälsa för mig har regeringen gett åt eHälsomyndigheten. I myndighetens instruktion anges bland annat att myndigheten ska ”tillhandahålla en elektronisk tjänst som ger enskilda personer möjlighet att i ett personligt hälsokonto kostnadsfritt lagra uppgifter om sin hälsa”.5
33.2.7 Internationell utblick
Även i andra länder har ett antal olika initiativ tagits för att göra patientinformation tillgänglig på Internet och/eller skapa nya vägar för att kommunicera med hälso- och sjukvården. Här ska endast kort nämnas några av de initiativen och vilka erfarenheter de visar.
Min e-journal i Danmark
I Danmark har Min e-journal funnits på nätet för patienter sedan 2007 och användningen har gradvis ökat vartefter att allt fler vårdgivare har anslutit sig. Den danska lösningen bygger på att vårdgivarna och patienterna har tillgång till samma system. Under det första kvartalet 2011 har mellan 50 000 och 60 000 patienter har loggat in på e-journal per månad. Utöver ett antal journaluppgifter kan patienten även ta del av loggar över vilka som har tagit del av journalinformationen.
I den danska lösningen har således både patienter och hälso- och sjukvårdspersonal åtkomst till patientens uppgifter i e-journalen. På sådant sätt liknar det en form av sammanhållen journal som patienten kan läsa och ta del av. Någon möjlighet för patienten att dokumentera uppgifter om sin hälsa finns inte.
Journalinformation som skapas av de hälso- och sjukvårdsaktörer som är anslutna till e-journal publiceras där med 14 dagars fördröjning. Det görs för att göra det möjligt för personal i vården att kontakta en patient om det visar sig att något är allvarligt.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
870
För barn och unga gäller att journalinformation överförs till ejournalen, men att informationen först kan ses när den unge fyller 15 år. Det är inte möjligt för vårdnadshavare att få del av sina barns e-journal. Inte heller är det möjligt för en anhörig till en patient att få tillgång till dennes e-journal.
De danska invånarna når sin e-journal på nätet via webbsidan sundhed.dk, som är en organisation som leds av staten, regionerna och kommunerna. Ansvaret för de informationsmängder som invånarna kan ta del av i e-journalen ligger på respektive region.
Förutom Min e-journal finns andra tjänster på sundhed.dk, som exempelvis ”Mit medicinkort” som ger en överblick över de mediciner den enskilde står på eller ”Mina konsultationer” som ger en överblick över besök hos läkare och annan hälso- och sjukvårdspersonal.
Kaiser Permanente (USA), My Health Manager
Utredningen har besökt Kaiser Permanente för att bland annat få en bild av organisationens informationshantering, vilken i många sammanhang lyfts fram som en förebild på området. Kaiser Permanente är den största icke-vinstdrivande sjukvårdsorganisationen i USA med omkring 9 miljoner medlemmar (patienter). Deras medlemmar har möjlighet att skapa ett konto i tjänsten My Health Manager och där ta del av olika e-tjänster. Inom ramen för My Health Manager kan patienterna välja vårdgivare, använda s.k. säker e-post för att ställa frågor och få svar från sin läkare, förnya recept, se utdrag ur sin patientjournal, se provsvar, läkemedelslista, vaccinationer m.m.
Det är även möjligt att ta del av uppgifter och utföra ärenden åt en anhörig, t.ex. en äldre förälder. För att få en sådan rättighet krävs ett samtycke från den anhörige.
För My Health Manager finns en fastställd administrativ process där den som vill öppna ett konto måste identifiera sig, ta del av information om vad som erbjuds och vad individen kan förvänta sig, godkänna användarvillkor m.m.
Kaiser Permanente kan hittills visa på en rad positiva effekter som möjligheterna i My Health Manager ger. En farhåga hade innan varit att medlemmarna skulle börja ställa en massa frågor via den säkra e-posten och därmed öka belastningen på personalen, men den farhågan har än så länge inte visat sig vara reell. Däremot
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
871
har Kaiser Permanente kunnat visa resultat på minskat antal besök i primärvården samt förbättrat blodtryck och andra värden hos de patienter som använder kontot.
En ytterligare intressant aspekt i sammanhanget är att Kaiser Permanente, trots ett digert utbud av e-tjänster inom My Health Manager, för tillfället inte erbjuder medlemmarna någon form av tjänst för personlig dokumentation.
33.3 Några reflektioner kring informationsflöden och aktörer
Genomgången ovan av olika initiativ och utvecklingsprojekt inom området visar tydligt på att det finns många olika ändamål, aktörer och kommunikationsvägar. Generellt befinner sig individen på olika sätt i navet av informationshanteringen, men personuppgiftsbehandlingen görs av en mängd olika aktörer och för en mängd olika syften.
Vidare kan konstateras att denna typ av invånartjänster som det här är fråga om ger upphov till ett antal olika informationsflöden. Vissa tjänster handlar endast om att göra information tillgänglig, medan andra tjänster även syftar till att inbjuda till kommunikation eller ge individen en möjlighet att självständigt kunna hantera och förfoga över utlämnade uppgifter.
Beroende på vilka aktörer som är inblandade och vilka typer av informationsflöden det är fråga om väcks olika rättsliga frågeställningar, t.ex. om gränser för personuppgiftsansvar eller i frågor om sekretess och hantering av allmänna handlingar. Nedan exemplifieras några av de informationsflöden som det kan handla om i den ökade kommunikationen mellan medborgare och vårdgivare eller mellan medborgare och de som bedriver socialtjänst.
Informationsflöden där individen delges information
En vårdgivare eller den som bedriver socialtjänst kan tillhandahålla information till individen genom elektroniska utlämnanden över internet. Följande exempel kan nämnas.
• Utlämnande av vårddokumentation som exempelvis ordinerade läkemedel, provsvar, diagnoser, journalanteckningar etc.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
872
• Utlämnande av beslut eller anteckningar om de insatser som utförts inom ramen för socialtjänsten.
• Utlämnande av s.k. registerutdrag.
• Utlämnande av logglistor, dvs. dokumentation om den åtkomst som förekommit till individens journaluppgifter.
Ett annat exempel på när individen delges information är när eHälsomyndigheten lämnar ut uppgifter om uthämtade läkemedel ur den s.k. läkemedelsförteckningen. I dag görs sådant utlämnande exempelvis genom en e-tjänst som nås efter inloggning i Mina vårdkontakter.
Motsvarande exempel skulle även kunna gå att finna på områden utanför vård- och omsorgssektorn. Som ett exempel kan nämnas kommunikation från myndigheter som Försäkringskassan, Skatteverket eller Arbetsförmedlingen.
Informationsflöden där individen både delges och delger information
Vårdgivaren eller den som bedriver socialtjänst kan tillhandahålla information till individen och göra det möjligt för honom eller henne att interagera och själv bidra med information genom elektronisk kommunikation. Följande exempel kan nämnas.
• Besvarande av olika former av enkäter i socialtjänsten och hälso- och sjukvården.
• Inrapportering av olika mätvärden, t.ex. för blodtryck eller blodsockervärden.
• Bokning, ombokning och avbokning av tider.
• Inrapportering av självskattning, hälsodeklarationer, livsstilsformulär m.m. inför besök hos en vårdgivare eller utförare.
• Fråge- och svarsfunktioner där medborgare kan skicka en fråga direkt till exempelvis behandlande läkare eller socialsekreterare och få svar.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
873
Informationshantering där individen dokumenterar på eget initiativ och sedan kan delge andra
En grundtanke inom ramen för flera av de i det föregående redovisade projekten och tjänsterna är att individen ska få möjligheter att själv dokumentera och hantera sådan information som individen anser är viktig för sin hälsa och sitt välmående. Det kan exempelvis göras inom ramen för en eller flera tjänster av hälsodagbokskaraktär som alla kan hanteras och lagras på ett och samma ställe. Sådan information kan sedan individen på eget initiativ välja att dela med sig av till andra.
Det kan även gå till på ett sådant sätt att en vårdgivare eller den som bedriver socialtjänst vänder sig till individen med förfrågan om sådana uppgifter som individen ursprungligen dokumenterat på eget initiativ, men som exempelvis vårdgivaren nu visar intresse för och efterfrågar.
Följande exempel kan nämnas på sådan informationshantering där individen kan dokumentera och förvalta uppgifter om sin livssituation och som även kan delas med andra i eller utanför vård- och omsorgssektorn.
• Dokumentation om friskvård, motion och andra hälsofrämjande aktiviteter.
• Dokumentation om kostvanor, alkohol, tobak m.m.
• Dokumentation om sådana receptfria läkemedel som individen tar.
• Dokumentation om välbefinnande, livskvalitet och hälsosituation i stort.
• Dokumentation om arbets- eller studiesituationen, gjorda jobbansökningar etc.
Individens egen lagringsplats
Gemensamt för exemplen ovan, oavsett om det är individen som i första skedet har dokumenterat uppgifter om sig själv för sin egen räkning eller efter uppmaning av en vård- och omsorgsaktör eller om exempelvis en vårdgivare har lämnat ut vårddokumentation till individen, är att individen för eget bruk skulle kunna hantera, samla och lagra den information som skapas. Förutom att informationen
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
874
kommuniceras med en vårdgivare, en utförare i socialtjänsten eller en annan aktör, skulle även individen kunna välja att spara informationen för eget bruk. Att förse individen med de möjligheterna är en av grundtankarna bakom flera av de redovisade utvecklingsprojekten samt regeringens initiativ med det personliga hälsokontot Hälsa för mig.
I stället för att diabetespatienten endast rapporterar in sitt senaste HbA1c-värde genom den e-tjänst vårdgivaren tillhandahåller kan patienten även vilja spara ner den informationen och lagra den tillsammans med annan information, exempelvis i ett personligt hälsokonto eller motsvarande. I en för ändamålet designad e-tjänst i sitt hälsokonto skulle individen sedan kunna få en överskådlig bild, t.ex. genom grafer, över sina blodsockervärden över tiden. Tillsammans med annan viktigt information bildas då ett för individen eget beslutsstöd kring t.ex. diabetessjukdomen. I stort sett motsvarande möjligheter finns redan i dag för de patienter inom reumatologin som använder den tidigare nämnda tjänsten PER, patientens egen registrering.
Motsvarande kan förstås gälla för alla andra exempel där individen antingen får information utlämnad eller själv bidrar med information till vård- och omsorgsaktörerna.
Relevanta aktörer och intressenter
Vi ser i dag en utveckling mot att erbjuda individen en egen lagringsplats för hälsorelaterade uppgifter, vilken på sikt kan bli själva navet för den omfattande informationshantering som görs av olika aktörer för delvis olika ändamål. För att trygga individens behov av integritet och sekretess krävs bland annat att de olika sätten att kommunicera kartläggs, analyseras och tydliggörs. Det finns behov av att identifiera gränsen mellan individens och andra inblandade aktörers personuppgiftsbehandling och personuppgiftsansvar.
De centrala aktörer som vi kan identifiera är, förutom individen själv, offentliga och privata vårdgivare, offentliga och privata verksamheter inom socialtjänsten, leverantörer av e-tjänster riktade till individen samt leverantörer av individens lagringsplats (exempelvis lagringsplatsen Hälsa för mig eller motsvarande). Ytterligare en aktör är eHälsomyndigheten, som i dag är personuppgiftsansvarig för läkemedelsförteckningen som innehåller
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
875
uppgifter om uthämtade läkemedel. Det är tillåtet för myndigheten att elektroniskt lämna ut uppgifter om uthämtade läkemedel till den enskilde individen.
Andra användare än individen kan vara individens ställföreträdare, exempelvis vårdnadshavare, eller närstående. De har också en viktig roll i detta. En vårdnadshavare kan över internet exempelvis vilja kommunicera, hantera och samla information om sina barns kontakter med vårdgivare och utförare i socialtjänsten. En närstående kan även anförtros att göra detta åt exempelvis en äldre förälder eller annan närstående person. Det kan handla om att kunna ta del av sådant som händer i förälderns vardag, t.ex. på sätt som görs i den tidigare nämnda Omsorgsdagboken. Men en närstående kan även ha en mer aktiv roll åt någon i sin närhet, t.ex. att vara den som över internet bokar tider, tar del av provsvar, följer remissgången m.m. för en annan person.
Utöver de centrala aktörerna ovan finns även ett antal tänkbara
intressenter utanför denna sfär. De kan exempelvis vara myndig-
heter som Försäkringskassan och Arbetsförmedlingen. Även forskningshuvudmän och andra kan komma att visa intresse för den information som individen förvaltar. Ytterligare en grupp intressenter kan vara andra individer, t.ex. inom ramen för en patientgruppering eller andra forum i individens sociala och privata sfär.
För att tydliggöra bilden och identifiera de legala ansvarsgränserna behövs en analys av de olika aktörernas syften och roller.
33.4 Kort genomgång av gällande rätt
Den ökade kommunikationen mellan vård- och omsorgsaktörerna och medborgarna behöver ta hänsyn till de legala förutsättningar som finns. Lagstiftningen för utlämnande av uppgifter till individer, vare sig det görs manuellt, med direktåtkomst eller genom annat elektroniskt utlämnande skiljer sig något åt mellan hälso- och sjukvården respektive socialtjänsten. I det följande redovisas en kortfattad genomgång av några grundläggande förutsättningar, som exempelvis individens rätt att ta del av information om sig själv, ifall uppgifter får lämnas ut elektroniskt samt vilka krav på säkerhetsåtgärder som kan behöva uppfyllas.
För frågor om personuppgiftsansvar hänvisas dels till vad som tidigare redovisats i förslagen till hälso- och sjukvårdsdatalag och
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
876
socialtjänstdatalag, dels till våra överväganden längre fram i detta avsnitt. Vidare berörs generella frågor om personuppgiftansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder i kapitel 10 och 25.
33.4.1 Patientens rätt att ta del av sin journal i hälso- och sjukvården
Inom den offentliga hälso- och sjukvården regleras patientens rätt at ta del av sin journal och andra handlingar och uppgifter av tryckfrihetsförordningen, förkortad TF, offentlighets- och sekretesslagen (2009:400), förkortad OSL, samt, vad gäller sättet för utlämnande, patientdatalagen (2008:355) förkortad PDL. För utlämnanden från privata vårdgivare gäller patientsäkerhetslagen (2010:659), förkortad PSL, och patientdatalagen.
Av tryckfrihetsförordningen och offentlighets- och sekretesslagen följer att en patient i princip alltid har rätt att ta del av uppgifter om sig själv. Undantag gäller, enligt 25 kap. 6 § OSL, i förhållande till den vård- och behandlingsbehövande själv om uppgifter om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården och behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne. Om detta undantag inte är tillämpligt ska journalen lämnas ut till patienten och om undantaget är tillämpligt endast för delar av journalen ska journalen lämnas ut i övriga delar.
I 2 kap. 12 och 13 §§ TF anges närmare när och på vilket sätt journalen ska lämnas ut. Av bestämmelserna följer bland annat att ett utlämnande ska göras genast eller så snart som möjligt och att patienten har rätt att få en avskrift eller en kopia av journalen.
För privata vårdgivare gäller enligt 8 kap. 2 § nu gällande patientdatalag att en journalhandling ska på begäran av patienten eller av en närstående till patienten så snart som möjligt tillhandahållas honom eller henne för att läsas eller skrivas av på stället eller i avskrift eller kopia, om inte annat följer av 6 kap. 12 § eller 13 § första stycket PSL. Bestämmelsen i 6 kap. 12 § PSL motsvarar bestämmelsen i 25 kap. 6 § OSL och innebär således att tystnadsplikt gäller i förhållande till patienten själv, om det med hänsyn till ändamålet med hälso- och sjukvården är av synnerlig vikt att uppgiften inte lämnas till patienten.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
877
Av patientdatalagen följer även att frågor om utlämnande av en journalhandling från en privat vårdgivare ska prövas av den som är ansvarig för journalhandlingen. Anser den ansvarige att journalhandlingen eller någon del av den inte bör lämnas ut, ska han eller hon genast med eget yttrande överlämna frågan till Socialstyrelsen för prövning. Med den som ansvarar för journalen avses enligt förarbetena den som enligt föreskrift är skyldig att föra journalen eller se till att journalen förs. Om den som ansvarade för journalen vid behandlingstillfället inte längre tjänstgör, får hans eller hennes efterträdare i verksamheten regelmässigt anses ha övertagit ansvaret för journalen.6
33.4.2 Elektroniskt utlämnande av uppgifter till patienten
Även om patienten har en grundläggande rätt att ta del av sin patientjournal och andra uppgifter har patienten ingen rätt att kräva att uppgifterna ska utlämnas elektroniskt.
För offentliga och privata vårdgivare finns dock möjligheter enligt patientdatalagen att lämna ut uppgifterna på medium för automatiserad behandling. Ett sådant utlämnande kan exempelvis göras genom elektronisk filöverföring, USB-minne eller annat.
Dessutom har i och med patientdatalagen gjorts möjligt för vårdgivare att medge en patient direktåtkomst till sådana uppgifter om den enskilde som får lämnas ut till honom eller henne och som av vårdgivaren behandlas för ändamålet vårddokumentation. Under samma förutsättningar får vårdgivare medge en patient direktåtkomst till s.k. logglistor, det vill säga dokumentation över den åtkomst som förekommit till patientens uppgifter. För att understryka att en sekretessprövning enligt offentlighets- och sekretesslagen och patientsäkerhetslagen är nödvändig i samband med att uppgifter görs tekniskt åtkomliga för patienten anges i patientdatalagen att det är fråga om uppgifter ”som får lämnas ut till den enskilde”.
Patientdatautredningen uppmärksammade några faktorer som eventuellt skulle kunna vara till nackdel för vissa individer ifall vårdgivaren fick möjlighet att medge patienten direktåtkomst.7En sådan faktor var risken för att patienten skulle missförstå informationen och en annan var att det kan finnas risk för att vissa
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
878
patienter utsätts för påtryckningar från t.ex. närstående eller blivande arbetsgivare att visa dem uppgifterna. Ett sätt att begränsa sådana risker var enligt patientdatautredningen att inte göra uppgifterna allt för lätt tillgängliga. I sammanhanget anförde patientdatautredningen bland annat följande.8
Uppgifter om en patient behöver ju inte med automatik finnas tillgängliga för denne via Internet enbart därför att en vårdgivare erbjuder sina patienter möjlighet att få direktåtkomst till patientuppgifter. Tillgängligheten bör istället förutsätta att patienten inledningsvis på något sätt framfört önskemål till vårdgivaren om att få direktåtkomst till sina uppgifter. Denna förutsättning kommer sannolikt även innebära att det framför allt är de lite mer intresserade patienterna som kommer att ha direktåtkomst till sina patientuppgifter. En framställan om ett önskemål förutsätter ju överväganden från den enskildes sida och ett aktivt handlande. Det ger även vårdgivaren tillfälle att informera patienten om t.ex. vart han eller hon kan vända sig för att få hjälp att tyda uppgifterna. För tydlighetens skull kan tilläggas att vår tanke inte är att det skall krävas en formell ansökan från patienten som utmynnar i ett slags tillstånd. Alla patienter som framför önskemål till en vårdgivare som erbjuder sina patienter möjlighet att få direktåtkomst till patientuppgifter ska alltså kunna få sådan åtkomst.
33.4.3 Krav på säkerhetsåtgärder m.m. i hälso- och sjukvården
Med hänsyn till behovet av skydd för den personliga integriteten krävs vissa säkerhetsåtgärder för att vårdgivare ska få lämna ut vårddokumentation till patienter genom utlämnande på medium för automatiserad behandling eller med direktåtkomst.
Det måste exempelvis finnas tillräckligt säkra tekniska lösningar för att säkerställa identiteten, dvs. att den som efterfrågar uppgifter verkligen är den person denne utger sig för att vara. En annan central säkerhetsåtgärd som krävs är att skydda kommunikationen av uppgifterna från insyn, exempelvis genom kryptering, ifall de lämnas ut elektroniskt.
Patientdatautredningen anförde dessutom att det bör finnas tekniska lösningar att spärra uppgifter som inte kan lämnas ut till en patient på grund av att de är sekretessbelagda eller omfattas av tystnadsplikt i förhållande till patienten.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
879
Socialstyrelsens föreskrifter
Förutom att de grundläggande kraven i 31 § personuppgiftslagen (1998:204), förkortad PUL, på organisatoriska och tekniska säkerhetsåtgärder för att skydda personuppgifter, har Socialstyrelsen utfärdat föreskrifter om krav på säkerhetsåtgärder vid kommunikation med enskilda. Av 2 kap. 5 § Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården följer krav på vårdgivare som använder öppna nät (t.ex. internet eller Sjunet) på att ansvara för att det i ledningssystemet finns rutiner som säkerställer att
1. överföring av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna, och
2. åtkomst till patientuppgifter föregås av stark autentisering. Vidare framgår att vårdgivaren i sin informationssäkerhetspolicy får besluta om undantag från kraven i punkten 1 ovan, för överföring till patienter av påminnelser och kallelser till vård och behandling. Ett sådant beslut ska föregås av en behovs- och riskanalys. En överföring av en påminnelse eller en kallelse får dessutom endast göras efter att patienten har gett sitt medgivande. Överföringen får heller inte avslöja detaljer om en patients hälsotillstånd eller andra personliga förhållanden.
I föreskrifterna förtydligas även säkerhetskraven vid enskildas direktåtkomst. Av 2 kap. 13 § följer att vårdgivaren ska säkerställa att en enskilds direktåtkomst till sina patientuppgifter och till dokumentation om åtkomst (logglistor) endast tillåts efter att den enskilde har identifierats genom stark autentisering.
Vidare anges i 14 § samma kapitel att den vårdgivare som medge en enskild direktåtkomst till sina patientuppgifter även ska ansvara för att det finns ett system för bedömning av de uppgifter som kräver ett särskilt skydd i förhållande till den enskilde och som inte ska kunna lämnas ut genom direktåtkomst.
Om vårdgivaren endast medger den enskilde en begränsad direktåtkomst till sina patientuppgifter, ska vårdgivaren informera den enskilde om detta. Vårdgivaren ska även upplysa patienten om vart han eller hon kan vända sig för att få hjälp med att förstå dokumentationen.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
880
33.4.4 Individens rätt till uppgifter om uthämtade läkemedel
Förutom patientens rätt att ta del av uppgifter i sin patientjournal och vårdgivarnas möjligheter att lämna ut uppgifterna genom direktåtkomst eller annat elektroniskt utlämnande har individen även en rätt att ta del av uppgifter om de läkemedel som han eller hon hämtat på apotek.
Enligt lagen (2005:258) om läkemedelsförteckning ska eHälsomyndigheten föra ett register över köp av förskrivna läkemedel (läkemedelsförteckning). Med köp avses även förvärv av läkemedel med fullständig kostnadsreducering.
Läkemedelsförteckningen innehåller bland annat uppgifter om den enskildes namn och personnummer, inköpsdag, vara, mängd och dosering. Den registrerade har enligt lagens 11 § rätt att när som helst få ett s.k. registerutdrag enligt 26 § PUL, dvs. information om de uppgifter om individen som behandlas i läkemedelsförteckningen. Ett sådant utlämnande till individen, av uppgifter om individen själv, får göras antingen manuellt, på medium för automatiserad behandling eller genom direktåtkomst.
En privatperson har i dag möjlighet att få ett utdrag ur läkemedelsförteckningen genom att legitimera sig på ett apotek. För individer som har anslutit sig och skapat ett konto på Mina vårdkontakter finns möjlighet att efter inloggning med elegitimation ta del av sin läkemedelsförteckning. Där presenteras även en lista över de personer som har läst den enskildes läkemedelsförteckning och när detta gjordes.
33.4.5 Individens rätt till information i socialtjänsten
Inom den offentligt drivna socialtjänsten regleras individens rätt att ta del av uppgifter om sig själv av tryckfrihetsförordningen och offentlighets- och sekretesslagen. För utlämnanden från privata utförare av socialtjänst gäller socialtjänstlagen och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS.
Av tryckfrihetsförordningen och offentlighets- och sekretesslagen följer att en individ i princip alltid har rätt att ta del av uppgifter om sig själv.
I 2 kap. 12 och 13 §§ TF anges närmare när och på vilket sätt uppgifter ska lämnas ut. Av bestämmelserna följer bland annat att
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
881
utlämnande ska göras genast eller så snart som möjligt och att individen har rätt att få en avskrift eller en kopia av journalen.
Vidare finns bestämmelser i 11 kap. SoL om handläggning av ärenden. I kapitlets 7 § anges bland annat att dokumentation ska utformas med respekt för den enskildes integritet och att den enskilde bör hållas underrättad om de journalanteckningar och andra anteckningar som förs om honom eller henne.
När det gäller myndighetsutövningen inom socialtjänsten ska bland annat förvaltningslagens (1986:223) bestämmelser om parts rätt att få ta del av uppgifter och underrättelser av beslut tillämpas.
Av 7 kap. 4 § SoL följer att en handling i en personakt i privat verksamhet som står under Inspektionens för vård och omsorg tillsyn ska, om det begärs av individen, så snart som möjligt tillhandahållas för läsning eller avskrivning på stället eller i avskrift eller kopia. Motsvarande bestämmelser finns även i lagen om stöd och service till vissa funktionshindrade.
För socialtjänstens del finns inte någon motsvarande bestämmelse som den för hälso- och sjukvården, om att sekretess i vissa fall kan gälla även gentemot individen själv.
33.4.6 Elektroniskt utlämnande till individen i socialtjänsten
I lagen (2001:454) om behandling av personuppgifter inom socialtjänsten saknas motsvarande bestämmelser som finns i patientdatalagen om utlämnande genom direktåtkomst eller på medium för elektronisk behandling. Lagen hänvisar endast, genom 8 §, att de begränsningar som följer av offentlighets- och sekretesslagen, socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade gäller vid utlämnande av personuppgifter som finns inom socialtjänsten.
Dessa bestämmelser handlar endast om frågan ifall uppgifter får lämnas ut, inte om frågan hur de i sådant fall får lämnas ut. Avsaknaden av bestämmelser innebär inte att det är omöjligt att elektroniskt lämna ut uppgifter i socialtjänsten. Utlämnande av uppgifter på medium för automatiserad behandling är en form av behandling av personuppgifter enligt 3 § PUL, som är tillåten om utlämnandet görs i enlighet med de ändamål som är bestämda för personuppgiftsbehandlingen och att kraven på informationssäkerhetsåtgärder iakttas. Dessutom måste utlämnandet göras med beaktande av bestämmelser om sekretess och tystnadsplikt.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
882
Sammanfattningsvis gäller således att uppgifter i socialtjänsten kan lämnas ut elektroniskt om personuppgiftsbehandlingen som sådan är tillåten samt att det inte föreligger någon sekretessen för uppgifterna. Det innebär att det i praktiken inte föreligger några hinder för socialtjänsten att på begäran av den enskilde lämna ut uppgifter om honom eller henne på medium för elektronisk behandling. Så länge som kraven på informationssäkerhet upprätthålls.
Inte heller kan en avsaknad av bestämmelser som ger den enskilde en möjlighet till direktåtkomst till uppgifter i socialtjänsten anses förhindra att en utförare av socialtjänst medger enskilda just sådan åtkomst. För hälso- och sjukvårdens del fanns innan patientdatalagen en begränsande regel i dåvarande vårdregisterlagen (1998:544), som innebar att endast den som behövde tillgång till uppgifterna för att kunna utföra sitt arbete fick ha direktåtkomst till uppgifterna. Bestämmelsen tolkades av Datainspektionen och domstolar på ett sådant sätt att det inte bedömdes vara möjligt att låta patienten få direktåtkomst till uppgifter om sig själv, eftersom patienten inte kunde sägas behöva uppgifterna för sitt arbete. Någon sådan motsvarande bestämmelse finns däremot inte på socialtjänstens område.
Utredningen ser därför inga rättsliga hinder för socialnämnder eller privata utförare att erbjuda enskilda individer direktåtkomst till uppgifter om sig själv. Detta givetvis under förutsättning att den enskilde är identifierad på ett tillräckligt säkert sätt och att övriga åtgärder för att skydda uppgifterna från obehörig åtkomst har vidtagits.
33.4.7 Krav på säkerhetsåtgärder m.m. i socialtjänsten
Det saknas särskilda bestämmelser om säkerhetsåtgärder i lagen om behandling av personuppgifter inom socialtjänsten. Genom lagens hänvisning till personuppgiftslagen står det dock klart att de grundläggande kraven på organisatoriska och tekniska säkerhetsåtgärder som följer av 31 § PUL gäller för hantering av uppgifter i socialtjänsten.
Av den bestämmelsen och praxis från Datainspektionen har bland annat slagits fast känsliga personuppgifter om hälsa eller personuppgifter som av andra skäl är integritetskänsliga, t.ex. för att de omfattas av sekretess, endast får lämnas ut via öppna nät till
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
883
identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering (exempelvis e-legitimation), engångslösenord eller motsvarande. Dessutom ska personuppgifterna vara krypterade vid överföring.
En följd av detta är att uppgifter från socialtjänsten inte får lämnas ut över internet till den enskilde, med mindre än att uppgifterna är krypterade vid överföringen och att den enskilde kan styrka sin identitet genom stark autentisering. Sådana uppgifter bör i regel, för det fall de inte är att betrakta som känsliga personuppgifter enligt personuppgiftslagen, åtminstone anses vara särskilt integritetskänsliga och därmed särskilt skyddsvärda.
33.5 Våra överväganden och förslag
Den ökade elektroniska kommunikationen mellan aktörer inom hälso- och sjukvård och socialtjänst och enskilda medborgare ger upphov till en rad rättsliga frågeställningar av olika karaktär, som exempelvis rörande personuppgiftsansvar, förutsättningar för direktåtkomst, sekretess och hantering av allmänna handlingar.
Flera av frågorna är inte nya och är delvis redan omhändertagna i lagstiftningen. Samtidigt kan konstateras att den rådande utvecklingen ger upphov till nya frågor om lagstiftningens närmare tillämpning. Vidare kan det finnas skäl att så långt möjligt harmonisera regelverken vad gäller utlämnande av information till enskilda inom socialtjänsten och hälso- och sjukvården.
33.5.1 Direktåtkomst för enskilda i socialtjänsten
Vårt förslag: En bestämmelse i socialtjänstdatalagen ska ange
att den som bedriver verksamhet inom socialtjänsten får medge enskild direktåtkomst till personuppgifter om henne eller honom. Den enskilde får även medges direktåtkomst till dokumentation om åtkomst. Regeringen eller den myndighet som regeringen bestämmer, får meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid enskildas direktåtkomst.
Hänvisning: Ytterligare frågor om den enskildes möjlighet att
förfoga över sin direktåtkomst, t.ex. genom att låta andra ta del av uppgifter om den enskilde, behandlas i avsnitt 33.5.11.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
884
Inom socialtjänstens område saknas uttryckliga bestämmelser om förutsättningarna för att lämna ut uppgifter till enskilda genom direktåtkomst. Nuvarande lag om behandling av personuppgifter inom socialtjänsten hänvisar endast till att de begränsningar som följer av offentlighets- och sekretesslagen, socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade gäller vid utlämnande av personuppgifter som finns inom socialtjänsten. För socialtjänstens del finns inte någon motsvarande bestämmelse som den för hälso- och sjukvården om att sekretess i vissa fall kan gälla även mot individen själv. Utredningen har i genomgången av gällande rätt även konstaterat att nuvarande regelverk, trots avsaknad av uttryckliga bestämmelser om direktåtkomst för enskilda, inte kan anses förhindra en sådan direktåtkomst. Däremot kan en avsaknad av bestämmelser riskera att skapa en osäkerhet för vad som gäller hos dem som ska tillämpa lagstiftningen. Dessutom kan det förhållandet att det för hälso- och sjukvårdens del uttryckligen regleras, ge upphov till en sådan osäkerhet. Mot den bakgrunden finns det skäl att harmonisera lagstiftningarna även i dessa delar.
Utredningens bedömning är även att en tydlig reglering kan utgöra en viktig signal för att stimulera en utveckling av fler etjänster som på olika sätt kan öka servicen och tillgängligheten gentemot invånarna samt stärka den enskildes inflytande och delaktighet i socialtjänsten. Nu när vi föreslår en helt ny socialtjänstdatalag med ett antal olika bestämmelser om utlämnande genom direktåtkomst har även bestämmelser om direktåtkomst för enskilda en naturlig och självklar plats. Sammantaget gör det att vi föreslår bestämmelser på socialtjänstens område som i allt väsentligt överensstämmer med motsvarande bestämmelser i hälso- och sjukvården.
Enligt utredningens förslag ska en enskild kunna medges direktåtkomst till sina egna uppgifter som behandlas av den som bedriver verksamhet inom socialtjänsten. Utredningen ser inte något behov av att införa en skyldighet för den som bedriver verksamhet inom socialtjänsten att tillhandahålla enskild direktåtkomst till uppgifter utan endast en möjlighet till detta. Det finns naturligtvis inget hinder mot att uppgifter om den enskilde även lämnas ut på medium för automatiserad behandling.
Den som bedriver verksamhet inom socialtjänsten ska ha en frihet att själv avgöra om och i vilken omfattning enskilda ska
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
885
erbjudas direktåtkomst. Det behöver således inte röra samtliga uppgifter rörande enskilda utan det kan mycket väl röra sig om avgränsade informationsmängder som exempelvis kontaktuppgifter till socialtjänsten, biståndsbeslut, genomförandeplaner, dokumentation av genomförande av beslutade insatser m.m. Detta innebär att enskilda kan medges direktåtkomst såväl till sådana uppgifter som behandlas i samband med utredningar eller biståndsbedömning som uppgifter som behandlas vid genomförande av beslutade insatser. Även sådana uppgifter som den som bedriver socialtjänst behandlar med stöd av den enskildes samtycke, får lämnas ut genom direktåtkomst.
Enligt den bestämmelse som vi föreslår ska utlämnande genom direktåtkomst endast avse uppgifter om den enskilde själv. Det innebär att det saknas stöd för att till den enskilde lämna ut sådana uppgifter om andra personer som kan återfinnas i socialtjänstens dokumentation rörande den enskilde. Som exempel kan nämnas uppgifter rörande familjemedlemmar, närstående eller andra uppgiftslämnare. Enligt 26 kap. 5 § OSL gäller även sekretess för uppgift i anmälan eller utsaga av en enskild om någons hälsotillstånd eller andra personliga förhållanden, i förhållande till den som anmälan eller utsagan avser, om det kan antas att fara uppkommer för att den som har lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt med om uppgiften röjs. Det innebär att den som bedriver verksamheten alltid måste göra en bedömning om sådana uppgifter finns bland den information som man har för avsikt att lämna ut genom direktåtkomst och om uppgifterna i sådant fall omfattas av sekretess. Med hänsyn till behovet av skydd för uppgiftslämnare och anmälare behöver den som bedriver verksamheten därför ha rutiner som säkerställer att sådana uppgifter inte lämnas ut genom direktåtkomst om de omfattas av sekretess.
Vidare framgår av den föreslagna bestämmelsen att den enskilde får medges direktåtkomst till sådan dokumentation som avser personalens elektroniska åtkomst till den enskildes uppgifter (behandlingshistorik, logglistor). Genom en sådan åtkomst kan den enskilde själv bilda sig en uppfattning om den åtkomst till uppgifterna som förekommit.
Regeringen, eller den myndighet som regeringen bestämmer, bör få meddela föreskrifter om krav på säkerhetsåtgärder som ska gälla vid direktåtkomst. För att den enskilde ska kunna medges direktåtkomst krävs att det finns tillräckligt säkra tekniska lös-
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
886
ningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Det är tänkt att Socialstyrelsen efter samråd med Datainspektionen ska meddela sådana föreskrifter. På hälso- och sjukvårdens område följer krav på säkerhetsåtgärder av Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.
För ytterligare frågor om enskildas möjligheter att förfoga över direktåtkomsten, exempelvis genom att låta någon annan ta del av den enskildes uppgifter genom direktåtkomst, se vidare avsnitt 33.5.11.
33.5.2 Direktåtkomst för patienter och frågan om sekretess mot patienten själv
Vårt förslag: Bestämmelserna i 25 kap. 6 § OSL och i 6 kap.
12 § andra stycket PSL om sekretess och tystnadsplikt gentemot patienten själv ska tas bort.
Patientdatalagens nuvarande bestämmelse om enskildas direktåtkomst till uppgifter om dem själva förs över till hälso- och sjukvårdsdatalagen, men anpassas med anledning av vårt förslag om att ta bort sekretessen mot patienten själv. Vidare tas den nu gällande begränsningen om att patienten endast får medges direktåtkomst till uppgifter som behandlas för ändamålet vårddokumentation bort. Patientens möjlighet att få direktåtkomst till loggar överförs oförändrad från patientdatalagen. På samma sätt som i dag får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid enskildas direktåtkomst.
Hänvisning: Ytterligare frågor om den enskildes möjlighet att
förfoga över sin direktåtkomst, t.ex. genom att låta andra ta del av uppgifter om den enskilde, behandlas i avsnitt 33.5.11
Inledning
Normalt gäller inte sekretess till skydd för en enskild i förhållande till den enskilde själv. I hälso- och sjukvården finns dock bestämmelser i offentlighets- och sekretesslagen samt patient-
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
887
säkerhetslagen som i vissa fall medför att sekretess kan bedömas föreligga även gentemot den enskilde själv. Bestämmelsen i 25 kap. 6 § OSL lyder som följer.
Sekretessen enligt 1–5 §§ gäller i förhållande till den vård- eller behandlingsbehövande själv för uppgift om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne.
Bestämmelsen är ingalunda ny, utan har funnits i sin nuvarande utformning alltsedan ikraftträdandet av 1980-års sekretesslag. I propositionen 1979/80:2 anförs att bestämmelsen bör utformas mycket restriktivt och att det endast i rena undantagsfall bör komma ifråga att en myndighet under hänvisning till en enskildes bästa vägrar den enskilde att ta del av uppgifter om sig själv. Bland annat framgår följande.9
Den förtroendefulla samverkan mellan medicinalpersonal och patient som bör prägla allt vård- och behandlingsarbete kan knappast främjas av en ordning som innebär att det i inte helt obetydlig omfattning är möjligt att vägra patienten att ta del av sin egen behandlingsjournal. Skadeverkningar bör istället i största möjliga utsträckning förebyggas genom att den som gör anteckningar i journalen utformar dessa med beaktande av att patienten kan komma att läsa dem. Enligt promemorian kan det emellertid inte uteslutas att det i undantagsfall kan föreligga ett medicinskt betingat behov av en möjlighet att låta journalsekretessen gälla också i förhållande till patienten själv. En sådan regel bör dock utformas mycket restriktivt. ---- Förutsättningarna för att journalen ska kunna undanhållas en patient har i promemorieförslaget getts en något snävare avgränsning än enligt gällande rätt. Enligt förslaget krävs att det är av synnerlig vikt med hänsyn till vården och behandlingen att uppgiften inte lämnas till patienten. Dessutom gäller att det skall vara fråga om pågående vård eller behandling. En tillfrisknad person skall enligt promemorian inte kunna vägras tillgång till sin journal med den motiveringen att kunskap om dennas innehåll skulle kunna föranleda att han insjuknade på nytt. Enligt promemorian måste det anses vara från principiell synpunkt riktigast att en person som inte är föremål för någon vård eller behandling ges rätt att själv fatta de beslut som kan ha betydelse för hans hälsotillstånd.
För den privata hälso- och sjukvårdens del finns en motsvarande bestämmelse i 6 kap. 12 § andra stycket PSL. Enligt den bestäm-
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
888
melsen gäller tystnadsplikt även i förhållande till patienten själv, om det med hänsyn till ändamålet med hälso- och sjukvården är av synnerlig vikt att uppgiften inte lämnas till patienten. Eftersom bestämmelsen är av samma innebörd som motsvarande bestämmelse i offentlighets- och sekretesslagen talas i det följande endast om den bestämmelsen.
Problembeskrivning
Det kan å ena sidan konstateras att tillämpningsområdet för bestämmelsen om sekretess mot patientens själv är väldigt snävt. Det ska således röra sig om en situation när den enskilde är föremål för pågående vård och där det med hänsyn till ändamålet med den pågående vården och behandlingen är av synnerlig vikt att uppgift om den enskildes eget hälsotillstånd inte lämnas till honom eller henne.
Å andra sidan kan bestämmelsens tillämpningsområde betraktas som mycket vidsträckt när den ställs i relation till användningen av den typ av e-tjänster vi talar om här. E-tjänster som mer eller mindre automatiskt lämnar ut och tar emot uppgifter till och från patienter. Åtminstone teoretiskt kan sekretessbestämmelsen bli tillämplig så fort en vårdgivare lämnar ut aktuella uppgifter om exempelvis provsvar, journalanteckningar, läkemedel, remissvar m.m. till patienter. Detta oavsett om de uppgifter som lämnas ut har påverkan på ändamålet med patientens vård eller behandling. Bara det faktum att uppgifterna kan göra det innebär sannolikt att det krävs rutiner för sekretessprövning i varje enskilt fall.
Från andra sektorer i samhället lämnas i dag sekretessbelagda uppgifter ut till individer genom smidiga elektroniska lösningar över internet. Som exempel kan nämnas Skatteverket och Försäkringskassan. Även de myndigheterna hanterar individinformation som omfattas av sekretess och måste då vid utlämnande göra någon form av sekretessprövning. Prövningen bör dock, till skillnad från vad som gäller i hälso- och sjukvården, i princip kunna begränsas till frågan om den som efterfrågar informationen verkligen är identisk med den som informationen rör. Ur ett sekretessperspektiv blir det viktiga således att säkerställa att ingen annan än den enskilde får uppgifterna utlämnade till sig. En sådan typ av sekretessprövning kan givetvis omsättas i en automatisk elektronisk kontroll, t.ex. genom att villkora ett utlämnande med att den
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
889
som efterfrågar informationen identifierar sig med e-legitimation eller motsvarande lösning för stark autentisering.
För hälso- och sjukvårdens del gäller dock att sekretessprövningen inte enbart ska innefatta kontroller av identiteten hos mottagaren utan även av de omständigheter som kan förhindra ett utlämnande enligt 25 kap. 6 § OSL. Det är något som sannolikt är komplicerat, eller kanske till och med omöjligt, att helt automatisera.
Utredningens uppfattning är att sekretessbestämmelsen gentemot patienten själv kan hindra användningen av effektiv teknik för kommunikation mellan vården och medborgarna. Det är därför nödvändigt, inte minst mot bakgrund av regeringens strävanden att på olika sätt stärka patientens ställning, att analysera om bestämmelsen fortfarande är ändamålsenlig eller om den bör tas bort.
Tillämpningen av sekretessbestämmelsen i dag
Det har inte varit möjligt för utredningen att få fram bred statistik över hur ofta eller i vilka situationer den aktuella sekretessbestämmelsen i själva verket tillämpas i dag. En fingervisning i sammanhanget kan hämtas från den tidigare redogjorda uppgiften från Landstinget i Uppsala län, där man enligt egen uppgift lämnade ut 11 000 journaler under 2011. Fem av dessa journaler gick till chefläkare för bedömning, vartefter beslut om att hemlighålla uppgifter fattades i ett av fallen.
Flera av de enskilda kontakter vi haft med hälso- och sjukvårdspersonal pekar i samma riktning, antingen har man aldrig hört att den tillämpats eller så känner man till ett fåtal gånger när uppgifter har hemlighållits med hänvisning just till denna bestämmelse.
Det har även framkommit att det verkar råda en osäkerhet om hur bestämmelsen ska tillämpas. Bland annat har berättats att bestämmelsen har använts för att inte lämna ut journaluppgifter som har varit formulerade på ett sätt man befarat skulle kunna ha gjort patienten arg, kränkt eller orolig. Det verkar också förekomma en viss sammanblandning mellan den nu aktuella sekretessbestämmelsen och den som ger skydd för uppgiftsutlämnare.
Till stöd för bestämmelsen har genom åren framförts dess betydelse inom psykiatrin. I den allmänna debatten har inte sällan
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
890
sagts att det är nödvändigt att hemlighålla vissa uppgifter för den som lider av svåra psykiska besvär. Annars skulle förutsättningarna för patienters vård- och behandling riskera att försämras, eller att patienter till och med skulle kunna vidta åtgärder som är farliga för dem själva. Vid utredningens kontakter med företrädare för psykiatrin har denna bild däremot blivit ifrågasatt. Tvärtom anförs att en förutsättning för en framgångsrik vård och behandling är ett förtroende och en transparens mellan vårdpersonalen och patienten. Någon generell risk för att det skulle vara farligt för patienter inom psykiatrin att ta del av uppgifter om deras hälsotillstånd bedömer man inte föreligga.
Bestämmelsen bör tas bort
Det är otvetydigt att det finns omständigheter som talar för att bestämmelsen om sekretess mot patienten själv inte bör finnas kvar. Det kan ifrågasättas om den verkligen är ändamålsenlig i en tid när mycket av utvecklingsarbetet går mot att sätta patienten i centrum, utgå ifrån patientens process och på olika sätt stärka dennes ställning i hälso- och sjukvården. En förutsättning för att kunna ge patienten en större insikt i sin hälsosituation och på olika sätt stimulera till att öka patientens delaktighet och inflytande i vården är bl.a. att patienten har tillgång till rätt information. Öppenhet i relationen och kommunikationen mellan vården och patienterna är generellt sett en nödvändig ingrediens i denna utveckling.
Till stöd för att ta bort bestämmelsen kan även tas de överväganden som gjordes i samband med dess införande i 1980-års sekretesslag och som har redovisats ovan. Det uttalades tydligt att bestämmelsen skulle utformas restriktivt och endast tillämpas i rena undantagsfall. De praktiska möjligheterna att tillämpa bestämmelsen på ett sådant sätt är väsentligt förändrade i dag jämfört med tidigare när det var fråga om en manuell informationshantering.
Samtidigt kan det naturligtvis inte uteslutas att det kan uppstå enskilda situationer där ett hemlighållande av uppgifter skulle kunna vara motiverat. Men det är sannolikt att behovet av ett sådant hemlighållande är i det närmaste försvinnande litet. I förarbetena till bestämmelsen anförs inte bara att bestämmelsen bör tillämpas endast i undantagsfall, utan också att skadeverkningar istället bör förebyggas genom att den som gör anteckningar i
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
891
journalen utformar dessa med beaktande av att patienten kan komma att läsa dem. Dessa uttalanden och ställningstaganden gjordes för drygt trettio år sedan, i en tid när patientens ställning i hälso-och sjukvården generellt kan betraktas som betydligt svagare än vad som är fallet i dag. Att patienten kan komma att ta del av uppgifter och att anteckningar i en patientjournal så långt möjligt ska utformas så att patienten förstår dem, får i dag betraktas som självklara och grundläggande förutsättningar.
Vidare är vår uppfattning att det snarare kan finnas behov av att anpassa informationsinsatserna efter patientens aktuella situation och hälsotillstånd än att hemlighålla uppgifterna. Det kan inte uteslutas att det finns en risk att dagens bestämmelse i viss utsträckning kan motverka sådana individuella informationsinsatser genom att istället tillämpa bestämmelsen och ”lägga locket på”. En naturlig utveckling mot en mer patientcentrerad hälso- och sjukvård vore att tillhandahålla individuellt anpassad information i sådana situationer det bedöms påkallat med hänsyn till patientens hälsotillstånd.
I sammanhanget kan även nämnas att motsvarande bestämmelse har funnits i Danmark, men att den togs bort under 2010. Den nuvarande danska bestämmelsen innebär dock att den tidigare sekretessbestämmelsen ska tillämpas på uppgifter som är dokumenterade före den nya bestämmelsens ikraftträdande 2010. En relevant fråga är om den valda lösningen i Danmark, dvs. att uppgifter som där är dokumenterade under en tid med föregående sekretessbestämmelse fortfarande ska omfattas av sekretess och tystnadsplikt, kan vara en lämplig väg att gå även för svensk del. Utredningen har övervägt detta, men funnit att det finns sådana grundläggande skillnader mellan den danska ursprungsbestämmelsen och bestämmelsen i 25 kap. 6 § OSL, att det inte framstår som ett lämpligt alternativ.
Motiven bakom den danska lösningen var framför allt att ta hänsyn till uppgifter som var dokumenterade på ett visst sätt under en tid då det fanns möjlighet att hemlighålla uppgifter för patienten. Bestämmelsen i offentlighets- och sekretesslagen tar dock inte alls tar sikte på hur en uppgift är formulerad, utan endast på att det ska röra en uppgift om hälsotillstånd avseende en patient som är under pågående vård och behandling. Därför gör sig inte samma skäl gällande i Sverige. Det saknas enligt vår uppfattning befogade skäl att låta uppgifter hemlighållas för den enskilde endast på grund av att de är formulerade på ett visst sätt.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
892
Sammantaget gör utredningen bedömningen att risken med att ta bort bestämmelsen väger förhållandevis lätt jämfört med de vinster som skulle uppkomma, såväl vad gäller ökade fundamentala patienträttigheter som möjligheterna för patienter att med effektiva och säkra e-tjänster kunna ta del av för individen viktig information om sitt hälsotillstånd. Många individer förutsätter att det i dag ska gå att hantera uppgifter om hälsa på motsvarande sätt som uppgifter om ekonomi, skatter, socialförsäkringsförmåner osv. Ur ett rent patienträttighetsperspektiv skulle ett borttagande av bestämmelsen ytterligare befästa patientens ställning och dennes rätt till samma information om sig själv som hälso- och sjukvårdspersonalen har. Eftersom bestämmelserna är teknikneutrala skulle ett borttagande föra med sig att det ur ett sekretesshänseende blir oväsentligt om patienten efterfrågar uppgifter muntligt, på papper eller på elektronisk väg. Det går heller inte att bortse ifrån att ett upphävande av bestämmelsen kan komma att ha en positiv inverkan såväl på dokumentationen i hälso- och sjukvården som för vårdens sätt att kommunicera med patienten.
Sammanfattningsvis föreslår utredningen således att bestämmelserna om sekretess och tystnadsplikt gentemot patienten själv i 25 kap. 6 § OSL och i 6 kap. 12 § andra stycket PSL ska upphävas.
Med detta sagt vill vi även understryka att förslaget inte innebär att patienter automatiskt, utan att själva ha efterfrågat det, ska få del av uppgifter från hälso- och sjukvården. Att bestämmelsen tas bort innebär endast att en vårdgivare inte kan neka en patient att ta del av uppgifter om sig själv om patienten begär att få ta del av dem. Vidare påverkar förslaget inte heller frågan om uppgifter ska lämnas ut manuellt, genom direktåtkomst eller på medium för automatiserad behandling. Det står vårdgivare fritt att själv fatta beslut i frågor om tillvägagångssättet för utlämnande. Många gånger bör särskilt utlämnande genom direktåtkomst ge anledning till frågor av etisk karaktär eller till särskilda lämplighetsöverväganden. Det kan exempelvis handla om vårdnadshavare ska få ha direktåtkomst till uppgifter om barn i olika åldrar, om information från vissa särskilt känsliga verksamheter bör undantas från direktåtkomst eller om ett utlämnande genom direktåtkomst ska göras med viss fördröjning. Frågor som dessa är högaktuella redan i dag. Ett upphävande av de aktuella bestämmelserna skulle inte medföra någon skillnad i det avseendet.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
893
Förslaget berör inte frågan om sekretess för uppgiftslämnare m.m.
Utredningens förslag innebär ingen förändring av det gällande regelverket om sekretess till skydd för andra som kan omnämnas i en patientjournal. Enligt 25 kap. 7 § OSL gäller exempelvis sekretess för uppgift i anmälan eller utsaga av en enskild om någons hälsotillstånd eller andra personliga förhållanden, i förhållande till den som anmälan eller utsagan avser, om det kan antas att fara uppkommer för att den som har lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
Det innebär att vårdgivare alltid har att göra en bedömning om sådana uppgifter finns bland den information som avses lämnas ut genom direktåtkomst och om uppgifterna i sådant fall omfattas av sekretess. Med hänsyn till behovet av skydd för uppgiftslämnare och anmälare behöver vårdgivare därför ha rutiner som säkerställer att sådana uppgifter inte lämnas ut genom direktåtkomst om de omfattas av sekretess.
Följdändringar i bestämmelsen om direktåtkomst
Förslaget föranleder även behov av ändrade förutsättningar för vårdgivares möjligheter att lämna ut vårddokumentation genom direktåtkomst till patienter. Av den nuvarande bestämmelsen i 5 kap. 5 § PDL följer att en vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får
lämnas ut till honom eller henne och som behandlas för ändamålet
vårddokumentation. Det kursiverade ska inte föras över till hälso- och sjukvårdsdatalagen utan där ska anges att en vårdgivare får medge en enskild direktåtkomst till uppgifter om den enskilde själv.
Patienten ska kunna ges direktåtkomst till alla uppgifter om patienten
Enligt den nu gällande bestämmelsen i 5 kap. 5 § PDL får en vårdgivare endast ge patienten direktåtkomst till uppgifter som vårdgivaren behandlar för ändamålet vårddokumentation. Det innebär, såvitt vi kan bedöma, att vårdgivare är förhindrade att exempelvis ge patienten direktåtkomst till uppgifter som behandlas för andra ändamål, t.ex. kvalitetssäkring eller verksamhets-
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
894
uppföljning. I ett sådant fall skulle patienten inte kunna få direktåtkomst till uppgifter som patienten själv har bidragit med t.ex. genom att svara på enkäter som inte nödvändigtvis har betydelse för patientens vård och är att hänföra till ändamålet vårddokumentation. Enligt vår bedömning saknas det skäl att begränsa vårdgivares möjlighet att ge patienter direktåtkomst till uppgifter om dem själva. Vi föreslår därför att den nuvarande begränsningen ska tas bort. I hälso- och sjukvårdsdatalagen ska således anges att vårdgivare får ge enskild direktåtkomst till uppgifter om den enskilde själv. På detta sätt kommer möjligheterna att lämna ut uppgifter genom direktåtkomst att motsvara den rättighet till samtliga uppgifter som följer av en begäran om ett s.k. registerutdrag enligt 26 § PUL.
Vidare föreslås att patientens möjlighet att genom direktåtkomst få tillgång till dokumentation om den åtkomst som förekommit till patientens uppgifter (loggar) överförs oförändrad från patientdatalagen till hälso- och sjukvårdsdatalagen. På samma sätt som i dag föreslås även regeringen eller den myndighet som regeringen bestämmer få meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid enskildas direktåtkomst.
33.5.3 Tydlig information och överenskommelser med den enskilde
Vår bedömning: Utlämnanden genom direktåtkomst eller kom-
munikation med enskilda över internet bör föregås av tydlig information och någon form av överenskommelse. Några uttryckliga regler om detta bör dock inte tas in i lagstiftningen.
En grundläggande förutsättning för att enskilda ska känna trygghet med att känsliga personuppgifter om kontakter med hälso- och sjukvården eller socialtjänsten kommuniceras över internet är sannolikt att enskilda får tydlig information om de olika förutsättningarna och säkerhetsåtgärderna som gäller för kommunikationen. För att den enskilde via en e-tjänst ska få information från eller delge information till en vårdgivare eller till en som bedriver socialtjänst bör det även krävas någon form av överenskommelse eller användarkontrakt mellan parterna.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
895
Känsliga uppgifter om hälsa bör, enligt utredningens uppfattning, därför inte kommuniceras över internet om inte individen efter att ha fått närmare information har accepterat vård-och omsorgsaktörens erbjudande om detta. Informationshanteringen på detta område är komplex och innefattar en mängd olika aktörer och en mängd olika ändamål för personuppgiftsbehandlingen. Det är därför inte möjligt att göra en detaljuppräkning av vad informationen ska omfatta, utan det får avgöras efter omständigheterna i det enskilda fallet. Några särskilda regler om krav på information eller överenskommelse mellan enskilda och de personuppgiftsansvariga bör därför inte införas i lagstiftningen. Det saknas även, enligt vår bedömning, anledning att anta att personuppgiftsansvariga inom vård- och omsorgssektorn inte kommer att arbeta aktivt med frågan så att enskilda känner trygghet med hur uppgifter hanteras och skyddas.
På en övergripande nivå anser vi att den personuppgiftsansvarige, i enlighet med de grundläggande kraven på information vid personuppgiftsbehandling, alltid måste informera om den aktuella personuppgiftsbehandlingen. I detta bör, i tillämpliga fall, ingå information om sådant som vilka personuppgifter som behandlas, vad uppgifterna kommer att användas till och vilka säkerhetsåtgärder som är vidtagna. Vidare bör informationen och överenskommelsen belysa eventuellt övriga villkor för användningen av e-tjänsten. Sådana villkor kan t.ex. röra inloggning med stark autentisering och användandet av vissa termer och begrepp.
Den enskilde behöver även information om vad som rent generellt kan förväntas av olika typer av e-tjänster. Sådan information kan exempelvis handla om individens möjligheter att få information förklarad eller förtydligad, om individen får uppgifterna i samma stund som de dokumenteras, om individen kan kontakta den som lämnar ut information med en fråga i direkt anslutning till att informationen lämnas ut etc.
Även när det gäller sådana e-tjänster som möjliggör för individer att delge vård- och omsorgsaktörerna uppgifter, behövs information som tydliggör förväntningar och roller mellan olika aktörer. Utredningens sammantagna bedömning är att det bör finnas någon form av överenskommelse eller användarkontrakt mellan individerna och vårdgivarna eller utförarna i socialtjänsten eller den som tillhandahåller ett hälsokonto.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
896
33.5.4 Begreppet personligt hälskonto – behov av definition?
Vår bedömning: Enligt utredningen bör ett personligt hälso-
konto i första hand definieras som en lagringsplats på nätet, där individen kan välja att för eget bruk lagra och i övrigt fritt hantera information som skapats av individen själv eller någon annan aktör.
Begreppet personligt hälsokonto bör i dagsläget inte definieras i lag, eftersom det är svårt att överblicka konsekvenserna av den rådande utvecklingen och vilka beröringspunkter olika varianter av personliga hälsokonton kommer att kunna ha med andra invånartjänster m.m.
Inledning
Begreppet hälsokonto har genom åren använts, både nationellt och internationellt, utan att det funnits någon egentlig definition eller beskrivning av de faktorer som kännetecknar eller bör känneteckna ett hälsokonto. Definitionen av e-hälsa har blivit mer eller mindre allmängiltig i Sverige och används i dag för att beskriva alla sorts tjänster och system som utvecklas med hjälp av it-baserade tilllämpningar och som möjliggör utveckling av elektroniska patientjournalsystem, telemedicin, personliga kroppsburna och bärbara kommunikationssystem, hälso- och sjukvårdsportaler och många andra it-baserade verktyg som bidrar till sjukdomsförebyggande, diagnos, behandling, hälsoövervakning och råd om levnadsvanor.
I rapporten ”På jakt efter ett eHälsokonto” analyseras frågan om innebörden av ett hälsokonto.10 Författarna anför att i Sverige verkar ett Hälsokonto associeras med en självständig it-baserad lösning (inte kopplat till något journalsystem) som underlättar för vårdgivaren att erbjuda den enskilde patienten administrativa personbaserade tjänster och för patienten att få en enhetlig bild av sin hälso- och sjukvårdsinformation. Genom att öppna ett personligt användarkonto för att elektroniskt få möjlighet att beställa vårdtjänster som vård- och omsorgsproducenterna erbjuder, har individen möjlighet att på egen hand hantera tjänster som inte alltid kräver realtidsinteraktion med vårdgivare, t.ex. boka besök eller ställa korta frågor. Av rapporten framgår även att ett hälsokonto
10 Vimarlund m.fl. På jakt efter ett eHälsokonto, (oktober 2011).
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
897
ska låta användaren registrera livsstilsrelaterad information och dela åtkomsten till informationen med tredje part. Mot denna bakgrund använder författarna följande definition.11
I denna studie definierar vi ett eHälsokonto som ett it-baserat system, exempelvis en portal och/eller en öppen plattform, som kan ha koppling till eller kan interagera med en patientjournal (det kan dock också vara ett självständigt, ej integrerat system) och där den enskilde patienten kan ansvara för att registrera och uppdatera livsstilsrelaterad information (träningsprogram, dieter), egna mätningar (vikt, blodtryck) samt data från externt utförda behandlingar (optikern, kliniker utomlands, alternativmedicinen). Syftet är att ge patienten en helhetssyn av sin egen hälsosituation samt en plattform för effektiv kommunikation med vården. Patienten ska även, om han eller hon så önskar, kunna dela sin information med olika intressenter inom hälso- och sjukvården, anhöriga eller tredje part.
Våra reflektioner
Vi ansluter oss delvis till den definition av begreppet eHälsokonto som används i ovan nämnda rapport. Men vi vill av flera skäl skilja mellan den hantering av uppgifter som görs när t.ex. en vårdgivare lämnar ut information elektroniskt till en individ eller när individen interagerar med en vårdgivare och den hantering som individen själv kan välja att göra i nästa steg, dvs. att lagra eller att inte lagra informationen. Avgörande enligt oss bör således vara möjligheten för individen att lagra information för sin egen räkning. Vi vill därför använda oss av begreppet personligt hälsokonto; ett lagringsutrymme för dokumentation som skapas av individen eller av någon annan, t.ex. en vårdgivare. Med personligt avses i första hand att kontot är privat i den meningen att individen själv bestämmer vad som ska dokumenteras i kontot och vad som ska sparas, raderas eller delas med andra. Benämningen personligt hindrar inte att det på ett sådant konto finns information om andra än individen, t.ex. barn eller andra närstående. Enligt utredningen bör ett personligt hälsokonto definieras som en lagringsplats på nätet, där individen kan välja att för eget bruk lagra och i övrigt fritt hantera information som skapats av individen själv eller någon annan aktör.
En fördel med att skilja lagringsplatsen från själva kommunikationsytan, t.ex. en e-tjänst för tidsbokning eller fråga och svar, är bland annat att det för individen blir tydligt att det är han eller hon
11 Vimarlund m.fl. På jakt efter ett eHälsokonto, (oktober 2011), s. 5.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
898
som avgör vad som sedan ska sparas i dennes hälsokonto. Det innebär exempelvis att en individ är fri att använda olika e-tjänster som vård- och omsorgsaktörerna erbjuder, utan att den information som skapas i dessa tjänster automatiskt sparas utan att den enskilde fattar beslut om det.
Ytterligare en fördel med en tydlig distinktion mellan kommunikationsytan och lagringsytan är att gränsen mellan individens personuppgiftsbehandling och övriga aktörers behandling av personuppgifter tydliggörs. Motsvarande konsekvenser gäller även för de annars komplicerade frågorna om vad som är allmän handling och vad som inte är allmän handling, som skulle kunna uppstå om individen och vård- och omsorgsaktörens hantering inte separerades rent faktiskt.
En utgångspunkt är att all hantering av personuppgifter i det personliga hälsokontot uteslutande är av rent privat natur. En följd av det är bland annat att personuppgiftslagens bestämmelser inte gäller för personuppgiftsbehandlingen i det personliga hälsokontot. När individen däremot väljer att använda information som finns lagrad i hälsokontot och kommunicerar det med en aktör utanför kontot, t.ex. en vårdgivare, ett patientforum, en myndighet etc. kan personuppgiftslagens, och andra registerförfattningar, bli tillämplig på den behandlingen. Dessa frågor berörs mer ingående i avsnitten om personuppgiftsansvar i det följande.
Sammantaget bedömer utredningen att begreppet hälsokonto i nuläget inte bör definieras i lag. Det beror bland annat på svårigheterna att överblicka konsekvenserna av den rådande utvecklingen och vilka beröringspunkter olika varianter av personliga hälsokonton kan komma att ha till övriga invånartjänster m.m. Därutöver bedömer vi att det centrala är att reglera förutsättningarna för själva personuppgiftsbehandlingen och det informationsutbyte som äger rum, oavsett om en viss tjänst är att betrakta som ett hälsokonto eller inte. Det är i dag fullt möjligt för olika aktörer att erbjuda personliga hälsokonton till individer, vilket sannolikt kan komma att medföra att det utvecklas olika typer av hälsokonton eller motsvarande. Även mot den bakgrunden saknas enligt vår bedömning skäl för att definiera begreppet i lag.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
899
33.5.5 Personuppgiftsansvar för vårdgivare och den som bedriver socialtjänst
Vår bedömning: Vårdgivare och den som bedriver verksamhet
inom socialtjänsten är enligt de grundläggande bestämmelserna om personuppgiftsansvar i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen personuppgiftsansvariga för den behandling av personuppgifter som utförs i dess verksamhet och som gör det möjligt för enskilda att ta del av eller lämna uppgifter. Det saknas behov av ytterligare författningsreglering av personuppgiftsansvaret i dessa situationer.
Genomgången ovan visar att kommunikationen av personuppgifter mellan vårdgivare eller den som bedriver verksamhet i socialtjänsten och medborgare förekommer för en rad olika ändamål. Vård- och omsorgsaktörerna kan vara privata eller offentliga och delvis omfattas av olika författningsbestämmelser för informationshantering.
Kommunikationen kan initieras antingen av medborgaren, exempelvis genom en begäran om att få information utlämnad, eller efter att medborgaren accepterat ett erbjudande från vårdgivaren eller från den som bedriver verksamhet inom socialtjänst, exempelvis om att fylla i en enkät om upplevd livskvalitet efter en viss operation eller insats i socialtjänsten. Gemensamt för informationshanteringen är bland annat att det är vårdgivaren eller den som bedriver socialtjänst som tillhandahåller möjligheten för individen att ta del av information eller lämna sådan information som efterfrågas. För den personuppgiftsbehandling som en sådan informationshantering föranleder bör vårdgivaren eller den som bedriver socialtjänst, i enlighet med de grundläggande bestämmelserna om personuppgiftsansvar, anses vara personuppgiftsansvarig.
Enligt vår bedömning innebär det exempelvis att en vårdgivare är personuppgiftsansvarig för den hantering av personuppgifter som äger rum när denne gör det möjligt för patienten att elektroniskt rapportera in sitt blodtryck, svara på en enkät eller fylla i en hälsodeklaration.
I sammanhanget bör förtydligas att den som bedriver verksamhet inom socialtjänst eller är vårdgivare kan anses vara personuppgiftsansvarig för den behandling av personuppgifter som kan komma att göras när individen väljer att elektroniskt delge
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
900
socialtjänsten eller hälso- och sjukvården sådan information som individen själv dokumenterat exempelvis i sitt personliga hälsokonto. För att vårdgivaren eller den som bedriver verksamhet inom socialtjänst ska bli personuppgiftsansvarig bör krävas att denne, precis som anförts ovan, tillhandahåller själva möjligheten för individen att dela med sig av uppgifterna. Det kan exempelvis göras genom en e-tjänst som vårdgivaren har ställt till den enskildes förfogande och utformat efter sitt behov, t.ex. med avseende på terminologi och informationsstruktur, eller av andra skäl valt att använda sig av.
Personuppgiftsansvaret för denna typ av e-tjänster omfattar bland annat att tillräckliga säkerhetsåtgärder är vidtagna. Det innebär exempelvis krav på att uppgifter inte görs åtkomliga över internet utan att mottagaren, dvs. individen, har styrkt sin identitet genom stark autentisering. Dessutom ska uppgifterna skyddas genom kryptering vid överföringen. I personuppgiftsansvaret ingår även sådana åtgärder som skyddar uppgifterna från förlust eller förvanskning under den elektroniska hanteringen. Den personuppgiftsansvarige bör även beakta sådant som har att göra med den egna personalens, och möjligtvis personalens hos ett personuppgiftsbiträde, behov av information, utbildning och rutiner för att hantera aktuella e-tjänster.
Vidare ska erinras om vård- och omsorgsaktörens ansvar för att den information som lämnas ut via en e-tjänst, med hänsyn till bestämmelserna om sekretess och tystnadsplikt, får lämnas ut.
Utredningens sammantagna bedömning är att det föreslagna regelverket om personuppgiftsansvar, som i allt väsentligt överensstämmer med vad som redan gäller i dag, ger tydlig vägledning kring personuppgiftsansvarets fördelning och omfattning.
33.5.6 Personuppgiftsansvar när utlämnade uppgifter lagras i ett personligt hälsokonto
Vår bedömning: Vårdgivare eller den som bedriver verksamhet
i socialtjänsten har i normalfallet inget personuppgiftsansvar för sådan behandling av personuppgifter som förekommer när den enskilde har valt att lagra uppgifter i ett personligt hälsokonto. Det utesluter inte att någon annan kan ha ett personuppgiftsansvar för någon del av en sådan personuppgiftsbehandling.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
901
Om den enskilde, i enlighet med vad som beskrivs i föregående avsnitt, inte endast tar del av uppgifter som exempelvis en vårdgivare lämnar ut utan även väljer att vidta åtgärder för att lagra uppgifterna i ett personligt hälsokonto, väcks nya frågor om personuppgiftsansvaret. Motsvarande situation kan även aktualiseras när den enskilde fyller i en enkät och förutom att kommunicera uppgifterna till vårdgivaren väljer att lagra enkäten och de ifyllda svaren i det personliga hälsokontot. Exempel på en sådan informationshantering skulle även kunna finnas vad gäller patienters inrapportering av mätvärden m.m.
Vi bedömer att i normalfallet bör en personuppgiftsbehandling av detta slag i ett personligt hälsokonto anses falla utanför vårdgivarens personuppgiftsansvar. Vårdgivaren har i en sådan situation varken några befogenheter eller faktiska möjligheter att vidta åtgärder som innebär personuppgiftsbehandling av sådana uppgifter som individen hanterar i sitt personliga hälsokonto.
Denna här bedömningen rör dock endast relationen mellan den enskilde och vårdgivaren eller den som bedriver socialtjänst. Det kan därför inte uteslutas att någon annan kan ha ett personuppgiftsansvar för någon del av den personuppgiftsbehandling som förekommer när enskilda lagrar och hanterar uppgifter i ett personligt hälsokonto. Se vidare frågan om personuppgiftsansvar för den som tillhandahåller ett personligt hälsokonto i avsnitt 33.5.8.
Ytterligare en relevant fråga är när den tidpunkt då personuppgiftsbehandlingen inte längre utförs inom vårdgivarens personuppgiftsansvar inträffar. Svaret på frågan är sannolikt beroende på omständigheterna i det enskilda fallet. Det går därför inte att göra någon generell och entydig bedömning av saken. Det ankommer dock på vårdgivaren att utifrån de faktiska omständigheterna i det enskilda fallet göra en bedömning av personuppgiftsansvarets omfattning och räckvidd. Vårdgivaren har dock, som vi ser det, i normalfallet inget personuppgiftsansvar för den behandling av personuppgifter som individen råder över när uppgifterna väl har kommunicerats till och lagras i det personliga hälskontot. Det utesluter däremot inte att vårdgivaren kan ha ett personuppgiftsansvar för delar av den personuppgiftsbehandling som görs innan dess och som utgör ett led i individens val att lagra uppgifter i det personliga hälsokontot. Motsvarande resonemang gäller även för liknande kommunikation mellan en utförare i socialtjänsten och individen.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
902
33.5.7 Hantering av uppgifter i ett personligt hälsokonto – för privat bruk
Vår bedömning: Sådan hantering av uppgifter som den enskilde
företar i ett personligt hälsokonto bör i normalfallet anses göras som ett led i en verksamhet av rent privat natur och därmed falla utanför personuppgiftslagens, hälso- och sjukvårdsdatalagens och socialtjänstdatalagens tillämpningsområde. Detta under förutsättning att det rör sig om en sådan lagringsyta där den enskilde själv fritt hanterar informationen och förfogar över grundläggande frågor som vilka uppgifter som ska dokumenteras och lagras, hur de ska användas, om de ska raderas m.m. Det finns inget behov av att ytterligare författningsreglera detta.
Den bärande tanken med ett personligt hälsokonto är att det ska vara en lagringsyta där individen fritt kan välja att dokumentera och lagra information exempelvis relaterat till hälsa. Ytterligare en grundläggande förutsättning är att ett personligt hälsokonto är frivilligt även i det avseendet att det är den enskilde själv som fattar beslut om att starta eller avsluta ett hälsokonto.
Uppgifter kan tillföras ett personligt hälsokonto på en mängd olika sätt. Utgångspunkten är dock att det är individen själv som fattar beslut och avgör vilken information som ska lagras och hur länge. Förutom att information kan tillföras av individen själv, t.ex. genom att notera uppgifter, kan individen välja att låta sådana uppgifter som lämnas ut från hälso- och sjukvård eller socialtjänst lagras i hälsokontot.
Om dessa förutsättningar är för handen bedömer utredningen att det handlar om sådan personuppgiftsbehandling som görs som ett led i verksamhet av rent privat natur. Det innebär bland annat att personuppgiftslagens bestämmelser inte gäller för den personuppgiftsbehandling som här beskrivs. En ytterligare förutsättning är naturligtvis att ingen aktör, förutom den enskilde, har befogenheter eller faktiska möjligheter att ta del av personuppgifter och självständigt vidta åtgärder som innebär personuppgiftsbehandling. Detta bedöms även vara en grundförutsättning för att enskilda ska känna trygghet och ha förtroende för att obehöriga och utomstående inte kan ta del av och initiera en behandling av personuppgifter rörande den enskilde.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
903
Även e-delegationen ger stöd för ovanstående resonemang i deras vägledning för verksamhetsutveckling inom eförvaltningen.12
Vidare bedömer utredningen att det saknas skäl att ytterligare författningsreglera den här aktuella frågan om personuppgiftsansvar, eftersom det redan följer av grundläggande bestämmelser i personuppgiftslagen. En specifik författningsreglering bedöms även som i praktiken omöjlig med hänsyn till de olika former av personliga hälsokonton som eventuellt kan komma att utvecklas av olika aktörer.
33.5.8 Personuppgiftsansvar för den som tillhandahåller ett personligt hälskonto
Vår bedömning: Den som tillhandahåller ett personligt hälso-
konto bedöms ha personuppgiftsansvaret för den behandling av personuppgifter som görs för att administrera den enskildes konto och för övergripande frågor om organisatoriska och tekniska säkerhetsåtgärder. Någon ytterligare författningsreglering för att tydliggöra detta bedöms inte behövas.
För det personliga hälsokontot Hälsa för mig bedöms eHälsomyndigheten ha ett personuppgiftsansvar i enlighet med ovanstående.
Den som tillhandahåller ett personligt hälsokonto, eller en motsvarande lagringsyta, har ett ansvar för att hantera den enskildes uppgifter på ett sådant sätt som tillgodoser såväl individens behov av integritetsskydd som krav på en i övrigt ändamålsenlig hantering av viktig information.
Enligt vad som framförts ovan bör personuppgiftsbehandlingen i ett personligt hälsokonto anses utföras för privat bruk. Det innebär att den som tillhandahåller ett hälsokonto inte är personuppgiftsansvarig för den behandling av personuppgifter som görs för privat bruk inom ramen för den enskildes hälsokonto. Med detta menas att den som tillhandahåller hälsokontot åtminstone inte är personuppgiftsansvarig för behandlingen av de uppgifter som hanteras och dokumenteras av den enskilde. För denna
12 E-delegationen, Juridisk vägledning för verksamhetsutveckling inom e-förvaltningen (2013).
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
904
hantering av uppgifter kan den som tillhandahåller kontot knappas anses ha bestämt ändamål och medel. Dessutom ska denne, enligt vad som redovisats ovan, inte heller ha några befogenheter eller faktiska möjligheter att vidta åtgärder som innebär personuppgiftsbehandling i denne del. Jämförelser kan exempelvis göras med en leverantör av e-postkonton.
Enligt vår uppfattning bör den som tillhandahåller ett personligt hälskonto dock vara personuppgiftsansvarig för sådana åtgärder som denne har befogenheter och faktiska möjligheter att påverka, dvs. sådant som rör drift, skötsel och hantering av de olika system, databaser och annat som krävs för att kontinuerligt tillhandahålla hälsokontot. Precis som för vad som gäller vid andra liknande situationer bör den som tillhandahåller ett hälsokonto även vara personuppgiftsansvarig för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder, dvs. för sådana åtgärder som ska vidtas för att skydda de behandlade personuppgifterna.
Enligt 31 § PUL ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärden,
c) de särskilda risker som finns med behandlingen av personuppgifterna, och
d) hur pass känsliga de behandlade personuppgifterna är.
Den som tillhandahåller ett personligt hälskonto ska alltså vidta de tekniska och organisatoriska säkerhetsåtgärder som krävs för att säkra och trygga lagringen av individens känsliga information. Uppgifterna ska exempelvis skyddas från insyn och obehörig åtkomst, men även från förvanskning eller skada. För att den som tillhandahåller kontot med tillräckligt stor säkerhet ska kunna ge rätt person tillgång till rätt personuppgifter ska åtkomsten till uppgifter dessutom alltid föregås av stark autentisering. För att avgöra vilka övriga säkerhetsåtgärder som bör vidtas bör den som tillhandahåller kontot göra en noggrann risk- och sårbarhetsanalys.
Utöver detta bör personuppgiftsansvaret för den som tillhandahåller kontot omfatta den behandling av personuppgifter som kan krävas för att administrera en individs personliga hälsokonto, dvs. hantering av ett begränsat antal grundläggande personuppgifter.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
905
Även e-delegationen anför ett liknande resonemang i den tidigare nämnda vägledningen för e-förvaltningen. Bland annat uttalas följande.13
Den som tillhandahåller ett eget utrymme åt en enskild blir normalt personuppgiftsansvarig för den drift- och säkerhetsrelaterade information som avser den enskildes eget utrymme och i övrigt för att de personuppgifter som behandlas i utrymmet är omgärdade av adekvata säkerhetsåtgärder. Tillhandahållaren blir emellertid inte ansvarig för den nyttoinformation som den enskilde själv för in i sitt utrymme. Detta gäller såväl för utrymmen för en session som för konton och ebrevlådor. Det bör särskilt uppmärksammas att myndighetens personuppgiftsansvar för drift och säkerhet omfattar även nyttoinformationen om ett intrång sker i den enskildes eget utrymme och medför att nyttoinformationen sprids.
Även om e-delegationen utrycker det som om personuppgiftsansvaret omfattar själva informationen och inte behandlingen av personuppgifterna, bör innebörden av resonemanget stämma väl överens med den bedömning vi gör i detta avseende.
Vidare bedömer vi att relationen mellan den som tillhandahåller ett personligt hälsokonto och en individ bör grundas i en överenskommelse, eller något slags användarkontrakt, som tydligt anger förutsättningarna för båda parters hantering av uppgifter för de aktuella ändamålen. Av informationen bör det bland annat tydligt framgå att individen har en, i förhållande till den som tillhandahåller kontot, oinskränkt rätt att hantera uppgifter som lagras i hälsokontot. Det är individen som disponerar över frågor som vad som ska lagras, hur länge det ska lagras och om någon information ska delas med andra. Överenskommelsen bör även tydligt ange att den som tillhandahåller kontot saknar rätt att ta del av individens lagrade information såtillvida det inte i enstaka fall är nödvändigt för att kunna utföra support eller annan administration av hälsokontot.
Det är vidare viktigt att påpeka att den enskilde som ingår en överenskommelse med en leverantör av personligt hälsokonto, inte kan samtycka till en sämre säkerhet än vad som är lämpligt med hänsyn till förhållandena och de personuppgifter som behandlas. För säkerhetsbrister är leverantören skadeståndsskyldig enligt personuppgiftslagen.
13 E-delegationen, Juridisk vägledning för verksamhetsutveckling inom e-förvaltningen (2013) s. 18.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
906
Hälsa för mig
Av eHälsomyndighetens instruktion framgår, som tidigare nämnts, att myndigheten ska tillhandahålla en elektronisk tjänst som ger enskilda personer möjlighet att i ett personligt hälsokonto kostnadsfritt lagra uppgifter om sin hälsa.14 Med anledning av detta och mot bakgrund av vad som redovisats ovan bedömer utredningen att eHälsomyndigheten har ett personuppgiftsansvar i enlighet med ovanstående för den personuppgiftsbehandling myndigheten kommer att utföra i det personliga hälsokontot Hälsa för mig.
33.5.9 Hälsokonto och allmänna handlingar
Vår bedömning: Om den myndighet som tillhandahåller ett
personligt hälsokonto förvarar uppgifterna (handlingarna) om enskilda endast som led i teknisk bearbetning eller teknisk lagring för den enskildes räkning, bör handlingarna i enlighet med 2 kap. 10 § tryckfrihetsförordningen inte anses som allmänna handlingar. Detta förutsätter att den som tillhandhåller det personliga hälskontot inte använder de uppgifter som individer dokumenterar och lagrar för några ändamål i sin egen verksamhet, t.ex. statistikframställning.
eHälsomyndigheten har förutsättningar att tillhandahålla ett personligt hälsokonto utan att handlingar om enskilda blir att anse som allmänna.
Ytterligare en fråga är om det spelar någon roll ifall den som tillhandahåller ett personligt hälsokonto är en myndighet eller en privat aktör. Frågan har särskilt att göra med offentlighetsprincipen och myndigheters hantering av allmänna handlingar. En uppenbar nackdel skulle vara om de personuppgifter en individ dokumenterar och lagrar på sitt personliga hälsokonto skulle kunna begäras ut av någon annan med stöd av principen om allmänna handlingars offentlighet.
Enligt 2 kap. 3 § första stycket TF avses med en handling framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälp-
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
907
medel. En handling är allmän om den för det första förvaras hos en myndighet och för den andra anses som inkommen till eller
upprättad hos en myndighet.
Beträffande upptagningar, t.ex. elektroniskt lagrade uppgifter, gäller som huvudregel att den är förvarad och inkommen till myndigheten när upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas.
Uppgifter som enskilda individer väljer att lagra och dokumentera på en elektronisk lagringsplats som en myndighet tillhandahåller måste mot bakgrund av ovanstående, generellt kunna anses som allmänna handlingar.
Av 2 kap. 10 § TF följer dock att en handling som förvaras hos en myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning inte anses som allmän handling hos den myndigheten. Detta har uppmärksammats av regeringen i samband med utvecklingen av det personliga hälsokontot Hälsa för mig och bildandet av eHälsomyndigheten. I instruktionen för eHälsomyndigheten anges att ”handlingar i ett personligt hälsokonto får endast förvaras hos myndigheten i form av teknisk lagring för enskilds räkning15”. Regeringens avsikt är således att de uppgifter som enskilda väljer att dokumentera och lagra i Hälsa för mig inte ska anses som allmänna handlingar.
Enligt det resonemang som förts i tidigare avsnitt är det individen som bestämmer ändamålen med behandlingen av personuppgifter för sådant som dokumenteras och lagras i ett personligt hälsokonto. Den som tillhandahåller hälsokontot har i detta avseende en osjälvständig roll som innefattar att tillhandahålla en elektronisk lagringsplats och andra förutsättningar som gör det möjligt för en enskild individ att behandla personuppgifter. Utredningen bedömer därför att det generellt finns mycket som talar för att den hantering, som den som tillhandahåller ett personligt hälsokonto gör, endast görs som ett led i teknisk bearbetning och teknisk lagring för en annans räkning. För att detta även ska motsvara de faktiska förhållanden som råder bör ytterligare ett antal förutsättningar vara uppfyllda.
En utmaning i sammanhanget är att bestämmelsen i 2 kap. 10 § första stycket TF är utformad i en tid när den typ av elektroniska
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
908
tjänster som det här är fråga om inte fanns. Men det har utvecklats viss rättspraxis som kan ge vägledning i frågan. Rekvisitet ”endast som ett led i teknisk bearbetning eller teknisk lagring för annans räkning”, i 2 kap. 10 § första stycket TF, innebär sannolikt att den myndighet som tillhandahåller ett personligt hälskonto inte samtidigt får använda uppgifterna för något ändamål i sin egen verksamhet. Frågan har bland annat uppmärksammast i den nyligen överlämnade betänkandet Ett minskat och förenklat uppgiftslämnande för företagen. Utredningen anför exempelvis följande.16
Undantaget i 2 kap. 10 § tryckfrihetsförordningen tar sikte på hela den tid som myndigheten förvarar en handling. Därigenom måste det enligt utredningens analys anläggas en helhetssyn vid bedömning varför myndigheten förvarar handlingen. Har den myndighet som förvarar handlingen även behörighet att exempelvis framställa statistik utifrån innehållet i handlingarna går undantaget inte att tillämpa även om någon statistik ännu inte har framställts.
Motsvarande resonemang finns också i ett antal domstolsavgöranden. I rättsfallet RÅ 1994 ref. 64 hade Högsta förvaltningsdomstolen att ta ställning till om 2 kap. 10 § TF var tillämplig i ett fall där en klagande hade begärt att Riksrevisionsverket skulle lämna ut uppgifter om vilka utbetalningar som olika myndigheter hade gjort till ett visst företag. I målet framkom att en rad myndigheter hade valt att lagra sina ekonomidata i Riksrevisionsverkets datoriserade ekonomisystem. Domstolen fann dock att Riksrevisionsverket inte disponerade över myndigheternas redovisningsdata. I stället var det fråga om en rent teknisk hantering eller lagring av uppgifterna. De handlingar i vilka de begärda uppgifterna förekom var därför inte att anse som allmänna hos Riksrevisionsverket.
I rättsfallet HFD 2011 ref. 52 framkom att databasen i fråga var ett för polismyndigheternas gemensamt webbaserat arbetsskadesystem som administrerades av Rikspolisstyrelsen. Varje polismyndighet hade sina administratörer med behörighet för tillgång till alla lagrade data som rörde den egna myndigheten. Ingen åtkomst förekom mellan polismyndigheterna. Dock hade tre befattningshavare på Rikspolisstyrelsen rikstäckande administratörsbehörighet för att ta fram nationell statistik, lägga in behörigheter, rapportera till Arbetsmiljöverket och bistå polismyndigheterna med hjälp av teknisk natur. Domstolen anförde att i
16SOU 2013:80 s. 153 f.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
909
vart fall användningen för framställning av nationell statistik samt rapporteringen till Arbetsmiljöverket medförde att undantaget i 2 kap. 10 § första stycket tryckfrihetsförordningen för teknisk bearbetning eller lagring inte var tillämpligt.
Mot bakgrund av vad som redovisats ovan bedömer utredningen att undantaget i 2 kap. 10 § TF kan vara tillämpligt med avseende på myndigheter som tillhandahåller ett personligt hälsokonto. För att undantaget ska vara tillämpligt krävs att det ”endast” är fråga om teknisk bearbetning eller lagring för annans räkning. Den som tillhandahåller hälsokontot får därmed inte bereda sig tillgång till och använda personuppgifterna för ändamål i sin egen verksamhet. Enligt vår bedömning innebär det att den som tillhandahåller ett personligt hälsokonto inte får behandla personuppgifterna för exempelvis statistikframställning eller andra sammanställningar. Såvitt vi kan bedöma bör det däremot anses vara möjligt för den som tillhandahåller ett personligt hälsokonto att behandla personuppgifter i den utsträckning det är nödvändigt med hänsyn till att säkerställa den tekniska driften och skyddet för personuppgifterna.
Samtidigt ska förtydligas att sådana handlingar som inkommer till eller upprättas av den som tillhandahåller ett hälsokonto inom ramen för dess begränsade personuppgiftsansvar för administration, skötsel och säkerhetsåtgärder kan komma att utgöra allmänna handlingar.
Hälsa för mig
I enlighet med ovanstående bedömer vi att eHälsomyndigheten har förutsättningar att tillhandahålla ett personligt hälsokonto utan att handlingarna med känsliga uppgifter om enskilda individer ska anses som allmänna. Det förutsätter dock, som ovan redovisats, att myndigheten inte kan använda uppgifterna för ändamål i den egna verksamheten.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
910
33.5.10 Vem kan tillhandahålla ett personligt hälsokonto?
Vår bedömning: Såväl vårdgivare som den som bedriver social-
tjänst bör, under motsvarande förutsättningar som anges ovan, kunna tillhandahålla ett personligt hälsokonto utan att hälso- och sjukvårdsdatalagens eller socialtjänstdatalagens regler m.m. blir tillämpliga på den behandling av personuppgifter som den enskilde fritt förfogar över och utför.
Under vårt arbete har det framkommit att det föreligger en osäkerhet kring frågan om vilken aktör som kan eller bör vara leverantör av ett personligt hälsokonto. Bland annat har Inera inom ramen för den tidigare nämnda förstudien Din journal på nätet gjort bedömningen att en vårdgivare inte kan eller bör vara leverantör för ett personligt hälsokonto. Det har motiverats med att patientdatalagens bestämmelser högst sannolikt skulle äga tillämpning på ett hälsokonto en vårdgivare svarar för. Tolkningen i förstudien innebär bl.a. att vårdgivaren skulle vara personuppgiftsansvarig både för sin egen och för patientens behandling av personuppgifter i hälsokontot, dvs. även den faktiska dokumentationen m.m. av uppgifter som patienten själv förfogar över och utför.
Frågor om personuppgiftsansvar är komplicerade, inte minst i de fall där flera olika aktörer på något sätt är inblandade i olika steg av informationshanteringen. Personuppgiftsbehandlingen i och för ett personligt hälsokonto är ett tydligt exempel på detta. Vi har att göra med en situation där flera olika aktörer hanterar personuppgifter för flera olika ändamål och i flera olika roller. Samtidigt som situationen är komplex är den tydlig på så sätt att i själva hälsokontot är det individen själv som behandlar personuppgifter för ändamål som han eller hon sätter upp. Det är individen själv som avgör vilka personuppgifter som ska behandlas, varför de ska behandlas, hur länge de ska sparas, med vem de ska delas osv. I enlighet med definitionen av personuppgiftsansvarig i personuppgiftslagen är det därmed individen som bestämmer ändamålet med behandlingen. Personuppgifterna behandlas för privat bruk och är undantagen personuppgiftslagens bestämmelser. Denna bedömning, som redovisats ovan i avsnitt 33.5.7 förändras nödvändigtvis inte av det faktum att det personliga hälsokontot tillhandahålls av en vårdgivare.
Den nu gällande patientdatalagen blir, enligt utredningens uppfattning, inte tillämplig eftersom det inte handlar om sådan
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
911
personuppgiftsbehandling som en vårdgivare utför (jfr 2 kap. 6 § PDL) Därmed bör inte patientdatalagen anses bli tillämplig på den faktiska behandling av personuppgifter som exempelvis görs när en individ för sin egen skull för hälsodagbok eller lagrar läkemedelslistor, oavsett om en vårdgivare har tillhandahållit de grundläggande förutsättningarna för lagringen. Den behandling av personuppgifter som den enskilde för sina egna ändamål företar anses därmed inte omfattas av en vårdgivares behandling av personuppgifter inom hälso- och sjukvården (jfr 1 kap. 1 § och 2 kap. 4 § PDL).
I linje med vad som framkommit i det föregående bör vårdgivarens personuppgiftsansvar i denna del därför vara begränsat till den personuppgiftsbehandling som krävs för att administrera det personliga hälsokontot och garantera uppgifternas säkerhet.
Bedömningen ovan förutsätter naturligtvis att vårdgivaren inte har åtkomst till och kan använda personuppgifterna för ändamål i den egna verksamheten. Vid en sådan situation kan bedömningen i frågan om personuppgiftsansvar och i frågan om allmänna handlingar bli annorlunda.
Ovanstående resonemang gör sig enligt utredningen även gällande för det fall en leverantör av ett personligt hälsokonto eller motsvarande är verksam inom socialtjänsten.
33.5.11 Den enskildes möjlighet att förfoga över sin direktåtkomst m.m.
Vårt förslag: I hälso- och sjukvårdsdatalagen och i socialtjänst-
datalagen ska anges att vårdgivare respektive den som bedriver verksamhet inom socialtjänst enligt den enskildes anvisning, får medge en annan fysisk person än den enskilde direktåtkomst till sådana uppgifter och sådan dokumentation som får lämnas ut till den enskilde genom direktåtkomst.
Vår bedömning: Gällande rätt gör det möjligt för enskilda att för-
foga över utlämnade uppgifter, t.ex. genom att medge annan person åtkomst till uppgifter i ett personligt hälsokonto eller låta annan person genom direktåtkomst ta del av uppgifter hos vårdgivare eller hos den som bedriver socialtjänst. För att undanröja de oklarheter som finns i tillämpningen finns dock skäl att, i enlighet med vårt förslag, tydliggöra vad som gäller.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
912
Inledning
Under arbetets gång har frågan väckts om gällande rätt medger att enskilda låter någon annan ta del av den enskildes uppgifter genom den direktåtkomst som exempelvis en vårdgivare erbjuder. Som redovisats i det föregående har patienter i Uppsala en möjlighet att dela ut rättigheter till andra att ta del av vårddokumentation genom direktåtkomst. Det kan exempelvis handla om närstående som hjälper till att stödja familjemedlemmar eller andra nära i sådant som har med hälso- och sjukvård att göra. Den närstående kan exempelvis vara delaktig och behjälplig i den enskildes medicinering och annan egenvård och därmed ha ett behov av att ta del av aktuella uppgifter genom direktåtkomst. Vidare kan det handla om att boka tider, förnya recept, följa en remiss eller helt enkelt att bara ta del av och hålla sig uppdaterad om de journalanteckningar som görs om den enskilde.
Vid utredningens kontakter med patient- och anhörigorganisationer har detta framhållits som en positiv del i den pågående utvecklingen. Med enkel och säker tillgång till aktuell information får närstående bättre möjligheter att bidra till ökad hälsa och livskvalitet för nära och kära. Det kan även vara ett sätt för familjemedlemmar med stora geografiska avstånd mellan varandra, att hålla sig uppdaterade och bevaka den enskildes intressen i sådant som rör hälso- och sjukvårdskontakter. Att patienter och närstående ser ett behov att kunna låta närstående ta del av uppgifter om patienten bekräftas även av den tidigare nämnda förstudien i projektet Din journal på nätet.
Det kan inte heller uteslutas att i framtiden det kommer att utvecklas olika typer av internetbaserad hälso- och sjukvård och socialtjänst, som kan ersätta eller komplettera sådan verksamhet som i dag bedrivs genom fysiska möten. I en sådan internetbaserad verksamhet skulle det kunna uppstå situationer där exempelvis den enskildes familjemedlemmar på olika sätt deltar i verksamheten, t.ex. för att vara en del av och ett stöd för den enskildes vård och behandling. Det kan exempelvis handla om familjebaserad kognitiv beteendeterapi, KBT, där de medverkande kan ha behov av att i ett internetbaserat mottagningsrum ta del av vårddokumentation rörande den enskilde.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
913
Grundläggande avgränsning
Frågan om patientens möjligheter att förfoga över utlämnade uppgifter kan enligt utredningen inte hanteras generellt, utan behöver specificeras utifrån de omständigheter som kan vara aktuella i olika situationer. En situation rör vårdnadshavare och barn. Enligt utredningens bedömning är vårdnadshavare barnets ställföreträdare fram till dess barnet är myndigt. Normalt anses i registerlagstiftningen att ställföreträdaren kan ersätta den enskilde. Datainspektionen har exempelvis i tillsynsbeslut angett att endast den registrerade eller dennes legala ställföreträdare kan lämna ett sådant samtycke som avses i personuppgiftslagen.17Även datalagskommittén ansåg att föräldrar och andra ställföreträdare borde kunna lämna samtycke för den som inte själv kan bli informerad eller kan avge en viljeyttring i saken. Datainspektionen har även godtagit att samtycke för barn lämnas av vuxen medföljare som agerar på vårdnadshavarens uppdrag, exempelvis en mor- eller farförälder.18
Bland annat mot denna bakgrund bedömer vi sammanfattningsvis att patientdatalagens nuvarande bestämmelse inte hindrar att vårdnadshavare tar del av uppgifter om sina barn genom direktåtkomst. Det innebär att vårdhandshavare genom direktåtkomst ska kunna ta del av sina barns vårddokumentation på motsvarande sätt som om uppgifterna hade lämnats ut manuellt. Jämförelsen med den manuella hanteringen tydliggör att vårdnadshavares rättigheter i förhållande till sina barn inte är oinskränkta. Barn kan, beroende på situationen och ålder samt mognad, ha behov av ett visst sekretesskydd gentemot sina vårdnadshavare. Det innebär att sekretessregleringen i offentlighets- och sekretesslagen kan medföra att vårdnadshavare i undantagsfall inte bedöms ha rätt att ta del av viss information om barnet. Sådan information får naturligtvis inte heller lämnas ut genom direktåtkomst.
Ytterligare en situation rör personer med nedsatt beslutsförmåga
som själv inte kan ta ställning i frågor om sekretess och personuppgiftsbehandling. Såvitt utredningen bedömer saknas i dagsläget möjligheter för närstående att generellt få direktåtkomst till uppgifter rörande en person som inte själv kan ta ställning till saken. I motsvarighet till vad som ovan anförts rörande barn har dock en legal ställföreträdare en möjlighet att ta del av den enskildes
17 Datainspektionens beslut 2010-06-29, dnr 1392–2009 och 1512–2009. 18 Datainspektionens beslut 2006-03-30, dnr 84–2006.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
914
uppgifter genom direktåtkomst, naturligtvis under förutsättning att det ingår i ställföreträdarens uppdrag att sörja för den enskilde i frågor som rör hälso- och sjukvård m.m.
Eftersom frågor om ställningen för personer med nedsatt beslutsförmåga utreds av Utredningen om beslutsoförmögna personers ställning i hälso- och sjukvård, socialtjänst och forskningen (S 2012:06), bedömer vi att frågan ligger utanför vårt uppdrag. Samtidigt ska poängteras att det i ovanstående situation inte finns några legala hinder mot att lämna ut uppgifter på medium för automatiserad behandling, om uppgifterna kan lämnas ut med hänsyn till sekretess och utlämnandet i sig görs på ett sådant sätt att kraven på säkerhetsåtgärder uppfylls.
En tredje situation rör personer som är i stånd att själv låta andra, t.ex. en närstående, ta del av uppgifterna genom direktåtkomst. Det kan jämföras med situationer när en patient genom fullmakt ger någon en rätt att ta del av patientuppgifter. I en sådan situation handlar det således om att den enskilde själv vidtar en åtgärd för att göra det möjligt för någon annan att ta del av uppgifterna.
I det följande utgår vi uteslutande från denna situation när den enskilde själv har förmåga att ta ställning till frågor om integritet och sekretess. För att analysera möjligheterna för enskilda att förfoga över utlämnade uppgifter behöver de alternativa tillvägagångssätten identifieras.
Alternativa sätt att elektroniskt förfoga över utlämnade uppgifter
Det finns sannolikt en mängd olika alternativa sätt för en enskild att elektroniskt förfoga över utlämnade uppgifter. Det är inte möjligt att i detta sammanhang inventera och analysera samtliga tänkbara alternativ, utan utredningen har valt att avgränsa bedömningen till de två scenarion som vi ser som mest angelägna att försöka bringa klarhet i. I båda fallen handlar det om den enskildes möjligheter att förfoga över uppgifter som i ett första skede har lämnats ut från hälso- och sjukvården eller socialtjänsten antingen genom direktåtkomst eller på medium för automatiserad behandling. I vissa avseenden kan det ur ett rättsligt perspektiv betraktas som om den enskilde förfogar över sin direktåtkomst, medan det i andra avseenden kan vara fråga om ett vidareutlämnande av uppgifter som har lämnats ut, antingen genom direktåtkomst eller på medium för automatiserad behandling.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
915
Det första alternativet handlar om situationer när den enskilde, efter att själv ha valt att lagra de utlämnade uppgifterna i sitt personliga hälsokonto eller motsvarande, självständigt väljer att dela med sig av uppgifterna till någon annan. Detta kan i sin tur arrangeras på många olika sätt. Ett alternativ är att den enskilde själv vidtar en åtgärd för att skicka uppgifterna till någon annan, t.ex. genom en filöverföring. Ett annat sätt kan vara att den enskilde ger någon annan rättighet att ta del av uppgifterna på motsvarande sätt som gäller för den enskildes egen åtkomst. I en sådan situation kan t.ex. en närstående ta del av uppgifterna samtidigt som uppgifterna är tillgängliga för den enskilde själv. Detta sätt ligger i praktiken väldigt nära vad som beskrivs i det följande om den enskildes möjligheter att låta någon annan få direktåtkomst till den enskildes uppgifter.
Det andra alternativet handlar om situationer när den enskilde förfogar över sin direktåtkomst och låter någon annan få ta del av uppgifterna direkt i det utlämnade systemet, dvs. helt oberoende av en eventuell lagring i ett hälsokonto. Det innebär således att den enskilde låter någon annan få direktåtkomst till den enskildes uppgifter. Den här aktuella situationen kan, i likhet med ovan, beskrivas som om den enskilde ger någon annan en rättighet att ta del av den enskildes uppgifter genom direktåtkomst. Skillnaden jämfört med situationen ovan där den enskilde agerar självständigt inom ramen för sitt personliga hälsokonto måste den enskilde i den här aktuella situationen agera gentemot den som ansvarar för att lämna ut uppgifterna. Den enskilde behöver således kommunicera sin vilja att låta någon annan få direktåtkomst till uppgifterna till den som ansvarar för att utlämnandet görs på ett lagligt sätt. Det kan exempelvis jämföras med situationer när enskilda ger någon annan en fullmakt att begära ut journalhandlingar rörande den enskilde. I en sådan situation behöver fullmakten visas upp för den som ansvarar för utlämnandet så att denne kan göra en bedömning om det är lagligt att lämna ut uppgifterna.
Ett tredje alternativ är naturligtvis att den enskilde låter någon annan ta del av uppgifterna samtidigt som den enskilde själv gör det, t.ex. genom att låta en närstående sitta bredvid, eller att den enskilde helt enkelt låter någon annan använda den enskildes elegitimation för att själv kunna logga in och ta del av uppgifter. Detta sätt kommer inte att beröras annat än som jämförelse till de två alternativa sätten som beskrivits ovan.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
916
Den enskilde bedöms ha möjligheter att förfoga över utlämnade uppgifter som lagras i ett personligt hälsokonto eller motsvarande
Som redovisats ovan i avsnitt 33.5.7 bedömer vi att den enskildes behandling av personuppgifter i ett personligt hälskonto eller motsvarande görs för privat bruk i den meningen att personuppgiftslagens regler inte blir tillämpliga på den enskildes personuppgiftsbehandling. Själva avsikten med ett personligt hälsokonto är att det ska vara individens eget utrymme, där den enskilde självständigt och fritt kan välja att dokumentera och lagra uppgifter. Det innebär enligt vår mening att det står den enskilde fritt att även själv bestämma om någon annan ska få ta del av de uppgifter som den enskilde väljer att lagra i sitt personliga hälsokonto. Vidare ligger dessa åtgärder helt utanför vårdgivarens eller den som bedriver socialtjänsts kontroll. Dessa har varken befogenheter eller faktiska möjligheter att agera i frågor som rör behandling av personuppgifter i den enskildes personliga hälsokonto.
Mot denna bakgrund bedömer vi att det är fullt möjligt för enskilda att låta andra ta del av uppgifter som lämnats ut t.ex. från hälso- och sjukvården eller socialtjänsten och sedan lagrats i ett personligt hälsokonto eller motsvarande. En sådan informationsdelning kan naturligtvis göras på en mängd olika sätt, allt ifrån olika former av filöverföringar till en mer direkt typ av åtkomst. Ett sådant sätt kan vara att den enskilde ger någon annan rättighet och en möjlighet att ”automatiskt” kunna ta del av uppgifterna i samma stund som uppgifterna är tillgängliga för den enskilde själv. Det kan med andra ord beskrivas som att någon annan kan titta in i den enskildes personliga hälsokonto och där ta del av de uppgifter som omfattas av den rättighet den enskilde har delat ut. Detta sätt ligger därmed i praktiken väldigt nära vad som beskrivs nedan om den enskildes möjligheter att låta någon annan får direktåtkomst till den enskildes uppgifter hos en vårdgivare eller hos den som bedriver socialtjänst.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
917
Den enskildes bedöms ha möjligheter att låta någon annan ta del av den enskildes uppgifter genom direktåtkomst hos en vårdgivare eller hos den som bedriver socialtjänst – med det bör tydliggöras i lag
I nuvarande patientdatalagen anges att en vårdgivare får medge en
enskild direktåtkomst till sådana uppgifter om den enskilde själv
som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2. Frågan har väckts om paragrafens lydelse ska anses förhindra att vårdgivare låter någon annan som den enskilde har utsett ta del av uppgifter om den enskilde själv genom direktåtkomst.
Inledningsvis kan konstateras att frågan inte uttryckligen berörs i förarbetena till bestämmelsen. Vare sig i patientdatautredningens betänkande eller i regeringens proposition ges någon direkt vägledning. Däremot uppmärksammar patientdatautredningen att önskemål om direktåtkomst till journaluppgifter har framförts till utredningen från företrädare för ett antal patient- och anhörigorganisationer.19 Patientdatautredningen noterar också att det är fullt möjligt för en patient att genom fullmakt ge t.ex. en anhörig rätt att begära ut journalkopior hos vårdgivaren.
Vidare uttalar regeringen i förarbetena till patientdatalagen att ”direktåtkomst skulle också kunna vara ett sätt att låta journalen följa patienten genom att denne då kan låta en vårdgivare som han eller hon besöker för första gången, ta del av uppgifterna”.20 Även om regeringen inte går närmare in på hur detta skulle kunna tänkas gå till i praktiken, ger uttalandet åtminstone fog för att anse att regeringen bedömde det som fullt möjligt för den enskilde att i en sådan situation förfoga över sin direktåtkomst.
Även om bestämd vägledning saknas i förarbetena är såväl patientdatautredningen som regeringen tydliga med att den enskildes vilja och samtycke ska respekteras. En relevant fråga är därför vilken betydelse den enskildes samtycke kan ha i detta sammanhang. Patientdatautredningen anförde bland annat följande.21
En annan fråga som i ett fall prövats rättsligt är om vårdgivare får ge en patient elektronisk tillgång, direktåtkomst, till personuppgifter om sig själv i ett vårdregister. Fallet rörde ett landsting som avsåg att ge de patienter som ansökte om det elektronisk tillgång till vissa patientjournaluppgifter m.m. (…) Här skall bara anges att länsrätten fann detta stå i strid mot vårdregisterlagen, eftersom den lagen föreskriver
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
918
att endast den som behöver det för att kunna utföra sitt arbete får ha direktåtkomst till ett vårdregister, se 8 § vårdregisterlagen. Vi är emellertid tveksamma till om 8 § vårdregisterlagen bör tolkas som en sådan bestämmelse i nationell lagstiftning som upphäver verkan av att den enskilde registrerade samtycker till en personuppgiftsbehandling; att ge enskilda registrerade direktåtkomst till personuppgifter om sig själva är nämligen att se som en personuppgiftsbehandling i sig. Det är, menar vi, en alltför vidsträckt tolkning av vårdregisterlagen i förhållande till vad som följer av personuppgiftslagens och dataskyddsdirektivets bestämmelser om när personuppgiftsbehandling är tillåten. I sammanhanget kan noteras att frågan inte berördes i vårdregisterlagens förarbeten. (…) Enligt vår uppfattning kan ifrågasättas om det är rimligt att tolka lagstiftning – som syftar till att skydda enskildas personliga integritet – såsom in dubio innebärande ett absolut förbud mot sådan personuppgiftsbehandling som den enskilde registrerade uttryckligen samtycker till eller önskar, ja kanske t.o.m. ställer krav på. Särskilt gäller detta i sådan lagstiftning som, i avsaknad av särbestämmelser, kompletteras av personuppgiftslagens bestämmelser enligt vilka uttryckligt samtycke med något undantag utgör laglig grund för personuppgiftsbehandling. Det sagda menar vi inte bara gäller i fråga om direktåtkomst utan även i fråga om andra bestämmelser i vårdregisterlagen.
Vi delar patientdatautredningens resonemang vad gäller det principiella ställningstagandet att en registrerads uttryckliga samtycke ska anses utgöra laglig grund för personuppgiftsbehandling och att det får inskränkas endast i undantagsfall när det är särskilt motiverat med hänsyn till behovet av integritetsskydd. Ett samtycke gör i princip alltid personuppgiftsbehandling tillåten enligt såväl personuppgiftslagen som dataskyddsdirektivet. Regeringen har även i förarbetena till personuppgiftslagen uttalat att det, när någon har lämnat ett frivilligt samtycke till en viss personuppgiftsbehandling, inte längre finns något integritetsskyddsintresse som gör det befogat att förbjud den behandling som den registrerade och den personuppgiftsansvarige är överens om.22
Patientdatautredningen ansåg att regeringens resonemang var av principiell karaktär och att det hade bäring på personuppgiftsbehandling i hälso- och sjukvården. Mot den bakrunden föreslogs en bestämmelses om betydelsen av patientens samtycke. I patientdatalagen återfinns därför en grundläggande bestämmelse i 2 kap. 3 § som tydliggör att sådan behandling av personuppgifter som inte är tillåten enligt lagen ändå får utföras om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Av paragrafen
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
919
framgår även att det finns ett undantag från den huvudregeln, vilket innebär att en vårdgivare inte ens med den enskildes samtycke kan ta del av uppgifter i system för sammanhållen journalföring för andra ändamål än de som är uttryckligen tillåtna enligt patientdatalagen. Något undantag som skulle begränsa patientens möjligheter att i övriga situationer samtycka till frågor om personuppgiftsbehandling finns däremot inte.
Samtidigt finns skäl att analysera vilken betydelse bestämmelsen i 5 kap. 4 § PDL kan ha i detta sammanhang. Enligt den bestämmelsen gäller att utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. Regeringen motiverade bestämmelsen enligt följande.23
Direktåtkomst är en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter inom hälso- och sjukvården. Det finns därför anledning att genom reglering i patientdatalagen klargöra i vilka fall direktåtkomst får förekomma till personuppgifter som behandlas enligt lagen. Sådant utlämnande bör därför bara få ske i den utsträckning som medges i lag eller förordning.
Någon ytterligare motivering eller vägledning kring bestämmelsen lämnas dessvärre inte av regeringen. Inte heller redovisas hur bestämmelsen ska tillämpas och ställas i relation till bestämmelsen om betydelsen av patientens samtycke i 2 kap. 3 §. Vidare ger inte patientdatautredningens betänkande någon ytterligare vägledning, utan utredningen anför motsvarande motivering som regeringen gör ovan. Samtidigt utesluter patientdatautredningen inte att det på vissa specialområden inom hälso- och sjukvården kan finnas skäl att tillåta ytterligare direktåtkomst än vad utredningen föreslog, men att det får utredas och övervägas i särskild ordning.24
En omständighet som kan tyda på att avsikten med bestämmelsen i 5 kap. 4 § inte varit att generellt inskränka den enskildes möjlighet att samtycka i vissa frågor om direktåtkomst är det ovan redovisade uttalandet från patientdatautredningen angående betydelsen av den enskildes samtycke. Patientdatautredningen anförde, med särskilt fokus på frågan om direktåtkomst, att det kan ifrågasättas om det är rimligt att tolka lagstiftningen som ett absolut förbud mot sådan personuppgiftsbehandling som den enskilde uttryckligen samtycker till eller önskar. Vi delar denna principiella uppfattning.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
920
Men, oavsett hur det inbördes förhållandet mellan 2 kap. 3 § och 5 kap. 4 § PDL tolkas anser vi att den situation som här är för handen handlar om en personuppgiftsbehandling som är tillåten i förhållande till den enskilde. Det innebär, enligt vår bedömning, att personuppgiftsbehandlingen även är tillåten för den som agerar i den enskildes ställe. I enlighet med vad som anfördes inledningsvis är en vårdnadshavare som agerar i sitt barns ställe eller en legal ställföreträdare som agerar i en enskilds ställe, normalt att jämställas med den registrerade (dvs. den enskilde). Dessa kan då få del av den enskildes uppgifter på motsvarande sätt och under samma förutsättningar som gäller för den enskilde själv. En sådan ordning är även möjlig att uppnå i andra sammanhang där den enskilde önskar att någon annan agerar i den enskildes ställe, dvs. när den enskilde exempelvis ger någon annan en fullmakt att vidta åtgärder för den enskildes räkning. Såvitt utredningen bedömer hindrar inte gällande rätt att enskilda genom sitt medgivande, t.ex. genom en fullmakt, ger någon annan befogenhet att ta del av personuppgifter eller vidta åtgärder som leder till personuppgiftsbehandling. Som exempel på detta kan nämnas de fullmakter mellan privatpersoner som eHälsomyndigheten tillhandahåller. Genom en sådan fullmakt kan en enskild ge en eller flera andra privatpersoner fullmakt att för den enskildes räkning t.ex. hämta ut läkemedel, hämta ut information om elektroniska recept, lämna samtycke till personuppgiftsbehandling i högkostnadsdatabasen och till att recept sparas elektroniskt.
Utredningen ser ingen anledning att göra någon annan bedömning när det gäller en enskilds möjligheter att låta någon annan agera i den enskildes ställe i frågor om direktåtkomst till den enskildes personuppgifter. Vi bedömer därför att gällande rätt inte hindrar en enskild att lämna medgivande till någon annan att ta del av den enskildes uppgifter hos vårdgivare eller i socialtjänsten genom direktåtkomst. Med stöd av ett sådant medgivande anser vi att hälso- och sjukvården och socialtjänsten redan i dag kan lämna ut uppgifter genom direktåtkomst till någon som den enskilde utsett.
Samtidigt anser vi att det är viktigt att lagregleringen blir så tydlig som möjligt och att eventuella tillämpnings- och tolkningssvårigheter inte hindrar en önskad utveckling. Utredningen bedömer att enskilda kan ha stor nytta av att ge närstående tillgång till korrekta och aktuella uppgifter som dokumenterats i hälso- och sjukvården och socialtjänsten. Med tillgång till rätt information får
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
921
närstående bättre förutsättningar att bistå i frågor om hälso- och sjukvård och socialtjänst samt ökade möjligheter att bevaka den enskildes intressen.
Mot bakgrund av behoven av ökad tydlighet bedömer vi således att hälso- och sjukvårdsdatalagen och socialtjänstdatalagen bör innehålla bestämmelser som uttryckligen medger att enskilda kan förfoga över sin direktåtkomst.
Närmare om vårt förslag
Vår sammantagna bedömning att enskilda som är i stånd att fatta beslut i de här aktuella frågorna om personuppgiftsbehandling bör kunna förfoga över sin direktåtkomst i den utsträckning som praktiskt görs möjligt av vårdgivare och de som bedriver socialtjänst. Vi föreslår således att det både för hälso- och sjukvårdens och socialtjänstens del tydliggörs att det är tillåtet att lämna ut uppgifter om den enskilde genom direktåtkomst inte bara till den enskilde själv, utan även till någon annan enskild som den enskilde utser. I en sådan situation bedömer vi att den enskilde lämnat medgivande till någon annan att agera i den enskildes ställe.
Även om enskilda redan i dag möjligen kan anses ha en i det närmaste oinskränkt rätt att själv förfoga över den direktåtkomst det handlar om, bedömer vi samtidigt att lagen endast bör tydliggöra vad som ska gälla i den situation som vi har analyserat och motiverat. Av det skälet anser vi att lagstiftningen endast bör tydliggöra möjligheten att låta andra enskilda få direktåtkomst. Genom den begränsningen tydliggörs att lagstiftaren särskilt tagit ställning till att medge en annan enskild, inte t.ex. arbetsgivare eller försäkringsbolag, direktåtkomst till uppgifter hos vårdgivare eller de som bedriver socialtjänst. Vi bedömer även att detta ligger helt i linje med motiven bakom vårt förslag. Den bakomliggande tanken är att det ska vara möjligt för enskilda att låta andra enskilda, t.ex. närstående, som på olika sätt är delaktiga i den enskildes vård och omsorg, ta del av korrekta och aktuella uppgifter på ett ändamålsenligt sätt.
Vidare bedömer utredningen att regleringen i offentlighets- och sekretesslagen medger att en patient på detta sätt släpper på sekretessen mot en annan enskild, t.ex. en närstående. Av 12 kap. 1 § OSL följer att en enskild kan helt eller delvis häva sekretessen som gäller till skydd för honom eller henne. Om en enskild
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
922
eftergivit sekretessen till förmån för någon annan, inte minst om det är en närstående, bör det så långt möjligt respekteras. Det ligger även i linje med de grundläggande kraven i hälso- och sjukvårdslagen (1982:763) och socialtjänstlagen om att verksamheten ska byggas på respekt för patientens självbestämmande och integritet.
En grundläggande förutsättning är, som ovan nämnts, att den enskilde har möjligheter att själv fatta beslut i frågor som rör sekretess och personuppgiftsbehandling. Eftersom direktåtkomst trots allt är en mer integritetskänslig form av utlämnande, bl.a. eftersom tillgången till uppgifter är omedelbar, är det också viktigt att den enskilde i praktiken också tillhandahålls ändamålsenliga möjligheter att vid behov snabbt ändra sin bedömning såväl i sekretessfrågan som i frågan om direktåtkomst. Den enskilde bör därmed enkelt kunna ta tillbaka eller begränsa tidigare gjorda medgivanden till direktåtkomst. I annat fall uppstår risker för integritetsförluster för den enskilde som vill förfoga över spridningen av sina uppgifter genom att ta tillbaka tilldelade rättigheter.
Ur ett praktiskt perspektiv bör det gå att utveckla tekniska lösningar som gör det möjligt för enskilda att förfoga över sin direktåtkomst på sätt som här beskrivits. Medgivandet till personuppgiftsbehandlingen och eftergivandet av sekretessen skulle möjligen kunna konstrueras på så sätt att den enskilde, efter att ha fått information om förutsättningarna för att dela ut dessa möjligheter till andra, loggar in med stark autentisering och anger att medgivandet avser en utpekad person. De närmare tillvägagångssätten för detta bör vara upp till hälso- och sjukvårdens och socialtjänstens aktörer att ta fram och utforma på ett ändamålsenligt och säkert sätt.
Om ovanstående inte skulle vara möjligt kan alternativet befaras bli att enskilda, som inte har ett personligt hälsokonto, låter andra personer använda den enskildes e-legitimation eller motsvarande för att därigenom uppnå samma effekt. Vi bedömer att det finns flera nackdelar med en sådan utveckling. En uppenbar nackdel är självklart att processen i sådana fall inte är lika transparent ifråga om vem som får del av uppgifter om enskilda och hur det närmare går till. Vidare finns ingen möjlighet att i efterhand avgöra om det är patienten själv som tagit del av informationen eller om det i själva verket varit någon annan. Även med tanke på hur elegitimationer i egenskap av värdehandlingar bör hanteras finns betänkligheter med en sådan utveckling.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
923
Även det faktum att den enskilde bedöms ha fulla möjligheter att låta andra ta del av utlämnade uppgifter om de väl lagrats i ett personligt hälsokonto, talar för att det inte bör vara någon skillnad ifall åtkomsten istället ges direkt till system hos vårdgivaren eller den som bedriver verksamhet inom socialtjänst. Det handlar i dessa fall om samma uppgifter och i praktiken även om samma omedelbara tillgång.
Ytterligare en omständighet som talar för att denna möjlighet tydligt bör anges i lagen är att det inte heller kan uteslutas att det i framtiden utvecklas ytterligare varianter på de sätt som är möjliga för en enskild att dela med sig av uppgifter. Den kan exempelvis utvecklas tekniska funktioner som gör det möjlighet för den enskilde att förfoga över utlämnade uppgifter på andra sätt än genom att de först lagras i ett personligt hälsokonto.
925
34 Internationellt informationsutbyte
34.1 Bakgrund
I utredningens uppdrag ingår att analysera och redovisa vilka rättsliga och andra hinder som finns för vårdgivare i Sverige att med en patients samtycke på elektronisk väg lämna ut uppgifter om patienten till vårdgivare i andra länder. Om gällande rätt hindrar sådant uppgiftslämnande ska utredaren lämna författningsförslag som gör uppgiftslämnandet möjligt. Såsom direktiven får förstås, ska analysen omfatta möjligheterna till utlämnande även till länder utanför EES.
I direktiven anges följande som skäl till varför utredningen ges detta uppdrag. Det finns behov av att kunna utbyta personuppgifter mellan länder både när det gäller vårdinsatser och läkemedel. Svenska medborgare kan t.ex. behöva söka vård när de är utomlands eller ha möjlighet att hämta ut recept som förskrivits i Sverige. Samtidigt är förstås den nationella lagstiftningen specifik för Sverige. Det finns därför skäl att utreda vilka rättsliga och andra hinder som finns för vårdgivare i Sverige att på elektronisk väg lämna ut uppgifter om patienter till vårdgivare i andra länder. Utredaren bör beakta det pågående projektet Smart Open Services for European Patients (epSOS), som är ett pilotprojekt för gränsöverskridande vårdtjänster. Syftet är att möjliggöra elektronisk överföring av recept och patientöversikter mellan länder i Europa. För närvarande deltar 23 europeiska länder i projektet.
I föreliggande avsnitt analyseras och redovisas vilka rättsliga och andra hinder som finns för vårdgivare i Sverige att med en patients samtycke på elektronisk väg lämna ut uppgifter om patienten till vårdgivare i andra länder. Vidare analyseras och redovisas vilka rättsliga och andra hinder som finns för E-hälsomyndigheten att med en patients samtycke på elektronisk väg lämna ut uppgifter om patientens läkemedel till apotek i andra länder.
Internationellt informationsutbyte SOU 2014:23
926
34.2 Våra överväganden om elektroniskt utlämnande till vårdgivare i andra länder
34.2.1 Utlämnande med den enskildes samtycke
Vår bedömning:Patientdatalagen (2008:355), offentlighets- och
sekretesslagen (2009:400) samt personuppgiftslagen (1998:204) medger att patientuppgifter med stöd av patientens uttryckliga samtycke lämnas ut till vårdgivare i andra länder.
Inledningsvis kan konstateras att patientdatalagen, förkortad PDL, är tillämplig på den behandling som en vårdgivare gör i samband med utlämnandet av patientuppgifter till en annan vårdgivare.
Frågan är då med vilket stöd i patientdatalagen som ett utlämnande till en annan vårdgivare kan göras. För besvarandet av den frågan ges i utredningens direktiv en särskild förutsättning, nämligen att analysen ska avse den situationen när patienten har lämnat sitt samtycke till den personuppgiftsbehandling som utlämnandet innebär.
Ett samtycke är av betydelse för behandlingens förenlighet med patientdatalagen. I 2 kap. 3 § första stycket PDL framgår att behandling av personuppgifter som inte är tillåten enligt patientdatalagen ändå får göras, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte i de fall som anges i 6 kap. 5 § PDL eller om något annat framgår av annan lag eller förordning.
Enligt förarbetena till 2 kap. 3 § första stycket PDL innebär bestämmelsen att som huvudregel ska gälla att personuppgifter kan samlas in och behandlas för ett ändamål som inte anges i patientdatalagens ändamålsbestämning, se 2 kap. 4 § PDL, om den enskilde har lämnat ett uttryckligt samtycke till detta.1
Beträffande innebörden av ett uttryckligt samtycke sägs i förarbetena att något skriftligt samtycke från den enskilde i och för sig inte fordras, men att det ändå många gånger kan vara lämpligt att ha ett sådant för att förebygga eventuella framtida tvister.2
Vad gäller den närmare innebörden av vad ett uttryckligt samtycke ska anses vara vid tillämpning av patientdatalagen, söker förarbetena ledning i vad som gäller vid tillämpningen av person-
SOU 2014:23 Internationellt informationsutbyte
927
uppgiftslagen, förkortad PUL.3 Enligt 3 § PUL är ett samtycke ”varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne”. Att ett samtycke är uttryckligt, anser Datainspektionen i sin informationsskrift om samtycke innebära att samtycket måste komma till uttryck på ett särskilt tydligt sätt och att konkludent handlande i normalfallet inte är godtagbart när samtycket ska vara uttryckligt. För övrigt gäller även personuppgiftslagen vid sådan behandling av personuppgifter inom hälso- och sjukvården, om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av patientdatalagen.
I 5 kap. 1 och 2 §§ PDL finns hänvisningar till bestämmelser i andra författningar om möjligheten för vårdgivare att lämna ut patientuppgifter inom den allmänna respektive den enskilda hälso- och sjukvården. Bland annat hänvisas där till offentlighets- och sekretesslagen, förkortad OSL, och patientsäkerhetslagen (2010:659), förkortad PSL, som bägge innehåller bestämmelser som är av betydelse för om ett utlämnande får göras.
För uppgifter inom den offentliga hälso- och sjukvården om en enskilds hälsotillstånd eller andra personliga förhållanden, gäller enligt 25 kap. 1 § OSL sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Motsvarande bestämmelse för den enskilda hälso- och sjukvården finns i 6 kap. 12 § första stycket PSL. Vid tillämpning av bestämmelsen kan viss ledning hämtas från motsvarande bestämmelse i OSL.4
Av 12 kap. 2 § första stycket OSL framgår att en enskild helt eller delvis kan häva sekretess som gäller till skydd för honom eller henne, om inte annat anges i offentlighets- och sekretesslagen.
Vår sammanfattande bedömning
Utredningens sammanfattande bedömning är att varken patientdatalagen, offentlighets- och sekretesslagen eller personuppgiftslagen hindrar ett utlämnande med patientens uttryckliga samtycke av patientuppgifter till en annan vårdgivare. Men i person-
3Prop. 2007/08:126 s. 64. 4 Socialstyrelsens vägledning Sekretess och tystnadspliktsgränser i socialtjänsten och hälso- och sjukvården s. 18.
Internationellt informationsutbyte SOU 2014:23
928
uppgiftslagen ställs vissa krav som måste vara uppfyllda för att det ska anses vara frågan om ett uttryckligt samtycke, som kan utgöra laglig grund för behandling av känsliga personuppgifter.
34.2.2 Elektroniskt utlämnande på medium för automatiserad behandling till andra länder
Vår bedömning:Patientdatalagen, offentlighets- och sekretess-
lagen samt personuppgiftslagen medger att patientuppgifter med stöd av patientens uttryckliga samtycke lämnas ut på medium för automatiserad behandling till vårdgivare i andra länder. Samtidigt ställs i patientdatalagen och personuppgiftslagen m.m. tydliga krav på hur ett sådant utlämnande ska gå till för att vara lagligt.
Frågan är då om gällande rätt tillåter att en vårdgivare på elektronisk väg lämnar ut uppgifter om patienten till vårdgivare i andra länder.
I 5 kap. 6 § PDL anges att om en personuppgift får lämnas ut, får det göras på ”medium för automatiserad behandling”. Uttrycket används för att skilja den nämnda formen för elektroniskt utlämnande från den form som i allmänhet kallas för ”elektronisk åtkomst” eller ”direktåtkomst”. För denna sistnämnda form av elektronisk utlämnande, har i patientdatalagen skapats en särskild term – ”sammanhållen journalföring”.
Med medium för automatiserad behandling avses enligt förarbetena följande.5
…förenklat uttryckt, elektroniskt utlämnande utan möjlighet för mottagaren att själv bereda sig tillgång till uppgifterna t.ex. genom användning av e-post, utlämnande på cd-rom eller genom filöverföring från ett datorsystem till ett annat. Vid denna typ av utlämnande fattas ett beslut om överföring av den som lämnar ut uppgifterna. Som regel innefattar denna typ av utlämnande att informationen lämnas ut i en form som medför att mottagaren kan bearbeta informationen. Bearbetningsmöjligheterna är dock inte avgörande för om det är fråga om ett utlämnande på automatiserat medium eller inte. Som exempel kan anföras att då en låst elektronisk handling skickas som bilaga i epost eller om en cd-rom lämnas ut med lagrad information och kvalificerat kopieringsskydd är det enligt regeringens uppfattning fråga om ett utlämnande på medium för automatiserad behandling. Till
SOU 2014:23 Internationellt informationsutbyte
929
skillnad från elektronisk åtkomst och direktåtkomst sker vid annat utlämnande på medium för automatiserad behandling en prövning i varje enskilt fall av om uppgifterna kan lämnas ut eller om exempelvis sekretessbestämmelser utgör hinder för utlämnande.
I utredningen är den situationen aktuell, att patientuppgifterna lämnas ut till en vårdgivare i annat land. När det gäller elektroniskt utlämnande på medium för automatiserad behandling, gör det ingen skillnad i patientdatalagens mening. Det innebär att så länge kraven för ett sådant utlämnande är uppfyllda, spelar det i princip ingen roll vem som är mottagare av uppgifterna, det kan röra sig som om en vårdgivare, privatperson eller annan typ av verksamhet än hälso- och sjukvård.
Säkerhetsåtgärder
Ett elektroniskt utlämnande på medium för automatiserad behandling får dock endast göras om tillräckliga och i lag och föreskrift föreskrivna säkerhetsåtgärder vidtas vid den behandling som utlämnandet innebär.
Kraven på säkerhetsåtgärder framgår av flera bestämmelser – av 4 kap. patientdatalagen, av Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården och av personuppgiftslagen.
I 2 kap. 5 § nämnda föreskrifter anges exempelvis att om vårdgivaren använder ett öppet nät, såsom Internet eller Sjunet, för att lämna ut patientuppgifter, ska vårdgivaren ansvara för att det i ledningssystemet finns rutiner som säkerställer att överföring av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna, och att åtkomst till patientuppgifter föregås av stark autentisering. Liknande krav framgår även av Datainspektionens allmänna råd om säkerhet för personuppgifter.
Överföring till tredje land
Patientdatalagen innehåller inga särskilda bestämmelser om överföring av personuppgifter till andra länder. Som framgått ovan, gäller förutom patientdatalagen även personuppgiftslagen när personuppgifter behandlas inom hälso- och sjukvården (så länge
Internationellt informationsutbyte SOU 2014:23
930
inte annat följer av patientdatalagen eller av föreskrifter som meddelats med stöd av patientdatalagen).
Personuppgiftslagen hindrar inte att personuppgifter förs över till länder inom EES. Till länder utanför EES-området (vilka i personuppgiftslagen benämns ”tredje land”) gäller dock enligt 33 § PUL ett principiellt förbud för överföring, men med en rad undantag. Bland annat är överföring till tredje land möjlig enligt 34 § PUL om den registrerade har lämnat sitt samtycke till överföringen. För att vara giltigt i detta sammanhang, måste det vara tydligt att samtycket avser just överföring av den registrerades personuppgifter till tredje land.
Rekommendationer föranledda av epSOS
Bestämmelserna i patientdatalagen och personuppgiftslagen ska tillsammans med de föreskrifter som meddelats med stöd av dessa lagar, genomföra EU:s dataskyddsdirektiv när det gäller behandling av personuppgifter inom hälso- och sjukvården. Vid en analys av vilka krav som bör ställas på ett elektroniskt utlämnande av uppgifter från hälso- och sjukvården, bör därför den praxis som utbildats på EU-gemensam nivå beaktas.
För att dataskyddsdirektivet ska tillämpas på ett enhetligt sätt i medlemsstaterna har man bildat den s.k. Artikel 29-gruppen. Gruppen består av, bland andra, en företrädare för varje nationell tillsynsmyndighet i EU-medlemsstaterna.
Artikel 29-gruppen har lämnat vissa rekommendationer beträffande just överföring av personuppgifter om hälsa och läkemedel, såsom den är tänkt att göras inom ramen för det s.k. epSOSprojektet. EpSOS (European Patients Smart Open Services) är ett pågående projekt för gränsöverskridande vårdtjänster. Syftet med epSOS är att möjliggöra elektronisk överföring av recept och patientuppgifter från hälso- och sjukvården mellan länder i Europa. Efter att på en övergripande nivå ha granskat epSOS, lämnade Artikel 29-gruppen i januari 2012 en rad olika rekommendationer i syfte att vägleda projektet när det gäller tillämpningen av de viktigaste principerna i dataskyddsdirektivet.
Rekommendationerna handlar både om behandlingens laglighet som om vilka säkerhetsåtgärder som är nödvändiga. Eftersom rekommendationerna är generellt hållna, är de relevanta för alla
SOU 2014:23 Internationellt informationsutbyte
931
system för överföring av känsliga personuppgifter såväl inom som utanför EES.
För det som i detta sammanhang är av intresse, rekommenderar Artikel 29-gruppen i huvudsak följande.
• Behandlingen av uppgifter om hälsa måste ha en tydlig laglig grund. Ett samtycke i två steg kan vara en sådan laglig grund, när det saknas annan laglig grund såsom stöd i författning. (Det första samtycket som inhämtas avser att patientens uppgifter görs tillgängliga inom epSOS-systemet och det andra samtycket avser tillfället när en vårdgivare eller ett apotek får faktisk åtkomst till patientens uppgifter).
• Behandlingen av personuppgifter ska vara strikt begränsad till det minimum som är nödvändigt för att uppfylla epSOS syften, vilka måste vara särskilda, uttryckliga och legitima.
• För att säkerställa att uppgifterna inte sparas längre än nödvändigt i epSOS-systemet, bör en maximal lagringstid fastställas och likaså en gemensam rutin för som vad skall hända med uppgifterna i slutet av lagringsperioden.
• Varje sökning efter personuppgifter som är tillgängliga via epSOS måste föranledas av ett verkligt behov av tillgång till specifik information om den vård eller behandling som ska ges eller det läkemedel som ska förskrivas eller dispenseras i ett särskilt fall.
• En hög IT-säkerhetsnivå är nödvändig i epSOS. Särskilt följande åtgärder och överenskommelser är nödvändiga för att fullt ut beakta de säkerhetsprinciper som följer av dataskyddsdirektivet och av de särskilda riskerna i samband med behandlingen av personuppgifter i epSOS-systemet: - All personal som genomför projektet ska ges tydliga, skriftliga instruktioner om hur de ska använda epSOSsystemet i syfte att förhindra säkerhetsrisker och brott. - Lämpliga åtgärder ska vidtas vid användning av lagrings-och arkiveringssystem för patientöversikten och e-recepten för att skydda data mot obehörig åtkomst, stöld och partiell eller total förlust av lagringsmedia.
Internationellt informationsutbyte SOU 2014:23
932
- För dataöverföringen måste säkra kommunikationsprotokoll
och punkt-till-punkt-kryptering (”end-to-end-encryptation”) användas som baseras på krypteringsstandarder för en säker elektronisk kommunikation. - Särskild uppmärksamhet måste ägnas åt att anta ett pålitligt
och effektivt elektroniskt identifieringssystem som ger stark autentisering (av både anställda och patienter). - Systemet måste på ett korrekt sätt kunna registrera och
spåra de enskilda verksamheter som tillsammans utgör den totala databehandlingen. - Obehörig åtkomst till data och/eller förändringar av data
ska förhindras när back-up uppgifter överförs och/eller lagras (t.ex. med hjälp av kryptering). - När det gäller e-receptsystemet, bör ytterligare åtgärder
sättas in för att säkerställa att apoteksaktörer bara kan komma åt elektroniska recept för att tillhandahålla de läkemedel som förskrivits. - Varje åtkomst som görs i nödsituationer ska loggas och
granskas.
• Alla personuppgiftsansvariga som behandlar uppgifter inom ramen för epSOS-projektet måste ge de registrerade rätt till tillgång till och rättelse/radering/blockering av deras egna uppgifter.
I sammanhanget kan noteras att Sverige inom ramen för epSOSsamarbetet i dagsläget tillämpar just ett sådant samtycke i två steg som artikel 29-gruppen rekommenderar.
I övrigt kan beträffande epSOS-projektet sägas att det involverar elektronisk överföring av patientuppgifter mellan vårdgivare och mellan apoteksaktörer i olika länder. Utredningen har dock inte klarlagt om överföringen utförs genom direktåtkomst eller genom det som i svensk lagstiftning benämns ”på medium för automatiserad behandling”. Det bedöms inte ligga inom ramen för vårt uppdrag.
SOU 2014:23 Internationellt informationsutbyte
933
Vår sammanfattande bedömning
Sammanfattningsvis kan konstateras att såväl patientdatalagen som personuppgiftslagen och offentlighets- och sekretesslagen gör det möjligt för vårdgivare att med en patients uttryckliga samtycke på elektronisk väg lämna ut uppgifter om patienter till vårdgivare i andra länder, på det sätt som i patientdatalagen benämns utlämnande på medium för automatiserad behandling.
Likaså kan konstateras att det i patientdatalagen, i författningar som meddelats med stöd av patientdatalagen, i personuppgiftslagen och i dataskyddsdirektivet såsom det uttolkats av Artikel 29gruppen, ställs tydliga krav på hur ett sådant utlämnande ska gå till för att vara lagligt.
34.2.3 Får ett elektroniskt utlämnande göras genom direktåtkomst?
Vår bedömning:Patientdatalagen, offentlighets- och sekretess-
lagen samt patientsäkerhetslagen hindrar en vårdgivare från att lämna ut uppgifter om en patient till vårdgivare i andra länder genom direktåtkomst, även om patienten har lämnat sitt uttryckliga samtycke till utlämnandet.
Som framgår ovan får ett utlämnande göras på medium för automatiserad behandling till länder såväl inom som utanför EES, om kraven i här aktuell lagstiftning är uppfyllda, dvs. att det finns ett uttryckligt samtycke (och ingen annan sekretess gäller som den enskilde inte kan efterge) samt att den elektroniska överföringen görs på ett tillräckligt säkert sätt som uppfyller de krav som finns i lag och föreskrifter.
Enligt patientdatalagen är även en annan form för elektroniskt utlämnande möjlig mellan olika vårdgivare – utlämnande genom direktåtkomst. Av 5 kap. 4 § första stycket PDL framgår att utlämnande genom direktåtkomst till personuppgifter inom hälso- och sjukvården är tillåten, men endast i den utsträckning som anges i lag eller förordning.
Utlämnande genom direktåtkomst har således av lagstiftaren omgärdats av särskilda skyddsregler. I patientdatalagen kallas sådan direktåtkomst mellan olika vårdgivare för sammanhållen journalföring och regleras i huvudsak i lagens kapitel 6.
Internationellt informationsutbyte SOU 2014:23
934
I 6 kap. patientdatalagen uppställs en rad legala krav för sammanhållen journalföring. Bland annat gäller enligt 6 kap. 1–3 §§ PDL att utbyte av patientuppgifter genom direktåtkomst i system för sammanhållen journalföring bara får göras:
• rörande uppgifter som behandlas för de ändamål som anges i 2 kap. 4 § första stycket 1 och 2 PDL.
• om patienten i förväg informerats om vad den sammanhållna journalföringen innebär och om att hon eller han kan motsätta sig att vissa uppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
• om patienten inte redan i förväg motsatt sig direktåtkomsten.
• om andra vårdgivare kan få veta att det i systemet finns ospärrade uppgifter om patienten, utan att samtidigt få veta vilken vårdgivare som har gjort uppgifterna tillgängliga och uppgifternas innehåll.
• om den mottagande vårdgivaren har en aktuell patientrelation med patienten.
• om uppgifterna kan antas ha betydelse för att hos den mottagande vårdgivaren förebygga, utreda eller behandla sjukdomar och skador hos patienten.
• om patienten samtycker till att den mottagande vårdgivaren tar del av personuppgifterna.
• under förutsättning att alla inblandade vårdgivare tillämpar bestämmelserna i 4 kap. 2 och 3 §§ PDL om behörighetstilldelning och åtkomstkontroll även vid sammanhållen journalföring.
Det framgår tydligt i patientdatalagen att brister i uppfyllandet av dessa krav inte går att läka med hjälp av ett samtycke till att den mottagande vårdgivaren inte skulle behöva följa dem. I 6 kap. 5 § anges nämligen att en vårdgivare inte får behandla en annan vårdgivares uppgifter om en patient i systemet med sammanhållen journalföring under andra förutsättningar än dem som anges i 6 kap. 3 och 4 §§ även om patienten uttryckligen samtycker till det. Denna bestämmelse går enligt 2 kap. 3 § första stycket PDL inte att ”samtycka bort”.
SOU 2014:23 Internationellt informationsutbyte
935
Anledningen till att lagstiftaren omgärdat sammanhållen journalföring med särskilda skyddsregler är att direktåtkomst anses som en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter. Lagstiftaren betonar därför att utlämnande genom direktåtkomst bara får användas i den utsträckning det är tillåtet i lag eller förordning.6
Lagstiftarens avsikt har varit att den vårdgivare som gör uppgifter tillgängliga för andra vårdgivare vid sammanhållen journalföring inte ska behöva göra någon sekretessprövning i varje enskilt fall. Av den anledningen och eftersom sekretess annars gäller för patientuppgifter inom hälso- och sjukvården, samt eftersom bestämmelser om direktåtkomst inte har sekretessbrytande effekt i sig, har bestämmelserna om sammanhållen journalföring i patientdatalagen behövt kombineras med särskilda sekretessbrytande regler.
Den sekretessbrytande regel som är aktuell här återfinns i 25 kap. 11 § tredje punkten OSL. Enligt bestämmelsen hindrar inte hälso- och sjukvårdssekretessen enligt 25 kap. 1 § OSL att uppgift lämnas till en myndighet som bedriver hälso- och sjukvård eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen.
I patientdatalagens förarbeten anges tydligt att lagstiftaren ansett det vara av största vikt att alla villkor i regelverket för sammanhållen journalföring verkligen är uppfyllda när uppgifter lämnas ut genom sammanhållen journalföring.7
För att patienterna ska vara villiga att låta uppgifterna vara ospärrade är det viktigt att de integritetsgarantier som föreslås i patientdatalagen i förhållande till övriga vårdgivare som är anslutna till systemet verkligen fungerar. Som nämnts ovan är en av de integritetsgarantier som föreslås i patientdatalagen beträffande ospärrade uppgifter att patienten ges en rätt att, frånsett nödsituationer och liknande, bestämma över den faktiska spridningen då patienten vid senare tillfällen söker vård genom att denne då ges möjlighet att neka vårdgivaren möjlighet att få titta på ospärrade uppgifter om patienten som en annan vårdgivare gjort tillgängliga för vårdgivaren. Förutom patientens samtycke krävs även att vissa andra förutsättningar är uppfyllda för att en vårdgivare ska få behandla ospärrade uppgifter t.ex. att det finns en aktuell patientrelation, att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården eller att patientens samtycke inte kan inhämtas och uppgifterna kan antas ha betydelse för den vård patienten oundgängligen behöver, se 6 kap.3 och 4 §§patientdatalagen.
6Prop. 2007/08:126 Patientdatalag m.m., s. 76. 7Prop. 2007/08:126 Patientdatalag m.m., s. 129.
Internationellt informationsutbyte SOU 2014:23
936
Om inte samtliga villkor i patientdatalagen är uppfyllda, gäller enligt 5 kap. 2 § första stycket OSL absolut sekretess för sådana uppgifter hos den mottagande vårdgivaren. Bestämmelsen om absolut sekretess har införts mot bakgrund av att handlingar med ospärrade uppgifter som huvudregel utgör allmänna handlingar hos alla vårdgivare som är anslutna till ett system med sammanhållen journalföring. Syftet med bestämmelsen om absolut sekretess är att en vårdgivare, som enligt patientdatalagen saknar befogenhet att ta del av ospärrade uppgifter som en annan vårdgivare gjort tillgängliga för vårdgivaren, inte ska behöva ta del av dessa uppgifter för att kunna avgöra sekretessfrågan om uppgifterna begärs ut.8
I förarbetena betonas flera gånger hur viktigt det är att det finns särskilda regler till skydd för patienternas personliga integritet som gäller för den mottagande vårdgivaren i ett system för sammanhållen journalföring, dvs. när utlämnande görs genom direktåtkomst. Bland annat anges följande.9
Skyddet för den enskildes personliga integritet vid sammanhållen journalföring är tillgodosett bl.a. genom patientdatalagens regler om patientens inflytande vid sådan journalföring och den bestämmelse om absolut sekretess hos en vårdgivare för sådana ospärrade uppgifter som vårdgivaren saknar befogenhet att ta del av enligt patientdatalagen (…).
Datainspektionens praxis
Datainspektionen har i flera inspektionsärenden funnit att brister i hur vårdgivaren uppfyller kraven i patientdatalagen och Socialstyrelsens föreskrifter kan innebära att behandlingen av patientuppgifter inom ramen för sammanhållen journalföring måste betraktas som olaglig och att vårdgivare vid vite kan förbjudas att fortsätta behandla personuppgifterna i ett system för sammanhållen journalföring så länge inte kraven i patientdatalagen är uppfyllda.
I ett ärende konstaterade Datainspektionen att en vårdgivare genom att inte uppfylla alla kraven i patientdatalagen och i Socialstyrelsens föreskrifter, behandlade personuppgifter på ett olagligt sätt inom ramen för sammanhållen journalföring. Bristerna var enligt inspektionen de tre följande. För det första kunde
SOU 2014:23 Internationellt informationsutbyte
937
användarna inte ta del av uppgift om att det finns ospärrade uppgifter om patienten, utan att samtidigt ta del av uppgift om vilken/vilka vårdgivare som har gjort uppgiften tillgänglig. För det andra visades i den sammanhållna journalföringen vilken/vilka vårdgivare som hade ospärrade uppgifter innan ett samtycke till behandlingen av uppgifterna hade inhämtats från patienten. Och för det tredje hade en användare som utgångspunkt alltid direktåtkomst till ospärrade uppgifter hos alla vårdgivare som ingick i den sammanhållna journalföringen.10
I ett annat ärende förklarade Datainspektionen att en vårdgivare – om den inte omgående började informera alla sina patienter om den sammanhållna journalföringen och om rätten att motsätta sig sammanhållen journalföring – vid vite skulle förbjudas att fortsätta att tillgängliggöra personuppgifter för andra vårdgivare i ett system för sammanhållen journalföring.11
Vår sammanfattande bedömning
Möjligheten i patientdatalagen och offentlighets- och sekretesslagen till sammanhållen journalföring mellan vårdgivare bygger således på att den mottagande vårdgivaren är bunden av och tillämpar regelverket för sammanhållen journalföring, dvs. att mottagande vårdgivare är skyldig att uppfylla de i 4 och 6 kap. patientdatalagen uppräknande kraven, i annat fall är inte den sekretessbrytande regeln i 25 kap. 11 § OSL tillämplig. Vidare förutsätter systemet med sammanhållen journalföring att absolut sekretess råder för uppgifter som den mottagande vårdgivaren inte har laglig rätt att ta del av. Det innebär att sammanhållen journalföring inte är tillåtet, om den mottagande vårdgivaren inte är tvungen att tillämpa alla kraven i patientdatalagen och inte heller om den mottagande vårdgivaren inte är bunden av offentlighets- och sekretesslagen.
Eftersom endast vårdgivare i Sverige är lagligen bundna av bestämmelserna om sammanhållen journalföring i patientdatalagen och OSL, är ett utlämnande till vårdgivare utanför Sverige varken förenligt med patientdatalagen, med offentlighets- och sekretesslagen eller med patientsäkerhetslagen.
10 Datainspektionens beslut 2012-02-21, dnr. 642–2011. 11 Datainspektionens beslut 2011-01-20, dnr. 461–2010.
Internationellt informationsutbyte SOU 2014:23
938
Sammanfattningsvis kan konstateras att patientdatalagen, offentlighets- och sekretesslagen och patientsäkerhetslagen hindrar en vårdgivare från att lämna ut uppgifter om en patient till vårdgivare i andra länder genom elektronisk direktåtkomst (i patientdatalagen benämnd sammanhållen journalföring), även om patienten har lämnat sitt uttryckliga samtycke till utlämnandet.
34.2.4 Är detta förenligt med EU-rätten?
Vår bedömning: Det är inte oförenligt med EU-rätten att
nationell svensk, lagstiftning begränsar utlämnande genom direktåtkomst till att endast vara tillåten mellan vårdgivare i Sverige.
Fri rörlighet för tjänster och arbetstagare
Frågan är då om det kan anses förenligt med EU-rätten att svensk lag inte tillåter att uppgifter lämnas ut genom elektronisk direktåtkomst till vårdgivare i andra EU-länder från vårdgivare i Sverige.
Den del av EU-rätten som är aktuell i sammanhanget, är närmast bestämmelserna om fri rörlighet för tjänster samt bestämmelserna om fri rörlighet för arbetstagare. På bägge dessa områden finns det sekundärrättsliga bestämmelser som särskilt behandlar vad som gäller inom hälso- och sjukvården.
Fri rörlighet för medicinska tjänster
Europaparlamentet och rådet antog den 9 mars 2011 ett direktiv (2011/24/EU) om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård, i det följande benämnt patientrörlighetsdirektivet. Bakgrunden till direktivet är bl.a. att EUdomstolen i flera domar slagit fast att sjukvård, oberoende av hur den är organiserad och finansierad, berörs av reglerna om den fria rörligheten för tjänster i fördraget om Europeiska unionens funktionssätt (EUF-fördraget).
Patientrörlighetsdirektivet har i Sverige genomförts bland annat genom lagen (2013:513) om ersättning för kostnader till följd av vård i ett annat land inom Europeiska ekonomiska samarbets-
SOU 2014:23 Internationellt informationsutbyte
939
området (ersättningslagen). I såväl själva direktivet som i ersättningslagens förarbeten berörs frågan om överföring av personuppgifter om hälsa mellan medlemsstaterna.12
Skyldigheter enligt patientrörlighetsdirektivet
I patientrörlighetsdirektivets ingress 25 sägs inledningsvis att rätten till skydd av personuppgifter är en grundläggande rättighet som erkänns i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Därefter konstateras att personuppgifter som gäller patientens hälsa måste överföras för att uppnå kontinuitet i den gränsöverskridande hälso- och sjukvården – samtidigt som de enskildas grundläggande rättigheter måste skyddas. I ingressen sägs vidare att dataskyddsdirektivet ger enskilda individer rätt att få tillgång till sina egna personuppgifter om hälsa, t.ex. uppgifter i deras patientjournal som innehåller uppgifter om exempelvis diagnos, undersökningsresultat, bedömningar av behandlande läkare och eventuella utförda behandlingar eller ingrepp. I ingressen konstateras därefter att dessa bestämmelser även bör tillämpas på sådan gränsöverskridande hälso- och sjukvård som omfattas av patientrörlighetsdirektivet.
I patientrörlighetsdirektivets artikel 2.c sägs beträffande direktivets förhållande till andra unionsbestämmelser, att patientrörlighetsdirektivet ska gälla utan att påverka tillämpningen av dataskyddsdirektivet samt Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation.
Enligt patientrörlighetsdirektivets artikel 5.d ska försäkringsmedlemsstaten se till att patienter som söker eller får gränsöverskridande hälso- och sjukvård får tillgång på distans till eller åtminstone har en kopia av patientjournalen, i överensstämmelse med och med förbehåll för nationella åtgärder som genomför unionens bestämmelser om skydd av personuppgifter, särskilt dataskyddsdirektivet och 2002/58/EG.
I en särskild kommentar till artiklarna 4.2.e respektive 5.d sägs följande i förarbetena till ersättningslagen.13
12Prop. 2012/13:15013Prop. 2012/13:150 Patientrörlighet i EU – förslag till ny lagstiftning s. 96 och 101.
Internationellt informationsutbyte SOU 2014:23
940
I artikel 4.2 e i patientrörlighetsdirektivet anges att den behandlande medlemsstaten ska säkerställa att den grundläggande rätten till personlig integritet vid behandling av personuppgifter skyddas i överensstämmelse med nationella åtgärder som genomför gemenskapens bestämmelser om skydd av personuppgifter, särskilt direktiven 95/46/EG och 2002/58/EG. Dessa direktiv har framförallt genomförts genom (1998:204) personuppgiftslagen och lagen (2003:389) om elektronisk kommunikation. Dessutom finns ett antal s.k. registerförfattningar med särskilda regler för personuppgiftsbehandling. En sådan författning, som gäller vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården, är patientdatalagen (2008:355). Artikeln föranleder inte någon åtgärd från Sverige. I artikel 5 d i patientrörlighetsdirektivet anges att försäkringsmedlemsstaten ska se till att patienter som söker eller får gränsöverskridande hälso- och sjukvård, får tillgång på distans eller åtminstone har en kopia av patientjournalen, i överensstämmelse med och med förbehåll för nationella åtgärder som genomför unionens bestämmelser om skydd av personuppgifter, särskilt direktiven 95/46/EG och 2002/58/EG. Detta innebär att Sverige ska se till att patienter som mottar vård i ett annat EES-land har tillgång till sin patientjournal. Som framgår av avsnitt 12 s. 96–97 uppfyller Sverige kravet i denna artikel.
De bestämmelser om patienters rätt till de egna journalerna som nämns i förarbetena till ersättningslagen är tryckfrihetsförordningen och offentlighets- och sekretesslagen samt patientdatalagens 8 kap. 2 § och 5 kap. 5 §. De aktuella bestämmelserna i patientdatalagen avser patientens rätt att ta del av journalhandlingar inom den enskilda hälso- och sjukvården respektive möjligheten för en vårdgivare att i vissa fall medge en enskild patient elektronisk direktåtkomst till uppgifter i patientens egen journal. Patientens tillgång till den egna journalen ska enligt artikel 5.d tillgodoses i överensstämmelse med och med förbehåll för nationella åtgärder som genomför unionens bestämmelser om skydd av personuppgifter.
IKT-system är nationell fråga
I en av ingresserna till patientrörlighetsdirektivet finns ett uttalande som är av betydelse för bedömningen av EU-rättens inverkan införandet av IKT-system. Uttalandet är av intresse här, eftersom de system för sammanhållen journalföring som möjliggörs i patientdatalagen bör anses vara sådana system för informations-
SOU 2014:23 Internationellt informationsutbyte
941
och kommunikationsteknik (IKT-system) som avses i ingressen, enligt följande.14
Den tekniska utvecklingen av gränsöverskridande hälso- och sjukvård med hjälp av IKT kan skapa oklarhet när det gäller medlemsstaternas tillsynsansvar och därmed hindra den fria rörligheten för hälso- och sjukvårdstjänster, och eventuellt medföra ytterligare hälsorisker. Inom unionen används vitt skilda och inkompatibla format och standarder för IKT-baserad hälso- och sjukvård, vilket både skapar hinder för denna typ av vårdtjänst och kan innebära hälsorisker. Medlemsstaterna måste därför sträva efter kompatibilitet mellan IKT-system. Införande
av IKT-system omfattas emellertid helt och hållet av nationell behörighet.
Detta direktiv bör därför erkänna vikten av kompatibilitet och respektera en uppdelning av befogenheterna genom att fastställa att kommissionen och medlemsstaterna arbetar tillsammans för att utveckla åtgärder som inte är rättslig bindande, men som tillhandahåller ytterligare verktyg som medlemsstaterna kan använda för att underlätta större kompatibilitet mellan IKT-systemen på hälso- och sjukvårdsområdet och för att stödja patienternas tillgång till e-hälsotillämpningar, närhelst medlemsstaterna beslutar att införa sådana system.
I direktivets ingress 57 fortsätter resonemanget om nationella IKTsystem med uttalandet att ”kompatibilitet mellan lösningar som rör e-hälsa bör uppnås samtidigt som hänsyn tas till nationell lagstiftning om tillhandahållande av hälso- och sjukvårdstjänster som har antagits för att skydda patienten”.
Det anförda bör innebära att ett nationellt IKT-system, såsom det svenska systemet för sammanhållen journalföring – och även det nationella, svenska regelverk som möjliggör systemet – omfattas av den nationella behörigheten, och därmed i huvudsak inte berörs av EU-rätten.
Förordning 883/2004
Som ett parallellt spår till patientrörlighetsdirektivet finns också bestämmelser om rätten till gränsöverskridande vård i Europaparlamentets och rådets förordning (EG) nr 883/2004 av den 29 april 2004 om samordning av de sociala trygghetssystemen. vilken syftar till att samordna olika socialförsäkringsförmåner för de EU-medborgare som rör sig över gränserna på grund av arbete, studier m.m. Förordningen innehåller inga bestämmelser som berör vårdgivares eller enskilda patienters behandling av personuppgifter.
14 Patientrörlighetsdirektivets ingress 56.
Internationellt informationsutbyte SOU 2014:23
942
Vår sammanfattande bedömning
Utredningen konstaterar att patientrörlighetsdirektivet förutsätter att patientuppgifter ska kunna överföras mellan medlemsländerna, samt att direktivet innehåller en bestämmelse som innebär en skyldighet för försäkringsmedlemsstaten att ge patienter tillgång på distans till sin journal eller åtminstone en kopia av densamma.
Såsom konstateras i ersättningslagens förarbeten, tillgodoses direktivets krav inom detta område genom befintliga bestämmelser i tryckfrihetsförordningen, OSL och patientdatalagen.
Ingen av de EU-rättsakter som är aktuella här, ställer krav på att vårdgivare eller apotek ska ges direktåtkomst till enskilda patienters uppgifter. Rättsakterna ställer dock krav på att den enskildes rätt till personlig integritet ska beaktas, och föreskriver att de nationella genomförandena av dataskyddsdirektivet ska gälla även för den gränsöverskridande hälso- och sjukvården. Vidare anges i patientrörlighetsdirektivet att införandet av system för informations- och kommunikationsteknik (IKT-system) helt och hållet omfattas av nationell behörighet.
Mot bakgrund av det sagda kan det inte anses som oförenligt med EU-rätten att nationell svensk lagstiftning begränsar möjligheten till elektronisk direktåtkomst till att endast vara tillåten mellan vårdgivare i Sverige.
34.3 Våra övervägande om elektroniskt utlämnande till apotek i andra länder
34.3.1 Utlämnande med den enskildes samtycke
Vår bedömning: Lagen (1996:1156) om receptregister och
personuppgiftslagen gör det möjligt för eHälsomyndigheten att med en enskilds uttryckliga samtycke lämna ut uppgifter ur receptregistret på medium för automatiserad behandling till apotek i andra länder. Vidare framgår av lagstiftningen tydliga krav på hur ett sådant utlämnande ska gå till för att vara lagligt.
Enligt 1 § (1996:1156) lagen om receptregister (receptregisterlagen) får eHälsomyndigheten för de ändamål som anges i 6 § med hjälp av automatiserad behandling föra ett register över förskrivningar av läkemedel och andra varor för människor (recept-
SOU 2014:23 Internationellt informationsutbyte
943
register). Lagen är tillämplig på den behandling av uppgifter som eHälsomyndigheten utför i samband med utlämnandet av personuppgifter om förskrivningar.
Frågan är då om det finns stöd i receptregisterlagen för ett utlämnande till apotek i andra länder. Inledningsvis kan konstateras att skyldigheten för eHälsomyndigheten enligt 12 § receptregisterlagen att lämna uppgifter till öppenvårdsapotek inte är aktuell i detta sammanhang, eftersom apotek utanför Sverige inte kan anses vara öppenvårdsapotek i den mening som avses i receptregisterlagen och enligt definitionen av uttrycket öppenvårdsapotek som återfinns i 1 kap. 4 § lagen (2009:366) om handel med läkemedel, som bl.a. kräver att ett öppenvårdsapotek har Läkemedelsverkets tillstånd att bedriva handel med läkemedel.
För besvarandet av frågan om möjligheten att lämna ut uppgifter till apotek i andra länder, ges i utredningens direktiv en särskild förutsättning, nämligen att analysen ska avse den situationen när patienten har lämnat sitt samtycke till den personuppgiftsbehandling som utlämnandet innebär.
Ett samtycke är av betydelse för behandlingens förenlighet med receptregisterlagen. Enligt 4 § andra stycket receptregisterlagen får behandling av personuppgifter som inte är tillåten enligt receptregisterlagen ändå utföras, om den enskilde har lämnat ett uttryckligt samtycke till behandlingen. Enligt lagens förarbeten innebär bestämmelsen att personuppgifter kan behandlas för ett ändamål som inte regleras i receptregisterlagen, om den enskilde uttryckligen har samtyckt till det. Vidare framgår att ett samtycke enligt receptregisterlagen har samma innebörd som enligt personuppgiftslagen.15Innebörden av ett uttryckligt samtycke enligt personuppgiftslagen har behandlats i det föregående.
I 21 § receptregisterlagen hänvisas till att det i offentlighets- och sekretesslagen finns bestämmelser om begränsningar i rätten att lämna ut uppgifter från receptregistret. En sådan bestämmelse är 25 kap. 17 a § OSL, enligt vilken sekretess gäller hos eHälsomyndigheten för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
Internationellt informationsutbyte SOU 2014:23
944
Av 12 kap. 2 § första stycket OSL framgår att en enskild helt eller delvis kan häva sekretess som gäller till skydd för honom eller henne, om inte annat anges i receptregisterlagen.
Således hindrar varken receptregisterlagen eller offentlighets- och sekretesslagen att eHälsomyndigheten med patientens uttryckliga samtycke lämnar ut uppgifter ur receptregistret till apotek utanför landet. Men i personuppgiftslagen ställs vissa krav som måste vara uppfyllda för att det ska anses vara frågan om ett uttryckligt samtycke som kan utgöra laglig grund för behandling av känsliga personuppgifter.
Elektroniskt utlämnande på medium för automatiserad behandling till apotek i andra länder
Frågan är då om gällande rätt tillåter att eHälsomyndigheten på elektronisk väg lämnar ut uppgifter om patienten till apotek i andra länder.
Enligt 10 § receptregisterlagen gäller att om en personuppgift får lämnas ut, får det göras på ”medium för automatiserad behandling”. Enligt förarbetena är bestämmelsen utarbetad efter förebild av 5 kap. 6 § PDL.16 Vad som redovisats i det föregående om skillnaden mellan utlämnade på medium för automatiserad behandling respektive direktåtkomst, gäller således även för tillämpningen av receptregisterlagen.
Säkerhetsåtgärder
Liksom beträffande vårdgivares utlämnande, gäller även för eHälsomyndigheten att ett elektroniskt utlämnande på medium för automatiserad behandling endast får göras om tillräckliga, i lag föreskrivna säkerhetsåtgärder vidtas vid den behandling som utlämnandet innebär.
När det gäller utlämnanden från receptregistret framgår kraven på säkerhetsåtgärder av receptregisterlagen och av personuppgiftslagen, som enligt 3 § receptregisterlagen även gäller för behandling av personuppgifter i receptregistret, om inte annat följer av lagen eller föreskrifter som meddelas i anslutning till den lagen.
SOU 2014:23 Internationellt informationsutbyte
945
Säkerhetskraven enligt personuppgiftslagen innebär för behandlingen av personuppgifter i receptregistret bland annat följande enligt Datainspektionen.17
Ska man överföra personuppgifter som handlar om recept eller läkemedelsanvändning i öppna nät, till exempel Internet eller Sjunet, måste användarna vara identifierade och deras identitet säkerställd med en teknisk funktion som asymmetrisk kryptering (till exempel e-legitimation eller SITHS-certifikat), engångslösenord eller motsvarande. Dessutom ska personuppgifterna skyddas med kryptering vid själva överföringen. Syftet är att säkerställa att endast behöriga användare kan ta del av uppgifterna.
Överföring till tredje land
Receptregisterlagen innehåller inga särskilda bestämmelser om överföring av personuppgifter till andra länder. Som framgått ovan, gäller förutom receptregisterlagen även personuppgiftslagen när personuppgifter behandlas i receptregistret, så länge inte annat följer av receptregisterlagen eller av föreskrifter som meddelats med stöd av den lagen.
Personuppgiftslagen hindrar inte att personuppgifter förs över till länder inom EES. Till länder utanför EES-området, vilka i personuppgiftslagen benämns tredje land, gäller dock enligt 33 § PUL ett principiellt förbud för överföring, men med en rad undantag. Bland annat är överföring till tredje land möjlig enligt 34 § PUL om den registrerade har lämnat sitt samtycke till överföringen. För att vara giltigt i detta sammanhang, måste det vara tydligt att samtycket avser just överföring av den registrerades personuppgifter till tredje land.
Rekommendationer föranledda av epSOS
Inom ramen för epSOS-projektet överförs även uppgifter om recept, dvs. uppgifter om patienters läkemedelsförskrivningar. De rekommendationer som artikel 29-gruppen lämnat för epSOS, och som redovisats i det föregående, äger därför aktualitet även vid utlämnanden från receptregistret.
17 Datainspektionens informationsblad Integriteten på den nya apoteksmarknaden.
Internationellt informationsutbyte SOU 2014:23
946
Vår sammanfattande bedömning
Sammanfattningsvis kan konstateras att både receptregisterlagen och personuppgiftslagen gör det möjligt för eHälsomyndigheten att med en patients uttryckliga samtycke på elektronisk väg lämna ut uppgifter ur receptregistret till apotek i andra länder, vilket i receptregisterlagen benämns utlämnande på medium för automatiserad behandling.
Likaså kan konstateras att det av receptregisterlagen, personuppgiftslagen och dataskyddsdirektivet såsom det uttolkats av Artikel 29-gruppen, framgår tydliga krav på hur ett sådant elektroniskt utlämnande ska gå till för att vara lagligt.
34.3.2 Får ett elektroniskt utlämnande göras genom direktåtkomst?
Vår bedömning: Svensk rätt hindrar eHälsomyndigheten från
att lämna ut uppgifter ur receptregistret till apotek i andra länder genom direktåtkomst, även om den enskilde har lämnat sitt uttryckliga samtycke till utlämnandet.
Ett utlämnande från receptregistret får alltså göras på medium för automatiserad behandling till länder såväl inom som utanför EES om kraven i lagstiftningen är uppfyllda, dvs. att det finns ett uttryckligt samtycke (och ingen annan sekretess gäller som den enskilde inte kan efterge) samt att den elektroniska överföringen görs på ett tillräckligt säkert sätt som uppfyller de krav som finns i lag och föreskrifter.
Enligt receptregisterlagen är även en annan form för elektroniskt utlämnande möjlig (jfr 11 § receptregisterlagen). Enligt bestämmelsen får expedierande personal på ett öppenvårdsapotek ha direktåtkomst till receptregistret för de ändamål som anges i 6 § första stycket 1, 2 och 8 receptregisterlagen. Dessutom får den enskilde ha direktåtkomst till uppgifter om sig själv. Vidare är direktåtkomst till uppgifter om dosrecept tillåten för den som har legitimation för yrke inom hälso- och sjukvården.
Det finns dock vissa problem med att ge apotek utanför Sverige direktåtkomst till uppgifter i receptregistret, snarlika dem som diskuterats ovan beträffande direktåtkomst för vårdgivare utanför Sverige.
SOU 2014:23 Internationellt informationsutbyte
947
I apoteksdatalagen (2009:367) uppställs i 12–13 §§ en rad legala krav för behandlingen av personuppgifter hos öppenvårdsapoteken. Dessa krav gäller även när öppenvårdsapoteken behandlar uppgifter som lämnats ut från receptregistret. Kraven innebär att öppenvårdsapoteket ska bestämma villkor för tilldelning av behörighet för åtkomst till uppgifter om konsumenter och de som är behöriga att förordna läkemedel. Behörigheten ska begränsas till vad som behövs för att den som arbetar på ett öppenvårdsapotek ska kunna fullgöra sina arbetsuppgifter där. Vidare ska öppenvårdsapoteken se till att åtkomst till helt eller delvis automatiskt behandlade uppgifter om konsumenter och de som är behöriga att förordna läkemedel, dokumenteras så att de kan kontrolleras. Tillståndshavaren ska systematiskt och återkommande kontrollera om någon obehörigen kommer åt sådana uppgifter.
Vidare betonas i förarbetena till receptregisterlagen hur viktigt det är att säkerheten måste vara mycket god för personuppgifter om förskrivningar.18
Det är av största vikt att personuppgifterna skyddas hos Apotekens Service AB [numera eHälsomyndigheten] och hos övriga aktörer samt under överföringen till dessa aktörer. Säkerheten måste vara sådan att obehörigt utnyttjande av uppgifterna inte förekommer. I den utsträckning lagen (2005:258) om läkemedelsförteckning eller lagen (1996:1156) om receptregister inte innehåller bestämmelser som reglerar säkerheten vid behandling av personuppgifter, är bestämmelserna i personuppgiftslagen (1998:204) tillämpliga. Detta innebär bl.a. att Apotekens Service AB [numera eHälsomyndigheten], som personuppgiftsansvarigt enligt 31 §, ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna och därmed åstadkomma en säkerhetsnivå som är lämplig med beaktande av hur känsliga uppgifterna är, vilka tekniska möjligheter som finns, de särskilda risker som finns med behandlingen av uppgifterna samt vad det skulle kosta att genomföra åtgärderna.
Tystnadsplikten för personal vid öppenvårdsapoteken regleras i 6 kap. 12 § första stycket PSL av vilken framgår att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. I patientsäkerhetslagen avses med hälso- och sjukvårdspersonal, bland andra apotekspersonal som
Internationellt informationsutbyte SOU 2014:23
948
tillverkar eller expedierar läkemedel eller lämnar råd och upplysningar (1 kap. 4 § första stycket 4 PSL).
Av 2 kap. 6 § 6 lagen (2009:366) om handel med läkemedel framgår att den som har tillstånd enligt 1 § att bedriva detaljhandel med läkemedel till konsument ska ha ett elektroniskt system som gör det möjligt att få direktåtkomst till uppgifter hos E-hälsomyndigheten.
Enligt 2 kap. 10 b§ lagen om handel med läkemedel ska eHälsomyndigheten informera Läkemedelsverket om vad som framkommit vid en kontroll av det elektroniska system för direktåtkomst till uppgifter hos myndigheten som en tillståndshavare ska ha enligt 2 kap. 6 §. Av bestämmelsens förarbeten framgår att bland annat följande.19
Apotekens Service Aktiebolag [numera eHälsomyndigheten] kontrollerar om den som ansöker om tillstånd att bedriva detaljhandel med läkemedel till konsument (öppenvårdsapotek) har förutsättningar att uppfylla de krav för tillståndet som föreskrivs i 2 kap. 6 § 5–7 lagen om handel med läkemedel och som avser uppgiftslämnande och elektronisk direktåtkomst till uppgifter hos bolaget. Vid kontrollerna verifieras att datasystem, som ska ha tillgång till den information bolaget förvaltar, kan ansluta till bolagets datasystem på ett säkert sätt och att informationen inte förvanskas.
I likhet med vad som gäller för sammanhållen journalföring, betonas i förarbetena hur viktigt skyddet för uppgifterna i receptregistret är, både när de behandlas av eHälsomyndigheten och när de behandlas av öppenvårdsapoteken.
Vår sammanfattande bedömning
Som framgår ovan bygger systemet med direktåtkomst till uppgifter i receptregistret således på att det i lag föreskrivs en rad olika villkor för behörighetsstyrning, åtkomstkontroll och IT-säkerhet i övrigt hos öppenvårdsapoteken, och att apoteken ska genomgå kontroller av hur de uppfyller villkoren. Hur villkoren efterföljs ska sedan enligt lag ligga till grund för avgörandet ifall apoteket ifråga ska kunna inneha tillstånd att bedriva handel med läkemedel.
Vidare förutsätter möjligheten till direktåtkomst för apotek till uppgifter i receptregistret, att personalen hos de mottagande apoteken är bundna av bestämmelser om tystnadsplikt.
19Prop. 2012/13:128 42, s. 41 f.
SOU 2014:23 Internationellt informationsutbyte
949
Eftersom endast öppenvårdsapotek i Sverige och deras anställda, är bundna av det nämnda regelverket för behörighetsstyrning, åtkomstkontroll, IT-säkerhet, tillstånd, kontroller och tystnadsplikt, är ett utlämnande genom direktåtkomst till apotek utanför Sverige varken förenligt med receptregisterlagen, lagen om handeln med läkemedel, apoteksdatalagen eller med offentlighets- och sekretesslagen eller patientsäkerhetslagen.
Sammanfattningsvis kan konstateras att svensk rätt hindrar eHälsomyndigheten från att lämna ut uppgifter ur receptregistret till apotek utanför Sverige genom elektronisk direktåtkomst, även om patienten har lämnat sitt uttryckliga samtycke till utlämnandet.
34.3.3 Är detta förenligt med EU-rätten?
Vår bedömning: Det är inte oförenligt med EU-rätten att
nationell svensk lagstiftning hindrar eHälsomyndigheten från att lämna ut uppgifter ur receptregistret till apotek i andra länder genom direktåtkomst.
Såsom framgått tidigare är den i sammanhanget relevanta EUrättsakten patientrörlighetsdirektivet, vilket enligt ingress 16 även ska tillämpas på ”förskrivning, utlämning och tillhandahållande av läkemedel och medicinska hjälpmedel”.
Därför är resultatet av analysen densamma – närmare bestämt att det inte kan anses som oförenligt med EU-rätten att nationell svensk lagstiftning begränsar möjligheten till elektronisk direktåtkomst till att endast gälla apotek i Sverige.
951
35 Socialstyrelsens läkemedelsregister
35.1 Bakgrund
För personal och beslutsfattare inom hälso- och sjukvård och socialtjänst är det viktigt att få använda uppgifter i olika stödsystem för att löpande kvalitetssäkra och förbättra insatser som vänder sig direkt till enskilda. Även tillsynsmyndigheter och nationella myndigheter som arbetar med exempelvis öppna jämförelser måste ha tillgång till uppgifter.1 Syftet är att förbättra kvalitet och säkerhet i insatserna för den enskilda individen.
Hälsodataregister är rikstäckande register för att kunna följa bl.a. sjukdomars utbredning i landet och för att studera orsaker till olika sjukdomar2. Enligt lagen (1998:543) om hälsodataregister får personuppgifter i ett hälsodataregister behandlas för ändamålen framställning av statistik, uppföljning, utvärdering och kvalitetssäkring inom hälso- och sjukvård, forskning och epidemiologiska undersökningar. Hälsodataregistren förs av centrala förvaltningsmyndigheter, t.ex. Socialstyrelsen. Socialstyrelsen för med stöd av lagen ett flertal hälsodataregister varav läkemedelsregistret3 är ett. Detta register får användas för ändamålen epidemiologiska undersökningar, forskning och framställning av statistik inom hälso- och sjukvårdsområdet. Till skillnad mot övriga hälsodataregister som förs hos Socialstyrelsen får uppgifter i läkemedelsregistret inte användas för uppföljning, utvärdering och kvalitetssäkring.
11 Öppna jämförelser är en uppsättning indikationer som redovisas återkommande och som beskriver verksamheten med avseende på kvalitet och effektivitet. Jfr regeringens nationella strategi för öppna jämförelser. 2 Jfr lagen (1998:543) om hälsodataregister. 3 Jfr lagen 1998:543 om hälsodataregister och förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen.
Socialstyrelsens läkemedelsregister SOU 2014:23
952
35.1.1 Vårt uppdrag
Regeringen har uttalat att uppgifter i läkemedelsregistret hos Socialstyrelsen bör kunna användas för uppföljning och kvalitetssäkring. Det förutsätter att ändamålen för behandling av personuppgifter i läkemedelsregistret anpassas till de ändamål som gäller för övriga hälsodataregister enligt lagen om hälsodataregister. Utredningen har därför fått i uppdrag att föreslå hur ändamål i läkemedelsregistret kan anpassas till de ändamål som gäller för övriga hälsodataregister.4 Därutöver har utredningen på eget initiativ även valt att utreda om uppgift om förskrivningsorsak bör få behandlas i läkemedelsregistret.
35.2 Rättslig reglering av läkemedelsregistret
Bestämmelserna om nuvarande läkemedelsregister hos Socialstyrelsen trädde ikraft den 1 juli 2005 genom lagen om hälsodataregister och förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen. Socialstyrelsen får föra hälsodataregister i form av ett läkemedelsregister och personuppgifter i registret får behandlas för epidemiologiska undersökningar, forskning och framställning av statistik inom hälso- och sjukvårdsområdet. 5
Innan det nuvarande regleringen trädde ikraft kunde registret användas för medicinsk uppföljning, utvärdering, kvalitetssäkring, epidemiologiska undersökningar, forskning och framställning av statistik. Registret, som då kallades hälso- och sjukvårdens läkemedelsregister, var inte ett personregister eftersom det inte innehöll uppgifter knutna till enskilda individer. De uppgifter som då togs in var uppgifter från Apoteket AB som lämnades, med stöd av föreskrifter i lagen (1996:1156) om receptregister (receptregisterlagen), över till Socialstyrelsen för i lagen föreskrivna ändamål. De uppgifter som registrerades var uppgifter om läkemedel, förbrukningsartiklar och livsmedel som har expedierats mot recept eller motsvarande på apotek från 1999 och framåt. Patientens kön, ålder och folkbokföringsort finns i registret och från och med 1 juli 2005 även personnummer. När det gäller kostnader finns uppgift om totalkostnad, kostnad för läkemedelsförmån och patientens egenavgift.
SOU 2014:23 Socialstyrelsens läkemedelsregister
953
Det nya läkemedelsregistret motiverades bland annat med att ingen uttömmande kunskap om läkemedel fanns när läkemedel blir tillgängligt för behandling av patienter och att en fortlöpande uppföljning av förskrivning och användning av läkemedel är nödvändigt. Studier av risker och effekter på lång sikt av läkemedelsbehandling är särskilt viktiga. Dessa kräver tillgång till individrelaterade uppgifter om patienters läkemedelsköp. Studierna måste bedrivas i syfte att stärka kunskapen om och erfarenheterna av läkemedelsanvändning.6
Av 1 § förordningen om läkemedelsregister hos Socialstyrelsen framgår att Socialstyrelsen får föra hälsodataregister enligt 1 § lagen om hälsodataregister i form av ett läkemedelsregister. Socialstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter (2 §). Personuppgifterna i läkemedelsregistret får behandlas för epidemiologiska undersökningar, forskning och framställning av statistik inom hälso- och sjukvårdsområdet (3 §). Behandlingen får avse olika i 4 § uppräknade uppgifter. I 6 § finns bestämmelser om vilken information som Socialstyrelsen ska lämna de registrerade enligt 25 § första stycket c) personuppgiftslagen (1998:204), förkortad PUL.
Läkemedelsregistret omfattar alla receptförskrivna läkemedel som expedierats på apoteken i Sverige på individnivå. Registret uppdateras varje månad. Registret innehåller för varje individuellt uttag uppgifter om läkemedel, förbrukningsartiklar och livsmedel som expedierats på apotek mot recept eller motsvarande. Informationen finns om den expedierade varan (identitet, mängd och pris, datum för expedition samt dosering). Uppgifter finns även om utbyte till generiskt eller parallellimporterat läkemedel. Uppgifter som registreras om den individ som köpt läkemedel är kön, ålder, folkbokföringsort och personnummer. Registret omfattar även uppgifter om förskrivaren såsom yrke och specialistutbildning, liksom andra egenskaper för förskrivarens arbetsplats som ägarform, vårdform och verksamhetsinriktning. Förskrivare eller arbetsplats kan inte identifieras. I registret finns även information om kostnader; totalkostnad, kostnad för läkemedelsförmånerna och patientens egenavgift (jfr 4 § förordningen om läkemedelsregister hos Socialstyrelsen). Enligt 16 § receptregisterlagen ska eHälsomyndigheten (innan den 1 januari 2014 Apotekens Service AB) lämna de uppgifter som avses i 4 § till läkemedelsregistret Uppgifter om
Socialstyrelsens läkemedelsregister SOU 2014:23
954
enskilda personers läkemedelsförskrivningar och inköp hämtas från det s.k. receptregistret.
För att möjliggöra uppbyggnaden av ett heltäckande läkemedelsregister hos Socialstyrelsen med uppgifter som kan hänföras till enskilda personer togs 2005 kravet på samtycke från den enskilde bort som förutsättning för att sådana uppgifter skulle få lämnas ut från receptregistret för redovisning till Socialstyrelsen.7
35.2.1 Hälsodataregistren
Lagen om hälsodataregister infördes den 24 oktober 1998 för att reglera it-användningen när det gäller rikstäckande register hos centrala förvaltningsmyndigheter inom hälso- och sjukvården. Lagen reglerar särskilt viktiga och gemensamma frågor för samtliga hälsodataregister men sedan är det regeringen som föreskriver vilka register som ska föras och som bestämmer vilket ändamål, inom de ramar som lagen drar upp, som ett visst register ska ha.
I syfte att skydda den personliga integriteten betonade regeringen, vid införandet av bestämmelserna om hälsodataregister, vikten att avgränsa de ändamål för vilka personuppgifter får behandlas i ett hälsodataregister.8Uppgifter i hälsodataregister får därför endast behandlas för ändamålen; statistik, uppföljning, utvärdering och kvalitetssäkring samt forskning m.m. Dessa ändamål är samtliga av högt samhälleligt intresse. Hälsodataregistren bygger på principen att uppgifter i respektive register är knutna till en angiven person och tillförs registret utan krav på att den enskilde har lämnat samtycke. Detta gäller samtliga hälsodataregister utom biverkningsregistret. Det har gjorts en avvägning mellan den nyttan som både i ett snävt personperspektiv och i ett brett samhällsperspektiv är förbunden med registret och det integritetsproblem som kan vara förknippat med att finnas i ett register. Vid avvägningen har man funnit att nyttan med registren väger över och att man som enskild får tåla det intrång som registreringen kan upplevas som.9
Tanken är att det vid varje utfärdande av föreskrifter för varje särskilt hälsodataregister ska tas ställning till om ett register ska
7 Detta gjordes genom en ändring i 3 § första stycket 6 (nuvarande 7) lagen (1996:1156) om receptregister. 8Prop. 1997/98:108, s. 48. 9Prop. 1997/98:108 s. 39 ff. och prop. 2004/05: 70.
SOU 2014:23 Socialstyrelsens läkemedelsregister
955
omfatta ett eller flera av dessa ändamål och om ändamålet ska preciseras ytterligare.
Socialstyrelsen har i rapporten Fyra år med läkemedelsregistret (2009) sammanställt ett urval av texter som beskriver hur och varför registret kom till, dess användbarhet, ur ett forskarperspektiv, ut ett internationellt perspektiv och ur ett samhällsperspektiv.
Samtliga register som Socialstyrelsen förvaltar och utvecklar bygger på principen att personrelaterade uppgifter samlas in utan krav på samtycke från individen. I samband med att hälsodataregistren inrättades gjordes en noggrann avvägning om samhällsnyttan övervägde nackdelarna ut ett integritetsperspektiv. Både när det gäller Socialstyrelsens hälsodataregister och dödsorsaksregistret är det inte möjligt att ha samtycke som grundprincip för insamlande av uppgifter. Kraven är dock – på såväl samhällsnytta som integritetsskydd – särskilt höga.
Uppgifterna som finns i hälsodataregistren omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), förkortad OSL. Enligt denna bestämmelse är sekretessen är absolut, vilket innebär att uppgifterna inte får lämnas ut. Undantag från sekretess finns när det gäller uppgifter som behövs för forskning och statistikändamål. I dessa fall kan uppgifter lämnas ut om det står klart att de kan röjas utan att den enskilde individen som uppgifter rör eller någon närstående lider skada eller men. Socialstyrelsen lämnar bara ut data till forskningsprojekt med villkoret att det finns tillstånd från forskningsetiskt nämnd och en beskrivning av syftet med projektet 10. Därefter gör Socialstyrelsen en oberoende prövning enligt offentlighets- och sekretesslagens bestämmelser.
Övriga hälsodataregister hos Socialstyrelsen
Hos Socialstyrelsen förs, förutom läkemedelsregistret, ytterligare fyra hälsodataregister. Nedan beskrivs dessa register kortfattat.
Syftet med cancerregistret är att tillhandahålla ett nationellt, befolkningsbaserat cancerregister för att kunna kartlägga cancersjukdomarnas förekomst och förändring över tiden. Det ska även vara möjligt att skapa en bas för klinisk och epidemiologisk forskning samt att möjliggöra internationella jämförelser. Person-
10 SoS Fyra år med läkemedelsregistret 2012.
Socialstyrelsens läkemedelsregister SOU 2014:23
956
uppgifter i cancerregistret får behandlas för framställning av statistik, uppföljning och utvärdering av insatser för att förebygga cancersjuklighet, utvärdering av hälsokontroller samt forskning och epidemiologiska undersökningar inom cancerområdet. Registret regleras genom förordning (2001:709) om cancerregister.
Det medicinska födelseregistrets syfte är att informationen ska kunna utgöra underlag för bland annat forskning och statistik. Personuppgifter i det medicinska födelseregistret får behandlas för framställning av statistik, uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård, forskning och epidemiologiska undersökningar som avser reproduktion, övervakning av fosterskador samt nyföddas och andra barns hälsa. Registret regleras genom förordning (2001:708) om medicinskt födelseregister.
Patientregistret får innehålla uppgifter som kan behandlas för
framställning av statistik, uppföljning, utvärdering och kvalitetssäkring inom den slutna hälso- och sjukvården och inom den del av den öppna vården som inte är primärvård, samt för forskning och epidemiologiska undersökningar. Syftet med registret är att följa hälsoutvecklingen i befolkningen och förbättra möjligheterna att förebygga och behandla sjukdomar. En annan viktig uppgift med registret är att bidra till hälso- och sjukvårdens utveckling. Bestämmelserna finns i förordning (2001:707) om patientregister.
Syftet med tandhälsoregistret är att kunna följa tandvårdens och tandhälsans utveckling i Sverige. Registret fyller en viktig funktion på forskningens och statistikens område när det gäller att följa tandhälsan i Sverige över tid. Registret innehåller information om tandvård inom det statliga tandvårdsstödet, tandvård till personer med vissa långvariga sjukdomar och funktionsnedsättningar samt nödvändig tandvård. Personuppgifter i tandhälsoregistret får behandlas för framställning av statistik, kvalitetssäkring, uppföljning och utvärdering inom tandvårds- och tandhälsoområdet samt för forskning och epidemiologiska undersökningar. Registret regleras genom förordningen (2008:194) om tandhälsoregister hos Socialstyrelsen.
Hälsodataregister hos Läkemedelsverket
Enligt 4 kap. 5 § läkemedelsförordningen (2006:272) får Läkemedelsverket föra hälsodataregister enligt 1 § lagen (1998:543) om hälsodataregister för att tillgodose behovet av uppgifter för de
SOU 2014:23 Socialstyrelsens läkemedelsregister
957
ändamål som anges i 9 § läkemedelslagen (1992:859) samt för framställning av statistik och för forskning.11
Enligt 9 § läkemedelslagen ska Läkemedelsverket ansvara för ett system för säkerhetsövervakning, som har till syfte att samla in, registrera, lagra och vetenskapligt utvärdera uppgifter om biverkningar av läkemedel som godkänts för försäljning. Vid utvärderingen ska i fråga om humanläkemedel beaktas även all tillgänglig information om felaktig användning och missbruk av läkemedel som kan ha betydelse för bedömningen av nyttan och riskerna med läkemedlen.
Läkemedelsverket för således ett biverkningsregister för statistik och forskning samt för att vetenskapligt utvärdera uppgifter om biverkningar av läkemedel. Läkemedelsverket gör sedan analyser och sammanställningar på avidentifierat material. Syftet är att identifiera mönster och tendenser bland biverkningsrapporterna. Redan en misstanke om en läkemedelsbiverkning ska rapporteras. Reglerna gäller även naturläkemedel, vissa utvärtes läkemedel och veterinära läkemedel. Rapportering görs av hälso- och sjukvårdspersonal och från enskilda konsumenter.
35.3 Läkemedelsregistrets användning m.m.
Det nuvarande läkemedelsregistret öppnar nya möjligheter att belysa angelägna frågeställningar som att följa upp långsiktiga risker och nytta med läkemedel samt att göra praxisstudier och uppföljning av hur läkemedel förskrivs och används i befolkningen.12Vid införandet av registret föreslog dock regeringen att registrering och redovisning av uppgifter till Socialstyrelsen ska begränsas till uppgifter för epidemiologiska undersökningar, forskning och framställning av statistik inom hälso- och sjukvårdsområdet.13Förslaget överensstämde med det förslag som utredningen om uppföljning inom läkemedelsområdet lämnade.14
Regeringens motiv till att begränsa ändamålen var följande.
Precisering av ändamålen för ett register är viktig. Därigenom bestäms på vilket sätt den personuppgiftsansvarige får utnyttja registret. Att i
11 Enligt övergångsbestämmelserna till förordning (2006:272) om läkemedelsförordning upphävdes förordningen (2001:710) om biverkningsregister angående läkemedel hos Läkemedelsverket. 12 Socialstyrelsen Fyra år med läkemedelsregistret, (2009) 13Prop. 2004/05:7014SOU 2003:52
Socialstyrelsens läkemedelsregister SOU 2014:23
958
författning ange de ändamål som ett register får användas för skall ses som ett led i strävan att så långt möjligt skydda den personliga integriteten för de registrerade. Uppgifterna i registret får på så sätt komma till användning endast i vissa situationer och för vissa särskilt angivna och av lagstiftaren godkända syften. Man kan säga att ju färre ändamål som medges av lagstiftaren desto snävare blir tillämpningsområdet för registret och därigenom minskar risken för intrång i den personliga sfären. Ett läkemedelsregister hos Socialstyrelsen av det slag som regeringen bedömer bör inrättas kommer att innehålla information av känslig natur och omfatta många personer. Ett sätt att ytterligare värna om den enskildes integritet skulle därför kunna vara att begränsa registrets ändamål. Det väsentliga syftet med att bygga upp ett nationellt läkemedelsregister är att forskningen därigenom kan erhålla ett värdefullt källmaterial. I all medicinsk forskning ingår inslag av statistik. Epidemiologiska undersökningar är också bundna till statistik. Gränsdragningen mellan dessa tre begrepp är inte alldeles enkel att göra. För att undvika tillämpningsproblem bör man liksom nu sker uttryckligen ange samtliga dessa tre ändamål men, för att skydda den personliga integriteten, begränsa ändamålen till dessa. En sådan begränsning skulle enligt vad utredningen redogjort för inte minska Socialstyrelsens möjligheter att i enlighet med sin instruktion analysera och rapportera om hälsoutvecklingen här i landet på läkemedelsområdet. Den uppgiften handhar Socialstyrelsen nämligen i huvudsak genom det epidemiologiska centret och genom den statistik som styrelsen eljest tar fram
.
Förslaget överensstämde i stort med det utredningen om uppföljning inom läkemedelsområdet lade fram i betänkandet Ökad patientsäkerhet på läkemedelsområdet. Utredningen konstaterade att förskrivning av läkemedel är den i särklass vanligaste behandlingsstrategin inom svensk sjukvård i dag samtidigt som kunskaperna om ett läkemedels effekter och biverkningar är begränsade när det godkänns för försäljning. För att öka säkerheten för patienterna både när det gäller att få bästa möjliga effekt och att få så få biverkningar som möjligt behövs bättre kunskap och möjligheter till uppföljning.
Utredningen framhöll att tillgången till ett läkemedelsregister är till stort gagn för genomförande av forskning och epidemiologiska undersökningar på läkemedelsområdet och att ett läkemedelsregister, i form av ett hälsodataregister, skulle vara av mycket stor betydelse också för den enskilde individen. Att använda sig av hälsodataregister skulle innebära att materialinsamlingen görs
15SOU 2003:52 avsnitt 8.10.
SOU 2014:23 Socialstyrelsens läkemedelsregister
959
fortlöpande och kumuleras till redan insamlat material som är tillgängligt direkt och det kan således utnyttjas för en rad forskningsprojekt utan några eller med endast begränsade kompletterande resursinsatser. Med beaktande av detta ansåg utredningen att övervägande skäl talar för att uppgifter om läkemedelsanvändningen ska tas in i register utan krav på den berörda personens samtycke för att kunna användas för epidemiologiska undersökningar, forskning och framställning av statistik.
Kort om Socialstyrelsens arbete
Socialstyrelsen är enligt sin instruktion förvaltningsmyndighet för verksamhet som rör hälso- och sjukvård och annan medicinsk verksamhet m.m. Myndigheten ska verka för att hälso- och sjukvården och socialtjänsten bedrivs enligt vetenskap och beprövad erfarenhet, ansvara för kunskapsutveckling och kunskapsförmedling inom sitt verksamhetsområde, följa, analysera och rapportera om hälsa, hälso- och sjukvård, socialtjänst samt stöd och service till vissa personer med funktionsnedsättning genom statistikframställning, uppföljning, utvärdering och epidemiologiska studier, och följa forsknings- och utvecklingsarbete av särskild betydelse inom sitt verksamhetsområde samt verka för att sådant arbete kommer till stånd m.m. Socialstyrelsen har även uppdraget att utforma evidensbaserade riktlinjer för åtgärder inom hälso- och sjukvården samt socialtjänsten.
Socialstyrelsen har alltså det övergripande nationella ansvaret för läkemedelsanvändning. Uppföljningen omfattar dels att följa hur läkemedelsanvändningen utvecklas, dels att följa den positiva och negativa påverkan på sjuklighet som läkemedelsanvändningen har.
Socialstyrelsens arbete med läkemedelsfrågor har flera utgångspunkter. En central fråga för både tillsyn och uppföljningsverksamhet är hur läkemedel hanteras och används. Från den 1 juni 2013 har Inspektionen för vård och omsorg (IVO) tagit över tillsynsuppgiften från Socialstyrelsen. Uppgifter om läkemedelsförsäljning kommer bland annat från läkemedelsregistret hos Socialstyrelsen och från eHälsomyndigheten.
Socialstyrelsen och Sveriges Kommuner och Landsting (SKL) ger sedan 2006 årligen ut rappor ten Öppna jämförelser av hälso- och sjukvårdens kvalitet och effektivitet. Socialstyrelsen har därutöver fått regeringens uppdrag att ta fram fler öppna jämförelser
Socialstyrelsens läkemedelsregister SOU 2014:23
960
inom hälso- och sjukvårdsområdet, varav Öppna jämförelser av läkemedelsbehandlingar 2013, är en. Arbetet har genomförts i samverkan med Läkemedelsverket och SKL. Syftet med öppna jämförelser är att skapa öppenhet och förbättrad insyn i den offentligt finansierade vården och ge landstingen underlag för styrning, fördjupad analys och förbättringsarbeten i den egna verksamheten. Rapporterna riktar sig främst till beslutsfattare i landstingen, chefer i hälso- och sjukvården samt hälso- och sjukvårdspolitiker. Rapporterna ger också allmänheten insyn och underlag för en offentlig debatt om hälso- och sjukvården i Sverige.
Kort om Läkemedelsverkets arbete
Läkemedelsverkets uppgift är att se till att läkemedel är effektiva säkra och av god kvalitet. Läkemedelsverket ska informera förskrivarkåren om den optimala användningen av läkemedel, baserat på den dokumentation som finns vid godkännandet, men också förmedla den kunskap om läkemedlets effekt- och biverkningsprofil som tillkommer efterhand.
Vidare ska Läkemedelsverket särskilt svara för kontroll och tillsyn enligt läkemedelslagen, föreskrifter och allmänna råd i fråga om läkemedel samt forskning på områden av betydelse för den kontroll och tillsyn som ska bedrivas.
Kort om landstingens arbete
Ansvaret för att medborgarna får hälso- och sjukvård vilar enligt hälso- och sjukvårdslagen (1982:763), förkortad HSL, på kommuner och landsting. Landstingens ansvar i egenskap av finansiär och huvudman för merparten av den offentligfinansierade hälso- och sjukvården innefattar även ett ansvar för hela verksamhetens innehåll, där läkemedelsförmånerna ingår.
Det är eHälsomyndigheten som lämnar ut data till landstingen om uthämtade receptförskrivna läkemedel på individnivå för ändamålen ekonomisk och medicinsk uppföljning samt för framställning av statistik (jfr 6 § punkten 5 receptregisterlagen). Det är till stor del motsvarande uppgifter som överförs till Socialstyrelsens läkemedelsregister.
SOU 2014:23 Socialstyrelsens läkemedelsregister
961
Landstingen kan i dag, efter begäran om utlämnande, även få tillgång till information från läkemedelsregistret och Socialstyrelsens övriga hälsodataregister i form av aggregerad statistik där inga uppgifter kan hänföras till en viss person. Dessa uppgifter får i sin tur användas till uppföljning, utvärdering och kvalitetssäkring – som kan tjäna som återkoppling till vården.
35.4 Uppföljning, utvärdering och kvalitetssäkring m.m.
I lagen om hälsodataregister regleras de olika ändamålen för vilka personuppgifter får användas. Ändamålen att följa upp, utvärdera och kvalitetssäkra hälso- och sjukvården är en angelägen uppgift som blir allt viktigare på central nivå i en situation som kräver ändamålsenligt nyttjande av tillgängliga ekonomiska och personella resurser. I 31 § HSL anges att inom hälso- och sjukvården ska kvalitet i verksamheten systematiskt och fortlöpande utvecklas och
säkras (jfr även 16 § tandvårdslagen [1985:125]
). Med hänsyn
härtill och det övergripande ansvar som centrala förvaltningsmyndigheter har på respektive verksamhetsområde för ett effektivt utnyttjande av samlade resurser ansågs det vara väl motiverat att uppgifter i ett hälsodataregister får behandlas för uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård på central nivå.16
Närmare om uppföljning
Med begreppet uppföljning avses att fortlöpande och regelbundet mäta och beskriva behov, verksamheter och resursåtgång angivet i termer av t.ex. behovstäckning, produktivitet och nyckeltal. Uppföljning syftar till att ge en översiktlig bild av en verksamhets utveckling och att fungera som signal för avvikelser som bör beaktas.
De senaste åren har präglats av en ökad medborgarorientering i verksamhetsuppföljning som syftar till att stärka patienters, allmänhetens samt politiska eller administrativa beslutsfattares tillgång till information om vårdens resultat i olika avseenden.17
Socialstyrelsens läkemedelsregister SOU 2014:23
962
Tidigare var verksamhetsuppföljning i huvudsak inriktad på en producents intresse av information om verksamhetens medicinska kvalitet, effektivitet och ekonomiska kostnader eller resultat. Socialtjänstdatautredningen konstaterade att det finns ett påtagligt och befogat behov av att kunna behandla personuppgifter för att få fram information om hälso- och sjukvårdsverksamheten.18 I allmänhet är det fullt tillräckligt att bara använda uppgifter från den individbaserade vårddokumentationen, m.a.o. uppgifter som samlats in därför att de behövs i den individinriktade hälso- och sjukvården. Men det förekommer också att man följer upp resursanvändningen på individnivå genom att koppla samman vårddokumentation med andra uppgifter, t.ex. genom användning av metoden Kostnad Per Patient (KPP) som beräknar kostnader för olika insatser som utförs. I och med sammankopplingen mellan vårddokumentation och kostnadsinformation blir det fråga om något mer än enbart sekundär användning av redan insamlade personuppgifter.
Systematisk uppföljning av förskrivning och användning av läkemedel kan ta sikte på en rad olika aspekter inom hälso- och sjukvårdsverksamheten. Ett centralt område är kunskapsinhämtning med fokus på den mer direkta patientnytta utifrån sådana aspekter som patientsäkerhet, förbättring av behandlingsmetodik etc. Andra aspekter kan vara effektiv resursanvändning, likvärdighet i behandling mellan olika geografiska delar av hälso- och sjukvården. En uppföljning kommer även patienterna till del.
Närmare om utvärdering
När det gäller utvärdering avses här analys och värdering av kvalitet, effektivitet och resultat hos en verksamhet i förhållande till de mål som bestämts för denna.
Närmare om kvalitetssäkring
Inom hälso- och sjukvården är begreppet kvalitet centralt. Att verksamheten ska vara av god kvalitet uppställs i hälso- och sjukvårdslagen som ett av de grundläggande kraven på alla hälso- och sjukvård. Vården ska bl.a. hålla en god personell och materiell
18SOU 2009:32.
SOU 2014:23 Socialstyrelsens läkemedelsregister
963
standard och ges i enlighet med vetenskap och beprövad erfarenhet.19Att vårdens resultat ska medför förbättrad hälsa och hög patienttillfredsställelse är ett annat sätt att uttrycka kärnan i begreppet god vårdkvalitet. I 31 § HSL föreskrivs att kvaliteten inom verksamheten systematiskt och fortlöpande ska utvecklas och säkras. Motsvarande bestämmelser finns i tandvårdslagen. Genom dessa bestämmelser finns det ett författningsreglerat krav på vårdgivare inom hälso- och sjukvården att bedriva både kvalitetssäkring och kvalitetsutveckling. Kravet på kvalitetssäkring infördes 1997 och innebär enligt förarbetena en förpliktelse för vårdgivare, såväl offentliga som privata, att utveckla metoder för att noga följa upp och analysera utvecklingen vad gäller kvalitet och säkerhet.20Från den 1 januari 2012 gäller en gemensam reglering för socialtjänsten och hälso- och sjukvården, Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete. Vårdgivaren och den som bedriver socialtjänst ska enligt denna identifiera, beskriva och fastställa de processer i verksamheten som behövs för att säkra verksamhetens kvalitet
Med begreppet kvalitetssäkring menas en utvärderingsprocess i vilken man fortlöpande och systematiskt beskriver, mäter och värderar kvaliteten i den egna verksamheten.
Förskrivning av läkemedel är i den i särklass vanligaste behandlingsstrategin inom svensk sjukvård i dag.21Samtidigt är kunskaperna om ett läkemedels effekter och biverkningar begränsade när det godkänns för försäljning. För att öka säkerheten för patienterna både när det gäller att få bästa möjliga effekt och att få så få biverkningar som möjligt behövs bättre kunskap och möjligheter till uppföljning.
Statistik
Statistik har som syfte att ge information av allmänt intresse i frågan om samhällsutveckling och samhällsförhållanden. I lagen (2001:99) om den officiella statistiken anges att till sådan statistik räknas den statistik för samhällsplanering, forskning, allmän information och internationell rapportering som en statlig myndighet framställer.
Socialstyrelsens läkemedelsregister SOU 2014:23
964
Forskning m.m.
Epidemiologi är vetenskapen om hälsoförhållanden i befolkningen och de faktorer som påverkar eller bidrar till olika typer av ohälsa. Epidemiologin har en central betydelse för att påvisa riskfaktorer för en lång rad av sjukdomar hos befolkningen och ge underlag till systematiskt genomförda försök med förebyggande insatser. Vid den epidemiologiska verksamheten hos Socialstyrelsen används uppgifter ur de nuvarande registren både för framställning av statistik och för att ta fram andra slag av särskilda rapporter och redogörelser över aktuella frågeställningar. Användningen av hälsodataregister för epidemiologiska undersökningar som resulterar i statistiska beskrivningar får anses täckas av ändamålsbestämmelsen statistik. 22
Epidemiologiska undersökningar som resulterar i andra former av redovisningar än ren statistik bör i många fall kunna täckas av ändamålsbestämmelsen forskning. För att undvika tillämpningsproblem och med hänsyn till svårigheten att dra en exakt gräns för vad som ska avses med forskning utformades ändamålsbestämmelsen för hälsodataregister så att uppgifter i ett hälsodataregister får behandlas för forskning och epidemiologiska undersökningar.23
Skillnad mellan de olika ändamålen
Skillnaden mellan forskning och uppföljning, utvärdering och kvali-
prövning av forskning som avser människor ges en definition av vad som avses med forskning enligt den lagen. Med forskning avses där vetenskaplig forskning samt utvecklingsarbete på vetenskaplig grund. I förarbetena till bestämmelsen anförs att avgränsningen bl.a. bygger på OECD:s riktlinjer. Vidare påpekas att fråga uppkommer om gränsdragningen mellan vetenskaplig forskning och t.ex. kvalitetssäkring och resultatuppföljning. Där hänvisas till 31 § HSL enligt vilken bestämmelse kvaliteten i verksamheten inom hälso- och sjukvården systematiskt och fortlöpande ska utvecklas
SOU 2014:23 Socialstyrelsens läkemedelsregister
965
och säkras. Sådan och liknande verksamhet avses inte utgöra forskning i lagens mening.25
Även i 3 § lagen om hälsodataregister, som handlar om för vilka ändamål personuppgifter får behandlas, görs en skillnad mellan uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård å ena sidan och forskning och epidemiologiska undersökningar å andra sidan. Ett påpekande om att begreppet forskning inte får förväxlas med uppföljning, utvärdering eller kvalitetssäkring görs också i förarbetena till lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.26
När det gäller skillnad mellan statistik och uppföljning, utvärdering och kvalitetssäkring kan följande beskrivning som gjordes av Socialtjänstdatautredningen lyftas fram.27Utredningen beskrev förhållandet mellan statistik och verksamhetsuppföljning på följande sätt. Utredningen utgår från det samlade begreppet verksamhetsuppföljning och därigenom avses att detta omfattar begreppen uppföljning, utvärdering och kvalitetssäkring. Även begreppet öppen jämförelse har en naturlig anknytning till verksamhetsuppföljning och behandlas i utredningens resonemang tillsammans med begreppet verksamhetsuppföljning. Utredningen utgår även från den skiljelinjen att statistik och användandet av uppgifter för statistiska ändamål skiljer sig från verksamhetsuppföljning och användandet av uppgifter för uppföljning, utvärdering och kvalitetssäkring och öppna jämförelser.
I rättsfallet RÅ 2004 ref 9 uttalade Högsta förvaltningsdomstolen att det förhållande att uppgifter inom ramen för uppföljning, utvärdering och liknande verksamhet sammanställs statistiskt inte kan anses innebära att uppgifterna används för statistikändamål i den mening som avses i dåvarande 9 kap. 4 § sekretesslagen (nuvarande 24 kap. 8 § OSL). Frågan gällde om uppgifter ur Socialstyrelsens dödsorsaksregister kunde lämnas ut med stöd av de undantag från sekretess som anges i sekretesslagen (9 kap. 4 §) då uppgiften behövdes för statistikändamål.
25Prop. 2002/03:50 s. 90 f och 192. 26Prop. 2000/01:80 s. 138. 27SOU 2009:32.
Socialstyrelsens läkemedelsregister SOU 2014:23
966
35.5 Våra överväganden och förslag
35.5.1 Utvecklingen på området
Nuvarande hälsodataregister bygger således på principen att uppgifter som ingår i respektive register är knutna till en angiven person och tillförs registret utan krav på samtycke från den enskilde. Det har gjorts en avvägning mellan den nytta som både i ett snävt personperspektiv och i ett brett samhällsperspektiv är förbunden med registret och det integritetsproblem som kan vara förknippat med att finnas i ett register. Vid den avvägningen har man funnit att nyttan med registren väger över och att man som enskild får tåla det intrång som registreringen kan upplevas som. 28
Som bestämmelserna ser ut i dag kan uppgifter i läkemedelsregistret inte användas för att läkemedel i vården ska kunna följas upp eller för åtgärder som avser bland annat kvalitetssäkring. I frågan om nytillkomna uppgifter (efter 1 juli 2005) får, som har framgått tidigare, dessa inte användas för uppföljning och kvalitetssäkring.
Läkemedelsregistret har framgångsrikt använts för de ändamål som anges i förordningen. Registret har gett den medicinska forskningen nya möjligheter att utveckla kunskap och samhället har på olika sätt fått viktiga underlag genom den statistik som Socialstyrelsen producerar. I praktiken kan sägas att den mer begränsade ändamålsbestämmelsen hitintills inte inneburit att Socialstyrelsen hindrats i sitt arbete med registret. Det kan samtidigt konstateras att det informationsbehov som Socialstyrelsen tillgodoser genom sin registerverksamhet är under klar förändring. Det har blivit en ökad fokusering på uppdrag som avser utvärderingar och uppföljningar av olika verksamheters funktionssätt. Behoven kommer till uttryck bland annat genom regeringsuppdrag till Socialstyrelsen men informationen efterfrågas från lokala och regionala aktörer som behöver uppgifter för sitt uppföljnings- och utvecklingsarbete när det gäller läkemedel inom hälso- och sjukvårdsområdet. I samband med dessa nya uppdrag och förfrågningar har utformningen av läkemedelsregistrets ändamålsbestämmelse kommit att skapa en del svårigheter. En fråga som uppkommer då är gränsdragningen mellan statistik å ena sidan och uppföljning, utvärdering och kvalitetssäkring å andra sidan.
SOU 2014:23 Socialstyrelsens läkemedelsregister
967
Socialstyrelsen arbetar med utveckling av kvalitetsindikatorer angående läkemedelsanvändning och detta arbete har utvecklats sedan tillkomsten av läkemedelsregistret29. Läkemedelsindikatorer finns nu med i de nationella riktlinjerna för hälso-och sjukvården t.ex. i riktlinjer för diabetes, hjärtsjukvård, strokesjukvård, samt i riktlinjer för ångest och depression.
Ett annat exempel är att fyra landsting tillsammans har utvärderat och publicerat ett antal läkemedelsindikatorer då de utnyttjar läkemedelsregistrets möjligheter att jämföra läkemedelsanvändningen i Stockholms län, Skåne, Västra Götaland och Östergötland med riket. Arbetet med öppna jämförelser av hälso- och sjukvårdens kvalitet och effektivitet som Socialstyrelsen gör tillsammans med Sveriges Kommuner och Landsting, startade 2006. I den första rapporten var 5 av de 56 indikatorerna läkemedelsindikatorer, 2007 var de 13 av totalt 75 indikatorer, och 2008 var de 20 av totalt 101. I rapporten för 2009 ökade antalet indikatorer som är framtagna med hjälp av läkemedelsregistret ytterligare.
Öppna jämförelserapporterna har fått ett stort genomslag, både 2007 och 2008 års rapporter är översatta till engelska vilket inneburit att läkemedelsindikatorer som underlag för förbättringsarbete har även uppmärksammats utomlands. De läkemedelsindikatorer som använts i öppna jämförelser och i arbetet med nationella riktlinjer bygger främst på tre olika sätt att använda läkemedelsregistret och att mäta läkemedelsanvändningen. De lite enklare måtten bygger på analyser av konsumtion av läkemedel i befolkningen.
För liknande mått där man vill studera följsamhet till behandlingsrekommendationer krävs ofta att man kan identifiera helt nya användare av ett läkemedel med syftet att bland annat få en så homogen grupp som möjligt. För detta krävs att personen inte haft något uttag av läkemedlet i fråga under en längre period. Då denna period helst ska vara minst två år är det först nu som liknande analyser kan genomföras. Detta gäller framför allt om man vill jämföra nyinsättning av läkemedel under olika perioder.
De mer avancerade måtten kräver samkörningar med flera av de andra nationella hälsodataregistren. Socialstyrelsen utvecklar fortlöpande, i samarbete med nationella experter, nya kvalitetsindikatorer som bygger på läkemedelsregistret.30
29 Socialstyrelsen Fyra år med läkemedelsregistret s. 37 f. 30 Socialstyrelsen Fyra år med läkemedelsregistret s. 37 f.
Socialstyrelsens läkemedelsregister SOU 2014:23
968
Socialstyrelsen har fått i uppdrag av regeringen att utreda förutsättningarna för att integrera individbaserade data för rekvisitionsläkemedel i ett hälsodataregister. Arbetet har redovisats i två rapporter. I Förstudie kring individdata för rekvisitionsläkemedel (2012) slår Socialstyrelsen fast att det är viktigt att följa upp användningen av rekvisitionsläkemedel för att det ska vara möjligt att ge en helhetsbild av befolkningen läkemedelsbehandling. Socialstyrelsen har i rapporten Uppföljning av rekvisitionsläkemedel – förutsättningar för integrering i ett hälsodataregister (2013) föreslagit hur individdata för rekvisitionsläkemedel kan integreras i Socialstyrelsens läkemedelsregister. I rapporten redogörs även för hur data bör förberedas, vilka uppgifter som bör registreras, hur täckningsgrad och kvalitet för dessa data ska mätas för att säkerställa tillförlitligheten för uppföljning eller statistikunderlag. Socialstyrelsen konstaterade bland annat att det krävs en ändring i förordningen om läkemedelsregister hos Socialstyrelsen som i dag anger att läkemedelsuppgifter bara kan hämtas till läkemedelsregistret från öppenvården, inte från slutenvården.
Socialstyrelsen lyfter fram att om uppgifterna i läkemedelsregistret även ska kunna användas för andra ändamål än de befintliga, t.ex. för uppföljning, utvärdering och kvalitetssäkring behöver bestämmelserna i 3 § förordningen om läkemedelsregister hos Socialstyrelsen kompletteras.
Vi bedömer att den rådande utvecklingen på området, bl.a. med hänsyn till Socialstyrelsens roll som kunskapsstyrande myndighet på området, gör att utformningen av nuvarande ändamålsbestämmelse kan ifrågasättas.
Förstudie från CeHis
Center för eHälsa i samverkan (CeHis) har i Förstudie om uppföljning av användningen av rekvisitionsläkemedel på individnivå (15 oktober 2013) undersökt förutsättningarna för huvudmännen (landstingen) att extrahera aktuell information ur sina journalsystem för överföring till ett nationellt register. CeHis har utgått från Socialstyrelsens förslag att läkemedelsregistret ska utökas med data om rekvisitionsläkemedel och föreslagit att ändamålen bör utökas. I förstudien konstateras att samtliga hälsodataregister bör tillåta personuppgiftsbehandling för samma ändamål. Förstudiens förslag att utöka ändamålen för läkemedelsregistrets personupp-
SOU 2014:23 Socialstyrelsens läkemedelsregister
969
giftsbehandling motiveras med att uppgifter som bedöms vara lika integritetskänsliga bör få användas för samma ändamål i alla hälsodataregister. Uppgifter om diagnoser från vårdtillfällen, lagrade i patientregistret får till exempel användas även för uppföljning, utvärdering och kvalitetssäkring. Att de båda hälsodataregistren har olika tillåtna ändamål innebär dessutom att det i dag inte är tillåtet att samköra patientregistret och läkemedelsregistret för något av ändamålen uppföljning, utvärdering och kvalitetssäkring. Det är svårt att se att uppgifterna om läkemedelsanvändning är mer integritetskänsliga än uppgifter om diagnos – snarare brukar uppgifter om diagnos betraktas som mer integritetskänsliga.
35.5.2 Nya ändamål bör införas i läkemedelsregistret
Vårt förslag: Ändamålsbestämmelsen i förordningen (2005:363)
om läkemedelsregister hos Socialstyrelsen ska utökas till att omfatta även uppföljning, utvärdering och kvalitetssäkring inom hälso- och sjukvårdsområdet. En konsekvens av förslaget är att det krävs en följdändring i lagen (1996:1156) om receptregister.
I tidigare lagstiftningsarbeten när det gäller hälsodataregister har konstaterats att ju färre ändamål som medges desto snävare blir tillämpningsområdet för ett register och därigenom minskar risken för intrång i den personliga integriteten. När läkemedelsregistret infördes uttalades att ett läkemedelsregister hos Socialstyrelsen kommer att innehålla information av känslig natur och omfatta många personer och att ett sätt att ytterligare värna om den enskildes integritet skulle därför kunna vara att begränsa registrets ändamål.31
För att skydda den personliga integriteten begränsades ändamålen till forskning, epidemiologiska undersökningar och statistik när det gäller läkemedelsregistret.
Av utredningens direktiv framgår att läkemedelsregistret bör kunna användas för uppföljning och kvalitetssäkring.32
Socialstyrelsens uppdrag innefattar att vara en ledande kunskapsstyrande myndighet. Vi kan konstatera att det Socialstyrelsen gör
31SOU 2003:5. 32 S2011:111.
Socialstyrelsens läkemedelsregister SOU 2014:23
970
i dag i form av t.ex. öppna jämförelser i och för sig kan göras med stöd av ändamålet statistik. Men det kan även ligga nära arbetet med uppföljning, utvärdering och kvalitetssäkring. Gränsdragningen mellan statistik och uppföljning, utvärdering och kvalitetssäkring är inte alltid helt klar.
Vid en jämförelse av ändamålen statistik och bl.a. uppföljning bör följande nämnas. Som tidigare har framgått har statistik som syfte att ge information av allmänt intresse i frågan om samhällsutveckling och samhällsförhållanden. Vidare framgår av lagen om den officiella statistiken att till sådan statistik räknas den statistik för samhällsplanering, forskning, allmän information och internationell rapportering som en statlig myndighet framställer. Det samlade begreppet verksamhetsuppföljning omfattar begreppen uppföljning, utvärdering och kvalitetssäkring. Även begreppet öppen jämförelse har en naturlig anknytning till verksamhetsuppföljning och kan behandlas tillsammans med detta begrepp. Statistik och användandet av uppgifter för statistiska ändamål skiljer sig från verksamhetsuppföljning och användandet av uppgifter för uppföljning, utvärdering och kvalitetssäkring och öppna jämförelser.33
Som beskrivits ovan kan Socialstyrelsen i dag göra till exempel arbetet med öppna jämförelser till ändamålet statistik men det kan lika gärna falla under ett ändamål som uppföljning. Enligt utredningens bedömning är det inte lämpligt att det är en sådan begränsning av ändamålen i förordningen om läkemedelsregister hos Socialstyrelsen när en stor del av Socialstyrelsens uppdrag består av just uppföljning och kvalitetssäkring av läkemedel inom hälso- och sjukvårdsområdet.
Det bör enligt utredningens bedömning göras en anpassning av bestämmelserna i läkemedelsregistret till övriga hälsodataregister. En harmonisering av lagstiftningen när det gäller hälsodataregistren som förs hos Socialstyrelsen bör göras för att myndigheten ska kunna fortsätta sitt arbete med att vara kunskapsstyrande och ta fram information för uppföljning- och utvecklingsarbete avseende läkemedel inom hälso- och sjukvården . Enligt utredningens bedömning kommer skillnaden, ur ett praktiskt perspektiv, inte heller att vara så betydande eftersom just vad som kan hänföras till ändamålen statistik och uppföljning inte är helt klar.
33SOU 2009:32.
SOU 2014:23 Socialstyrelsens läkemedelsregister
971
I jämförelse med de andra hälsodataregistren där uppgifterna i registren kan användas för ändamålen uppföljning, utvärdering och kvalitetssäkring så kan det uppfattas som ologiskt att inte uppgifterna i läkemedelsregistren kan användas även för dessa ändamål. Uppföljning av läkemedelsanvändningen, som för övrigt vad huvudsyftet för att införa ett läkemedelsregister, är fortfarande en av de viktigtaste uppgifterna med att registrera läkemedel.
Efter en avvägning mot den enskildes integritet och mot att ge Socialstyrelsen möjlighet att, i enlighet med sitt uppdrag, göra uppföljningar, utvärdera och kvalitetssäkra läkemedel inom hälso- och sjukvårdsområdet så gör utredningen bedömningen att nyttan med en utökning av ändamålen väger över det intrång i den personliga integriteten som skulle kunna uppstå. Ändringen innebär i praktiken ingen en större skillnad mot i dag. Utredningens bedömning är att integritetsriskerna inte är av sådan omfattning att föreslagna förändringar inte kan genomföras. I sammanhanget är det viktigt att komma ihåg att uppgifterna i Socialstyrelsens läkemedelsregister omfattas av absolut sekretess (24 kap. 8 § OSL). Vidare så arbetar Socialstyrelsen när det gäller läkemedelsregistret med uppföljning på verksamhetsnivå och inte med uppföljning av hälsan hos enskilda individer. Socialstyrelsen använder uppgifter från läkemedelsregistret i aggregerad form.
Utredningen föreslår därför att ändamålet i läkemedelsregistret ska utökas till att omfatta även uppföljning, utvärdering och kvalitetssäkring inom hälso- och sjukvårdsområdet. Till denna slutsats har utredningen kommit genom att väga den samhällsnytta och den nytta för den enskilde som en sådan utökning av ändamålet i registret för med sig mot det intrång i den enskildes integritet som en utökning av ändamålet innebär. På samma sätt som redan konstaterats vid tillkomsten av de övriga hälsodataregistren väger nyttan med en föreslagen utökning av registret enligt utredningens mening så tungt att man som enskild får finna sig i att uppgifterna kan användas även för uppföljning, utvärdering och kvalitetssäkring när det gäller läkemedel inom hälso- och sjukvårdsområdet.
Socialstyrelsens läkemedelsregister SOU 2014:23
972
35.5.3 Uppgift om förskrivningsorsak bör få registreras i läkemedelsregistret
Vårt förslag: Bestämmelsen i förordningen om läkemedels-
register hos Socialstyrelsen om vilka personuppgifter som får registreras ska utökas till att omfatta även uppgift om förskrivningsorsak. Förskrivningsorsak ska anges med en kod. Som en konsekvens av förslaget krävs följdändringar i receptregisterlagen.
I utredningens uppdrag ingår att föreslå hur ändamålen för behandling av personuppgifter i läkemedelsregistret kan anpassas till de ändamål som gäller för övriga hälsodataregister. I föregående avsnitt har utredningen också föreslagit förändringar för en sådan anpassning. I direktiven framgår även att vi har möjlighet att ta upp frågor som inte nämns i direktiven men som enligt utredaren behöver analyseras eller regleras för att uppdraget ska utföras på ett tillfredställande sätt.34I uppdraget har utredningen sett att det finns ett behov av se över om uppgift om förskrivningsorsak bör få registreras i läkemedelsregistret. Mot bakgrund av de övriga förslag som läggs fram i betänkandet har utredningen kommit fram till att bestämmelsen om vilka personuppgifter som får registreras i läkemedelsregistret bör utökas till att också innefatta uppgift om förskrivningsorsak. Vårt förslag redovisas nedan.
I förordning om läkemedelsregistret hos Socialstyrelsen stadgas i 4 § vilka uppgifter som får registreras i läkemedelsregistret. Enligt bestämmelsen får uppgift om inköpsdag, vara, mängd, dosering, kostnad och kostnadsreducering enligt lagen (2002:160) om läkemedelsförmåner m.m., patientens personnummer och folkbokföringsort, samt förskrivarens yrke, specialitet och arbetsplatskod registreras i läkemedelsregistret. eHälsomyndigheten ska lämna ut motsvarande uppgifter till Socialstyrelsen (16 § receptregisterlagen).
Tidigare var det tillåtet att även lagra uppgift om förskrivningsorsak i läkemedelsregistret men i samband med att läkemedelsregistret omvandlades till ett hälsodataregister år 2005 upphörde möjligheten för dåvarande Apoteket AB att överföra uppgift om förskrivningsorsak till registret. Regeringen anförde i för-
34 Dir. 2011:111 Förbättrad tillgång till personuppgifter inom och mellan hälso- och sjukvården och socialtjänsten m.m.
SOU 2014:23 Socialstyrelsens läkemedelsregister
973
arbetena att då koder för förskrivningsorsak ännu inte var framtagna, borde läkemedelsregistret inte innehålla uppgift om förskrivningsorsak.35
Ändamålet med receptregistret är huvudsakligen att samla in uppgifter för att sedan redovisa ett urval av uppgifter till olika mottagare, som i sin tur använder uppgifterna på olika sätt. Det som regleras i receptregisterlagen är hur uppgifterna ska hanteras så länge de finns i receptregistret hos eHälsomyndigheten och vad som är tillåtet i fråga om vidareredovisning till andra register och aktörer.
Enligt receptregisterlagen får eHälsomyndigheten endast lämna ut uppgift om förskrivningsorsak för de ändamål som avses i 6 § första stycket punkten 5 och punkten 6. Det är således tillåtet att lämna ut uppgift för registrering och redovisning till landstingen av uppgifter för ekonomisk och medicinsk uppföljning samt för framställning av statistik, samt registrering och redovisning till förskrivare, till verksamhetschefer enligt hälso- och sjukvårdslagen och till läkemedelskommittéer enligt lagen (1996:1157) om läkemedelskommittéer av uppgifter för medicinsk uppföljning, utvärdering och kvalitetssäkring i hälso- och sjukvården.
Enligt 8 § samma lag framgår att i den utsträckning det behövs för ändamålen i 6 § får receptregistret innehålla bland annat förskrivningsorsak men av sista stycket i samma paragraf ska förskrivningsorsak anges med en kod. Eftersom inget kodsystem finns på plats innebär denna bestämmelse att ingen överföring av uppgift om förskrivningsorsak från förskrivare till receptregistret kunnat äga rum. Följaktligen har inte heller uppgift om förskrivningsorsak varit möjligt att lämna ut från receptregistret till landsting, förskrivare eller verksamhetschef.
Socialstyrelsen får meddela föreskrifter om koder för förskrivningsorsak (jfr 4 § förordningen [2009:625] om receptregister och 8 § receptregisterlagen). Under 2012 fick Socialstyrelsen i uppdrag av regeringen att utveckla en nationell källa för ordinationsorsak i form av ett strukturerat kodsystem för ordinationer. Med begreppet ordinationsorsak avses det som i lag och författning benämns förskrivningsorsak. Uppdraget avsåg ordinationer från såväl öppen som sluten vård. I uppdraget ingick att analysera och lämna förslag till hur en sådan källa kan och bör införas i hälso- och sjukvården. Socialstyrelsen presenterade i juli 2013 slutrapporten Uppdrag att
Socialstyrelsens läkemedelsregister SOU 2014:23
974
utveckla en nationell källa för ordinationsorsak. Enligt rapporten har Socialstyrelsen tagit fram ett kodsystem för ordinationsorsaker och ändamålstexter för tre ATC-grupper, tydliggjort och ensat terminologin inom området samt anpassat Nationell ordinationsdatabas (NOD) till den strukturerade lagringen av uppgifter om ordinationsorsak. Socialstyrelsen har i sitt arbete även tagit fram ett förslag till införande i vården och ett förslag till drift och förvaltning samt vidareutveckling av kodsystemet. Socialstyrelsen fick därefter (februari 2014) i uppdrag att färdigställa kodsystemet och utreda en vidareutveckling av kodsystemets innehåll och i möjligaste mån planera för förvaltning av kodsystemet som helhet. När en förvaltningsorganisation är på plats finns möjlighet att börja använda den nationella källan för ordinationsorsak för de förskrivare som ordinerar sina läkemedel genom ordinationsverktyget Pascal.36
Uppdraget att ta fram en nationell källa för ordinationsorsak syftar i första hand till ökad patientsäkerhet i förskrivningsögonblicket samt en minskning av läkarnas administrativa belastning. Att ta fram ett kodsystem som möjliggör att uppgift om förskrivningsorsak kan överföras till receptregistret och därifrån redovisas till olika mottagare är dock främst angeläget ur uppföljningssynvinkel. Ökad kunskap om hur t.ex. behandlingseffekt och biverkningar är relaterade till ordinationsorsak skulle exempelvis vara av stort värde för bland annat Läkemedelsverket och Socialstyrelsen. Uppföljningsbara uppgifter om ordinationsorsak underlättar enligt en utredning som Läkemedelsverket gjorde 2011 också en utvidgning av systemet för generiskt utbyte.37
Möjligheten att följa upp läkemedelsanvändningen utifrån ordinationsorsak kan även vara ett viktigt led i bedömningen av ett läkemedels kostnadseffektivitet, inte minst vid introduktionen av nya och dyra läkemedel. För Tandvårds- och läkemedelsförmånsverket skulle tillgång till uppgifter från läkemedelsregistret som även innefattar uppgift om ordinationsorsak innebära att det blir lättare att per indikation värdera om nyttan av den aktuella förskrivningen motsvarar det pris som initialt har fastställts och gör det på så sätt möjligt att på ett tydligare sätt koppla pris till volym.
36 Pascal ordinationsverktyg är ett nationellt verktyg för ordination av dosläkemedel, när en patient får mediciner fördelade i påsar. 37 Läkemedelsverket; Utredning av förutsättningar för utvidgat utbyte respektive utbyte vid nyinsättning 2011-09-26.
SOU 2014:23 Socialstyrelsens läkemedelsregister
975
Uppgifter om förskrivningsorsak skulle – om de ingick i läkemedelsregistret – hanteras enligt samma rutiner som andra uppgifter i Socialstyrelsens hälsodataregister med motsvarande känslighet. Exempel på sådana uppgifter är uthämtad läkemedelsprodukt (i läkemedelsregistret) och patientens diagnos (i patientregistret). Alla utlämnanden av individbaserad statistik prövas enligt gällande sekretessbestämmelser och hanteras enligt de regelverk som beskrivs i personuppgiftslagen, patientdatalagen och lagen om hälsodataregister. Det får inte finnas någon risk att uppgifter om en enskild röjs och varje begäran bedöms därför mycket noggrant av Socialstyrelsen. Uppgifterna i Socialstyrelsens hälsodataregister omfattas av absolut sekretess enligt 24 kap. 8 § OSL. Av samma paragraf framgår att sekretessen kan brytas för forskningsändamål, men endast om det står klart att den som uppgifterna avser eller någon närstående inte kan lida skada eller men. Begäran från forskare om hantering av individdata måsta alltid godkännas av en etiksprövningsnämnd. Därefter gör Socialstyrelsen en oberoende prövning enligt offentlighets- och sekretesslagens regelverk. Även här är det viktigt att framhålla att Socialstyrelsen när det gäller läkemedelsregistret arbetar med en verksamhets funktionssätt och inte uppföljning av hälsan hos enskilda individer och styrelsen använder uppgifter från registret i aggregerad form.
Utredningen föreslår därför att bestämmelsen om vilka personuppgifter som får registreras i läkemedelsregistret utökas till att också innefatta uppgift om förskrivningsorsak. Av hänsyn till behovet av skydd för den personliga integriteten ska uppgift om förskrivningsorsak, precis som i receptregistret, även i läkemedelsregistret registreras med en kod. Som en konsekvens av förslaget är det även nödvändigt med en följdändring i receptregisterlagen. Av den lagen ska det framgå att eHälsomyndigheten får redovisa förskrivningsorsak för registrering och redovisning till Socialstyrelsen.
977
36 Patientrapporterade mått
36.1 Bakgrund
För att kunna förbättra hälso- och sjukvården är det viktigt att ta tillvara på och kunna förstå patienternas upplevelser och erfarenheter av både vårdens resultat och processer. I sammanhanget talas ofta om PROM för utfallsmått och PREM för mått på patienternas tillfredsställelse och upplevelser. Förkortningarna kommer efter de engelska uttrycken Patient Reported Outcome Measures och Patient Reported Experience Measures.
Med hjälp av patientrapporterade utfallsmått kan hälso- och sjukvårdens aktörer mäta hur patienterna upplever sin sjukdom och sin hälsa efter genomgången behandling eller någon annan intervention. Det handlar således om att ta reda på och förstå hur patientens egen upplevda hälsorelaterade livskvalitet m.m. påverkas av olika hälso- och sjukvårdsåtgärder och värdera hälso- och sjukvårdens resultat utifrån patientens perspektiv. I praktiken går det ofta till på ett sådant sätt att patienten, elektroniskt eller manuellt, fyller i ett frågeformulär som sedan tas om hand av vårdgivaren eller tillfogas ett nationellt kvalitetsregister. Genom en systematisk insamling av patientrapporterade utfallsmått tas patienternas upplevelser tillvara och skapar över tid en viktig kunskapskälla för utvecklingen av hälso- och sjukvården.
Patientrapporterade utfallsmått kan ge svar på frågor som exempelvis vilka patienter som blir bättre, sämre eller oförändade efter en viss hälso- och sjukvårdsåtgärd. Särskilt genom att studera variationerna i de resultat patienterna rapporterar får hälso- och sjukvården bättre förutsättningar att utveckla verksamheten och initiera arbeten för att förbättra resultatet för patienterna. Om det finns gemensamma faktorer av betydelse för de patienter som exempelvis inte blir bättre, kan hälso- och sjukvården få värdefull insikt och underlag för att kunna göra de förändringar i verksamheten som
Patientrapporterade mått SOU 2014:23
978
bedöms medföra en ökad hälsorelaterad livskvalitet även för dessa patienter.
Vid sidan av de patientrapporterade utfallsmåtten, som primärt är inriktade på de medicinska resultaten av hälso- och sjukvården, är även kunskap om patienternas mer generella upplevelser och tillfredsställelse med hälso- och sjukvården viktiga att förstå och ta tillvara för att kunna utveckla verksamheten. Detta kan exempelvis innefatta frågor om bemötande, delaktighet, information, förtroende för vårdgivaren och tillgänglighet. Att ta reda på hur patienterna upplever hälso- och sjukvården är viktigt för att kunna förbättra de områden där patientera upplever att det finns brister, men det handlar även om att skapa förutsättningar för patienter att vara delaktiga och göra sin röst hörd.
36.1.1 Att mäta och samla in patientupplevelser
Arbetet med att samla in och ta tillvara på patienternas upplevelser drivs idag i stor utsträckning i anslutning till utvecklingen av nationella kvalitetsregister. Det stora flertalet nationella kvalitetsregister arbetar idag med att öka patienternas medverkan bland annat genom att samla in patientrapporterade utfallsmått och mått på patienteras upplevelser och erfarenheter. I detta ingår ett inte sällan omfattande arbete med att definiera vilka mått som är ändamålsenliga att använda och vilka frågor som är lämpliga att ställa i olika situationer. De patientrapporterade mått som är ändamålsenliga i en situation behöver nödvändigtvis inte vara det i en annan situation. För att avgöra vilka mått som är att lämpliga krävs därför djup kunskap bland annat om den aktuella verksamheten och dess processer samt om patienternas situationer. Frågor som kan behöva analyseras är bland annat om patienterna ska svara manuellt eller elektroniskt, om patienterna kan svara själva eller om någon utomstående behöver bistå, om mätningen syftar till att utvärdera en viss intervention och vilka olika dimensioner som behöver fångas, exempelvis hälsa, sjukdom, funktionsförmåga, patientnöjdhet etc.
För att stödja implementeringen av mätningar med patientrapporterade mått har bland annat PROMcenter tagit fram ett vägledande dokument.1 I dokumentet redogörs för ett antal viktiga
1 PROMcenter, Implementering av mätningar med PROM inom hälso- och sjukvården (2012).
SOU 2014:23 Patientrapporterade mått
979
steg och frågeställningar som behöver analyseras inför ett insamlande av utfallsmått. Det handlar bland annat om vikten av att välja lämpligt instrument, d.v.s. frågeformulär, för att kunna samla in den information som bedöms vara viktig för att kunna få kunskap i frågan. Ofta kan det vara aktuellt att välja fler än ett instrument eller ibland kombinationer av flera olika instrument. Därutöver aktualiseras även behovet av att kunna tillfoga mått som är specifika för den situation och verksamhet som det handlar om, t.ex. sjukdomsspecifika mått. Vissa verksamheter som inte hittar något lämpligt befintligt instrument kan även behöva skapa ett helt eget instrument.
Inte heller vad gäller själva insamlingen av uppgifter finns någon entydig lösning som är lämplig vid alla situationer. I vissa delar av hälso- och sjukvården och för vissa verksamheter behöver tiden för insamlingen exempelvis inte vara avgörande. I sådana fall kan det vara praktiskt att samla in uppgifterna när en kontakt med patienten äger rum. I andra situationer kan det vara avgörande att insamlingen görs vid ett specifikt tillfälle, till exempel om mätningen bör göras i ett visst medicinskt skede.
Även frågor om det praktiska tillvägagångssättet för att inhämta uppgifter är beroende av omständigheterna i den enskilda situationen. Såväl verksamhetens karaktär som patienternas förutsättningar kan vara avgörande för om, och i sådant fall hur, en manuell eller elektronisk insamling ska göras. Det kan exempelvis handla om att skicka en pappersversion av frågeformuläret, tillsammans med ett frankerat svarskuvert, hem till patienten. Ett annat alternativ är att tillhandahålla funktioner för elektronisk inrapportering efter inloggning på en hemsida. Att inhämta informationen muntligt i ett personligt möte eller över telefon är ytterligare ett alternativ.
Eftersom insamlingen av de patientrapporterade måtten i stor utsträckning görs i anslutning till ett nationellt eller regionalt kvalitetsregister påverkas de olika valen i dessa avseenden naturligtvis även av de omständigheter och de tillvägagångssätt som i övrigt gäller för det enskilda nationella kvalitetsregistret. Den process och det praktiska tillvägagångssättet behöver därför vara anpassad till de närmare förutsättningar som gäller för de olika kvalitetsregistrens datainsamling.
Patientrapporterade mått SOU 2014:23
980
36.2 Vårt uppdrag
Det är angeläget att på ett strukturerat sätt ta till vara patienternas upplevelser av hälso- och sjukvården och att patienter ges förutsättningar att vara en medproducent av information i hälso- och sjukvården.
Regeringen anför i utredningsdirektiven att det i nuvarande lagstiftning är svårt att identifiera gränsen mellan patientens egen personuppgiftsbehandling och den personuppgiftsbehandling som vårdgivaren är ansvarig för. För att patienten ska kunna vara medproducent av information i hälso- och sjukvården kan denna gräns därför behöva tydliggöras.
Vidare följer av utredningens ursprungliga direktiv ett uppdrag att föreslå nationella kriterier för vad som kan betecknas som patientrapporterade utfallsmått. Genom tilläggsdirektiv fick utredningen sedan i uppdrag att även föreslå en modell för webbaserad inrapportering av patientupplevd kvalitet.2
36.3 Våra överväganden
Vår bedömning: Frågor om vad som utgör patientrapporterade
mått och hur sådana bör samlas in och tas om hand är komplexa, under ständig utveckling och nära sammankopplade med frågor som generellt rör insamlingen av uppgifter till nationella kvalitetsregister. Att föreslå nationella kriterier för vad som ska betraktas som patientrapporterade utfallsmått samt en modell för webbaserad inrapportering bedöms inte vara ändamålsenligt. Det skulle kunna låsa in utvecklingen i förutsättningar som inte är flexibla. Inte heller bedöms ytterligare förtydliganden i lagstiftningen om fördelningen av personuppgiftsansvaret vara nödvändigt.
Nationella kriterier och modell för webbaserad inrapportering
Begrepp som utfall, tillfredsställelse och upplevelser är inte alltid enkla att fånga och kräver en noggrann analys av de omständigheter som kännetecknar verksamheten och den specifika situation som
2 Dir. 2012:23.
SOU 2014:23 Patientrapporterade mått
981
patienten befinner sig i. Det finns inte någon enskild fråga som ger en tillräckligt bra bild av patientens erfarenheter av hälso- och sjukvården. Det innebär att det är nödvändigt att ställa flera olika frågor och olika typer av frågor för att få det kunskapsunderlag som behövs för det ständiga förbättringsarbetet.
Utredningen har i det föregående kort redogjort för sådant som påverkar vad som i en viss situation ska betraktas som patientrapporterade mått. Enligt vår bedömning är det tydligt att detta är en fråga som kräver kunskap om de särskilda förhållanden som gäller i just den del av hälso- och sjukvården som de specifika patientrapporterade måtten avses att täcka. De patientrapporterade mått som gör sig gällande exempelvis i samband med vården av personer med diabetes behöver inte vara ändamålsenliga i andra sammanhang, t.ex. för vården av patienter som får höftproteskirurgi.
I dagsläget finns det sannolikt även ett mycket stort antal redan framtagna frågeformulär att välja på, där en del syftar till att mäta hälsa i allmänhet medan andra fokuserar på sådant som specifika diagnoser och symptom. Oavsett vilket formulär som bedöms ändamålsenligt i det enskilda fallet framstår det som att det ofta finns ett behov av att komplettera formuläret med frågor som utvecklats speciellt för det aktuella ändamålet.
Vidare kan konstateras att det pågår en omfattande utveckling i anslutning till de nationella kvalitetsregistren med att definiera mått och implementera en systematisk insamling av information. Därutöver gav regeringen under 2013 Socialstyrelsen i uppdrag att, i samråd med Sveriges Kommuner och Landsting m.fl., identifiera och föreslå generella mätinstrument och indikatorer för patientrapporterade utfall för kroniska sjukdomar.3Socialstyrelsen har nyligen redovisat uppdraget och uttalar i sammanhanget att det inte är möjligt att idag föreslå eller rekommendera specifika indikatorer baserade på PROM eller enskilda mätinstrument. Socialstyrelsen föreslår istället att en fortsatt utveckling av PROM bedrivs inom ramen för pågående kvalitetsregistersatsning.4
Sammantaget bedömer utredningen att det i detta skede och på grund av den komplexitet som dessa frågor inrymmer inte vore ändamålsenligt att fastställa nationella kriterier för vad som ska betecknas som patientrapporterade utfallsmått. Det skulle, om det
3 Regeringsbeslut, S2013/5650/FS (delvis). 4 Socialstyrelsen, Patientrapporterade utfallsmått för kvalitetsregister för kroniska sjukdomar, Dnr 5.3-37022/2013.
Patientrapporterade mått SOU 2014:23
982
gjordes, även behöva göras på en sådan generell nivå att det kan ifrågasättas om någon egentlig nytta genereras. Visar det sig i framtiden, när utvecklingen har tagit ytterligare steg, att det finns ett behov av att förtydliga vad som ska anses ingå i de patientrapporterade måtten kan en annan bedömning vara påkallad.
Av motsvarande skäl bedömer vi även att det inte vore ändamålsenligt i dagsläget att föreslå en modell för webbaserad inrapportering. Det skulle enligt vår bedömning kunna riskera att låsa in utvecklingen i oflexibla lösningar. Den rådande tekniska utvecklingen är dessutom nära sammankopplad med utvecklingen av de nationella kvalitetsregistren i övrigt och med det arbete som görs för att effektivisera datainsamlingen till kvalitetsregistren.
Beroende på vilket perspektiv som anläggs är frågan om en webbaserad modell dessutom av mycket skiftande karaktär. Ur patientens perspektiv skulle troligen frågan i första hand handla om de övergripande frågorna vid den elektroniska inrapporteringen. Det kan handla om sådant som att webbplatsen är en naturlig kommunikationskanal mellan patienter och hälso- och sjukvården, att säkerheten i den elektroniska överföringen är hög, att patienten får lättillgänglig information om datainsamlingen och dess syfte, att patienten känner trygghet i vem mottagaren av informationen är och att det finns någon att kontakta vid behov av ytterligare stöd.
För vårdgivarnas del handlar det sannolikt även om mer specifika förutsättningar, dels kopplade till de enskilda nationella kvalitetsregistren, dels kopplade till administrativa insatser i anslutning till datainsamlingen. Frågor om hur en datainsamling närmare arrangeras avgörs enligt utredningens bedömning dessutom till stor del av sådana ställningstaganden som görs vid val av frågeformulär.
På en övergripande nivå har landsting och regioner kommit överens om att kommunikation mellan patienter och vårdgivare primärt ska gå genom 1177vårdguiden och Mina vårdkontakter. I Mina vårdkontakter finns exempelvis en möjlighet att använda en s.k. formulärtjänst för att utforma elektroniska formulär för att inhämta uppgifter från patienter. Från patientens perspektiv är hälso- och sjukvården därmed redan på väg mot att ha en övergripande modell för webbaserad inrapportering. Mot den bakgrunden och i detta skede bedömer utredningen att det inte är ändamålsenligt att föreslå en annan modell än den som landsting och regioner redan kommit överens om.
SOU 2014:23 Patientrapporterade mått
983
Frågor om personuppgiftsansvarets gränser
Frågan om gränsen mellan den enskildes och vårdgivarens personuppgiftsansvar är komplex och i allra högsta grad beroende på omständigheterna i det enskilda fallet. Utredningen har i ett flertal avsnitt i betänkandet redovisat hur personuppgiftsansvaret kan vara fördelat vid olika situationer. I avsnitt 12.4.5 och 17.4.2 redogör utredningen för patienternas möjligheter att elektroniskt bidra med uppgifter till patientjournalen och till nationella kvalitetsregister. Enligt vår bedömning är det fullt möjligt för en patient att, efter vårdgivarens anvisningar, bidra med uppgifter i en patientjournal eller till ett nationellt kvalitetsregister genom att t.ex. fylla i elektroniska formulär som vårdgivaren tillhandahåller.
Att patienter med hjälp av den tekniska utvecklingen elektroniskt kan bidra med uppgifter innebär inte att patienten har någon ovillkorlig möjlighet eller rätt att på eget initiativ dokumentera uppgifter i en patientjournal eller i ett kvalitetsregister. Däremot kan vårdgivare i sina rutiner för att inhämta den information som behövs för journalföringen eller för kvalitetsutvecklingen av hälso- och sjukvården, tillhandahålla definierade möjligheter för patienten att bidra med information. För den personuppgiftsbehandling som det medför är vårdgivaren, enligt de grundläggande bestämmelserna, personuppgiftsansvarig. Detta eftersom vårdgivaren är den som bestämmer ändamål och medel för personuppgiftsbehandlingen. I vårdgivarens ansvar ingår därmed bland annat ett ansvar för att relevanta personuppgifter med hänsyn till ändamålet behandlas samt att de säkerhetsåtgärder som krävs för att skydda personuppgifterna vid elektronisk överföring är vidtagna. Det senare inbegriper bland annat ett ansvar för att se till att obehöriga inte kan komma åt uppgifterna, t.ex. genom att uppgifterna krypteras under överföringen.
Vidare har utredningen i avsnitten 33.5.5 och 33.5.6 redogjort för ytterligare överväganden kring bedömningarna av personuppgiftsansvaret. Sammantaget innebär detta, enligt vår bedömning, att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som äger rum när denne gör det möjligt för en patient att elektroniskt dokumentera och överföra uppgifter som vårdgivaren har för avsikt att tillfoga patientjournalen eller ett nationellt kvalitetsregister. Vi gör bedömningen att några uttryckliga författningsbestämmelser om detta inte är nödvändigt.
985
37 Datainspektionens befogenheter
37.1 Vårt uppdrag
I utredningens direktiv anges att Datainspektionen för närvarande saknar möjlighet att exempelvis vid vite förelägga en vårdgivare att ge information till patienten. Det finns därför enligt direktiven skäl att utreda om Datainspektionen behöver ytterligare befogenheter för att kunna förhindra att behandling av personuppgifter inleds eller fortsätter i strid med gällande författningsreglering. Vidare har Datainspektionen själv behandlat frågan om utökade befogenheter att använda vite i en skrivelse till regeringen.
Utöver vite, nämner Datainspektionen i sin skrivelse även andra möjliga befogenheter. Bland dessa kan exempelvis följande nämnas.
• Möjligheten att föreskriva om selektiv anmälningsskyldighet.
• Möjligheten att uppträda som ombud i domstol för registrerade personer i skadeståndsprocesser.
• Möjligheten att besluta om administrativa sanktionsavgifter.
Gemensamt för dessa andra tänkbara befogenheter, är att de inte kan sägas tillhöra tillsynsmyndigheternas sedvanliga befogenheter, och att ett införande därför skulle behöva föregås av en djupgående analys och konsekvensbeskrivning, vilken lämpligen görs i ett sammanhang då hela Datainspektionens roll och uppdrag ses över. Befogenheten att förena förelägganden och förbud med vite, är däremot en vanlig sanktionsmöjlighet för tillsynsmyndigheter. Vidare finns det för vitessanktionen i lagen (1985:206) om viten ett fungerande regelverk med utvecklad praxis.
Mot denna bakgrund har utredningen valt att avgränsa frågan om Datainspektionens behov av ytterligare befogenheter till att avse möjligheten att förena förelägganden och förbud med vite.
Datainspektionens befogenheter SOU 2014:23
986
Vidare har utredningen i första hand analyserat frågan om Datainspektionens behov av ytterligare befogenheter på hälso- och sjukvårdens och socialtjänstens område.
37.1.1 Datainspektionens befogenheter
I dataskyddsdirektivet återfinns flera bestämmelser om tillsynsmyndighetens ställning och befogenheter.1 I personuppgiftslagen (1998:204), förkortad PUL, finns dock endast en del av dessa. Anledningen är att vissa av de krav som direktivet uppställer har ansetts vara uppfyllda genom annan lagstiftning än personuppgiftslagen eller annars har bedömts kunna genomföras i annan form än lag. En utgångspunkt har därför varit att personuppgiftslagen endast ska innehålla de befogenheter som måste eller av andra skäl bör regleras i lag.
Bestämmelserna om Datainspektionens befogenheter återfinns i huvudsak i 43–47 §§ PUL och reglerar sådant som exempelvis följande.
• Myndighetens rätt att för sin tillsyn få tillgång till personuppgifter och tillträde till lokaler (43 §).
• Myndighetens möjlighet att vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifterna på annat sätt än genom att lagra dem (44 §).
• Myndighetens möjlighet att föreskriva vite om den personuppgiftsansvarige inte frivilligt följer att beslut om säkerhetsåtgärder enligt 32 § personuppgiftslagen (45 §).
Våra reflektioner
Det kan mot bakgrund av ovanstående konstateras att Datainspektionen saknar möjlighet att vid vite föreskriva den personuppgiftsansvarige att vidta åtgärder för att rätta eventuella brister som myndigheten funnit i sin tillsyn. Ett sådant vite kan, enligt 45 § PUL, för närvarande endast föreskrivas för att förmå den personuppgiftsansvarige att vidta säkerhetsåtgärder. Någon annan möjlighet att med vite förena ett föreläggande om att uppnå ett
1 Direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
SOU 2014:23 Datainspektionens befogenheter
987
visst resultat finns således inte. Det innebär i praktiken att Datainspektionen, om myndigheten finner det nödvändigt att använda vitesmöjligheten, behöver förena ett vitesföreläggande med ett föreläggande om att den personuppgiftsansvarige ska upphöra med annan personuppgiftsbehandling än lagring. En sådan konsekvens kan enligt utredningens uppfattning självklart många gånger vara omotiverad och oönskad. Det finns därför skäl att överväga hur myndighetens befogenheter bättre kan anpassas till de behov som finns för att få till stånd rättelse vid felaktig personuppgiftsbehandling.
37.1.2 Datainspektionens skrivelse till regeringen
Datainspektionen har utanför ramen för den här utredningen till regeringen påtalat sitt behov av utökade befogenheter. Inspektionen skrev i december 2011 till regeringen och menade att det finns behov av att på ett allmänt plan se över Datainspektionens roll och uppdrag. En brist som Datainspektionen särskilt uppmärksammade i sammanhanget, var begränsningen i möjligheten att förena sina förelägganden och förbud med vite, varvid inspektionen särskilt nämnde behovet för tillsynen inom hälso- och sjukvården.
Datainspektionen beskrev problemet med begränsade vitesmöjligheter i följande ordalag.2
Personuppgiftslagen ger Datainspektionen möjlighet att använda vite som påtryckningsmedel i tre olika situationer: – När en personuppgiftsansvarig inte lämnar tillräckligt underlag för tillsynen får Datainspektionen vid vite förbjuda annan personuppgiftsbehandling än lagring (44 § PuL) – När Datainspektionen konstaterar att en personuppgiftsansvarig behandlar personuppgifter på ett felaktigt sätt, får Datainspektionen vid vite förbjuda annan personuppgiftsbehandling än lagring, om rättelse inte kan åstadkommas på annat sätt eller saken är brådskande. – Om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder enligt 32 § som vunnit laga kraft, får tillsynsmyndigheten föreskriva vite. Personuppgiftslagen ger emellertid ingen möjlighet för Datainspektionen att vid vite förelägga en personuppgiftsansvarig att vidta andra åtgärder än säkerhetsåtgärder. Det innebär bl.a. att Datainspektionen inte vid vite kan förelägga den ansvarige att tillgodose särskilda krav i personuppgiftslagen eller annan registerförfattning. Exempelvis är det inte möjligt för Datainspektionen att vid vite
2 Datainspektionens skrivelse till regeringen den 9 december 2011, dnr 1760–2011.
Datainspektionens befogenheter SOU 2014:23
988
förelägga en vårdgivare att på begäran av en patient spärra åtkomsten för andra vårdenheter till patientens uppgifter (4 kap. 4 PdL). Om Datainspektionen i detta exempel behöver tillgripa vite för att utverka att spärrar införs, måste det ske i samband med ett föreläggande att upphöra med annan behandling än lagring, vilket här skulle innebära att all elektronisk journalföring måste upphöra. Datainspektionen måste alltså, för att få tillgång till vitesmöjligheten, besluta om en långt mer ingripande och störande åtgärd än vad som egentligen är behövligt med hänsyn till den egentliga bristen hos den personuppgiftsansvarige. Vid remissbehandlingen av Datalagskommitténs betänkande Integritet – Offentlighet – Informationsteknik (SOU 1997:39) ansåg Kammarrätten i Göteborg att ett beslut om förbud borde kunna föregås av ett med vite förenat föreläggande för att uppnå det resultat som önskas. Regeringen valde emellertid att inte införa en sådan möjlighet, med hänvisning bl.a. till att Datainspektionen inte framfört några synpunkter på de föreslagna vitesmöjligheterna. Möjligheten att med vite förena ett föreläggande att uppnå visst resultat, finns för andra tillsynsmyndigheter som har arbetsuppgifter som kan jämföras med Datainspektionens. Exempelvis har Socialstyrelsen möjlighet att vid vite förelägga en vårdgivare att avhjälpa missförhållanden inom hälso- och sjukvården, se 6 § kap. 13 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Datainspektionen anser att liknande möjlighet behövs även i inspektionens tillsyn enligt personuppgiftslagen. Med nu gällande regelverk finns en uppenbar risk att Datainspektionen antingen avstår från att använda ett vitesföreläggande när det egentligen behövs, eller använder sig av ett förläggande som innebär ett stort och störande ingrepp som omfattar betydligt fler personuppgifter och behandlingar än det bakomliggande problemet motiverar. Det sagda gäller inte minst för Datainspektionens tillsyn inom hälso- och sjukvården.
37.2 Datainspektionens praxis
Det förekommer att en personuppgiftsansvarig inte efterkommer Datainspektionens beslut och att inspektionen därför flera gånger måste meddela nya beslut med samma innebörd, innan den ansvarige börjar vidta åtgärder för att följa gällande lagstiftning.
Ett exempel på detta är Datainspektionens upprepade beslut i samma fråga mot en vårdgivare i hälso- och sjukvården den 18 december 2009, den 20 januari 2011, den 18 april 2011 och den 1 juni 2011.3Den fråga som var aktuell i besluten rörde vårdgivarens skyldighet att ge patienterna information om hur deras uppgifter behandlades. Datainspektionen kunde i enlighet med nu gällande
3 Dnr. 1002–2009 och 461–2010 (de tre senare besluten samlades i ett ärende).
SOU 2014:23 Datainspektionens befogenheter
989
regelverk inte lagligen vid vite förelägga vårdgivaren att vidta vissa konkreta åtgärder för att informera patienterna.
Ett annat exempel, också detta på hälso- och sjukvårdens område, är Datainspektionens upprepade beslut mot samtliga landsting och fem av de största privata vårdgivarna, rörande patientens rätt att spärra vissa uppgifter enligt patientdatalagen (2008:355), förkortad PDL. Tillsynsärendena inleddes i maj 2011. När det i november 2011 framkommit indikationer på att många it-system i hälso- och sjukvården inte har stöd för spärrar, utökade Datainspektionen tillsynen av de granskade vårdgivarna.4
I juni 2012 fattades beslut i ärendena, varvid Datainspektionen konstaterade att vårdgivarna fyra år efter att patientdatalagen trädde i kraft, fortfarande inte levde upp till lagens krav. I en sammanfattning av tillsynsresultaten skrev Datainspektionen den 19 juni 2012 att vårdgivarna inte ens i de stora huvudjournalsystemen hade tekniska funktioner som helt och hållet kunde tillgodose patienternas rätt till spärr. Ärendena avslutades med förelägganden som skulle följas upp. När uppföljningen var färdig i juni 2013, konstaterade Datainspektionen i en ny sammanfattning den 11 juni 2013, att vissa av vårdgivarna hade kommit en bra bit på väg och att vissa i praktiken var framme vid målet.
Enligt Datainspektionen fanns det dock några vårdgivare som inte hade kommit lika långt när det gällde införandet av tekniska funktioner i it-systemen. Datainspektionen resonerade kring möjliga anledningar till detta i följande ordalag.5
En orsak till detta kan vara att det skiljer sig åt i antal it-system hos vårdgivarna, vilket medför att en vårdgivare som använder sig av många it-system också har ett större arbete framför sig. En annan orsak kan vara att vårdgivaren inte, av ekonomiska eller andra skäl, prioriterar patienternas lagliga rätt till spärrar.
Datainspektionen uppgav vidare att man skulle behöva följa upp de vårdgivare som var sämst på att uppfylla lagens krav.
Ett exempel utanför hälso- och sjukvårdens område är Datainspektionens omfattande uppföljning under våren och hösten 2002 av tidigare meddelade beslut avseende personuppgiftsbehandlingen i forskningsprojekt. Resultatet av uppföljningen visade att det var många forskningshuvudmän som inte hade följt
4 Datainspektionens pressmeddelande (2011-11-23). 5 Sammanfattning av Datainspektionens nationella projekt om spärrar i IT-system inom hälso- och sjukvården (20013-06-11).
Datainspektionens befogenheter SOU 2014:23
990
Datainspektionens beslut. Enligt Datainspektionen innebar det att – trots att inspektionen meddelat tydliga beslut härom – ”känsliga personuppgifter behandlas utan att ett giltigt samtycke inhämtats och utan att deltagarna fått tillräcklig information”.6 I sammanhanget är av intresse att det, när Datainspektionen år 2012 redovisade resultaten av en ny granskning av personuppgiftsbehandlingen inom ett 50-tal forskningsprojekt, i många projekt visade sig finnas brister i hur man informerade de personer som ingår i forskningen om hur deras uppgifter kommer att användas och vilka rättigheter de har.7
Ett ytterligare exempel är de upprepade kontakter som Datainspektionen under åren 2010 och 2011 hade med ett företag som registrerade data från trådlösa nätverk som fanns i närheten av företagets bilar som körde runt och fotograferade svenska städer inför lanseringen av en karttjänst. Företaget uppgav vid två tillfällen efter varandra att data från de trådlösa nätverken skulle raderas. Först vid en tredje kontakt uppgav företaget att uppgifterna faktiskt hade raderats, och inkom sedan med underlag som styrkte raderingen.8
Våra reflektioner
Sammanfattningsvis konstaterar utredningen att det i Datainspektionens praxis finns exempel på situationer där en utökad vitesmöjlighet kunde ha underlättat och skyndat på Datainspektionens möjlighet att ingripa mot pågående integritetsintrång.
37.3 Bakgrunden till nuvarande reglering
För utredningens del är det nödvändigt att analysera de skäl som ligger bakom den gällande regleringen som innebär att Datainspektionen i dag har begränsade möjligheter att förena sina förelägganden och förbud med vite. Därvid är framför allt av intresse hur lagstiftaren motiverade nu gällande ordning i samband med att Sverige år 1998 genomförde dataskyddsdirektivet genom personuppgiftslagen. Det är även av intresse att jämföra med vad som gällde enlighet den numera upphävda datalagen (1973:289).
6 Datainspektionens rapport 2002:4. 7 Datainspektionens pressmeddelande den 10 december 2012. 8 Datainspektionen, dnr 1783–2010.
SOU 2014:23 Datainspektionens befogenheter
991
Vitesmöjligheterna enligt datalagen
Enligt 18 § tredje stycket datalagen, dvs. personuppgiftslagens föregångare, hade Datainspektionen större befogenheter än i dag att med vite förena beslut om åtgärder (i datalagens terminologi ”föreskrift för ett visst register”).
Av bestämmelsen framgick bl.a. att Datainspektionen för ett visst register fick meddela föreskrift och förena sådan föreskrift med vite. De föreskrifter som Datainspektionen hade rätt att meddela kunde enligt 6 § avse bl.a. vilka personuppgifter som får ingå i personregistret, den tekniska utrustningen, kontroll och säkerhet, de bearbetningar av personuppgifterna i registret som får göras med automatisk databehandling, underrättelse till berörda personer och bevarande och gallring av personuppgifter.
När bestämmelsen infördes, motiverades särskilt möjligheten för Datainspektionen att besluta om vite även i samband med en föreskrift för visst register (18 § första stycket datalagen), och inte enbart i samband med ett förbud mot fortsatt förande av personregister (18 § andra stycket datalagen). Regeringen anförde bland annat följande.9
Datainspektionen har varken i fråga om föreskrift eller förbud någon möjlighet att förena dessa åtgärder med en sanktion. För att förhindra pågående integritetsintrång bör det enligt regeringens mening därför också bli möjligt att förena en föreskrift enligt 18 § första stycket med ett vitesföreläggande. Ett sådan vitesföreläggande kan dessutom förutsättas få större praktisk betydelse för Datainspektionens möjligheter att verka mot pågående integritetsintrång än enbart ett vitesföreläggande med stöd av 18 § andra stycket.
Personuppgiftslagens förarbeten
Möjligheten som fanns enligt datalagen att förena även en föreskrift för visst register med vite, fanns inte med i det lagförslag som lämnades av Datalagskommittén i betänkande Integritet – Offentlighet – Informationsteknik (SOU 1997:39). Någon kommentar eller motivering till avsaknaden av en sådan bestämmelse lämnades dock inte i betänkandet. Förändringen uppmärksammades av en av remissinstanserna, dock inte av Datainspektionen.
I regeringens förslag till personuppgiftslag var Datainspektionens vitesmöjligheter dock alltjämt begränsade på samma
Datainspektionens befogenheter SOU 2014:23
992
sätt som i Datalagskommitténs betänkande. Regeringen motiverade begränsningen på följande sätt.10
Kammarrätten i Göteborg anser att ett beslut om förbud bör kunna föregås av ett med vite förenat föreläggande för att uppnå det resultat som önskas. Enligt vår mening är det viktigt att tillsynsmyndigheten i första hand kan fungera som ett stöd vid de personuppgiftsansvarigas behandling av personuppgifter och ge råd om hur behandlingen bör gå till för att vara laglig. Möjligheten till vitessanktionerat förbud får anses tillräcklig för att förmå de personuppgiftsansvariga att följa myndighetens råd i fråga om hur en behandling skall utföras på ett lagligt sätt. Datainspektionen har för övrigt inte fört fram några synpunkter på de föreslagna vitesmöjligheterna. Tillsynsmyndigheten bör kunna fatta beslut om vilka säkerhetsåtgärder som en personuppgiftsansvarig skall vidta. Det beslutet bör kunna överklagas hos allmän förvaltningsdomstol. Om den personuppgiftsansvarige inte följer ett beslut om säkerhetsåtgärder, som har vunnit laga kraft, bör tillsynsmyndigheten kunna föreskriva vite för att beslutet skall genomföras.
Våra reflektioner
Sammanfattningsvis konstaterar utredningen att nuvarande ordning innebär en begränsning i Datainspektionens befogenheter i jämförelse med vad som gällde enligt datalagen, och att begränsningen endast har motiverats knapphändigt utan djupare analys. Utredningen noterar även att det i förarbetena inte redovisas några skäl till varför vitesmöjligheten är större när det gäller säkerhetsåtgärder än när det gäller andra åtgärder som den personuppgiftsansvarige är skyldig att vidta.
Sammantaget ger förarbetena till den nu gällande lagstiftningen således ringa vägledning i frågan om tillsynsmyndighetens befogenheter att förena förelägganden och förbud med vite.
SOU 2014:23 Datainspektionens befogenheter
993
37.4 Våra överväganden och förslag om utökade befogenheter för Datainspektionen
Vårt förslag: I hälso- och sjukvårdsdatalagen och i socialtjänst-
datalagen ska förtydligas att tillsynsmyndigheten enligt personuppgiftslagen får, utöver vad som stadgas om myndighetens befogenheter i den lagen, vid sin tillsyn över att bestämmelserna i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen följs, besluta de förelägganden eller förbud som behövs för att dessa lagar eller föreskrifter som har meddelats med stöd av dessa lagar ska följas. Vidare ska i hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen införas en möjlighet för tillsynsmyndigheten enligt personuppgiftslagen att förena sådana beslut om föreläggande eller förbud med vite.
Vår bedömning: Genom förslaget får tillsynsmyndigheten en
möjlighet att, vid tillsyn enligt hälso- och sjukvårdsdatalagen och socialtjänstdatalagen, förena förelägganden och förbud med vite. Förslaget innebär inget avsteg från den nuvarande regleringen i personuppgiftslagen om att tillsynsmyndigheten i första hand ska försöka åstadkomma rättelse genom påpekanden eller liknande förfaranden.
Inledning
Som Datainspektionen anger i skrivelsen till regeringen, innebär nuvarande ordning att inspektionen, för att få tillgång till vitesmöjligheten i syfte att utverka en viss åtgärd av den personuppgiftsansvarige, måste besluta om en långt mer ingripande och störande åtgärd än vad som egentligen är behövligt med hänsyn till den bristen hos den personuppgiftsansvarige. Enligt utredningens bedömning finns det, med nu gällande regelverk, en uppenbar risk att myndigheten antingen avstår från att använda ett vitesföreläggande när det egentligen behövs, eller använder sig av ett förläggande som innebär ett stort och störande ingrepp som omfattar betydligt fler personuppgifter och behandlingar än vad det bakomliggande problemet motiverar.
Vidare har vi i det föregående konstaterat att Datainspektionens befogenheter på detta område begränsades i och med ikraft-
Datainspektionens befogenheter SOU 2014:23
994
trädandet av personuppgiftslagen, utan att detta egentligen motiverades närmare.
De exempel från Datainspektionens praxis som har redovisats ger också en bild av att det finns situationer där utökade vitesmöjligheter skulle kunna vara ändamålsenliga för att få den personuppgiftsansvarige att snabbare vidta de integritetsskyddande åtgärder som inspektionen pekar på i tillsynsbeslut.
Något om andra myndigheters befogenheter
När det gäller möjligheten att förena alla förelägganden och förbud med vite, är det som nämns ovan en möjlighet som är vanlig hos tillsynsmyndigheter. Det kan till och med sägas att det snarare hör till ovanligheterna att en tillsynsmyndighet som Datainspektionen saknar sådan möjlighet.
Normalt tillhör det således tillsynsmyndigheternas sedvanliga sanktionsarsenal att vid behov kunna förena alla sina förelägganden och förbud med vite. Häribland kan särskilt nämnas befogenheterna för Inspektionen för vård och omsorg, IVO, och Läkemedelsverket. Dessa myndigheter har till uppgift att utöva tillsyn primärt över andra intressen inom hälso- och sjukvården och läkemedelshanteringen än patienternas personliga integritet.
IVO utövar tillsyn bl.a. över att vårdgivare planerar, leder och kontrollerar sin verksamhet på ett sätt som leder till att kravet på god vård i hälso- och sjukvårdslagen (1982:763) respektive tandvårdslagen (1985:125) upprätthålls. För att kunna utöva tillsynen får IVO besluta om viten. Myndighetens befogenhet att besluta om vite framgår bland annat av 7 kap. 24 § patientsäkerhetslagen (2010:659). Enligt den bestämmelsen ska Inspektionen för vård och omsorg, om den finner att en vårdgivare, eller enhet som avses i 7 §, inte fullgör sina skyldigheter enligt 3 kap. och om det finns skäl att befara att underlåtenheten medför fara för patientsäkerheten eller säkerheten för andra, förelägga vårdgivaren eller enheten att fullgöra sina skyldigheter om det inte är uppenbart obehövligt. Ett beslut om föreläggande får förenas med vite.
Även när IVO utövar tillsyn över verksamhet enligt socialtjänstlagen (2001:453) har myndigheten befogenhet att förena förelägganden med vite. Av lagens 13 kap. 8 § första stycket framgår att om IVO finner att det i verksamhet som står under tillsyn enligt socialtjänstlagen förekommer ett missförhållande som har
SOU 2014:23 Datainspektionens befogenheter
995
betydelse för enskildas möjligheter att kunna få de insatser de har rätt till, får inspektionen förelägga den som svarar för verksamheten att avhjälpa missförhållandet. Ett föreläggande ska innehålla uppgifter om de åtgärder som inspektionen anser nödvändiga för att det påtalade missförhållandet ska kunna avhjälpas. Ett beslut om föreläggande får förenas med vite.
Läkemedelsverket utövar tillsyn bl.a. över att handel med läkemedel bedrivs på ett sådant sätt att läkemedlen inte skadar människor, egendom eller miljö samt så att läkemedlens kvalitet inte försämras. Läkemedelsverket får enligt 7 kap. 3 § lagen (2009:366) om handel med läkemedel meddela de förelägganden och förbud som behövs för att denna lag eller föreskrifter och villkor som har meddelats i anslutning till lagen ska följas. Läkemedelsverkets beslut om föreläggande eller förbud får förenas med vite.
Enligt utredningen är det viktigt att Datainspektionen som ansvarar för tillsynen av regelverket som ska skydda den personliga integriteten, inte ges sämre befogenheter än andra myndigheter som ansvarar för tillsynen av regelverk som inriktar sig på de personuppgiftsansvarigas huvudsakliga verksamhet, såsom exempelvis att bedriva hälso- och sjukvård på ett patientsäkert sätt. Den skillnad som finns i dag mellan Datainspektionen och sådana andra myndigheter, riskerar att på sikt förskjuta balansen mellan de olika intressen som de personuppgiftsansvariga tillsynsobjekten måste beakta, och förefaller därmed varken lämplig eller rimlig.
Vidare kan uppmärksammas att dataskyddsdirektivet i artikel 28.3 bland annat föreskriver att varje tillsynsmyndighet ska ha effektiva befogenheter att ingripa. Det kan ifrågasättas i vad mån en ordning där tillsynsmyndigheten Datainspektionen ges mindre verksamma sanktionsmöjligheter än andra nationella tillsynsmyndigheter på angränsande områden, är fullt ut förenligt med dataskyddsdirektivets artikel 28.3.
Tillsynsutredningen
Som ett resultat av Tillsynsutredningens (Ju 2000:06) arbete avgav regeringen i december 2009 en skrivelse med bl.a. generella bedömningar för hur en tillsynsreglering bör vara utformad. I skrivelsen sägs bl.a. att tillsynen, för att bli mer effektiv och rättssäker, bör
Datainspektionens befogenheter SOU 2014:23
996
vara tydligare och mer enhetlig. Vidare anförde regeringen exempelvis följande.11
Genom mer enhetliga begrepp och regler ges de många verksamhetsutövare som står under tillsyn enligt regleringar i flera olika lagar och av flera tillsynsorgan bättre förutsättningar att följa gällande regler.
Av särskilt intresse i detta sammanhang är att skrivelsen även innehåller en generell rekommendation avseende tillsynsmyndigheters möjligheter att förena sina beslut med vite.12
Ett tillsynsorgan bör ha en möjlighet att besluta om förelägganden i enskilda fall. Möjligheten att utforma föreläggandet för att kunna styra beteendet hos den objektsansvarige bör vara vitt och i princip ansluta till tillsynens omfattning. Föreläggandets utformning skapar möjligheter för tillsynsorganet att anpassa ett ingripande efter vad som är behövligt ur sektorslagens perspektiv. Ett åtgärdsföreläggande bör kunna förenas med vite.
En möjlighet för Datainspektionen att förena sina förelägganden och beslut med vite, oavsett vilka slags åtgärder förläggandet eller förbudet omfattar, förefaller enligt vår uppfattning ligga i linje med vad regeringen anför i sin skrivelse.
Risk för över- eller felutnyttjande
Ett skäl för att inte ge Datainspektionen utökade befogenheter att använda sig av vite, skulle kunna vara en rädsla för att inspektionen överutnyttjar vitesmöjligheten och förenar sina beslut med vite även när det inte är påkallat, i stället för att som i dag i första hand försöka åstadkomma rättelse med hjälp av påpekanden. Risken för en sådan utveckling får dock, enligt utredningens bedömning, i realiteten anses som obefintlig.
Förutom en sådan användning av vitessanktionen, kan det även tänkas att Datainspektionen skulle förena beslut med vite i situationer där ett vite egentligen är olämpligt med hänsyn till det som ska eller kan uppnås med tillsynen. Som tänkbart exempel på det sistnämnda kan nämnas att inspektionen skulle besluta ett föreläggande vid vite att införa spärrar i ett journalsystem inom en tidsfrist som av tekniska eller organisatoriska skäl inte är möjlig att efterkomma för den personuppgiftsansvarige, eller att före-
11 Regeringens skrivelse 2009/10:79 En tydlig, rättssäker och effektiv tillsyn, s. 1. 12 Regeringens skrivelse 2009/10:79 En tydlig, rättssäker och effektiv tillsyn, s. 44.
SOU 2014:23 Datainspektionens befogenheter
997
läggandet skulle omfatta även system där det inte är helt klarlagt om behandlingen överhuvudtaget omfattas av patientdatalagens krav på spärrar.
De nämnda riskerna bör inte överdrivas. Datainspektionen har i sin tillsyn av till exempel just spärrar i hälso- och sjukvården visat prov på viss återhållsamhet, då myndigheten riktade in tillsynen på ”huvudjournalsystem och andra omfattande patientjournalsystem som innehåller många känsliga patientuppgifter”.13 Det innebar i praktiken att Datainspektionen bortsåg från personuppgiftsbehandlingen i system som i och för sig omfattades av patientdatalagens bestämmelser om spärrar, eftersom vårdgivaren i dessa system endast behandlade ett mindre antal känsliga personuppgifter.
Vidare skulle en utökad möjlighet för användande av vite, inte behöva innebära att stadgandet i personuppgiftslagen att Datainspektionen i första hand ska försöka åstadkomma rättelse genom påpekanden eller liknande förfaranden, ska utgå. Tvärtom både kan och bör formuleringen finnas kvar för att tydligt markera vilket som fortsatt ska vara inspektionens förstahandsalternativ.
Slutligen ska sägas att Datainspektionen vid en utökad vitesbefogenhet även skulle vara bunden av de för alla myndigheter gemensamma, allmänna principerna om viten, och att inspektionens beslut även fortsättningsvis skulle kunna överklagas. Härtill kommer att beslut som förenats med vite alltid måste underställas domstol i ett senare led, om Datainspektionen skulle vilja förverkliga vitessanktionen, eftersom inspektionen måste ansöka till förvaltningsrätten om utdömande av vitet.
Sammanfattningsvis bedömer utredningen att de skäl som kan anföras för en utökning av Datainspektionens befogenheter, är både fler och väger tyngre än de skäl som kan anföras mot en utökning. Därför föreslår vi att Datainspektionen ges en utökad möjlighet att förena sina förelägganden och förbud med vite. Nedan redogörs närmare för utformning och placering av utredningens förslag.
13 Se exempelvis Datainspektionens beslut 31 maj 2013 med dnr 1402–2012.
Datainspektionens befogenheter SOU 2014:23
998
Allmänt om vitesförelägganden m.m.
Vitessanktionen som sådan är reglerad i lagen (1985:206) om viten. Det finns alltså ett fungerande regelverk med utvecklad praxis i vägledande domar avseende bl.a. enskildas rättssäkerhet när det gäller vitessanktionen hos myndigheter, som skulle gälla även för en utökad vitesmöjlighet för Datainspektionen.
I doktrinen sägs bl.a. följande om de allmänna principer som myndigheter har att tillämpa när det gäller användande av vite.14
I de flesta fall ankommer det på myndigheten att med hänsyn till omständigheterna bestämma om vite skall utsättas i ett föreläggande. Den hållning enskild intagit vid myndighetens tidigare kontakter med honom blir ofta av grundläggande betydelse. Om han visat intresse för saken och förklarat sig villig att vidta rättelse, kan det vara lämpligt eller rentav en fördel att låta föreläggandet vara osanktionerat. Ett gott förhållande till den enskilde kan annars lätt gå förlorat, om myndigheten utan direkt anledning hotar med en vitespåföljd. Annorlunda ställer det sig, om den enskilde ignorerar myndighetens formlösa tillsägelser eller vägrar att tala med myndighetens representanter eller besvara skrivelser. Vite är då som regel nödvändigt. Detsamma gäller i det fall, att den enskilde redan på ett förberedande stadium av ärendets handläggning ifrågasätter, om ett eventuellt myndighetsingripande är lagenligt, ändamålsenligt eller skäligt. Oavsett den enskildes hållning bör en myndighet föreskriva vite, om föreläggandet tillgodoser ett viktigt allmänt intresse och snar rättelse är påkallad. Vitet tjänar här som en garanti för att föreläggandet verkligen blir verkställt inom rimlig tid. Däremot kan ett vite vara överflödigt, om intresset är mindre viktigt och rättelse kan åstadkommas med enkla medel och på relativt kort tid. I sådant fall bör myndigheten i stället genom råd och anvisningar få till stånd en godvillig uppgörelse med den ansvarige.
Det anförda kan vara av betydelse exempelvis i samband med utvecklingen av IT-stöd, där den personuppgiftsansvarige inte sällan behöver visst rådrum för att kunna rätta sig efter ett beslut. De krav som följer direkt av lagstiftningen eller av Datainspektionens tillämpning, kan ibland föranleda ett omfattande utvecklings- och omställningsarbete hos den personuppgiftsansvarige. Det måste därför inom Datainspektionen finnas kompetens att beakta och bedöma sådana omständigheter för att därefter kunna föreskriva realistiska tidsfrister i de beslut som förenas med vite.
14 Rune Lavin, Viteslagstiftningen – En kommentar, andra upplagan, 2010, s. 25 f.
SOU 2014:23 Datainspektionens befogenheter
999
Omfattning och placering av de nya bestämmelserna
Utredningen har övervägt olika alternativ för frågan var och hur en utökad möjlighet för Datainspektionen att besluta om viten, lämpligen bör införas. Vi har identifierat två alternativa möjligheter till reglering av utökade befogenheter för Datainspektionen. Det första alternativet är att utökningen endast omfattar Datainspektionens tillsyn på hälso- och sjukvårdsområdet och på socialtjänstområdet. I sådant fall, bör regleringen av de utökade befogenheterna lämpligen göras i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen. Det andra alternativet är att utökningen omfattar Datainspektionens tillsyn generellt, dvs. oavsett på vilket område den utövas. I sådant fall, bör regleringen av de utökade befogenheterna lämpligen göras i personuppgiftslagen.
Vad gäller det sistnämnda alternativet anser utredningen att det i och för sig finns mycket som talar för att Datainspektionen borde ha en generell vitesmöjlighet oavsett vilket tillsynsområde det rör. En sådan lösning skulle exempelvis överensstämma med vad som gäller för flera andra tillsynsmyndigheter. Samtidigt handlar utredningens uppdrag primärt om personuppgiftsbehandlingen inom och mellan hälso- och sjukvården och socialtjänsten. Att föreslå en grundläggande förändring i personuppgiftslagen skulle därför få konsekvenser för verksamhetsområden som ligger utanför utredningens uppdrag. Utredningens sammantagna bedömning är att våra direktiv hindrar att de förslag som utredningen lämnar med utgångspunkt i hälso- och sjukvården och socialtjänsten, får en avsevärt bredare tillämpning med verkan också utanför dessa områden. Att föreslå en generell möjlighet för Datainspektionen att, oavsett tillsynsområde, förena förelägganden och förbud med vite ligger därför utanför uppdraget och bör lämpligen utredas i ett bredare sammanhang.
Mot den bakgrunden föreslår vi att Datainspektionens utökade befogenheter ska begränsas till hälso- och sjukvården och socialtjänsten och därför ska regleringen göras i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen.
På sätt och vis finns befintliga förebilder för en sådan ordning med reglering i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen. Både kreditupplysningslagen (1973:1173) och inkassolagen (1974:182) ger Datainspektionen möjlighet att besluta om vite i fler situationer än vad personuppgiftslagen medger. I den systematik som alltså finns för befintliga regler om Data-
Datainspektionens befogenheter SOU 2014:23
1000
inspektionens befogenheter, kan inspektionen i ett annat regelverk än personuppgiftslagen ges andra och mer vittgående befogenheter än de som nämns i personuppgiftslagen.
Vidare finns i redovisningen av Datainspektionens praxis flera exempel på situationer framför allt inom hälso- och sjukvården där ett vite hade kunnat vara till nytta. Bland annat mot den bakgrunden talar, enligt vår bedömning, övervägande skäl för att faktiskt utöka Datainspektionens möjlighet att besluta om viten på hälso- och sjukvårdens område. Samtidigt gäller de grundläggande skälen för en utökad möjlighet, enligt vår uppfattning, med samma tyngd även för Datainspektionens tillsyn på andra områden än hälso- och sjukvården, t.ex. inom socialtjänsten. I samband med att vi nu föreslår en ny socialtjänstdatalag med nya möjligheter för socialtjänsten att t.ex. utbyta personuppgifter genom direktåtkomst, på sätt som påminner om vad som gäller för hälso- och sjukvården, finns därför anledning att låta Datainspektionen få utökade befogenheter att besluta om vite även på socialtjänstens område.
Sammantaget föreslår vi således att Datainspektionen, genom reglering i hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen, får nya möjligheter att använda vite.
Utformning av de nya bestämmelserna
Utredningen föreslår för det första att det i hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen införs ett förtydligande av tillsynsmyndighetens befogenhet att besluta de förelägganden eller förbud som behövs för att dessa lagar eller föreskrifter som har meddelats med stöd av dessa lagar ska följas. I dag framgår detta inte med önskvärd tydlighet av personuppgiftslagen, men befogenheten får anses fast etablerad i Datainspektionens praxis sedan åtskilliga år. Mot den bakgrunden finns anledning att tydliggöra detta i samband med att nya möjligheter att besluta om vite föreslås.
För det andra föreslår utredningen att tillsynsmyndigheten vid tillsyn enligt hälso- och sjukvårdsdatalagen och socialtjänstdatalagen får förena sina beslut om föreläggande eller förbud med vite. I första hand ska Datainspektionen dock, som följer av personuppgiftslagen, försöka åstadkomma rättelse med hjälp av påpekanden eller liknande förfaranden. I syfte att förtydliga detta
SOU 2014:23 Datainspektionens befogenheter
1001
bör lagtexten ange att de nya möjligheterna i hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen ska gälla utöver vad som följer av personuppgiftslagen. Det innebär att Datainspektionen även i sin tillsyn över socialtjänsten och hälso- och sjukvården i första hand ska använda sig av påpekanden för att försöka åstadkomma rättelse.
I vissa situationer kan det bli aktuellt för Datainspektionen att direkt föreskriva ett vite, om föreläggandet tillgodoser ett viktigt allmänt intresse, om snar rättelse är påkallad och det finns anledning att befara att ett icke sanktionerat föreläggande inte skulle följas på rätt sätt eller inom rimlig tid. Enligt vad som framgår av Datainspektionens praxis gör utredningen dock bedömningen att ett direkt föreskrivande av vite kommer att behövas ytterst sällan.
Till statsrådet och chefen för Socialdepartementet Göran Hägglund
Vid regeringssammanträde den 15 december 2011 beslutade regeringen att tillsätta en särskild utredare med uppdrag att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten (dir. 2011:111). Utredaren fick även ett deluppdrag bestående i att analysera förutsättningarna för att på internet eller genom elektronisk direktåtkomst öka tillgängligheten till vissa personuppgifter i Socialstyrelsens register över hälso- och sjukvårdspersonal (HOSP-registret).
Till särskilt utredare förordnades hälso- och sjukvårdsdirektören Lena Lundgren. Utredningen har antagit namnet Utredningen om rätt information i vård och omsorg (S 2011:13).
Den 29 mars 2012 beslutade regeringen genom tilläggsdirektiv till utredningen (dir. 2012:23) att deluppdraget angående HOSPregistret skulle redovisas senast den 31 maj 2012. Utredningen överlämnade delbetänkandet Bättre behörighetskontroll (SOU 2012:42) den 31 maj 2012.
Genom beslut i tilläggsdirektiv vid regeringssammanträde den 2 maj 2013 beslutade regeringen att utredaren i ett deluppdrag ska utreda om det är lämpligt att beträffande personer som saknar förmåga att motsäga sig eller samtycka till nödvändig behandling av personuppgifter införa regler i patientdatalagen som gör att de trots denna oförmåga kan ingå i sammanhållen journalföring m.m. (dir. 2013:43). Regeringen beslutade att denna del av uppdraget ska redovisas i ett delbetänkande senast den 5 juni 2013.
Utredningen överlämnade delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45) den 5 juni 2013.
Regeringen beslutade även att utredaren ska, för den del av uppdraget som handlar om att identifiera nödvändiga förutsättningar
för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten, i en delredovisning beskriva de möjligheter som befintlig lagstiftning ger för att praktiskt kunna utbyta uppgifter där så anses nödvändigt. Delredovisningen överlämnades till regeringen den 31 december 2013 och återfinns i bilaga 4 till detta slutbetänkande.
Regeringen beslutade vidare att utredningstiden förlängs för huvuddelen av uppdraget som ska redovisas senast den 30 april 2014.
Som huvudsekreterare i utredningen anställdes fr.o.m. den 6 februari 2012 juristen Patrik Sundström. Som sekreterare i utredningen anställdes fr.o.m. den 13 februari 2012 juristen Maria Jacobsson. Som sekreterare på halvtid i utredningen anställdes fr.o.m. 1 april 2012 rådmannen Eva Karlsson Helghe och fr.o.m. 23 april 2012 läkaren Inger Nordin Olsson. Inger Nordin Olsson entledigades som sekreterare den 1 juni 2013.
Utredningen får härmed överlämna slutbetänkandet Rätt information på rätt plats i rätt tid (SOU 2014:23).
Till betänkandet fogas ett särskilt yttrande av experten Maria Bergdahl.
Uppdraget är härmed slutfört.
Stockholm i april 2014.
Lena Lundgren
/Maria Jacobsson Eva Karlsson Helghe Patrik Sundström
Förteckning över vilka som deltagit i utredningens arbete
Om inte annat anges har förordnandet gällt från och med den 12 mars 2012.
Experter
Medicinskt ansvariga sjuksköterskan Eva Backlund Juristen Maria Bergdahl, fr.o.m. 4 september 2013 Juristen Marit Birk, fr.o.m. 20 september 2012 Handläggaren Annica Blomsten Verksamhetschefen Mats Brådman Landstingsdirektören Mats Brännström, t.o.m. 7 juli 2013 Socialdirektören Karl Gudmundsson Tillsynschefen Erik Janzon, t.o.m. 4 september 2013 Juristen Tora Nissen, t.o.m. 20 september 2012 Överläkaren Mikael Rolfs Juristen Febe Westberg Chefläkaren Karin Strandberg Nöjd, fr.o.m. 7 juli 2013 Enhetschefen Inger Nordin Olsson, fr.o.m. 24 oktober 2013 Vice vd, Anders Ekholm, fr.o.m. 1 november 2013
Sakkunniga
Rättssakkunnige Maria Arnell, t.o.m. 4 september 2013 Kanslirådet Rickard Broddvall, t.o.m. 10 september 2012. Departementssekreteraren Anna Brooks, fr.o.m. 10 september 2012 Departementsrådet Anders Ekholm, t.o.m. 1 november 2013 Ämnesrådet Jimmy Järvenpää Ämnesrådet Gert Knutsson, t.o.m. 10 september 2012. Kanslirådet Henrik Moberg, fr.o.m. 10 september 2012 Departementssekreteraren Maria Wästfelt
7
Innehåll
Sammanfattning ................................................................ 27
Bakgrund
1 Vårt uppdrag och arbete .............................................. 51
1.1 Vårt uppdrag ............................................................................. 51 1.2 Utredningens arbete ................................................................ 53 1.2.1 Sakkunnig- och expertgrupp ........................................ 54 1.2.2 Samråd med statliga utredningar ................................. 55 1.2.3 Metodstöd m.m. ........................................................... 55 1.2.4 Delbetänkandet Bättre behörighetskontroll ............... 56 1.2.5 Delbetänkandet Rätt information – Kvalitet och
patientsäkerhet för vuxna med nedsatt beslutsförmåga .............................................................. 56
1.2.6 Delredovisningen enligt direktiv 2013:43 – Stöd vid tillämpningen av gällande rätt ................................ 58
1.3 Betänkandets disposition ......................................................... 59
2 Rätt information på rätt plats i rätt tid – några utgångspunkter .......................................................... 61
2.1 Inledning................................................................................... 61 2.2 Individen och individens behov i centrum ............................. 62 2.3 Informationshantering som en integrerad del i verksamheten............................................................................ 64
Innehåll SOU 2014:23
8
2.4 Informationshantering rörande personer med nedsatt beslutsförmåga .......................................................................... 64 2.5 Den tekniska utvecklingen ger nya möjligheter ..................... 65 2.6 Bättre resultat för individen – en balansgång mellan kvalitet, säkerhet och personlig integritet .............................. 66
3 Kort om regelverket och om ansvaret för tillsynen........... 69
3.1 God vård och omsorg .............................................................. 69 3.1.1 Målen för hälso- och sjukvården och
socialtjänsten ................................................................. 69
3.1.2 Ledningssystem för kvalitet ......................................... 70
3.2 Informationshantering och personuppgiftsbehandling ......... 72 3.2.1 Informationshantering för en god vård och
omsorg ........................................................................... 72
3.3 Tystnadsplikt och sekretess ..................................................... 75 3.4 Tillsyn av vård och omsorg ...................................................... 76
Hälso- och sjukvård
4 En hälso- och sjukvård i utveckling ............................... 79
4.1 Inledning ................................................................................... 79 4.1.1 Riksrevisionens rapport ................................................ 80 4.2 Hälso- och sjukvårdens organisation ...................................... 80 4.2.1 Landstingens ansvar ...................................................... 81 4.2.2 Kommunernas ansvar.................................................... 82 4.2.3 Privata vårdgivare m.m. ................................................ 83 4.2.4 Vårdval och valfrihetssystem ........................................ 85 4.2.5 Ett växande antal privata vårdgivare ............................. 86 4.2.6 Ökad specialisering ....................................................... 88 4.2.7 Vårdval – ökade möjligheter för medborgarna ............ 88 4.2.8 Vårdprocesser sträcker sig allt mer över
vårdgivargränser ............................................................ 89
4.2.9 Sammanfattande reflektioner ....................................... 90
Innehåll
9
5 Informationshantering inom hälso- och sjukvården ......... 91
5.1 Bakgrund .................................................................................. 91 5.2 Den rättsliga regleringen av informationshanteringen .......... 93 5.2.1 Begreppet vårdgivare .................................................... 93 5.2.2 Informationshantering inom en vårdgivares
verksamhet (inre sekretess) ......................................... 94
5.2.3 Informationshantering mellan vårdgivare ................... 95 5.2.4 Informationshantering mellan vårdgivare – sammanhållen journalföring ......................................... 97 5.2.5 Enskilds möjlighet att ta del av uppgifter genom direktåtkomst .............................................................. 100 5.2.6 Socialstyrelsens föreskrifter (SOSFS 2008:14) ......... 100 5.2.7 Verksamhetsuppföljning m.m. inom en vårdgivares verksamhet ............................................... 101 5.2.8 Verksamhetsuppföljning över vårdgivargränser ....... 102 5.2.9 Särskilt om nationella kvalitetsregister ...................... 103
6 En ändamålsenlig informationshantering – iakttagelser och reflektioner ...................................... 107
6.1 Bakgrund ................................................................................ 107 6.1.1 Vårt uppdrag och våra utgångspunkter ..................... 109 6.2 Strukturförändringarna i vården påverkar behov och möjligheter till informationsutbyte ...................................... 110 6.3 Informatik och it-frågor ........................................................ 112 6.4 Patientdatalagen och tillämpningsproblemen ...................... 115 6.5 Bristande efterlevnad av regelverket ..................................... 119 6.6 Kunskap, kompetens, ledning och styrning ......................... 121 6.7 Sammanfattande reflektioner ................................................ 122
7 En ny lag: hälso- och sjukvårdsdatalag ....................... 123
7.1 Bakgrund ................................................................................ 123 7.1.1 Kort om våra utgångspunkter för denna typ av
lagstiftning .................................................................. 124
7.1.2 Vårt uppdrag m.m. ...................................................... 125
Innehåll SOU 2014:23
10
7.2 Våra överväganden och förslag .............................................. 126 7.2.1 En ny lag ersätter patientdatalagen ............................ 126 7.2.2 Lagens innehåll, tillämpningsområde och
förhållande till personuppgiftslagen .......................... 128
7.2.3 Lagens syfte ................................................................. 131 7.2.4 Viktiga definitioner ..................................................... 133 7.2.5 Övriga bestämmelser som förs över från patientdatalagen .......................................................... 139
8 Grundläggande bestämmelser om behandling av personuppgifter ........................................................ 141
8.1 Bakgrund ................................................................................. 141 8.2 Våra överväganden och förslag .............................................. 142 8.2.1 Vissa grundläggande bestämmelser förs över
oförändrade från patientdatalagen ............................. 142
8.2.2 Personuppgiftsansvar .................................................. 144 8.2.3 Sökbegrepp .................................................................. 145 8.2.4 Tillåtna ändamål för behandling av personuppgifter m.m. ................................................. 150 8.2.5 Att antalsberäkna och identifiera personer för forskning inom hälso- och sjukvården ...................... 158
9 Säker och ändamålsenlig hantering av personuppgifter . 171
9.1 Bakgrund ................................................................................. 171 9.2 Våra överväganden och förslag .............................................. 172 9.2.1 Ansvar för den som arbetar hos en vårdgivare –
inre sekretess ............................................................... 173
9.2.2 Ansvar för att uppgifter är tillgängliga när de behövs .......................................................................... 177 9.2.3 Ansvar för att skydda uppgifterna vid överföring via internet m.m. ......................................................... 178 9.2.4 Ansvar för informationssystemens utformning ........ 181 9.2.5 Ansvar för behörighetstilldelning .............................. 184 9.2.6 Ansvar för kontroll av elektronisk åtkomst .............. 187 9.2.7 Tillsyn över en säker och ändamålsenlig hantering av personuppgifter ...................................................... 189
Innehåll
11
10 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga ............................................ 193
10.1 Bakgrund ................................................................................ 193 10.1.1 Vårt uppdrag ............................................................... 195 10.2 Generellt om personuppgiftsansvar ...................................... 196 10.3 Personuppgiftsansvar vid samverkan mellan olika aktörer..................................................................................... 198 10.3.1 Patientdatautredningens resonemang m.m. .............. 200 10.3.2 Några exempel från Datainspektionens tillsyn
m.m. ............................................................................. 203
10.4 Våra överväganden och förslag .............................................. 206 10.4.1 Krav på risk- och sårbarhetsanalys,
överenskommelse och tydliggörande av personuppgiftsansvar .................................................. 206
11 Elektroniskt utlämnande av personuppgifter ................ 221
11.1 Bakgrund ................................................................................ 221 11.2 Våra överväganden och förslag .............................................. 222 11.2.1 Vissa bestämmelser om utlämnande förs över
från patientdatalagen .................................................. 222
11.2.2 Grundläggande bestämmelser om direktåtkomst förs över till hälso- och sjukvårdsdatalagen .............. 224 11.2.3 Direktåtkomst vid källdatagranskning i samband med kliniska prövningar m.m. ................................... 230
12 Ett tydligare ansvar för patientjournalen och dess innehåll ................................................................... 237
12.1 Vårt uppdrag m.m. ................................................................. 237 12.2 Gällande rätt om ansvaret för patientjournalen och dess innehåll ................................................................................... 240 12.2.1 Grundläggande förutsättningar ................................. 240 12.2.2 Ansvaret för uppgifterna i patientjournalen ............. 241 12.2.3 Patientens avvikande mening ska antecknas ............. 242 12.2.4 Patientjournalen som allmän handling ...................... 244 12.2.5 Bevarande och gallring av journalhandlingar ............ 245
Innehåll SOU 2014:23
12
12.2.6 Signeringskravet – kontrolläsning och bekräftelse av uppgifternas riktighet ............................................. 248 12.2.7 Rättelse av felaktiga uppgifter .................................... 251 12.2.8 Att ta bort uppgifter från patientjournalen ............... 253
12.3 Kort om patientjournalens utformning ................................ 254 12.4 Våra överväganden och förslag .............................................. 256 12.4.1 Vissa bestämmelser om journalföring förs över
från patientdatalagen ................................................... 256
12.4.2 Ny bestämmelse om patientjournalen ....................... 259 12.4.3 Patientjournalen är även en informationskälla vid undervisning och utbildning ....................................... 260 12.4.4 Förtydliganden i fråga om vem bestämmelserna om patientjournalen riktar sig till .............................. 261 12.4.5 Patientens möjlighet att bidra med uppgifter i patientjournalen .......................................................... 263 12.4.6 Vårdgivarens ansvar för patientjournalen m.m. förtydligas .................................................................... 264 12.4.7 Vårdgivarens ansvar för utformningen av patientjournalen förtydligas ....................................... 266 12.4.8 Vårdgivaren ska säkerställa att uppgifter är korrekta och att felaktigheter rättas .......................... 268 12.4.9 Den som för journal ska kontrollera sina uppgifter ...................................................................... 271 12.4.10 Vårdgivare ska få utplåna uppenbara felaktigheter i patientjournalen .................................. 274
13 En informationshantering med patienten i centrum ...... 281
13.1 Bakgrund ................................................................................. 281 13.2 Några utgångspunkter för utredningen ................................ 282 13.3 Utredningens reflektioner kring gällande rätt ...................... 284 13.3.1 Exempel 1. Konsekvenser för
informationsutbytet beroende på olika driftformer inom ett landstings ansvarsområde ........ 285
13.3.2 Exempel 2. Möjligheterna till aktiv hälsostyrning i län med liten eller stor mångfald av aktörer ............ 288 13.3.3 Exempel 3. Möjligheterna att kvalitetssäkra vårdprocesser över vårdgivargränser .......................... 290
Innehåll
13
13.3.4 Exempel 4. Hantering av vårddokumentation i samband med byte av utförare ................................... 291
13.4 Våra överväganden och förslag .............................................. 294 13.4.1 Inledning ..................................................................... 294 13.4.2 Förbättrade möjligheter till direktåtkomst mellan
vårdgivare inom en huvudmans ansvarsområde ........ 294
13.4.3 Patientens rätt att spärra information inom och mellan vårdgivare inom huvudmannens ansvarsområde ............................................................. 305 13.4.4 Ökade möjligheter för kommuner och landsting att fullgöra sitt ansvar för hälso- och sjukvården ..... 317 13.4.5 Informationsöverföring vid verksamhetsövergångar .............................................. 323 13.4.6 Kommunalt ansvar för omhändertagna patientjournaler i kommunal hälso- och sjukvård eller hos elevhälsan ..................................................... 328 13.4.7 Bevarande och gallring vid direktåtkomst inom en huvudmans ansvarsområde .................................... 330
14 En ny sammanhållen journalföring ............................. 333
14.1 Bakgrund ................................................................................ 333 14.1.1 Kort om behovet av ett förändrat och förenklat
regelverk ...................................................................... 336
14.2 Våra överväganden och förslag om att göra uppgifter tillgängliga i system för sammanhållen journalföring .......... 337 14.2.1 Tydligare reglering av regelverkets
tillämpningsområde och innebörd ............................. 337
14.2.2 Förenklad utformning av bestämmelserna ................ 341 14.2.3 Grundläggande bestämmelse om att göra uppgifter tillgängliga ................................................... 342 14.2.4 Grundläggande bestämmelse om patienten inte endast tillfälligt saknar förmåga att ta ställning ........ 347 14.2.5 Patientens rätt att motsätta sig sammanhållen journalföring ............................................................... 353 14.2.6 Förbud för vårdnadshavare att motsätta sig sammanhållen journalföring ....................................... 359
14.3 Våra överväganden och förslag om åtkomst till uppgifter i sammanhållen journalföring ................................................ 362
Innehåll SOU 2014:23
14
14.3.1 Våra inledande reflektioner kring gällande rätt ......... 362 14.3.2 En ny reglering för åtkomst till uppgifter i sammanhållen journalföring (skede 2) ...................... 371 14.3.3 Åtkomst till uppgifter i samband med vård av vuxna med nedsatt beslutsförmåga ............................ 384 14.3.4 Åtkomst till uppgifter i samband med vård av vuxna med tillfälligt nedsatt beslutsförmåga ............. 385 14.3.5 Att ta del av uppgifter om vilken vårdgivare som ansvarar för uppgifter som inte är tekniskt åtkomliga ..................................................................... 388 14.3.6 Bevarande och gallring ................................................ 391 14.3.7 Övriga bestämmelser .................................................. 392
15 Rätt information om läkemedel – på väg mot en samlad läkemedelslista ............................................. 395
15.1 Bakgrund ................................................................................. 395 15.1.1 Vårt uppdrag ................................................................ 397 15.1.2 Kort om nationell läkemedelsstrategi ........................ 398 15.2 Kort om läkemedelsbehandling ............................................. 400 15.2.1 Omfattning m.m. ........................................................ 400 15.2.2 Kort om risker och läkemedelsrelaterade problem
m.m. ............................................................................. 401
15.3 Hur ser ordinatörens beslutsunderlag ut? ............................ 404 15.3.1 Våra reflektioner ......................................................... 408 15.4 Hur ser patientens informationsunderlag ut? ...................... 410 15.4.1 Våra reflektioner ......................................................... 413 15.5 På väg mot en samlad läkemedelslista – Nationell ordinationsdatabas.................................................................. 414 15.6 Problembeskrivning – våra reflektioner av gällande rätt...... 415 15.6.1 Åtkomst till journaluppgifter/läkemedelslista .......... 415 15.6.2 Åtkomst till läkemedelsförteckningen ...................... 423 15.6.3 Särskilt om utbyte av läkemedel (generikabyte) ....... 427 15.6.4 Åtkomst till receptregistret ........................................ 432 15.6.5 Våra sammanfattande reflektioner kring gällande
rätt ................................................................................ 435
15.7 Våra överväganden och förslag .............................................. 436
Innehåll
15
15.7.1 Utredningens förslag i andra delar m.m. ................... 436 15.7.2 Behov av åtgärder som leder till harmoniserade regler ............................................................................ 440 15.7.3 Patientens spärrmöjligheter bör inte omfatta uppgifter om ordinerade läkemedel ........................... 442 15.7.4 Ändringar som görs på apotek ................................... 459 15.7.5 Uttag av läkemedel som görs utomlands ska registreras i Läkemedelsförteckningen ...................... 465 15.7.6 Bevarande och gallring av uppgifter .......................... 467 15.7.7 Farmaceuters tillgång till läkemedelsförteckningen ............................................ 468 15.7.8 Övriga rekommendationer för utvecklingen mot en samlad läkemedelslista m.m. ................................. 474
16 Förbättrad tillgång till varningsinformation .................. 477
16.1 Bakgrund ................................................................................ 477 16.1.1 Informationshanteringen ........................................... 478 16.1.2 Vårt uppdrag m.m. ...................................................... 479 16.2 Våra överväganden och förslag .............................................. 480 16.2.1 Varningsinformation bör undantas från
patientens spärrmöjligheter ........................................ 480
16.2.2 Nationella insatser för en strukturerad, entydig och enhetlig varningsinformation .............................. 488
17 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården ......................................................... 491
17.1 Bakgrund ................................................................................ 491 17.2 Nationella kvalitetsregister .................................................... 494 17.2.1 Exempel på användning av nationella
kvalitetsregister ........................................................... 495
17.2.2 Kort om regelverket och dess framväxt .................... 497
17.3 Reflektioner kring möjligheterna att använda patientuppgifter i lokalt kvalitetsarbete ................................ 500 17.3.1 Lagstiftningen ger möjligheter till
kvalitetssäkring och kvalitetsutveckling .................... 501
17.4 Våra överväganden och förslag rörande nationella kvalitetsregister ...................................................................... 505
Innehåll SOU 2014:23
16
17.4.1 Bestämmelser om nationella kvalitetsregister förs över till hälso- och sjukvårdsdatalagen ...................... 505 17.4.2 Patientens möjlighet att bidra med uppgifter i registreringen............................................................... 512 17.4.3 Tydligare bestämmelser om personuppgiftsansvar för nationella kvalitetsregister .................................... 513 17.4.4 Kvalitetsregister ska få användas för att följa upp vård som ges av flera olika vårdgivare ........................ 519 17.4.5 Kvalitetsregister ska kunna användas för patienter med nedsatt beslutsförmåga ....................... 528 17.4.6 Att utvidga ett nationellt kvalitetsregister ................ 535 17.4.7 Förändringar av personuppgiftsansvaret för central behandling av personuppgifter ...................... 542
Socialtjänst
18 En socialtjänst i utveckling ........................................ 547
18.1 Vad är socialtjänst? ................................................................. 547 18.2 Kommunernas ansvar för socialtjänsten ............................... 548 18.3 Ansvar för Statens institutionsstyrelse (SiS) ........................ 554 18.4 Ansvar för landstingen ........................................................... 554 18.5 Samverkan med andra huvudmän .......................................... 555 18.6 Privata utförare i socialtjänsten ............................................. 556 18.6.1 Valfrihetssystem i socialtjänsten ................................ 557 18.7 Sammanfattande reflektioner ................................................ 560
19 Informationshantering inom socialtjänsten .................. 563
19.1 Bakgrund ................................................................................. 563 19.2 Dokumentation och handläggning för rättssäkerhet, kvalitet och insyn ................................................................... 564
19.3 Informationshantering i olika skeden ................................... 565 19.4 Den rättsliga regleringen av dokumentation och personuppgiftsbehandling ..................................................... 567
Innehåll
17
19.4.1 Socialstyrelsens föreskrifter SOSFS 2006:5 .............. 568 19.4.2 Lagen om behandling av personuppgifter inom socialtjänsten ............................................................... 569 19.4.3 Förordningen om behandling av personuppgifter inom socialtjänsten ..................................................... 573 19.4.4 Direktåtkomst och utlämnande på medium för automatiserad behandling .......................................... 575
19.5 Sekretess på socialtjänstens område...................................... 576 19.5.1 Sekretess mellan myndigheter och självständiga
verksamhetsgrenar ...................................................... 578
19.5.2 Sekretess i förhållande till privata utförare av socialtjänst ................................................................... 579
20 En ändamålsenlig informationshantering – iakttagelser och reflektioner ...................................... 581
20.1 Bakgrund ................................................................................ 581 20.2 Informatik och it .................................................................... 581 20.3 Samtycke till insatser – en utgångspunkt för informationshanteringen ....................................................... 583
20.4 Övergripande nämndstruktur påverkar informationshanteringen ....................................................... 585 20.5 Valfrihet och mångfald påverkar informationshanteringen ....................................................... 586
20.6 Informationshantering i samband med rådgivning och annat stöd ............................................................................... 587 20.7 Verksamhetsuppföljning och kvalitetssäkring ..................... 589 20.8 SoLPUL och SoLPULF – ett svårtillgängligt regelverk ...... 591 20.9 Kunskap, kompetens, ledning och styrning ......................... 592 20.10 Sammanfattande reflektioner ................................................ 593
21 En mer ändamålsenlig sekretessreglering i socialtjänsten .......................................................... 595
21.1 Bakgrund ................................................................................ 595
Innehåll SOU 2014:23
18
21.1.1 Kort om kommunens ansvar och organisation ......... 597 21.1.2 Något om tidigare lagstiftningsarbeten ..................... 598
21.2 Våra överväganden och förslag rörande sekretessregleringen i socialtjänsten ..................................... 599 21.2.1 Omotiverade konsekvenser av dagens reglering ....... 599 21.2.2 Alternativa lösningar ................................................... 602 21.2.3 Förslag till en mer ändamålsenlig
sekretessreglering i socialtjänsten ............................. 604
21.2.4 Frågan om sekretess mellan LSS och övrig socialtjänstverksamhet ................................................ 607 21.2.5 Frågan om sekretess mellan LSS och den kommunala hälso- och sjukvården i boenden med särskild service ............................................................. 609 21.2.6 Frågan om sekretess mellan hemtjänst och kommunal hemsjukvård ............................................. 611 21.2.7 Frågan om en sekretessbrytande regel i förhållande till hälso- och sjukvården m.m. .............. 613 21.2.8 Förslag till en sekretessbrytande regel när den enskilde inte kan samtycka ......................................... 616
21.3 Våra överväganden och förslag om kommunens möjligheter att följa upp socialtjänst i enskild verksamhet .............................................................................. 622 21.3.1 Det kommunala huvudmannaansvaret ...................... 623 21.3.2 Förslag om uppgiftsskyldighet från enskilda
verksamheter till kommunen...................................... 625
22 En ny lag: socialtjänstdatalag ..................................... 631
22.1 Bakgrund ................................................................................. 631 22.1.1 Kort om våra utgångspunkter för denna typ av
lagstiftning ................................................................... 633
22.2 Våra överväganden och förslag .............................................. 635 22.2.1 En samlad reglering i en ny lag ................................... 635 22.2.2 Bestämmelser om handläggning och
dokumentation ligger kvar i befintlig lagstiftning .... 636
22.2.3 Lagens tillämpningsområde ........................................ 637 22.2.4 Definition av socialtjänst ............................................ 643 22.2.5 Syftet med lagen .......................................................... 645 22.2.6 Förhållandet till personuppgiftslagen ........................ 647
Innehåll
19
23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten ............ 651
23.1 Bakgrund ................................................................................ 651 23.2 Våra överväganden och förslag .............................................. 652 23.2.1 Tillåtna ändamål för behandlingen av
personuppgifter ........................................................... 652
23.2.2 Sammanställningar av personuppgifter ..................... 663 23.2.3 Personuppgifter som får behandlas i socialtjänsten ............................................................... 670 23.2.4 Den enskildes inställning till personuppgiftsbehandlingen ...................................... 674 23.2.5 Behandling av personuppgifter vid råd och service .......................................................................... 677 23.2.6 Personuppgiftsansvar ................................................. 679 23.2.7 Sökbegrepp .................................................................. 680
24 Säker och ändamålsenlig hantering av personuppgifter 685
24.1 Bakgrund ................................................................................ 685 24.2 Våra överväganden och förslag .............................................. 686 24.2.1 Ansvar för den som arbetar i socialtjänsten – inre
sekretess ...................................................................... 688
24.2.2 Ansvar för att uppgifter är tillgängliga när de behövs .......................................................................... 690 24.2.3 Ansvar för att skydda uppgifterna vid överföring via internet m.m. ......................................................... 691 24.2.4 Ansvar för informationssystemens utformning ....... 696 24.2.5 Ansvar för behörighetstilldelning .............................. 698 24.2.6 Ansvar för kontroll av elektronisk åtkomst .............. 701
25 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga ............................................ 705
25.1 Bakgrund ................................................................................ 705 25.1.1 Vårt uppdrag m.m. ...................................................... 707 25.2 Våra överväganden och förslag .............................................. 708 25.2.1 Krav på risk- och sårbarhetsanalys,
överenskommelse och tydliggörande av personuppgiftsansvar .................................................. 708
Innehåll SOU 2014:23
20
26 Elektroniskt utlämnande av personuppgifter ................ 717
26.1 Bakgrund ................................................................................. 717 26.2 Våra överväganden och förslag .............................................. 718 26.2.1 Utlämnande på medium för automatiserad
behandling ................................................................... 718
26.2.2 Utlämnande genom direktåtkomst ............................ 720 26.2.3 Utlämnande av uppgifter till tredje land .................... 723 26.2.4 Vissa bestämmelser om utlämnande från Statens institutionsstyrelse ...................................................... 724
27 Nya möjligheter till informationsutbyte i socialtjänsten . 727
27.1 Bakgrund ................................................................................. 727 27.2 Våra överväganden och förslag .............................................. 728 27.2.1 Direktåtkomst mellan myndigheter i samma
kommun ....................................................................... 728
27.2.2 Direktåtkomst mellan olika utförare i socialtjänsten ............................................................... 732 27.2.3 Personer med nedsatt beslutsförmåga ....................... 738 27.2.4 Tillåtna ändamål vid direktåtkomst till uppgifter hos annan verksamhet ................................................. 740 27.2.5 Personuppgiftsansvar .................................................. 743 27.2.6 Bevarande och gallring ................................................ 744 27.2.7 Sekretessbrytande regel .............................................. 745
28 Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten ........................................................... 751
28.1 Bakgrund ................................................................................. 751 28.2 Våra överväganden ................................................................. 754
29 Allmänna frågor om enskildas rättigheter m.m. ............ 763
29.1 Bakgrund ................................................................................. 763 29.2 Våra överväganden och förslag .............................................. 764 29.2.1 Enskildas rätt att ta del av uppgifter .......................... 764 29.2.2 Information om personuppgiftsbehandlingen .......... 764
Innehåll
21
29.2.3 Information om åtkomst till den enskildes uppgifter ...................................................................... 766 29.2.4 Rättelse ........................................................................ 768 29.2.5 Skadestånd ................................................................... 769
30 Socialstyrelsens behandling av personuppgifter ........... 771
30.1 Bakgrund ................................................................................ 771 30.2 Våra överväganden och förslag .............................................. 771 30.2.1 Ny lag om Socialstyrelsens behandling av
personuppgifter i verksamhet avseende utredningar av vissa dödsfall ...................................... 771
30.2.2 Lagens tillämpningsområde ....................................... 772 30.2.3 Personuppgiftsansvar ................................................. 773 30.2.4 Tillåten personuppgiftsbehandling ............................ 773
Informationsutbyte mellan hälso- och sjukvården och
socialtjänsten
31 Behov av en mer sammanhållen informationshantering ............................................... 775
31.1 Bakgrund ................................................................................ 775 31.1.1 Individens behov som utgångspunkt ......................... 775 31.1.2 Det delade ansvaret för hälso- och sjukvård och
socialtjänst ................................................................... 777
31.1.3 Stora krav på informationsöverföringen ................... 783
31.2 Rättsliga krav på samverkan mellan huvudmän.................... 784 31.2.1 Samverkan på övergripande nivå ................................ 785 31.2.2 Samverkan på individuell nivå .................................... 786 31.3 Utredningens iakttagelser och reflektioner när det gäller integrerade verksamheter ...................................................... 788 31.3.1 Vård och omsorg om äldre i särskilt boende och i
hemmet ........................................................................ 789
31.3.2 Vård och omsorg om personer med psykisk sjukdom och funktionshinder .................................... 796 31.3.3 Vård och omsorg om personer med missbruk och beroendeproblem ........................................................ 800 31.3.4 Vård och omsorg om barn och unga ......................... 803
Innehåll SOU 2014:23
22
32 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst ........................... 807
32.1 Bakgrund ................................................................................. 807 32.2 Vilka förändringar behövs? .................................................... 808 32.2.1 Kort om nuvarande regelverk ..................................... 809 32.2.2 Kort om utredningens förslag i övriga delar ............. 809 32.2.3 Vad behövs ytterligare? .............................................. 811 32.3 Våra överväganden och förslag .............................................. 811 32.3.1 Inledande utgångspunkter .......................................... 811 32.3.2 Två alternativa möjligheter bör tillhandahållas ......... 812 32.3.3 Särskilda kapitel i lagstiftningen ................................. 814 32.3.4 Utlämnande genom direktåtkomst mellan hälso-
och sjukvård och socialtjänst ska vara möjligt .......... 815
32.3.5 Direktåtkomst avseende vuxna med inte endast tillfälligt nedsatt beslutsförmåga ................................ 825 32.3.6 Direktåtkomst är tillåten endast så länge det konkreta behovet finns ............................................... 828 32.3.7 Direktåtkomst ska föregås av risk- och sårbarhetsanalys och överenskommelse om skyddet för uppgifterna .............................................. 829 32.3.8 Bevarande och gallring vid direktåtkomst ................. 830 32.3.9 Fråga om absolut sekretess ......................................... 831 32.3.10 Gemensam vård- och omsorgsjournal för personer med behov av både socialtjänst och hälso- och sjukvård ................................................... 832 32.3.11 Innehållet i en gemensam vård- och omsorgsjournal m.m. ................................................ 842 32.3.12 Överenskommelse om gemensam vård- och omsorgsjournal .......................................................... 844 32.3.13 Att ta del av uppgifter genom direktåtkomst eller i en gemensam vård- och omsorgsjournal ....... 845 32.3.14 Bevarande och arkivering av gemensam vård och omsorgsjournal .......................................................... 849 32.3.15 Sekretessbrytande bestämmelser för att möjliggöra förslagen ................................................. 850 32.3.16 Gemensam vård- och omsorgsjournal och sammanhållen journalföring ..................................... 852
Innehåll
23
Ökad kommunikation med medborgare
33 Kommunikation mellan vård- och omsorgsaktörer och medborgare ............................................................. 855
33.1 Bakgrund ................................................................................ 855 33.1.1 Vårt uppdrag ............................................................... 856 33.1.2 En utveckling med flera mål ....................................... 857 33.2 Några utvecklingsarbeten inom området ............................. 859 33.2.1 E-tjänster och erfarenheter från landstinget i
Uppsala ........................................................................ 859
33.2.2 Mina vårdkontakter .................................................... 861 33.2.3 Omsorgsdagboken ...................................................... 863 33.2.4 Mina vårdflöden .......................................................... 863 33.2.5 Din journal på nätet – förstudien .............................. 864 33.2.6 Hälsa för mig – ett personligt hälskonto .................. 868 33.2.7 Internationell utblick .................................................. 869
33.3 Några reflektioner kring informationsflöden och aktörer..................................................................................... 871
33.4 Kort genomgång av gällande rätt .......................................... 875 33.4.1 Patientens rätt att ta del av sin journal i hälso-
och sjukvården ............................................................ 876
33.4.2 Elektroniskt utlämnande av uppgifter till patienten ...................................................................... 877 33.4.3 Krav på säkerhetsåtgärder m.m. i hälso- och sjukvården ................................................................... 878 33.4.4 Individens rätt till uppgifter om uthämtade läkemedel ..................................................................... 880 33.4.5 Individens rätt till information i socialtjänsten ........ 880 33.4.6 Elektroniskt utlämnande till individen i socialtjänsten ............................................................... 881 33.4.7 Krav på säkerhetsåtgärder m.m. i socialtjänsten ....... 882
33.5 Våra överväganden och förslag .............................................. 883 33.5.1 Direktåtkomst för enskilda i socialtjänsten .............. 883 33.5.2 Direktåtkomst för patienter och frågan om
sekretess mot patienten själv...................................... 886
33.5.3 Tydlig information och överenskommelser med den enskilde ................................................................. 894
Innehåll SOU 2014:23
24
33.5.4 Begreppet personligt hälskonto – behov av definition? .................................................................... 896 33.5.5 Personuppgiftsansvar för vårdgivare och den som bedriver socialtjänst .................................................... 899 33.5.6 Personuppgiftsansvar när utlämnade uppgifter lagras i ett personligt hälsokonto ............................... 900 33.5.7 Hantering av uppgifter i ett personligt hälsokonto – för privat bruk ...................................... 902 33.5.8 Personuppgiftsansvar för den som tillhandahåller ett personligt hälskonto .............................................. 903 33.5.9 Hälsokonto och allmänna handlingar ........................ 906 33.5.10 Vem kan tillhandahålla ett personligt hälsokonto? ............................................................... 910 33.5.11 Den enskildes möjlighet att förfoga över sin direktåtkomst m.m.................................................... 911
Övriga överväganden och förslag
34 Internationellt informationsutbyte .............................. 925
34.1 Bakgrund ................................................................................. 925 34.2 Våra överväganden om elektroniskt utlämnande till vårdgivare i andra länder ........................................................ 926 34.2.1 Utlämnande med den enskildes samtycke ................. 926 34.2.2 Elektroniskt utlämnande på medium för
automatiserad behandling till andra länder ................ 928
34.2.3 Får ett elektroniskt utlämnande göras genom direktåtkomst? ............................................................ 933 34.2.4 Är detta förenligt med EU-rätten? ............................ 938
34.3 Våra övervägande om elektroniskt utlämnande till apotek i andra länder .............................................................. 942 34.3.1 Utlämnande med den enskildes samtycke ................. 942 34.3.2 Får ett elektroniskt utlämnande göras genom
direktåtkomst? ............................................................ 946
34.3.3 Är detta förenligt med EU-rätten? ............................ 949
35 Socialstyrelsens läkemedelsregister ............................ 951
35.1 Bakgrund ................................................................................. 951 35.1.1 Vårt uppdrag ................................................................ 952
Innehåll
25
35.2 Rättslig reglering av läkemedelsregistret .............................. 952 35.2.1 Hälsodataregistren ...................................................... 954 35.3 Läkemedelsregistrets användning m.m. ................................ 957 35.4 Uppföljning, utvärdering och kvalitetssäkring m.m. ........... 961 35.5 Våra överväganden och förslag .............................................. 966 35.5.1 Utvecklingen på området ........................................... 966 35.5.2 Nya ändamål bör införas i läkemedelsregistret ......... 969 35.5.3 Uppgift om förskrivningsorsak bör få registreras
i läkemedelsregistret ................................................... 972
36 Patientrapporterade mått .......................................... 977
36.1 Bakgrund ................................................................................ 977 36.1.1 Att mäta och samla in patientupplevelser ................. 978 36.2 Vårt uppdrag ........................................................................... 980 36.3 Våra överväganden ................................................................. 980
37 Datainspektionens befogenheter ................................ 985
37.1 Vårt uppdrag ........................................................................... 985 37.1.1 Datainspektionens befogenheter ............................... 986 37.1.2 Datainspektionens skrivelse till regeringen .............. 987 37.2 Datainspektionens praxis ...................................................... 988 37.3 Bakgrunden till nuvarande reglering ..................................... 990 37.4 Våra överväganden och förslag om utökade befogenheter för Datainspektionen ...................................... 993
27
Sammanfattning
Inledning
Inom hälso- och sjukvården och socialtjänsten finns ett växande behov av att samverka i olika former. För den enskilde individen är ett bra och samlat omhändertagande ofta beroende av stöd och insatser från såväl landsting och kommun som privata vårdgivare eller privat utförare av socialtjänst. Det gäller även i äldreomsorgen, psykiatrin, missbruks- och beroendevården och i verksamheter för funktionshindrade. Arbetet med barn och unga ställer också stora krav på samverkan mellan hälso- och sjukvården och socialtjänsten.
Stora strukturförändringar har genomförts inom hälso- och sjukvården och socialtjänsten de senaste åren. Reformer som bl.a. fritt vårdval och omreglering av apoteksmarknaden har lett till många nya vårdmottagningar, vårdcentraler och apotek där verksamheten i allt större utsträckning utförs av privata aktörer. Även inom socialtjänsten har andelen privata utförare ökat, bl.a. som en följd av lagen (2008:962) om valfrihetssystem. En individ som rör sig inom och mellan hälso- och sjukvården och socialtjänsten möter därför allt fler vårdgivare och utförare inom socialtjänsten både nationellt och internationellt.
Hälso- och sjukvården och socialtjänsten är två av de mest informationsintensiva och komplexa sektorerna i samhället. Det medför nya och ökade behov och krav på hur information ska hanteras. Idag spänner informationshanteringen därför över ett mycket större område än tidigare. Vi har gått från en tid när det många gånger har handlat om att uppgifter om enskilda ska dokumenteras, till en tid när det i större utsträckning även handlar om hur uppgifter som har dokumenterats kan och bör användas för att skapa bästa möjliga resultat för individen och för andra i liknande situationer. De tekniska landvinningarna och den ständigt ökande informationstillgången har bland annat medfört att det idag
Sammanfattning SOU 2014:23
28
är möjligt att göra sådant som tidigare var omöjligt eller som åtminstone i praktiken var alltför resurskrävande för att kunna genomföras. Det kan handla om att information om den enskilde individen elektroniskt sambearbetas med andra kunskapskällor, t.ex. nationella riktlinjer, och resulterar i att yrkesutövaren snabbt och säkert får en direkt rekommendation för sitt ställningstagande. Inte minst inom hälso- och sjukvården finns flera exempel på framväxten av olika former av kliniska beslutsstöd där en effektiv informationshantering på systemnivå kan bidra till öka säkerheten och kvaliteten i vården.
Den tekniska utvecklingen har även medfört helt nya möjligheter att arbeta preventivt för att förebygga ohälsa. Med hjälp av information om enskilda och deras sjukdomshistoria, riskfaktorer och aktuella behandlingsriktlinjer m.m. kan tekniken bidra till att sjukdomar upptäcks tidigare och kan behandlas snabbare samt att enskilda individer får ett mer individanpassat stöd och omhändertagande. Informationshanteringen i hälso- och sjukvården och socialtjänsten är därför av avgörande betydelse såväl för kvaliteten och säkerheten i den vård och omsorg enskilda individer erbjuds, som för möjligheterna att arbeta preventivt och förebygga ohälsa och låg livskvalitet.
Centralt i hälso- och sjukvården och socialtjänsten är också att ständigt utveckla och säkra kvaliteten i verksamheten i syfte att skapa ännu bättre resultat för de som idag och i framtiden har behov av vård och omsorg. Inte sällan behöver dokumenterade uppgifter om enskilda individer, diagnoser, åtgärder, bakgrunden till genomförda insatser, resultaten av insatser och enskildas och närståendes upplevelser av hälsorelaterad livskvalitet m.m. ligga till grund för ett sådant förbättringsarbete. Det är såväl ett grundläggande allmänt intresse som ett uttryckligt krav i lagstiftningen att systematiskt och fortlöpande utveckla och säkra kvaliteten i socialtjänsten och hälso- och sjukvården.
Sammantaget är en effektiv och ändamålsenlig informationshantering en av grundförutsättningarna för en jämlik vård och omsorg av hög kvalitet i hela landet. Det innebär att satsningar och förbättringsarbeten för säkerhet, tillgänglighet och evidensbaserade arbetssätt i vård och omsorg även behöver inkludera frågor om informationshantering.
För att medborgare ska få säkra insatser av hög kvalitet behöver yrkesutövare inom hälso- och sjukvården och socialtjänsten på ett säkert och ändamålsenligt sätt ha tillgång till uppgifter om individen
SOU 2014:23 Sammanfattning
29
och information om de insatser som han eller hon fått tidigare. Utan tillgång till sådana uppgifter ökar risken för bl.a. bristande beslutsunderlag, felbehandlingar och allvarliga interaktioner mellan läkemedel och andra insatser. I det dagliga arbetet med att ge individer den vård och de insatser som i enskilda fall behövs är personalens hantering av information om dessa individer även integrerat med de konkreta arbetsuppgifterna. Personalen behöver såväl ta del av uppgifter som dokumentera uppgifter för att kunna utföra sitt arbete på ett ändamålsenligt och säkert sätt. Om verksamheten exempelvis använder elektroniska beslutsstöd där information om individen sambearbetas med andra kunskapskällor för att ge specifik vägledning eller behandlingsrekommendationer, blir informationshanteringen närmast en oskiljaktig del av själva arbetets utförande. De regler som gäller avseende själva utförandet av insatserna för individen måste därför vara i harmoni med de regler som gäller för hantering av informationen om honom eller henne.
De organisatoriska gränser som finns mellan olika aktörer i hälso- och sjukvården och socialtjänsten för med sig juridiska och tekniska hinder när det gäller hantering av personuppgifter. Men den enskilde ska inte riskera att få mindre säkra insatser eller insatser av lägre kvalitet inom hälso- och sjukvården och socialtjänsten för att en eller flera personalkategorier som utför insatserna inte har tillgång till rätt information vid rätt tillfälle. Rätt information i rätt tid för rätt användare är en nyckel till personalens möjligheter att göra ett bra arbete för den enskilde.
Bra samverkande verksamheter kan ge fördelar för individen. Genom samarbete i tvärprofessionella team sammansatta utifrån individens behov, tätt samarbete med övriga stödfunktioner och tillgång till personal dygnet runt m.m. kan den enskildes behov tillgodoses på ett sätt som uppfyller krav på kontinuitet, säkerhet och respekt för den enskilde. För att detta ska vara möjligt behövs det ett regelverk för informationshanteringen som har individen och individens behov i centrum.
Ytterligare en förutsättning för hög kvalitet och säkerhet hälso- och sjukvård och socialtjänst är att både själva insatserna och informationshanteringen bygger på respekt för den enskildes självbestämmande och integritet. Med hänsyn till såväl individens integritet som till förtroendet för hälso- och sjukvården och socialtjänsten kan det aldrig bli fråga om att information om individen ska kunna spridas okontrollerat. De fördelar som ett utlämnande av eller tillgång till uppgifter innebär måste alltid vägas mot de nackdelar och
Sammanfattning SOU 2014:23
30
risker som kan uppkomma. Det handlar om att upprätthålla en balans mellan olika intressen som framför allt integritetsskydd, hälsa, livskvalitet, autonomi och jämlikhet.
Utredningens utgångspunkt är att värden som kvalitet och säkerhet inte står i motsats till behovet av skydd för den personliga integriteten. I själva verket handlar det om ett samspel där ett välbalanserat integritetsskydd är en förutsättning för hög kvalitet och säkerhet. Den relevanta frågan handlar därför om hur integritetsskyddet närmare bör utformas för att stimulera en socialtjänst och hälso- och sjukvård där medborgare får insatser av så hög kvalitet och säkerhet som möjligt.
Utredningens förslag i korthet
Två nya lagar; en socialtjänstdatalag och en hälso- och sjukvårdsdatalag
Socialtjänstdatalagen
En särskild s.k. registerlagstiftning innebär i många fall en bättre garanti för utformningen av integritetsskyddet när det gäller behandlingen av integritetskänsliga personuppgifter. Därutöver ger en sådan författning även möjligheter att utforma närmare förutsättningar för hur personuppgiftsbehandlingen bör gå till för att de övergripande syftena med informationshanteringen ska kunna uppnås. Personuppgiftsbehandling som rör ett stort antal registrerade personer och har ett särskilt integritetskänsligt innehåll bör vara reglerade i lag. Det ligger i linje med 2 kap. 6 § regeringsformen
Utredningen föreslår att en ny lag om behandling av personuppgifter inom socialtjänsten ska införas, med namnet socialtjänstdatalag. Lagen ska gälla för kärnverksamheten i socialtjänsten, d.v.s. det som utförs av kommunala myndigheter, enskilda verksamheter och Statens institutionsstyrelse. Sådan personuppgiftsbehandling som görs av andra aktörer på socialtjänstens område, t.ex. Socialstyrelsen och Inspektionen för vård och omsorg ska inte regleras av socialtjänstdatalagen.
Lagen syftar till att främja en informationshantering som tillgodoser god kvalitet, rättsäkerhet och kostnadseffektivitet i socialtjänsten. På en övergripande nivå ska förutsättningarna öka för en mer ändamålsenlig och sammanhållen informationshantering inom och mellan socialtjänsten och hälso- och sjukvården. Det handlar både
SOU 2014:23 Sammanfattning
31
om att se till att personuppgifter kan behandlas för att se till att individer i behov av socialtjänst får insatser av hög kvalitet och om att säkerställa behovet av skydd för den personliga integriteten. Författningsstrukturen och det materiella innehållet bör överensstämma i stort med den författningsreglering om behandling av personuppgifter som vi föreslår för hälso- och sjukvården.
Det innebär att socialtjänstdatalagen bland annat innehåller bestämmelser om personuppgiftsansvar, vilka personuppgifter som får behandlas, tillåtna ändamål för personuppgiftsbehandlingen, utlämnande genom direktåtkomst, inre sekretess, behörighetsstyrning, åtkomstkontroll och rättigheter för den enskilde.
Hälso- och sjukvårdsdatalagen
I detta betänkande finns ett stort antal förslag som syftar till att öka förutsättningarna för en mer ändamålsenlig och sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Det handlar bland annat om förslag som ska minska tillämpningsproblemen med nuvarande lagstiftning, reducera de negativa konsekvenserna av regelverkets organisatoriska fokus, stärka integritetsskyddet och tydliggöra ansvaret för att rätt information finns på rätt plats i rätt tid. Utredningens förslag i sin helhet kommer därför att ha en omfattande påverkan på innehållet i den nu gällande patientdatalagen (2008:355). Under arbetets gång har det blivit uppenbart att våra förslag skulle medföra så många förändringar att det skulle inverka negativt på den befintliga strukturen i patientdatalagen och göra den svåröverskådlig.
Utredningen lämnar i betänkandet förslag som ska underlätta informationsutbytet mellan hälso- och sjukvård och socialtjänst. Regleringen av personuppgiftsbehandlingen inom och mellan hälso- och sjukvården och socialtjänsten underlättas om vi lämnar förslag till en ny lagstiftning för båda dessa områden samtidigt.
Utredningen anser att det är en fördel om de lagar som reglerar behandlingen av personuppgifter i hälso- och sjukvården respektive socialtjänsten liknar varandra så mycket som möjligt avseende struktur och innehåll. Det underlättar tillämpningen och förståelsen för lagstiftningens bakomliggande ändamål, både för de registrerade och för de som ska tillämpa lagstiftningen.
Vårt förslag innebär att många bestämmelser ska överföras materiellt oförändrade från patientdatalagen till den nya lagen. Det
Sammanfattning SOU 2014:23
32
har gett oss tillfälle att överväga och vid behöv föreslå förenklad utformning och språkliga justeringar i paragraferna. Utredningen föreslår att den nya lagen ska ha namnet hälso- och sjukvårdsdatalag.
En informationshantering som utgår från individens behov
Förbättrade möjligheter till direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde
Behovet av informationsutbyte om en patient är i dag störst på det lokala planet, i hemkommunen och inom det egna landstinget. Den hälso- och sjukvård som utförs av landsting, kommuner och privata vårdgivare kräver ett tätt och fortlöpande samarbete i individuella vårdsituationer. En av grundförutsättningarna för att patienter ska känna trygghet i hälso- och sjukvården är att den vårdgivare patienten möter har tillgång till all aktuell och relevant information som behövs för att han eller hon ska få en god och säker vård.
Dagens organisationsinriktade lagstiftning motverkar dock ett sådant informationsutbyte. Även om i princip all hälso- och sjukvård är offentligt finansierad av kommuner och landsting uppställer lagstiftningen hinder för informationsutbytet mellan vårdgivare som är offentligt finansierade. För patienter som bor i kommuner eller landsting med få privata leverantörer i det offentligfinansierade systemet ger lagstiftningen bättre förutsättningar för en ändamålsenlig och sammanhållen informationshantering än för patienter som bor i ett landsting eller en kommun med en stor mångfald av vårdgivare.
Vi anser att alla medborgare som väljer vårdgivare, t.ex. en privat vårdcentral med offentlig finansiering, ska kunna lita på att den vårdgivaren har lika goda legala möjligheter som en landstingsdriven vårdcentral att t.ex. utbyta information med det landstingsdrivna sjukhuset. För att möjliggöra detta föreslår utredningen att det ska vara tillåtet att utbyta nödvändiga uppgifter om en patient på samma enkla sätt oavsett hur vården i ett landsting eller i en kommun är organiserad. Vi föreslår att det ska bli tillåtet för offentligfinansierade vårdgivare inom en huvudmans ansvarsområde att utbyta uppgifter om en patient med hjälp av direktåtkomst med stöd av samma regler oavsett om verksamheten drivs offentlig eller privat. Inom det egna landstinget eller inom
SOU 2014:23 Sammanfattning
33
den egna kommunen ska informationen kunna följa patienten på ett enkelt och säkert sätt som är till nytta för honom eller henne.
För att tillgodose patienternas behov av integritetsskydd föreslår vi att patienten ska få en rätt att begränsa den elektroniska åtkomsten inom och mellan dessa vårdgivare, på ett sådant sätt att verksamheter som i praktiken inte heller deltar i patientens vård och behandling inte heller får ta del av uppgifterna. En sådan spärr kan sedan hävas med patientens samtycke eller i en nödsituation där patienten inte kan lämna samtycke.
Jämlik tillgång till sammanhållen journalföring
En konsekvens av utredningens förslag om förbättrade möjligheter till direktåtkomst mellan vårdgivare inom en och samma huvudmans ansvarsområde är att tillämpningsområdet för reglerna om sammanhållen journalföring krymper. Istället för som idag gälla vid allt informationsutbyte genom direktåtkomst mellan vårdgivare kommer reglerna att tillämpas för informationsutbytet mellan vårdgivare som finansieras av olika huvudmän, t.ex. en kommunalt finansierad vårdgivare och en landstingsfinansierad vårdgivare eller två vårdgivare som finansieras av olika landsting.
Genom sammanhållen journalföring kan viktig information om patienterna finnas tillhands i den stund och på den plats behovet för patienten uppstår. En förutsättning för det är dock att patienten inte motsatt sig informationsutbytet. I sådant fall får uppgifterna inte finnas tekniskt åtkomliga för andra vårdgivare i systemet för sammanhållen journalföring. Med hänsyn till patientens rätt till självbestämmande och integritetsskydd ska den förutsättningen enligt utredningens förslag alltjämt vara gällande, men med två undantag. Utredningen föreslår att uppgifter om ordinerade läkemedel och uppgifter som ger en varning om att patienten har visat intolerans eller har en överkänslighet som innebär allvarlig fara för patientens liv eller hälsa, alltid ska få finnas tekniskt åtkomliga så att uppgifterna kan nås i de situationer det behövs för patientens vård.
Ett problem med gällande bestämmelser om sammanhållen journalföring är att patientdatalagen saknar bestämmelser om hur personer som inte endast tillfälligt saknar beslutsförmåga ska kunna dra nytta av en sådan informationsdelning och de fördelar det kan medföra. En person som i det aktuella avseendet har
Sammanfattning SOU 2014:23
34
nedsatt beslutsförmåga kan varken informeras om sammanhållen journalföring eller ta ställning till om vårddokumentationen ska få delas på det sättet.
För att den som har nedsatt beslutsförmåga ska ha samma möjligheter som andra individer att dra nytta av ett mer patientsäkert och effektivt informationsutbyte föreslår vi ett undantag i hälso- och sjukvårdsdatalagen som innebär att vårdgivare, under vissa förutsättningar, kan göra personuppgifter tillgängliga i system för sammanhållen journalföring även om patienten inte kan ta emot information och ta ställning till åtgärden.
För att en vårdgivare, som står i begrepp att ge patienten vård och behandling, ska få ta del av uppgifter i system för sammanhållen journalföring krävs idag att patienten lämnar ett särskilt samtycke till själva åtkomsten och användandet av uppgifterna. Utredningen föreslår att kravet på särskilt samtycke till personuppgiftsbehandlingen inte överförs till hälso- och sjukvårdsdatalagen. I stället ska patientens samtycke till själva hälso- och sjukvårdsinsatserna utgöra grunden för vilka uppgifter hos andra vårdgivare som det är tillåtet att ta del av. Om patienten har kommit överens med vårdgivaren om en viss hälso- och sjukvårdsinsats, t.ex. ordination av läkemedel mot sömnproblem, ska hälso- och sjukvårdspersonalen även få ta del av den information om patienten som behövs för att med en hög patientsäkerhet kunna fatta bästa möjliga beslut om patientens behandling. Patienten ska därmed fortfarande på en övergripande nivå förfoga över vilka uppgifter som hälso- och sjukvårdspersonalen får ta del av. Eftersom hälso- och sjukvårdspersonalen endast får ta del av de uppgifter som behövs för att de ska kunna utföra sitt arbete, kommer patientens självbestämmande alltjämt att vara grunden för vad som är lagligt i fråga om att ta del av uppgifter hos andra vårdgivare. Yrkesutövaren får bara ta del av de uppgifter som behövs för att kunna ge den vård som patienten vill ha. Förslaget innebär alltså ingen förändrad eller ökad rätt för hälso- och sjukvårdspersonal att ta del av de aktuella uppgifterna.
En konsekvens av detta förslag är att det blir möjligt att ta del av uppgifter genom sammanhållen journalföring även i samband med vård och behandling av en person som har nedsatt beslutsförmåga. Om hälso- och sjukvårdspersonalen anser att en viss vårdinsats kan ges trots att patienten inte kan uttrycka sitt samtycke till vården, får personalen också ta del av de uppgifter som behövs för att den aktuella vården ska kunna ges på ett patientsäkert sätt och med hög kvalitet.
SOU 2014:23 Sammanfattning
35
Vidare föreslår utredningen att det ska vara tillåtet att ta del av uppgifter genom direktåtkomst hos andra vårdgivare om uppgifterna behövs för att kvalitetssäkra den vård som patienten har fått.
Nya former för informationsutbyte inom socialtjänsten
Även när det gäller informationshanteringen inom socialtjänsten finns anledning att göra den mer ändamålsenlig genom att låta informationen följa individen i stället för organisationsgränserna.
Utredningen anser att socialtjänsten behöver ha legala förutsättningar för en ändamålsenlig samverkan i den individinriktade verksamheten. Olika utförare som sida vid sida arbetar tillsammans för att ge den enskilde insatser av god kvalitet kan behöva utbyta uppgifter på ett effektivt och säkert sätt. De olika utförarna av socialtjänst behöver en mer sömlös informationshantering som ser till att uppgifter finns tillgängliga när de behövs, där de behövs utan omotiverad tidsfördröjning. Inte minst för att tillgodose individens behov av kontinuitet kan tillgång till rätt information i rätt tid vara avgörande.
Utredningen föreslår därför att det i en kommun som väljer att organisera socialtjänsten i flera olika nämnder och kommunalägda bolag ska vara tillåtet att utbyta personuppgifter mellan nämnderna och bolagen genom direktåtkomst. De kommuner som i dag har organiserat socialtjänsten i en och samma nämnd, har redan stora möjligheter till ett sådant ändamålsenligt och effektivt informationsutbyte som förslaget om direktåtkomst syftar till att möjliggöra för alla kommuner. Även denna fråga handlar om att öka förutsättningarna för en jämlik socialtjänst av hög kvalitet för alla, oavsett hur myndighetsstrukturen i de olika kommunerna ser ut.
För att ytterligare förbättra möjligheterna till ändamålsenliga arbetssätt inom socialtjänsten föreslår utredningen att det under vissa förutsättningar även ska vara tillåtet med direktåtkomst mellan olika utförare av socialtjänst oavsett om de är kommunala eller privata. Denna form av direktåtkomst ska endast omfatta det informationsutbyte som behövs i samband med genomförandefasen i socialtjänsten, exempelvis när den enskilde får insatser genomförda av två eller flera utförare. Med hänsyn till behovet av självbestämmande och skydd för den personliga integriteten ska den enskildes samtycke krävas för informationsutbytet.
Sammanfattning SOU 2014:23
36
Med våra förslag får alla kommuner – oavsett hur myndighetsstrukturen ser ut och oavsett i vilken mån privata utförare av socialtjänst anlitas – samma möjlighet att arrangera informationshanteringen inom socialtjänsten på ett sätt som ser till att individens behov av rättssäkerhet och god kvalitet tillgodoses. Vidare kan informationshanteringen bli mer kostnadseffektiv eftersom uppgifter, under vissa förutsättningar, får utbytas på ett sätt som minskar de administrativa insatserna som exempelvis sekretessprövningar och utlämnanden på medium för automatiserad behandling ger upphov till. Direktåtkomst innebär även att behovet av dubbeldokumentation, d.v.s. att samma uppgift behöver dokumenteras flera gånger på flera ställen, minskar.
Genom utredningens förslag får socialtjänsten motsvarande möjligheter att hantera och utbyta information som hälso- och sjukvården har haft sedan 2008.
Direktåtkomst mellan hälso- och sjukvård och socialtjänst och gemensam vård- och omsorgsjournal
Många individer har idag behov av insatser både från hälso- och sjukvården och socialtjänsten. Inte minst för äldre personer, personer med funktionshinder, personer med missbruks- eller beroendeproblematik eller personer med psykisk ohälsa krävs ofta en omfattande samverkan över organisatoriska och professionella gränser för att den enskilde individen ska få sina behov av hälso- och sjukvård och socialtjänst tillgodosedda. Det har även under en längre tid införts nya rättsliga krav på samverkan mellan huvudmännen i dessa frågor. För att sådan samverkan ska fungera och leda till bättre resultat för den enskilde måste det finnas rättsliga förutsättningar som medger en ömsesidig tillgång till relevant information över vårdgivargränser, utförargränser och huvudmannagränser.
En utgångspunkt för utredningen är att regelverket om informationshantering ska ge verksamheterna möjlighet att arbeta integrerat fullt ut för att så långt som möjligt kunna använda den gemensamma kompetensen för att ge god och säker vård och omsorg till den enskilde. Organisationsgränser och olika regelverk bör så lite som möjligt hindra det informationsutbyte som behövs i detta syfte. Där är vi inte idag.
Trots att det exempelvis i samband med Ädelreformen uttalades att många personer har så sammansatta behov av hälso- och sjuk-
SOU 2014:23 Sammanfattning
37
vård och socialtjänst att det inte går att skilja på vad som är vad, innebär dagens regler för informationshantering att yrkesutövare i vård och omsorg ändå måste ta ställning till dessa svåra gränsdragningsfrågor och dela upp dokumentation om en och samma individ i två olika delar. Beroende på var uppgifter om den enskilde sedan dokumenteras uppstår risker genom bristande tillgång till relevant information och avsaknad av en samlad bild av individens hälsosituation. Utredningen lägger därför förslag om ett regelverk som i större utsträckning utgår ifrån individen och individens behov istället för organisations- och verksamhetsgränser.
För att tillgodose behoven i en sådan komplex verksamhet som vård och omsorg för personer med behov av både hälso- och sjukvård och socialtjänst, bör regelverket tillhandahålla flera olika möjligheter till en mer effektiv, ändamålsenlig och sammanhållen informationshantering. Därför bör verksamheterna få välja den form av informationshantering som ger de bästa förutsättningarna för att kunna tillgodose enskildas behov av en god och säker vård och omsorg. Utredningen föreslår därför att vårdgivare i hälso- och sjukvården och utförare i socialtjänsten ska kunna välja form för gemensam informationshantering; antingen i form av direktåtkomst mellan hälso- och sjukvård och socialtjänst eller i form av en gemensam vård- och omsorgsjournal.
Utredningens förslag innebär att t.ex. ungdomsmottagningar kan välja att använda möjligheten till direktåtkomst mellan hälso- och sjukvård och socialtjänst som ett sätt att utbyta uppgifter mellan de olika aktörer som deltar i insatserna för den unge. Det kan vara en ändamålsenlig form för informationshantering i den verksamheten så att de unga får insatser av god kvalitet. Genom förslaget blir det även möjligt för en primärvårdsläkare att med direktåtkomst ta del av det som dokumenterats om den äldre på ett särskilt boende i form av exempelvis hur den äldre sovit, ätit, druckit och i övrigt mått. Sådant som kan vara helt avgörande vid exempelvis ordination av läkemedel eller utvärdering av redan ordinerade behandlingar.
Andra verksamheter som bedrivs integrerat mellan hälso- och sjukvård och socialtjänst kan ha så stora behov av att dokumentera på ett samlat sätt att en gemensam vård- och omsorgsjournal är ett bättre alternativ än direktåtkomst. Utredningen gör bedömningen att det inte minst i särskilda boenden för äldre kan förenkla och förbättra informationsförsörjningen för de deltagande aktörerna om alla dokumenterar i en gemensam vård- och omsorgsjournal. På så sätt
Sammanfattning SOU 2014:23
38
skapas bättre förutsättningar för en god och säker verksamhet för de äldre som får sina behov av vård och omsorg tillgodosedda på boendet. Innehållet i en gemensam vård- och omsorgsdokumentation ska motsvara både det som ska dokumenteras i en patientjournal och det som ska noteras i en social journal.
Den enskilde individens tillgång till uppgifter om sig själv och möjligheterna att förfoga över dessa
Utredningens utgångspunkt är att våra förslag ska stimulera en utveckling av fler e-tjänster som på olika sätt kan öka servicen och tillgängligheten gentemot medborgarna samt stärka individens inflytande och delaktighet i hälso- och sjukvården och socialtjänsten. Enligt gällande rätt får en vårdgivare ge en patient direktåtkomst uppgifter om sig själv. Vi föreslår även uttryckliga bestämmelser som ger den som bedriver verksamhet inom socialtjänsten möjlighet att ge individen direktåtkomst till sina personuppgifter. Individen ska även få medges direktåtkomst till dokumentation om den åtkomst som förekommit (loggar).
Normalt gäller inte sekretess till skydd för en enskild individ i förhållande till individen själv. I hälso- och sjukvården finns dock bestämmelser i offentlighets- och sekretesslagen (2009:400) samt patientsäkerhetslagen (2010:659) som i vissa fall medför att sekretess eller tystnadsplikt kan bedömas föreligga även mot individen själv. Motsvarande sekretessbestämmelse mot individen själv finns inte för uppgifter inom socialtjänsten.
Utredningen anser att bestämmelsen om sekretess mot patienten själv är inte är förenlig med ett tidsenligt förhållande mellan hälso- och sjukvården och patienten. Eventuella risker med att ta bort sekretessen väger förhållandevis lätt jämfört med de vinster det för med sig, såväl vad gäller ökade fundamentala patienträttigheter som möjligheten för patienten att med hjälp av effektiva och säkra e-tjänster kunna ta del av viktig information om sitt hälsotillstånd. Förslaget medför också att dessa möjligheter kommer att vara likvärdiga avseende uppgifter såväl inom hälso- och sjukvården som socialtjänsten. Vi föreslår därför att bestämmelserna om sekretess och tystnadsplikt mot patientens själv tas bort. Förslaget innebär ingen förändring i vilka övriga uppgifter som får lämnas ut till en enskild. Exempelvis kan det, precis som idag, föreligga sekretess för uppgifter om andra personer som nämns i den enskildes patientjournal eller personakt i socialtjänsten.
SOU 2014:23 Sammanfattning
39
Vidare bedömer utredningen att många individer kan ha stor nytta av att ge närstående tillgång till korrekta och aktuella uppgifter som dokumenterats i hälso- och sjukvården och socialtjänsten. Med tillgång till rätt information får närstående bättre förutsättningar att vara ett stöd i frågor om hälso- och sjukvård och socialtjänst samt får ökade möjligheter att bevaka den enskildes intressen. Hälso- och sjukvårdsdatalagen och socialtjänstdatalagen bör innehålla bestämmelser som uttryckligen medger att individen kan förfoga över sin direktåtkomst. Det ska vara möjligt för individen att låta någon annan ta del av korrekta och aktuella uppgifter på ett ändamålsenligt sätt. Det kan exempelvis vara värdefullt när närstående hjälper till att stödja familjemedlemmar eller andra med sådant som har med hälso- och sjukvård att göra. Den närstående kan exempelvis vara behjälplig med individens medicinering och annan egenvård och därmed ha ett behov av att ta del av aktuella uppgifter genom direktåtkomst. Vidare kan det handla om att hjälpa till med att boka tider, förnya recept, följa en remiss eller helt enkelt att bara ta del av och hålla sig uppdaterad om de journalanteckningar som görs om individen.
En informationshantering som stödjer tillgänglighet, säkerhet och skyddet för den personliga integriteten
Förtydligat ansvar för hantering av personuppgifter inom hälso- och sjukvården och socialtjänsten
Utredningen föreslår att socialtjänstdatalagen och hälso- och sjukvårdsdatalagen ska innehålla flera bestämmelser om ansvaret för en säker och ändamålsenlig hantering av personuppgifter. Det handlar både om att se till att uppgifter finns tillgängliga och att uppgifter hanteras så att obehöriga, vare sig det är inom eller utom verksamheten, inte kan komma åt dem. I de respektive lagarna ska finnas flera bestämmelser som uttrycker vad som innefattas i detta ansvar för säker hantering av personuppgifter.
En vårdgivare och den som bedriver verksamhet inom socialtjänsten är ytterst ansvariga för informationshanteringen och för verksamheten som helhet och ska se till att uppgifterna hanteras på ett sådant sätt att de är tillgängliga för de som behöver uppgifterna i sitt arbete. Själva syftet med dokumentationen går förlorad om uppgifterna inte finns tillgängliga där de behövs, exempelvis för att se till att enskildas behov tillgodoses. Därför måste de ansvariga
Sammanfattning SOU 2014:23
40
vara medvetna om sitt ansvar och arbeta systematiskt med att säkerställa att personuppgifterna finns tillgängliga i verksamheten. Det behöver t.ex. finnas väl utarbetade skydd mot avbrott i systemen, reservplaner och robusta rutiner för tilldelning av behörigheter m.m.
Mot bakgrund av behovet av ett starkt skydd för den personliga integriteten ska även uttryckas ett ansvar för att uppgifter hanteras och förvaras så att inte obehöriga får tillgång till dem och för att överföring av uppgifter görs på ett säkert sätt så att ingen obehörig kan ta del av dem.
Krav på behörighetsstyrning och åtkomstkontroll
På socialtjänstens område saknas idag, till skillnad mot hälso- och sjukvården, uttryckliga regler om krav på att anpassa yrkesutövarnas behörigheter för elektronisk åtkomst till uppgifter om enskilda efter de behov av uppgifter som yrkesutövaren har för att kunna utföra sitt arbete. Det saknas även uttryckliga bestämmelser om krav på loggning och kontroll av att ingen otillåten åtkomst till uppgifter om enskilda har förekommit. Med hänsyn till behovet av skydd för den personliga integriteten ska det både i socialtjänstdatalagen och i hälso- och sjukvårdsdatalagen finnas tydliga bestämmelser om krav på behörighetsstyrning och åtkomstkontroll. Yrkesutövare i hälso- och sjukvården och socialtjänsten ska så långt möjligt ha en behörighet som är begränsad och anpassad till vad som behövs för att en god och säker hälso- och sjukvård eller socialtjänst kan utföras.
Genom utredningens förslag tydliggörs exempelvis att det, även om sekretessen mellan myndigheter i socialtjänsten i samma kommun tas bort, alltid finns ett ansvar för den som bedriver verksamheten att se till att den interna elektroniska tillgången till uppgifter inte är större än den enskilda yrkesutövarens behov.
Yrkesutövarens ansvar – inre sekretess
I socialtjänstdatalagen ska, på motsvarande sätt som redan idag gäller inom hälso- och sjukvården, tydliggöras när en yrkesutövare får ta del av uppgifter om enskilda individer. Den som arbetar inom socialtjänsten får ta del av dokumenterade uppgifter om en enskild endast om han eller hon behöver uppgifterna för sitt arbete inom
SOU 2014:23 Sammanfattning
41
socialtjänsten och uppgifterna ska användas för något av de ändamål som är tillåtna enligt socialtjänstdatalagen, exempelvis för att handlägga ärenden om enskilda. Motsvarande bestämmelse överförs från patientdatalagen till hälso- och sjukvårdsdatalagen.
Skydd för personuppgifter vid samverkan mellan flera personuppgiftsansvariga
I nuvarande regelverk saknas uttryckliga krav som anger hur vårdgivare inom hälso- och sjukvården eller utförare i socialtjänsten som samverkar kring behandling av känsliga personuppgifter ska agera tillsammans för att se till att uppgifterna skyddas. Enligt utredningens uppfattning är det viktigt att samverkande aktörer tar ett gemensamt ansvar för informationssäkerheten och skyddet för personuppgifterna, så att inte integritetsförluster uppstår för enskilda.
Mot den bakgrunden föreslås att samverkande aktörer inom hälso- och sjukvård och socialtjänst som medger varandra direktåtkomst eller på annat sätt samarbetar vid behandling av personuppgifter ska göra en risk- och sårbarhetsanalys och komma överens om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Av överenskommelsen ska framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.
Krav på informationssystemens utformning
I de båda lagarna som föreslås ska uttryckas ett ansvar för den som bedriver verksamheten att se till att de informationssystem som innehåller personuppgifter är lätta att använda, stödjer arbetet, underlättar arbetet med att utveckla verksamhetens kvalitet och underlättar samverkan och utbyte av uppgifter. Dessutom ska informationssystemen vara utformade på ett sådant sätt att de enskildas integritetsskydd tillgodoses.
Sammanfattning SOU 2014:23
42
En informationshantering som bidrar till bättre resultat för individer i behov av hälso- och sjukvård och socialtjänst
Förbättrade möjligheter till kvalitetssäkring och kvalitetsutveckling inom en huvudmans ansvarsområde i hälso- och sjukvården
Genom vårt förslag om direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde blir förutsättningarna för informationshantering i den individinriktade patientverksamheten lika för alla vårdgivare inom detta område, oavsett om vårdgivarens verksamhet drivs i privat eller i offentlig regi. Det blir alltså möjligt hålla ihop informationshanteringen på ett lokalt och regionalt plan, såväl i den individinriktade verksamheten som när det gäller olika övergripande kvalitets- och förbättringssträvanden i landstinget eller kommunen. Inom det område som patienten oftast söker vård – inom det egna landstinget eller inom den egna kommunen – ska informationen nu kunna följa patienten på ett enkelt och säkert sätt. Utredningen anser att informationen i verksamheterna ska kunna bidra till bättre resultat för alla patienter, oavsett hur hälso- och sjukvården är organiserad.
För att ytterligare förstärka dessa möjligheter föreslår utredningen en tystnadspliktsbrytande uppgiftsskyldighet som gör att en privat vårdgivare kan lämna ut de uppgifter till huvudmannen som behövs för att denne ska kunna leva upp till sitt ansvar som huvudman enligt hälso- och sjukvårdslagen (1982:763). Förslaget syftar till att förbättra kommuner och landstings möjligheter att planera, följa upp och kvalitetssäkra den hälso- och sjukvård kommunen eller landstinget har huvudmannaansvaret för. Genom förslaget får kommuner och landsting samma förutsättningar att ta ansvar för hälso- och sjukvården oberoende av om verksamheten drivs av kommunen eller landstinget själv eller av en privat vårdgivare med offentlig finansiering. Det blir möjligt att följa upp patientens vårdprocesser oavsett hur vården i landstinget eller kommunen är organiserat. Det ger också förutsättningar för alla huvudmän att planera och erbjuda preventiva insatser på ett jämlikt sätt till alla invånare.
SOU 2014:23 Sammanfattning
43
Viss kvalitetssäkring möjlig i system för sammanhållen journalföring
Enligt nuvarande regelverk får åtkomst till uppgifter i system för sammanhållen journalföring endast användas för ändamålen vård och behandling av patienten samt för att utfärda intyg. En konsekvens av ändamålsbegränsningen är att det inte är tillåtet att ta del av uppgifter hos andra vårdgivare genom direktåtkomst för att exempelvis följa upp och kvalitetssäkra den egna verksamheten. Samtidigt har det blivit tydligt att det kan finnas behov av att ta del av uppgifter i sammanhållen journalföring för att kvalitetssäkra den egna verksamheten. Det handlar inte om behov av att generellt ta del av patientuppgifter hos andra vårdgivare, utan om att ta del av uppgifter om patienter som vårdats både i den egna verksamheten och hos andra vårdgivare. Det är idag vanligt förekommande att flera vårdgivare arbetar tätt tillsammans i vården av samma patienter. För att en vårdgivare i ett sådant samarbete ska kunna följa upp och säkra kvaliteten av sina insatser föreslår utredningen att det ska vara tillåtet att ta del av uppgifter genom direktåtkomst hos andra vårdgivare om uppgifterna behövs för att kvalitetssäkra den vård som patienten har fått.
Förbättrade möjligheter till kvalitetssäkring och kvalitetsutveckling i socialtjänsten
Våra förslag till förbättrade möjligheter till informationsutbyte inom socialtjänsten ger på flera olika sätt bättre möjligheter till kvalitetssäkring och verksamhetsuppföljning inom socialtjänstens område. Förslagen ger ökade möjligheter till ett lokalt kvalitetsarbete exempelvis hos enskilda utförare av socialtjänst, genom att det i socialtjänstdatalagen tydliggörs att enskilda verksamheter får behandla personuppgifter för att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten. Detta gäller redan för de offentliga verksamheterna idag och med utredningens förslag får alla som bedriver socialtjänst samma möjligheter.
Dessutom ger flera av utredningens förslag ökade möjligheter till ett mer övergripande kvalitetsarbete hos den ansvariga kommunen. Genom förslaget att ta bort sekretessgränserna mellan olika nämnder på socialtjänstens område i en och samma kommun, ges nya möjligheter för kommunen att göra en mer samlad verksamhetsuppföljning och kvalitetssäkring. Förslaget innebär att
Sammanfattning SOU 2014:23
44
alla kommuner, oavsett hur de valt att organisera sin myndighetsstruktur inom socialtjänsten, får samma legala möjligheter att följa upp, säkra och utveckla kvaliteten i den socialtjänst invånarna erbjuds.
Vidare föreslår utredningen att en kommun, som i egenskap av huvudman ansvarar för socialtjänsten, ska ha samma möjligheter att följa upp kvaliteten i socialtjänsten oavsett om den enskildes insatser utförs av en privat eller av en offentlig utförare. För att möjliggöra detta föreslås en tystnadspliktsbrytande uppgiftsskyldighet för enskilda verksamheter på socialtjänstens område att lämna ut de uppgifter som den ansvariga kommunen behöver. Förslaget innebär ingen inskränkning i den enskilda verksamhetens eget ansvar för det systematiska kvalitetsarbetet, men gör det möjligt för kommunen att genomföra en samlad uppföljning av all socialtjänstverksamhet som kommunen ansvarar för gentemot dess invånare.
I praktiken innebär våra förslag även förutsättningar för att implementera system för kvalitetssäkring och uppföljning som gör det möjligt att följa upp och jämföra socialtjänstens verksamhet i olika delar av landet.
Förbättrad möjlighet att använda nationella kvalitetsregister för att kvalitetssäkra den hälso- och sjukvård som ges av flera vårdgivare
Många patienter får idag sitt behov av hälso- och sjukvård tillgodosett av flera olika vårdgivare. Det är inte ovanligt exempelvis att en patient med cancer vårdas växelvis på ett sjukhus i det egna landstinget och växelvis på ett universitetssjukhus i ett annat landsting. Även den hälso-och sjukvård som riktar sig till äldre, personer med missbruks- och beroendeproblematik och till personer med psykisk ohälsa är ett typexempel på processer som går över vårdgivargränser.
Det är viktigt att lagstiftningen tillhandahåller goda möjligheter för vårdgivare att ta ansvar för och kvalitetssäkra den hälso- och sjukvård som patienter får i dessa situationer. Patienter ska inte riskera att få en osäkrare vård eller vård av lägre kvalitet bara för att flera olika vårdgivare är iblandade i patientens process. Utredningen föreslår därför förbättrade möjligheter att använda nationella eller regionala kvalitetsregister för att kvalitetssäkra den hälso-och sjukvård som patienten erbjuds och som utförs av flera vårdgivare. En vårdgivare ska få ha direktåtkomst till sådana uppgifter om en patient som vård-
SOU 2014:23 Sammanfattning
45
givaren själv registrerat i ett kvalitetsregister och till uppgifter om samma patient som andra vårdgivare registrerat i samma register.
Säkra läkemedelsförskrivningar och tillgång till varningsinformation
Läkemedelsbehandlingar är förenade med stora risker. För den enskilde patienten kan fel läkemedel eller en olämplig kombination av läkemedel föra med sig allvarliga konsekvenser för hälsa och livskvalitet. Det behov av vård som orsakas av felaktigt använda läkemedel utgör en allt större del av de samlade hälso- och sjukvårdskostnaderna. Målet och intentionen med en samlad information om patientens läkemedelsbehandling är att kunna ge honom eller henne en adekvat och anpassad behandling utifrån det tillstånd och det behov av vård som patienten har. Det förutsätter att den som exempelvis ska ordinera ett läkemedel har tillgång till en samlad information om patientens aktuella läkemedelsbehandling.
För patientens liv och hälsa är det även särskilt nödvändigt att den hälso- och sjukvårdspersonal som patienten möter känner till om patienten har sådana överkänsligheter som kan medföra allvarlig fara för patienten om denne utsätts för ämnet som ger överkänsligheten. För en patient som exempelvis är så överkänslig mot vissa läkemedel att en felaktig läkemedelsordination kan leda till bestående eller allvarliga men eller till patientens död, är hälso- och sjukvårdspersonalens tillgång till sådan varningsinformation helt nödvändig.
Utredningen föreslår därför att uppgifter om ordinerade läkemedel och uppgifter som ger en varning om att patienten har visat intolerans eller har en överkänslighet som innebär allvarlig fara för patientens liv eller hälsa, alltid ska få finnas tekniskt åtkomliga för en vårdgivare så att uppgifterna kan nås i de situationer det behövs för patientens vård. En patient kan därmed inte motsätta sig att sådan information finns tekniskt åtkomlig. Förslaget innebär ingen ökad rätt för hälso- och sjukvårdspersonal att ta del av uppgifter, utan endast att uppgifterna får finnas åtkomliga så att det är möjligt att ta del av dem när det behövs för patientens vård. Genom förslaget blir förutsättningarna för yrkesutövares åtkomst i journalsystemens läkemedelslistor även i stort överensstämmande med vad som gäller för åtkomst till motsvarande uppgifter i receptregistret och läkemedelsförteckningen.
Sammanfattning SOU 2014:23
46
En informationshantering som ger förutsättningar för forskning och kliniska prövningar
Utredningen föreslår en möjlighet till direktåtkomst för källdatagranskning (monitorering) vid forskning inom hälso- och sjukvården. Sådant utlämnande får endast göras avseende patienter som har samtyckt till deltagande i forskningsstudien och till den personuppgiftsbehandling som görs inom ramen för studien, samt till utlämnandet av uppgifter för källdatagranskningen. Denna form av direktåtkomst är integritetsvänlig eftersom monitoreringen kan bedrivas utan att uppgifterna sprids utanför vårdgivarens organisation. Informationshanteringen kan bli säkrare, effektivare och genomföras med hjälp av moderna tekniska lösningar.
Utredningen föreslår även att det av hälso- och sjukvårdsdatalagens ändamålsbestämmelse uttryckligen ska framgå att personuppgiftsbehandling för att antalsberäkna möjliga deltagare i forskning inom hälso- och sjukvården är tillåtet. Vidare ska det vara tillåtet att behandla personuppgifter för att identifiera möjliga deltagare som kan erbjudas medverkan i en forskningsstudie, om studien är godkänd av regional eller central etikprövningsnämnd. Förslaget innefattar även ett krav på vårdgivare att ta fram närmare riktlinjer som beskriver hur den här personuppgiftsbehandlingen ska gå till. Det bör dessutom vara en uppgift endast för ett fåtal personer i vårdgivarens verksamhet att antalsberäkna och identifiera personer inför kliniska prövningar.
En informationshantering som stödjer yrkesutövare inom hälso- och sjukvård och socialtjänst i deras arbete
Kunskap, kompetens, ledning och styrning
Utredningen har uppfattat att det såväl inom hälso- och sjukvården som socialtjänsten finns ett behov av ökad kunskap och kompetens när det gäller förutsättningarna för att hantera och utbyta information. Det finns såväl en osäkerhet om vad som är tillåtet i ett enskilt fall till en mer utbredd okunskap om vilka tekniska lösningar för att t.ex. utbyta information mellan olika aktörer som finns och är tillåtna enligt lagstiftningen.
Det finns därför behov av en mer aktiv och målmedveten ledning och styrning i dessa frågor. Vi bedömer att behovet av kompetensutveckling och kunskapsstyrning på detta område finns
SOU 2014:23 Sammanfattning
47
såväl på den mer verksamhetsnära nivån som på de olika ledningsnivåerna i hälso- och sjukvården och socialtjänsten. Vårdgivare och de som bedriver verksamhet inom socialtjänsten behöver bygga upp strukturer som på olika sätt stödjer ett ändamålsenligt arbetssätt vad gäller dokumentation och informationshantering. Dessa ansvariga aktörer måste förmedla till medborgarna och till personalen på vilket sätt de vill använda information i verksamheten, vilka verktyg som ska användas i detta syfte, hur säkerhetskraven ska uppfyllas och vad verksamheterna vill åstadkomma med informationshanteringen.
Mot denna bakgrund har utredningen i en delredovisning (bilaga 4) beskrivit de möjligheter som befintlig lagstiftning erbjuder för att hantera uppgifter inom och mellan hälso- och sjukvård och socialtjänst. I stället för en traditionell och mer teoretisk genomgång av gällande lagstiftning har vi valt att utforma delredovisningen som ett praktiskt verktyg anpassat för en verksamhetsnära nivå. Förhoppningen är att delredovisningen kan bidra till att de som är verksamma inom hälso- och sjukvård och socialtjänst får en ökad kunskap om hur personuppgifter kan användas och hanteras i syfte att bidra till god vård och omsorg
Ändamålsenliga former för informationsutbyte
Utredningen olika förslag för att underlätta ett säkert och ändamålsenligt informationsutbyte vid samverkan inom och mellan hälso- och sjukvård och socialtjänst kommer att ge yrkesutövarna bättre förutsättningar att ge enskilda individer god och säker hälso- och sjukvård och socialtjänst och på det sättet en större trygghet i arbetssituationen. De rättsliga förutsättningarna för samverkan avseende informationshanteringen kommer att bli mer överensstämmande med de krav på samverkan runt individen som finns i lagstiftningen.
Rätt information på rätt plats i rätt tid
Utredningen har ovan redovisat flera förslag som medför ökade förutsättningar för yrkesverksamma att utföra sitt arbete på ett sätt som ger bästa möjliga resultat för individer i behov av hälso- och sjukvård eller socialtjänst. Utöver det kan även nämnas att hälso-
Sammanfattning SOU 2014:23
48
och sjukvårdsdatalagen och socialtjänstdatalagen föreslås innehålla bestämmelser om vad som gäller för yrkesutövarnas åtkomst till uppgifter om enskilda. Det ska bland annat vara tydligt att vårdgivaren och den som bedriver verksamhet inom socialtjänsten ansvarar för att anpassa och begränsa behörigheten för åtkomst till vad som behövs för att den som arbetar i hälso- och sjukvården eller socialtjänsten ska kunna fullgöra sina arbetsuppgifter. Genom en välutvecklad behörighetsstyrning kan en yrkesutövare snabbt och säkert få tillgång till den information som behövs för att fatta bästa möjliga beslut kring en individ, utan att samtidigt exponeras för uppgifter som är oväsentliga i sammanhanget.
Utredningen föreslår även att det i de båda lagarna ska uttryckas ett ansvar för den som bedriver verksamheten att se till att de informationssystem som innehåller personuppgifter är lätta att använda, stödjer arbetet, underlättar arbetet med att utveckla verksamhetens kvalitet och underlättar samverkan och utbyte av uppgifter. För att medborgare ska få en god och säker hälso- och sjukvård och socialtjänst krävs att de som ansvarar för verksamheten även tar ett tydligt ansvar för att se till att yrkesutövarna i praktiken får de verktyg och förutsättningar för informationshantering som behövs för att de mål som gäller för verksamheten ska kunna uppnås.
Ett tydligare ansvar för patientjournalen och dess innehåll
Det ska framgå av hälso- och sjukvårdsdatalagen att vårdgivaren har det yttersta ansvaret för patientjournalen. Vårdgivaren ansvarar för att journaler förs i verksamheten, för deras innehåll och för att de hanteras och förvaras i enlighet med lag. Vårdgivarens ansvar omfattar att uppgifter används på ett sådant sätt att de bidrar till en god och säker vård.
De bestämmelser som reglerar journalföring och hantering av personuppgifter i hälso- och sjukvården syftar till att journalerna ska kunna användas som ett tillförlitligt arbetsredskap i vården Det är därför nödvändigt att rätt uppgifter och korrekta uppgifter finns i journalen och att dessa uppgifter inte förvanskas eller utplånas annat än med stöd av särskilda bestämmelser.
Den som för journal ansvarar idag för sina uppgifter och att de är korrekta, oavsett om en administrativ kvittens (signering) är synlig eller inte. Utredningen föreslår att signeringskravet, som det
SOU 2014:23 Sammanfattning
49
är utformat i dag, ska tas bort. Av lagen ska följa att den som för patientjournal ansvarar för sina uppgifter och ska kontrollera att uppgifterna är korrekta. Denna kontroll ska antingen göras i direkt anslutning till att yrkesutövaren själv för in sin anteckning eller i samband med genomläsning av vad t.ex. en läkarsekreterare fört in. Detta innebär att vårdgivaren får ta ansvar för om det behövs någon synlig kvittering av att genomläsningen gjorts. Vårdgivaren kan ställa krav på sådan signering av vissa anteckningar om det är motiverat med hänsyn till verksamhetens krav på patientsäkerhet.
Vårdgivaren ska ha tydliga rutiner för hur ansvaret för uppgifternas riktighet ska upprätthållas i verksamheten. Det är nödvändigt för informationsöverföringen inom och mellan verksamheter och vårdgivare att det finns tillit till att dokumentationen är korrekt och användbar. Vårt förslag innebär att såväl vårdgivaren som yrkesutövaren även fortsättningsvis har ett ansvar för att uppgifterna i en patientjournal är korrekta.
51
1 Vårt uppdrag och arbete
1.1 Vårt uppdrag
Regeringen beslutade den 15 december 2011 (dir. 2011:111, bilaga 1) att tillsätta en särskild utredare för att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten.
Utgångspunkter för uppdraget ska bland annat vara att efter en avvägning mellan verksamheternas behov av information och skyddet för den enskildes personliga integritet kartlägga vilken typ av information som bedöms vara nödvändig att behandla genom till exempel utlämnande genom direktåtkomst. I uppdraget ingår att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. I uppdraget ingår även att peka ut vilka hinder för en sådan informationshantering som finns i dag och i förekommande falla i vilka lagar dessa hinder finns. Med utgångspunkt från kartläggningen och de identifierade förutsättningarna och hindren ska utredaren föreslå sådana lagstiftningsåtgärder som medger att behörig personal och beslutsfattare inom hälso- och sjukvården och socialtjänsten får ha tillgång till nödvändiga uppgifter för den aktuella behandlingen inom eller över både organisatoriska och nationella gränser.
I utredningens uppdrag ingår bland annat att utreda hur personuppgiftsansvaret ska regleras i framtiden och då även personuppgiftsansvaret för känsliga personuppgifter som den enskilde själv rapporterar in. Utredningen ska också analyser vilka hinder som finns för vårdgivare i Sverige att på elektronisk väg lämna ut personuppgifter till andra länder. Utredningen ska även se över om det är lämpligt att införa regler i patientdatalagen (2008:355) beträffande personer som saknar förmåga att motsätta sig eller samtycka till nödvändig behandling av personuppgifter. I upp-
Vårt uppdrag och arbete SOU 2014:23
52
draget ingår även att undersöka om det är lämpligt att införa sekretessbrytande bestämmelser i socialtjänsten motsvarande de som redan gäller i hälso- och sjukvården.
Vidare ska utredningen föreslå hur ändamålen för behandling av personuppgifter i läkemedelsregistret kan anpassa till ändamål som gäller för övriga hälsodataregister. Slutligen ska utredningen överväga om det bör införas en möjlighet för vårdgivare att ansöka om journalförstöring och, om det behövs lämna förslag till sådan reglering. Utredaren har även möjlighet att ta upp frågor som inte nämns i direktivet men som denne anser behöver analyseras eller regleras för att uppdraget ska kunna fullgöras på ett tillfredställande sätt.
Utredaren fick även som deluppdrag att analysera förutsättningarna för att på internet eller genom elektronisk direktåtkomst öka tillgängligheten till vissa personuppgifter i Socialstyrelsens register över hälso- och sjukvårdspersonal (HOSP-registret).
I tilläggsdirektiv den 29 mars 2012 (dir. 2012:23, bilaga 2) beslutade regeringen att klargöra och delvis förändra gränsdragningen mellan utredningen och Utredningen om stärkt ställning för patienten genom nu patientlagstiftning (S 2011:03, dir. 2001:25)och att förlänga tiden för överlämnande av delbetänkandet avseende utredningsfrågorna om register över hälso- och sjukvårdspersonal (HOSP-registret) till den 31 maj 2012.
Utredningen överlämnade delbetänkandet Bättre behörighetskontroll (SOU 2012:42) den 31 maj 2012.
I tilläggsdirektiv den 2 maj 2013 (dir. 2013:43, bilaga 3) beslutade regeringen att förkorta tiden för den del av uppdraget som handlar om att utreda om det är lämpligt att införa regler i patientdatalagen beträffande personer som saknar förmåga att motsäga sig eller samtycka till nödvändig behandling av personuppgifter så att de trots denna oförmåga kan ingå i sammanhållen journalföring m.m. Denna del av uppdraget skulle redovisas i ett delbetänkande senast den 5 juni 2013. I den del som av uppdraget som handlar om att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten skulle utredningen i en delredovisning beskriva de möjligheter som befintlig lagstiftning ger för att praktiskt kunna utbyta uppgifter där så anses nödvändigt. Delredovisningen skulle lämnas till regeringen senast den 31 december 2013. För huvuddelen av uppdraget förlängdes utredningstiden att redovisas senast den 30 april 2014.
SOU 2014:23 Vårt uppdrag och arbete
53
Utredningen överlämnade i delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45) den 5 juni 2013.
Den 31 december 2013 överlämnade utredningen en delredovisning om vilka möjligheter som gällande rätt ger för att kunna hantera och utbyta uppgifter inom och mellan hälso- och sjukvård och socialtjänst.
1.2 Utredningens arbete
Utredningen har antagit namnet Utredningen om rätt information i vård och omsorg (S 2011:13).
Det övergripande uppdraget är enligt direktivet att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Utredningen har på olika sätt inhämtat kunskap och fått del av erfarenheter om de frågor som behandlas i utredningens arbete. Arbetet har bedrivits öppet och utåtriktat och har fortlöpande kommunicerats med berörda statliga myndigheter, kommuner, landsting, Sveriges Kommuner och Landsting, privata utförare och organisationer.
Utredningen har genomfört ett flertal möten och studiebesök i landsting och kommuner. Studiebesök har även gjorts hos privata vårdgivare, privata utförare av socialtjänst och hos olika organisationer.
Utredningen har haft möten och dialoger med Datainspektionen, Socialstyrelsen, Sveriges Kommuner och Landsting och Inspektionen för vård och omsorg. Samtal har ägt rum med eHälsomyndigheten (f.d. Apotekens Service Aktiebolag) kring utvecklingen av det personliga hälsokontot, Hälsa för mig.
Utredningen har även haft ett stort antal möten med företrädare för olika organisationer, vårdgivare och huvudmän. Kontakter har även tagits med vård- och omsorgsproducenter och enskilda patientorganisationer, yrkesföreningar, fackliga organisationer, patient- och brukarorganisationer och arbetsgivare- och intresseorganisationer. Flera olika typer av referensgruppsmöten har arrangerats på initiativ av utredningen.
Utredningen har även aktivt deltagit och hållit föredrag vid ett stort antal konferenser och seminarier såsom bland annat Almedalen, Normkonferansen (Norge), Senior i Centrum, Vitalis, konferensen
Vårt uppdrag och arbete SOU 2014:23
54
för Nationell Ehälsa, Datainspektionens konferens om patientdatalagen, konferensen Dagar om Lagar, Sveriges Kommuner och Landstings konferens Barnen och lagen, Nationella rådslaget om aktiv hälsostyrning, Nationella Kvalitetsregisterkonferensen, Stockholms läns landstings seminarium om informationssäkerhet och seminarier arrangerade av Svenska Läkaresällskapet.
Utredningen har vid en studieresa till USA tagit del av erfarenheter från hälso- och sjukvårdsorganisationerna Kaiser Permanente och Intermountain Healthcare.
Utredningens arbete har bedrivits med den övergripande målsättningen att skapa förutsättningar för en informationshantering som bidrar till bättre resultat för individer som är i behov av hälso- och sjukvård eller socialtjänst. I detta har vi inriktat arbetet på att
• särskilt beakta vad som krävs för att äldre personer, personer med missbruk eller beroenden, personer med psykisk sjukdom och funktionsnedsättning samt barn ska få en god och säker vård och omsorg,
• se över hur behandlingen av personuppgifter regleras inom hälso- och sjukvården och föreslå författningsändringar för att möjliggöra en välfungerande och sammanhållen reglering,
• se över hur behandlingen av personuppgifter regleras inom socialtjänsten och föreslå författningsändringar för att möjliggöra en välfungerande och sammanhållen reglering, och
• möjliggöra ett utökat utbyte av personuppgifter mellan socialtjänsten och hälso- och sjukvården.
1.2.1 Sakkunnig- och expertgrupp
Utöver utredningens sekretariat har en expertgrupp deltagit i utredningsarbetet. I februari 2012 tillsatts en expertgrupp med representanter från berörda departement, myndigheter och organisationer. Till gruppen förordnades sakkunniga från Socialdepartementet, Justitiedepartementet och Utbildningsdepartementet. Därutöver förordnades experter från Sveriges Kommuner och Landsting (SKL), Socialstyrelsen, Inspektionen för vård och omsorg, Datainspektionen, Statens Medicinsk-Etiska Råd (SMER), Famna, Karolinska Universitetssjukhuset, Vårdföretagarna, Norrköpings kommun, Landstinget i Jämtland, Norrbottens läns landsting.
SOU 2014:23 Vårt uppdrag och arbete
55
Expertgruppen har träffats för sammanträden vid 10 tillfällen under utredningens arbete. Under utredningstiden har även två tvådagars internatsammanträde hållits.
1.2.2 Samråd med statliga utredningar
Utredningen har under arbetets gång haft dialog med ett stor antal statliga utredningar, bland annat följande.
• Statistikutredningen 2012 (Fi 2011:05).
• Informationshanteringsutredningen (Ju 2011:11).
• Statens vård- och omsorgsutredning (S 2011:01).
• Läkemedels- och apoteksutredningen (S 2011:07).
• Patientmaktsutredningen (S 2011:03).
• Utredningen om beslutsoförmögna personers ställning i hälso- och sjukvård, socialtjänst och forskning (S 2012:06).
• Utredningen om en kommunallag för framtiden (Fi 2012:07).
• Utredningen om tillgänglig och säker information i hälso- och sjukvård och socialtjänst (E-hälsokommittén) (S 2013:17).
• Utredningen om framtida valfrihetssystem inom socialtjänsten
(S 2012:08).
• Utredningen om nationell samordning av kliniska studier
(U 2013:04).
• E-delegationen (N Fi 2009:01).
• Utredningen en nationell samordnare för effektivare resursutnyttjande inom hälso- och sjukvården (S 2013:14).
1.2.3 Metodstöd m.m.
I utredningsuppdraget har vi sett behov av en tankemodell för hur man kan göra avvägningar mellan de olika etiska värden som representeras av patientintegritet och patientsäkerhet. Prioriteringscentrum vid Linköpings universitet har fått i uppdrag att ta fram en sådan modell, vilken presenteras i rapporten Att prioritera mellan olika värden – En modell för avvägningar mellan
Vårt uppdrag och arbete SOU 2014:23
56
patientintegritet, patientsäkerhet och andra etiska värde inom hälso- och sjukvården (Prioriteringscentrums rapportserie 2013:4) Arbetet har genomförts av professor Lars Sandman i dialog med företrädare för utredningen, medarbetare inom Prioriteringscentrum samt den expertgrupp kring behörighet, spärr och logg inom ramen för patientdatalagen som finns i Västra Götalandsregionen.
1.2.4 Delbetänkandet Bättre behörighetskontroll
Den 21 maj 2012 överlämnade utredningen delbetänkandet Bättre behörighetskontroll (SOU 2012:42).
Legitimation för yrke inom hälso- och sjukvården är förbehållen sådana yrkesgrupper som har kvalificerade arbetsuppgifter och ett särskilt ansvar för patienternas säkerhet i vården. Socialstyrelsen är ansvarig för ett register (HOSP-registret) över dessa yrkesutövare.
Flera olika intressenter frågar efter uppgifter ur registret. Det grundläggande syftet med att hämta in uppgifter om hälso- och sjukvårdspersonalens behörighet är gemensamt; att på olika sätt trygga patientens säkerhet.
Utredningen lämnade i betänkandet olika förslag för att möjliggöra direktåtkomst till uppgifter registret för allmänheten, vårdgivare, Apotekens Service AB (i dag eHälsomyndigheten) och Transportstyrelsen.
1.2.5 Delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga
Den 5 juni 2013 överlämnade utredningen delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45).
Dagens regelverk om informationshantering i hälso- och sjukvården medför att personer som inte själv kan ta ställning till frågor om informationsutbyte riskerar att få vård på osäkrare villkor och av lägre kvalitet än personer som har förmåga att ta ställning i dessa frågor.
Utredningen lämnade i betänkandet förslag till ändringar i patientdatalagen för att göra det möjligt för vuxna med nedsatt
SOU 2014:23 Vårt uppdrag och arbete
57
beslutsförmåga att dra nytta av fördelarna med sammanhållen journalföring.
Utredningen föreslog att vårdgivare ska få göra uppgifterna tillgängliga i system för sammanhållen journalföring även om en patient inte endast tillfälligt saknar förmåga att förstå information om sammanhållen journalföring och ta ställning till personuppgiftsbehandlingen. Av respekt för den enskildes rätt till självbestämmande och integritetsskydd får detta endast göras under förutsättning att det inte är uppenbart att patienten skulle ha motsatt sig sådan personuppgiftsbehandling. Om det för vårdgivaren finns omständigheter som pekar på att den enskilde uppenbarligen hade motsatt sig sammanhållen journalföring ska ett tillgängliggörande av uppgifter inte vara tillåtet. Sådana omständligheter kan exempelvis handla om att närstående lämnar välgrundad information om saken, exempelvis i samband med vårdplanering, inflyttning på särskilt boende eller inför planerad hälso- och sjukvård m.m. För hälso- och sjukvårdspersonalen handlar det således om att agera utifrån vad som är känt om den enskildes inställning och personalens bedömning av vad som är bäst för patienten.
Utredningen föreslog vidare att vårdgivare ska få en möjlighet att i enskilda situationer när patienten är i behov av vård ta del av vårddokumentation, t.ex. uppgifter om vilka läkemedel patienten har, som en annan vårdgivare gjort tillgängliga i system för sammanhållen journalföring, även om patienten inte endast tillfälligt saknar förmåga lämna samtycke till personuppgiftshanteringen. Av hänsyn till behovet av skydd för den personliga integriteten får personuppgiftsbehandlingen endast genomföras under förutsättning att uppgifterna kan antas ha betydelse för den vård och behandling som är nödvändig med hänsyn till patientens hälsotillstånd. Det handlar således om sådan informationshantering som behövs för att patienten i enskilda fall ska få bästa möjliga vård och omhändertagande.
När det gäller deltagande i nationella och regionala kvalitetsregister föreslog utredningen att det ska vara tillåtet för vårdgivare att behandla personuppgifter i ett nationellt eller regionalt kvalitetsregister även om den enskilde inte endast tillfälligt saknar förmåga att ta ställning till den information som lämnas om registreringen. Av hänsyn till behovet av skydd för den personliga integriteten bör sådan personuppgiftsbehandling endast få göras under förutsättning att den enskildes inställning till person-
Vårt uppdrag och arbete SOU 2014:23
58
uppgiftsbehandlingen så långt möjligt klarlagts och att det inte är uppenbart att den enskilde skulle ha motsatt sig sådan personuppgiftsbehandling. Precis som när det gäller sammanhållen journalföring är patientens närstående en viktig informationskälla när personalen ska försöka utreda vilken inställning patienten kan tänkas ha i frågan. Om det med ledning av vad som går att ta reda på om den enskildes inställning framstår som uppenbart att patienten hade motsatt sig, får personuppgiftsbehandlingen inte genomföras.
Förslaget gör det möjligt att använda personuppgifter avseende en person som har nedsatt beslutsförmåga i kvalitetsregister i syfte att förbättra kvaliteten i vården, både för den enskilde patienten själv och för andra med liknande sjukdomar eller skador. Genom förslaget tillhandahålls därmed lika goda förutsättningar att förbättra vården, omhändertagandet och livskvaliteten för personer med nedsatt beslutsförmåga och deras närstående, som det finns för personer som kan ge uttryck för sin inställning i dessa frågor.
1.2.6 Delredovisningen enligt direktiv 2013:43 – Stöd vid tillämpningen av gällande rätt
Den 31 december 2013 överlämnande utredningen en delredovisning som beskriver de möjligheter som befintlig lagstiftning ger för att kunna utbyta uppgifter inom och mellan hälso- och sjukvård och socialtjänst.1 Delredovisningen återfinns i bilaga 4.
Utredningen valde att ta fram ett praktiskt användbart verktyg i form av frågor och svar. Syftet med materialet är att ge stöd till den verksamhetsnära nivån i hälso- och sjukvården och socialtjänsten. Materialet speglar utredningen bedömning av gällande rätt den 31/12 2013.
Delredovisningen består av en omfattande powerpointpresentation med omkring 80 frågor och svar om informationshanteringen inom och mellan hälso- och sjukvården och socialtjänsten samt tre promemorior. De tre promemoriorna behandlar studerandes möjligheter att ta del av och använda patientuppgifter, möjligheten att använda patientuppgifter för att följa upp, säkra och utveckla resultatet för patienterna i hälso- och sjukvården och möjligheten att ta del av andra vårdgivares uppgifter i system för sammanhållen journalföring. Promemoriorna förklarar mer utför-
1 Delredovisningen återges i bilaga 4 till detta betänkande
SOU 2014:23 Vårt uppdrag och arbete
59
ligt vad som gäller för användningen av personuppgifter inom dessa områden än vad som är möjligt att inom ramen för en powerpointpresentationen.
Materialet med frågor och svar är fritt för var och en att använda och anpassa efter de behov och förutsättningar som finns i den egna verksamheten. Utredningen betraktar därför denna del av delredovisningen som ett råmaterial som kan förädlas och vidareutvecklas för att på ett ändamålsenligt sätt användas i samband med utbildning av personal, vid framtagandet av IT-stöd och när verksamhetsnära riktlinjer för informationshanteringen utformas m.m. Materialet finns att hämta på http://www.sou.gov.se/sb/d/18347.
Förhoppningen är att delredovisningen kan bidra till att de som är verksamma inom hälso- och sjukvård och socialtjänst får en ökad kunskap om hur personuppgifter kan användas och hanteras i syfte att bidra till god vård och omsorg.
1.3 Betänkandets disposition
Utredningens uppdrag består av tre huvuddelar; informationshanteringen inom hälso- och sjukvården, informationshanteringen inom socialtjänsten och informationshanteringen mellan hälso- och sjukvården och socialtjänsten. Utredningen har valt att låta betänkandets disposition ge uttryck för uppdragets olika delar.
I kapitel 4–17 redogör utredningen för utgångspunkter, överväganden och förslag rörande hälso- och sjukvårdens informationshantering. I kapitel 18–30 behandlar utredningen motsvarande frågor inom socialtjänstens område. Informationshanteringen rörande personer som har behov av både hälso- och sjukvård och socialtjänst avhandlas i kapitel 31 och 32. I kapitel 33 återfinns utredningens utgångspunkter, överväganden och förslag med avseende på hälso- och sjukvårdens och socialtjänstens ökade elektroniska kommunikation med medborgare. I kapitel 34–37 samlas överväganden och förslag rörande ett antal övriga frågor; internationellt informationsutbyte, patientrapporterade mått, Datainspektionens befogenheter och Socialstyrelsens läkemedelsregister.
Utredningens författningsförslag redovisas i kapitel 38. Frågor om ikraftträdande och konsekvenser av utredningens förslag återfinns i kapitel 39 och 40. I kapitel 41 återfinns författningskommentaren.
61
2 Rätt information på rätt plats i rätt tid – några utgångspunkter
2.1 Inledning
Den hälso- och sjukvård och socialtjänst som utförs av landsting, kommuner och privata utförare kräver ett tätt och fortlöpande samarbete både i frågor som rör enskilda individer och i frågor som rör planering, kvalitetssäkring, förebyggande hälsoarbete m.m. För att individer ska få säkra insatser av hög kvalitet behöver behörig personal ha tillgång till rätt uppgifter på rätt plats i rätt tid, över organisatoriska och andra gränser. Samtidigt har utmaningarna för att åstadkomma detta blivit än större i takt med en ökad mångfald av aktörer, en ökad valfrihet för de enskilda, en ökad subspecialisering och en ökad rörlighet hos dem som söker hälso- och sjukvård och socialtjänst. Utredningen har även vid möten med patient- och anhörigföreningar samt vid genomgångar av tillsynsrapporter kunnat konstatera att den information som behövs för att en individ ska få en god vård och omsorg inte alltid finns tillhands.
Utredningens övergripande uppdrag har varit att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten samt vilka hinder mot en sådan informationshantering som finns i dag. Den uttalade målsättningen har varit att skapa förutsättningar för en informationshantering som bidrar till ännu bättre resultat för individer som är i behov av hälso- och sjukvård eller socialtjänst.
Rätt information på rätt plats i rätt tid – några utgångspunkter SOU 2014:23
62
2.2 Individen och individens behov i centrum
Utredningen har i arbetet med att ta fram förslag för att skapa bättre förutsättningar för en ändamålsenlig informationshantering inom och mellan hälso- och sjukvård och socialtjänst särskilt beaktat vad som krävs för att äldre personer, personer med missbruk eller beroenden, personer med psykisk sjukdom och funktionsnedsättning samt barn ska få en god och säker hälso- och sjukvård och socialtjänst.
I detta arbete har vår utgångspunkt varit att den enskilde inte ska riskera att få mindre säkra insatser av lägre kvalitet inom hälso- och sjukvården och socialtjänsten för att en eller flera personalkategorier som utför insatserna inte har åtkomst till rätt information vid rätt tillfälle. Rätt information i rätt tid för rätt användare är en nyckel till personalens möjligheter att göra ett bra arbete för den enskilde. Bra samverkande verksamheter kan ge fördelar, exempelvis tvärprofessionella team sammansatta utifrån individens behov, tätt samarbete mellan övriga stödfunktioner och personal dygnet runt m.m. Detta kräver ett regelverk med individen och individens behov i centrum.
Om individen och hans eller hennes behov lyfts fram blir det uppenbart att informationshanteringen bör vara anpassad till hur det konkreta arbetet för att tillgodose behoven ser ut. I dag utgår de regler som gäller för hantering och utbyte av information från hur hälso- och sjukvården är organiserad i stället från hur informationen behöver vara tillgänglig för att erbjuda säkra insatser till individen.
Vi har försökt att lyfta blicken och så långt möjligt bortse från de organisatoriska aspekterna och i stället ställa oss frågan: hur skulle en sådan verksamhet bäst byggas upp om den inte behövde ta hänsyn till befintliga organisationsgränser eller befintlig lagstiftning om informationshantering? Under hela utredningens arbete har vi i samtal med utredningens experter och sakkunniga samt i möten med myndigheter och olika organisationer återvänt till denna frågeställning. För oss har det handlat om att försöka skapa en kreativitet som inte är begränsad av de hinder som uppställs i dag, utan som är inspirerad av den möjlighet som utredningen har fått att försöka skapa förutsättningar för en informationshantering som bidrar till ännu bättre resultat för individer i hälso- och sjukvård och socialtjänst.
SOU 2014:23 Rätt information på rätt plats i rätt tid – några utgångspunkter
63
Om vi, för att endast ta ett exempel, tänker oss att vi skulle starta en verksamhet för äldre personer med omfattande behov av hälso- och sjukvård och socialtjänst, hur skulle den på bästa sätt utformas för att skapa förutsättningar för ett samarbete mellan olika kompetenser för att ge goda insatser till individen? Vi är inte övertygade om att vi skulle sträva efter att bygga upp en verksamhet med inbyggda sekretessgränser och olika hinder för utbyte av information mellan olika personalgrupper eller med olika hinder för att utbyta information med hjälp av modern teknik eller hinder genom krav på att information ska dokumenteras på olika ställen. I stället ser vi framför oss en verksamhet där all personal har goda förutsättningarna att ge den äldre personen de allra bästa insatserna. Det förutsätter att både dokumenterandet och utbytet av information mellan de som arbetar i verksamheten fungerar på ett ändamålsenligt sätt. Det måste vara tillåtet att ge information och ta emot information om den enskilde individen och hans eller hennes behov och vilka insatser som planeras och har genomförts. För att informationsutbytet ska kunna göras på ett snabbt, säkert och enkelt sätt behöver de som samarbetar kring den enskilde kunna använda modern informationsteknik.
Utredningen har med hjälp av denna ideala verksamhet som målbild försökt hitta lösningar som utgår från individens behov i stället från hur hälso- och sjukvården och socialtjänsten är organiserad i dag. Det handlar om att stödja en utveckling som ser till att rätt information finns på rätt plats i rätt tid.
Många faktorer måste samspela
Utredningen inser att många olika faktorer behöver samspela för att det ska vara möjligt att utveckla en informationshantering som bidrar till att skapa ännu bättre resultat för individer i hälso- och sjukvården och socialtjänsten. Förutom att lagstiftningen behöver stimulera en önskad utveckling finns även behov av att nödvändiga faktorer som ledning och styrning, professionskulturer, arbetssätt, IT-utveckling, informatik m.m. drar åt samma håll. Det vilar därmed ett stort ansvar på hälso- och sjukvårdens och socialtjänstens aktörer att tillsammans vidta åtgärder och arbeta tillsammans över organisatoriska och professionella gränser för att i praktiken kunna ta tillvara lagstiftningens intentioner.
Rätt information på rätt plats i rätt tid – några utgångspunkter SOU 2014:23
64
2.3 Informationshantering som en integrerad del i verksamheten
Enligt utredningens erfarenheter finns i dagsläget inte alltid överensstämmelse mellan förutsättningarna för att ge hälso- och sjukvård eller socialtjänst och förutsättningarna för att hantera den information om individer som behövs för att vården eller insatserna ska kunna ges på bästa möjliga sätt. I våra möten med företrädare för olika verksamheter och med personal inom hälso-och sjukvården och socialtjänsten framkommer inte sällan att man upplever att regelverket för informationshantering inte stimulerar det faktiska arbetet.
Utredningen har i olika sammanhang försökt analysera detta. Problembilden är komplex och det finns utmaningar i flera olika dimensioner. En utmaning handlar sannolikt om det rättsliga regelverkets utformning. Det finns därför skäl att överväga hur regelverket kan utformas så att frågor om yrkesutövningen i hälso- och sjukvården och socialtjänsten vad gäller ställningstagandet till vård eller andra insatser, går hand i hand med ställningstaganden till informationshantering.
2.4 Informationshantering rörande personer med nedsatt beslutsförmåga
Personer med nedsatt beslutsförmåga behöver enligt utredningens uppfattning särskild uppmärksamhet från lagstiftarens sida. Begreppen integritet och självbestämmande är centrala både i hälso- och sjukvårdslagstiftningen och i socialtjänstlagstiftningen. Det grundläggande kravet är att verksamheten ska bygga på respekt för patientens självbestämmande och integritet. De båda begreppen kompletterar varandra – från livets början till livets slut. Däremot kan förmågan att vara självbestämmande skifta under en människas liv, och den kan skifta från individ till individ. Personer som har förmåga att vara självbestämmande kan också bestämma över och försvara sin integritet. Om förmågan till självbestämmande sviktar är det nödvändigt att andra människor blir det skydd som bevarar och försvarar, upprättar och återupprättar integriteten.
Såväl vård- och behandlingsinsatser och insatser inom socialtjänsten liksom en stor del av informationshanteringen i dessa verksamheter förutsätter att den enskilde själv kan ta ställning och
SOU 2014:23 Rätt information på rätt plats i rätt tid – några utgångspunkter
65
ge uttryck för sin vilja i olika avseenden. Men personal inom hälso- och sjukvården och socialtjänsten möter varje dag personer som av en eller annan anledning tillfälligt eller mer varaktigt saknar möjlighet att ge uttryck för sin vilja att exempelvis få en viss vård- och behandlingsinsats eller hemtjänstinsats. En sådan person har ofta även nedsatt förmåga ta emot information och lämna samtycke till den informationshantering som sådana insatser ibland förutsätter.
Utredningen utgångspunkt är att en individ som av en eller annan anledning saknar möjlighet att samtycka till eller motsätta sig en viss informationshantering ska inte, varken nu eller i framtiden, få sämre insatser eller insatser på osäkrare villkor än andra individer.
Vi anser de förutsättningar som gäller för att kunna genomföra insatser i hälso- och sjukvården och socialtjänsten måste överensstämma med de som gäller för att hantera den information som behövs i en sådan situation. I situationer där det exempelvis är möjligt att ge vård till någon som inte kan samtycka till åtgärden, måste lagstiftningen även göra det möjligt för den som ska ge vården att ta del av den information som behövs för en god och säker vård.
Det handlar om nödvändiga förutsättningar för individens säkerhet och om personalens möjlighet att göra gott och undvika skada. Samtidigt måste både insatserna och informationshanteringen utföras med respekt för den enskildes självbestämmande och integritet.
2.5 Den tekniska utvecklingen ger nya möjligheter
Informationshanteringen i vård- och omsorgssektorn handlar i dag om så mycket mer än att yrkesutövare ska dokumentera sina bedömningar, ställningstaganden, åtgärder och beslut kring enskilda individer och att någon annan yrkesutövare i ett senare skede ska ta del av dessa för eventuellt vidare utredning och beslut.
Enligt utredningens uppfattning har vi gått från en tid när det många gånger har handlat om att dokumentera uppgifter om enskilda, till en tid när det i större utsträckning även handlar om
hur uppgifter som har dokumenterats kan användas för att skapa
bästa möjliga resultat för individen och för andra i liknande situationer. De tekniska landvinningarna har bland annat medfört
Rätt information på rätt plats i rätt tid – några utgångspunkter SOU 2014:23
66
att det i dag är möjligt att göra sådant som tidigare var omöjligt eller som åtminstone i praktiken var alltför resurskrävande för att kunna genomföras.
Det kan handla om att med teknikens hjälp, på systemnivå, hantera information om enskilda individer tillsammans med inbyggda kunskapskällor för att få bättre stöd för beslut i mötet med patienter i hälso- och sjukvården eller individer i socialtjänsten. I stället för en manuell eller elektronisk hantering som förutsätter att en fysisk person tar del av all tillgänglig information för att försöka göra korrekta bedömningar, t.ex. avseende en patients risk att drabbas av en viss sjukdom, finns i dag möjligheter att utföra ett sådant arbete på systemnivå så att yrkesutövaren endast får del av själva resultatet och de rekommendationer som föranleds av det. Med hjälp av tillgänglig information om patienter, deras sjukdomshistoria, riskfaktorer och aktuella behandlingsriktlinjer m.m. kan tekniken bidra till att förebygga ohälsa. En effektiv informationshantering kan göra att sjukdomar upptäcks tidigare och kan behandlas snabbare.
Sammantaget kan konstateras att informationshanteringen i hälso- och sjukvården och socialtjänsten, med hjälp av den tekniska utvecklingen, kan ha en stor betydelse såväl för kvaliteten och säkerheten i den vård och omsorg enskilda individer erbjuds, som för möjligheterna att arbeta preventivt och förebygga ohälsa och låg livskvalitet. Samtidigt är nya möjligheter ofta förknippande med nya risker, exempelvis i form av otillräckligt skydd för den personliga integriteten. Det behöver därför göras en ständig avvägning mellan den nytta som en åtgärd syftar till att åstadkomma och de olika risker som en sådan åtgärd kan föra med sig.
2.6 Bättre resultat för individen – en balansgång mellan kvalitet, säkerhet och personlig integritet
En effektiv informationshantering i syfte att skapa bästa möjliga resultat för de individer som har behov av hälso- och sjukvård eller socialtjänst ger även upphov till frågor om hur en sådan informationshantering förhåller sig till andra värden. Inte sällan uppstår ett behov av att finna en balans mellan sådant som kvalitet, säkerhet och skydd för den personliga integriteten.
Inte minst har relationen mellan patientsäkerhet och personlig integritet varit under debatt och diskussion. Alltsedan patientdata-
SOU 2014:23 Rätt information på rätt plats i rätt tid – några utgångspunkter
67
lagen trädde ikraft har det i den allmänna debatten höjts röster för att integritetsskyddet tillmäts en sådan stor betydelse att patientsäkerheten riskerar att hotas. Ibland har patientsäkerhet och integritetsskydd även framställts som varandras motsatser.
Enligt utredningens uppfattning är står värden som kvalitet och säkerhet inte nödvändigtvis i motsats till skyddet för den personliga integriteten. I själva verket handlar det om ett samspel där ett välbalanserat integritetsskydd är en förutsättning för hög kvalitet och säkerhet. Skyddet för den personliga integriteten är, enligt vårt synsätt, viktigt för att åstadkomma en patientsäker hälso- och sjukvård och en god socialtjänst. Om målet är att skapa en god vård och omsorg, är skyddet för den personliga integriteten ett medel för att nå detta mål. Utredningen bedömer därför att integritetsskyddet hela tiden behöver anpassas för att på bästa sätt skydda dessa andra värden och möjliggöra en utveckling mot en god vård och omsorg.
Relationen kan också beskrivas på ett sådant sätt att hög kvalitet och säkerhet i de flesta fall förutsätter ett gott integritetsskydd, medan ett gott integritetsskydd är fullt möjligt att uppnå i en verksamhet av låg kvalitet och säkerhet. Det skulle exempelvis innebära en förstärkning av patienternas integritetsskydd att förbjuda hälso- och sjukvården att föra patientjournaler, samtidigt som möjligheterna att bedriva en patientsäker verksamhet skulle bli väsentligt sämre eller rent av obefintliga.
Men en fullständig urholkning av integritetsskyddet skulle också ge betydligt sämre förutsättningar att bedriva en patientsäker hälso- och sjukvård eller en god socialtjänst, bland annat eftersom enskilda som inte känner trygghet med hur känsliga uppgifter om dem hanteras skulle kunna välja att undanhålla information för den som ska fatta ett viktigt beslut om den enskildes insatser, vård eller behandling.
Detta innebär att det inte är en fråga om antingen eller, utan snarare om hur integritetsskyddet bör utformas för att ge så goda förutsättningar som möjligt att bedriva en verksamhet av hög kvalitet som ständigt utvecklas och förbättras. Det handlar om att konstruera och upprätthålla ett integritetsskydd som faktiskt bidrar till att skydda och stimulera en god hälso- och sjukvård och socialtjänst. Utredningens förslag i detta betänkande handlar således inte i sak om att stärka integritetsskyddet i vård och omsorg. Å andra sidan är det, enligt utredningens perspektiv, inte heller helt ändamålsenligt att tala exempelvis om att patient-
Rätt information på rätt plats i rätt tid – några utgångspunkter SOU 2014:23
68
säkerheten får företräde framför integritetsskyddet. Förslagen handlar om att öka förutsättningarna att skapa bättre resultat för individer i behov av hälso- och sjukvård eller socialtjänst. I detta ingår integritetsskydd som en viktig beståndsdel. Våra förslag avspeglar därmed den avvägning som vi bedömer är rimlig för att åstadkomma en – för individen – mer ändamålsenlig och sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. I förslagen inryms utredningens bedömningar av hur integritetsskyddet närmare bör utformas för att på bästa sätt skydda värden som kvalitet och säkerhet.
69
3 Kort om regelverket och om ansvaret för tillsynen
3.1 God vård och omsorg
3.1.1 Målen för hälso- och sjukvården och socialtjänsten
Socialtjänstens och hälso- och sjukvårdens verksamheter har samma målsättning; att stärka människors hälsa i vid bemärkelse. Målet för hälso- och sjukvården är enligt 2 § hälso- och sjukvårdslagen (1982:763), förkortad HSL, en god hälsa och en vård på lika villkor för hela befolkningen. Tandvården har motsvarande mål enligt 2 § tandvårdslagen (1985:125), det vill säga en god tandhälsa och en tandvård på lika villkor för hela befolkningen.
Hälso- och sjukvården ska enligt 2 a § HSL bedrivas så att den uppfyller kraven på en god vård. Detta innebär att den särskilt ska vara av god kvalitet med en god hygienisk standard och tillgodose patientens behov av trygghet, vara lätt tillgänglig, bygga på respekt för patientens självbestämmande och integritet, främja goda kontakter mellan patienten och hälso- och sjukvårdspersonalen samt tillgodose patientens behov av kontinuitet och säkerhet i vården. Vården och behandlingen ska så långt möjligt utformas och genomföras i samråd med patienten. Olika insatser för patienten ska samordnas på ett ändamålsenligt sätt. Varje patient som vänder sig till hälso- och sjukvården ska, om det inte är uppenbart obehövligt, snarast ges en medicinsk bedömning av sitt hälsotillstånd.
De övergripande målen och grundläggande värderingarna för socialtjänstens samtliga verksamheter uttrycks i 1 kap. 1 § socialtjänstlagen (2001:453), förkortad SoL. I denna inledande paragraf sägs att samhällets socialtjänst ska främja människors ekonomiska och sociala trygghet, jämlikhet i levnadsvillkor och aktiva deltagande i samhällslivet på demokratins och solidaritetens grund. Vidare ska
Kort om regelverket och om ansvaret för tillsynen SOU 2014:23
70
socialtjänsten inriktas på att frigöra och utveckla enskildas och gruppers egna resurser, under hänsynstagande till människors ansvar för sin och andras sociala situation. Verksamheten ska bygga på respekt för människors rätt till självbestämmande och integritet.
I lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, ställs krav på att verksamheten ska främja jämlikhet i levnadsvillkor och full delaktighet för de funktionshindrade som omfattas av lagen. Målet är att den enskilde ska kunna leva som andra.
Dessa övergripande kvalitetskrav på vården och omsorgen specificeras sedan ytterligare i andra författningar som reglerar verksamheterna.
3.1.2 Ledningssystem för kvalitet
Verksamheter som bedriver hälso- och sjukvård, tandvård, socialtjänst eller verksamhet enligt LSS är skyldiga att systematisk och fortlöpande arbeta med att göra sina verksamheter bättre och säkrare. I hälso- och sjukvårdslagen, tandvårdslagen, socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade finns likalydande bestämmelser som anger att kvaliteten i verksamheten systematiskt och fortlöpande ska utvecklas och säkras.
I 3 kap. 1 § patientsäkerhetslagen (2010:650), förkortad PSL, finns bestämmelser som uttrycker att vårdgivaren ska planera, leda och kontrollera verksamheten på så sätt att kravet på god vård i hälso- och sjukvårdslagen och tandvårdslagen upprätthålls. Vårdgivaren är alltså ytterst ansvarig för att verksamheten drivs på ett säkert sätt och med hög kvalitet. Enligt 1 kap. 3 § PSL är
vårdgivare:
• statlig myndighet, landsting eller kommun som bedriver hälso- och sjukvård i egenregi
• annan juridisk person än staten, landsting eller kommun som bedriver hälso- och sjukvård, till exempel aktiebolag eller stiftelser. Detta omfattar även juridiska personer som ägs av ett eller flera landsting eller kommuner
• enskild näringsidkare som bedriver hälso- och sjukvård.
Varje sådan vårdgivare ska ha ett ledningssystem för den hälso- och sjukvårdsverksamhet som denne bedriver. Vårdgivaren ska även
SOU 2014:23 Kort om regelverket och om ansvaret för tillsynen
71
enligt 2 kap. 1 § Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården säkerställa att det i ledningssystemet finns en dokumenterad informationssäkerhetspolicy.
Enligt definitionen i Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete är den som bedriver socialtjänst:
• socialnämnd eller motsvarande kommunal nämnd, i fråga om sådan socialtjänst som kommunen bedriver i egen regi
• Statens institutionsstyrelse, då den myndigheten bedriver socialtjänst
• annan juridisk person än staten eller kommun som bedriver socialtjänst, till exempel aktiebolag eller stiftelser. Detta omfattar även juridiska personer som ägs av en eller flera kommuner, och
• enskild näringsidkare som bedriver socialtjänst.
Alla som bedriver socialtjänst ska ha ett ledningssystem för sin verksamhet. Det gäller både vid myndighetsutövning till exempel ärendehandläggning och vid genomförandet av vård eller insatser. Motsvarande skyldighet har vårdgivare och den som bedriver verksamhet enligt LSS.
Socialstyrelsens föreskrifter och allmänna råd om ledningssystem för systematiskt kvalitetsarbete är gemensamma för hälso- och sjukvård, tandvård, socialtjänst och verksamhet enligt LSS. Tanken är att gemensamma reglera ska underlätta för verksamheter som bedriver både hälso- och sjukvård och socialtjänst eller verksamhet enligt LSS att ta fram av ändamålsenliga och verksamhetsanpassade ledningssystem.
Ledningssystemet ska användas för att systematiskt och fortlöpande utveckla och säkra verksamhetens kvalitet. Den som bedriver verksamheten ska med stöd av ledningssystemet planera, leda, kontrollera, följa upp, utvärdera och förbättra verksamheten.
Det är alltid vårdgivaren eller den som bedriver socialtjänst eller verksamhet enligt LSS som har ansvaret för att det finns ett ledningssystem.
Kort om regelverket och om ansvaret för tillsynen SOU 2014:23
72
Socialstyrelsen har gett ut ett meddelandeblad1 och en handbok2till stöd i arbetet med att ta fram ett ledningssystem för kvalitet.
3.2 Informationshantering och personuppgiftsbehandling
3.2.1 Informationshantering för en god vård och omsorg
För att den enskilde individen ska kunna erbjudas god vård och omsorg måste de ansvariga verksamheterna dokumentera och i övrigt hantera information om individen och hans eller hennes behov och om de insatser som planeras och genomförs. Även resultaten för individen måste dokumenteras och följas upp. För att verksamheten ska kunna utveckla sin kvalitet behöver resultaten också följas upp på verksamhetsnivå.
När en person får insatser inom vård och omsorg är dokumentationen en integrerad del av genomförandet. Vård- och omsorgspersonal tar del av nödvändiga uppgifter om individen innan mötet med honom eller henne samt även under och efter arbetets genomförande. Uppgifter kan behöva dokumenteras och på olika sätt användas under hela detta förlopp. I bästa fall kan informationssystemet fungera som beslutsstöd direkt arbetssituationen. Det är därför naturligt att se de konkreta insatserna för en individ inom vård och omsorg och den informationshantering som hör ihop med dessa, som beståndsdelar av samma insats. Verksamhetsfrågor och frågor om informationshantering hör ihop. De är tillsammans nödvändiga för att tillgodose den enskildes behov.
Generellt kan sägas att informationshanteringen i vård och omsorg har gått från en tid när ett stort fokus låg på att uppgifter om enskilda dokumenterades, till en tid när mer och mer uppmärksamhet även riktas på hur dokumenterade uppgifter kan användas för att skapa bästa möjliga resultat för enskilda individer och för nästkommande i liknande situationer. Den elektroniska utvecklingen har gett hälso- och sjukvården och socialtjänsten möjligheter att bedriva en bättre, säkrare och mer effektiv verksamhet än vad som tidigare var möjligt.
1 Meddelandeblad nr 11/2011, Information om Socialstyrelsens nya föreskrifter och allmänna råd om ledningssystem för systematiskt kvalitetsarbete (SOSFS 2011:9). 2 Ledningssystem för systematiskt kvalitetsarbete, Handbok för tillämpningen av föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete.
SOU 2014:23 Kort om regelverket och om ansvaret för tillsynen
73
En ändamålsenlig informationshantering bidrar därmed inte endast till att upprätthålla verksamhetens kvalitet och säkerhet, utan även till att kvaliteten och säkerheten kontinuerligt utvecklas.
Informationshantering i hälso- och sjukvården
Förutsättningarna för hälso- och sjukvårdens informationshantering regleras i ett antal olika regelverk. På en övergripande nivå har lagstiftning som offentlighets- och sekretesslagen (2009:400), förkortad OSL, arkivlagen (1990:782) och tryckfrihetsförordningen (1949:105) betydelse.
När vård- och omsorgspersonal dokumenterar, tar del av eller följer upp resultat m.m. innefattar det även behandling av personuppgifter. För hälso- och sjukvårdens personuppgiftsbehandling finns i dag en sammanhängande reglering i patientdatalagen (2008:355), förkortad PDL. Lagen gäller för alla vårdgivare, oavsett huvudman, och har karaktären av en ramlagstiftning som anger vilka grundläggande principer som ska gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård. Lagen innehåller även bestämmelser om patientjournaler och om nationella och regionala kvalitetsregister. Kompletterande bestämmelser finns i patientdataförordningen (2008:360) och i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Socialstyrelsen har även gett ut en handbok till stöd för tillämpningen av föreskrifterna.3 Därtill gäller personuppgiftslagen (1998:204) utöver bestämmelserna i patientdatalagen.
Även i samband med förskrivning och uttag av läkemedel hanteras personuppgifter. I lagen (1996:1156) om receptregister anges att E-hälsomyndigheten med hjälp av automatiserad behandling får föra ett register över förskrivningar av läkemedel och andra varor för människor (receptregister). Lagen är tillämplig på den behandling av personuppgifter som E-hälsomyndigheten gör i samband med utlämnande av uppgifter om förskrivningar. I lagen finns även bestämmelser bland annat om att uppgifter från receptregistret får lämnas till Socialstyrelsens läkemedelsregister som reglerar i förordningen (2005:363) om läkemedelsregister. I
3 Handboken – Ett stöd för vårdgivare, verksamhetschefer, medicinskt ansvariga sjuksköterskor och hälso- och sjukvårdspersonal som ska tillämpa Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.
Kort om regelverket och om ansvaret för tillsynen SOU 2014:23
74
förordningen (2009:625) om receptregister finns närmare bestämmelser.
Läkemedelsförteckningen innehåller uppgifter om samtliga läkemedel som patienter hämtat ut på apotek under de senaste 15 månaderna. Registret talar om ifall patienten har hämtat ut det läkemedel som en ordinatör har ordinerat och dokumenterat i patientjournalen. Det är eHälsomyndigheten som är personuppgiftsansvarig för läkemedelsförteckningen och behandlingen av personuppgifter regleras av lagen (2005:258) om läkemedelsförteckning.
Informationshantering i socialtjänsten
Den rättsliga regleringen för informationshantering i socialtjänsten är inte är lika omfattande som den för hälso- och sjukvården. Exempelvis regleras inte dokumentationsfrågorna särskilt utförligt i socialtjänsten, medan det för hälso- och sjukvårdens del finns en lång tradition av detaljerade författningsbestämmelser kring journalföringens innehåll m.m. De regler som styr handläggning och dokumentation i socialtjänsten återfinns framför allt i förvaltningslagen (1986:223), socialtjänstlagen och de särskilda lagarna med särskilda bestämmelser vid vård av unga (1990:52), förkortad LVU, om vård av missbrukare (1988:870) i vissa fall, förkortad LVM, samt om stöd och service till vissa funktionshindrade. Därutöver har lagstiftning som offentlighets- och sekretesslagen, arkivlagen och tryckfrihetsförordningen även betydelse för socialtjänstens informationshantering.
Socialstyrelsen har utfärdat föreskrifter och allmänna råd (SOSFS 2006:5) om dokumentation vid handläggning av ärenden och genomförande av insatser enligt SoL, LVU, LVM och LSS. Det finns även en handbok som syftar till att underlätta tillämpningen av det regelverk som gäller för handläggning av ärenden och dokumentation av socialtjänstens insatser för enskilda.4
Socialtjänstens hantering av personuppgifter regleras av personuppgiftslagen och av närmare bestämmelser i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten (SoLPUL) och förordningen (2001:637) om behandling av personuppgifter i socialtjänsten (SoLPULF).
4 Handläggning och dokumentation inom socialtjänsten (Socialstyrelsen).
SOU 2014:23 Kort om regelverket och om ansvaret för tillsynen
75
3.3 Tystnadsplikt och sekretess
Såväl hälso- och sjukvårdspersonal som personal i verksamheter inom socialtjänsten och LSS kommer i kontakt med uppgifter om enskilda personer. För att var och en med tillit och trygghet ska kunna vända sig till vården och omsorgen måste uppgifter om enskilda skyddas mot obehörig åtkomst.
Offentlighets- och sekretesslagen, innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Lagen innehåller inskränkningar i den offentlighetsprincip som regleras i tryckfrihetsförordningen Sekretess inom den offentliga vården regleras alltså i offentlighets- och sekretesslagen.
Enligt 25 kap. 1 § OSL gäller sekretess inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider men. Regler om tystnadsplikt för hälso- och sjukvårdspersonalen inom den enskilda (privata) hälso- och sjukvården finns i 6 kap. PSL.
I patientdatalagen finns bestämmelser om hur den som arbetar i vården får använda sin åtkomst till personuppgifter i informationssystemen. Den som arbetar åt en vårdgivare får enligt 4 kap. 1 § PDL endast ta del av dokumenterade personuppgifter om han eller hon deltar i vården av en patient eller av annat skäl behöver uppgifterna i sitt arbete inom hälso- och sjukvården.
Inom socialtjänsten gäller sekretess för uppgift om enskilds personliga förhållanden om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men (26 kap. 1 § första stycket OSL). Bestämmelser som reglerar sekretessen i privat drivna verksamheter finns i 15 kap. SoL.
I verksamhet enligt SoL samt LSS ska handlingar som rör enskildas personliga förhållanden enligt 11 kap. 5 § andra stycket SoL samt 21 a § LSS förvaras så att obehöriga inte får tillgång till dem.
Det skydd som personuppgifter har av reglerna om sekretess och tystnadsplikt kan den enskilde själv förfoga över genom att ge tillstånd till att skyddade uppgifter ändå får lämnas ut (12 kap. 2 § OSL).
Det finns bestämmelser om självbestämmande och integritet för den enskilde individen i socialtjänsten (inklusive verksamhet enligt LSS) och hälso- och sjukvården. I dessa framgår att vården och
Kort om regelverket och om ansvaret för tillsynen SOU 2014:23
76
omsorgen ska bygga på respekt för individens självbestämmande och integritet. Det innebär i korthet att man behöver en persons samtycke för att utföra åtgärder, till exempel om man behöver samverka kring en individ. Bestämmelserna gäller helt oberoende av sekretess, men de påverkar möjligheten att lämna ut uppgifter om den enskilde individen. Det gäller såväl inom som mellan myndigheter. Bestämmelserna finns i 2 a § HSL, 1 kap. 1 § tredje stycket SoL samt 6 § LSS. Om samverkan över sekretessgränser behövs kan det vara lämpligt att, i samband med inhämtandet av samtycke till den åtgärden, samtidigt inhämta det samtycke som i många fall behövs för att kunna lämna ut sekretessbelagda uppgifter över sekretess- eller tystnadspliktsgränser. Bestämmelserna gäller även för verksamhet i privat regi, det vill säga för privata vårdgivare och enskilda verksamheter.
I hälso- och sjukvården gäller att om en enskild på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut hindrar inte sekretess att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvård till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område (25 kap. 13 § OSL). Motsvarande sekretessbrytande bestämmelse finns inte för socialtjänsten.
3.4 Tillsyn av vård och omsorg
Från den 1 juni 2013 har Inspektionen för vård och omsorg (IVO) tillsynsansvaret för hälso- och sjukvården och dess personal samt socialtjänst och för verksamhet enligt LSS. Syftet med tillsynen är att granska att befolkningen får vård och omsorg som är säker, har god kvalitet och bedrivs i enlighet med lagar och andra föreskrifter.
Säker vård och omsorg omfattar även säker hantering av personuppgifter. För att en säker verksamhet ska kunna bedrivas måste uppgifter finnas tillgängliga där de behövs för att ge god vård och omsorg. Kvalitet inom hälso- och sjukvården och socialtjänsten förutsätter också en säker hantering av personuppgifter så att obehöriga inte får del av dessa. Insatser av hög kvalitet kan inte ges utan tillit mellan de som erbjuder insatserna och den enskilde.
SOU 2014:23 Kort om regelverket och om ansvaret för tillsynen
77
I förordningen (2013:176) med instruktion för Inspektionen för vård och omsorg beskrivs myndighetens tillsynsansvar. Bestämmelser om IVO:s tillsyn finns också i patientsäkerhetslagen, socialtjänstlagen och i lagen om stöd och service till vissa funktionshindrade.
Datainspektionen ska verka för att skydda människors personliga
integritet vid behandling av personuppgifter. Datainspektion utövar i detta syfte tillsyn över personuppgiftsbehandlingen inom vård och omsorg. Bestämmelser om Datainspektionens tillsyn finns i förordningen (2007:975) med instruktion för Datainspektionen och i PUL.
Såväl IVO som Datainspektionen har alltså tillsyn över informationshanteringen inom vård och omsorg och ska samverka i dessa tillsynsfrågor.5
Läkemedelsverket har tillsyn inom bland annat området läke-
medel och medicintekniska produkter. I förordning (2007:1205) med instruktion för Läkemedelsverket beskrivs tillsynsuppdraget. Enligt förordningen (1993:876) om medicintekniska produkter har Läkemedelsverket tillsyn över att lagen (1993:584) om medicintekniska produkter följs. I tillämpningsområdet för Socialstyrelsens föreskrifter (SOSFS 2008:1) om användning av medicintekniska produkter i hälso- och sjukvården ingår informationssystem som är anslutna till medicintekniska produkter.
Arbetsmiljöverket har tillsyn över att vårdgivare och att de som
bedriver socialtjänst och verksamhet enligt LSS följer arbetsmiljölagen (1977:1160). I arbetsmiljölagen finns regler om skyldigheter för arbetsgivare och andra skyddsansvariga om att förebygga ohälsa och olycksfall i arbetet.
Det är alltså åtminstone fyra olika myndigheter som bedriver tillsyn av de verksamheter som är ansvariga för god vård och omsorg. Det förutsätts i förvaltningslagen (1986:223) att myndigheter ska samverka med varandra.
79
4 En hälso- och sjukvård i utveckling
4.1 Inledning
Behovet av informationsutbyte kring individen är i dag störst på det lokala planet, i hemkommunen och inom det egna landstinget. De verksamheter som bedriver sjukvård behöver alla ha tillgång till rätt information om patienterna, för att kunna ge bästa möjliga vård i varje situation. Huvudmannen som har ansvar för befolkningen i området och finansierar verksamheterna, oavsett om de sedan drivs i offentlig eller i privat regi, behöver ha tillgång till rätt uppgifter för att kunna planera behovet av insatser, men även för att kvalitetssäkra verksamheten och dess olika processer alldeles oavsett om individens resa har passerat offentliga och privata aktörer.
Det övergripande uppdraget är enligt utredningsdirektivet att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten.
I direktivet anför regeringen att en enskild som rör sig inom och mellan hälso- och sjukvården och socialtjänsten möter allt fler vårdgivare, utförare inom socialtjänsten etc., både nationellt och internationellt. Med nuvarande lagstiftning innebär fler aktörer fler gränser mellan aktörer, vilket kan skapa juridiska och andra hinder för tillgång till personuppgifter.
Vidare anförs att den enskilde inte ska riskera att få mindre säkra insatser av lägre kvalitet inom hälso- och sjukvården och socialtjänsten för att en eller flera personalkategorier som utför insatserna inte har åtkomst till rätt information vid rätt tillfälle. Rätt information i rätt tid för rätt användare är en nyckel till personalens möjligheter att göra ett bra arbete för den enskilde. Bra samverkande verksamheter kan ge fördelar som exempelvis tvär-
En hälso- och sjukvård i utveckling SOU 2014:23
80
professionella team sammansatta utifrån individens behov, tätt samarbete mellan övriga stödfunktioner, personal dygnet runt m.m. Detta kräver ett regelverk med individen och individens behov i centrum.
4.1.1 Riksrevisionens rapport
Under 2011 presenterade Riksrevisionen sin rapport Rätt information
vid rätt tillfälle inom vård och omsorg – samverkan utan verkan?1. I
rapporten granskas de statliga insatserna som gjorts för att vårdpersonal ska ha tillgång till all relevant patientinformation vid rätt tillfälle. Riksrevisionen anför i granskningen bl.a. att vårdens organisering har kommit att bli avgörande för informationsutbytet:
Regeringen har som ambition att öka andelen privata aktörer inom vård och omsorg. Med flera aktörer blir det allt viktigare att säkerställa ett effektivt utbyte av information över organisationsgränserna. Det har i granskningen framkommit att val av organisation får konsekvenser för hanteringen av patientinformation. Granskningen visar att det i ett landsting med få vårdgivare är enklare att få tillgång till patientinformation då patientdatalagen ställer hårdare krav vid informationsutbyte mellan olika vårdgivare än inom en vårdgivare.
Mot den bakgrunden rekommenderade Riksrevisionen regeringen att analysera de konsekvenser som det ökade antalet privata vårdgivare får för målet att behörig personal ska ha rätt information vid rätt tillfälle och överväga om det behövs någon ytterligare författningsreglering.
4.2 Hälso- och sjukvårdens organisation
Med hälso- och sjukvård avses enligt hälso- och sjukvårdslagen (1982:763), förkortad HSL, åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Begreppet hälso- och sjukvård omfattar således såväl de sjukdomsförebyggande och hälsofrämjande åtgärderna som den egentliga sjukvården. I fråga om tandvård finns särskilda bestämmelser.
Den svenska hälso- och sjukvården karaktäriseras av en stark decentralisering. Staten ansvarar för den övergripande hälso- och sjukvårdspolitiken, men det är de 21 landstingen/regionerna samt
1 RiR 2011:19.
SOU 2014:23 En hälso- och sjukvård i utveckling
81
de drygt 290 kommunerna som tillsammans ansvaret för hälso- och sjukvården i landet. Den svenska modellen innebär att i princip all hälso- och sjukvård som ges i landet är offentligt finansierad antingen av landsting eller av kommuner. Detta gäller alldeles oavsett om det sedan är landstinget, kommunen eller en privat vårdgivare som bedriver själva hälso- och sjukvårdsverksamheten. Den rent privata hälso- och sjukvården, d.v.s. som inte finansieras med offentliga medel, är visserligen något på framväxt men utgör fortfarande en mycket liten del av den totala hälso- och sjukvårdsproduktionen.
Målet för hälso- och sjukvården är en god hälsa och en vård på lika villkor för hela befolkningen. Vidare ska vården ges med respekt för alla människors lika värde och för den enskilda människans värdighet (2 § HSL).
4.2.1 Landstingens ansvar
Landstingen har enligt hälso- och sjukvårdslagen ett omfattande ansvar och ska på ett övergripande plan erbjuda en god hälso- och sjukvård åt dem som är bosatta inom landstinget samt verka för en god hälsa hos hela befolkningen. Vidare ska de som är bosatta i landstinget erbjudas en vårdgaranti som försäkrar att den enskilde inom viss tid får kontakt med primärvården (tillgänglighetsgaranti), besöka läkare inom primärvården (besöksgaranti), besöka den specialiserade vården (besöksgaranti), och planerad vård (behandlingsgaranti).
I landstingens planeringsansvar ingår att planera sin hälso- och sjukvård med utgångspunkt i befolkningens behov av sådan vård. Planeringen ska även avse den hälso- och sjukvård som bedrivs av privata och andra vårdgivare.
Andra grundläggande krav på landstingen är att det ska finnas sjukhus för sådan hälso- och sjukvård som kräver intagning i vårdinrättning, s.k. sluten vård. Annan hälso- och sjukvård benämns öppen vård. Primärvården ska som en del av den öppna vården utan avgränsning vad gäller sjukdomar, ålder eller patientgrupper svara för befolkningens behov av sådan grundläggande medicinsk behandling, omvårdnad, förebyggande arbete och rehabilitering som inte kräver sjukhusens medicinska och tekniska resurser eller annan särskild kompetens. Dessutom ska landstingen, enligt 5 § HSL, organisera primärvården så att alla som är bosatta inom
En hälso- och sjukvård i utveckling SOU 2014:23
82
landstingen kan välja utförare av hälso- och sjukvårdstjänster samt få tillgång till och välja en fast läkarkontakt (vårdvalssystem). Sådana vårdvalssystem ska utformas så att alla utförare behandlas lika, om det inte finns skäl för annat. Ersättningen från landstinget till utförare inom ett vårdvalssystem ska följa den enskildes val av utförare.
I Sverige har vi i dag nio regionsjukhus, omkring 20 länssjukhus och 40 länsdelssjukhus. Inom slutenvården finns cirka 20 000 vårdplatser. För primärvården finns drygt 1 000 vårdcentraler.
Landstingens ansvar för läkarinsatser
Landstingen har ett särskilt ansvar för läkarinsatser. Det ställer stora krav på samverkan med kommuner och privata utförare av såväl hälso- och sjukvård som socialtjänst.
Av hälso- och sjukvårdslagen följer att landstingen ska till kommunerna inom landstinget avsätta de läkarresurser som behövs för att invånare som bor i särskilt boende eller deltar i dagverksamhet enligt 3 kap. 6 § socialtjänstlagen (2001:453), förkortad SoL, får en god hälso- och sjukvård. Samma krav på läkarinsatser gäller även för hemsjukvården. Även om kommunen tagit över ansvaret för hälso- och sjukvårdsinsatser för de som bor kvar i hemmet har landstinget ansvar för de läkarinsatser som den enskilde är i behov av.
4.2.2 Kommunernas ansvar
Varje kommun ska erbjuda en god hälso- och sjukvård åt de äldre eller funktionshindrade som efter beslut av kommunen bor i särskilt boende. Även i sådan dagverksamhet som avses i 3 kap. 6 § SoL ska kommunen ansvara för hälso- och sjukvård åt dem som vistas i verksamheten.
När det gäller hälso- och sjukvård i hemmet (hemsjukvård) ligger det primära ansvaret på landstingen även om kommunerna i 18 § HSL har fått befogenheter att erbjuda dem som vistas i kommunen hemsjukvård. Landstingen har även möjlighet att, genom en överenskommelse med en kommun, överlåta skyldigheten att erbjuda hemsjukvård. I dag har samtliga län utom Stockholm kommunaliserat hemsjukvården. Hemsjukvård är avsedd för personer som behöver långvariga insatser från både hälso- och sjukvården och socialtjänsten.
SOU 2014:23 En hälso- och sjukvård i utveckling
83
Insatser av mera tillfällig karaktär som hälso- och sjukvårdspersonal utför i hemmet har inte räknats som hemsjukvård (prop. 1990/91:14). Enligt statistik från Socialstyrelsen var det i december 2009 168 000 personer som fick hemsjukvård.
Det är dock inte möjligt att inom ramen för en sådan överenskommelse om hemsjukvården överlåta sådan hälso- och sjukvård som bedrivs av läkare. Det innebär att landstinget, även efter en kommunalisering av hemsjukvården, står för de läkarinsatser som den enskilde behöver. Den kommunala hemsjukvården har då att samarbeta med läkare på vårdcentraler, mottagningar och sjukhus för att den enskilde ska få de insatser som behövs.
En kommun får även sluta avtal med någon annan, exempelvis en privat vårdgivare, om att utföra de uppgifter som kommunen ansvarar för. Kommunen ska planera sin hälso- och sjukvård med utgångspunkt i befolkningens behov. Planeringen ska även avse den hälso- och sjukvård som erbjuds av privata och andra vårdgivare.
4.2.3 Privata vårdgivare m.m.
Fram till mitten på 1990-talet var det huvudsakligen landstingen och kommunerna som själva både ansvarade för och utförde hälso- och sjukvården i landet. Även om landsting och kommuner alltjämt ansvarar för hälso- och sjukvården har utvecklingen gjort att det blivit vanligare att landsting och kommuner anlitar privata aktörer som utförare av hälso- och sjukvård. Bland de privata aktörerna finns allt ifrån vinstdrivande bolag till ideella och idéburna aktörer. Det ökade antalet privata vårdgivare återfinns framför allt inom primärvården, men även sjukhus som S:t Görans sjukhus och sjukhuset i Simrishamn drivs av privata aktörer. Även i den kommunala hälso- och sjukvården ökar antalet privata utförare av den sjukvård som exempelvis bedrivs i särskilt boende eller i hemsjukvården. Det förekommer även att flera olika privata vårdgivare i samverkan, t.ex. inom ramen för en mottagning eller ett mindre sjukhus, erbjuder hälso- och sjukvård.
Fortfarande är det dock landstingen och kommunerna som finansierar verksamheten, men med andra aktörer som utförare. De offentliga aktörerna är som huvudmän och beställare ansvariga för uppföljning och kontroll av de privata vårdgivarnas offentligfinansierade verksamheter. Utredningen om en ny kommunallag för framtiden anför i SOU 2013:53 att det av bestämmelser i bl.a.
En hälso- och sjukvård i utveckling SOU 2014:23
84
kommunallagen (1991:900), hälso- och sjukvårdslagen, socialtjänstlagen och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, framgår att kommuner och landsting genom avtal får lämna över viss uppgift till privata utförare. När kommuner och landsting lämnar över verksamhet till privata utförare så kvarstår, enligt den utredningen, det kommunala huvudmannaskapet för verksamheten. Det kan indirekt utläsas av 6 kap. 7 § kommunallagen, i vilken det anges att de kommunala nämnderna har ett ansvar att kontrollera att verksamheten bedrivs på ett tillfredsställande sätt, även när en kommunal angelägenhet har lämnats över till någon annan.2Ansvaret gentemot kommunmedlemmarna ligger alltjämt på kommunen eller landstinget som huvudman även om vissa uppgifter inom den kommunala verksamheten lämnats över till en privat utförare. Kommunen eller landstinget bestämmer om verksamhetens mål, inriktning, omfattning och kvalitet när den utförs av en privat utförare. Den privata utföraren tillhandahåller en kommunal tjänst och kommunen eller landstinget behåller det övergripande ansvaret på samma sätt som när den bedriver verksamhet i egen regi.3Kostnad och kvalitet för samma vårdinsats för den enskilde ska exempelvis inte skilja sig åt mellan en offentlig och en privat utförare.
Privata vårdgivare med offentlig finansiering grundar sin verksamhet på i huvudsak någon av följande avtalsrelationer med landstinget eller kommunen:
1. vårdval enligt lagen (2008:962) om valfrihetssystem, förkortad
LOV,
2. upphandling enligt lagen (2007:1091) om offentlig upphandling,
förkortad LOU,
3. ersättningsetablering enligt lagen (1993:1651) om läkarvårds-
ersättning, förkortad LOL, och enligt lagen (1993:1652) om ersättning för fysioterapi,
4. direktavtal.
Hälso- och sjukvård kan även bedrivas helt i privat regi utan att något avtal föreligger med landstinget eller kommunen och utan inslag av offentlig finansiering. Denna sektor av hälso- och sjukvården är emellertid mycket liten. I dessa fall ansvarar följaktligen
2SOU 2013:45 Privata utförare – Kontroll och insyn s. 99. 3SOU 2013:45 Privata utförare – Kontroll och insyn s. 105.
SOU 2014:23 En hälso- och sjukvård i utveckling
85
inte heller landstinget eller kommunen i egenskap av huvudman för verksamheten.
4.2.4 Vårdval och valfrihetssystem
Riksdagen antog 2009 propositionen Vårdval i primärvården4. Detta har inneburit att landstingen och Gotlands kommun senast den 1 januari 2010 skulle ha infört vårdvalssystem som ger patienten rätt att välja mellan olika vårdgivare i primärvården. Alla vårdgivare, som uppfyller de krav landstingen ställer, har rätt att etablera sig i primärvården. Bestämmelserna i lagen om valfrihetssystem ska följas när landstingen utformar sina valfrihetssystem.
Landstingen ska således, enligt 5 § HSL, organisera primärvården så att alla som är bosatta inom landstinget kan välja utförare av hälso- och sjukvårdstjänster samt få tillgång till och välja en fast läkarkontakt. Landstinget får inte begränsa den enskildes val till ett visst geografiskt område inom landstinget.
Hur det övergripande målet för vårdvalet formuleras kan skilja något mellan landstingen. I några betonas befolkningens tillgänglighet till vård och mångfald, medan andra framhåller målen att stärka patientens ställning och den nära vården.
I vårdvalsuppdraget framhåller alla landsting hälsofrämjande och sjukdomsförebyggande insatser, ökad tillgänglighet, att invånarnas behov ska vara styrande för verksamheten, att vårdenheten ska medverka till en samordnad eller sammanhållen vårdprocess, och att den vårdenhet som invånaren är listad hos ska vara ett naturligt förstahandsval när invånaren söker hälso- och sjukvård.
I exempelvis Stockholms läns landstings modell Vårdval Stockholm beslutas regler för auktorisering och vårdval av landstingsstyrelsen alternativt hälso- och sjukvårdsnämnden. Mottagningar som godkänns får avtal att driva sjukvård inom sitt område. Reglerna för auktorisering är desamma för privat och landstingsdriven verksamhet. Med den auktoriserade mottagningen sluts ett avtal där mottagningen förbinder sig att följa de åtaganden och regler som landstinget ställer. Avtalen gäller tills vidare och kan tidigast sägas upp efter fyra år.
Medan det för landstingen är obligatoriskt att införa valfrihetssystem i primärvården är det frivilligt för kommunerna att göra det inom den kommunala hälso- och sjukvården och socialtjänsten.
En hälso- och sjukvård i utveckling SOU 2014:23
86
Samtidigt har många kommuner i dag infört valfrihetssystem inom vård och omsorgssektorn.
4.2.5 Ett växande antal privata vårdgivare
Uppskattningsvis finns omkring 10 000 privata vård- och omsorgsföretag i landet i dag. Vid en kartläggning som gjordes av Vårdföretagarna 2001 utfördes omkring 5 procent av vårduppdragen av privata företag. Enligt Vårdföretagarna svarar i dag privat vård och omsorg för cirka 12 procent av den totala hälso- och sjukvården. År 2010 drevs omkring 26 procent av primärvården och 14 procent av äldreomsorgen i privat regi.
Variationen i landet, mellan landsting och kommuner, är dock stor. I en del län förekommer endast ett ringa antal privata utförare, medan några län visar upp en stor mångfald aktörer.
Av hälso-och sjukvårdsnämnden i Stockholms läns landstings totala kostnader för köpt hälso- och sjukvård 2011 stod privata vårdgivare för 32 procent av de totala kostnaderna. Fördelningen mellan privat utförd och offentligt utförd hälso- och sjukvård, uppdelad på olika delar av hälso- och sjukvården, ser ut som följer inom SLL år 2011.
1. Somatisk specialistsjukvård, 81 % landsting, 19 % privat.
2. Psykiatri, 80 % landsting, 20 % privat.
3. Primärvård, 40 % landsting, 60 % privat.
4. Geriatrik, 49 % landsting, 51 % privat.
5. Övrig vård, 36 % landsting, 64 % privat.
Ytterligare uppgifter från Stockholms läns landsting gör gällande att det, förutom offentliga vårdleverantörer, finns drygt 3 000 verksamheter som bedriver hälso- och sjukvård i länet.5 Av dessa har 560 leverantörer olika vårdavtal med landstinget, 1 400 erbjuder vård med stöd av nationella taxan samt 1 100 utför tandvård med offentlig finansiering. Vidare visar utvecklingen en tendens i ett ökat antal leverantörer. År 2008 fanns det i länet 453 unika leverantörer som tillsammans hade 1 260 vårdavtal för driften av sina verksamheter. År 2011 hade antalet ökat till 564 leverantörer och 1 695 avtal. Vid en analys av utvecklingen i Stockholm mellan år 2000 och 2010 kan konstateras att de privata vårdgivarnas andel framför allt har ökat
5 Rapporten Vårdmarknad och företagsklimat, 2012, Stockholms läns landsting.
SOU 2014:23 En hälso- och sjukvård i utveckling
87
inom geriatriken, där cirka 50 procent av vården producerades av privata vårdgivare år 2010 jämfört med några få procent tio år tidigare. Även inom primärvården har ökningen varit stor, från omkring 30 procent år 2000 till 60 procent 2010.
Även i Landstinget i Östergötland har antalet privata vårdgivare ökat de senaste åren. Från 2008 till 2012 har antalet privat drivna vårdcentraler med finansiering från landstinget ökat med 50 procent, från sex stycken till nio vårdcentraler. Av landstingets 43 vårdcentraler drivs således drygt 20 procent i privat regi.
Vidare kan uppmärksammas Landstinget i Uppsala län där privata vårdgivare med offentlig finansiering står för omkring 40 procent av vårdutbudet i primärvården.
Socialstyrelsen har haft regeringens uppdrag att följa upp valfrihetssystemen inom primärvård och socialtjänst ur ett patient- och befolkningsperspektiv. I slutrapporten från 2012 framkommer bl.a. följande om den utveckling som har skett6.
Sedan landstingen införde sina respektive vårdvalssystem har 208 vårdcentraler i privat regi etablerats till och med oktober 2011. Under motsvarande tid har antalet vårdcentraler i offentlig regi minskat med 17 stycken. Nettotillskottet uppgår alltså till 191 vårdcentraler, vilket motsvarar omkring 19 procent av det totala antalet.
I de 191 vårdcentralerna ingår även filialer. En filial är en del av eller underavdelning till en vårdcentral och har inga listade patienter, utan dessa är listade hos ”huvudmottagningen”. Filialen bedriver verksamhet med fast adress på annan ort och har i de flesta fall ett mer begränsat utbud av primärvårdstjänster jämfört med huvudmottagningen.
Antalet vårdcentraler som drivs av privata utförare har mer än fördubblats efter vårdvalsreformen 2009. Det har skett dels genom att nya vårdcentraler har etablerats men framför allt genom att vårdcentraler som tidigare drivits i offentlig regi numera drivs i privat regi. Av det totala antalet vårdcentraler drivs nästan hälften av privata utförare. Den största utvecklingen har skett efter 2009. Siffror från Myndigheten för tillväxtpolitiska utvärderingar och analyser visar att antalet vårdcentraler innan vårdvalet infördes var 1 022 och av dem drevs 288 i privat regi. År 2011 finns det 1 213 vårdcentraler i landet och av dem drivs nu 602 i privat regi.
6 Socialstyrelsens rapport Valfrihetssystem ur ett befolknings- och patientperspektiv (2012).
En hälso- och sjukvård i utveckling SOU 2014:23
88
Privatiseringen av primärvården har därmed gått i en snabb takt mellan 2009 och 2011.
4.2.6 Ökad specialisering
Det råder ingen tvekan om att komplexiteten i hälso- och sjukvården ökar bland annat i takt med nya medicinska landvinningar och utvecklingen av nya läkemedel och medicintekniska produkter. Människans liv blir allt längre och i takt med tiden ökar förekomsten av kroniska sjukdomar och multisjuka patienter. Dagens hälso- och sjukvård ställer stora krav på samverkan och samarbete för att lösa de utmaningar som står för dörren. Det ställs stora krav på hälso- och sjukvårdens aktörer för att de ska kunna säkra framtidens vård, möta den snabba medicinska utvecklingen, tillgodose behovet av hög kompetens på alla områden och samtidigt balansera kostnaderna för verksamheten och utvecklingen.
Detta har bl.a. lett till ökade behov av att koncentrera verksamheter, eftersom resurser saknas för att med tillräckligt hög kvalitet tillhandahålla samma utbud överallt. Den rådande utvecklingen i samhället och i hälso- och sjukvården har mot denna bakgrund medfört en ökad specialisering.
4.2.7 Vårdval – ökade möjligheter för medborgarna
I och med valfrihetsreformen har samtliga medborgare fått rätten att välja en utförare av hälso- och sjukvårdstjänster. För många innebär det ett val av vårdcentral. Men även personer som bor i ordinärt boende och som samtidigt får hälso- och sjukvårdsinsatser i hemmet omfattas av vårdvalet oavsett om insatserna utförs under kommunens eller landstingets ansvar.
I en vårdgivares skyldigheter ingår i regel ansvar för läkarinsatser till enskilda personer som vårdas inom den kommunala hälso- och sjukvården. Läkarinsatser i särskilda boenden omfattas i de flesta landsting av ett grundåtagande i vårdvalet. Det innebär att den enskilde har rätt att välja vårdgivare även om man bor i särskilt boende.
Medborgarnas ökade valmöjligheter medför en del nya krav på vård- och omsorgsaktörerna. Förutsebarheten och möjligheten att planera och dimensionera olika verksamheter är i dag mer
SOU 2014:23 En hälso- och sjukvård i utveckling
89
komplicerad. Samtidigt som landsting och kommuner behöver ha en flexibilitet för att möta medborgarnas valfrihet måste den övergripande planeringen och nödvändiga stödsystem vara robusta och garantera en högkvalitativ och jämlik vård. Dagens mångfald av utförare gör tillsammans med medborgarnas valmöjligheter att behovet av att systematiskt hålla ihop de system, processer, rutiner etc. som är nödvändiga förutsättningar för en god och säker vård är ännu större än tidigare.
4.2.8 Vårdprocesser sträcker sig allt mer över vårdgivargränser
En konsekvens av den ökade specialiseringen och mångfalden av utförare är att det i dag snarare är regel än undantag att patienten möter flera olika vårdgivare under en och samma vårdprocess. Patienten möter olika offentliga och privata utförare som tillsammans har uppdraget att leverera högkvalitativ vård för den enskildes bästa. För ett antal år sedan var situationen annorlunda. Då stod kommuner och landsting för i princip all hälso- och sjukvård som utfördes. Vårdprocesserna gick då typiskt sett inte över vårdgivargränser utan hölls i större utsträckning inom landstingets eller kommunens verksamhet. I takt med privatiseringen har detta dock kommit att förändras. Det är särskilt märkbart inom framför allt primärvården.
I dag kan patienten på sin resa genom vården, t.ex. inom ramen för en remisshantering, passera flera olika privata och offentliga aktörer. Det kan handla om att patienten remitteras från en privat driven vårdcentral för att först utredas på en landstingsdriven mottagning och efter det på en privat driven specialistmottagning för att sedan återvända till den remitterande vårdgivaren. Det kan även förekomma att patienten behöver söka vården akut för samma hälsoproblem och då få hjälp av ytterligare en aktör.
Vårdprocesser är inte heller alltid på förhand definierade på ett sådant sätt att det är möjligt att förutse vilka aktörer som kommer att vara inblandade i patientens vård och behandling. Vid exempelvis misstänkt cancer kan processen se olika ut och inledas utifrån symptom som inte omedelbart förknippas med cancer. Det kan i ett inledande skede vara fråga om en omfattande remisshantering, t.ex. från en primärvårdsmottagning till ett laboratorium, från akutmottagning till röntgen, från vårdavdelning till MR-undersökning på länssjukhus och vidare till kirurgi, patologi och onkologi.
En hälso- och sjukvård i utveckling SOU 2014:23
90
När det gäller primärvården pekar exempelvis Socialstyrelsen i sin rapport om Valfrihetssystem ur ett befolknings- och patientperspektiv (2012) på att det ännu finns få svenska studier som visar hur olika befolkningsgrupper använder sig av de möjligheter ett valfrihetssystem kan ge och på vilka grunder eller kriterier enskilda personer väljer. Av en undersökning som Konkurrensverket låtit göra kring vårdval i primärvården7framgår att kontinuitet generellt ansågs vara en viktig faktor i vård och omsorg av dem som deltog i undersökningen, men särskilt bland de äldre. Yngre personer lade större vikt vid att snabbt kunna få läkartid för sig eller sina barn. Patientens val och rörlighet kan därmed hänga mycket samman med faktorer som i vilket skede i livet patienten befinner sig, vilka socioekonomiska förutsättningar individen har etc. Vård-och omsorgsproducenterna måste därför kunna leverera en högkvalitativ vård och omsorg till individer med olika förutsättningar och som gör olika val för att initiera en vårdprocess.
4.2.9 Sammanfattande reflektioner
Gemensamt för många av dagens vårdprocesser är att behoven av både tät samverkan och flexibilitet är stora. Inte sällan framförs risker med att mångfald, vårdvalssystem och vård- och omsorgsprocesser med flertalet aktörer kan medföra att individen får ta ett större eget ansvar för att hålla samman processen i gränssnitten mellan de olika aktörerna. I en alltmer specialiserad vård med en mångfald av utförare ökar behovet att hålla samman informationen i enskilda vård- och omsorgsprocesser. Tillgång till rätt information om patienten är kritiskt i varje del av kedjan, hos varje aktör som möter individen. ITsystem måste kunna kommunicera, rutiner och arbetssätt måste vara ändamålsenliga och till viss del gemensamma, samma termer och begrepp måste användas av olika aktörer m.m. Det är avgörande för patientsäkerheten att ha en helhetsbild över patientens hälsoproblem oavsett hur patientens resa genom vård och omsorgssystemet har startat och oavsett vilka aktörer som passeras under resan. Det ligger även ytterst i varje medborgares intresse att vård- och omsorgsproducenterna kan hålla ihop de system, processer, rutiner och den information som krävs för att patienter ska få en god vård och omsorg.
7 Konkurrensverkets rapportserie 2010:3.
91
5 Informationshantering inom hälso- och sjukvården
5.1 Bakgrund
Informationshanteringen är av fundamental betydelse för hälso- och sjukvården. Grunden utgörs traditionellt sett av patientjournalföringen, som har avgörande betydelse för kvaliteten och säkerheten i hälso- och sjukvården. Syftet med att föra en patientjournal är i första hand att bidra till en god och säker vård för patienten. Patientjournalen är därmed primärt ett arbetsinstrument för hälso- och sjukvårdspersonalen. Samtidigt är journalen även en viktig informationskälla för patienten, t.ex. för att ge patienten större kunskap om sin hälsosituation och för att öka patientens delaktighet i vården. Den har även stor betydelse för möjligheterna till uppföljning och kvalitetssäkring av verksamheten samt för forskningen. Patientjournalen är också ett viktigt underlag vid tillsyn eller i rättsliga sammanhang.
Samtidigt kan konstateras att hälso- och sjukvårdens informationshantering i dag är så mycket mer än den egentliga patientjournalföringen. Det handlar inte längre endast om att i efterhand dokumentera bedömningar, ställningstaganden och vidtagna åtgärder kring enskilda patienter. I dag handlar det även mycket om hur hälso- och sjukvården kan använda redan dokumenterade uppgifter om patienter och information exempelvis om de landvinningar som görs inom den medicinska forskningen för att skapa ännu bättre resultat för patienterna.
Informationshanteringen kan därför sägas vara en grundläggande förutsättning för effektiva kunskaps- och beslutsstöd i den patientinriktade verksamheten. Nya tekniska lösningar har medfört att hälso- och sjukvården kan få bättre bedömningsunderlag på ett säkrare och mer effektivt sätt än vad som över huvud taget är möjligt vid manuella genomgångar av patientjournaler och forskningsrön.
Informationshantering inom hälso- och sjukvården SOU 2014:23
92
Den elektroniska utvecklingen har även medfört att det i dag kommit att handla mer och mer om hur informationen presenteras för användarna, dvs. hälso- och sjukvårdspersonalen, och hur informationssystemen i övrigt bör vara uppbyggda för att vara användbara i verksamheten.
Därutöver har frågor om hur uppgifter om patienter kan användas för att utveckla och säkra kvaliteten i hälso- och sjukvården under en längre tid ökat i aktualitet. Utvecklingen av nationella kvalitetsregister, öppna jämförelser m.m. har bland annat satt ljuset på hur viktigt det är att mäta vad som görs i verksamheten för att få underlag till förbättringsarbeten.
Vidare har en stor utveckling kommit att ske vad gäller patienters tillgång till information om dem själva. Från att ha handlat om att lämna ut journalkopior manuellt på papper, handlar frågorna i dag om direkt tillgång till uppgifter på internet och särskilda tekniska lösningar som exempelvis gör att informationen kan förädlas och visualiseras på sätt som motsvarar enskilda patienters behov. Den dokumentation som skapas i hälso- och sjukvården är därmed även på väg att bli en grundförutsättning för att stärka patienters delaktighet i vården och öka patienters kännedom om deras hälsosituation. En del av hälso- och sjukvårdens informationshantering handlar därför om att tillhandahålla förutsättningar för patienter att förstå och kunna fatta informerade beslut som påverkar hälsa och livskvalitet.
Sammantaget kan konstateras att frågorna om hälso- och sjukvårdens informationshantering har blivit fler och kommit att spänna över bredare områden än tidigare. Det har även medfört ett större fokus på lagstiftningen på området och på frågan om vad som är rättsligt möjligt i frågor om användning av uppgifter om patienter.
I detta kapitel redogörs översiktligt för den nuvarande rättsliga regleringen av hälso- och sjukvårdens informationshantering. Längre fram i betänkandet återfinns utredningens närmare redogörelser och analyser av olika delar av gällande rätt.
SOU 2014:23 Informationshantering inom hälso- och sjukvården
93
5.2 Den rättsliga regleringen av informationshanteringen
För hanteringen av personuppgifter inom hälso- och sjukvården finns i dag en sammanhängande reglering i patientdatalagen (2008:355), förkortad PDL. Lagen gäller för alla vårdgivare och har karaktären av en ramlagstiftning som anger vilka grundläggande principer som ska gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård.
Patientdatalagen kompletteras av Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.
5.2.1 Begreppet vårdgivare
I patientdatalagen görs en åtskillnad mellan informationshanteringen inom en vårdgivares verksamhet respektive mellan olika vårdgivare. Förutsättningarna för informationshantering i ett enskilt fall är därmed bl.a. beroende av om det rör sig om en hantering uteslutande inom den egna vårdgivarens verksamhet eller om information exempelvis behöver inhämtas från en eller flera andra vårdgivare.
Med vårdgivare avses en fysisk eller juridisk person som bedriver hälso- och sjukvård. Det är statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
Inom den allmänna hälso- och sjukvården är det således den juridiska personen landstinget eller kommunen som är vårdgivare. Sådana kommunala företag som avses i 2 kap. 3 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, dvs. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande, är egna juridiska personer och utgör självständiga vårdgivare. Som exempel på sådana vårdgivare kan nämnas Södersjukhuset AB och Danderyds sjukhus AB. Även privata utförare av offentligfinansierad hälso- och sjukvård, som exempelvis Capio, Aleris och Praktikertjänst, är självständiga vårdgivare. Detsamma gäller för även enskilda personer som bedriver husläkarmottagningar, mottagningar för sjukgymnastik m.m.
Informationshantering inom hälso- och sjukvården SOU 2014:23
94
Några exakta uppgifter om hur många vårdgivare det finns i dag i Sverige har inte varit möjligt att få fram. En siffra som har nämnts i olika sammanhang är att det finns omkring 10 000 privata vård- och omsorgsföretag i Sverige. Om samtliga dessa är att betrakta som vårdgivare i lagstiftningens mening är emellertid oklart. Hur som helst kan dock konstateras att antalet sinsemellan självständiga vårdgivare har ökat väsentligt de senaste åren. Bara i Stockholm finns omkring 1 000 vårdgivare som driver sin verksamhet med offentlig finansiering.
5.2.2 Informationshantering inom en vårdgivares verksamhet (inre sekretess)
Inom en vårdgivares verksamhet kan information utbytas mellan olika aktörer och olika enheter, exempelvis mellan sjukhus och vårdcentraler eller mellan olika enheter inom ett sjukhus, utan hinder av sekretess. Det finns således ingen sekretessgräns som hindrar ett informationsflöde inom en vårdgivares verksamhet, i det s.k. inre sekretessområdet.
Det betyder emellertid inte att det är fritt fram att utbyta information mellan alla som arbetar inom en och samma vårdgivares verksamhet. Av den grundläggande bestämmelsen i 4 kap. 1 § PDL om inre sekretess följer att den som arbetar hos en vårdgivare får ta del av uppgifter om en patient endast om han eller hon deltar i vården och behandlingen av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
Vidare följer av kraven på behörighetsstyrning att personalens behörighet för åtkomst till patientuppgifter ska begränsas till vad som behövs för att den enskilde anställde ska kunna fullgöra sina arbetsuppgifter. Dessutom finns integritetsskyddande bestämmelser om åtkomstkontroll, som ställer krav på att åtkomsten till patientuppgifter dokumenteras (loggas) samt systematiskt och återkommande kontrolleras.
Även om det inte finns några sekretessgränser för informationsutbytet inom en vårdgivares verksamhet har patienten en möjlighet att själv begära att den elektroniska åtkomsten till patientens uppgifter begränsas. Den rätten beskrivs ofta som att patienten kan lägga en inre spärr. Rättigheten följer av 4 kap. 4 § PDL och innebär att vårddokumentation som dokumenterats hos en vårdenhet eller inom en
SOU 2014:23 Informationshantering inom hälso- och sjukvården
95
vårdprocess inte får göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall ska uppgiften genast spärras.
En sådan spärr får hävas av behörig befattningshavare hos vårdgivaren om patienten samtycker till det. Spärren får även hävas i sådana situationer där patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.
Lagstiftarens tanke med reglerna om inre spärrar har varit att skapa en bestämmelse som slår fast de principer som uttrycks i 2 § hälso- och sjukvårdslagen om att verksamheten ska bygga på respekt för patientens självbestämmande och integritet. Patientdatautredningen anförde i sitt betänkande (s. 373) att det för en del patienter inte skulle räcka med en möjlighet att i efterhand kontrollera vilken åtkomst till patientens uppgifter som förekommit. De patienterna bör enligt utredningen ha en möjlighet att motsätta sig att journaluppgifter görs elektroniskt tillgängliga för andra vårdenheter alternativt vårdprocesser än den vid vilken patienten vårdats under en specifik tidsperiod.
Den inre spärren handlar dock inte om huruvida uppgifter om en patient alls bör få utbytas mellan olika vårdenheter, t.ex. kliniker eller sjukhus hos en och samma vårdgivare. Bestämmelsen reglerar endast själva sättet för informationsutbytet, dvs. elektronisk åtkomst. Några nya interna sekretessgränser uppstår inte och spärrarna innebär inget hinder mot att personal vid olika vårdenheter eller vårdprocesser tar kontakt med varandra på motsvarande sätt som görs när förutsättningar för elektronisk åtkomst helt saknas.
5.2.3 Informationshantering mellan vårdgivare
Av bestämmelserna om sekretess och tystnadsplikt i offentlighets- och sekretesslagen respektive patientsäkerhetslagen (2010:659) följer att sekretess råder mellan olika vårdgivare för uppgifter om hälsotillstånd eller andra personliga förhållanden. Det innebär något förenklat att det exempelvis råder sekretess mellan ett offentligt drivet sjukhus och en privat driven vårdcentral, eller mellan olika offentliga vårdgivare samt mellan olika privata vårdgivare. Uppgifter om enskilds hälsotillstånd eller andra personliga
Informationshantering inom hälso- och sjukvården SOU 2014:23
96
förhållanden får då i huvudsak utbytas med stöd av den enskildes samtycke eller genom att tillämpa en sekretessbrytande bestämmelse.
I offentlighets- och sekretesslagen finns exempelvis sekretessbrytande bestämmelser som innebär att sekretessen inte hindrar att uppgift lämnas från en myndighet som bedriver hälso- och sjukvård i en kommun till en annan sådan myndighet i samma kommun. Motsvarande bestämmelse finns även för olika myndigheter som bedriver hälso- och sjukvård inom ett landsting. Dessa bestämmelser möjliggör för kommuner och landsting att organisera sin verksamhet i olika myndigheter utan att det för den skull uppstår sekretessgränser dem emellan. Bestämmelserna gäller dock enbart den hälso-och sjukvård som landstinget eller kommunen själv bedriver genom dessa myndigheter och kan inte tillämpas på sådan hälso- och sjukvård som utförs av privata vårdgivare med offentlig finansiering. Mellan de offentliga och privata aktörerna råder alltjämt sekretess.
Om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar sekretessen inte att en uppgift som behövs för att den enskilde ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en privat vårdgivare eller privat utförare av socialtjänst. Det är en sekretessbrytande bestämmelse som inte ska tillämpas generellt och i vida omfattning, utan i stället med stor försiktighet då det framstår som direkt påkallat att bistå en enskild och den enskilde kan tänkas motsätta sig ett utlämnande eller att saken brådskar och det inte finns tid att inhämta ett samtycke.
Hur uppgifter får utbytas, vare sig uppgiftsutbytet grundas på ett samtycke eller en sekretessbrytande bestämmelse, regleras bl.a. i patientdatalagen. I lagen medges dels att uppgifter som får lämnas ut kan lämnas ut elektroniskt, dels att vårdgivare under vissa förutsättningar får ha direktåtkomst till varandras vårddokumentation.
SOU 2014:23 Informationshantering inom hälso- och sjukvården
97
5.2.4 Informationshantering mellan vårdgivare – sammanhållen journalföring
Genom patientdatalagen och sekretessbrytande bestämmelser i OSL har vårdgivare fått möjligheten att under vissa förutsättningar ta del av varandras vårddokumentation genom direktåtkomst, s.k. sammanhållen journalföring.
Kännetecknande för direktåtkomst är bl.a. att den som önskar ta del av information hos exempelvis en annan vårdgivare på eget initiativ kan bereda sig åtkomst till informationen. Uppgifterna finns således potentiellt tillgängliga att ta del av utan att den som gjort uppgifterna tillgängliga behöver fatta ett formellt beslut om utlämnande till förmån för den som önskar ta del av uppgifterna. Enkelt uttryckt handlar sammanhållen journalföring således om att dela med sig av sin egen vårddokumentation och/eller ta del av vårddokumentation som andra vårdgivare har gjort tillgänglig. Sammanhållen journalföring ger därmed inte uttryck för tanken om ”en patient – en journal”, utan regelverket förutsätter att vårdgivare för sin egen journal och ansvarar för hanteringen av den.
Det är frivilligt för vårdgivare att samarbeta och skapa system för sammanhållen journalföring. Samtidigt måste en rad förutsättningar vara uppfyllda för att vårdgivare ska få nyttja möjligheterna att dela vårddokumentation genom direktåtkomst.
För det första gäller att patienten har en rätt att – efter ha blivit informerad om vad sammanhållen journalföring innebär – motsätta sig att vårddokumentation om honom eller henne görs tillgänglig för andra vårdgivare genom direktåtkomst. Det krävs således inget samtycke för att vårdgivare ska kunna dela med sig av patienternas uppgifter genom direktåtkomst, utan regleringen ger i stället uttryck för individens rätt att motsätta sig, s.k. opt-out.
Patienten har således att välja på att tyst samtycka eller uttryckligen motsätta sig att uppgifter görs tillgängliga för andra vårdgivare genom direktåtkomst. En grundläggande förutsättning i sammanhanget är dock att patienten informeras om att han eller hon faktiskt har något att ta ställning till. Sådan information ska lämnas innan uppgifterna görs tillgängliga i system för sammanhållen journalföring. Hur sådan information ska lämnas regleras inte i lagstiftningen, utan det är upp till hälso- och sjukvårdens aktörer att hitta lämpliga former som är väl avvägda och anpassade till olika förutsättningar.
Informationshantering inom hälso- och sjukvården SOU 2014:23
98
Genom praxis från Datainspektionen har det tydliggjorts att vårdgivarnas informationsplikt är central och de informationsinsatser som väljs måste vara anpassade för att kunna nå de patienter vars uppgifter avses ingå i sammanhållen journalföring. Exempelvis förekommer informationsinsatser i de olika länstidningar som finns, i kallelser till patientbesök, genom affischer och broschyrer på sjukhus och vårdcentraler. Vårdgivare som avser att tillgängliggöra patientuppgifter rörande patienter som finns i andra län än det i vilket vårdgivaren är verksam, kan även behöva använda sig av region- eller rikstäckande informationsinsatser för att nå patienterna. Som ett exempel på detta kan nämnas Karolinska Universitetssjukhuset som bl.a. informerat genom annonser i Dagens Nyheter.
Om patienten motsätter sig sammanhållen journalföring ska vårdgivaren spärra uppgifterna, dvs. se till att uppgifterna över huvud taget inte är elektroniskt tillgängliga genom direktåtkomst för andra vårdgivare. Åtkomst till sådana spärrade uppgifter får då ske på samma sätt som t.ex. då journaler fördes på papper, dvs. att uppgifterna kan lämnas ut efter sekretessprövning. Beslut om ett sådant utlämnande ska, efter förfrågan från patienten eller en vårdgivare som önskar ta del av uppgifterna, fattas av den vårdgivare som har spärrat uppgifterna. Om uppgifterna får lämnas ut kan det ske manuellt eller elektroniskt.
Vårddokumentation rörande de patienter som efter att ha blivit informerade valt att inte motsätta sig den sammanhållna journalföringen får däremot göras tillgängliga genom direktåtkomst. I sådant fall finns patientens uppgifter potentiellt tillgängliga för den som i en viss situation möter patienten och då har ett behov av att ta del av uppgifter en annan vårdgivare har gjort tillgängliga. För att personal i en sådan situation få bereda sig åtkomst till uppgifter som en annan vårdgivare har gjort tillgängliga krävs att
1. uppgifterna rör en patient som vårdgivaren har en aktuell
patientrelation med,
2. uppgifterna kan antas ha betydelse för att förebygga, utreda eller
behandla sjukdomar och skador hos patienten, och
3. patienten samtycker till det.
Det första kravet ovan, att det finns en aktuell patientrelation, är inte en regel om s.k. inre sekretess utan anger endast under vilka förutsättningar vårdgivaren som sådan får använda den direktåtkomst
SOU 2014:23 Informationshantering inom hälso- och sjukvården
99
som vårdgivaren medgetts genom systemet för sammanhållen journalföring. Härigenom begränsas den legala räckvidden i förhållande till den faktiska tillgången till andra vårdgivares uppgifter till att enbart omfatta de patienter som vårdas eller behandlas inom den egna verksamheten. Begreppet patientrelation är inte definierat i lagstiftningen. I Patientdatautredningens betänkande1 anförs att det normalt inte borde uppstå några tveksamheter huruvida en aktuell patientrelation föreligger eller inte. Enligt utredningen bör en patientrelation t.ex. anses avslutad då en intagen sjukhuspatient skrivs ut som färdigbehandlad utan inplanerade återbesök, efterkontroller eller liknande. Vidare ansåg utredningen att detsamma bör gälla om patienten skrivs ut för fortsatt vård eller uppföljning hos primärvård i annan vårdgivares regi och att man vid tveksamheter får överlåta till rättstillämpningen att från fall till fall bedöma om en patientrelation är pågående eller inte.
Vidare krävs att personalen som avser att ta del av uppgifter om patienten bedömer om uppgifterna kan antas ha betydelse för patientens vård eller behandling. Rekvisitet ”kan antas” är ett förhållandevis lågt ställt krav, men kräver ändå att ett ställningstagande görs. Genom bestämmelsen tydliggörs även att direktåtkomsten endast får användas för vårdändamål och inte för andra syften som exempelvis kvalitetssäkring och verksamhetsutveckling. Däremot får direktåtkomsten även användas för att utfärda sådant intyg om vården, som patienten begär.
Det tredje villkoret för åtkomst är att patienten samtycker till det. Med samtycke avses här ett aktivt samtycke från patienten till att direktåtkomst till en annan vårdgivares vårddokumentation används. Vidare följer att det ska vara fråga om ett samtycke enligt personuppgiftslagen (1998:204), dvs. att samtycket ska vara frivilligt, särskilt och otvetydigt. Kravet på att det ska vara ett samtycke enligt personuppgiftslagen innebär bl.a. att det endast är patienten själv, eller en legal ställföreträdare, som kan lämna ett samtycke. Något formellt krav på att samtycket ska vara uttryckligt eller att det ska dokumenteras finns däremot inte.
1 Patientdatautredningens huvudbetänkande; Patientdatalag, SOU 2006:82 s. 301.
Informationshantering inom hälso- och sjukvården SOU 2014:23
100
5.2.5 Enskilds möjlighet att ta del av uppgifter genom direktåtkomst
I äldre lagstiftning fanns bestämmelser som omöjliggjorde för vårdgivare att ge patienter direktåtkomst till journaluppgifter om patienten själv. Genom patientdatalagen har dock möjliggjorts för vårdgivare att medge en enskild direktåtkomst till sådana uppgifter om den enskilde som får lämnas ut till honom eller henne och som behandlas för ändamålet vårddokumentation. Bestämmelsen innebär således en möjlighet för en vårdgivare, ingen skyldighet, att erbjuda patienten direktåtkomst till journaluppgifter.
För att understryka att en sekretessprövning i enlighet med 25 kap. 6 § OSL är nödvändig i samband med att uppgifter lämnas ut till patienten, vare sig det görs manuellt eller elektroniskt, anges i patientdatalagen att direktåtkomsten endast får avse uppgifter som
får lämnas ut till patienten.
Under samma förutsättningar får patienten även medges direktåtkomst till dokumentation om den åtkomst till uppgifter som förekommit om den enskilde, s.k. logglistor.
5.2.6 Socialstyrelsens föreskrifter (SOSFS 2008:14)
Socialstyrelsen har med stöd av bl.a. patientdataförordningen (2008:360) utfärdat föreskrifter som kompletterar patientdatalagens bestämmelser om vårdgivares behandling av personuppgifter i hälso- och sjukvården.2
Föreskrifterna, som delvis har utfärdats efter samråd med Datainspektionen, innehåller bestämmelser om ansvar för informationssäkerhet, rutiner för journalföring och rutiner för hantering av patientuppgifter. Dessutom finns särskilda bestämmelser om enskild verksamhets upphörande.
I kapitlet om informationssäkerhet finns exempelvis krav på behörighetsstyrning och åtkomstkontroll samt att vårdgivare som använder öppna nät (t.ex. Internet eller Sjunet) för att hantera patientuppgifter ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att
2 Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.
SOU 2014:23 Informationshantering inom hälso- och sjukvården
101
1. överföring av patientuppgifter görs på ett sådant sätt att ingen
obehörig kan ta del av uppgifterna, och
2. åtkomst till patientuppgifter föregås av stark autentisering.
Vidare finns detaljerade krav på hur åtkomst till patientuppgifter får gå till såväl inom en vårdgivares verksamhet som när direktåtkomst till sammanhållen journalföring nyttjas. Bland annat ställs krav på att patientuppgifter inte görs tillgängliga utan att användaren gör ett antal aktiva val, dvs. ställningstaganden till om han eller hon har rätt att ta del av de aktuella uppgifterna.
Det finns även närmare bestämmelser som rör patientens möjlighet att genom direktåtkomst få ta del av sina patientuppgifter, dvs. journaluppgifter som rör patienten själv. Vårdgivare som medger en enskild direktåtkomst ska även ansvara för att det finns ett system för bedömning av de uppgifter som kräver ett särskilt skydd i förhållande till den enskilde och som inte ska lämnas ut genom direktåtkomst.
När en enskild verksamhet ska upphöra finns bestämmelser om att vårdgivaren ska säkerställa att de patientjournaler som finns i verksamheten tas om hand på ett sådant sätt att obehöriga inte kan ta del av dem. Om journalerna inte kan tas om hand på ett sådant sätt ska vårdgivaren ansöka hos Socialstyrelsen om omhändertagande av patientjournalerna.
5.2.7 Verksamhetsuppföljning m.m. inom en vårdgivares verksamhet
I och med patientdatalagens ikraftträdande undanröjdes några hinder i äldre lagstiftning för vårdgivares möjligheter att följa upp, utveckla och kvalitetssäkra sin verksamhet. Av lagens ändamålsbestämmelse framgår att vårdgivare, inom sin egen verksamhet, får hantera personuppgifter för att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. Ofta innebär det att personuppgifter som dokumenterats för vård- och behandlingsändamål i den individinriktade verksamheten, sedan används för verksamhetsuppföljning på olika nivåer inom vårdgivarens verksamhet. Men det kan även vara aktuellt att hantera andra personuppgifter, som inte samlats in i vården av patienten, för att utveckla verksamheten. De begränsningar till samkörning av olika register,
Informationshantering inom hälso- och sjukvården SOU 2014:23
102
t.ex. journalsystem och patientadministrativa system, som fanns i tidigare lagstiftning har också tagits bort.
Dessutom har de sekretessbrytande bestämmelserna mellan olika nämnder i en kommun eller ett landsting gjort det möjligt för landsting och kommuner att följa upp sin verksamhet, även om verksamheten drivs av flera olika nämnder eller sådana kommunala företag som avses i 2 kap. 4 § OSL.
Även om det nu finns bättre förutsättningar för vårdgivare att hantera personuppgifter för att följa upp sin egen verksamhet gäller alltjämt de grundläggande kraven i personuppgiftslagen. Det innebär exempelvis att det bara är tillåtet att basera verksamhetsuppföljningen på personuppgifter om det inte är tillräckligt med hänsyn till ändamålet att använda indirekt utpekande eller avidentifierade uppgifter.
5.2.8 Verksamhetsuppföljning över vårdgivargränser
I patientdatalagen finns, förutom regelverket för regionala och nationella kvalitetsregister, inga särskilda bestämmelser som syftar till att möjliggöra verksamhetsuppföljning över vårdgivargränser.
Patientdatautredningen ansåg exempelvis inte att det var motiverat att tillåta direktåtkomst vid sammanhållen journalföring för andra ändamål än patientvård eller för att på patientens begäran utfärda intyg. Inga andra ändamål är således tillåtna, inte ens med patientens samtycke.
Samtidigt anförde utredningen3att det sagda inte hindrar vårdgivare A från att följa upp den egna verksamheten genom att använda den egna vårddokumentationen och, om det verkligen bedöms vara nödvändigt, den vårddokumentation hos vårdgivare B som vårdgivare A med patientens samtycke tagit del av genom sin direktåtkomst och som lagts till grund för det egna arbetet. Resonemanget utvecklades emellertid inte ytterligare och det får därmed anses oklart hur och under vilka närmare förutsättningar en sådan uppföljning skulle ske.
I övrigt är verksamhetsuppföljning över vårdgivargränser, åtminstone teoretiskt, möjligt om en sekretessprövning utfaller i bedömningen att uppgifterna kan lämnas ut till den vårdgivare som ska göra den gemensamma uppföljningen. Det låter sig dock inte göras några generella uttalanden kring i vilka fall ett sådant utläm-
SOU 2014:23 Informationshantering inom hälso- och sjukvården
103
nande kan göras. Jämfört med vad som gäller i den individinriktade verksamheten torde en sekretessprövning enligt OSL oftare leda till bedömningen att uppgiften inte kan lämnas ut, om syftet med utlämnandet är verksamhetsuppföljning och inte att bereda den enskilde nödvändig vård och behandling.
5.2.9 Särskilt om nationella kvalitetsregister
Genom patientdatalagen har hanteringen av personuppgifter i nationella och regionala kvalitetsregister reglerats. Med nationella kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.
Kvalitetsregistren ska även möjliggöra jämförelser inom hälso- och sjukvården på nationell eller regional nivå. I linje med detta gäller bestämmelserna i 7 kap. patientdatalagen för nationella eller regionala kvalitetsregister i vilka personuppgifter samlats in från flera vårdgivare. Regelverket ger därmed stöd för en särskilt form av verksamhetsuppföljning över vårdgivargränser.
Ett grundläggande krav för att få registrera uppgifter i ett nationellt kvalitetsregister är att patienten inte motsatt sig det. Det är således fråga om samma förutsättningar för s.k. opt-out som gäller vid sammanhållen journalföring. För att den enskilde ska kunna tillvarata sin rätt att ta ställning till medverkan i den verksamhetsuppföljning som görs i ett kvalitetsregister är den personuppgiftsansvarige skyldig att, innan uppgifterna registreras, lämna patienten utförlig information om den hantering av personuppgifter som gäller för det aktuella kvalitetsregistret.
Informationsplikten innebär således att de personuppgiftsansvariga aktivt måste uppmärksamma patienten på villkoren för registrering, t.ex. genom att hänvisa till och tillhandahålla den relevanta informationen. Information ska bl.a. lämnas om ändamålet med registret, vilka kategorier av uppgifter som behandlas, vem som är personuppgiftsansvarig, att registreringen är frivillig, att patienten när som helst har rätt att få uppgifter om sig själv utplånade ur registret, vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till m.m.
När personuppgifter registreras i ett kvalitetsregister innebär det att uppgifterna, såväl i offentlighets- och sekretesslagens som i personuppgiftslagens mening, lämnas ut från den inrapporterande
Informationshantering inom hälso- och sjukvården SOU 2014:23
104
vårdgivaren till den mottagande aktören. För att möjliggöra detta utlämnande har det införts en bestämmelse i offentlighets- och sekretesslagen som bryter sekretessen när uppgifter lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen.
Personuppgifter i nationella kvalitetsregister får primärt behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Det handlar således i första hand om att följa upp medicinsk och annan kvalitet i själva vårdinsatserna. Som huvudregel får kvalitetsregister därmed endast innehålla sådana personuppgifter som behövs för de ändamål för vilket det enskilda kvalitetsregistret verkar för, exempelvis att säkra och utveckla kvaliteten i vården av en viss diagnos, t.ex. diabetes, eller för en viss åtgärd, t.ex. höftoperationer.
Samtidigt får de personuppgifter som samlats in för det primära ändamålet även behandlas för vissa andra, sekundära ändamål, nämligen för framställning av statistik och forskning inom hälso- och sjukvårdsområdet. Med det särskilda ändamålet framställning av statistik avses inte sådana uppgifter som sammanställs statistiskt t.ex. i de kontinuerliga återrapporteringar eller i de årsböcker som framställs i själva kvalitetssäkringsarbetet. Sådan statistikframställning omfattas av det primära ändamålet kvalitetssäkring. Det särskilda statistikändamålet avser således statistik som kan användas för andra syften än att förbättra vårdens kvalitet.
Att det är tillåtet att personuppgifter som samlats in för kvalitetssäkring även används i forskning inom hälso- och sjukvårdsområdet innebär emellertid inget undantag från övriga rättsliga krav för att forskning på känsliga personuppgifter ska få äga rum. Det innebär att krav på etikprövning alltjämt gäller om forskning ska göras på uppgifter som registrerats i nationella kvalitetsregister.
Vidare anges i patientdatalagen att uppgifter även får behandlas för att lämnas ut till någon som ska använda uppgifterna för något av de tidigare nämnda tillåtna primära eller sekundära ändamålen. Dessutom anges som ett sista tillåtet ändamål visst fullgörande av uppgiftsskyldighet som följer av lag eller förordning.
Det är uttryckligen förbjudet att behandla personuppgifter i nationella kvalitetsregister för andra ändamål än de nämnda, dvs. för
1. att systematiskt och fortlöpande utveckla och säkra vårdens
kvalitet,
2. framställning av statistik,
SOU 2014:23 Informationshantering inom hälso- och sjukvården
105
3. forskning inom hälso- och sjukvården,
4. utlämnande till den som ska använda uppgifterna för något av
ändamålen i punkterna 1–3, och
5. fullgörande av någon annan uppgiftsskyldighet som följer av lag
eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen.
Det ska uppmärksammas att det finns ett undantag från ovanstående förbud att behandla personuppgifter för andra ändamål än de uppräknade, nämligen om den enskilde har lämnat ett särskilt och uttryckligt samtycke till en personuppgiftsbehandling för andra ändamål.
Personuppgiftsansvaret för den behandling av personuppgifter som föranleds av registrering i nationella kvalitetsregister kan sägas vara uppdelad på två nivåer, en lokal och en central nivå. För den personuppgiftsbehandling som vårdgivare utför när de samlar in och registrerar uppgifter i ett nationellt kvalitetsregister, eller annars behandlar registrerade personuppgifter, är respektive vårdgivare själv personuppgiftsansvarig. I detta personuppgiftsansvar ingår att personuppgifterna hanteras i enlighet med patientdatalagens krav, exempelvis att information har tillhandahållits patienten, att patienten inte motsatt sig registrering, att uppgifterna är korrekta m.m.
För den centrala behandlingen av inrapporterande uppgifter från samtliga medverkande vårdgivare ansvarar emellertid en eller flera utpekade personuppgiftsansvariga. Av patientdatalagen följer att endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister (7 kap. 7 § PDL). Det har fått till följd att det för varje nationellt kvalitetsregister har utsett en centralt personuppgiftsansvarig myndighet, i de flesta fall en landstingsstyrelse eller en sjukhusstyrelse om sjukhuset är att betrakta som en egen myndighet. Till det centrala ansvaret hör exempelvis ansvar för övergripande säkerhetsfrågor, för att felaktiga uppgifter rättas, för att utplåning kan göras på patientens begäran, för att gallring och arkivering görs i enlighet med lagstiftningen m.m.
Patientdatalagen medger att en vårdgivare får ha direktåtkomst till de uppgifter som vårdgivaren lämnat till ett regionalt eller nationellt kvalitetsregister. Direktåtkomsten kan användas av den
Informationshantering inom hälso- och sjukvården SOU 2014:23
106
inrapporterande vårdgivaren för att lokalt arbeta med att utveckla och säkra verksamhetens kvalitet.
Till skillnad mot vad som gäller för vårddokumentationen anges som huvudregel att uppgifter i kvalitetsregister ska gallras när de inte längre behövs för ändamålet kvalitetssäkring. Arkivmyndigheten kan dock genom beslut bestämma att uppgifterna ska bevaras under längre tid för historiska, statistiska eller vetenskapliga ändamål.
107
6 En ändamålsenlig informationshantering – iakttagelser och reflektioner
6.1 Bakgrund
När patientdatalagen (2008:355), förkortad PDL, trädde i kraft hade den varit efterlängtad i många år. Patientjournallagen (1985:562) och vårdregisterlagen (1998:544) som hade gällt fram till dess var omoderna och svåra att tillämpa på modern kommunikation. Regelverket för hälso- och sjukvårdens hantering av personuppgifter ansågs splittrad och otydlig.1Det var därför många som såg fram mot den nya lagen. Nu skulle det äntligen bli möjligt att initiera utvecklingsarbeten för en modern informationshantering där ändamålsenliga tekniska lösningar skulle användas för utbyte av information över vårdgivargränserna. Till viss del handlade det även om att sådant informationsutbyte som redan hade börjat utvecklats skulle bli laglig, exempelvis utbyte av uppgifter genom direktåtkomst mellan vårdgivare.
Samtidigt med att patientdatalagen trädde i kraft den 1 juli 2008 började även Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården att gälla. I föreskrifterna finns mer detaljerade krav på vårdgivarna avseende informationssäkerhet och journalföring. Under våren 2009 gavs Socialstyrelsens handbok till föreskrifterna ut på internet.
Såväl Socialstyrelsen, Datainspektionen och Sveriges Kommuner och Landsting (SKL) genomförde under första åren olika satsningar för att informera om den nya lagen; konferenser, utbildningsdagar genomfördes och olika former av informationsmaterial togs fram.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
108
Entusiasmen var stor från myndighetshåll, i kommuner och landsting, bland privata vårdgivare och bland leverantörer och itutvecklare. Patientdatalagen erbjöd nya möjligheter till informationsutbyte mellan olika vårdgivare och tydliggjorde hur vårdgivare måste arbeta med att tilldela behörigheter och kontrollera hur åtkomsten används. Lagen erbjöd dessutom nya möjligheter för patienterna att förfoga över hur åtkomsten till uppgifterna skulle få användas. Och gjorde det tillåtet för vårdgivarna att ge patienten själv elektronisk åtkomst till sin journal. En annan nyhet var att de nationella och regionala kvalitetsregistren blev reglerade i lag.
Sverige har kommit långt när det gäller användning av it-system som stöd i den dagliga verksamheten och för utveckling samt när det gäller säkerhet och behörighet. Staten och huvudmännen har gjort stora investeringar för att skapa goda grundförutsättningar för en mer ändamålsenlig informationshantering. Satsningar har gjorts och görs på exempelvis it-infrastruktur, säkerhetslösningar och för att införa en nationell informationsstruktur och ett nationellt fackspråk. Vidare håller man nu på att införa bl.a. nationell patientöversikt, sammanhållna journalsystem och elektroniska beslutsstöd inom hela vård- och omsorgssektorn.
Landstingen har arbetat med att införa it-stöd för vårddokumentation under många år och i dagsläget finns elektroniska journalsystem vid i princip alla sjukhus samt inom hela primärvården. It-kostnaderna i landstingen uppgick till uppskattningsvis 8 miljarder kronor 2012, vilket är 3 procent av den totala kostnaden för landstingens hela verksamhet. Antalet it-system inom hälso- och sjukvården är relativt stort. Utöver elektronisk journalhantering, där det i dag finns sex större system i Sverige, finns en mängd olika dokumentationssystem, t.ex. för läkemedelshantering, mödrahälsovård, operationsplanering, akutsjukvård och patientadministration.
Det finns alltså i stort en positiv utveckling när det gäller ehälsa. Men det finns också många utmaningar. Huvudmännen för vård och omsorg använder fortfarande många gamla system för informationshantering. System som inte är helt anpassade till de krav som måste ställas på modern informationshantering. Datainspektionen har t.ex. i sin tillsyn observerat att vårdgivarna har haft problem med att anpassa it-systemen till de krav som ställs patientdatalagen. Även Riksrevisionen har pekat på ett antal
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
109
utmaningar för hälso- och sjukvårdens informationshantering.2Vidare har i många olika sammanhang uppmärksammats att lagstiftningen upplevs hindra en önskad utveckling. Utredningen har även kunnat konstatera att det, på flera olika nivåer i hälso- och sjukvården, finns en relativt utbredd osäkerhet kring hur patientdatalagen ska tillämpas. Nya organisatoriska förutsättningar är ytterligare en faktor som har kommit att påverka möjligheterna till en ändamålsenlig informationshantering i hälso- och sjukvården.
6.1.1 Vårt uppdrag och våra utgångspunkter
Utredningen har som ett övergripande uppdrag att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten samt vilka hinder (juridiska, tekniska etc.) för en sådan informationshantering som finns i dag och i förekommande fall i vilka lagar dessa hinder finns.
Under utredningens arbete har det blivit tydligt att många faktorer måste samspela om hälso- och sjukvården ska få till stånd en informationshantering som bidrar till ännu bättre resultat för patienterna. Lagstiftningen spelar naturligtvis en viktig roll för att tillhandahålla möjligheter och ställa krav som är väl anpassade till de behov som finns för att patienten ska få en god och säker vård alldeles oavsett vilka vårdgivare patienten möter på sin resa genom hälso- och sjukvården. Andra grundläggande faktorer som i olika grad har direkt påverkan på förutsättningarna för en ändamålsenlig informationshantering är exempelvis hälso- och sjukvårdens organisatoriska strukturer, ledning och styrning, professionskulturer, arbetssätt, itutveckling och informatik. Utredningens utgångspunkt är att alla dessa faktorer måste beaktas när frågor om informationshantering analyseras.
I det följande redogör vi översiktligt för ett antal faktorer som utredningen bedömer som centrala för möjligheterna att skapa en ännu mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården.
2 Riksrevisionens rapport (RiR 2011:19) Rätt information vid rätt tillfälle inom vård och omsorg – samverkan utan verkan.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
110
6.2 Strukturförändringarna i vården påverkar behov och möjligheter till informationsutbyte
Hälso- och sjukvården har alltsedan patientdatalagen trädde i kraft genomgått stora strukturförändringar, varav en av de mest markanta är ökningen av andelen privata vårdgivare. Siffror från SKL visar att landstingens köp av vårdtjänster från privata leverantörer har ökat från 18 miljarder kronor till cirka 32 miljarder kronor under perioden 2006–2012. Vi har i tidigare avsnitt redovisat att det bara i Stockholms läns landsting finns, förutom offentliga vårdleverantörer, omkring 3 000 privata verksamheter som bedriver hälso- och sjukvård (inklusive företagare på nationella taxan och inom tandvården). Även om mångfalden av privata och offentliga vårdgivare skiljer sig åt i olika delar av landet pekar den sammantanga utvecklingen på att mångfalden ökar och att de privata vårdgivarna blir fler. Samtidigt är det, i allt väsentligt, kommuner och landsting som finansierar såväl de offentliga som de privata vårdgivarnas verksamhet. Tillsammans med det ökade antalet vårdgivare har även specialiseringen inom hälso- och sjukvården ökat.
Utvecklingen har medfört att det ofta är fler aktörer än tidigare inblandade i vården av samma patient. Det finns många exempel på detta och här kan bland annat nämnas den mångfald av vårdgivare i ambulanssjukvården som exempelvis finns i Stockholms läns landsting. Det är i dag inte ovanligt att den privata vårdgivare som står för insatserna i ambulansen assisteras av en akutbil med läkare eller sjuksköterskor från en annan privat vårdgivare. För patienter som är i behov av koordinerade insatser från primärvården och specialistvården är det i dag snarare regel än undantag att samarbetet inbegriper två eller fler självständiga vårdgivare. Bara i byggnaderna som utgör Danderyds sjukhus finns i dag, såvitt utredningen kunnat bedöma, åtminstone sex olika vårdgivare som samarbetar i vården av patienterna. Utvecklingen ser i stort likadan ut i den landstingsfinansierade och i den kommunalt finansierade hälso- och sjukvården. Även i kommunal hälso- och sjukvård har antalet vårdgivare som bedriver hälso- och sjukvård i särskilda boenden eller i hemsjukvården ökat. Inte sällan kan även två eller fler vårdgivare i kommunal hälso- och sjukvård behöva samarbeta tätt i vården av patienterna, exempelvis om en vårdgivare står för verksamheten under dagtid och en annan under kvällstid. Eftersom landstingen fortfarande är den aktör som står för läkarinsatserna i särskilda boenden och i hemsjukvården har patienter i den kommunala hälso- och sjukvården dessutom alltid
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
111
behov av insatser från en vårdgivare från den landstingsfinansierade hälso- och sjukvården.
Sammantaget har de organisatoriska förändringarna påverkan både på behoven av och möjligheterna till en ändmålsenlig informationshantering. I vården av enskilda patienter finns i dag ett grundläggande behov av att kunna utbyta information mellan två eller fler vårdgivare. Samtidigt är de rättsliga förutsättningarna för att utbyta information olika utformade beroende på om vården ges av flera eller endast av en vårdgivare. Möjligheterna att utbyta information är med den lagstiftning vi har i dag beroende av hur vården är organiserad. Samtidigt som det kommit nya möjligheter att göra nödvändig information tillgänglig i hälso- och sjukvården så innebär strukturförändringarna att förutsättningarna för nödvändigt informationsutbyte har blivit sämre. Rådande regelverk innebär att villkoren för en effektiv och säker informationshantering är starkt beroende av hur landstinget eller kommunen organiserar sig. Ett landsting eller en kommun med få privata vårdgivare i sitt offentligfinansierade system har i dag väsentligt bättre legala förutsättningar för en ändamålsenlig informationshantering än ett landsting eller en kommun med många privata utförare i den offentligt finansierade verksamheten.
Regelverkets organisatoriska fokus har inte endast påverkan på möjligheterna att hantera och utbyta information i den individinriktade patientvården, utan även på möjligheterna att säkra och utveckla kvaliteten i den hälso- och sjukvård som patienterna erbjuds. Inte sällan behöver dokumenterade personuppgifter om enskilda individer, diagnoser, åtgärder, bakgrunden till genomförda insatser, resultaten av dessa och patienters samt närståendes upplevelser av hälsorelaterad livskvalitet m.m. ligga till grund för ett ständigt förbättringsarbete. Dagens hälso- och sjukvård med patientrörlighet, valfrihet för individer, ökad mångfald av vårdgivare och en ökad specialisering ställer delvis nya krav på kvalitetssäkringen. Även den informationshanteringen behöver därför ta sin utgångspunkt i och följa patienten i dennes möten med kommunala, landstingsdrivna och privata vårdgivare under ett visst vårdåtagande eller vårdprocess.
Det finns mot denna bakgrund anledning att analysera hur det rättsliga regelverket kan utformas så att en ändamålsenlig informationshantering kan åstadkommas oavsett hälso- och sjukvårdens organisation och alldeles oberoende om den enskilde patienten får sitt hälso- och sjukvårdsbehov tillgodosett av en eller fler vårdgivare.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
112
6.3 Informatik och it-frågor
Det har under utredningens arbete blivit tydligt att såväl hälso- och sjukvården som socialtjänsten har behov av att utveckla och implementera ett nationellt fackspråk och en mer strukturerad dokumentation. Det är på många sätt en grundläggande förutsättning för ökad kvalitet och säkerhet samt möjligheter till jämförelser. I ett vidare perspektiv påverkar det även möjligheterna till en jämlik hälso- och sjukvård för alla, oavsett vilket landsting eller vilken kommun medborgaren bor i eller vilken vårdgivare medborgaren väljer för att få sitt behov av hälso- och sjukvård tillgodosett. Eftersom en strukturerad dokumentation enligt ett nationellt fackspråk på ett annat sätt än en informationshantering med mer fria ramar, kan bli kunskapsstyrande och mer direkt påverka arbetssätt och arbetsflöden i hälso- och sjukvården, kan det i viss mån även betraktas som en demokrati- och rättvisefråga.
Hälso- och sjukvårdens informationshantering handlar i dag om så mycket mer än att yrkesutövare i efterhand ska dokumentera sina bedömningar, ställningstaganden och åtgärder kring enskilda patienter. Genom en mer strukturerad journalföring kan hälso- och sjukvårdspersonalen i större utsträckning dokumentera i anslutning till hälso- och sjukvårdsinsatserna och då få stöd direkt i arbetsflödet. Förutom att en strukturerad dokumentation kan bidra till att det blir lättare att göra rätt, kan det även leda till en mer jämlik vård genom att det blir styrande för hur all personal ska agera och dokumentera i olika situationer.
Utredningen har under arbetet exempelvis besökt de amerikanska hälso- och sjukvårdsorganisationerna Kaiser Permanente och Intermountain Healthcare för att bland annat ta del av deras utvecklingsarbeten kring informationshantering och förbättringsarbete i hälso- och sjukvården. En av erfarenheterna från besöket var bland annat det målmedvetna arbetet som lagts ner just på att få informationshanteringen att stödja de centrala arbetsprocesserna i verksamheten. Intermountain Healthcare hade exempelvis infört strukturerad dokumentation med kopplade beslutsstöd för ett 30-tal olika processer i hälso- och sjukvården. För att ständigt utveckla arbetet och se till att den strukturerade dokumentationen hela tiden förändras och anpassas i takt med att ny kunskap genereras om vad som betraktas som hög kvalitet och säkerhet i verksamheten fanns även fastställda och implementerade organisatoriska strukturer för denna typ av kunskapsstyrning. Enligt utredningens bedömning finns
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
113
flera paralleller mellan dessa organisationers strävan efter att skapa en informationshantering som leder till bättre resultat för patienterna och den utveckling som vi har kunnat se även i Sverige.
En ändamålsenlig hantering av dokumenterade uppgifter kan enligt utredningen exempelvis leda till att olika former av anpassade beslutsstöd tas fram och används i den patientnära verksamheten. Beslutsstöd som exempelvis utifrån den enskilda patientens förutsättningar, tillsammans med inbyggda kunskapskällor, kan ge hälso- och sjukvårdspersonalen bättre bedömningsunderlag på ett säkrare och mer effektivt sätt än manuella journalgenomgångar. Informationshanteringen i hälso- och sjukvården blir då inte enbart fokuserad på att uppgifter dokumenteras, utan även hur de används för att skapa bästa möjliga nytta för patienten. Dessutom ökar möjligheterna till uppföljning för att utveckla och säkra kvaliteten i hälso- och sjukvården samt göra jämförelser över landet.
Vidare kan konstateras att informationshanteringen i hälso- och sjukvården i dag även handlar mycket om hur informationen presenteras för hälso- och sjukvårdspersonalen. Med en mer strukturerad dokumentation ökar sannolikt förutsättningarna för att utforma journalsystemens gränssnitt efter de individuella användarnas behov, så att den enskilde yrkesutövararen snabbt och säkert får tillgång till de uppgifter som är nödvändiga för arbetets utförande. Förutom att det kan bidra till en ökad kvalitet och effektivitet i hälso- och sjukvården medför det även att patienternas behov av skydd för den personliga integriteten tillvaratas, genom att uppgifter som användaren inte har behov av inte heller exponeras i lika stor utsträckning som i dag.
Denna utveckling mot en mer strukturerad dokumentation enligt ett nationellt fackspråk kan därmed även ha en avgörande påverkan på möjligheterna att utveckla ett ändamålsenligt system för tilldelning av behörighet för åtkomst, så att varje användare i systemen får en individuell behörighet som är anpassad och begränsad till den åtkomst som behövs för att utföra arbetet.
I sammanhanget kan även nämnas att Myndigheten för vårdanalys har genomfört en studie som identifierar de huvudsakliga utvecklingsområden för en mer effektiv användning av läkares tid och kompetens inom hälso- och sjukvården i Sverige.3 Ett av de utvecklingsområden som identifierat är att it-stöden måste förbättras. Läkare arbetar i it-system som inte upplevs som användar-
3 Myndighetens för vårdanalys rapport (2013:9); Ur led är tiden. Fyra utvecklingsområden för en mer effektiv användning av läkares tid och kompetens.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
114
vänliga. Konkreta brister som nämns i rapporten är dålig överskådlighet, dålig läsbarhet, osäkerhet om innebörden av menyer och flikar, avsaknad av sökfunktioner, osäkerhet om begrepp och termer och dålig intuitivitet. Informationen i systemen är inte strukturerade och presenterade på ett sätt som underlättar arbetet. Av rapporten framkommer även att läkare använder flera olika itsystem, men att kompabiliteten mellan systemen upplevs som bristfällig. Flera parallella system medför ständiga in- och utloggningar. Information överförs inte alltid automatiskt mellan olika system, vilket leder till konsekvenser ut effektivitets- arbetsmiljö- och patientsäkerhetsperspektiv.
Dessa iakttagelser bekräftas av rapporten Störande eller stödjande.4I rapporten presenteras tio punkter som behöver prioriteras i arbetet med att utveckla eHälsosystemens användbarhet. Av prioriteringsområdena kan t.ex. nämnas att it-systemen måste förvaltas, utvärderas och tillsynas och kontinuerligt optimeras i förhållande till användbarheten i den verksamhet som ska stödjas.
Utredningen har även identifierat ett behov av ökad kunskap om lagstiftningen i samband med framtagandet av journalsystem och enskilda tekniska funktioner. Genom våra kontakter med företrädare för hälso- och sjukvården har vi kunnat ta del av exempel där it-stöd inte har utformats på ett ändamålsenligt sätt. Det finns med avseende på detta både exempel på när it-stöden inte gör det möjligt för användarna att bedriva sitt arbete i enlighet med de krav som ställs upp i integritetsskyddslagstiftningen och exempel där kraven i lagstiftningen har implementerats på ett olämpligt eller alltför långtgående sätt. Eftersom journalsystemen ofta är det gränssnitt där hälso- och sjukvårdspersonalen möter den tillämpade juridiken, blir effekterna av olämplig eller felaktig implementering extra stora. Det kan enligt utredningens uppfattning inte uteslutas att brister i it-stödens utformning i vissa delar kan spilla över på hälso- och sjukvårdspersonalens frustration över vad de upplever som rättsliga hinder.
Sammantaget finns mot ovanstående bakgrund anledning att analysera vilka åtgärder, i form av förändrad lagstiftning och andra insatser, som ytterligare kan stimulera en önskad utveckling i frågor som relaterar till informatik och it.
4 Störande eller stödjande. eHälsosystemens användbarhet 2013. Slutrapport från projektet eHälsosystemens användbarhet 2013.
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
115
6.4 Patientdatalagen och tillämpningsproblemen
Informationshanteringen inom hälso- och sjukvården ska vara organiserad så att den tillgodoses patientsäkerhet, god kvalitet samt främjar kostnadseffektivitet. Personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem. Det är så patientdatalagens syfte är uttryckt (1 kap. 2 § PDL).
Patientdatalagen ska alltså främja kvalitet och patientsäkerhet i vid bemärkelse. God och säker vård innefattar såväl professionella vårdinsatser som säker hantering av de uppgifter som hör samman med hälso- och sjukvårdsinsatserna. Säker hantering av information innebär således både att uppgifterna måste finnas tillgängliga när det behövs och att de måste skyddas från obehörigas åtkomst.
En tillgänglighetsreform som inte fullt slagit igenom
Patientdatalagen ersatte patientjournallagen och vårdregisterlagen. Patientjournallagen reglerade journalföringen och vårdregisterlagen reglerade automatiserad behandling av personuppgifter i s.k. vårdregister. Den nya lagen har bland annat tillfört nya möjligheter till informationsutbyte mellan vårdgivare samt preciserat de integritetsskyddkrav som ska gälla vid hantering av så känsliga personuppgifter som det är fråga om inom hälso- och sjukvården. I patientdatalagen finns dock inga uttryckliga krav på vårdgivarna att se till att vårddokumentationen är tillgänglig och användbar eller att informationssystemen som används i verksamheten ska vara ändamålsenliga. De regler som är till för att skydda uppgifterna från obehörig åtkomst blev genom den nya lagen betonade, medan lagens övriga syften inte uttrycktes genom materiella regler. Det här kan enligt utredningens bedömning vara en av orsakerna till att lagen inte har uppfattats som den tillgänglighetsreform som den är tänkt att vara.
Patientdatalagen syftar till att främja både patientsäkerhet och integritet vid behandling av personuppgifter. Detta kommer för det mesta inte fram i den allmänna debatten. Det är ofta de bestämmelser i lagen som syftar till att skydda uppgifterna från obehörig spridning som blir omdiskuterade eller föremål för frågor om tillämpning. Lagens syfte att säkerställa att rätt uppgifter också
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
116
finns tillgängliga för behöriga användare har tenderat att hamna i skymundan bakom den nog så viktiga integritetsfrågan.
För att en lagstiftning ska få avsedd effekt på ett sådant sätt att lagstiftningens intentioner förverkligas är det, enligt vår bedömning, viktigt att lagstiftningens olika värden är uppenbara för dem som ska tillämpa lagstiftningen. Det kan därför finnas skäl att överväga om regleringen av hälso- och sjukvårdens personuppgiftsbehandling på ett tillräckligt tydligt sätt lyfter fram vikten av att den som arbetar i hälso- och sjukvården har tillgång till den information som behövs för att ge patienten bästa möjliga vård och omhändertagande och hur det kan göras utan att för den skull låta skyddet för den personliga integriteten hamna i skymundan.
Tillämpningsproblem
Allt sedan patientdatalagens ikraftträdande har det även pågått en allmän diskussion huruvida lagen är ändamålsenlig med hänsyn till syftet med lagen och förutsättningarna i hälso- och sjukvården. Av de frågor från yrkesverksamma och representanter för vårdgivare som kommer in till exempelvis Socialstyrelsen, Datainspektionen, regeringskansliet och Sveriges Kommuner och Landsting framgår att det finns en osäkerhet om hur lagen ska tillämpas. Även utredningen har genom hela arbetets gång i samband med möten, konferenser och studiebesök bevittnat att det finns både en osäkerhet kring lagens tillämpning, men även ett missnöje med hur lagen i olika avseenden är utformad. Vårdgivare har även framfört att de saknat stöd vid tolkning av lagen vilket skapat problem i tillämpningen. Detta lyser också igenom i den debatt om lagen som förts av hälso- och sjukvårdspersonal bl.a. i Läkartidningen.5
Det har även i debattartiklar i dagspress höjts röster för att patientdatalagen inte är ändamålsenlig och bör ändras.6Företrädare för Sveriges Yngre Läkares Förening, SYLF, har även i en debattartikel uttalat att föreningen anser att patientdatalagen är för strikt utformad och riskerar att försämra patientsäkerheten.7Vidare har representanter för Läkarförbundets centralstyrelse och ordföranden i SYLF m.fl. i Dagens Medicin framfört att patient-
5 Flera artiklar i Läkartidningen, bl.a. i nr 15 2013 Patientdatalagen ger ansvariga tjänstemän
huvudbry.
6 Exempelvis Svenska Dagbladet, 2012-12-30, Läkare förbjuds att läsa journaler. 7 Svenska Dagbladet, 2012-10-25, Patientdatalagen är alltför strikt formad.
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
117
datalagen skapar en onödig osäkerhet bland vårdpersonal, patienter och allmänhet och av den anledningen borde moderniseras.8
Att det finns oklarheter i tillämpningen av patientdatalagen har även uppmärksammats i en rapport från 2013 framtagen av Svensk sjuksköterskeförening, Svenska Läkaresällskapet, Sveriges Läkarförbund, Vårdförbundet och Kommunal.9 Det behövs rättsligt stöd för att kunna hantera och utbyta information på ett enkelt, säkert och etiskt försvarbart sätt. I dag finns det enligt rapporten oklarheter ute i verksamheterna om vad som är juridiskt möjligt. Användare av it-system uppfattar att lagstiftningen förhindrar informationsdelning, uppföljning, utvärdering och kvalitetssäkring av den egna verksamheten.
Även Riksrevisionen konstaterade i sin rapport Rätt information
vid rätt tillfälle inom vård och omsorg – samverkan utan verkan? att
vägledningen för att tillämpa lagen har varit otillräcklig.
I rapporten Ur led är tiden har Myndigheten för vårdanalys identifierat att värdet av viss patientrelaterad administration kan ifrågasättas i relation till arbetsinsatsen.11Kraven på patientrelaterad dokumentation upplevs ha ökat, särskilt vad gäller patientjournalens innehåll. Särskilt kravet på signering av journalanteckningar ifrågasätts. Det nämns att flera landstingsföreträdare tvivlar på om signeringskravet verkligen bidrar till en högre patientsäkerhet eftersom de är tveksamma till om läkare i detalj går igenom sina anteckningar vid signering.
Utredningens delredovisning enligt direktiv 2013:43
Utredningens övergripande uppdrag är att lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Det handlar bland annat om se till att yrkesutövare inom båda områdena, i rätt tid får tillgång till den information om den enskilde som behövs för att kunna ge god vård och omsorg och för att kunna följa upp kvaliteten i verksamheten.
Bland annat mot bakgrund av vad som redovisas ovan om osäkerheten i tillämpningen har utredningen fått i uppdrag att
8 Dagens Medicin, 2012-10-25, Modernisera patientdatalagen och tillämpa den bättre. 9Störande eller stöjdande? Om eHälsosystemens användbarhet 2013. 10 RiR 2011:9. 11 Myndighetens för vårdanalys rapport (2013:9); Ur led är tiden. Fyra utvecklingsområden för en mer effektiv användning av läkares tid och kompetens.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
118
analysera vari tillämpningsproblemen ligger och hur dessa ska lösas. I utredningsdirektivet anför regeringen bland annat att det kan finnas behov av att förtydliga eller förändra relevant lagstiftning. Det kan också behöva utredas vilka behov som finns av exempelvis information, utbildning eller kompetenshöjande insatser av olika slag om vad den berörda lagstiftningen innebär samt överväga andra åtgärder än lagändringar.
Vidare fick utredningen i tilläggsdirektivet 2013:43 regeringens uppdrag att i en delredovisning beskriva de möjligheter som befintlig lagstiftning ger till en ändamålsenlig informationshantering. Utredningen överlämnade delredovisningen den 31 december 2013 i form av en omfattande powerpointpresentation med frågor och svar samt tre utförligare promemorior. I stället för en traditionell och mer teoretisk genomgång av gällande lagstiftning valde utredningen således att utforma delredovisningen som ett praktiskt verktyg anpassat för en verksamhetsnära nivå. Förhoppningen är att delredovisningen kan bidra till att de som är verksamma inom hälso- och sjukvård och socialtjänst får en ökad kunskap om hur personuppgifter kan användas och hanteras i syfte att bidra till god vård och omsorg.
Sammantaget utgör delredovisningen en del i utredningens uppdrag att analysera tillämpningsproblemen och lämna förslag till hur de kan lösas samt vilka behov av kunskapshöjande insatser som bedöms finnas.
Ytterligare behov av analys
Utredningen anser att patientdatalagen erbjuder många möjligheter att arbeta på ett ändamålsenligt sätt med vårddokumentation. Samtidigt visar såväl brister i efterlevnaden av lagstiftningen som vårdgivares och hälso- och sjukvårdspersonalens osäkerhet kring lagstiftningens tillämpning på att det finns skäl att ytterligare analysera om lagstiftningen i tillräckligt stor utsträckning stimulerar en önskad utveckling. De finns därför anledning att överväga behoven av att modernisera regleringen av informationshanteringen i hälso- och sjukvården och formulera regelverket på ett sådant sätt att det både blir mer pedagogiskt, dvs. enklare att tillämpa, och mer tydligt kring vad som ska uppnås.
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
119
6.5 Bristande efterlevnad av regelverket
Av tillsynsmyndigheternas granskningar har det framkommit att det finns brister i hur patientdatalagen implementerats och följts, framför allt avseende lagens integritetsskyddande bestämmelser.
Datainspektionen har allt sedan patientdatalagen trädde i kraft haft en aktiv tillsyn av hur lagen implementerats i hälso- och sjukvården. I denna tillsyn har Datainspektionen funnit en rad brister som gäller patienternas möjlighet att spärra information, hur patienterna informerats om vad sammanhållen journalföring innebär samt att vårdpersonalen har fått alltför omfattande behörighet att ta del av uppgifter.12Det har vidare vid tillsynen framkommit att vårdgivarna har stora problem att anpassa sina it-system till patientdatalagen. Brister har även funnits bland annat vad gäller efterlevnaden av bestämmelser om personuppgiftsbehandling i nationella och regionala kvalitetsregister.
Datainspektionen blev exempelvis sommaren 2013 klar med en uppföljande nationell kontroll av vårdgivare och hur dessa kan spärra känsliga patientuppgifter när en patient begär det. Granskningen visade att vårdgivare har börjat satsa ordentligt på att införa de möjligheter till spärrar som måste finnas enligt patientdatalagen. Det var en förbättring jämfört med Datainspektionens granskning av spärrhanteringen år 2012. Vid den tidpunkten visade tillsynen att ingen av landstingen uppfyllde sina skyldigheter fullt ut mot patienterna.
Ett annat exempel är Datainspektionens granskning av behörighetstilldelningen på Karolinska Universitetssjukhuset i Stockholm. Granskningen visade enligt inspektionens bedömning att personalen hade för vid behörighet att komma åt patientuppgifter.13
Socialstyrelsens tillsyn genomförde 2011 tillsyn av sex av landets universitetssjukhus avseende informationssäkerheten. Vid samtliga sjukhus fanns brister som hade kunnat leda till att patienter kommer till skada. Exempelvis framkom att ett journalsystem hade räknat fram fel dos medicin. Vidare att personalen inte hade kunnat läsa eller skriva in uppgifter i journalen på grund av driftstopp. Ett annat exempel på brist var journalsystem som inte klarat att snabbt ge en översikt av de uppgifter som krävs för att göra en bedömning av kritiskt sjuka
12 Datainspektionens beslut 2011-06-01, dnr 461-2010 och ett antal beslut på grund av Datainspektionens nationella projekt om spärrar i IT-system inom hälso- och sjukvården 2012 med uppföljning 2013 m.m. 13 Datainspektionens beslut 2013-08-26, dnr. 920-2012.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
120
patienter. Resultatet pekade på brister i driftsäkerheten beroende på kvalitetsproblem i systemutvecklingen, bristande kontinuitetsplaner samt bristande styrning av informationssäkerhetsarbetet.14
Samtliga kommuner och landsting samt sjukvårdsregioner i landet blev 2010–2012 granskade i Socialstyrelsens nationella tillsyn av vård och omsorg om äldre. Resultatet av denna granskning presenteras i en slutrapport från Inspektionens för vård och omsorg 2013.15 I rapporten konstateras att äldre personer med stora, sammansatta behov av vård och omsorg är ofta omgivna av en mängd olika aktörer och personal. Tillsynen visade att det var ovanligt att mottagande verksamheter i öppenvården och inom äldreomsorgen fick uppgifter om läkemedel eller annan viktig information om den äldre senast samma dag som han eller hon skrivs ut från sjukhuset. Det visade sig även att det fanns risker för brister i informationsöverföring och patientsäkerhet vid utskrivning inför kvällar eller helger.
I rapporten konstateras att det ställs stora krav på personalen att informera och samordna insatserna när det finns flera aktörer med olika ansvar och uppdrag runt den äldre, särskilt i de delar av landet som har många privata utförare av vård och omsorg. Socialstyrelsen konstaterar att det som krävs för att säkerställa kvaliteten på de insatser som den äldre behöver, och för att förebygga att äldre drabbas av vårdskador i hälso- och sjukvården, är fungerande system för informationsöverföring och vårdplanering där olika yrkesgrupper i kommunen, öppenvården och den slutna vården samverkar i samråd med den äldre själv.
Dessa olika exempel från tillsynsmyndigheterna visar enligt utredningens bedömning att vårdgivarna måste ta ett större ansvar för informationshanteringen. Konsekvensen av de brister som Datainspektionen och Inspektionen för vård och omsorg iakttagit (och tidigare Socialstyrelsen) är patientsäkerhetsrisker. För att kunna erbjuda en god och säker vård behöver hanteringen av personuppgifter och informationssystemens ändamålsenlighet vara införlivat i det kontinuerliga och systematiska arbetet med att förbättra kvaliteten i vården. Mot den bakgrunden finns det enligt utredningens bedömning ett behov av en ökad ledning och styrning från vårdgivares sida i dessa frågor. Det finns därför skäl att överväga om lagstiftningen på ett tydligare sätt än i dag behöver
14Tillsynsrapport 2012, Socialstyrelsen. 15 Äldre efterfråga kontinuitet, Nationell tillsyn av vård och omsorg av äldre, Slutrapport 2013.
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
121
uttrycka det ansvar vårdgivarna har för en säker och ändamålsenlig hantering av personuppgifter inom hälso- och sjukvården.
6.6 Kunskap, kompetens, ledning och styrning
Utredningen uppfattar att det, på motsvarande sätt som är fallet för socialtjänsten, finns ett behov av ökad kunskap och kompetensutveckling inom hälso- och sjukvården när det gäller förutsättningarna för att hantera och utbyta information. Det kan handla om allt ifrån en osäkerhet på vad som är tillåtet i ett enskilt fall till en mer utbredd okunskap om vilka tekniska lösningar för att t.ex. utbyta information mellan olika aktörer som står till buds och är tillåtna enligt lagstiftningen.
Mycket av detta handlar ytterst, som vi ser det, om en mer aktiv och målmedveten ledning och styrning i frågorna. Vi bedömer därför att behovet av kompetensutveckling och kunskapsstyrning på detta område finns såväl på den mer verksamhetsnära nivån som på de olika ledningsnivåerna i hälso- och sjukvården. Många gånger handlar det om att i organisationen bygga upp en struktur som på olika sätt stödjer ett ändamålsenligt arbetssätt vad gäller dokumentation och informationshantering. Inte minst behöver det stödet finnas i samband med framtagandet och utvecklingen av de verksamhetssystem som ska användas i vården.
Samtidigt som vi ser ett behov av ökad kunskap och en mer aktiv ledning och styrning kan vi även konstatera att det pågår en önskvärd utveckling på olika områden. Det är viktigt att denna utveckling fortsätter.
Det finns heller ingen anledning att ifrågasätta att det i hälso- och sjukvården finns respekt för och insikt om att de personuppgifter som hanteras många gånger är integritetskänsliga och behöver hanteras varsamt och i enlighet med regler om sekretess och tystnadsplikt. Vi bedömer att detta medvetande är högt och att det är en självklar och naturlig del av verksamhetskulturen att värna den enskildes intressen. Kunskapsbehovet finns snarare i den mer aktiva och verksamhetsnära tillämpningen av lagstiftningen. Inte minst för att verksamheten ska kunna införa ändamålsenliga it-stöd behövs en ökad kunskap om hur uppgifter om enskilda får hanteras i en verksamhet och utbytas med andra verksamheter.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
122
6.7 Sammanfattande reflektioner
Utredningen bedömer att de problem och utmaningar som lyfts fram i det föregående är mångfacetterade och kan behöva lösas genom flera olika insatser. Även om det finns mycket som fungerar bra kan utredningen därför konstatera att det finns ett antal faktorer som har stor betydelse för målsättningen att skapa en ännu mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården.
De faktorer vi sammanfattningsvis vill lyfta fram är följande.
• Behovet av att införa ett nationellt fackspråk och en informationsstruktur som stödjer ett evidensbaserat arbete.
• Behovet av att reducera de negativa konsekvenserna av regelverkets organisatoriska fokus.
• Behovet av att de rättsliga förutsättningarna för samverkan kring enskilda patienter ligger i linje med de krav på samverkan som finns i lagstiftningen och de behov som finns för patienten.
• Behovet av att de rättsliga förutsättningarna för att säkra och utveckla hälso- och sjukvårdens kvalitet ligger i linje med de krav som finns i lagstiftningen.
• Behovet av en mer pedagogisk lagstiftning, dvs. som är lättare att tillämpa.
• Behovet av en lagstiftning som tydligare uttrycker de bakomliggande intentionerna och inte bara förhindrar det oönskade, utan även stimulerar det önskade.
• Behovet av ökad kunskap, ledning och styrning ifråga om möjligheterna att hantera och utbyta information.
• Behovet av att det finns rättsliga och andra förutsättningar för att göra patienter informerade och delaktiga i sin hälsa och sin hälso- och sjukvård.
123
7 En ny lag: hälso- och sjukvårdsdatalag
7.1 Bakgrund
Den nuvarande regleringen av personuppgiftsbehandlingen inom hälso- och sjukvården finns framför allt i patientdatalagen (2008:355), förkortad PDL. Dessutom gäller i vissa delar även bestämmelserna i personuppgiftslagen (1998:204), förkortad PUL. Utöver det finns närmare bestämmelser om hälso- och sjukvårdens personuppgiftsbehandling i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.
Genom patientdatalagens ikraftträdande den 1 juli 2008 upphävdes den tidigare patientjournallagen (1985:562) och vårdregisterlagen (1998:544). Patientdatareformen innebar bland annat att materiella bestämmelser om journalföring samlades tillsammans med bestämmelser om personuppgiftbehandling och åtkomst till personuppgifter i elektroniska journalsystem m.m. Medan bestämmelserna om journalföringen i allt väsentligt fördes över oförändrade från 1985-års patientjournallag utformades till stora delar helt nya bestämmelser om behandlingen av personuppgifter. Den kanske största nyheten som infördes var dock möjligheten för olika vårdgivare att utbyta patientuppgifter med varandra genom direktåtkomst, s.k. sammanhållen journalföring och det särskilda regelverket om nationella och regionala kvalitetsregister. Dessutom infördes ett antal grundläggande integritetsskyddsbestämmelser som tydliggör vad som gäller ifråga om inre sekretess, behörighetsstyrning och åtkomstkontroll. Tillsammans med nya möjligheter för vårdgivare tydliggjordes därmed vilka krav som generellt bör gälla vid behandling av sådan integritetskänslig information som det är fråga om inom hälso- och sjukvården.
En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23
124
7.1.1 Kort om våra utgångspunkter för denna typ av lagstiftning
I de regelverk som styr hur personuppgifter får användas och utbytas finns ett antal olika intressen som behöver balanseras och så långt möjligt tillgodoses. Vår generella utgångspunkt är att regelverkets övergripande målsättning bör vara att bidra till ännu bättre resultat för patienter i hälso- och sjukvården. Det handlar om att informationshanteringen ska medverka till ökad kvalitet och patientsäkerhet och till bättre resultat samt till att invånarna får en mer jämlik hälso- och sjukvård.
Både för individens del och för verksamheten är det nödvändigt att personuppgifter används och i övrigt hanteras på ett sådant sätt att behovet av personlig integritet tillgodoses. Det handlar om självklara krav som t.ex. att uppgifter skyddas och inte kan kommas åt av obehöriga, att det bara är den personal som behöver använda uppgifterna i sitt arbete som tar del av dem, att det finns ett systematiskt arbetssätt för att upptäcka och beivra obehörig åtkomst, att uppgifter om enskilda inte kan användas på ett otillbörligt sätt och att uppgifter inte kan hanteras på omotiverat sätt med hänsyn till den risk för integritetsintrång och den nytta som den aktuella hanteringen för med sig. En grundläggande utgångspunkt är därför att en lagstiftning av detta slag ska ge uttryck för en balans och en proportionalitetsbedömning där risken vid personuppgiftsbehandlingen alltid vägs mot nyttan med densamma.
Generellt bedömer vi att den enskildes intresse av en god och säker vård och ett välfungerande integritetsskydd inte står i någon motsats till de intressen för kvalitet, tillgänglighet, förtroende och effektivitet m.m. som kan finnas i verksamheten och i samhället i övrigt. På en övergripande nivå anser vi därför att ett starkt integritetsskydd är en förutsättning för en ändamålsenlig informationshantering inom hälso- och sjukvården. Det skulle på många sätt vara en farlig utveckling om den enskilde kände en sådan otrygghet i hur uppgifter hanterades att han eller hon skulle välja att hålla inne med information som kunde vara viktig för möjligheterna att tillgodose den enskildes behov på bästa sätt. Med det sagt vill vi understryka att utredningen inte uppfattat några signaler om att det skulle finnas något tillitsproblem när det gäller hälso- och sjukvårdens informationshantering. Tvärtom har våra kontakter med både enskilda, patientorganisationer och verksam-
SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag
125
heterna själva stärkt bilden av att förtroendet för hälso- och sjukvården och det sätt information hanteras på är högt.
För att återkoppla till inledningen i detta avsnitt vill vi betona att vår utgångspunkt är att lagstiftningen inom detta område ska stödja en informationshantering som främjar god kvalitet, effektivitet och ett starkt integritetsskydd. Det ställer inte endast krav på hur intentionerna bakom lagstiftningen motiveras, utan även hur enskilda paragrafer utformas och formuleras. Vid utredningens kontakter med företrädare för hälso- och sjukvården har det tydligt framkommit att yrkesutövare på olika nivåer har svårt att läsa lagens bestämmelser och förstå den avvägning mellan olika intressen som ligger bakom bestämmelsen. Vi har försökt dra lärdom av detta när vi utformat våra förslag om förändrad lagstiftning.
Samtidigt är det viktigt att understryka att en registerlagstiftning, som detta är fråga om, delvis behöver anpassas och förhålla sig till vad som gäller enligt andra författningar. Inte minst personuppgiftslagen och dess definitioner och terminologi kommer att vara styrande för hur motsvarande begrepp används och formuleras i lagen. Det innebär att språket i vissa delar kan bli mer byråkratiskt och svårtillgängligt än vad som egentligen är önskvärt i en lagstiftning som i stor utsträckning ska tillämpas av de som primärt inte är skolade i personuppgiftslagstiftningen. Utredningen bedömer att det bland annat av det skälet är viktigt att denna typ av lagstiftning åtföljs av ett mer konkret och verksamhetsnära tillämpningsstöd.
7.1.2 Vårt uppdrag m.m.
I utredningens uppdrag ingår bland annat att identifiera nödvändiga förutsättningar för en mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården. Av direktiven framgår även att utredaren har möjlighet att ta upp frågor som inte nämns i direktiven men som enligt utredaren behöver analyseras eller regleras för att uppdraget ska utföras på ett tillfredsställande sätt.
De snart sex år som förflutit sedan patientdatalagen trädde ikraft har bland annat kännetecknats av brister i implementeringen av lagstiftningen och en osäkerhet om lagens tillämpning i olika delar. Tillsynsmyndigheternas beslut har satt ljuset på brister i frågor om exempelvis fullgörandet av informationsplikter gentemot patienter, behörighetsstyrning och patientens spärrmöjligheter
En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23
126
m.m. Även regelverkets avsaknad av särskilda bestämmelser för vad som ska gälla för personer som saknar förmåga att själv ta ställning till frågor om informationsutbyten och behandling av personuppgifter, har varit i fokus de senaste åren. Från vårdgivare och hälso- och sjukvårdspersonal har framhållits att lagen i vissa delar är svårtillgänglig och det finns en osäkerhet och otrygghet i hur lagen närmare är tänkt att tillämpas. Det har bland annat framkommit att det finns en osäkerhet i frågor om när personal får ta del av uppgifter om patienter antingen för att de på något sätt är delaktiga i patientens vård eller för att de har ett behov av att följa upp och kvalitetssäkra genomförda insatser.
Vidare har den strukturomvandling som ägt rum i hälso- och sjukvården sedan patientdatalagens ikraftträdande medfört nya krav på informationshanteringen i hälso- och sjukvården. Det kan därmed även ur detta perspektiv finnas anledning att analysera om den nuvarande lagstiftningen är ändamålsenligt utformad för att möta den komplexa verksamhet som hälso- och sjukvården utgör och där den organisatoriska kartan är ständigt föränderlig.
Mot bakgrund av utredningens uppdrag lämnas i detta betänkande ett större antal förslag som i allt väsentligt syftar till att öka förutsättningarna för en mer ändamålsenlig och sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Det handlar bland annat om förslag som syftar till att minska tillämpningsproblemen, reducera de negativa konsekvenserna av regelverkets organisatoriska fokus, stärka integritetsskyddet och tydliggöra ansvaret för att rätt information finns på rätt plats i rätt tid. De många förslagen medförde att det blev nödvändigt för utredningen att analysera om våra samlade förslag till lagstiftningsförändringar kunde införlivas i patientdatalagen eller om det måste bedömas som nödvändigt med en helt ny lagstiftning för personuppgiftsbehandlingen på hälso- och sjukvårdens område.
7.2 Våra överväganden och förslag
7.2.1 En ny lag ersätter patientdatalagen
Vårt förslag: Patientdatalagen ska upphävas och ersättas av en
ny lag; hälso- och sjukvårdsdatalagen. Bestämmelser i patientdatalagen som inte påverkas av utredningens förslag ska överföras till den nya lagen.
SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag
127
Följdändringar måste göras i flera andra lagar med anledning av att patientdatalagen upphävs och ersätts av den nya lagen.
Utredningens förslag i sin helhet kommer att ha en omfattande påverkan på innehållet i den nu gällande patientdatalagen. Under arbetets gång har det blivit mer och mer uppenbart att våra förslag kommer att medföra så många förändringar att det skulle inverka på den befintliga strukturen i patientdatalagen och göra den svåröverskådlig. Även om utredningen inte till en början haft för avsikt att föreslå en ny reglering för personuppgiftsbehandlingen i hälso- och sjukvården har det således i takt med arbetets framskridande kommit att bli allt tydligare att det behövs. Vi bedömer därför att patientdatalagen, framför allt på grund av konsekvenserna av utredningens samlade förslag, bör upphävas i stället för att omarbetas. Det är inte här möjligt att närmare redogöra för de förslag som utredningen lämnar och som bedöms medföra ett behov av en ny lagstiftning, utan vi får hänvisa till vad som redovisas längre fram i detta betänkande.
Lämpligheten i att föreslå en ny lag i ett skede när patientdatalagen fortfarande kan betraktas som förhållandevis ny kan naturligtvis ifrågasättas. Mot bakgrund av den kritik som patientdatalagen utsatts för genom åren gör utredningen dock bedömningen att en ny lagstiftning kan medföra positiva effekter på en ändamålsenlig och integritetsskyddande personuppgiftbehandling. Det kan dessutom konstateras att hälso- och sjukvården har varit föremål för sådana omfattande strukturella och organisatoriska förändringar sedan patientdatalagen trädde ikraft 1 juli 2008 att även denna omständighet utgör ett skäl för att se över lagstiftningens ändamålsenlighet. Det primära skälet är dock att de förslag utredningen lämnar svårligen kan sorteras in i patientdatalagen.
Vi föreslår därför en ny lag för vårdgivares behandling av personuppgifter i hälso- och sjukvården; hälso- och sjukvårdsdatalag. I sammanhanget kan nämnas att utredningen även föreslår en ny lag för personuppgiftsbehandlingen på socialtjänstens område; socialtjänstdatalag. Vi anser att det är en fördel om de lagar som reglerar behandlingen av personuppgifter i hälso- och sjukvården respektive socialtjänsten liknar varandra så mycket som möjligt avseende struktur och innehåll. Det underlättar tillämp-
En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23
128
ningen och förståelsen för lagstiftningens bakomliggande ändamål, både för de registrerade och de som har att tillämpa lagstiftningen.
Utredningen lämnar också förslag för att underlätta informationsutbytet mellan hälso- och sjukvård och socialtjänst. Förutsättningarna att harmonisera regleringen av personuppgiftsbehandlingen inom och mellan hälso- och sjukvården och socialtjänsten förbättras av att vi lämnar förslag till en ny lagstiftning för båda områdena samtidigt. Vi föreslår att bestämmelser om informationshantering vid vård av personer med sammansatta behov av hälso- och sjukvård och socialtjänst ska regleras i ett eget kapitel i den nya lagen.
Vidare innebär utredningens förslag att många bestämmelser bör överföras materiellt oförändrade från patientdatalagen till hälso- och sjukvårdsdatalagen. Samtidigt ger detta ett tillfälle att överväga och vid behov föreslå förenklad utformning och språkliga justeringar i paragraferna.
Utredningen föreslår att den nya lagen ska ha namnet hälso- och sjukvårdsdatalagen. Vi anser att det namnet beskriver lagens tillämpningsområde på ett tydligt sätt samtidigt som det är jämförligt med namnet på den lag som reglerar personuppgiftshanteringen inom socialtjänsten; socialtjänstdatalagen.
7.2.2 Lagens innehåll, tillämpningsområde och förhållande till personuppgiftslagen
Vårt förslag: Hälso- och sjukvårdsdatalagen ska inledas med en
bestämmelse som översiktligt beskriver vilka områden som lagen reglerar och en innehållsförteckning. Lagens tillämpningsområde ska regleras i en egen bestämmelse. I lagen ska finnas en bestämmelse som reglerar förhållandet till personuppgiftslagen. Bestämmelserna om tillämpningsområdet och förhållandet till personuppgiftslagen överförs i princip oförändrade från patientdatalagen. I hälso- och sjukvårdsdatalagen ska dock uttryckligen anges att lagen i tillämpliga delar även gäller för en huvudmans behandling av personuppgifter i hälso- och sjukvården.
SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag
129
Lagens innehåll
Förslaget till hälso- och sjukvårdsdatalag omfattar bestämmelser om olika aspekter av personuppgiftsbehandling inom hälso- och sjukvården. Det innebär att det finns bestämmelser om personuppgiftsansvar, olika typer av direktåtkomst, åtkomstkontroll, journalföring, nationella kvalitetsregister och rättigheter för den enskilde m.m. I vårt förslag är lagen indelad i 13 kapitel. För att göra lagen mer överskådlig och lättare att använda bör den inledas med en översiktlig beskrivning av innehållet. Av den anledningen föreslår vi att det i lagens inledning tas in en innehållsförteckning.
Beskrivningen av lagens innehåll är av allmän karaktär och ska läsas som en enkel anvisning om vilka områden som lagen omfattar. Det kan vara informativt för t.ex. yrkesutövare att redan i inledningen få veta att det i denna lag finns bestämmelser om patientjournaler och nationella kvalitetsregister.
Lagens tillämpningsområde
Vidare föreslår utredningen att det juridiska tillämpningsområdet regleras i en egen bestämmelse efter de inledande bestämmelserna om innehållet. Hälso- och sjukvårdsdatalagen ska tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården.
Utredningen avser inte att ändra tillämpningsområdet för den föreslagna lagen jämfört med patientdatalagen1förutom att vi föreslår att det uttryckligen ska anges att lagen i tillämpliga delar även ska gälla för en huvudmans behandling av personuppgifter inom hälso- och sjukvården. Med huvudman i hälso- och sjukvårdsdatalagen avses den som enligt hälso- och sjukvårdslagenansvarar för att erbjuda hälso- och sjukvård. Det innebär i praktiken att det handlar om landsting och kommuner. Kommuner och landsting omfattas i egenskap av huvudmän i dag av patientdatalagen genom lagens definition av begreppet vårdgivare. Av 1 kap. 3 § patientdatalagen följer bl.a. att landsting och kommun är vårdgivare i fråga om sådan hälso- och sjukvård som landstinget eller kommunen har ansvar för. Samtidigt avses med vårdgivare, enligt samma bestämmelse, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård.
1Prop. 2007/08:126 s. 49 f. och 222.
En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23
130
Vi anser att det underlättar tillämpningen av hälso- och sjukvårdslagstiftningen i allmänhet att skilja mellan landstingens och kommunernas ansvar i egenskap av huvudmän för hälso- och sjukvården och deras ansvar som vårdgivare när de faktiskt bedriver hälso- och sjukvård. Eftersom det inte finns några formella hinder för landsting eller kommuner att överlåta all drift av den individinriktade hälso- och sjukvårdsverksamheten på en eller flera enskilda vårdgivare, kan det i framtiden uppkomma en situation när landstinget eller kommunen inte längre bedriver hälso- och sjukvård. Eftersom landsting och kommuner i ett sådant läge alltjämt har ett huvudmannaansvar för hälso- och sjukvården och ett behov av att behandla personuppgifter för att fullgöra sitt uppdrag och ta sitt ansvar, bedömer vi att hälso- och sjukvårdsdatalagen behöver omfatta huvudmäns behandling av personuppgifter inom hälso- och sjukvården.
Det innebär exempelvis att lagens grundläggande ändamålsbestämmelser och bestämmelserna om vilka personuppgifter som får behandlas samt om sökbegrepp även gäller vid en huvudmans behandling av personuppgifter inom hälso- och sjukvården. Vidare gäller bestämmelserna i lagens 4 kap. om inre sekretess, behörighetsstyrning och åtkomstkontroll i samma utsträckning också för en huvudman. Se vidare avsnitt 7.2.4 angående utredningens överväganden kring begreppet huvudman.
Vårt förslag innebär att bestämmelsen om det juridiska tillämpningsområdet renodlas jämfört med gällande bestämmelse i patientdatalagen. Den nuvarande 1 kap. 1 § patientdatalagen är i själva verket både en bestämmelse om tillämpningsområdet och en beskrivning av innehållet. Vårt förslag innebär att vi delar upp bestämmelsen så att den befintliga upplysningen om att lagen innehåller bestämmelser om journalföring i stället tas med i den inledande bestämmelsen som beskriver innehållet.
Förhållandet till personuppgiftslagen
Utredningen föreslår att den nuvarande bestämmelsen i patientdatalagen, om den lagens förhållande till personuppgiftslagen överförs oförändrad till hälso- och sjukvårdsdatalagen.
Personuppgiftslagen är generellt tillämplig på behandling av personuppgifter. Det är dock möjligt att meddela avvikande bestämmelser i lag eller förordning som gäller i stället för person-
SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag
131
uppgiftslagens bestämmelser. En grundläggande förutsättning är dock att de avvikande bestämmelserna inte strider mot bestämmelserna i dataskyddsdirektivet.
Utredningen föreslår att hälso- och sjukvårdsdatalagen ska innehålla vissa sådana avvikande särbestämmelser som det bedöms föreligga behov av när det gäller behandling av personuppgifter inom hälso- och sjukvården. Särregleringen i hälso- och sjukvårdsdatalagen föreslås enbart komplettera personuppgiftslagen. Hälso- och sjukvårdsdatalagen kommer då att gälla utöver personuppgiftslagen. Detta innebär att när reglering saknas i hälso- och sjukvårdsdatalagen är personuppgiftslagens bestämmelser tillämpliga. Motsvarande förhållande gäller mellan patientdatalagen och personuppgiftslagen.2
7.2.3 Lagens syfte
Vårt förslag: I hälso- och sjukvårdsdatalagen ska det finnas
bestämmelser som uttrycker lagens syfte. Lagen syftar till att främja en informationshantering som tillgodoser god kvalitet, patientsäkerhet och kostnadseffektivitet. Lagen ska särskilt främja att den som arbetar hos en vårdgivare säkert, snabbt och enkelt får tillgång till de personuppgifter som han eller hon behöver för att kunna utföra sitt arbete och att personuppgifter utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras.
Den nu gällande syftesbestämmelsen i 1 kap. 2 § PDL är, enligt utredningens bedömning, inte utformad som en syftesbestämmelse i egentlig mening. Den anger snarare hur informationshanteringen ska vara organiserad och hur personuppgifter ska utformas och hanteras. Bestämmelsen talar också om hur dokumenterade uppgifter ska hanteras och förvaras. Den nuvarande paragrafen är därför mer av materiella bestämmelser än en portalparagraf om vad lagen ska åstadkomma. Särskilt bestämmelsen i sista stycket, om att personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem, är en viktig materiell bestämmelse som vi vill ta hand om på ett annat sätt än som en formulering i en syftesbestämmelse.
En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23
132
Utredningen anser att det tydligt ska framgå av syftesbestämmelsen att lagen ska leda till att vården blir säkrare och av högre kvalitet. En säker vård värnar patientens personliga integritet och skyddar patienten mot fysiska och psykiska vårdskador. Det ska framgå att lagen är en tillgänglighetsreform som ska se till att rätt uppgifter finns på rätt plats i rätt tid för rätt personer. Av syftesbestämmelsen ska det framgå att såväl rätt tillgång till rätt uppgifter som skydd för den personliga integriteten är grundläggande förutsättningar för att lagens intentioner ska kunna uppnås.
Enligt utredningens förslag ska lagen syfta till en informationshantering som tillgodoser god kvalitet, patientsäkerhet och kostnadseffektivitet i hälso- och sjukvården. Vårdgivarens behandling av personuppgifter inom hälso- och sjukvården ska således tillgodose samma krav som gäller för all hälso- och sjukvårdsverksamhet.3Utredningens förslag innebär endast en viss omformulering av det krav som i dag finns uttryckt i 1 kap. 2 § PDL.
Därutöver anser utredningen att syftesbestämmelsen ska betona att lagen särskilt ska främja att den som arbetar hos en vårdgivare säkert, snabbt och enkelt får tillgång till de personuppgifter som han eller hon behöver för att kunna utföra sitt arbete. Vi anser att det är en viktig signal att uttryckligen nämna detta syfte för att tydliggöra att lagens bestämmelser syftar till att möjliggöra en ändamålsenlig informationshantering. Det är inget nytt motiv för denna lagstiftning, men denna aspekt går ofta förlorad i den kritik mot lagen som kommer från de som är verksamma inom hälso- och sjukvården.4
Det brukar hävdas att patientdatalagen gjort det svårare att arbeta på ett ändamålsenligt sätt med informationshanteringen i hälso- och sjukvården. Patientdatalagen reglerar dock egentligen inga begränsningar i förhållande till vad som gällde innan lagen trädde ikraft. I stället har den erbjudit nya möjligheter till informationsutbyte. Trots det har lagen kommit att av många uppfattas som en hämsko i arbetet. Det finns förstås också viss kritik från det andra perspektivet; att lagen har öppnat för alltför stora möjligheter att utbyta patientuppgifter. Men den kritiken har inte varit lika omfattande. För att det ska bli en tydligare balans mellan patientsäkerhets- och integritetsperspektivet anser vi att tillgänglighetsaspekten bör bli mer uttryckligt beskriven i lagen.
3 Regeringens proposition Förstärkt tillsyn över hälso- och sjukvården, prop. 1995/96:176 s. 54 ff. 4Prop. 2007/08:126 s. 34.
SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag
133
Det redan i dag gällande kravet på att personuppgifter utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras, ska naturligtvis också komma till uttryck i den nya lagen.
7.2.4 Viktiga definitioner
Vårt förslag: I hälso- och sjukvårdsdatalagen ska det införas
definitioner av begreppen huvudman, informationssystem, nationella och regionala kvalitetsregister, patientjournal samt vårddokumentation. Begreppet vårdgivare förtydligas och begreppet sammanhållen journalföring får en definition som stämmer överens med det tillämpningsområde som föreslås. Övriga begrepp som definieras i patientdatalagen förs över oförändrade till hälso- och sjukvårdsdatalagen.
I patientdatalagens inledande kapitel återfinns en rad definitioner av centrala uttryck som används i lagen. Utredningen bedömer att även hälso- och sjukvårdsdatalagen ska innehålla en paragraf som samlat definierar de viktiga begreppen. Förutom att vi föreslår att vissa begrepp som definieras i patientdatalagen förs över oförändrade eller med endast någon språklig justering, föreslår vi att det i hälso- och sjukvårdsdatalagen ska tas in en rad nya begrepp som definieras. Vilka dessa begrepp är och hur de bör definieras redovisas i det följande.
Huvudman
Det finns i dag inte någon entydig och mer precis legaldefinition av huvudmannabegreppet i hälso- och sjukvården. Vid införandet av hälso- och sjukvårdslagen (1982:763), förkortad HSL, konstaterades att den som har ett författningsreglerat ansvar för att vård meddelas är huvudman. Någon övrig vägledning för frågan om huvudmannaskapets innebörd, omfattning gavs inte och inte heller lämnades någon ytterligare definition av begreppet.5
Samtidigt finns det genom regleringen i hälso- och sjukvårdslagen åtminstone en indirekt definition av begreppet huvud-
5Prop. 1981/82:97 Om hälso- och sjukvårdslag m.m., s. 33.
En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23
134
man, dvs. den som har ett författningsreglerat ansvar för att vård meddelas. Med huvudman enligt hälso- och sjukvårdslagen får därmed avses den som enligt lagen ansvarar för att erbjuda hälso- och sjukvård.
Mot den bakgrunden och med det som förebild föreslår utredningen att begreppet huvudman ska definieras i hälso- och sjukvårdsdatalagen. Utredningens förslag till definition utgår alltså från huvudmännens ansvar, som det är reglerat i nu gällande hälso- och sjukvårdslag. Med huvudman i hälso- och sjukvårdsdatalagen avses således den som enligt hälso- och sjukvårdslagen ansvarar för att erbjuda hälso- och sjukvård. Det innebär i praktiken att det handlar om landsting och kommuner.
I hälso- och sjukvårdslagen regleras för närvarande endast huvudmannaskapet för landsting och kommuner. Den hälso- och sjukvård som enligt lag ska tillhandahållas av andra huvudmän än landsting och kommun är dock av mer begränsad karaktär och har även delvis andra syften än det huvudmannaansvar som följer av hälso- och sjukvårdslagen. Utredningen bedömer därför att det i hälso- och sjukvårdsdatalagen är tillräckligt att hänvisa till det huvudmannaansvar som landsting och kommuner har enligt hälso- och sjukvårdslagen.
Huvudmannen har det yttersta ansvaret för att säkerställa att vård erbjuds till i hälso- och sjukvårdslagen angiven personkrets. Vården kan utföras i egen regi, men huvudmannaansvaret innebär ingen skyldighet för huvudmannen att själv bedriva verksamheten, utan driften kan ligga på en fristående vårdgivare. Inom en huvudmans geografiska ansvarsområde kan därmed en eller flera vårdgivare bedriva verksamhet.
Såväl Utredningen om en kommunallag för framtide n6 som Patientmaktsutredningen7har föreslagit att huvudmannens ansvar bör uttryckas tydligare i lagstiftningen. Utredningen om en kommunallag för framtiden har föreslagit att det uttryckligen ska regleras i kommunallagen (1991:900) att kommunen respektive landstinget behåller sitt huvudmannaskap när vården av en kommunal angelägenhet överlämnats till en annan utförare och att huvudmannaskapet innefattar en skyldighet att följa upp och kontrollera privata utförare.
Vi anser att det underlättar tillämpningen av hälso- och sjukvårdslagstiftningen i allmänhet att skilja mellan landstingens och kommunernas ansvar i egenskap av huvudmän och deras ansvar i egenskap av vårdgivare. Eftersom det inte finns några formella
6SOU 2013:53; Privata utförare – kontroll och insyn. 7SOU 2013:44; Ansvarfull hälso- och sjukvård.
SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag
135
hinder för landsting eller kommuner att överlåta all drift av den individinriktade hälso- och sjukvårdsverksamheten på en eller flera enskilda vårdgivare, kan det i framtiden uppkomma en situation när landstinget eller kommunen inte längre är att betrakta som vårdgivare. Eftersom landsting och kommuner i ett sådant läge alltjämt har ett huvudmannaansvar för hälso- och sjukvården och ett behov av att behandla personuppgifter för att fullgöra sitt uppdrag och ta sitt ansvar, bedömer vi att hälso- och sjukvårdsdatalagen behöver omfatta huvudmäns behandling av personuppgifter inom hälso- och sjukvården. Det är därför relevant att definiera begreppet i den lag som föreslås.
Längre fram i betänkandet föreslår utredningen även förbättrade möjligheter till informationsutbyte mellan vårdgivare som bedriver hälso- och sjukvårdsverksamhet inom en huvudmans ansvarsområde. Även för att kunna utforma de förslagen är begreppet huvudman nödvändigt att definiera.
Informationssystem
Utredningen föreslår att begreppet informationssystem definieras i lagen. Vårdgivaren är ansvarig för hur personuppgifter hanteras i verksamheten. Ett informationssystem är ett verktyg för hantering av personuppgifter. Det är ett system som insamlar, bearbetar, lagrar eller distribuerar och presenterar information. Vi föreslår i betänkandet att vårdgivarens ansvar för att informationssystemen är ändamålsenliga ska uttryckas i hälso- och sjukvårdsdatalagen. Det medför att begreppet behöver definieras i lagen.
Sammanhållen journalföring
Utredningens förslag om möjlighet till direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde innebär att tillämpningsområdet för sammanhållen journalföring minskar och innebär också att den definition av begreppet som finns i patientdatalagen blir felaktig. Vi föreslår därför en ändrad definition. Med sammanhållen journalföring avses enligt utredningens förslag en möjlighet för vårdgivare, som bedriver hälso- och sjukvård som olika huvudmän ansvarar för eller som är privat finansierad, att ha direktåtkomst till varandras vårddokumentation.
En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23
136
Vårddokumentation
Patientjournaler och annan dokumentation som behövs i och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall kallas i förarbetena till patientdatalagen för vårddokumentation.8 Ändamålen för vilka sådan dokumentation ska behövas motsvarar de första två punkterna i bestämmelsen om för vilka ändamål personuppgifter får behandlas inom hälso- och sjukvården.
Sådan dokumentation har en särställning i patientdatalagen eftersom vissa bestämmelser hänvisar till ändamålet vårddokumentation – även om själva begreppet inte används i bestämmelserna. I stället hänvisas i lagen till ändamålsbestämmelsens två första punkter (2 kap. 4 § 1 och 2 PDL). Det gäller t.ex. bestämmelsen om vad en patientjournal maximalt får innehålla (3 kap. 5 § PDL), bestämmelsen om vilka personuppgifter som en patient får spärra inom en vårdgivares verksamhet (4 kap. 4 § PDL), bestämmelsen om vilka uppgifter som en vårdgivare får ta del av genom sammanhållen journalföring (6 kap. 1 § PDL) och bestämmelsen om utlämnande genom direktåtkomst till enskilda (5 kap. 5 § PDL)
Utredningen anser att det kan vara en fördel att ett begrepp med en definition som stämmer överens med den som används i förarbeten till patientdatalagen finns med i en ny hälso- och sjukvårdsdatalag. Ett begrepp som definieras i lagens inledning kan sedan användas i bestämmelserna utan ytterligare förklaring. Definitionen knyter an till bestämmelsen om tillåtna ändamål för behandling av personuppgifter, som förs över från patientdatalagen. De bestämmelser i lagen som ska hänvisa till begreppet blir enklare att formulera och att läsa om begreppet kan användas utan hänvisning till ändamålsbestämmelsen.
Med vårddokumentation ska således avses dokumentation som innehåller personuppgifter som behandlas för
• att fullgöra de skyldigheter som anges i 3 kap. HSL och upprätta annan dokumentation som behövs i och för vården av patienter, och
• administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall.
SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag
137
Vårdgivare
Utredningen har valt att utgå ifrån den befintliga definitionen i patientdatalagen men föreslår en något ändrad formulering. Ändringen är påkallad av utredningens förslag att definiera begreppet huvudman.
Med vårdgivare avses enligt utredningens förslag ”statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, landstinget eller kommunen bedriver samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.”
Uttrycket har ansvar för som finns i den nu gällande definitionen i patientdatalagen kan tolkas på flera olika sätt, och är därför olämpligt i definitionen av vårdgivare. Vårdgivare har ansvar för den vård som denne bedriver. Landsting och kommun har som huvudman också visst ansvar, naturligtvis för de egna vårdgivarnas verksamhet, men även för sådan hälso- och sjukvårdsverksamhet som de som huvudmän överlåtit på annan. Huvudmannen ansvarar alltid primärt för att vårdbehoven tillgodoses inom dennes ansvarsområde. Ett visst kontrollansvar kvarstår av denna anledning hos huvudmannen. Huvudmannen har således också visst ansvar för vård som vårdgivaren bedriver. För att kunna skilja på det ansvar som de offentliga aktörerna har i sin egenskap av huvudmän respektive i sin egenskap av vårdgivare har utredningen därför anslutit sig till Patientmaktsutredningens9 förslag till definition. I denna tydliggörs att vårdgivare är den som bedriver viss hälso- och sjukvårdsverksamhet. Utredningens förslag till definition ska därmed läsas i ljuset av att utredningen även föreslår en definition av huvudmannabegreppet.
Begreppet hälso- och sjukvårdsverksamhet har använts i stället för
hälso- och sjukvård, för att undvika en konflikt med definitionen av
begreppet hälso- och sjukvård. I uttrycket ”bedriver hälso- och sjukvårdsverksamhet” ligger att åtgärderna är av regelbundet återkommande karaktär. En näringsidkare som inom ramen för en verksamhet som i sig inte utgör hälso- och sjukvård med viss regelbundenhet utför hälso- och sjukvårdande åtgärder kan anses vara vårdgivare beträffande dessa åtgärder.10
En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23
138
Definitionen omfattar samtliga vårdgivare, både vårdgivare underställda en offentlig huvudman, och vårdgivare med en privat huvudman (med eller utan offentlig finansiering).
För den hälso- och sjukvård som ett landsting eller en kommun själv bedriver är således den juridiska personen landstinget eller kommunen vårdgivare. Sådana bolag, föreningar och stiftelser där kommuner och landsting utövar ett rättsligt bestämmande inflytande, t.ex. äger mer än 50 procent, är egna juridiska personer och utgör därför självständiga vårdgivare om de bedriver hälso- och sjukvård. Som exempel på sådana vårdgivare kan nämnas Södersjukhuset och Danderyds sjukhus.
Juridiska personer, t.ex. bolag eller stiftelser, som bedriver hälso- och sjukvård med privat eller offentlig finansiering är också självständiga vårdgivare. Som exempel kan nämnas bolag som Capio, Aleris, Praktiktertjänst och ett mycket stort antal andra privata vårdgivare.
En fysisk person som bedriver hälso- och sjukvårdsverksamhet i en enskild firma eller ett aktiebolag, en stiftelse, ett handelsbolag eller liknande är också en självständig vårdgivare. Som exempel kan nämnas tandläkare med egen mottagning eller en fysisk person som etablerat en mottagning med stöd av lagen om läkarvårdsersättning (1993:1651), den s.k. nationella taxan.
Statliga myndigheter som Statens institutionsstyrelse, Kriminalvården eller Totalförsvarets pliktverk är självständiga vårdgivare om de bedriver hälso- och sjukvårdsverksamhet.
Mot bakgrund av ovanstående kan konstateras att enskilda läkare som exempelvis är anställda på ett sjukhus eller en vårdcentral inte är att betrakta som vårdgivare i hälso- och sjukvårdsdatalagens mening. En vårdgivare är alltid en organisation och ska därmed inte förväxlas med den person som kanske rent faktiskt utför åtgärderna.
Nationella och regionala kvalitetsregister
Eftersom regelverket för personuppgiftsbehandling i nationella och regionala kvalitetsregister förs över från patientdatalagen till den nya lagen bör begreppet nationella kvalitetsregister finnas med i listan över definitioner.
Med kvalitetsregister avses en automatiserad och strukturerad samling personuppgifter som inrättats särskilt för ändamålet att
SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag
139
systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Med ett nationellt eller regionalt kvalitetsregister avses ett kvalitetsregister till vilket personuppgifter har samlats in från flera vårdgivare och som möjliggör jämförelser inom hälso- och sjukvården på nationell eller regional nivå.
Definitioner som överförs oförändrade
Utredningens bedömning är att samtliga begrepp som definieras i patientdatalagen även ska definieras i hälso- och sjukvårdsdatalagen. Det innebär att det, utöver vad som redovisats ovan, finns ett antal begreppsdefinitioner som ska föras över oförändrade till den nya lagen. Dessa begrepp är journalhandling och patientjournal.
Med patientjournal ska således avses en eller flera journalhandlingar som rör samma patient.
Med journalhandling ska avses framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.
7.2.5 Övriga bestämmelser som förs över från patientdatalagen
Vårt förslag: Bestämmelserna om rättigheter för den enskilde i
8 kap. patientdatalagen ska föras över till hälso- och sjukvårdsdatalagen med någon mindre justering. Bestämmelser om bevarande av journalhandlingar och om omhändertagande och återlämnande av journalhandlingar i 3, 6 och 9 kap. ska föras över från patientdatalagen. Bestämmelserna om skadestånd och överklagande i 10 kap. patientdatalagen ska också föras över.
I 8 kap. patientdatalagen finns bestämmelser om patientens rättigheter som inte berörs av utredningens förslag i övrigt och som enligt vår mening ska föras över till hälso- och sjukvårdsdatalagen. Bestämmelsen om rätten till journalförstöring ändras på så sätt att den även ska tillämpas med avseende på uppgifter i en gemensam vård- och omsorgsjournal, se avsnitt 32.3.10.
En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23
140
I vårt förslag till hälso- och sjukvårdsdatalag vill vi samla bestämmelserna om överlämnande, omhändertagande och bevarande av journalarkiv i ett eget kapitel. Motsvarande bestämmelser i 3,6 och 9 kap. PDL ska därför föras över till detta kapitel i den nya lagen. När det gäller bestämmelsen om bevarande om gallring i 6 kap. PDL ska den överföras och utvidgas till att gälla för bevarande och gallring av handlingar som är tillgängliga vid alla former av direktåtkomst som regleras i den nya lagen. När det gäller ansvaret för omhändertagna journaler som i dag regleras i 9 kap. 3 § PDL har ett nytt stycke införts om patientjournaler i verksamheter som bedrivits med en kommun som huvudman eller i elevhälsan, se avsnitt 13.4.6. I övrigt ska paragrafen överföras med oförändrad innebörd.
Bestämmelserna om skadestånd och överklagande berörs inte heller av våra förslag och ska därför föras över oförändrade till den nya lagen.
141
8 Grundläggande bestämmelser om behandling av personuppgifter
8.1 Bakgrund
Utredningens utgångspunkt är, som anförts i det föregående, att en lagstiftning på detta område bör utformas på ett sätt som bidrar till att stödja utvecklingen mot en ändamålsenlig informationshantering i hälso- och sjukvården. Både för patienter och för personal och ledning inom hälso- och sjukvården behöver de grundläggande förutsättningarna för informationshantering och personuppgiftsbehandling vara tydliga. Det innebär bland annat att hälso- och sjukvårdsdatalagen ska kunna ge svar på vilka personuppgifter som får dokumenteras och vad de får användas till. I en sådan komplex verksamhet som hälso- och sjukvården är det dock inte möjligt att i detalj förutse och reglera varje form av personuppgiftsbehandling. Däremot finns goda förutsättningar att utforma hälso- och sjukvårdsdatalagen på ett motsvarande sätt som patientdatalagen (2008:355), förkortad PDL, d.v.s. som en ramlagstiftning där den yttersta ramen för det tillåtna när det gäller behandling av personuppgifter inom hälso- och sjukvården anges.
I detta avsnitt redogörs för ett antal av dessa mer grundläggande och övergripande frågeställningar som avses gälla generellt inom hälso- och sjukvårdsdatalagens tillämpningsområde. Till övervägande del handlar det om att överföra befintliga bestämmelser från patientdatalagen.
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
142
8.2 Våra överväganden och förslag
8.2.1 Vissa grundläggande bestämmelser förs över oförändrade från patientdatalagen
Vårt förslag: Vissa av de grundläggande bestämmelserna om
behandling av personuppgifter som finns i 2 kap. patientdatalagen ska föras över i sak oförändrade till hälso- och sjukvårdsdatalagen. Det rör bestämmelser om kapitlets tillämpningsområde, den enskildes inställning till personuppgiftsbehandlingen och vilka personuppgifter som får behandlas.
Utredningen föreslår ett antal grundläggande bestämmelser om behandling av personuppgifter i 2 kap. hälso- och sjukvårdsdatalagen. Kapitlet föreslås innehålla bestämmelser om personuppgiftsansvar, tillåtna ändamål för behandling av personuppgifter, vilka personuppgifter som får behandlas, vilken betydelse patientens inställning till personuppgiftsbehandling har och vilka sökbegrepp som får användas i verksamheten.
Till övervägande del handlar det om att överföra motsvarande bestämmelser i patientdatalagen oförändrade till den nya lagen. De bestämmelser utredningen föreslår ska föras över oförändrade i sak anges i det följande. Det innebär även att bestämmelserna avses ha samma innebörd som framgår av vad regeringen anförde i förarbetena till patientdatalagen.1
I bestämmelserna kan dock följdändringar med anledning av utredningens förslag i andra delar aktualiseras.
Kapitlets tillämpningsområde
Utredningen föreslår att bestämmelserna i det aktuella kapitlet, precis som idag, ska gälla för sådan automatiserad behandling av personuppgifter som avses i personuppgiftslagen (1998:204), förkortad PUL. Bestämmelsen i 2 kap. 1 § PDL ska föras över oförändrad till hälso- och sjukvårdsdatalagen.
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
143
Den enskildes inställning till personuppgiftsbehandlingen
Utredningen föreslår att bestämmelserna om den enskildes inställning till personuppgiftsbehandlingen i 2 kap. 2 och 3 §§ PDL ska föras över oförändrade till hälso- och sjukvårdsdatalagen.
Det innebär bl.a. att behandling av personuppgifter som är tillåten enligt lagen, får utföras även om den enskilde motsätter sig den. Detta gäller om inte annat framgår av lag eller förordning. I hälso- och sjukvårdsdatalagen hänvisas till några sådana situationer där personuppgiftsbehandling inte får utföras om den enskilde motsätter sig den, exempelvis att lämna ut personuppgifter genom direktåtkomst i system för sammanhållen journalföring.
Vidare innebär utredningens förslag, som idag, att sådan personuppgiftsbehandling som inte är tillåten enligt hälso- och sjukvårdsdatalagen ändå för utföras om den enskilde uttryckligen samtycker till det och inte annat följer av andra bestämmelser i hälso- och sjukvårdsdatalagen eller annan lag eller förordning. I hälso- och sjukvårdsdatalagen regleras ett sådant undantag, nämligen personuppgiftsbehandling vid sammanhållen journalföring.
Därutöver innebär utredningens förslag att regeringen får meddela föreskrifter om att en behandling av personuppgifter som inte är tillåten enligt hälso- och sjukvårdsdatalagen inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen. Regeringen har således en generell befogenhet att närmare föreskriva ytterligare undantag som upphäver verkan av den enskildes samtycke till personuppgiftsbehandlingen.
Personuppgifter som får behandlas
Från integritetssynpunkt är det väsentligt att inte andra personuppgifter behandlas inom hälso- och sjukvården än vad som är befogat utifrån verksamhetens behov och krav. Utredningen föreslår därför att bestämmelserna om vilka personuppgifter som får behandlas i 2 kap. 8 § PDL förs över oförändrade till hälso- och sjukvårdsdatalagen. Det innebär att en vårdgivare får behandla endast sådana personuppgifter som behövs för de i lagen uppräknade tillåtna ändamålen för personuppgiftsbehandling i hälso- och sjukvården. Vidare klargörs att uppgifter om lagöverträdelser m.m. som avses i 21 § PUL endast får behandlas om det är absolut nödvändigt för ett sådant ändamål. Även en privat vård-
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
144
givare får under dessa förutsättningar behandla personuppgifter om lagöverträdelser.
I sammanhanget ska förtydligas att personuppgiftslagens grundläggande krav på att personuppgifter ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen samt att personuppgifter som behandlas ska vara riktiga och, om nödvändigt, aktuella gäller även vid behandling av personuppgifter enligt hälso- och sjukvårdsdatalagen. Vårdgivare behöver därför bland annat göra en bedömning av vilka personuppgifter som behövs för olika ändamål.
8.2.2 Personuppgiftsansvar
Vårt förslag: Den nuvarande paragrafen om personuppgiftsansvar i
2 kap. 6 § PDL ska föras över till hälso- och sjukvårdsdatalagen. Bestämmelsen ska kompletteras i fråga om personuppgiftsansvarets placering hos en huvudman. I lagen ska därmed anges att det hos en huvudman är den myndighet som ansvarar för att erbjuda hälso- och sjukvård enligt hälso- och sjukvårdslagen (1982:763), förkortad HSL, som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt hälso- och sjukvårdsdatalagen.
Ur ett integritetsskyddsperspektiv är det lämpligt att i en registerlagstiftning precisera vem som är personuppgiftsansvarig för sådan behandling av personuppgifter som utförs enligt lagen. Genom patientdatareformen har det tydliggjorts att en vårdgivare är personuppgiftsansvariga för den behandling av personuppgifter som vårdgivaren utför. Vidare har personuppgiftsansvaret i den offentliga hälso- och sjukvården preciserats ytterligare genom att det i lagen anges att i ”landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför”. Vidare anges i den nuvarande paragrafen att vårdgivarens personuppgiftsansvar även omfattar sådan behandling av personuppgifter som vårdgivaren, eller myndigheten, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
145
personuppgifter om en patient hos en annan vårdgivare eller annan myndighet i samma landsting eller kommun.
Utredningen föreslår att den nuvarande bestämmelsen förs över oförändrad till hälso- och sjukvårdsdatalagen. Därutöver föreslår vi att bestämmelserna kompletteras med ett förtydligande vad gäller personuppgiftsansvarets placering hos en sjukvårdshuvudman. Vi bedömer att denna komplettering är nödvändig med hänsyn till vårt förslag om att hälso- och sjukvårdsdatalagen i tillämpliga delar även ska gälla för en huvudman. Dessutom kan konstateras att det i den nuvarande bestämmelsen endast pekas ut att de myndigheter i landsting och kommuner som bedriver hälso- och sjukvård är personuppgiftsansvarig för sin behandling av personuppgifter. Det kan därmed ifrågasättas om den nuvarande lydelsen formellt omfattar en kommunal eller landstingskommunal myndighet som inte bedriver någon egentlig hälso- och sjukvård, men samtidigt har ett huvudmannaansvar för verksamheten och i den egenskapen har ett behov av att behandla personuppgifter.
I syfte att tydliggöra personuppgiftsansvarets placering hos sjukvårdshuvudmännen föreslår vi således att det i bestämmelsen ska anges att hos en huvudman är den myndighet som ansvarar för att erbjuda hälso- och sjukvård enligt hälso- och sjukvårdslagen, personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt hälso- och sjukvårdsdatalagen.
8.2.3 Sökbegrepp
Vårt förslag: Den nuvarande paragrafen om sökbegrepp i
patientdatalagen ska omarbetas språkligt. Paragrafen ska i sak föras över oförändrad, dock med undantaget att det inte längre ska vara otillåtet att som sökbegrepp använda uppgift om någon har fått bistånd eller varit föremål för andra insatser inom socialtjänsten.
Vår bedömning: De krav på samverkan som finns mellan hälso-
och sjukvården och socialtjänsten, samt utredningens förslag om förbättrade möjligheter för sådan samverkan innebär att vårdgivare kan ha ett behov av att använda uppgift om att någon har eller har fått bistånd inom socialtjänsten som sökbegrepp.
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
146
Inledning
Frågan om på vilket sätt personuppgifter kan sammanställas anses ofta som en av de viktigare frågorna från integritetssynpunkt. Utredningen föreslår att bestämmelserna om sökbegrepp i 2 kap. 8 § PDL förs över i princip oförändrade till hälso- och sjukvårdsdatalagen, men att en språklig omarbetning görs. Den nuvarande bestämmelsen börjar med att, genom en hänvisning till bestämmelser i personuppgiftslagen, tala om vad som är otillåtet för att sedan ange undantag till detta. Utredningens bedömning är att bestämmelsen blir tydligare om hänvisningen till personuppgiftslagen till viss del tas bort och istället ersätts med konkreta formuleringar om vilka sökbegrepp som är otillåtna. Istället för att ange att personuppgifter som avses i 13 § PUL inte får användas som sökbegrepp och sedan föreskriva att undantag från det förbudet vad gäller att använda uppgifter om hälsa som sökbegrepp, bedömer utredningen således att paragrafen uttryckligen ska ange att som sökbegrepp får inte användas uppgifter som avslöjar: ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller sexualliv. Inte heller ska uppgifter om att någon varit föremål för åtgärder enligt utlänningslagen (2005:716) få användas som sökbegrepp.
Det innebär exempelvis att det, precis som idag, ska vara tillåtet att använda uppgifter om hälsa som sökbegrepp.
Uppgifter om lagöverträdelser m.m. som avses i 21 § PUL ska inte heller få användas som sökbegrepp. Detta följer redan av den nuvarande bestämmelsen. Vidare ska även fortsättningsvis ett undantag från det förbudet göras vad gäller uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.
Utredningen förslag innebär även att regeringen som idag kan meddela föreskrifter om att vårdgivare, trots sökbegränsningarna, får använda personuppgifter om etnicitet, uppgifter om betydelse för smittskyddet samt uppgifter om insatser enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
147
Uppgift om bistånd och insatser inom socialtjänsten
I den nuvarande bestämmelsen om sökbegrepp i 2 kap. 8 § PDL anges att som sökbegrepp inte får användas uppgift om att någon fått bistånd eller varit föremål för andra insatser inom socialtjänsten. I samband med patientdatalagens tillkomst fördes detta förbud över till den lagen från den då gällande vårdregisterlagen. I förarbetena till vårdregisterlagen motiverades sökbegränsningarna i fråga om insatser inom socialtjänsten emellertid endast med att det överensstämde med den vid den tidpunkten gällande datalagen.2 I datalagen angavs visserligen inga sökbegränsningar rörande uppgifter om insatser enligt socialtjänsten, men i dess 4 § räknades emellertid uppgift om att någon fått ”ekonomisk hjälp eller vård inom socialtjänsten” upp som en särskilt känslig uppgift.
Enligt utredningens bedömning finns det mot bakgrund av den nära samverkan som behöver ske mellan hälso- och sjukvården och socialtjänsten skäl att ifrågasätta den nu gällande sökbegränsningen. Kommuner och landsting har under årens lopp ålagts fler och fler skyldigheter att samverka rörande individer med sammansatta behov av både hälso- och sjukvård och socialtjänst. Som exempel kan nämnas det krav på samordnad vårdplanering som finns rörande enskilda som vid utskrivning från slutenvården har behov av insatser från den kommunala hälso- och sjukvården och socialtjänsten. Vidare ska landstinget enligt 8 a och b §§ HSL ingå en överenskommelse med kommunen om ett samarbete i fråga om personer med psykisk funktionsnedsättning och om personer som missbrukar alkohol, narkotika, andra beroendeframkallande medel, läkemedel eller dopningsmedel. När den enskilde har behov av insatser både från hälso- och sjukvården och från socialtjänsten ska landstinget, enligt 3 f § HSL, tillsammans med kommunen upprätta en individuell plan. Av planen ska framgå vilka insatser som behövs, vilka insatser respektive huvudman ska svara för, vilka åtgärder som vidtas av någon annan än landstinget eller kommunen, och vem av huvudmännen som ska ha det övergripande ansvaret för planen.
Därutöver har landstinget ansvaret för de läkarresurser som behövs för att enskilda ska kunna erbjudas god hälso- och sjukvård i särskilt boende och i hemsjukvården.
Sammantaget kan konstateras att de krav på nära samverkan som föreligger mellan landsting och kommuner i fråga om hälso- och sjukvård och socialtjänst medför att det i hälso- och sjukvården
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
148
behöver dokumenteras en rad uppgifter om de insatser som enskilda får tillgodosedda av socialtjänsten. All vårdplanering som görs i fråga om patienter som skrivs ut från slutenvården och som har behov av insatser från socialtjänsten ska exempelvis dokumenteras i patientjournalen.3 Även för att leva upp till själva grundkravet i 3 kap. 6 § PDL på att patientjournalen ska innehålla de uppgifter som behövs för en god och säker vård av patienten kan vårdgivare behöva dokumentera uppgifter som har anknytning till socialtjänstens verksamhet. Det kan exempelvis handla om att den enskilde får bistånd i form av särskilt boende eller att den enskilde är beviljad hemtjänst och hemsjukvård.
Utredningens bedömning är att de krav på samverkan som finns mellan hälso- och sjukvården och socialtjänsten samt utredningens förslag om förbättrade möjligheter för sådan samverkan medför att vårdgivare kan behöva använda uppgifter om att någon har insatser inom socialtjänsten som sökbegrepp. Det kan exempelvis behövas för att få fram en uppgift om hur många invånare som omfattas av landstinget ansvar för läkarresurser i särskilt boende eller i hemsjukvården. Det kan även behövas för att kunna göra sammanställningar kring arbetet med de olika individuella vårdplanerna som ska tas fram i samverkan med kommunen. Utredningens förslag om möjligheter för hälso- och sjukvården och socialtjänsten att – under vissa förutsättningar – ha direktåtkomst till varandras personuppgifter medför även att det för vårdgivares del måste vara möjligt att göra sökningar för att administrera eller göra sammanställningar kring informationsutbytet genom direktåtkomst.
Vidare anser utredningen att det redan idag, genom att det är tillåtet att söka på uppgift om hälsa, kan hävdas att sökning på uppgifter om insatser inom socialtjänsten är tillåtet så länge det handlar om en uppgift som rör hälsa. Eftersom begreppet hälsa ska ges en vidsträckt tolkning enligt personuppgiftslagen kan då konstateras att mycket av det som görs inom socialtjänsten torde kunna falla inom ramen för vad som är att betrakta som en uppgift om hälsa. Det blir då osäkert vilket reellt tillämpningsområde den nu gällande sökbegränsningen ska anses ha. Samtidigt bedömde patientdatautredningen att en uppgift om att en äldre eller en funktionshindrad får insatser inom socialtjänsten i form av särskilt boende inte får användas som sökbegrepp, vare sig för att söka
3 3 kap. 6 § Socialstyrelsens föreskrifter (SOSFS 2005:27) om samverkan vid in- och utskrivning av patienter i sluten vård
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
149
fram en enskild uppgift eller för att kunna göra sammanställningar rörande fler patienter.
Sammanfattningsvis bedömer utredningen att det bör finnas ett tydligt stöd för vårdgivare att, vid behov, söka på uppgift om att någon har insatser inom socialtjänsten. Vi har ovan redogjort för den nära samverkan som ska ske mellan hälso- och sjukvården och socialtjänsten samt lämnat några exempel på när landstinget kan behöva söka på uppgifter relaterade till socialtjänstens verksamhet. Därutöver finns det, enligt vår bedömning, naturligtvis ett grundläggande och berättigat behov för vårdgivare inom den kommunala hälso- och sjukvården att kunna söka på uppgifter om insatser i socialtjänsten. Inte minst med tanke på att den kommunala hälso- och sjukvården bedrivs i det närmaste integrerat med socialtjänstens verksamhet ter sig en sökbegränsning omotiverad. En kommunal vårdgivare kan exempelvis behöva söka på socialtjänstrelaterade uppgifter för att kunna planera sin verksamhet i hemsjukvården och för att kunna samverka med de utförare av socialtjänst som den enskilde har.
Sammantaget anser vi att det finns övervägande skäl som talar för att den nuvarande sökbegränsningen bör tas bort. Vi bedömer att detta kan göras på ett sätt som inte medför otillbörliga intrång i de enskildas personliga integritet. Det handlar uteslutande om verksamheter som har dokumenterat uppgifter relaterade till socialtjänstens verksamhet för att uppgifterna bedöms vara viktiga för patientens vård och behandling samt för möjligheterna att planera och i övrigt bedriva en verksamhet av hög kvalitet. I praktiken har även många personer, inte minst bland de äldre, så sammansatta behov av vård och omsorg att det gör att det i praktiken inte alltid är enkelt att avgöra vad som är att hänföra till hälso- och sjukvård och vad som är att hänföra till socialtjänst.
Samtidigt vill vi erinra om att uppgifter relaterade till socialtjänsten, precis som uppgifter relaterade till hälso- och sjukvården, är av ömtålig art ur integritetssynpunkt. Vårdgivare behöver därför alltid vid personuppgiftsbehandling göra en bedömning av vilka uppgifter som är nödvändiga att behandla med hänsyn till ändamålet. De grundläggande kraven enligt personuppgiftslagen gäller naturligtvis även vid personuppgiftsbehandling som innebär användning av olika sökbegrepp. Det innebär att den personuppgiftsbehandling som utförs i samband med sökning och framtagning av sammanställningar alltid måste bottna i ett berättigat behov och att endast de personuppgifter som behövs med hänsyn till detta behov behandlas.
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
150
8.2.4 Tillåtna ändamål för behandling av personuppgifter m.m.
Vårt förslag: De nuvarande bestämmelserna i 2 kap. 4 och 5 §§
PDL om tillåtna ändamål för personuppgiftsbehandling ska överföras till hälso- och sjukvårdsdatalagen. I ändamålskatalogen ska vidare anges att personuppgifter får behandlas för att förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Inledning
Det är av integritetsskäl viktigt att inte andra personuppgifter behandlas inom hälso- och sjukvården än vad som är befogat utifrån verksamhetens behov och krav. En vårdgivare eller en huvudman får därför endast behandla sådana uppgifter som behövs för de ändamål som i lagen räknas upp som tillåtna. En ändamålsbestämmelse styr därmed över vilka personuppgifter som får samlas in och fortsättningsvis behandlas i verksamheten.
Att i lagen närmare specificera vilka personuppgifter som får behandlas i verksamheten skulle innebära tillämpningsproblem och försvåra ett rationellt utnyttjande av it inom hälso- och sjukvården. Även om det av personuppgiftslagen följer ett krav på att ändamålen ska vara särskilda, behöver ändamålsbestämmelsen utformas tämligen generellt när det, som i detta fall, gäller en registerlag som reglerar flera olika slags vårdgivares behandling av personuppgifter i en sådan komplex verksamhet som hälso- och sjukvården. En alltför detaljerad uppräkning av alla tänkbara personuppgiftsbehandlingar på området är inte möjlig att göra och skulle även, som anförs ovan, riskera att hämma utvecklingen av hälso- och sjukvårdens informationshantering.
Genom patientdatalagen infördes en i princip uttömmande ändamålskatalog för personuppgiftsbehandlingen i hälso- och sjukvården. Regleringen är fakultativ i den bemärkelsen att den anger vad vårdgivaren får göra. Det är således en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas. Inom denna ram behöver vårdgivaren i allmänhet bestämma mer konkreta och preciserade ändamål för olika delar av personuppgiftsbehandlingen. Det följer av 9 § första stycket c PUL om att ändamålen ska vara särskilda.
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
151
Utredningen föreslår således att den nuvarande ändamålsuppräkningen i 2 kap. 4 och 5 §§ PDL förs över till hälso- och sjukvårdsdatalagen. Med utgångspunkt från förarbetena till patientdatalagen utvecklas innebörden av de tillåtna ändamålen nedan.4I det följande redogör utredningen även för förslaget om att tillföra två ytterligare ändamål till hälso- och sjukvårdsdatalagen.
Patientjournalföring och annan dokumentation som behövs i och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (vårddokumentation)
Det tillåtna ändamålet är knutet till den behandling av personuppgifter som behövs för att fullgöra skyldigheten att föra patientjournal men också för att upprätta annan dokumentation som kan behövas i och för vården av en patient. Den individinriktade patientverksamheten kräver en omfattande hantering av personuppgifter för att fungera ändamålsenligt så att en hög patientsäkerhet, god kvalitet och effektivitet i verksamheten kan upprätthållas. Det är därför en självklarhet att lagens ändamålsbestämning måste omfatta detta behov.
Grunden för informationshanteringen är många gånger ett direkt dokumentationskrav från lagstiftarens sida i form av en skyldighet för särskilda yrkeskategorier att föra patientjournal. Men att hänvisa till denna dokumentationsskyldighet är långt ifrån tillräckligt för att täcka in behoven av personuppgiftsbehandling i den individinriktade verksamheten. Det beror bl.a. på svårigheterna att formellt sett dra upp gränsen för vilken dokumentation som är respektive inte är en del av patientjournalen. En hel del personuppgifter kan behandlas helt separat från den ordinära journalföringen, t.ex. vid medicinska serviceenheter, på sätt som kan leda till tveksamheter om de utgör journalhandlingar eller inte. Även sådan dokumentation som faller vid sidan av skyldigheten att föra journal kan omfattas av ett ändamål som rör den individinriktade patientverksamheten.
Med patient avses den enskilde i hans kontakt med hälso- och sjukvården. Denna innebörd är hämtad från förarbeten till patientjournallagen (1985:562).5 Det innebär t.ex. att en blodgivare är patient.
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
152
Den individinriktade verksamheten kan avse såväl sjukdomsförebyggande åtgärder, t.ex. allmänna och riktade hälsokontroller, som egentlig sjukvård, t.ex. undersökning och behandling vid ohälsa samt omvårdnad. Det saknar betydelse vem som tagit initiativ till vården. Eftersom även undersökning utan egentligt vård- eller behandlingssyfte ingår i vårdbegreppet, omfattas även personuppgiftsbehandling t.ex. i samband med hälsoundersökning av personer som söker körkortstillstånd eller vid blodprovstagning på polisens begäran vid misstänkt rattonykterhet av lagens tillämpningsområde.
All patientrelaterad administration, oavsett om den avser ekonomiska förhållanden eller andra förhållanden omfattas av ändamålet administration som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall.
Man kan sammanfattningsvis säga att personuppgiftsbehandlingen i den individinriktade verksamheten utförs för det samlade ändamålet vårddokumentation.
Utförande av annan dokumentation som följer av lag, förordning eller annan författning
Det finns en rad olika författningar som föreskriver att hälso- och sjukvården ska lämna ut uppgifter till olika myndigheter. I allmänhet är det fråga om utlämnande av uppgifter som primärt samlats in som vårddokumentation. Det kan dock vara nödvändigt med en särskild personuppgiftsbehandling när dokumentationen utformas utifrån hur uppgiftsskyldigheten ska fullgöras, t.ex. när det gäller uppgiftsskyldighet enligt 14 kap. 1 § socialtjänstlagen (2001:453). Det behövs därför ett särskilt ändamål som uttryckligen klargör att personuppgiftsbehandling som behövs för ändamålet utförande av annan dokumentation som direkt eller indirekt följer av lag, förordning eller annan författning är tillåten.
Systematisk och fortlöpande utveckling och säkring av hälso- och sjukvårdens kvalitet (kvalitetssäkring)
I 31 § HSL föreskrivs att kvaliteten inom verksamheten systematiskt och fortlöpande ska utvecklas och säkras. Motsvarande bestämmelser finns även i 16 § tandvårdslagen (1985:125). Genom dessa bestämmelser finns det alltså ett författningsreglerat krav på
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
153
vårdgivare inom hälso- och sjukvården och tandvården att bedriva såväl kvalitetssäkring som kvalitetsutveckling.
Genom användning av modern informationsteknik förbättras möjligheterna att bedriva kvalitetssäkringsarbete avsevärt. I huvudsak rör det sig om att personuppgifter som samlats in och behandlas för det primära ändamålet vårddokumentation också behandlas för ändamålet kvalitetssäkring. Men det förekommer också personuppgiftsbehandling särskilt för kvalitetssäkringsändamål, dvs. som inte innebär en ”återanvändning” av vårddokumentation utan handlar om personuppgifter som på olika sätt hämtas in och analyseras för det särskilda syftet kvalitetssäkring. Ibland är denna uppgiftsinsamling integrerad med det individinriktade arbetet. Det kan därför vara svårt att i praktiken avgöra vad som är det övergripande syftet med en viss personuppgiftsbehandling, t.ex. när patienter besvarar enkäter om tillfredsställelse i olika avseenden med vården och behandlingen. Det är dock inte något problem att ändamålen ibland är överlappande så länge som den personuppgiftsansvarige är klar över och tydlig med för vilka olika ändamål personuppgiftsbehandlingen genom insamling görs. Ett särskilt ändamål som tillåter denna behandling uttrycks därför som ett ändamål i lagen.
Inom ramen för vårdgivarens systematiska kvalitetsarbete kan patientuppgifter användas på många olika sätt. Det kan handla såväl om att enskilda yrkesutövare kontinuerligt följer upp resultaten av sina bedömningar och åtgärder som att vårdgivaren initierar särskilt inriktade kvalitetsarbeten med fokus på avgränsade delar av verksamheten t.ex. en viss process. Genom att vårdgivaren formulerar närmare riktlinjer för hur kvalitetsarbetet ska gå till kan en tydlig systematik uppnås. I den delredovisning som utredningen överlämnade till regeringen den 31 december 2013 behandlas möjligheterna att behandla uppgifter för ändamålet kvalitetssäkring ytterligare, se bilaga 4.
Administration, planering, uppföljning, utvärdering och tillsyn av hälso- och sjukvårdsverksamheten
Den individinriktade kärnverksamheten föranleder administration
och planering på ett mer övergripande plan än vid dokumentation
för individinriktad hälso- och sjukvård. Sjukvårdshuvudmännen måste t.ex. planera och dimensionera antalet vårdplatser, fördela anslag och liknande inom sina geografiska ansvarsområden. Även
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
154
privata vårdgivare behöver effektiva redskap för att administrera och planera sin verksamhet.
I personuppgiftsbehandlingar som görs för att framställa sammanställningar, som används som underlag för analyser på olika nivåer av avidentifierade uppgifter, räcker det ofta med att använda uppgifter som bara indirekt är hänförliga till en person. Likväl är det fråga om personuppgiftsbehandling.
Ett ytterligare område som alltmer kommit i fokus är kravet på att hälso- och sjukvården ska förbättra verksamhetsuppföljningen. Med uppföljning avses att fortlöpande och regelbundet mäta och beskriva sina behov, verksamheter och resursåtgången angivet i termer av t.ex. behovstäckning, produktivitet och nyckeltal. Uppföljningen tjänar till att ge en översiktlig bild av verksamhetens utveckling och att tjäna som en signal för avvikelser som bör beaktas. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestäms för denna.
Ett annat område som innefattar personuppgiftsbehandling är vårdgivarens interna tillsyn av sin verksamhet. Utan rättsliga möjligheter att behandla personuppgifter från den individinriktade patientvården är det knappast möjligt att närmare granska verksamheten. Det gäller särskilt om tillsynen rör individuella vårdfall. Men även mer övergripande granskning kan kräva tillgång till och möjligheter att behandla personuppgifter om patienter.
Framställning av statistik rörande hälso- och sjukvård
I hälso- och sjukvården framställs statistik om en mängd faktorer. Delvis är det fråga om s.k. verksamhetsstatistik som kan anses inrymmas inom ändamålen administration och verksamhetsuppföljning. Men landstingen framställer också statistik som inte utan vidare kan hänföras till något annat ändamål, t.ex. då statistik tas fram för att informera befolkningen om verksamheten. Framställning av statistik anges därför som ett särskilt ändamål i lagen.
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
155
Att förebygga, utreda eller behandla sjukdomar och skador hos patienter
Under utredningens arbete har framkommit att det finns en osäkerhet kring tillämpningen av den nu gällande ändamålsbestämmelsen. Det har framför allt handlat om vilken ändamålsbestämmelse som anger att det är tillåtet för den som arbetar hos en vårdgivare att ta del av uppgifter om en patient för att exempelvis fatta beslut om patientens vård och behandling.
Eftersom begreppet behandling av personuppgifter även omfattar att ta del av och använda personuppgifter som redan är dokumenterade behöver således ändamålsbestämmelsen omfatta en senare användning av redan dokumenterade uppgifter. I sammanhanget kan emellertid noteras att personuppgiftsbehandlingen för ändamålet vårddokumentation är formulerat på ett sådant sätt att det är avgränsat till sådan personuppgiftsbehandlingen som handlar om att fullgöra journalföringsplikten, upprätta annan dokumentation som behövs, eller för sådan administration som har med patientens vård att göra. Många gånger behöver hälso- och sjukvårdspersonal emellertid behandla personuppgifter om en patient utan att det för den skull handlar om att fullgöra journalföringsplikten eller att upprätta annan dokumentation. Det kan exempelvis handla om att använda redan dokumenterade uppgifter för att fatta ytterligare beslut om patientens vård eller för att förbereda sig inför en undersökning av patienten etc.
Visserligen anförde regeringen i förarbetena att det med ändamålet vårddokumentation inte endast avses själva insamlingen och registreringen av uppgifterna utan även senare användning av de registrerade uppgifterna i den omfattning som behövs i patientvården eller patientadministrationen.6 Samtidigt har utredningen förståelse för att hälso- och sjukvårdspersonal som tar del av den nuvarande ändamålsbestämmelsen känner tveksamhet inför vad som gäller. Bestämmelsen uttrycker över huvud taget ingenting om senare användning av redan dokumenterade uppgifter.
Sammantaget bedömer utredningen att det finns skäl att i ändamålsbestämmelsen tydliggöra att personuppgiftsbehandling är tillåten även om det inte handlar om att fullgöra journalföringsplikt eller liknande, utan om att använda uppgifter i och för vården av en patient. Inte minst mot bakgrund av den osäkerhet och otrygghet kring patientdatalagens tillämpning som finns bland hälso- och
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
156
sjukvårdspersonal kan ett sådant tydliggörande ha stor betydelse. Mot denna bakgrund föreslår vi att det i hälso- och sjukvårdsdatalagen ska anges att personuppgifter får behandlas om det behövs för att förebygga, utreda eller behandla sjukdomar och skador hos patienter. Utredningens förslag innebär ingen förändring eller utvidgning jämfört med vad som anses gälla redan idag, utan ska i allt väsentligt betraktas som ett förtydligande.
Uppgiftsutlämnande och finalitetsprincipen
Personuppgifter som behandlas i hälso- och sjukvården lämnas i olika sammanhang ut till en myndighet eller en enskild. Om utlämnandet görs för syften som gäller den för utlämnande vårdgivarens verksamhet, omfattas personuppgiftsbehandlingen genom utlämnande av något av de tillåtna ändamålen. Inte sällan görs utlämnandet däremot för mottagarens räkning. Ofta handlar det om att mottagaren är en annan vårdgivare som behöver uppgifter om en patient för sin vård av samma patient. I den mån personuppgifterna behandlas helt eller delvis automatiserat eller ingår i manuella register, innebär ett utlämnande en efterkommande, sekundär personuppgiftsbehandling som i sig måste vara laglig.
För den allmänna hälso- och sjukvården inklusive sådan hälso- och sjukvård som bedrivs av kommunala företag som avses i 2 kap. 3 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, gäller att utlämnande av personuppgifter i allmänna handlingar i enlighet med tryckfrihetsförordningen alltid kan göras utan att sådant utlämnande behöver anges som ett särskilt ändamål för vilket personuppgiftsbehandling är tillåten. Eftersom sekretess i allmänhet gäller för uppgifter i hälso- och sjukvårdens allmänna handlingar som rör patienter, krävs också att sekretessen inte hindrar ett utlämnande.
Beträffande den allmänna hälso- och sjukvården följer vidare av 6 kap. 5 § OSL att en myndighet på begäran av annan myndighet ska lämna ut uppgift som den förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Bestämmelsen kan ses som en precisering av den allmänna samverkansskyldighet myndigheter emellan som gäller enligt 6 § förvaltningslagen (1986:223).
Det finns även bestämmelser som tillåter eller medger att uppgifter lämnas ut utan att sekretessen hindrar det. I 10 kap. OSL
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
157
finns exempelvis bestämmelser som anger att sekretess inte hindrar att myndigheter inom hälso- och sjukvården på eget initiativ lämnar ut personuppgifter i vissa fall.
Gemensamt för allt detta uppgiftslämnande är att det görs med stöd av författningar som påbjuder eller tillåter utlämnande. När sådana bestämmelser har införts, får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, vid vilken man funnit att uppgiften ska eller får lämnas ut. Det saknas därför anledning att i hälso- och sjukvårdsdatalagen förhindra att personuppgifter som finns i hälso- och sjukvården lämnas ut i dessa fall bara därför att dessa numera hanteras med modern informationsteknik i stället för som tidigare på papper.
Ändamålsbestämmelsen, som förs över från patientdatalagen, medger alltså att personuppgifter – som behandlas med stöd av något eller några i det föregående behandlade ändamålen – också får behandlas för sådant uppgiftsutlämnande som görs i överensstämmelse med lag eller förordning.
Vidare föreslår utredningen personuppgiftslagens finalitetsprincip, som idag, ska gälla även vid personuppgiftsbehandling enligt hälso- och sjukvårdsdatalagen. Finalitetsprincipen innebär att personuppgifter som har samlats in i syfte att behandlas för särskilda, uttryckligt angivna ändamål (jfr 9 § första stycket c PUL) får behandlas även för andra, nya ändamål, om dessa inte är oförenliga med de ursprungliga ändamålen (9 § första stycket d samma lag). Principen hindrar inte att insamlade personuppgifter får behandlas för historiska, statistiska eller vetenskapliga ändamål, eftersom sådana ändamål per definition inte ska anses vara oförenliga med de ursprungliga insamlingsändamålen (9 § andra stycket PUL). Eftersom ändamålsbestämmelserna i lagen är uttömmande ska hälso- och sjukvårdsdatalagen uttrycklig hänvisa till dessa bestämmelser i personuppgiftslagen.
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
158
8.2.5 Att antalsberäkna och identifiera personer för forskning inom hälso- och sjukvården
Vårt förslag: Av hälso- och sjukvårdsdatalagens ändamåls-
bestämmelse ska följa att det är tillåtet att behandla personuppgifter för att antalsberäkna möjliga deltagare för forskning inom hälso- och sjukvården. Vidare ska det vara tillåtet att behandla personuppgifter för att identifiera möjliga deltagare som kan erbjudas medverkan i sådan forskning, om den aktuella studien är godkänd av regional eller central etikprövningsnämnd. Som en ytterligare förutsättning krävs att vårdgivaren har tagit fram och implementerat riktlinjer för hur personuppgiftsbehandlingen för dessa ändamål ska utföras.
Vår bedömning: Förslaget innebär ett krav på vårdgivare att ta
fram närmare riktlinjer som beskriver hur den här aktuella personuppgiftsbehandlingen ska gå till. Att antalsberäkna och identifiera personer för forskningsstudier bör dessutom vara en uppgift endast för ett fåtal personer i vårdgivarens verksamhet. Vidare bedömer utredningen att det av det särskilda regelverket om nationella och regionala kvalitetsregister med tillräcklig tydlighet redan följer att personuppgiftsbehandling för att antalsberäkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården är tillåtet.
Inledning
För att en klinisk prövning i hälso- och sjukvården ska kunna bedrivas krävs att det finns ett antal deltagare (patienter) som, efter att ha fått information om studien och erbjudande om deltagande, väljer att medverka i prövningen. Även för annan forskning inom hälso- och sjukvården, exempelvis registerstudier, är det naturligtvis nödvändigt att kunna inkludera personuppgifter om patienter för att kunna bedriva studien. Eftersom samtycke till sådan forskning inte alltid inhämtas, ser dock själva rekryteringen till viss del annorlunda ut.
För att kunna rekrytera personer till kliniska prövningar används en rad olika arbetssätt, som exempelvis annonsering i tidningar och på internet eller genom direkta kontakter mellan hälso- och sjukvårdspersonal och patienter. Generellt kan inte alla
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
159
personer som vill erbjudas deltagande i en klinisk prövning utan ofta är prövningen inriktad på vissa specifika förhållanden, vilket gör att deltagarna behöver motsvara de villkor som har ställts upp för studien. Det kan handla om att deltagarna ska ha en viss sjukdom, ta vissa läkemedel, ha varit föremål för en viss hälso- och sjukvårdsåtgärd eller kunna uppvisa andra karaktäristika som har betydelse för prövningen.
Innan en rekrytering till en klinisk prövning startar kan det även finnas behov av att bilda sig en uppfattning om hur stort det potentiella underlaget av deltagare är, bland annat för att avgöra om en tänkt prövning kan tänkas gå att genomföra eller inte. Det har under utredningens arbete framkommit att det i hälso- och sjukvården finns behov av att behandla personuppgifter just i syfte att beräkna det potentiella underlaget och i vissa fall sedan kunna identifiera vilka personer som kan erbjudas medverkan i kliniska prövningar. Detta moment benämns ofta pre-screening.
Motsvarande behov finns även för annan forskning inom hälso- och sjukvården, t.ex. registerstudier. Eftersom sådan forskning sällan utförs genom en öppen rekrytering av forskningspersoner, är en grundläggande förutsättning att det finns ett register som innehåller de för forskningen relevanta uppgifterna eller att sådana uppgifter går att söka fram i ett bredare register eller databas. Även för registerstudier finns därmed ett behov av att kunna antalsberäkna det potentiella underlaget för studien.
Kort om kliniska prövningar
En klinisk prövning kan beskrivas som en undersökning för att studera effekten av ett läkemedel eller en behandlingsmetod. Förutom sådant som har med läkemedel att göra, exempelvis att utvärdera olika substansers lämplighet och att analysera olika effekter av läkemedel, kan kliniska prövningar även handla om att utvärdera kirurgiska metoder som används i vården, dieter, medicintekniska produkter m.m. Kliniska prövningar är därför ett viktigt verktyg för att kunna garantera och utveckla en hög kvalitet och säkerhet i hälso- och sjukvården. Det innebär också en kontroll av nya produkter och behandlingar samt ett stöd vid tidigt införande av nya behandlingar i vården.
När det gäller kliniska läkemedelsprövningar bedrivs de oftast i samarbete mellan det företag (sponsor) som utvecklat läkemedlet
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
160
och hälso- och sjukvårdspersonal hos en vårdgivare (prövare). Rent praktiskt innebär det bland annat att kliniska prövningar normalt sett äger rum i hälso- och sjukvården, t.ex. på ett sjukhus, och under ledning och uppsikt av vårdgivarens hälso- och sjukvårdspersonal. Det är således vårdgivaren i egenskap av prövare som har kontakten med deltagarna (patienterna) och utför själva prövningen. Närmare förutsättningar om hur kliniska läkemedelsprövningar får genomföras m.m. finns bland annat i läkemedelslagen (1992:859) och Läkemedelsverkets föreskrifter (LVFS 2011:19) om kliniska läkemedelsprövningar på människor.
En del kliniska prövningar kan även bedrivas helt utan en sponsors eller annan extern aktörs inblandning. Det kan exempelvis handla om att vårdgivaren själv initierar en klinisk prövning för att t.ex. utvärdera de metoder i vården som vårdgivaren använder.
Att antalsberäkna och identifiera möjliga deltagare (pre-screening)
Inför en klinisk prövning preciseras vilka inklusions- och exklusionskriterier som ska gälla för studien, d.v.s. vilka villkor som måste vara uppfyllda för att en person ska kunna ingå i studien. Det är således endast de patienter som lever upp till villkoren som kan erbjudas deltagande i en klinisk prövning. Detta innebär bland annat att antalsberäkningen och identifieringen av möjliga deltagare samt rekrytering av dessa är grundförutsättningar för att en klinisk prövning över huvud taget ska kunna genomföras.
Att antalsberäkna och identifiera möjliga deltagare i en klinisk prövning görs ofta olika skeden av ett forskningsprojekt. Medan identifieringen av potentiella deltagare görs efter det att den aktuella studien har blivit godkänd av en regional etikprövningsnämnd, kan antalsberäkningen behöva äga rum i ett tidigare skede, t.ex. för att undersöka om det över huvud taget finns ett tillräckligt stort patientunderlag för att genomföra studien hos en viss vårdgivare eller till och med i Sverige. Den som överväger att initiera och bedriva en klinisk prövning, oavsett om det är vårdgivaren själv eller en sponsor, kan med andra ord tidigt i processen behöva få en indikation på om det är möjligt att genomföra studien på det sätt det är tänkt. Pre-screening kan därmed vara en användbar metod för att bedöma möjligheterna till genomförande av en planerad studie samt för utformning av den slutliga studiedesignen. Att snabbt få ett besked som bekräftar om
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
161
det finns ett tillräckligt stort patientunderlag som kan tillfrågas är värdefullt för den aktör som sedan ska fatta beslut om var studien ska genomföras.
Ett sätt att inleda arbetet är därför att jämföra uppgifter i patientjournaler med studiens villkor för deltagande. Om det endast handlar om att beräkna det potentiella patientunderlaget kan exempelvis en sökning i journalsystemet ge svar på frågeställningen. Vid ett sådant arbetssätt kan det relativt snabbt och enkelt vara möjligt att beräkna antalet personer som motsvarar villkoren i studien. Uppgifter om antalet potentiella deltagare kan även lämnas till en eventuell sponsor, men några närmare uppgifter om de enskilda får inte lämnas ut. Utredningen har vid kontakter med vårdgivare fått information om att den sökning som görs i samband med en antalsberäkning av det potentiella patientunderlaget idag kan göras utan att några direkt utpekande personuppgifter exponeras. Det är likväl en personuppgiftsbehandling i personuppgiftslagens mening, men ur ett integritetsperspektiv är det naturligtvis positivt att inte fler personuppgifter än vad som är nödvändigt exponeras för hälso- och sjukvårdspersonalen.
Om det efter en antalsberäkning finns behov av att gå vidare för att kunna vända sig till enskilda personer och erbjuda dem medverkan i en etikgodkänd studie, behöver vårdgivaren naturligtvis ta del av personuppgifter som namn och personnummer. Det kan exempelvis handla om att särskilt utpekad hälso- och sjukvårdspersonal, exempelvis en forskningssjuksköterska går igenom patientunderlaget för att närmare granska vilka som passar in i studien efter de uppställda inklusions- och exklusionskriterierna. Vårdgivaren kan sedan informera de patienter som identifieras och erbjuda dem deltagande i studien.
Vidare kan konstateras att pre-screeningen, oavsett om det handlar om att endast beräkna antalet potentiella deltagare eller att identifiera möjliga deltagare, uteslutande görs inom ramen för vårdgivarens verksamhet. Det är hälso- och sjukvårdspersonal hos vårdgivaren som genomför arbetet och inga personuppgifter röjs för en eventuell sponsor av den kliniska prövningen i detta skede. Även själva rekryteringen, d.v.s. när individen får information om studien och erbjuds deltagande, görs inom vårdgivarens verksamhet. Om det är aktuellt att röja personuppgifter utanför vårdgivarens verksamhet, t.ex. till en eventuell sponsor, görs det endast efter det att den enskilde deltagaren samtyckt till deltagande i studien och till den personuppgiftsbehandling som ska utföras i studien samt till att personuppgifter lämnas ut till sponsorn.
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
162
Därutöver kan konstateras att själva personuppgiftsbehandlingen som vårdgivaren utför i samband med att antalsberäkna och/eller identifiera potentiella deltagare är densamma oavsett om den kliniska prövningen är initierad av vårdgivaren själv eller om vårdgivaren planerar att bedriva studien på uppdrag av en sponsor.
Att antalsberäkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården bör uttryckligen omfattas av de tillåtna ändamålen
Patientdatalagens nuvarande ändamålsbestämmelser är relativt generellt utformade och utgör den yttersta ramen för en tillåten personuppgiftsbehandling. Inom ramen för detta måste vårdgivare sedan precisera ändamålen vid olika slags personuppgiftsbehandlingar.
Något ändamål som uttryckligen tar sikte på personuppgiftsbehandling för att antalsberäkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården finns inte i patientdatalagen. Närmast till hands torde vara att tillämpa bestämmelserna i 2 kap. 5 § PDL. Enligt dessa bestämmelser är det tillåtet att behandla personuppgifter för sådant utlämnande som görs i enlighet med lag eller förordning. Vidare är det tillåtet att behandla personuppgifter för något annat ändamål än det för vilket personuppgifterna samlades in, så länge det nya ändamålet inte är oförenligt med det ursprungliga. Personuppgiftslagens finalitetsprincip gäller således vid behandling av personuppgifter enligt patientdatalagen. Av den ovan nämnda bestämmelsen framgår även, genom en hänvisning till personuppgiftslagen, att en behandling för historiska, statistiska eller vetenskapliga ändamål aldrig ska anses som oförenliga med de ursprungliga ändamålen. När det gäller personuppgiftsbehandling för antalsberäkning finns även stora likheter med olika former av statistikframställning som vårdgivare utför.
Patientdatautredningen anförde i samband med utformningen av ändamålsbestämmelsen att personuppgiftsbehandlingen i hälso- och sjukvården är så komplex, omfattande och mångskiftande att det var nödvändigt att formulera ändamålsbestämmelserna tämligen generellt. En detaljerad uppräkning av alla tänkbara personuppgiftsbehandlingar ansågs inte vara möjligt och bedömdes även riskera att hämma utvecklingen av hälso- och sjukvårdens informationsförsörjning. Vidare uttalade patientdatautredningen att ändamålen i praktiken flyter in i varandra och att gränsdragningarna inte alltid är skarpa. En
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
163
och samma behandling av personuppgifter ansågs kunna ske för mer än ett ändamål.7
Utredningen delar patientdatautredningens uppfattning och anser att den personuppgiftsbehandling som görs i samband med prescreening, så som det beskrivits ovan, är ett tydligt exempel på när en personuppgiftsbehandling kan anses ske för flera närliggande och sammanhängande ändamål. Ibland kan personuppgiftsbehandlingen anses ske uteslutande för vårdgivarens egna ändamål, d.v.s. för egeninitierade prövningar. Andra gånger har vårdgivaren i egenskap av prövare och t.ex. läkemedelsbolaget i egenskap av sponsor i det närmaste ett gemensamt ändamål med den behandling av personuppgifter som antalsberäkningen och en eventuell identifiering av möjliga deltagare innebär.
Vidare kan den initiala personuppgiftsbehandlingen i vissa fall komma att resultera i att personuppgifter lämnas ut, t.ex. till en sponsor efter den enskildes samtycke. Andra gånger medför motsvarande personuppgiftsbehandling emellertid inget utlämnande, t.ex. när det är en vårdgivarinitierad studie. Vidare innebär personuppgiftsbehandlingen rörande de personer som visserligen söks fram initialt men sedan bedöms sakna någon av förutsättningarna för medverkan i studien, att personuppgifter varken kommer att lämnas ut eller behandlas för ett kommande forskningsändamål. Detsamma gäller för personer som blir tillfrågade om medverkan i studien, men som väljer att avstå.
Sammantaget finner utredningen att den nuvarande ändamålsbestämmelsen är svår att tillämpa på den personuppgiftsbehandling som här är aktuell. Vid en bedömning av den legala grunden för personuppgiftsbehandlingen framträder flera alternativa synsätt, där såväl finalitetsprincipen som personuppgiftsbehandling som ett led i ett lagligt utlämnande kan behöva analyseras. Att grunda en personuppgiftsbehandling på finalitetsprincipen innebär dessutom ett mått av osäkerhet. I dagsläget saknas vägledande avgöranden om hur finalitetsprincipen ska tillämpas vid vårdgivares behandling av personuppgifter i hälso- och sjukvården. Av den anledningen kan det finnas ett behov av praxis i denna fråga.
Sett mot bakgrund av vad som anförts bedömer utredningen att det finns övervägande skäl som talar för att det ur ett integritetsskyddsperspektiv tydligt bör framgå att personuppgiftsbehandling för att antalsberäkna och identifiera möjliga deltagare i kliniska prövningar
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
164
och annan forskning inom hälso- och sjukvården ska omfattas av en egen, särskild, ändamålsbestämmelse. Vi bedömer inte att det är en helt tillfredsställande lösning att en sådan omfattande personuppgiftsbehandling som det torde vara frågan om, inte minst för universitetssjukhusens del, ska baseras på bedömningar av finalitetsprincipens tillämpning eller tillämpning av bestämmelsen om utlämnande som tillåtet ändamål.
Samtidigt kan naturligtvis ifrågasättas om den aktuella personuppgiftsbehandlingen bör vara något som ska anses ingå i vårdgivares primära ändamål. Här bör emellertid hälso- och sjukvårdens betydelse för den kliniska forskningen uppmärksammas. Kommuner och landsting har exempelvis genom 26 b § HSL en skyldighet att medverka vid finansiering, planering och genomförande av kliniskt forskningsarbete på hälso- och sjukvårdens område samt av folkhälsovetenskapligt arbete. Vidare har staten och vissa landsting träffat så kallade ALF-avtal om samarbete kring och ersättning för utbildning och medicinsk forskning. Att forskningsverksamhet är nära förknippat med hälso- och sjukvårdsverksamheten och huvudmännens ansvar är oomtvistat. Ett sätt för hälso- och sjukvården att bidra och medverka till forskning på hälso- och sjukvårdsområdet är att kunna svara på vilket potentiellt forskningsunderlag som finns hos olika vårdgivare.
Utredningens bedömning är därför att den här aktuella personuppgiftsbehandlingen är av sådan betydelse och karaktär att det får anses som en naturlig uppgift för hälso- och sjukvårdens aktörer. Det handlar i stor utsträckning om att behandla personuppgifter som ett led i ett (eventuellt) utlämnande av uppgifter för forskningsändamål. Om det i rättslig mening är att tala om en utlämnandesituation är beroende på om forskningen bedrivs av någon annan än vårdgivaren som forskningshuvudman eller om forskningen bedrivs av en, i förhållande till vårdgivarens hälso- och sjukvårdsverksamhet, självständig verksamhetsgren. Relationen mellan en vårdgivares hälso- och sjukvårdsverksamhet och forskningsverksamhet kan bedömas olika i sekretesshänseende beroende på vilken typ av forskning som bedrivs. Hälso- och sjukvårdsverksamhet inklusive forskning som utförs som ett led i vården och behandlingen av en patient å ena sidan och annan forskning som utförs inom en offentlig vårdgivares verksamhet å andra sidan, har ansetts utgöra självständiga verksamhetsgrenar i
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
165
förhållande till varandra.8 I sådana fall rör det sig således om en utlämnandesituation.
Alldeles oavsett om en klinisk prövning är vårdgivarinitierad och utförs i samma sekretessområde som vårdgivarens hälso- och sjukvårdsverksamhet eller om prövningen bedrivs i ett annat sekretessområde anser utredningen att den personuppgiftsbehandling som det är fråga om här, d.v.s. att antalsberäkna och identifiera möjliga deltagare, ska omfattas av regleringen i hälso- och sjukvårdsdatalagen. Därmed uppställs en likhet mellan denna personuppgiftsbehandling och den personuppgiftsbehandling som vårdgivaren utför som ett led i andra utlämnandesituationer. Personuppgiftsbehandling får redan idag utföras med stöd av 2 kap. 5 PDL för att lämna ut personuppgifter, oavsett om utlämnandet görs för syften i den utlämnande vårdgivarens verksamhet eller om det görs för mottagarens räkning. Mot bakgrund av den skyldighet som vårdgivare har, enligt hälso- och sjukvårdslagen, att medverka vid planering och genomförande av kliniskt forskningsarbete kan även hävdas att pre-screening i allt väsentligt görs för vårdgivarens egna syften. Den personuppgiftsbehandling som aktualiseras därefter, t.ex. efter att en enskild samtyckt till att delta i studien, ska emellertid som idag primärt regleras av personuppgiftslagen.
Sammanfattningsvis bedömer utredningen att personuppgiftsbehandlingen ska regleras av hälso- och sjukvårdsdatalagen.
Särskilda villkor för att personuppgiftsbehandlingen ska vara tillåten
Utredningen anser att den här aktuella personuppgiftsbehandlingen egentligen är en behandling av personuppgifter för två olika ändamål, där det ena ändamålet är att antalsberäkna det potentiella deltagarunderlaget och det andra ändamålet är att identifiera vilka enskilda individer som motsvarar de kriterier som är uppställda för studien och som kan erbjudas deltagande. Vi bedömer även att personuppgiftsbehandlingen för de båda ändamålen skiljer sig åt ur ett integritetsperspektiv. I antalsberäkningen torde det egentligen vara ointressant vem den enskilde individen är. Med hänsyn till ändamålet med antalsberäkningen, som kan betraktas som en sammanställning, bedömer vi även att det saknas anledning att exponera några direkt utpekande personuppgifter. Av den information som utredningen tagit del av är det dessutom möjligt att utforma it-stöden på ett sådant
8 Jfr prop. 1979/80:2 Del A s. 463 f och 494
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
166
sätt att det är möjligt att beräkna det potentiella deltagarantalet utan att de enskilda deltagarnas identitet framgår. Mot den bakgrunden föreslår utredningen att personuppgiftsbehandling för att antalsberäkna det potentiella deltagarantalet för forskning inom hälso- och sjukvården ska anges som ett tillåtet ändamål i hälso- och sjukvårdsdatalagen.
Personuppgiftsbehandling som utförs för att identifiera enskilda individer som kan erbjudas medverkan i en forskningsstudie väcker dock enligt utredningens bedömning andra frågor. Här är det fråga om en mer ingående personuppgiftsbehandling där direkt utpekande uppgifter behöver användas på ett helt annat sätt än vad som gäller vid antalsberäkningen. Vi anser därför att den personuppgiftsbehandlingen, för att den ska vara tillåten, måste förenas med vissa integritetsskyddande villkor.
För det första föreslår vi att det ska krävas att den aktuella studien har godkänts av den regionala eller centrala etikprövningsnämnden. Att identifiera möjliga deltagare till studier som inte har varit föremål för etikprövningsnämndens ställningstagande och där godkänts, ska därmed inte vara tillåtet. Vi bedömer att det är påkallat med hänsyn till behovet av skydd för patienternas personliga integritet och att det ska gälla alldeles oavsett om det rör sig om en vårdgivarinitierad studie eller om en klinisk läkemedelsprövning där läkemedelsbolaget är sponsor. För att tydliggöra kravet på etikprövning bör det särskilt uttryckas i hälso- och sjukvårdsdatalagen.
Vidare anser vi att vårdgivare behöver ta fram rutiner och riktlinjer för hur personuppgiftsbehandlingen, både vid antalsberäkningen och vid identifieringen, ska gå till. Även om det enligt de grundläggande kraven i personuppgiftslagen och vad som i övrigt följer av bestämmelser om inre sekretess m.m. får anses otillåtet för hälso- och sjukvårdspersonal att på eget initiativ behandla personuppgifter för att antalsberäkna och/eller identifiera möjliga deltagare i forskningsstudier, anser vi att detta bör förtydligas genom riktlinjer från vårdgivarens sida. Vi föreslår därför att det i paragrafen uppställs ett krav på vårdgivare att ta fram riktlinjer för hur personuppgiftsbehandlingen för de här aktuella ändamålen ska utföras för att skydda de registrerades personliga integritet. Personuppgiftsbehandlingen för att antalsberäkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården får således endast göras under förutsättning att riktlinjer har tagits fram och implementerats i verksamheten. Det
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
167
följer redan av hälso- och sjukvårdsdatalagens övergripande krav på vårdgivaren att utforma informationshanteringen och personuppgiftsbehandlingen med utgångspunkt bl.a. i behovet av skydd för den personliga integriteten att vårdgivaren måste ha riktlinjer och instruktioner till personalen. Detta förslag innebär en särskild påminnelse om detta ansvar för den aktuella personuppgiftsbehandlingen.
Generellt bedömer vi att det endast bör vara fråga om ett fåtal personer i en vårdgivares verksamhet som bör ha i uppdrag att utföra den aktuella personuppgiftsbehandlingen. Det kan exempelvis inte anses tillåtet för t.ex. den enskilde läkare som överväger att initiera eller föreslå en forskningsstudie att själv och på eget bevåg ta del av personuppgifter i journalsystemet för att bilda sig en uppfattning om hur en studie skulle kunna designas eller hur många eller vilka patienter som skulle kunna erbjudas deltagande. Av hänsyn till behovet av skydd för patienternas personliga integritet bör vårdgivare därför ta fram närmare riktlinjer om vad som ska gälla. Det är inte möjligt för utredningen att reglera i detalj vad sådana riktlinjer ska innehålla, men vi anser att riktlinjerna åtminstone kan behöva uttrycka följande.
• Att personuppgiftsbehandling för att identifiera möjliga deltagare endast får ske om forskningsstudien har godkänts av etikprövningsnämnden.
• Vem eller vilka som har kompetens för arbetsuppgiften och bör kunna utföra den aktuella personuppgiftsbehandlingen.
• Hur uppdraget till personer som får utföra personuppgiftsbehandlingen ska utformas.
• Hur åtkomst till uppgifter vid personuppgiftsbehandlingen ska loggas och i efterhand följas upp.
• Om någon form av internt ansöknings- eller anmälningsförfarande ska vara påkallat, t.ex. för att godkänna och registrera att det i enskilda fall är tillåtet att behandla personuppgifter för att identifiera möjliga deltagare.
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
168
Information till patienter
För att patienter ska ha kännedom och kunna ha en överblick över de ändamål för vilka personuppgifter behandlas i hälso- och sjukvården är information en grundläggande förutsättning. Utredningen vill därför som en generell rekommendation uppmana vårdgivare att, för det fall det inte redan görs, i sina allmänna informationsinsatser riktade mot patienter inkludera information om vårdgivarens roll i samband med forskning inom hälso- och sjukvården. Sådan information kan lämpligen ges tillsammans med övrig information om personuppgiftsbehandlingen som vårdgivaren ska tillhandahålla patienter enligt den grundläggande bestämmelsen om informationsskyldighet i nuvarande 8 kap. 6 § PDL.
Att vända sig till patienter med erbjudande om deltagande i en forskningsstudie
Även om det kan sägas ligga utanför utredningens uppdrag vill vi även sätta ljuset på den, enligt vår mening, viktiga frågan om hur vårdgivaren på lämpligt sätt ska närma sig patienter med erbjudande om deltagande i kliniska prövningar och annan forskning på hälso- och sjukvårdens område. Enligt vår bedömning ställer detta moment stora krav på etiska överväganden, bland annat relaterat till individers personliga integritet, och varsamt tillvägagångssätt. För vårdgivarens del handlar det således inte enbart om att behandla personuppgifter och att ha rutiner för det, utan även om hur mötet med patienten arrangeras på ett sätt som värnar patientens behov av integritetsskydd och upprätthåller förtroendet för hälso- och sjukvården.
Nationella och regionala kvalitetsregister
Nationella kvalitetsregister är en naturlig kunskapskälla för forskning och av nuvarande bestämmelser i 7 kap. 5 § PDL framgår att uppgifter som behandlas i ett nationellt kvalitetsregister även får behandlas bland annat för forskning inom hälso- och sjukvården och för att framställa statistik. Vidare framgår av samma paragraf att det är tillåtet att lämna ut uppgifter till den som ska använda uppgifterna för sådan forskning.
SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter
169
Till skillnad från en vårdgivares journalsystem, som innehåller vitt skilda uppgifter om en stor mängd olika patienter, är nationella kvalitetsregister koncentrerade i förhållande till ändamålet med registret. Ett kvalitetsregister innehåller därmed endast de personuppgifter som har bedömts behövas för registrets specifika ändamål. På motsvarande sätt som en forskningsstudie har kvalitetsregister därmed även vissa inklusionskriterier. Kännedom om vilka variabler som registreras i ett nationellt kvalitetsregister och hur stor täckningsgraden är kan därmed i sig utgöra tillräcklig information för en forskare som står i begrepp att initiera en forskningsstudie. I ett sådant fall ger således den allmänna informationen om kvalitetsregistret tillräckligt underlag för att beräkna det möjliga forskningsunderlaget.
Ibland kan uppgifter emellertid behöva utsökas på en mer detaljerad nivå än så, beroende på den aktuella studiens inriktning. Precis som vid den statistikframställning som får göras i nationella kvalitetsregister kan en personuppgiftsbehandling för forskningsändamål eller för ändamålet utlämnande därför ofta innebära att ett visst urval ur den totala mängden personuppgifter görs. Det är inte alltid så att samtliga personuppgifter i kvalitetsregistret eller personuppgifter rörande samtliga patienter är relevanta för dessa ändamål. På motsvarande sätt som beskrivits i det föregående vad gäller pre-screening i t.ex. vårdgivarnas journalsystem, kan personuppgifter i nationella kvalitetsregister också behöva behandlas för att antalsberäkna eller identifiera möjliga deltagare i forskningsstudier.
Enligt utredningens erfarenhet görs sådan personuppgiftsbehandling idag, t.ex. sådan behandling som innebär att den myndighet som ansvarar för ett nationellt kvalitetsregister kan svara på hur ett möjligt forskningsunderlag ser ut. Jämfört med motsvarande personuppgiftsbehandling i ett journalsystem torde personuppgiftsbehandlingen i ett nationellt kvalitetsregister, bl.a. beroende på registrets begränsade informationsmängder och strukturerade dokumentation, snabbare kunna ge svar på hur stort det potentiella forskningsunderlaget är. Myndigheten som har det centrala ansvaret för ett kvalitetsregister behöver även utföra sådan personuppgiftsbehandling för att kunna ta ställning till och eventuellt administrera begäran om utlämnande av uppgifter till den som ska utföra en forskningsstudie. Att antalsberäkna eller identifiera möjliga deltagare i forskningsstudier är därmed en nödvändig del av myndighetens arbete.
Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23
170
Utredningen bedömer att det redan av nuvarande regelverk med tillräcklig tydlighet följer att personuppgiftsbehandling för att antalsberäkna och/eller identifiera personer för forskning inom hälso- och sjukvården, är tillåtet i nationella och regionala kvalitetsregister. Detta eftersom det i regelverket för nationella kvalitetsregister uttryckligen framgår att personuppgifter som behandlas för kvalitetssäkring även får behandlas för forskning inom hälso- och sjukvården och för utlämnande till någon som ska bedriva sådan forskning. Något förtydligande härom i hälso- och sjukvårdsdatalagen anser vi därför inte behövs.
171
9 Säker och ändamålsenlig hantering av personuppgifter
9.1 Bakgrund
Dokumentationen i hälso- och sjukvården är utan tvekan av mer integritetskänslig karaktär än vad information i många andra sammanhang är. Det handlar i princip uteslutande om uppgifter om människors hälsa och livssituation. Av hänsyn till behovet av skydd för den personliga integriteten är det därför nödvändigt att de uppgifter om enskilda som dokumenteras i hälso- och sjukvården hanteras på ett säkert och ändamålsenligt sätt. Det handlar även om att inte äventyra enskildas förtroende för hälso- och sjukvårdens informationshantering. Samtidigt behöver uppgifter kunna användas på ett ändamålsenligt sätt i hälso- och sjukvården, så att enskilda patienter får en god och säker vård och så att kvaliteten och säkerheten i verksamheten fortlöpande kan utvecklas. Dokumenterade personuppgifter behöver därför sammantaget hanteras på ett sätt som gör att behovet av integritetsskydd kan tillgodoses samtidigt som verksamheten ges förutsättningar att skapa bästa möjliga resultat för patienterna.
Grundläggande förutsättningar för en ändamålsenlig informationshantering är bland annat att uppgifter finns tillgängliga när de behövs i och för vården av en patient. En annan förutsättning är att de uppgifter som dokumenteras om patienter förvaras och hanteras på ett sådant sätt att obehöriga inte kan komma åt dem, att uppgifter inte sprids utanför verksamheten, att de informationssystem som används i verksamheten är utformade på ett sådant sätt att integritetsskyddet tillgodoses, att en användares behörighet till uppgifter anpassas och begränsas till de behov som användaren har samt att åtkomsten till uppgifterna loggas och kontrolleras.
Det är vårdgivaren som har det yttersta ansvaret för informationssäkerheten i verksamheten. Det ansvaret är i dag främst
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
172
reglerat i patientdatalagen (2008:355), förkortad PDL, och i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Vårdgivarens övergripande ansvar för kvaliteten i vården regleras i hälso- och sjukvårdslagen (1982:763), förkortad HSL, patientsäkerhetslagen (2010:659), förkortad PSL, och Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete.
Utredningens utgångspunkt är att en lagstiftning om personuppgiftsbehandling i hälso- och sjukvården så långt möjligt bör ge ett samlat uttryck för de ändamål som ligger bakom ovan nämnda författningar.
9.2 Våra överväganden och förslag
Vår bedömning: Hälso- och sjukvårdsdatalagen bör innehålla
ett kapitel om en säker och ändamålsenlig hantering av personuppgifter där bestämmelser om inre sekretess samlas med bestämmelser om ansvaret för att uppgifter finns tillgängliga när det behövs för att arbetet i hälso- och sjukvården ska kunna utföras på ett sätt som tillgodoser enskildas behov av god och säker vård m.m.
Förtroendet för integritetsskyddet i informationshanteringen har relevans inte bara när det gäller den yttre sekretessen gentemot utomstående och vid överföring av personuppgifter inom hälso- och sjukvården. Det är även viktigt att det inom en vårdgivares verksamhet finns ett integritetsskydd avseende hanteringen av uppgifter om patienter, dvs. som har med den så kallade inre sekretessen att göra. Utredningen bedömer att de nuvarande bestämmelserna om inre sekretess m.m. bör föras över till den nya lagen endast med några mindre förändringar. Med regler om inre sekretess, behörighetsstyrning och åtkomstkontroll tydliggörs att det aldrig kan vara fråga om ett okontrollerat och fritt flöde av uppgifter inom hälso- och sjukvården.
Vårdgivaren har, som ovan nämnts, det övergripande ansvaret för informationssäkerheten i verksamheten. Informationssäkerheten handlar i detta avseende även om betydelsen av att de system som innehåller personuppgifter är lätta att använda och i övrigt
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
173
ändamålsenliga samt att systemen utformas på ett sätt som tillgodoser patienternas behov av integritetsskydd. Tillgång till personuppgifter i hälso- och sjukvården vid rätt tillfälle är en förutsättning för att enskilda patienter ska få en god och säker vård. Mot den bakgrunden anser vi att hälso- och sjukvårdsdatalagen även ska uttrycka vårdgivarens övergripande skyldighet att ta ansvar för att personalen har tillgång till de uppgifter som behövs för att utföra sina arbetsuppgifter på ett för verksamheten och för patienterna, tillfredsställande sätt. Balansen mellan behovet av uppgifter och den enskildes intresse av en integritetsskyddande hantering kan sammanfattas i devisen ”rätt information på rätt plats i rätt tid”. I ett kapitel om en säker och ändamålsenlig hantering bör dessa intressen förenas och tillsammans stödja en utveckling mot en ändamålsenlig informationshantering i hälso- och sjukvården.
Vi anser att bestämmelser som reglerar det övergripande ansvaret för en säker och ändamålsenligt hantering av personuppgifter i hälso- och sjukvården bör samlas i ett särskilt kapitel i lagen. Syftet med att välja ut några särskilt viktiga bestämmelser i detta avseende och lyfta dessa i ett eget avsnitt är att betona vårdgivarens och yrkesutövarnas ansvar för att uppfylla lagens syfte. Kapitlet bör omfatta några nya bestämmelser och några bestämmelser som överförs något omformulerade från patientdatalagen.
9.2.1 Ansvar för den som arbetar hos en vårdgivare – inre sekretess
Vårt förslag: Den nuvarande bestämmelsen i patientdatalagen
om inre sekretess ska överföras, med mindre justeringar, till hälso- och sjukvårdsdatalagen. I lagen ska anges att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon behöver uppgifterna för sitt arbete inom hälso- och sjukvården och uppgifterna ska användas för något av de i lagen tillåtna ändamålen för behandling av personuppgifter.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
174
Det personliga yrkesansvaret och tystnadsplikten
Utöver vårdgivarens yttersta ansvar för informationshanteringen har hälso- och sjukvårdspersonalen ett personligt yrkesansvar som innefattar ett ansvar för hantering av personuppgifterna. I det personliga yrkesansvaret ingår att utföra arbetet i enlighet med vetenskap och beprövad erfarenhet. En patient ska ges sakkunnig och omsorgsfull hälso- och sjukvård som uppfyller dessa krav. Vården ska så långt som möjligt utformas och genomföras i samråd med patienten och patienten ska visas omtanke och respekt (6 kap. 1 § PSL).
En grundläggande princip som gäller för hälso- och sjukvårdspersonalen är principen om tystnadsplikt. Den är juridiskt reglerad genom bestämmelserna i offentlighets- och sekretesslagen (2009:400), förkortad OSL, patientsäkerhetslagen och genom bestämmelser om inre sekretess. Utöver dessa tvingande regler är principen om tystnadsplikt inom hälso- och sjukvården även en grundläggande etisk princip som fanns uttryckt redan i den Hippokratiska eden.
Vad jag under min yrkesutövning än hör och ser bland människor av den beskaffenhet att det måhända icke bör spridas, ska jag förtiga och betrakta som osagt.
Tystnadsplikten finns också uttryckt i de yrkesetiska regler som yrkesutövare inom hälso- och sjukvården förbinder sig till. Läkarförbundet anför om sina yrkesetiska regler att den som valt att bli läkare har åtagit sig en svår och ansvarsfull uppgift, som kräver goda kunskaper och vilja att följa de etiska krav som läkaren genom årtusenden erkänt vara normgivande. I de etiska reglerna stadgas angående tystnadsplikten att läkaren ska iakttaga tystlåtenhet
om all information rörande enskild patient, såvida det inte äventyrar patientens väl.1 Den etiska koden för sjuksköterskor har motsva-
rande formuleringar. Det är nödvändigt med en förtroendefull relation mellan en patient och en yrkesutövare inom hälso- och sjukvården för att en god och säker vård ska kunna erbjudas.
Tystnadsplikten innebär ett förbud mot att röja uppgift, vare sig det görs muntligen, skriftligen eller på annat sätt. Inom vården handlar det inte enbart om dokumenterade uppgifter, utan även om alla andra typer av uppgifter som är av personlig art.
1 http://www.slf.se/Etikochansvar/Etik/Lakarforbundets-etiska-regler/
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
175
Inre sekretess
Reglerna om inre sekretess avser att skydda enskilda från att uppgifter om dem sprids på ett obehörigt sätt inom ett sekretessområde. Även om uppgifterna finns tillgängliga inom ett sekretessområde så innebär det inte att uppgifterna får användas eller spridas obefogat inom detta område. Den som arbetar i hälso- och sjukvården ska bara ta del av de uppgifter som han eller hon behöver för att utföra sina arbetsuppgifter. Den inre sekretessen avseende dokumenterade uppgifter är i dag reglerad i patientdatalagen. Ett ytterligare skydd för uppgifter inom ett sekretessområde är patientens möjlighet att spärra uppgifterna för åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess. Dessa viktiga bestämmelser och principer bärs upp både av vårdgivare och yrkesutövare och säkerställer ett grundläggande skydd för patientens integritet. Detta skydd är helt nödvändigt för allmänhetens förtroende för hälso- och sjukvården.
Lagens kapitel om säker och ändamålsenlig hantering av personuppgifter bör enligt vår bedömning inledas med en bestämmelse som riktar sig till den som arbetar hos en vårdgivare och som reglerar ansvaret för den inre sekretessen. Bestämmelsen är inte ny utan är en omformulering av den bestämmelse om inre sekretess som gäller i dag. Denna bestämmelse är förmodligen den som ställt till med mest tillämpningsproblem i gällande patientdatalag. Vi har därför velat förtydliga den och sätta den i ett sammanhang som generellt handlar om ansvar för en säker hantering av uppgifter i vården.
Enligt vårt förslag får den som arbetar hos en vårdgivare endast ta del av dokumenterade uppgifter om en patient om han eller hon behöver uppgifterna för sitt arbete inom hälso- och sjukvården och uppgifterna ska användas för något av de ändamål som är tillåtna enligt lagen. Vi anser således att man kan ta bort det första ledet ”om han eller hon deltar i vården av patienten” som finns i dagens bestämmelse och gå direkt på kravet att uppgifterna ska behövas i arbetet i hälso- och sjukvården. Den som deltar i vården av en patient behöver ju uppgifterna för sitt arbete inom hälso- och sjukvården. Vi anser därför att det räcker med att koppla kravet till behovet av uppgifterna i arbetet. Vi hoppas att det ska leda till mindre missförstånd eftersom många läsare stannar vid första ledet ”deltar i vården” och därför tolkar bestämmelsen mer restriktivt än nödvändigt.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
176
För att göra bestämmelsen mer komplett bör de enligt vår bedömning hänvisa till den grundläggande ändamålsbestämmelsen i hälso- och sjukvårdsdatalagen. Ändamålsbestämmelsen beskriver för vilka syften det är tillåtet att behandla personuppgifter i hälso- och sjukvården. För att den som arbetar åt vårdgivaren ska få behandla personuppgifter måste uppgifterna behövas i arbetet hos vårdgivaren för ett av de tillåtna ändamålen. Detta gäller visserligen redan i dag, men vi gör bedömningen att det kan underlätta tillämpningen om hänvisningen till vilka ändamål som är tillåtna finns uttryckligt med i bestämmelsen. Eftersom vi även tydliggjort själva ändamålsbestämmelsen på ett sådant sätt att personuppgifter får behandlas om det behövs för att förebygga, utreda eller behandla sjukdomar och skador hos patienten bedömer vi att vägledningen för yrkesutövarna nu blir bättre än tidigare.
Genom hänvisningen till ändamålsbestämmelsen blir det därför tydligt att den som arbetar hos en vårdgivare får ta del av uppgifter om en patient om det behövs exempelvis för
• patientens vård och behandling,
• att föra journal,
• att upprätta administration som rör patientens vård,
• planering, uppföljning, utvärdering och tillsyn av verksamheten,
• att framställa statistik om hälso- och sjukvården, eller
• att kunna administrera utlämnanden av patientuppgifter.
Ett annat exempel på ett tillåtet ändamål för behandling av personuppgifter är att ”systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten”. Detta syfte knyter an till vårdgivarens grundläggande skyldighet enligt hälso- och sjukvårdslagen att vara aktiv när det gäller att utveckla verksamhetens kvalitet. Den som arbetar hos en vårdgivare kan därmed, med stöd av vårdgivarens uppdrag, ta del av uppgifter om en patient för sitt arbete med att kvalitetssäkra sina insatser och bedömningar m.m.2
Situationen då den som arbetar år en vårdgivare överväger att ta del av uppgifter som finns tillgängliga inom den egna verksamheten liknar den då yrkesutövaren ska ta ställning till om han eller hon har rätt att ta del av uppgifter som har gjorts tillgängliga genom
2 Läs mer om att använda personuppgifter för att utveckla kvaliteten i verksamheten i vår delredovisning enligt direktiv 2013:43, bilaga 4
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
177
direktåtkomst av en annan vårdgivare. Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon behöver uppgifterna för sitt arbete åt vårdgivaren. Den grundförutsättningen gäller både vid sammanhållen journalföring och när man tar del av uppgifter i den egna verksamheten. Den föreslagna bestämmelsen om inre sekretess ska tillämpas oavsett om uppgifterna finns inom verksamheten eller har gjorts tillgängliga av en annan vårdgivare. I sammanhanget ska dock förtydligas att de tillåtna ändamålen för åtkomst till uppgifter hos andra vårdgivare i system för sammanhållen journalföring är begränsade.
Det ligger ett ansvar på vårdgivare att utveckla goda rutiner och adekvata metoder för att uppfylla de krav på säker och ändamålsenlig hantering som måste ställas. Det innebär ett ansvar för att genom utbildning och på annat sätt se till att personalen känner till vad som gäller avseende hantering av personuppgifter. I detta ansvar ingår att följa upp att utarbetade rutiner och andra interna regler verkligen tillämpas av personalen i det vardagliga arbetet.3
9.2.2 Ansvar för att uppgifter är tillgängliga när de behövs
Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att vård-
givaren ska se till att dokumenterade personuppgifter är tillgängliga för den som arbetar hos en vårdgivare när uppgifterna behövs i och för vården av en patient.
Vårdgivaren är ytterst ansvarig för informationshanteringen och för verksamheten som helhet och ska se till att uppgifterna hanteras på ett sådant sätt att de är tillgängliga för de som behöver uppgifterna i sitt arbete inom hälso- och sjukvården och så att de skyddas från obehöriga. Även om det inte föreligger någon tveksamhet om vårdgivarens ansvar kan det var ett bra stöd vid tillämpningen av lagen att också konkret uttrycka vad detta ansvar innefattar. Själva syftet med att föra patientjournal går förlorad om uppgifterna inte finns tillgängliga där de behövs. Därför måste vårdgivaren vara medveten om detta ansvar och arbeta systematiskt med att säkerställa att personuppgifterna finns tillgängliga i verksamheten. Det behöver t.ex. finnas väl utarbetade skydd mot
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
178
avbrott i systemen, reservplaner och robusta rutiner för tilldelning av behörigheter m.m.
Att ha tillgång till korrekta och relevanta uppgifter om en patient är en förutsättning för att hälso- och sjukvårdspersonalen ska kunna leva upp till kraven på god och säker vård. Utredningen gör bedömningen att det av tydlighetsskäl är nödvändigt att inte enbart uttrycka kraven på integritetsskyddande åtgärder i lagen. Det är viktigt att betona även tillgänglighetsaspekten.
9.2.3 Ansvar för att skydda uppgifterna vid överföring via internet m.m.
Vårt förslag: I hälso- och sjukvårdsdatalagen ska tas in bestäm-
melser om att vårdgivare ska se till att dokumenterade personuppgifter hanteras och förvaras så att obehöriga inte får tillgång till dem. Om internet eller andra jämförliga nät används för att överföra personuppgifter som behandlas enligt hälso- och sjukvårdsdatalagen, ska vårdgivaren se till att överföringen görs så att ingen obehörig kan ta del av uppgifterna.
Bestämmelsen i 4 kap. 6 § PDL om landstingets ansvar för att skydda patientens identitet i vissa fall ska överföras till den nya lagen.
Kravet att vårdgivaren ska se till att obehöriga inte kan ta del av dokumenterade personuppgifter är en omformulering av sista stycket i nu gällande syftesbestämmelse i 1 kap. 2 § PDL. Vi anser att denna bestämmelse istället ska utformas som en materiell bestämmelse om ansvar för vårdgivaren. Vårdgivaren som har det yttersta ansvaret för att verksamheten bedrivs säkert ur alla aspekter ansvarar också för att se till att dokumenterade personuppgifter hanteras och förvaras så att obehöriga inte kan ta del av dem. Detta gäller redan i dag men är inte lika tydligt reglerat på den övergripande nivån.
Ansvaret innebär bl.a. att vårdgivaren måste se till att de informationssystem som används i verksamheten är skyddade mot obehörig åtkomst och att det finns bra system för tilldelning av behörighet och för åtkomstkontroll. Bestämmelsen syftar till att skydda uppgifterna från otillåten spridning såväl inom som utom verksamheten.
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
179
Överföring av personuppgifter över internet eller andra jämförliga nät
I dag kommuniceras personuppgifter allt mer över internet eller andra jämförliga nät. Det kan handla både om sådan mer intern informationsöverföring som görs mellan olika delar av en vårdgivares verksamhet och om sådan överföring som görs till mottagare utanför den egna vårdgivarens organisation. Som exempel på det senare kan nämnas sådant informationsutbyte som görs med stöd av de regler om direktåtkomst som föreslås längre fram. Ett annat exempel kan vara överföring av uppgifter om den enskilde till den enskilde själv.
Internet är ett exempel på vad som i allmänhet brukar betraktas som ett öppet nät. Som ett annat sådant exempel anges ofta även Sjunet, vilket är ett nät med många anslutna kunder som exempelvis samtliga landsting, ett antal kommuner, ett antal privata vårdgivare samt Skatteverket, Apoteket och ett antal leverantörer. Av utredningens förslag följer särskilda krav på säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät. Med andra jämförliga nät avser utredningen sådana öppna nät som kan jämföras med internet. Det finns emellertid ingen legaldefinition av öppet nät. Datainspektionen har dock i ett ärende uttalat följande av intresse i sammanhanget.4
Avgörande för frågan om ett intranät är ett öppet nät är hur det är konfigurerat, vilka och hur många som trafikerar nätet och kan ta del av resurser anslutna till nätet samt hur god säkerheten i övrigt är för nätverket. Ett öppet nät kan sägas karaktäriseras av att fler än den personuppgiftsansvarige kan ta del av uppgifter som kommuniceras i nätet eller nå resurser som är tillgängliga via det.
Det är enligt vår bedömning inte möjligt att hälso- och sjukvårdsdatalagen definiera öppna nät eller närmare precisera vad som avses med andra jämförliga nät. Vi bedömer dock att vägledning för tillämpningen kan hämtas ur Datainspektionens uttalande ovan. Vårdgivare i hälso- och sjukvården behöver därför göra en bedömning av om de nät, utöver internet, som används för överföring av personuppgifter är sådana som, exempelvis beroende på hur de är konfigurerade och om flera personuppgiftsansvariga kan ta del av uppgifter som kommuniceras i nätet, är att betrakta som sådana andra jämförliga nät som avses i den föreslagna bestämmelsen.
4 Datainspektionen, dnr. 1409-2012
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
180
I jämförelse med helt verksamhetsintern informationshantering, t.ex. på interna nätverk som inte är exponerade mot internet och där inga andra personuppgiftsansvariga använder samma nät, kan särskilda risker uppstå när uppgifter överförs över internet. Av den anledningen är det nödvändigt att vidta särskilda säkerhetsåtgärder för att skydda uppgifterna och minska risken för att obehöriga personer kan få tillgång till informationen. Vid en bedömning av vilka åtgärder som bör vidtas och karaktären på dessa ska bland annat hänsyn tas till hur pass känsliga personuppgifter det rör sig om. Enligt personuppgiftslagen (1998:204), förkortad PUL, gäller särskilda begränsningar för behandling av s.k. känsliga personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Om sådana personuppgifter överförs via internet eller andra jämförliga nät måste den personuppgiftsansvarige vidta särskilda åtgärder för att skydda uppgifterna.
Även andra personuppgifter, som i och för sig inte omfattas av uppräkningen av de s.k. känsliga personuppgifterna i 13 § PUL, kan naturligtvis också vara så integritetskänsliga att även de kräver mer omfattande säkerhetsåtgärder, till exempel uppgifter om lagöverträdelser enligt 21 § PUL. Omständigheter som kan peka på att uppgifterna är mer integritetskänsliga är exempelvis om uppgifterna omfattas av tystnadsplikt eller sekretess, om behandlingen omfattas av en särskild registerlagstiftning eller om uppgifterna rör enskildas personliga förhållanden.
Mot bakgrund av ovanstående kan konstateras att uppgifter inom hälso- och sjukvården i det närmaste uteslutande är att betrakta som känsliga enligt 13 § PUL, eftersom uppgifterna rör enskildas hälsa. Uppgifterna ska därmed skyddas på ett särskilt sätt vid överföring över t.ex. internet.
När det gäller de närmare kraven på säkerhetsåtgärder har Datainspektionen i sin tillämpning av 31 § PUL sedan länge slagit fast att känsliga personuppgifter får lämnas ut via öppna nät (t.ex. internet) endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering (t.ex. e-legitimation), engångslösenord eller motsvarande. I praxis har även termen stark autentisering använts för att beskriva detta. Dessutom ska, enligt samma praxis, känsliga personuppgifter vara krypterade vid överföring.
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
181
För hälso- och sjukvårdens del uttrycks detta, i princip, genom bestämmelser i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Av 2 kap. 5 § nämnda föreskrifter följer att vårdgivare som använder öppna nät för att hantera patientuppgifter ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att överföringen av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna och att åtkomst till patientuppgifter föregås av stark autentisering.
Några bestämmelser härom finns emellertid inte i patientdatalagen. Utredningen bedömer att detta är en inte helt tillfredsställande lösning med avseende på den omfattande behandling av känsliga personuppgifter som görs inom hälso- och sjukvården. Vidare är utredningens utgångspunkt att hälso- och sjukvårdsdatalagen ska vara så uttömmande som möjligt ifråga om de integritetsskyddsbestämmelser som det bedöms finnas särskilt behov av för hälso- och sjukvårdens del. Därför anser vi att det i den föreslagna lagen bör tas in en grundläggande bestämmelse som tydliggör kravet på särskilda säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät.
Sammantaget föreslår utredningen således att det i hälso- och sjukvårdsdatalagen ska tas in en bestämmelse som tydliggör kraven på säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät. Om vårdgivare använder internet eller andra jämförliga nät för att överföra personuppgifter som behandlas enligt hälso- och sjukvårdsdatalagen, ska denne se till att överföringen görs så att ingen obehörig kan ta del av uppgifterna. Det innebär i praktiken att uppgifterna måste överföras genom en krypterad förbindelse eller genom att uppgifterna i sig krypteras.
9.2.4 Ansvar för informationssystemens utformning
Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att vård-
givare ska se till att de informationssystem som innehåller personuppgifter är lätta att använda, stödjer det kliniska arbetet, underlättar arbetet med kvalitetsutveckling, underlättar samverkan och utbyte av uppgifter samt är utformade på sådant sätt att patienternas integritetsskydd tillgodoses.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
182
Vårdgivaren har ett yttersta ansvar för informationshanteringen och för verksamheten som helhet. Av hälso- och sjukvårdslagen följer att hälso- och sjukvården ska vara av god kvalitet och att det ska finnas den personal, de lokaler och den utrustning som behövs för att god vård ska kunna ges. Vidare är vårdgivaren skyldig att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. I Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete finns bestämmelser om hur detta kvalitetsarbete ska bedrivas. Tanken är att vårdgivaren med hjälp av processer och rutiner samt ett systematiskt förbättringsarbete ska uppnå kvalitet i verksamheten. Det systematiska förbättringsarbetet ska bestå av riskanalys, egenkontroll och hantering av avvikelser.
Svensk sjukvård har sedan länge en hög datoriseringsgrad. Till exempel har i princip alla landsting it-stöd för all vårddokumentation. Trots detta anser professionernas företrädare att huvuddelen av systemen inte ger det stöd i arbetet som behövs för att bedriva en effektiv och säker verksamhet.5 Ett informationssystem bör stödja yrkesutövaren i arbetssituationen. Systemet bör t ex att underlätta att göra rätt och förhindra att göra fel både i systemet och vid utförandet av vårdinsatserna. Ett användarvänligt informationssystem kan öka vård- och omsorgskvaliteten för vårdtagare och personal samt minska kostnaderna för vårdgivaren.
Vi föreslår en bestämmelse som konkretiserar några av de grundläggande krav som måste ställas på ett informationssystem som innehåller personuppgifter och som ska användas i och för vården av en patient. Vårdgivaren är ytterst ansvarig för att en god och säker vård ges och för hanteringen av personuppgifter i verksamheten. I detta ligger även ett ansvar för att kravställa och upphandla informationssystem som är ändamålsenliga, säkra och kan användas som stöd i arbetet.
Vi föreslår att bestämmelsen ställer ett uttryckligt krav på vårdgivaren att se till att de informationssystem som innehåller personuppgifter är lätta att använda och stödjer det kliniska arbetet. Detta krav finns även uttryckt som ett av målen för Nationell eHälsa6:
5 Störande eller stödjande? Om eHälsosystemens användbarhet 2013 6 Nationell eHälsa 2010 – strategin för tillgänglig och säker information inom vård och omsorg
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
183
Vård- och omsorgspersonal ska ha tillgång till välfungerande och samverkande elektroniska beslutsstöd som säkerställer en hög kvalitet och säkerhet samtidigt som det underlättar deras dagliga arbete. Nödvändig och strukturerad information ska finnas tillgänglig som underlag för beslut om insatser och behandlingar.
Vi föreslår också att bestämmelsen ska omfatta krav på vårdgivaren att se till att informationssystemen underlättar kvalitetsarbetet. Vårdgivare fullgör sitt ansvar för att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten genom en antal olika aktiviteter, som alla tillsammans bidrar till en övergripande systematik och en struktur för ledning av kvalitetsarbetet. Att ta del av personuppgifter för att säkra och följa upp vårdens resultat är endast en av många saker som görs inom ramen för det systematiska kvalitetsarbetet. Informationssystemen måste vara uppbyggda så att det är möjligt att använda personuppgifter för att fortlöpande och systematiskt utveckla och säkra kvaliteten i verksamheten. Vi vill i sammanhanget även poängtera vikten av att informationssystemen utformas på ett sådant sätt att den enskildes behov av integritetsskydd tas tillvara vid kvalitetsarbetet. Bland annat måste vårdgivare verka för att inte fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet används vid kvalitetsarbetet. Informationssystemen kan därför, bland annat, behöva utformas så att användaren inte exponeras för fler personuppgifter än vad som är nödvändigt och att sammanställningar och andra underlag som tas fram vid kvalitetsarbetet inte innehåller personuppgifter som är direkt hänförliga till enskilda individer.
Vi föreslår även att vårdgivarens ansvar för att systemen ska möjliggöra samverkan med andra enheter, verksamheter och vårdgivare och utbyte av uppgifter uttrycks i bestämmelsen. För att lyckas med detta måste vårdgivaren arbeta med informationssystemens struktur och innehåll. Vårdgivaren kan i detta arbete exempelvis få stöd av Socialstyrelsens arbete med en nationell informationsstruktur och ett nationellt fackspråk.
Vidare innebär det övergripande ansvaret för de informationssystem som innehåller personuppgifter, enligt utredningens förslag, ett krav på att utforma systemen på ett sådant sätt att integritetsskyddet tillgodoses. Att direkt i verksamhetssystemen bygga in integritetsskyddande funktioner som för personalen gör det lätt att göra rätt och svårt att göra fel, har stora fördelar. Att implementera integritetsskydd i teknik ger ökade förutsättningar för ett starkt integritetsskydd. Bestämmelsen uttrycker ett samlat ansvar för
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
184
vårdgivaren för flera aspekter av informationssäkerhet vid hanteringen av personuppgifter i hälso- och sjukvården. Det är alltså ett ansvar för att lagens intentioner kan genomföras.
9.2.5 Ansvar för behörighetstilldelning
Vårt förslag: Den nuvarande paragrafen om tilldelning av
behörighet för elektronisk åtkomst ska föras över från patientdatalagen något förändrad. Vi föreslår att ordet anpassas införs i paragrafen. Behörigheten ska anpassas och begränsas till vad som behövs för att den som arbetar hos en vårdgivare ska kunna fullgöra sina arbetsuppgifter. Vidare ska regeringen eller den myndighet regeringen bestämmer få meddela föreskrifter om tilldelning av behörigheter.
Inledning
Regler om behörighetsstyrning är enligt utredningens bedömning alldeles nödvändiga för att tillgodose enskildas behov av integritetsskydd inom hälso- och sjukvården. Bestämmelser om behörighetsstyrning syftar till att upprätthålla integritetsskyddet och allmänhetens förtroende för hälso- och sjukvårdens informationshantering, men även till att främja en mer ändamålsenlig informationshantering sett ur ett patientsäkerhets- och effektivitetsperspektiv. Förutom att skydda den personliga integriteten kan en bra behörighetsstyrning medföra att hälso- och sjukvårdspersonalens åtkomst till uppgifter blir mer anpassade efter de enskilda användarnas behov. Genom en effektiv behörighetsstyrning kan exempelvis journalsystemens gränssnitt utformas så att de i större utsträckning än tidigare anpassas efter enskilda användares behov av uppgifter för att kunna utföra sitt arbete. I stället för att användaren ska exponeras för sådana uppgifter som är oväsentliga i sammanhanget eller behöva leta efter de relevanta uppgifterna kan behörighetsstyrningen bidra till att användaren snabbare får tillgång till just den information som behövs. En välutvecklad behörighetsstyrning kan därför ha positiva effekter inte bara på integritetsskyddet och på patientsäkerheten och effektiviteten i hälso- och sjukvården, utan även på informationssystemens användbarhet.
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
185
Utredningen föreslår att de nuvarande bestämmelserna i 4 kap. 2 § PDL om vårdgivarens ansvar för tilldelning av behörighet för åtkomst förs över från patientdatalagen. Även fortsättningsvis ska regeringen eller den myndighet regeringen bestämmer få meddela föreskrifter om tilldelning av behörigheter. Utredningen delar även regeringens bedömning att utgångspunkten ska vara att behörigheten begränsas till vad enskilda yrkesutövare behöver för att kunna utföra sitt arbete.7 Mot bakgrund av vad vi anför ovan anser vi samtidigt att bestämmelsen, bland annat för att tydliggöra behörighetsstyrningens koppling till patientsäkerhet, effektivitet och användbarhet, kan behöva justeras något. I sak avser vi inte att förändra innebörden av bestämmelsen. Vi vill däremot tydliggöra att behörighetsstyrningen inte endast handlar om åtgärder som begränsar utan även om åtgärder som anpassar informationstillgången efter användarens behov.
Vi anser därför att det i bestämmelsen inte bara ska uttryckas att behörigheterna ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter utan också att behörigheterna ska anpassas till vad som behövs för arbetsuppgifterna. Vi anser att det kan ha ett positivt signalvärde att konkret uttrycka att utformningen av behörigheten för åtkomst inte enbart avser att skydda den registrerades integritet utan också – i linje med lagens syfte – ska säkerställa yrkesutövarens tillgång till de uppgifter som behövs för att kunna erbjuda patienten en god och säker vård.
En väl fungerande behörighetsstyrning kan även bidra till att öka kvaliteten, säkerheten och effektiviteten i vården. Med en mer strukturerad vårddokumentation och en väl fungerande behörighetsstyrning ökar förutsättningarna för att anpassa gränssnitten för personalens tillgång till uppgifter i ett journalsystem efter varje användares behov. Vid våra kontakter med hälso- och sjukvårdspersonal framkommer ofta kritik mot journalsystemens utformning och bristande anpassning efter olika yrkesutövares behov. Inte sällan påtalas att yrkesutövare behöver sålla bland ostrukturerad och för dem i situationen irrelevant information. För att kunna skräddarsy användargränssnitten behöver sannolikt ett omfattande arbete göras med att strukturera och klassificera informationen i hälso- och sjukvården. I ett sådant arbete bör organisatoriska och tekniska åtgärder för en mer ändamålsenlig behörighetsstyrning ha en naturlig plats.
7Prop. 2007/08:126 s. 148 f. och 239 f.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
186
Närmare om behörighet och behörighetsstyrning
Behörighet för åtkomst är en användares faktiska möjligheter att ta del av uppgifter exempelvis i journalsystem. Behörighetsstyrningen är de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete.
Den som arbetar hos en vårdgivare ska tilldelas en individuell behörighet för åtkomst till uppgifter om patienter. Behörigheten för åtkomst till uppgifter ska vara anpassad efter den anställdes behov av uppgifter för att kunna utföra sitt arbete. Det innebär exempelvis att olika personalkategorier m.m. behöver ha olika behörigheter för elektronisk åtkomst till uppgifter om enskilda. Sådana uppgifter som en anställd över huvud taget inte har behov av att ta del av för att kunna utföra sitt arbete ska i normala fall därmed inte vara elektroniskt tillgängliga för den anställde. Behörigheten handlar därmed om den tekniska möjlighet en anställd har att ta del av uppgifter. Bestämmelser om behörighetsstyrning kompletterar därför bestämmelsen om inre sekretess som nämnts ovan.
I verksamheter som hanterar en stor mängd mycket integritetskänsliga uppgifter, som hälso- och sjukvården, ställs stora krav på en ändamålsenlig behörighetsstyrning. Även om det vid behörighetsstyrning kan vara svårt att vid varje givet tillfälle uppnå ett exakt förhållande mellan en användares behov och en användares tekniska möjligheter att ta del av uppgifter, måste ambitionen hos den som bedriver verksamheten att komma så nära som möjligt. En del av utmaningen ligger i att det i vissa verksamheter är svårt att förutse vilka individer som en användare kommer att möta i sitt yrke. I vissa delar av hälso- och sjukvården är den osäkerheten ett naturligt inslag som måste vägas in i styrningen av behörigheterna. Det är viktigt att behörigheten inte blir för snäv utan att den är anpassad till de tänkbara behov som finns, så att inte kvaliteten och säkerheten i vården av patienterna riskeras. Dessa svårigheter utgör dock inget skäl för att låta bli att göra de begränsningar av behörigheterna som är motiverade. Sådana uppgifter som en användare inte alls har något behov av ska inte heller vara tekniskt åtkomliga för användaren, dvs. inte ligga inom användarens behörighet.
Det är inte endast användarens behörighet för åtkomst till uppgifter som avgör vad som är tillåtet i enskilda fall. Behörigheten anger generellt, som nämnts ovan, endast vad användaren kan göra,
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
187
dvs. vilka tekniska möjligheter användaren har att ta del av uppgifter. För att en användare ska få ta del av uppgifter krävs dessutom att han eller hon har behov av de aktuella uppgifterna för att kunna utföra sitt arbete. Ju vidare användarnas behörigheter är, desto större kan utrymmet sägas bli mellan vad användarna kan göra och vad de får göra. En sådan situation ställer även stora krav på olika former av integritetsskyddande åtgärder som verkar både preventivt och reaktivt. Det handlar exempelvis om kontinuerlig information till användarna om vilka förväntningar ledningen har på hur uppgifter ska användas i verksamheten, om vad som är tillåtet och inte m.m. Ytterligare en viktig åtgärd är självklart systematiska och fortlöpande kontroller av användarnas åtkomst till uppgifter om enskilda.
9.2.6 Ansvar för kontroll av elektronisk åtkomst
Vårt förslag: Bestämmelserna om åtkomstkontroll i 4 kap. 3 §
patientdatalagen ska föras över oförändrade till hälso- och sjukvårdsdatalagen.
En vårdgivare ska enligt nuvarande bestämmelser i 4 kap. 3 § patientdatalagen se till att åtkomst till uppgifter om patienter dokumenteras och att systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter görs. Vidare har regeringen eller den myndighet som regeringen bestämmer en möjlighet att meddela föreskrifter om dokumentation av åtkomst och åtkomstkontroll. Sådana närmare bestämmelser finns i dag i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.
Utredningen föreslår att paragrafen om åtkomstkontroll förs över oförändrad till hälso- och sjukvårdsdatalagen. Paragrafen behandlades av regeringen i prop. 2007/08:126 s. 149 f. och 240 f.
Dokumentation av åtkomsten (behandlingshistorik)
En förutsättning för att över huvud taget kunna kontrollera om någon obehörig har tagit del av uppgifter om enskilda är att den åtkomst som förekommer till uppgifter dokumenteras, dvs. loggas. Loggen bildar därmed den behandlingshistorik som behövs för att
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
188
kunna ta ställning till om en otillåten åtkomst har ägt rum. Av behandlingshistoriken måste det därför gå att utläsa den information som behövs för att historiken ska kunna ligga till grund för den systematiska och återkommande kontrollen av obehörig åtkomst.
Enligt vår uppfattning är det inte lämpligt att i lag slå fast exakt vad som ska loggas för att kontrollen ska kunna bedrivas på ett ändamålsenligt sätt. Normalt brukar anföras att en logg åtminstone ska kunna svara på vilken användare som tagit del av uppgifter, vilken individs uppgifter det rör, vilka åtgärder som vidtogs med uppgifterna samt vid vilken tidpunkt det gjordes. Utredningen bedömer dock att närmare föreskrifter om dokumentation av åtkomst och åtkomstkontroll, precis som i dag, med fördel meddelas på myndighetsnivå och det är förutsatt att det ska vara Socialstyrelsen som meddelar dessa föreskrifter efter samråd med Datainspektionen.
Åtkomstkontroll
Paragrafen innebär att vårdgivare, precis som i dag, ska genomföra systematiska och återkommande kontroller av om någon obehörigen kommit åt uppgifter om patienter. Det räcker därmed inte att göra kontroller vid särskilda fall när obehörig åtkomst misstänkts, utan kontrollerna ska göras systematiskt och återkommande.
För hälso- och sjukvårdens del har kraven på åtkomstkontroll delvis gett upphov till en osäkerhet kring vad en vårdgivare bör tänka på när denne utformar sina närmare riktlinjer för den systematiska logguppföljningen. Bland annat av den anledningen har Datainspektionen tagit fram en checklista som sammanfattar ett antal grundläggande principer som kan vara vägledande för den systematiska uppföljningen. Av checklistan framgår bland annat följande.8
• Informera personalen om att logguppföljning görs. Det har en preventiv effekt. Personalen behöver informeras om det egna ansvaret, det vill säga under vilka omständigheter de får ta del av uppgifter och om följderna av att olovligen ta del av uppgifter.
• Gå igenom de krav som ställs på loggarna och kontrollera att de tekniska förutsättningarna för åtkomstkontroll finns.
8 Datainspektionen, Checklista för hälso- och sjukvården, Systematisk logguppföljning
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
189
• Bestäm urval och omfattning och utforma en verkningsfull rutin.
• Följ rutinen och dokumentera resultatet av granskningen.
• Utvärdera och utveckla rutinen.
I checklistan förmedlar Datainspektionen även det viktiga budskapet att det inte endast är antalet loggkontroller som avgör hur verkningsfullt arbetet med åtkomstkontroll är. I linje med Datainspektionens uttalande nedan anser utredningen att vårdgivare behöver analysera de närmare förutsättningarna för verksamheten och utforma en rutin för logguppföljning som bedöms verkningsfull för den enskilda verksamheten. I dag finns även tekniska hjälpmedel i form av olika logganalysverktyg som kan underlätta åtkomstkontrollen.
Bestäm med vilken omfattning (antal och tidsintervall) logguppföljningen ska ske. Eftersom det inte enbart är antalet loggposter vid logguppföljningen som avgör om kontrollen blir verkningsfull, finns det inget generellt svar på hur många loggposter som bör granskas vid varje tillfälle. Varje vårdgivare måste ta hänsyn till verksamhetens omfattning (antalet patienter och personal med behörighet) samt vilket urval och vilken systematik som används vid uppföljningen.
Utöver ovanstående bedömer utredningen att en patients tillgång till loggar, t.ex. via internet, om den åtkomst till uppgifter om patienten själv som har förekommit, kan vara ett komplement till vårdgivarens arbete med åtkomstkontroller. Sådan tillgång för patienten förändrar dock inte det rättsliga ansvar för åtkomstkontrollen som följer av utredningens förslag.
9.2.7 Tillsyn över en säker och ändamålsenlig hantering av personuppgifter
Hantering av information är en förutsättning för den faktiska verksamheten i hälso- och sjukvården. Informationen som genereras i verksamheten används för att skapa bästa möjliga resultat för patienten och måste samtidigt hanteras så att den personliga integriteten skyddas så långt det är möjligt.
Det är Inspektionen för vård och omsorg (IVO) och Datainspektionen som har tillsynen över hur vårdgivaren uppfyller sitt ansvar för informationshanteringen i verksamheten.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
190
Datainspektionen ska genom sin tillsynsverksamhet bidra till att behandlingen av personuppgifter inte leder till otillbörliga intrång i enskilda individers personliga integritet. Det innebär exempelvis att Datainspektionen kan kontrollera att vårdgivaren vidtar tillräckliga säkerhetsåtgärder för att skydda personuppgifterna, till exempel att vårdgivaren har rutiner för behörighetsstyrning och åtkomstkontroll. Tillsynsmyndighetens tillsynsansvar omfattar även behandling av personuppgifter inom socialtjänsten.
Som har redovisats i tidigare avsnitt har Datainspektionen varit aktiv i sin tillsyn över personuppgiftsbehandlingen inom hälso- och sjukvården. Tillsynen har satt ljuset på en bristande efterlevnad av flera av de bestämmelser som särskilt syftar till att värna den personliga integriteten.
IVO har tillsynsansvaret för hälso- och sjukvården och dess personal samt socialtjänst och för verksamhet enligt lagen (1993:387) om stöd och service till vissa funktionshindrade. Syftet med tillsynen är att granska att befolkningen får vård och omsorg som är säker, har god kvalitet och bedrivs i enlighet med lagar och andra föreskrifter. För att en säker verksamhet ska kunna bedrivas måste personuppgifter finnas tillgängliga där de behövs för att ge god vård och omsorg. Kvalitet inom hälso- och sjukvården förutsätter också en säker hantering av personuppgifter så att obehöriga inte får del av dessa. Insatser av hög kvalitet kan inte ges utan tillit mellan de som erbjuder insatserna och individen. På det sättet ingår integritetsskyddet även i IVO:s tillsynsansvar.
I takt med att hälso- och sjukvården utvecklas och nya sätt att hantera information implementeras i vården måste, enligt utredningens mening, även tillsynen utvecklas. Det är liksom förut nödvändigt att en myndighet som IVO utövar tillsyn över att patientjournaler förs och att dokumentationen innehåller rätt uppgifter. Men ett journalsystem är inte bara bärare av information, det är också ett nödvändigt arbetsverktyg för yrkesutövare i den patientnära hälso- och sjukvårdsverksamheten. Detta verktyg måste kunna användas på ett säkert sätt. Det kräver såväl rätt kompetens hos användaren som rätt utformning av informationssystemet.
Informationssystem kan, om de inte är ändamålsenligt utformade, i sig innebära risker i vården. Det finns enligt utredningens bedömning anledning för vårdgivare att arbeta mer aktivt med kravställning och utveckling av de informationssystem som används i vården. Hur ska systemen vara utformade för att
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
191
vara användbara? Hur ska de vara utformade för att underlätta och stödja det patientnära arbetet? Hur ska de vara utformade för att säkerställa att viktig information inte missas i samband med ställningstaganden kring patienternas behandling? Hur ser ett ändamålsenligt användargränssnitt ut i olika delar av hälso- och sjukvården? Har verksamheten ändamålsenliga rutiner för in- och utloggning m.m.?
Dessa verksamhetsnära frågor, som har betydelse för hur verksamheten kan bedrivas på ett säkert och effektivt sätt ingår därför också i tillsynsmyndigheternas uppdrag. De informationssäkerhetsaspekter som aktualiseras i dessa frågeställningar har betydelse för patientens säkerhet och kvaliteten i den vård patienterna erbjuds. Patientens säkerhet handlar såväl om att skydda patienten mot kroppsliga skador och psykiskt lidande och mot dödsfall som hade kunnat undvikas. Men kraven måste, enligt utredningens mening, ställas högre; kvaliteten i hälso- och sjukvården måste utvecklas och ständigt bli bättre. Ändamålsenliga informationssystem som används på rätt sätt kan förbättra kvaliteten i hälso- och sjukvården. Det är därför nödvändigt med en aktiv tillsyn från båda tillsynsmyndigheterna i syfte att följa hur vårdgivarna tar sitt ansvar för en säker, ändamålsenlig och effektiv hantering av informationen och de system som hanteras den.
Utredningen anser att det kan finnas anledning för tillsynsmyndigheterna att fånga upp de signaler som yrkesutövare inom hälso- och sjukvården lyft i olika sammanhang vad gäller informationssystemens användbarhet. Av t.ex. rapporten Störande eller stödjande framgår att tekniken många gånger upplevs som ett hinder för att kunna ge god vård på ett effektivt sätt.9
Utredningens förhoppning är, att den tydligare regleringen av ansvaret för en säker och ändamålsenlig hantering av information som vi föreslagit i det föregående, kan utgöra ett bra stöd för en ännu effektivare tillsyn av hur vårdgivarna uppfyller detta ansvar.
9 Störande eller stödjande? Om eHälsosystemens användbarhet 2013
193
10 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
10.1 Bakgrund
Dagens utveckling med ökad mångfald av aktörer i hälso- och sjukvård och socialtjänst, ökade krav på samverkan och ökad patient- och brukarrörlighet har medfört nya behov av att samarbeta i frågor som innefattar behandling av personuppgifter. Vårdgivare i hälso- och sjukvården och utförare i socialtjänsten kan inte på samma sätt som tidigare arrangera sin personuppgiftsbehandling utan att reflektera över eventuella behov av samverkan för att kunna leverera en jämlik hälso- och sjukvård och socialtjänst m.m.
För hälso- och sjukvårdens del har utvecklingen bland annat medfört konkreta samarbeten och gemensamma utvecklingsprojekt på lokal, regional och nationell nivå. Inte sällan handlar det om att gemensamt använda system och tekniska lösningar som tagits fram tillsammans eller av en aktör, som sedan låter övriga använda den framtagna lösningen. Som exempel kan nämnas de system för sammanhållen journalföring som finns såväl regionalt som nationellt. I den landstingsfinansierade delen av hälso- och sjukvården har det på regional nivå bland annat medfört att allt fler vårdgivare använder samma journalsystem och arrangerar det på ett sådant sätt att utbyte genom direktåtkomst blir möjligt. På nationell nivå samt för informationsutbytet mellan landstings- och kommunfinansierade vårdgivare har exempelvis den Nationella patientöversikten, NPÖ, utvecklats som en möjlighet till sammanhållen journalföring.
I sammanhanget kan även nämnas de gemensamma satsningarna som landstingen initierat vad gäller invånartjänster, t.ex. den pågående utvecklingen för att ge patienter tillgång till patientjournaler på internet. Även Mina vårdkontakter kan nämnas som en slags
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
194
plattform för att gemensamt möta och tillgodose patienters behov av tillgänglighet, information och service och där personuppgifter behandlas i gemensamma lösningar.
Ytterligare ett exempel på gemensamt framtagna lösningar och regelverk utgörs av den nationella Tjänsteplattformen. Tjänsteplattformen förenklar, säkrar och effektiviserar integrationen mellan olika it-system inom vård och omsorg. Varje tjänst som vill ansluta sig till Tjänsteplattformen följer så kallade tjänstekontrakt som specificerar regelverket för hur informationsöverföringen ska gå till mellan de olika systemen och tjänsterna. När ett system försöker kontakta ett annat går denna kommunikation inte direkt mellan systemen utan istället genom tjänsteplattformen, som i sin tur dirigerar meddelandet vidare till rätt tjänst hos exempelvis en vårdgivare. Något förenklat kan plattformen sägas utgöra navet mellan olika tjänster och system och vara en förutsättning för att möta de skiftande behov av informationsöverföring som finns. Ett syfte med en tjänsteplattform är att förhindra den komplexitet och de kostnader som en s.k. punkt-till-punktintegration av system och tjänster ger upphov till.
På den nationella arenan finns flera olika aktörerer som på många olika sätt deltar i utvecklingsarbeten som inbegriper behandling av personuppgifter. Dessa aktörer kan vara vårdgivare, myndigheter, leverantörer, intresseorganisationer, samverkansorgan m.fl. Sammantaget utkristalliseras en komplex bild där det inte alltid är enkelt att bedöma vem som ansvarar för vad eller vem som har befogenhet eller faktiska möjligheter att vidta åtgärder i fråga om personuppgiftsbehandling. De samarbeten rörande informationshantering som i dag finns och kontinuerligt utvecklas inom ramen för nationell e-hälsa väcker därför nya frågor relaterat till ansvaret för behandlingen av de personuppgifter som hanteras i de gemensamma lösningarna. Genom att gemensamma lösningar skapas uppkommer ett behov av att identifiera ansvaret för funktioner och åtgärder som utgör själva basen för den gemensamma personuppgiftsbehandlingen och som alla inblandade är beroende av och behöver rätta sig efter. I utredningsdirektivet anges exempelvis följande med beröringspunkt på dessa frågor.
En viktig förutsättning för ett fullgott integritetsskydd är tydlighet i fråga om personuppgiftsansvaret, som bl.a. innebär ett skadeståndsansvar gentemot individen. När det gäller exempelvis informations-, spärr- och samtyckesfrågor i förhållande till individer måste personuppgiftsansvaret därför vara tydligt. Personuppgiftsansvaret måste
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
195
också vara tydligt med avseende på it-säkerhet inklusive organisatoriska och tekniska åtgärder, såväl på nationell nivå som i enskilda verksamheter.
Frågor om hur personuppgiftsansvaret fördelas vid samverkan mellan olika aktörer är ingalunda ny, även om den har en helt annan aktualitet i dag jämfört med tidigare. Nu står vi för en utveckling där tusentals vårdgivare i hälso- och sjukvården kan komma att samverka kring gemensamma lösningar för att utbyta patientinformation med varandra eller för att göra patientjournaler tillgängliga över internet för patienterna. Det kan inte heller uteslutas att en rad nya områden och utvecklingsarbeten initieras där frågor om personuppgiftsansvarets fördelning blir aktuella.
Förutom nya utmaningar vad gäller att fastställa omfattning och innebörd av personuppgiftsansvar i olika delar, uppstår vid många samarbeten även ett grundläggande behov av att gemensamt fastställa hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Det kan handla om sådant som att komma överens om vilka säkerhetslösningar som ska användas för att obehöriga inte kan komma åt personuppgifter eller hur incidenter och avvikelser ska hanteras. Vidare uppstår ett behov av att fastställa krav och nivåer för grundläggande informationssäkerhetsaspekter som tillgänglighet, riktighet, konfidentialitet och spårbarhet. Ytterst handlar det om att vidta gemensamma åtgärder för att skydda personuppgifterna och försäkra sig om att rätt uppgifter finns på rätt plats i rätt tid.
10.1.1 Vårt uppdrag
I utredningens uppdrag ingår att utreda hur personuppgiftsansvaret bör regleras i framtiden samt vid behov lämna förslag på sådan reglering.
Som tidigare redovisats föreslår vi att patientdatalagens (2008:355), förkortad PDL, bestämmelser om personuppgiftsansvar förs över i huvudsak oförändrade till den hälso- och sjukvårdsdatalag som föreslås. Det kan därutöver finnas anledning att ytterligare överväga frågor om personuppgiftsansvar och skydd för personuppgifter i en ny tid när allt fler aktörer samverkar kring behandling av personuppgifter i hälso- och sjukvården.
Särskilda frågor om fördelning av personuppgiftsansvar m.m. vid kommunikation med medborgare, t.ex. vid journaler på internet
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
196
och personliga hälsokonton och motsvarande, behandlas även i avsnitt 33. De frågor utredningen har att hantera har även beröringspunkter med E-hälsokommitténs uppdrag att se över ansvarsfördelningen mellan de inblandade aktörerna på e-hälsoområdet. I dessa delar har vi därför samrått med den utredningen.
10.2 Generellt om personuppgiftsansvar
Enligt 3 § personuppgiftslagen (1998:204), förkortad PUL, är den personuppgiftsansvarig som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Det innebär att personuppgiftsansvaret kan delas eller vara gemensamt för flera. I en del fall kan det vara svårt att bedöma vem eller vilka som är personuppgiftsansvariga för en viss behandling. Ytterst är det dock en fråga om faktiska omständigheter. Olika överenskommelser eller avtalskonstruktioner kan beaktas vid bedömningen, men det är de faktiska omständigheterna som i slutändan är avgörande. Därmed är det den som faktiskt, med eller utan rätt, bestämmer beträffande behandlingen som är personuppgiftsansvarig.1
Vidare kan i lag eller förordning bestämmas vem som är personuppgiftsansvarig för en viss behandling. En sådan bestämmelse tar över den nämnda regleringen i personuppgiftslagen. I registerförfattningar är det vanligt att på ett tydligt sätt peka ut vem som är personuppgiftsansvarig för den behandling av personuppgifter som regleras i författningen. Som exempel på detta kan nämnas att Socialstyrelsen är personuppgiftsansvarig för hälsodataregistren och att eHälsomyndigheten är personuppgiftsansvarig för receptregistret och läkemedelsförteckningen.
Av personuppgiftslagen följer att det för en och samma personuppgiftsbehandling kan finnas två eller flera personuppgiftsansvariga. För att någon ska anses som personuppgiftsansvarig räcker det nämligen att den tillsammans med andra kan bestämma ändamålen med och medlen för personuppgiftsbehandlingen. Det är något oklart vad som avses med att flera bestämmer tillsammans och vad som är en respektive flera behandlingar av personuppgifter. Det kan räcka att flera gemensamt och i samråd faktiskt har bestämt att genomföra en
1 Öman, Lindblom, Personuppgiftslagen – en kommentar, tredje upplagan, s. 78.
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
197
viss behandling, även om var och en rättsligt eller faktiskt haft möjlighet att ensam bestämma.2
Hälso- och sjukvården
När det gäller personuppgiftsbehandling inom hälso- och sjukvårdens kärnverksamhet regleras personuppgiftsansvaret i dag av patientdatalagen. Av 2 kap. 6 § PDL följer att vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. Vidare preciseras att i landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den personuppgiftsbehandling som myndigheten utför.
Regleringen kan sägas ge uttryck för och vara en precisering av den grundläggande principen i personuppgiftslagen om att den som bestämmer ändamål och medel för behandlingen av personuppgifter är personuppgiftsansvarig.
I patientdatautredningen anfördes exempelvis följande i sammanhanget.3
När det gäller personuppgiftsbehandling inom hälso- och sjukvårdens kärnverksamhet finns dock ingen generell särbestämmelse om personuppgiftsansvar – varken i vårdregisterlagen eller i någon annan författning – som tar över personuppgiftslagens bestämmelser. Istället gäller den allmänna principen att det efter en bedömning av de faktiska omständigheterna i varje enskilt fall får avgöras vem eller vilka som har personuppgiftsansvaret för en viss behandling. Det torde därvid stå klart att det inom den enskilda hälso- och sjukvården är vårdgivaren, t.ex. ett aktiebolag eller en stiftelse som driver en hälso- och sjukvårdsverksamhet eller en företagare som bedriver hälso- och sjukvård i en enskild firma – som är personuppgiftsansvarig för den personuppgiftsbehandling som sker hos vårdgivaren. I allmän verksamhet anses det i praxis normalt vara en myndighet som är personuppgiftsansvarig för den personuppgiftsbehandlingen, förutsatt att organet är så självständigt att det är en förvaltningsmyndighet. --- Vi menar att det är den mest lämpliga ordningen att personuppgiftsansvaret inom den allmänna hälso- och sjukvården förläggs på myndighetsnivå.
Mot bakgrund av patientdatautredningens uttalanden kan konstateras att regleringen av personuppgiftsansvaret i patientdatalagen i allt
2 Öman, Lindblom, Personuppgiftslagen – en kommentar, tredje upplagan, s. 83. 3SOU 2006:82 s. 195 f.
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
198
väsentligt är en kodifiering och ett förtydligande av den praxis som har utvecklats vid tillämpningen av personuppgiftslagen.
Regleringen i patientdatalagen innebär dock i ett avseende ett avsteg från praxis. I 2 kap. 6 § andra stycket slås nämligen fast att personuppgiftsansvaret även omfattar sådan behandling av personuppgifter som vårdgivaren, eller den myndighet i ett landsting eller en kommun som är personuppgiftsansvarig, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till personuppgifter om en patient hos en annan vårdgivare eller annan myndighet. Vid tillämpningen av personuppgiftslagen har uppfattningen däremot varit att den som endast har tillgång till personuppgifter genom att t.ex. söka bland och läsa uppgifter som ingår i en uppgiftssamling utan att själv ha varken några rättsliga befogenheter eller faktiska möjligheter att ändra eller komplettera de uppgifter som ingår i samlingen, inte kan anses vara personuppgiftsansvarig för den behandling som sökningar och bearbetningar vid sådan tillgång innefattar.4
Patientdatalagens reglering innebär dock ett avsteg från denna uppfattning eftersom det av lagens bestämmelser förtydligas att en vårdgivare är personuppgiftsansvarig även vid sådan direktåtkomst där vårdgivaren tar del av andra vårdgivares uppgifter. För socialtjänstens del finns inte någon sådan reglering i dag, sannolikt eftersom motsvarande möjligheter till direktåtkomst inte heller finns i lagstiftningen om socialtjänstens personuppgiftsbehandling. I utredningens förslag till socialtjänstdatalag föreslås dock att en sådan bestämmelse tas in, dvs. som förtydligar att personuppgiftsansvaret även omfattar sådan behandling av personuppgifter som görs när den som bedriver verksamhet inom socialtjänsten genom direktåtkomst lämnar ut eller tar del av personuppgifter.
10.3 Personuppgiftsansvar vid samverkan mellan olika aktörer
När det gäller personuppgiftsansvarets fördelning vid olika typer av gemensam personuppgiftsbehandling, eller gemensam användning av system och lösningar för att vidta personuppgiftsbehandling, saknas egentlig praxis i form av vägledande domstolsavgöranden. Det finns dock ett antal vägledande uttalanden i förarbeten, varav
4 Öman, Lindblom, Personuppgiftslagen – en kommentar, tredje upplagan, s. 81.
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
199
följande rörande personuppgiftsbehandlingen i socialförsäkringens administration kan nämnas.5 Det rör ansvarsförhållandet mellan olika Försäkringskassor och dåvarande Riksförsäkringsverket för personuppgiftsbehandling i it-system som de olika myndigheterna gemensamt använde.
Har en uppgift lagrats i databasen är det den myndighet som i och för sin verksamhet utför lagringsåtgärden som är ansvarig för att den lagrade uppgiften är korrekt. Ansvaret för uppgiften bör rimligtvis sedan sträcka sig så långt som fram till den tidpunkt då gallring aktualiseras, dock inte längre än fram till den tidpunkt då den myndigheten av olika skäl inte längre besitter möjligheter att förfoga över uppgiften genom rättning, blockering, borttagning etc. Om en personuppgift lämnas ut av en annan myndighet än den som registrerade uppgiften svarar naturligtvis den utlämnande myndigheten för den behandling som utgörs av själva utlämnandet. För den fortsatta behandlingen av uppgiften efter en registrering kan även andra myndigheter vara ansvariga, allt efter vilka faktiska behandlingar som utförs. Förslaget om fördelning av personuppgiftsansvar förutsätter naturligtvis att det går att genom loggning spåra vilken myndighet som företagit en viss behandling. I övergripande frågor, såsom ansvar för att tekniska och organisatoriska säkerhetsåtgärder vidtas, måste personuppgiftsansvaret fördelas efter vilka myndigheter som har befogenhet och skyldighet att utföra dessa åtgärder. I regel torde det följa av åläggandet för Riksförsäkringsverket i verksinstruktionen att vara ansvarig systemägare för Riksförsäkringsverkets och försäkringskassornas gemensamma it-system att det är verket som har personuppgiftsansvaret vad avser sådana frågor.
Regeringens uttalande i propositionen ger uttryck för den princip som även föreslås vara gällande i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen, nämligen att personuppgiftsansvaret normalt ska vila på den som i och för sin verksamhet faktiskt utför en behandling av personuppgifter. Samtidigt uppmärksammade regeringen att även andra kan ha ett personuppgiftsansvar beroende på vilka behandlingar som faktiskt utförs och att personuppgiftsansvaret för övergripande säkerhetsåtgärder inte nödvändigtvis behöver vara gemensamt.
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
200
10.3.1 Patientdatautredningens resonemang m.m.
Även patientdatautredningen uppmärksammade frågor om personuppgiftsansvar vid samverkan mellan flera aktörer. Patientdatautredningen reflekterade särskilt över vad som borde gälla när flera vårdgivare samverkar i system för sammanhållen journalföring. Även om utredningen konstaterade att det kan finnas skäl från integritetsskyddssynpunkt peka ut vem som ska vara personuppgiftsansvarig, bedömdes det som olämpligt och omöjligt med hänsyn till de faktiska omständigheterna och de skiftande samarbetsformer m.m. som kan finnas. Mot den bakgrunden föreslog utredningen istället att regleringen skulle ta sin utgångspunkt i att det vid sammanhållen journalföring är den som faktiskt har möjlighet att påverka om och hur en enskild personuppgiftsbehandling ska företas, som bör vara personuppgiftsansvarig för den behandlingen. Vidare anförde utredningen följande.6
I praktiken innebär patientdatalagens allmänna bestämmelse om personuppgiftsansvar bl.a. att den vårdgivare som gör en personuppgift tillgänglig för andra genom att uppgiften dokumenteras utan att spärras, har personuppgiftsansvaret för att det sker på ett lagligt sätt. I ansvaret ingår således att se till att patienten i skede 1 ges sådan information om den sammanhållna journalföringen så att han eller hon kan ta ställning till en eventuell spärrning. Personuppgiftsansvaret omfattar även den fortsatta lagringen och det tillgängliggörande som sker därefter. Bestämmelsen innebär vidare – till skillnad från vad som torde följa vid enbart en tillämpning av personuppgiftslagen – att den vårdgivare som använder sin direktåtkomst och bereder sig tillgång till andra vårdgivares uppgifter för att söka efter och läsa vårddokumentation, blir personuppgiftsansvarig för den personuppgiftsbehandling som detta innebär.
I likhet med utredningen om socialförsäkringens administration (se ovan), för även patientdatautredningen ett resonemang om vad som bör gälla för mer övergripande frågor och förhållanden som är relaterade till den gemensamma informationshanteringen. Den centrala frågan i sammanhanget är vem eller vilka som ansvarar för att personuppgifterna skyddas genom tekniska eller organisatoriska säkerhetsåtgärder. Denna fråga är sannolikt än mer aktuell i dag, eftersom det inte längre endast är fråga om vårdgivares samarbete vid sammanhållen journalföring utan generellt om en mängd olika
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
201
aktörers samverkan i en rad olika frågor som alla innehåller moment av personuppgiftsbehandling.
Patientdatautredningen lämnar inget generellt och heltäckande svar på frågan om det övergripande ansvaret utan anför att det beror på hur man i rättstillämpningen bedömer de faktiska förhållandena i det enskilda fallet. Samtidigt anser patientdatautredningen att som huvudregel bör gälla att ansvaret för sådana övergripande frågor bör delas solidariskt mellan de samarbetande vårdgivarna eller myndigheterna, dvs. vara gemensamt för dem som tillgängliggör journaluppgifter i ett system för sammanhållen journalföring. Men utredningen anför vidare att det samtidigt inte går att utesluta att organisationerna eller samarbetsformerna kan komma att gestalta sig på väldigt skilda sätt, vilket kan få betydelse vid en bedömning av ansvaret för övergripande frågor.7
En aktör som personuppgiftsansvarig för övergripande frågor
Mot bakgrund av de olika typer av samarbetsformer och faktiska omständigheter som kan tänkas föreligga vid samverkan mellan vårdgivare uppmärksammade patientdatautredningen att de faktiska omständigheterna mycket väl skulle kunna peka på att endast en av de samverkande vårdgivarna är att betrakta som personuppgiftsansvarig för frågor om övergripande tekniska och organisatoriska säkerhetsåtgärder. Bland annat följande av intresse i sammanhanget anfördes.8
Det är tänkbart att sådana översikter lagras och behandlas i en gemensam databas som administreras av endast en av vårdgivarna, t.ex. ett landsting. Om det landstinget i praktiken dikterar villkoren för de andra vårdgivarnas deltagande i systemet, kan det tala för att den aktuella myndigheten inom landstinget bör kunna anses ha ett personuppgiftsansvar för övergripande frågor. Exempelvis har vid Stockholms läns landstings presentation för utredningen av planerna på en för alla landstingets vårdgivare gemensam vårddokumentation, GVD, nämnts att det kan komma att från landstingets sida ställas som villkor vid ingående eller förlängning av entreprenadavtal med privata vårdgivare att de deltar i GVD. Vid sådana förhållanden är det enligt vår mening tveksamt om de privata vårdgivarna intar en sådan överordnad position i förhållande till landstinget som gör att landstinget kan anses behandla personuppgifter i enlighet med varje privat vårdgivares instruktioner (jämför 30 § personuppgiftslagen).
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
202
Ibland kan det finnas behov både av organisatoriska skäl och av integritetshänsyn med en tydlig reglering av personuppgiftsansvaret för övergripande frågor. Att nu ange i vilka sådana fall en särreglering behövs är inte möjligt, eftersom vi inte kan förutse i vilken omfattning och i vilka former sammanhållen journalföring utvecklas. Rimligen kan behov av en tydligare reglering uppkomma vid t.ex. etablerandet av en heltäckande nationell läkemedelsjournal eller om den nationella patientöversikten utvecklas och förverkligas på bred front i enlighet med de planer som nu finns. Även andra specifika samarbeten i form av sammanhållen journalföring kan visa sig vinna på en författningsreglering av personuppgiftsansvaret, som utöver integritetsvinsterna för enskilda, ger en central aktör vissa möjligheter att samlat styra över och administrera verksamheten.
Patientdatatutredningen anförde således att vid olika typer av samarbeten mycket väl kan vara så att någon av de inblandade aktörerna har en sådan självständig och inflytelserik position i förhållande till de övriga att det kan konstituera ett personuppgiftsansvar för de övergripande frågorna. Däremot bedömdes det inte möjligt att i lag reglera personuppgiftsansvaret. Mot den bakgrunden föreslog utredningen istället en bestämmelse som ger regeringen möjlighet att vid behov närmare reglera personuppgiftsansvaret i sådana övergripande frågor om säkerhetsåtgärder just i system för sammanhållen journalföring. Regeringen har dock fram till i dag inte fattat något sådant beslut eller gett någon myndighet rätt att meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande tekniska och organisatoriska säkerhetsåtgärder.
Även E-delegationen har i olika sammanhang berört frågan om ansvar för övergripande tekniska och organisatoriska säkerhetsåtgärder. Bland annat när det gäller frågan om personuppgiftsansvar i samband med att nya möjligheter utvecklas för myndigheter att kommunicera och inhämta information från enskilda, anför Edelegationen följande.9
De olika tjänster och kommunikationskanaler som införs för e-förvaltningen berör olika aktörer. Den som tillhandahåller ett eget utrymme åt en enskild blir normalt personuppgiftsansvarig för den drift- och säkerhetsrelaterade information som avser den enskildes eget utrymme och i övrigt för att de personuppgifter som behandlas i utrymmet är omgärdade av adekvata säkerhetsåtgärder. Tillhandahållaren blir emellertid inte ansvarig för den nyttoinformation som den enskilde själv för in i sitt utrymme.
9 E-delegationen, Juridisk vägledning för verksamhetsutveckling inom e-förvaltningen (2013) s. 18.
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
203
E-delegationens uttalande har kanske framför allt beröringspunkter med den utveckling som i dag sker inom hälso- och sjukvården och socialtjänsten för att öka servicen och tillgängligheten m.m. gentemot invånarna. Det handlar exempelvis om utvecklingen inom Mina vårdkontakter och olika former av personliga hälsokonton m.m. För tydlighets skull vill utredningen dock påpeka att man är personuppgiftsansvarig för behandlingen av personuppgifter och inte, som E-delegationens uttalande ovan kan ge sken av, för informationen i sig.
10.3.2 Några exempel från Datainspektionens tillsyn m.m.
Utredningen konstaterar att den tekniska utvecklingen och de nya samarbetsformerna har medfört att det kan vara betydligt svårare än tidigare att identifiera vilken aktör eller vilka aktörer som har faktiska möjligheter att påverka i frågor som rör efterlevnaden av integritetsskyddslagstiftningen. Även om ett personuppgiftsansvar i någon mening naturligtvis alltid ligger hos den som faktiskt har rådighet att rent praktiskt företa eller avstå från att företa en viss personuppgiftsbehandling, kan det ibland ifrågasättas om denna möjlighet motsvaras av en reell valsituation eller om sättet för personuppgiftsbehandling närmast är en förutsättning för att kunna bedriva verksamhet på de villkor som satts upp av finansiären, exempelvis ett landsting eller en kommun.
Detta förhållande har i viss mån även bekräftats av tillsynsmyndighetens agerande för att försöka åstadkomma rättelse i enskilda fall. Datainspektionen har exempelvis vid tillsyn över vårdgivares deltagande i system för sammanhållen journalföring funnit anledning att vid konstaterandet av brister, inleda en tillsyn mot den aktör som inspektionen bedömt har de reella möjligheterna att åtgärda bristerna. Ett exempel på detta är Datainspektionens tillsyn över en privat driven vårdcentral som använder samma system för sammanhållen journalföring som används av Stockholms läns landsting. I tillsynsbeslutet mot den privata vårdgivaren konstaterar Datainspektionen att vårdgivaren behandlar personuppgifter i strid med patientdatalagen och att inspektionen förutsätter att bristerna åtgärdas. Samtidigt anför inspektionen följande i beslutet.10
10 Datainspektionens beslut 2011-02-17, dnr 591-2010
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
204
Datainspektionen anser att det är Stockholms läns landsting (Landstinget) som har reella möjligheter att åtgärda denna brist i journalsystemet. Datainspektionen kommer med anledning av detta att snarast inleda tillsyn mot Landstinget.
På motsvarande sätt konstaterade Datainspektionen i ett annat tillsynsärende att en privat vårdgivare, på grund av hur journalsystemet var utformat, inte levde upp till ett antal av de grundläggande och integritetsskyddande kraven i patientdatalagen. Även om Datainspektionen i beslutet förvisso förutsätter att vårdgivaren åtgärdar bristerna, uttalar inspektionen följande.11
När det gäller bristerna beträffande de tekniska funktionerna i journalsystemet, anser Datainspektionen att det är Landstinget Sörmland (Landstinget) som har reella möjligheter att åtgärda ovanstående brister. Datainspektionen kommer med anledning av detta att snaras inleda tillsyn mot Landstinget.
Dessa tillsynsbeslut visar, enligt utredningens uppfattning, på att det kan finnas behov av att tydliggöra vem som har de faktiska möjligheterna att vidta åtgärder för att tillgodose enskildas behov av skydd för den personliga integriteten. Precis som patientdatautredningen anförde kan det i dag finnas ett antal samarbeten där det vid en utredning om de faktiska förutsättningarna skulle visa sig att en aktör, eller möjligtvis ett fåtal aktörer, har dikterat villkoren för de övrigas medverkan och har de egentliga befogenheterna att ansvara för och utföra åtgärder för att skydda personuppgifterna och se till att de system som används gör det möjligt att behandla personuppgifter i enlighet med lagstiftningens krav. Detta behöver dock inte utesluta att var och en av de ingående aktörerna fortsatt har ett personuppgiftsansvar för den behandling av personuppgifter som man faktiskt utför.
Den rådande utvecklingen har kommit att innebära att ett antal olika aktörer ofta är inblandade i olika led och delar av en personuppgiftsbehandling som på ett generellt plan görs för samma övergripande ändamål. Det ändamålet kan exempelvis vara att lämna ut och ta del av personuppgifter genom direktåtkomst eller lämna ut personuppgifter elektroniskt till medborgare. Såvitt utredningen har funnit saknas i dag domstolsavgöranden som, på den detaljnivå det är fråga om här, har tagit ställning till olika aktörers personuppgiftsansvar för vad som i allt väsentligt utgör en och samma
11 Datainspektionens beslut 2011-02-17, dnr 590-2010.
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
205
övergripande personuppgiftsbehandling. Frågan kan visserligen anses ha berörts närmast i förbigående av Högsta förvaltningsdomstolen i ett mål mot Försäkringskassan. Målet handlade något förenklat om Försäkringskassans eventuella ansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder i samband med att medborgare använder en av kassan framtagen självbetjäningstjänst för begäran om tillfällig föräldrapenning via sms. Högsta förvaltningsdomstolen uttalar bland annat följande (vår kursivering nedan).12
Den serie av åtgärder i fråga om personuppgifter som vidtas i de aktuella fallen kan betraktas som led i Försäkringskassans behandling av uppgifter i enskilda ärenden. Det gäller trots att Försäkringskassan saknar möjlighet att påverka hur uppgifterna hanteras innan de blir tillgängliga för kassan. Det gäller också oberoende av om någon eller
några av åtgärderna skulle utgöra behandling av personuppgifter även hos någon annan.
Även om det nämns i förbigående tyder den kursiverade meningen på att domstolen inte utesluter att det vid sidan om Försäkringskassan kan finnas andra aktörer som i sammanhanget utför sådan personuppgiftsbehandling som konstituerar ett personuppgiftsansvar även för någon annan. Datainspektionen har även i ett tillsynsärende mot företaget Wiky rörande en s.k. rejtingsajt på internet berört frågan om personuppgiftsansvaret och dess innehåll om flera aktörer är inblandade. Datainspektionen anför bland annat följande av intresse i sammanhanget.13
Wikys personuppgiftsbehandling omfattar såväl behandling av de uppgifter som Wiky på egen hand lägger in i tjänsten (databasen med näringsidkare) som behandling av de personuppgifter som Wiky samlar in genom att användarna lägger in dem i tjänsten. Att tjänsten är omodererad, dvs. att användarnas omdömen publiceras utan föregående granskning eller åtgärd av Wiky, innebär dock att personuppgiftsansvaret är begränsat i vissa delar eftersom företaget inte i alla avseenden besitter fullständiga rättsliga och faktiska möjligheter att förfoga över de aktuella uppgifterna. Wikys personuppgiftsansvar för tjänsten utesluter inte att även den enskilde användaren har ett sådant ansvar för behandling av personuppgifter i reco.se, dvs. för sådan behandling av personuppgifter som användaren utför.
12 Högsta förvaltningsdomstolens dom 5 juni 2012, mål nr. 4453-10. 13 Datainspektionens beslut 2010-01-11, dnr 1288-2009.
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
206
Även om detta ärende rörde relationen mellan enskilda användare och den som tillhandahåller möjligheterna för personuppgiftsbehandlingen, sätter tillsynsärendet delvis ljuset på den svårighet som kan finnas dels att identifiera personuppgiftsansvaret, dels att slå fast vad personuppgiftsansvaret i olika delar omfattar. Trots att tillsynsärendet inte rörde frågor om personuppgiftsansvar för övergripande tekniska och organisatoriska säkerhetsåtgärder finns, enligt utredningens bedömning, flera paralleller till den utveckling som sker inom e-hälsa lokalt, regionalt och nationellt. Detta eftersom det även i dessa samarbeten ofta är nödvändigt att reflektera över de ingående aktörernas inbördes förhållanden och ansvarsfördelning för vad som många gånger kan betraktas som en serie av personuppgiftsbehandlingar för samma övergripande ändamål.
10.4 Våra överväganden och förslag
10.4.1 Krav på risk- och sårbarhetsanalys, överenskommelse och tydliggörande av personuppgiftsansvar
Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att en
vårdgivare som medger andra vårdgivare direktåtkomst eller på annat sätt samarbetar med andra vårdgivare vid behandling av personuppgifter, ska göra en risk- och sårbarhetsanalys och komma överens med de andra vårdgivarna om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Detta ska göras innan samarbetet inleds. Av överenskommelsen ska även framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.
Vår bedömning: Bestämmelsen i 6 kap. 6 § PDL om att
regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen journalföring ska inte föras över till den föreslagna hälso- och sjukvårdsdatalagen.
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
207
Krav på risk- och sårbarhetsanalys och överenskommelse avseende informationssäkerhet och skyddet för personuppgifterna
När flera personuppgiftsansvariga samverkar vid behandling av personuppgifter uppstår ett behov av att gemensamt komma överens om de närmare villkoren för samarbetet. Ett sådant behov finns inte minst med avseende på skyddet för personuppgifterna. Vårdgivare som exempelvis lämnar ut personuppgifter genom direktåtkomst i system för sammanhållen journalföring har ett självklart intresse av att skyddet för personuppgifterna garanteras och att övriga samverkande vårdgivare har förutsättningar för att behandla personuppgifter i överensstämmelse med integritetsskyddsbestämmelserna. För de samverkande aktörerna inom hälso- och sjukvården handlar det bland annat om att se till att informationssäkerheten anpassas till legala krav i hälso- och sjukvårdsdatalagen, men även till exempelvis offentlighets- och sekretesslagen (2009:400), arkivlagen (1990:782) och patientsäkerhetslagen (2010:659). Den nuvarande lagstiftningen ställer inga uttryckliga krav på de samverkande personuppgiftsansvariga att genom avtal eller annan överenskommelse ange de närmare villkoren för samarbetet och hur de legala kraven ska tillgodoses.
Enligt vår bedömning riskerar avsaknaden av krav på överenskommelse att medföra att personuppgiftsansvariga inte säkerställer hur samarbetet ska bedrivas för att informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Mot den bakgrunden föreslår vi att hälso- och sjukvårdsdatalagen ska innehålla uttryckliga krav på överenskommelser i dessa avseenden. En vårdgivare som medger andra vårdgivare direktåtkomst eller på annat sätt samarbetar med andra vårdgivare vid behandling av personuppgifter ska därför komma överens med de andra vårdgivarna hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses innan samarbetet inleds. Som exempel på andra situationer än direktåtkomst, där samarbetet kan sägas innebära ett gemensamt tillvägagångssätt för behandling av personuppgifter, avses exempelvis de utvecklingsarbeten som bedrivs inom nationell e-hälsa. I det föregående har exempelvis nämnts sådan personuppgiftsbehandling som görs inom ramen för Mina vårdkontakter, journaler på nätet eller grundläggande funktioner som den nationella tjänsteplattformen.
Överenskommelsen mellan vårdgivare ska, enligt utredningens förslag, föregås av en risk- och sårbarhetsanalys rörande de samverkande vårdgivarnas organisatoriska och tekniska förutsättningar
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
208
att skydda personuppgifterna. Risk- och sårbarhetsanalysen ska därmed utgöra en grund för överenskommelsens innehåll och omfattning. Därutöver kan risk- och sårbarhetsanalysen även resultera i att en vårdgivare, eller de samverkande vårdgivarna tillsammans, kan behöva vidta åtgärder innan uppgifter lämnas ut genom direktåtkomst eller annat samarbete kring behandling av personuppgifter inleds. Om risk- och sårbarhetsanalysen exempelvis visar att någon av de samverkande vårdgivarna saknar väsentliga förutsättningar att skydda personuppgifterna i enlighet med de krav på informationssäkerhet och integritetsskydd som ställs vid behandling av så pass känsliga personuppgifter det här är fråga om, ska dessa brister avhjälpas innan exempelvis utlämnande genom direktåtkomst medges. I risk- och sårbarhetsanalysen bör bland annat ingå frågor om de samverkande vårdgivarnas förutsättningar att leva upp till hälso- och sjukvårdsdatalagens krav på behörighetsstyrning och åtkomstkontroll.
Hur överenskommelsen ska tecknas ska vara upp till de samverkande vårdgivarna att avgöra. Enligt vår bedömning riskerar alltför detaljerade anvisningar från lagstiftarens sida att låsa in vårdgivarna i lösningar som inte är tillräckligt flexibla med hänsyn till den komplexa situation och de olika slags samarbeten som det här är fråga om. Det finns inget som hindrar att överenskommelsen utgörs av en kombination av flera olika åtgärder. En av flera sådana möjliga kombinationer kan vara ett anslutningsavtal eller motsvarande som i vissa delar kompletteras av att vårdgivarna ansluter sig till ett eller flera utpekade regelverk för informationssäkerhet. Begreppet överenskommelse ska därmed ges en vidsträckt innebörd. Det handlar enligt vår bedömning inte i första hand om hur överenskommelsen rent formellt konstrueras utan fokus bör istället sättas på frågorna i sak, dvs. hur en tillfredsställande informationssäkerhet och hur skyddet för personuppgifterna ska tillgodoses.
I sammanhanget kan nämnas att Myndigheten för samhällsskydd och beredskap, MSB, har tillsammans med några andra myndigheter formulerat en strategi för ökad informationssäkerhet i vård och omsorg. Syftet med strategin är att skapa förutsättningar för att vård och omsorg ska kunna bedrivas med rätt nivå av informationssäkerhet för att kunna tillgodose medborgare, patienters och samhällets behov av insyn, delaktighet, patientsäkerhet och personlig integritet. Strategin ska ge stöd för att hantera de nya risker som inte enbart kan åtgärdas av de enskilda
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
209
sjukvårdshuvudmännen.14Om den strategin så småningom utmynnar i ett förslag till ett mer detaljerat regelverk skulle det kunna vara ett exempel på ett sådant gemensamt regelverk som samverkande vårdgivare och andra aktörer kan ansluta sig till.
Det är i detta sammanhang inte möjligt att uttömmande ange vad en överenskommelse enligt vårt förslag ska innehålla, eftersom de samarbeten som här avses kan visa upp betydande skillnader i omfattning och innebörd. Syftet är att överenskommelsen totalt sett ska omfatta de områden som behövs för att skydda personuppgifterna, de olika former av resurser som används för att behandla personuppgifter samt det som behövs för att se till att personuppgiftsbehandlingen kan bedrivas på ett sätt som upprätthåller en god och säker vård. På en övergripande nivå berör det grundläggande informationssäkerhetsaspekter som tillgänglighet, riktighet, konfidentialitet och spårbarhet.
Den överenskommelse som här avses kan även innefatta hur vissa av de registrerades rättigheter ska kunna tillgodoses i praktiken. Det kan exempelvis handla om sådant som var den enskilde vänder sig för att få ett loggutdrag över den åtkomst som har förekommit till patientens uppgifter. I stället för att den enskilde exempelvis ska behöva vända sig till flera av de inblandade vårdgivarna kan det finnas skäl för vårdgivarna att komma överens om och praktiskt arrangera det på sådant sätt att patienten endast behöver vända sig till en aktör för att få loggutdraget. En sådan aktör behöver naturligtvis inte vara en av de inblandade vårdgivarna, utan kan mycket väl vara ett personuppgiftsbiträde åt vårdgivarna. Vidare kan överenskommelsen även reglera hur och till vem de registrerade ska vända sig med frågor, synpunkter eller klagomål. En enskilds möjligheter att ta till vara sina rättigheter underlättas om det är tydligt vem han eller hon ska vända sig till med krav eller klagomål, t.ex. för det fall bristfällig information lämnats om vem som är personuppgiftsansvarig för behandling av personuppgifter som avser honom eller henne.
Att i lagen ställa krav på överenskommelse mellan de inblandade vårdgivarna bidrar enligt vår bedömning till en förstärkning av integritetsskyddet och till en uppmärksamhet kring grundläggande informationssäkerhetsfrågor. För ett sådant samhällsviktigt område som hälso- och sjukvården är informationssäkerheten en grundläggande förutsättning för att kärnverksamheten ska kunna fungera
14 Myndigheten för samhällsskydd och beredskap, 2012-06-20, Strategi för stärkt informationssäkerhet inom vård och omsorg.
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
210
optimalt och på ett sätt som reducerar säkerhetsrisker som kan medföra negativa konsekvenser för enskilda. Patienter ska kunna känna trygghet och förtroende för att informationshanteringen utformas på ett sådant sätt att behovet av integritetsskydd förenas med möjligheterna att ge en god och säker vård, oavsett vilken av de inblandade vårdgivarna som patienten möter.
Kravet på överenskommelse innebär att vårdgivaren, innan det faktiska samarbetet avseende behandlingen av personuppgifter inleds, behöver arbeta aktivt tillsammans med andra vårdgivare för att identifiera vad överenskommelsen behöver innehålla för att informationssäkerheten och skyddet för den personliga integriteten ska kunna tillgodoses. För tillsynsmyndigheten blir det förhoppningsvis även, till skillnad från i dag, ett underlag för att mer effektivt kunna bedöma reella integritetsskyddsrisker och vidtagna åtgärder när många vårdgivare samarbetar. Det bidrar även till att upprätthålla förtroendet för hälso- och sjukvårdens informationshantering och reducera riskerna för sådana omotiverade och ofrivilliga integritetsförluster som annars kan uppstå om ett gemensamt grepp över dessa frågor saknas.
Ett tydligt tillämpningsområde för den föreslagna bestämmelsen är de samarbeten som förekommer på lokal och regional nivå när vårdgivare utbyter personuppgifter genom direktåtkomst. I dag görs det med stöd av reglerna för sammanhållen journalföring och med vårt förslag kommer det istället att kunna göras genom direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. Denna, för vissa geografiska områden, utvidgning av de reella möjligheterna att utbyta information ska därför balanseras bland annat mot detta krav på överenskommelse mellan vårdgivarna. De vårdgivare inom en huvudmans ansvarsområde som har för avsikt att utbyta personuppgifter genom direktåtkomst ska således genom en överenskommelse fastställa hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Vårdgivare har därför ett ansvar för att inte lämna ut uppgifter genom direktåtkomst om inte en sådan överenskommelse finns.
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
211
Ett tydliggörande av personuppgiftsansvaret
Utredningen anser, i likhet med patientdatautredningens resonemang, att det i vissa situationer finns särskilda behov av att tydliggöra hur personuppgiftsansvaret för frågor om övergripande tekniska och organisatoriska säkerhetsåtgärder är fördelat. Generellt bedömer vi att det för skyddet av den enskildes personliga integritet finns starka skäl för att tydliggöra ansvaret för övergripande tekniska och organisatoriska åtgärder i sådana samarbeten där flera aktörer använder samma lösningar för att bland annat behandla personuppgifter. Förutom att det blir tydligt för den enskilde vilken eller vilka aktörer som den enskilde ska vända sig till i övergripande frågor, blir ansvaret även tydligt för de inblandade aktörerna själva. I dag kan detta ansvar ibland vara höljt i dunkel. Inte minst i sådana samarbeten där hundratals aktörer samverkar. Ett tydliggörande av personuppgiftsansvarets fördelning kan bland annat leda till att det fastställs att samtliga inblandade vårdgivare tillsammans har personuppgiftsansvar för övergripande säkerhetsåtgärder, men det kan även innebära att en eller ett fåtal av vårdgivarna anses ha detta ansvar. Enligt utredningens uppfattning borde det senare, mot bakgrund av de faktiska omständigheterna inte vara en alltför ovanlig situation i de samarbeten som det här är fråga om.
I dessa samarbeten ingår aktörer som har vitt skilda förutsättningar att agera i frågor som rör de närmare villkoren för övergripande frågor. Det kan exempelvis ifrågasättas vilka reella möjligheter en normalstor privat vårdgivare har att utföra åtgärder för att påverka övergripande säkerhetsfrågor i system som utvecklats av ett eller flera stora landsting tillsammans. Inte sällan kan dessutom den privata vårdgivaren vara mer eller mindre hänvisad till att använda en viss teknisk funktion eller ett visst system för den aktuella personuppgiftsbehandlingen.
Att vid behov tydligt peka ut en aktör som ansvarig för de övergripande åtgärderna skulle synliggöra ansvaret för de övergripande säkerhetsåtgärderna och bättre överensstämma med de faktiska förutsättningarna. Vi bedömer att detta behov är betydligt större än tidigare och betydligt mer omfattande än endast system för sammanhållen journalföring. Utvecklingen i hälso- och sjukvården går, liksom i hela den offentliga e-förvaltningen, mot att många behöver samarbeta för att åstadkomma en informationshantering
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
212
som är kostnadseffektiv, säker och ger en bra service till medborgarna. Inte sällan är dessa samarbeten i praktiken även en förutsättning för jämlika förhållanden för medborgare i olika delar av landet.
En annan fråga som har ökat i aktualitet är vilka avtal som behövs för att reglera ansvarsfördelning och säkra skyddet för personuppgifterna i situationer där många aktörer samverkar. I praktiken har detta kommit att medföra en ökad administration och ett behov av en omfattande mängd personuppgiftsbiträdesavtal. Inte minst inom hälso- och sjukvården där hundratals och på sikt tusentals vårdgivare sannolikt kommer att utnyttja samma tekniska lösningar blir avtalssituationen komplex. Detta beror inte bara på antalet personuppgiftsansvariga, utan även på antalet personuppgiftsbiträden. Det är i dag vanligt förekommande att flera personuppgiftsbiträden är involverade på olika nivåer och i olika delar av personuppgiftsbehandlingen. Av bland annat den anledningen har landstingen tagit fram s.k. modellavtal som kombinerar personuppgiftsbiträdesavtalens innehåll och struktur med fullmaktslösningar. Modellavtalen bygger på principen om kaskadavtal och innebär att ett personuppgiftsbiträde ges fullmakt att, för de personuppgiftsansvarigas räkning, teckna biträdesavtal med eventuella ”underbiträden”. På ett sådant sätt kan avtalshanteringen koncentreras och antalet avtal reduceras samtidigt som skyddet för uppgifterna formellt säkras. Om det vid samarbeten mellan olika aktörer i större utsträckning skulle utpekas en aktör som ansvarig för övergripande frågor om tekniska och organisatoriska åtgärder skulle antalet avtal sannolikt minska ytterligare. Samtidigt skulle avtalen inte heller behöva omfatta frågor om övergripande säkerhetsåtgärder.
För att inte enskilda ska riskera att lida omotiverade integritetsförluster på grund av att personuppgiftsansvaret är oklart eller odefinierat till sitt innehåll anser utredningen att det finns skäl att i större utsträckning än vad som förekommit hittills tydliggöra personuppgiftsansvaret för övergripande säkerhetsåtgärder. Det är i sammanhanget även nödvändigt att analysera om nuvarande reglering är ändamålsenlig eller om det kan behövas andra åtgärder för att stimulera ett tydliggörande av personuppgiftsansvaret.
I patientdatalagen ges regeringen i dag en möjlighet att peka ut en aktör som personuppgiftsansvarig för frågor om organisatoriska och tekniska säkerhetsåtgärder. Vi ställer oss tveksamma till om den nuvarande modellen i patientdatalagen med möjligheter för
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
213
regeringen att agera i frågan är ändamålsenlig. Vidare kan ifrågasättas hur denna möjlighet för regeringen egentligen förhåller sig till den grundläggande principen om personuppgiftsansvarets fördelning utifrån de faktiska omständigheterna.
Det framgår inte i förarbetena till bestämmelsen hur den är tänkt att tillämpas och vilka utgångspunkter som ska gälla för regeringens bedömning. Medan personuppgiftsansvaret i grunden alltid innehas av den som faktiskt har bestämt ändamål och medel för behandlingen av personuppgifter, synes bestämmelsen inte ställa krav på att regeringen ska utgå ifrån de faktiska omständigheterna vid ett eventuellt ställningstagande till personuppgiftsansvaret. Det kan därmed inte uteslutas att regeringen skulle kunna peka ut någon aktör som personuppgiftsansvarig för övergripande säkerhetsåtgärder, men som vid en bedömning av de faktiska förhållandena inte kan anses ha bestämt ändamål och medel för personuppgiftsbehandlingen. Om den bakomliggande tanken med lagstiftningen är att regeringen ska fatta ett beslut baserat på de faktiska omständigheterna, blir saken inte mindre viktig att reflektera över. Detta eftersom det i yttersta fall borde vara fråga för domstol att avgöra vem eller vilka som är personuppgiftsansvariga. Enligt utredningens bedömning medför bestämmelsens oklarheter i relation till de grundläggande bestämmelserna i personuppgiftslagen att den är mindre lämplig. Det kan också konstateras att regeringen hittills inte fattat något beslut om personuppgiftsansvar i enlighet med bestämmelsen.
Vidare kan det ifrågasättas om det skulle vara lämpligt för regeringen att fatta ett beslut om personuppgiftsansvaret utan att reglera övriga frågor kring den aktuella personuppgiftsbehandlingen. Normalt ska ett utpekande av personuppgiftsansvar åtföljas av en detaljerad reglering av ansvarets omfattning, ändamålen för behandlingen, vilka personuppgifter som får behandlas osv. Enligt utredningens uppfattning bör detta vara utgångspunkten även för frågor om personuppgiftsansvar för övergripande säkerhetsåtgärder i system för sammanhållen journalföring.
Det kan inte heller uteslutas att bestämmelsen bidrar till den passivitet hos vårdgivarna själva som hittills har kunnat konstateras. Såvitt utredningen har kännedom om har ingen vårdgivare ännu tydligt deklarerat ett ansvar för övergripande säkerhetsåtgärder t.ex. för lokala eller regionala system för sammanhållen journalföring. Det får dock bedömas som sannolikt att det vid en analys av de faktiska omständigheterna finns vårdgivare som dikterat
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
214
villkoren för de övrigas medverkan på ett sådant sätt att personuppgiftsansvaret för övergripande säkerhetsfrågor skulle kunna anses ligga på denne. Möjligen kan utformningen av den nuvarande bestämmelsen ha medfört att ansvaret för övergripande säkerhetsåtgärder närmast har setts som en fråga för regeringen och inte för de iblandade aktörerna själva.
Sammantaget anser vi det finns befogade invändningar mot den nuvarande bestämmelsen i patientdatalagen. Vi anser därför att den inte bör överföras till den föreslagna hälso- och sjukvårdsdatalagen. Det innebär att regeringen på det område som rör sammanhållen journalföring får motsvarande möjligheter som regeringen har på andra områden i samhället, dvs. att genom lagstiftning särskilt reglera frågor om personuppgiftsansvar.
Vår utgångspunkt är att frågor om personuppgiftsansvar i första hand bör hanteras av den eller de personuppgiftsansvariga själva. Det är de inblandade som har bäst kännedom om de bakomliggande faktorerna och de faktiska omständigheterna. Av den anledningen finns det skäl att stimulera de inblandade aktörerna att själva aktivt analysera och ta ställning till frågan om någon eller några anses ha ett personuppgiftsansvar för övergripande säkerhetsåtgärder. Det skulle i allt väsentligt vara en positiv utveckling ur ett integritetsskyddsperspektiv. Därför föreslår vi en grundläggande bestämmelse som anger att vårdgivare som utbyter uppgifter genom direktåtkomst eller på annat sätt samverkar vid behandling av personuppgifter, genom överenskommelse ska tydliggöra hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder. Syftet med bestämmelsen är att stimulera de inblandade aktörerna att analysera det närmare samarbetet och tydliggöra personuppgiftsansvaret utifrån de faktiska omständigheterna. Resultatet av överenskommelsen kan således vara att samtliga vårdgivare tillsammans anses ha personuppgiftsansvar för övergripande säkerhetsåtgärder, eller att en eller ett fåtal av de samverkande vårdgivarna anses ha detta ansvar.
Enligt vår bedömning behövs ingen särskild författningsreglering som tydliggör att en av de inblandade aktörerna kan ha ett personuppgiftsansvar för övergripande frågor. Det följer redan av personuppgiftslagens principer och definition av personuppgiftsansvar. Inte heller hindrar bestämmelser i förslaget till hälso- och sjukvårdsdatalag detta. Regeringen anförde i förarbetena till patientdatalagen att personuppgiftsansvaret i hälso- och sjukvården
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
215
bör läggas på myndighetsnivå.15 Bland annat för att det därmed uppnås en samordning mellan personuppgiftsansvaret för allmänna handlingar enligt tryckfrihetsförordningen, offentlighets och sekretesslagen och arkivlagen. Mot den bakgrunden synes frågan om personuppgiftsansvar i patientdatalagen närmast handla om på vilken organisatorisk nivå personuppgiftsansvaret ska ligga, snarare än att göra ett avsteg från den grundläggande principen om att personuppgiftsansvaret utgår ifrån de faktiska omständigheterna. Det faktum att en vårdgivare är personuppgiftsansvar för den behandling av personuppgifter som vårdgivaren utför utesluter därför enligt vår bedömning inte att det kan finnas någon annan som också har ett personuppgiftsansvar i fråga om delar av den kedja av personuppgiftsbehandlingar som aktualiseras i samarbeten mellan vårdgivare.
Det är enligt vår bedömning inte möjligt att i lag fastslå vad ett ansvar för de övergripande säkerhetsåtgärderna innebär. Som tidigare påpekats handlar det om samarbeten av vitt skilda slag, av olika omfattning och för olika syften. Organisation, samarbetsformer och övriga faktiska omständigheter blir således avgörande för vad som mer specifikt kan anses ingå i ett sådant ansvar. Utgångspunkten bör dock vara ett personuppgiftsansvar för övergripande säkerhetsåtgärder exempelvis i förhållande till sådana funktioner och förutsättningar som utgör basen för den gemensamma personuppgiftsbehandlingen och som samtliga inblandade aktörer är beroende av och måste rätta sig efter. Det handlar om ett ansvar för tekniska och organisatoriska åtgärder som värnar om den enskildes personliga integritet och som samtidigt, i olika utsträckning beroende på samarbetets karaktär, säkerställer grundläggande faktorer som t.ex. krypteringsskydd, uppgifternas tillgänglighet och riktighet, spårbarheten i systemet m.m.
Som exempel på sådana åtgärder som i olika utsträckning kan tänkas ingå i ett övergripande ansvar kan följande nämnas.
• Organisatoriska och administrativa åtgärder som risk- och sårbarhetsanalyser och kontinuerlig övervakning av de centrala tjänsterna.
• Kontroll över de ingående aktörernas efterlevnad av de gemensamma rutiner, regelverk och villkor som gäller för samarbetet.
• Ansvar för att förvalta och utveckla de centrala funktioner och tjänster som används för att skydda personuppgifterna.
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
216
• Kontinuerliga tester för att analysera att informationssäkerhetskraven efterlevs.
• Kontroll av personuppgiftsbiträden och underleverantörer.
• Ansvar för att personuppgiftsbiträdesavtal och instruktioner finns med förekommande externa leverantörer som behandlar personuppgifter för sådana ändamål som har att göra med de övergripande frågorna.
Hur kan det övergripande personuppgiftsansvaret identifieras?
Som redovisats ovan anser vi att frågan om fördelningen av personuppgiftsansvar för övergripande säkerhetsåtgärder ska avgöras med hänsyn till de faktiska omständigheterna i det enskilda fallet. Det är således upp till de samverkande vårdgivarna att analysera situationen och tydliggöra hur personuppgiftsansvaret är fördelat. Utredningen inser att det sannolikt kan vara olika svårt i olika sammanhang. Samarbeten mellan vårdgivare är inte sällan komplexa utvecklingsarbeten där framför allt medlen för personuppgiftsbehandlingen, dvs. tekniska lösningar, kan vara framtagna av olika aktörer i olika skeden av processen. Samtidigt är vår bedömning att de iblandade vårdgivarna är de som har bäst förutsättningar att göra bedömningen.
När det gäller frågan om personuppgiftsansvar och vad som konstituerar ett ansvar finns viss vägledning att hämta från den s.k. artikel 29-gruppen. Artikel 29-gruppen består bland annat av en företrädare för varje nationell dataskyddsmyndighet i EU-medlemsstaterna och gruppen har till uppgift att främja en enhetlig tillämpning av dataskyddsdirektivet i de nationella lagstiftningarna.
Artikel 29-gruppen har lämnat vissa rekommendationer beträffande just begreppet personuppgiftsansvar. I yttrande 1/2010 om begreppen registeransvarig och registerförare anför 29-gruppen bl.a. följande (med registeransvarig avses personuppgiftsansvarig).
Begreppet registeransvarig är ett funktionellt begrepp som är avsett att lägga ansvaret där det faktiska inflytandet ligger och bygger alltså på en faktabaserad snarare än en formell analys. För att avgöra var registeransvaret ligger kan det därför ibland krävas en ingående och lång undersökning. Behovet av att säkerställa effektiviteten innebär dock att det krävs en pragmatisk inställning för att skapa förutsägbarhet i fråga om registeransvaret. Därför behövs tumregler och praktiska
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
217
överväganden för att vägleda och förenkla tillämpningen av dataskyddsdirektivet.
När det gäller frågan om personuppgiftsansvar grundat på faktiska omständigheter menar 29-gruppen att det i många fall omfattar en bedömning av de avtalsmässiga förbindelserna mellan de olika inblandade parterna. Genom bedömningen går det att dra slutsatser och tilldela en eller flera parter rollen och ansvaret som registeransvarig. Det kan enligt 29-gruppen vara särskilt användbart i komplicerade miljöer, där det ofta används ny informationsteknik och de berörda aktörerna gärna betraktar sig som ”förmedlare” och inte som registeransvariga. Det kanske inte anges tydligt i ett avtal vem som är registeransvarig, men det kan ändå innehålla tillräckligt med information för att man ska kunna tilldela registeransvaret till en part som uppenbarligen har den dominerande rollen i det avseendet. Det kan också hända att avtalet är tydligare även i fråga om vem som är registeransvarig. Om det inte finns någon anledning att ifrågasätta att detta korrekt speglar verkligheten finns det, enligt 29-gruppen, inget hinder för att följa villkoren i avtalet.
29-gruppen för i sammanhanget även ett resonemang kring sådana förhållanden som särskilt aktualiseras när flera olika aktörer samverkar i frågor som rör personuppgiftsbehandling och hur personuppgiftsansvaret i sådana fall skulle kunna fastställas. 29gruppen framhåller att när det gäller gemensamt registeransvar kan parternas deltagande i det gemensamma beslutet ta olika former och måste inte delas lika. När det handlar om flera aktörer kan de ha ett mycket nära förhållande (och t.ex. dela samtliga ändamål och medel för en behandling) eller ett lösare förhållande (och t.ex. endast dela ändamål eller medel, eller delar av dem). Därför bör man, enligt 29-gruppen, ta hänsyn till en rad olika typer av gemensamt registeransvar och bedöma deras rättsliga konsekvenser, med en viss flexibilitet för att ta hänsyn till den växande komplexiteten i dagens uppgiftsbehandling i praktiken. Av den anledningen anser 29-gruppen att måste man hantera de olika grader av delaktighet som olika parter kan ha eller olika grader av kopplingar mellan dem i behandlingen av personuppgifter. I sammanhanget uttalas bland annat följande.
Men i verkligheten kan det som sagt finnas flera olika sätt att agera ”gemensamt”, dvs. ”tillsammans med”. Detta kan under vissa omständigheter leda till en gemensam och delad ansvarsskyldighet, men inte som allmän regel: i många fall kanske de olika registeransvariga är
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
218
ansvariga – och därmed ansvarsskyldiga – för behandlingen av personuppgifter i olika skeden och i olika grad. Det viktigaste måste vara att se till att efterlevnaden av dataskyddsbestämmelserna och ansvaret för eventuella brott mot de bestämmelserna är tydligt fördelade, även i komplexa behandlingsmiljöer där olika registeransvariga har del i behandlingen av personuppgifter, för att undvika att skyddet av personuppgifter minskar eller att det uppstår ”negativa behörighetskonflikter” och kryphål som leder till att de skyldigheter och rättigheter som följer av direktivet inte garanteras av någon av parterna.
Vidare menar 29- gruppen att parter som agerar tillsammans har en viss flexibilitet när det gäller att fördel skyldigheter och ansvar sinsemellan, så länge de garanterar en fullständig efterlevnad. Regler för hur det gemensamma ansvaret ska utövas bör, enligt gruppen, i princip fastställas av de registeransvariga. Men hänsyn bör också tas till de faktiska omständigheterna och det bör bedömas om arrangemanget avspeglar verkligheten i den bakomliggande uppgiftsbehandlingen. I yttrandet om personuppgiftsansvar redogörs även för nedanstående exempel, som är hämtat just ifrån samarbeten mellan vårdgivare inom hälso- och sjukvården. 29gruppen anför följande i exemplet, som handlar om plattformar för att administrera hälsouppgifter.
I en medlemsstat inrättar en offentlig myndighet en nationell förbindelsepunkt som reglerar utbytet av patientuppgifter mellan vårdgivare. Mängden registeransvariga – tiotusentals – leder till en så otydlig situation för de registrerade (patienterna) att skyddet av deras rättigheter hotas. För de registrerade skulle det vara mycket svårt att veta vem de skulle vända sig till med eventuella klagomål, frågor och krav på information, rättelser eller tillgång till personuppgifter. Dessutom är den offentliga myndigheten ansvarig för den faktiska utformningen av behandlingen och hur den används. Dessa faktorer leder till slutsatsen att det är den offentliga myndighet som inrättar förbindelsepunkten som ska betraktas som registeransvarig och även fungera som kontaktpunkt dit de registrerade kan vända sig med förfrågningar.
Utredningen anser att 29-gruppens yttrande om begreppet personuppgiftsansvar ger såväl stöd för utredningens förslag i frågan om personuppgiftsansvar för övergripande säkerhetsåtgärder som vägledning för vårdgivare som står i begrepp att analysera och fördela ansvaret i frågor om personuppgiftsbehandling. Mot bakgrund av 29-gruppens uttalanden anser utredningen att det finns ett fåtal konkreta omständigheter som alldeles särskilt kan tyda på att en, eller ett fåtal, av de inblandade vårdgivarna har ett särskilt ansvar för övergripande säkerhetsåtgärder. Sammanfattningsvis kan t.ex.
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
219
följande konkreta omständigheter ge vägledning för vårdgivare att fastställa personuppgiftsansvaret.
• Att en vårdgivare dikterat villkoren för övrigas medverkan.
• Att en vårdgivare har faktiska möjligheter och befogenheter att vidta åtgärder med avseende på den övergripande säkerheten för personuppgiftsbehandlingen.
• Att en vårdgivare ansvarar för kravställning, utveckling, driftsättning och förvaltning av sådant som avser den övergripande säkerheten för personuppgiftsbehandlingen.
• Att det av avtal mellan de samverkande vårdgivarna framgår att en vårdgivare har en dominerande och självständig ställning i frågor som rör övergripande säkerhetsåtgärder.
Samtidigt råder i många samarbeten naturligtvis helt andra förutsättningar än de som räknas upp ovan. De ska endast betraktas som vägledande just för frågan om någon av de inblandade kan anses ha ett ensamt personuppgiftsansvar för de övergripande säkerhetsåtgärderna. Oavsett om vårdgivarnas bedömning resulterar i att personuppgiftsansvaret för frågor om organisatoriska och tekniska säkerhetsåtgärder är gemensamt eller om det ligger på en av vårdgivarna, ska det enligt vårt förslag framgå av överenskommelsen hur personuppgiftsansvaret är fördelat.
221
11 Elektroniskt utlämnande av personuppgifter
11.1 Bakgrund
Utredningen har i tidigare avsnitt föreslagit att patientdatalagens (2008:355), förkortad PDL, ändamålsbestämmelse ska föras över till hälso- och sjukvårdsdatalagen. Inom ramen för de tillåtna ändamålen är det många gånger aktuellt att behandla personuppgifter i form av att lämna ut uppgifter till någon utanför den egna verksamheten. Utlämnande kan t.ex. avse personuppgifter som begärs ut från av en annan vårdgivare eller föranledas av en särskilt reglerad uppgiftsskyldighet. Det kan t.ex. också avse sådana uppgifter som ska lämnas ut för att den egna verksamheten ska kunna fullgöra sina uppgifter, t.ex. i samband med samverkan mellan socialtjänsten och hälso- och sjukvården. Även i relation till den medicinska utbildningen och forskningen förekommer regelmässiga utlämnanden av personuppgifter.
Personuppgifter kan lämnas ut på olika sätt. Ett sätt är via pappersutskrifter från en dator som postas eller sänds per telefax. Utlämnande kan också göras i elektronisk form, exempelvis på medium för automatiserad behandling eller genom direktåtkomst. Den elektroniska formen inrymmer i sig ett stort antal variationer, t.ex. användning av e-post, lagring på diskett eller cd-rom, direkt överföring till ett datorsystem till ett annat via telenätet eller att en mottagare ges elektroniskt tillgång till det utlämnande organets datorsystem (direktåtkomst). Elektroniska utlämnanden kan även ske genom s.k. direktåtkomst. Alla dessa olika varianter utgör behandling av personuppgifter enligt det begrepp som definieras i 3 § personuppgiftslagen (1998:204), förkortad PUL.
Enligt utredningens bedömning innebär sättet eller den särskilda tekniken för utlämnande i elektronisk form att det kan uppstå risk för intrång i den personliga integriteten Normalt innebär nämligen
Elektroniskt utlämnande av personuppgifter SOU 2014:23
222
just den elektroniska formen att mottagaren efter utlämnandet har större möjligheter att bearbeta informationen än om utlämnandet görs på papper. Direktåtkomst innebär dessutom att en mottagare har elektronisk tillgång till någon annans informationssystem eller databas och på egen hand kan söka efter information. Se vidare i det följande om åtskillnaden mellan begreppen direktåtkomst och utlämnande på medium för automatiserad behandling.
11.2 Våra överväganden och förslag
11.2.1 Vissa bestämmelser om utlämnande förs över från patientdatalagen
Vårt förslag: Bestämmelser från 5 kap. patientdatalagen med
hänvisningar till andra lagar, om utlämnade på medium för automatiserad behandling och om viss uppgiftsskyldighet för myndighet ska föras över från patientdatalagen till hälso- och sjukvårdsdatalagen.
I nuvarande 5 kap. patientdatalagen återfinns ett antal grundläggande bestämmelser om utlämnande av uppgifter och handlingar samt viss uppgiftsskyldighet. Vi föreslår att dessa bestämmelser från 5 kap. patientdatalagen förs över till den nya lagen
Hänvisningar till andra lagar
Våra förslag innebär att patientdatalagens bestämmelser med hänvisningar till andra lagar, vad gäller rätten att ta del av allmänna handlingar och eventuella begränsningar att ta del av uppgifter i enskild hälso- och sjukvård, förs över oförändrade till hälso- och sjukvårdsdatalagen.
Viss uppgiftsskyldighet för myndigheter
Vi föreslår att den nuvarande bestämmelsen i patientdatalagen om en myndighets skyldighet att vid vissa fall lämna ut uppgift ur en patientjournal som upprättats inom den enskilda hälso- och sjukvården förs över till hälso- och sjukvårdsdatalagen. Bestämmelsen har i
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
223
allt väsentligt sin grund i den tidigare gällande patientjournallagen (1985:562) och behandlades i prop. 1991/92:104 s. 24 f.
Utlämnande på medium för automatiserad behandling
Vår utgångspunkt är att vårdgivare precis som i dag ska kunna lämna ut personuppgifter på medium för automatiserad behandling om de får lämnas ut. Vi föreslår därför att den nuvarande bestämmelsen i 5 kap. 6 § PDL förs över till hälso- och sjukvårdsdatalagen. Det innebär att det är möjligt för vårdgivare att lämna ut personuppgifter elektroniskt på detta sätt, under förutsättning att det inte finns något sekretesshinder och om personuppgiftsbehandlingen som sådan är laglig. Om uppgifter överhuvudtaget får lämnas ut bestäms av bestämmelserna i offentlighets- och sekretesslagen (2009:400), förkortad OSL, samt av bestämmelserna om tystnadsplikt i patientsäkerhetslagen (2010:659) förkortad PSL. Inom hälso- och sjukvården råder en sträng sekretess och tystnadsplikt, vilket innebär att det alltid måste prövas om ett utlämnande över huvud taget kan göras eller inte. Vidare följer av de nu gällande och de föreslagna ändamålsbestämmelserna att personuppgifter får behandlas för ändamålet utlämnande. Bestämmelsen innebär att personuppgifter, som behandlas för ett tillåtet ändamål, också får behandlas för att fullgöra ett uppgiftslämnande som är lagligt.
När det gäller utlämnande på medium för automatiserad behandling delar vi den bedömning regeringen gjorde i förarbetena till patientdatalagen.1Det finns inget skäl till att för hälso- och sjukvårdens del begränsa den användning av modern teknik som i dag finns i hela samhället. Uppgifter ska därför kunna lämnas ut från hälso- och sjukvården på medium för automatiserad behandling. Ett sådant utlämnande kan exempelvis ske genom olika former av filöverföring eller på usb-minne. Det är upp till vårdgivaren att efter en lämplighetsprövning ta ställning till valet mellan en automatiserad överföring och annan överföring.
Under utredningens arbete har det blivit tydligt att det både i hälso- och sjukvården och i socialtjänsten finns behov av att utveckla och implementera it-stöd som gör det möjligt att administrera elektroniska utlämnanden på ett ändamålsenligt och säkert sätt. Det skulle exempelvis kunna förenkla och effektivisera sådana utlämnanden som görs mellan olika vårdgivare. Som ett
Elektroniskt utlämnande av personuppgifter SOU 2014:23
224
exempel på ett område där utlämnanden på medium för automatiserad behandling regelmässigt görs kan den samordnade vårdplaneringen nämnas. De flesta kommuner och landsting har även i dag möjlighet att kommunicera elektroniskt vid sådan samordnad vårdplanering ska ske när patienter skrivs ut från slutenvården och är i behov av insatser från socialtjänsten och den kommunala hälso- och sjukvården. Motsvarande typ av it-stöd som i dag används vid samordnad vårdplanering borde kunna vara ändamålsenliga även vid andra utlämnandesituationer. Andra användningsområden kan vara sådana utlämnanden som görs till enskilda. Vidare förekommer i förhållandevis stor omfattning, och mer eller mindre regelmässigt, utlämnanden såväl för forskningsändamål som för utbildningsändamål. Den hanteringen skulle enligt vår bedömning både kunna effektiviserad och bli säkrare genom införandet av nya former av it-stöd för utlämnanden.
Utredningen har i den delredovisning som överlämnades till regeringen den 31 december 2013 redogjort för ett antal tillämpningsfrågor kring utlämnande av personuppgifter. Se vidare bilaga 4.
11.2.2 Grundläggande bestämmelser om direktåtkomst förs över till hälso- och sjukvårdsdatalagen
Vårt förslag: De grundläggande bestämmelserna om direkt-
åtkomst ska föras över från patientdatalagen till hälso- och sjukvårdsdatalagen. Viss anpassning av hänvisningar i de nuvarande bestämmelserna ska göras med anledning av övriga förslag i hälso- och sjukvårdsdatalagen.
Vår bedömning: Förslaget innebär att utlämnande genom
direktåtkomst är tillåten endast i den utsträckning som anges i lag eller förordning. Med direktåtkomst och utlämnande på medium för automatiserad behandling avses i hälso- och sjukvårdsdatalagen samma innebörd som i patientdatalagen. Med direktåtkomst avses i hälso- och sjukvårdsdatalagen således en särskild form av elektroniskt utlämnande av personuppgifter till mottagare utanför vårdgivarens organisation. Med elektronisk åtkomst avses, som i dag, personalens åtkomst till uppgifter som finns elektroniskt tillgängliga i den egna vårdgivarens organisation.
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
225
Hänvisning: Frågan om utlämnande genom direktåtkomst till
enskilda behandlas i avsnitt 33.
Vi föreslår att de grundläggande bestämmelserna om direktåtkomst i 5 kap. patientdatalagen förs över till hälso- och sjukvårdsdatalagen, med vissa justeringar avseende språk och struktur samt följdändringar på grund av våra övriga förslag, som har med direktåtkomst att göra. Det handlar i allt väsentligt om att anpassa bestämmelsernas hänvisningar efter hälso- och sjukvårdsdatalagen. För våra överväganden och förslag rörande den gällande bestämmelsen i 5 kap. 5 § PDL om enskildas direktåtkomst hänvisas till avsnitt 33.5.2.
I det följande redogörs kort för begreppet direktåtkomst och för de bestämmelser som vi föreslår ska föras över från patientdatalagen.
Begreppet direktåtkomst
Det är i dag svårt att finna ett entydigt svar på frågan om vad som är direktåtkomst respektive utlämnande på medium för automatiserad behandling. Frågan är dessutom föremål för en pågående översyn av Informationshanteringsutredningen (Ju 2011:11), som enligt sina direktiv ska överväga om det finns skäl att i registerförfattningar behålla åtskillnaden mellan olika former av elektroniskt utlämnande. Uppdraget ska redovisas 1 december 2014 och av direktiven framgår bland annat följande.2
Den tekniska utvecklingen har inneburit att det numera finns betydligt fler sätt att överföra uppgifter elektroniskt än tidigare och nya åtkomstmetoder tillkommer alltjämt. Detta har medfört att det uppfattas som oklart hur begreppen direktåtkomst och utlämnande på medium för automatiserad behandling ska tillämpas på modernare metoder för informationsutbyte. Gränsdragningsproblematiken illustreras bl.a. i en rapport som har tagits fram av E-delegationens expertgrupp för rättsliga frågor (Vägledning för direktåtkomst och utlämnande på medium för automatiserad behandling). De aktuella begreppen används inte heller på ett enhetligt sätt i de olika registerförfattningarna och utöver nu nämnda begrepp förekommer andra begrepp, t.ex. ”elektronisk åtkomst” (SOU 2010:4 s. 364 f.). Mot den angivna bakgrunden ska utredaren analysera vilka effektivitetsvinster och integritetsrisker som är förknippade med olika former av elektroniskt informationsutbyte samt ta ställning till om det finns
2 Dir. 2011:86 s.19.
Elektroniskt utlämnande av personuppgifter SOU 2014:23
226
skäl att i registerförfattningarna upprätthålla en skillnad mellan direktåtkomst och andra former av elektroniskt utlämnande eller om denna åtskillnad bör utmönstras. Om utredaren anser att en åtskillnad mellan olika former av elektroniskt utlämnande även i fortsättningen bör upprätthållas, ska denne lämna förslag på vilka begrepp som bör användas samt hur dessa bör definieras.
Även om frågor om direktåtkomst är under översyn finns ett behov för hälso- och sjukvårdens del att vi i detta sammanhang så långt möjligt beskriver vad begreppet innebär och vad som skiljer olika former av utlämnanden åt. Eftersom vi föreslår ett antal bestämmelser om direktåtkomst i hälso- och sjukvårdsdatalagen är det därför nödvändigt att tydliggöra vad vi avser med direktåtkomst. Sammanfattningsvis kan konstateras att vi ställer oss bakom regeringens resonemang i förarbetena till patientdatalagen och menar att begreppet direktåtkomst och begreppet utlämnande på medium för automatiserad behandling ska ha samma innebörd i hälso- och sjukvårdsdatalagen.
Det finns emellertid inte någon legaldefinition av begreppet direktåtkomst. En vedertagen uppfattning får dock anses vara att det innebär att en mottagare har elektronisk tillgång till någon annans informationssystem eller databas, t.ex. via internet, och på egen hand kan söka efter och ta del av information. Vanligtvis innebär direktåtkomst ingen möjlighet att kunna bearbeta eller på annat sätt påverka innehållet i det system, register eller databas som åtkomsten avser.3Ibland kan mottagaren dock ha en möjlighet att kopiera eller på olika sätt ladda ner och hämta hem informationen till sitt eget system för fortsatt personuppgiftsbehandling.4
Frågan om vad som bör anses som direktåtkomst berördes bland annat av patientdatautredningen och i denna del ansluter vi oss till den utredningens resonemang. Patientdatautredningen anförde bland annat följande.5
I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Det innebär t.ex. att om vårdgivare A har direktåtkomst till samtliga uppgifter i ett register eller en databas hos vårdgivare B, så kan A själv välja vilka uppgifter den vill ta del av vid ett visst tillfälle, utan att B, dvs. den som är ansvarig för registret eller databasen, först fattar ett beslut om att just dessa upp-
3Prop. 2000/01:33 s. 110 f. 4 Se t.ex. Prop. 2001:02:144 s. 35 eller SOU 2001:100 s. 149. 5SOU 2006:82 s. 217.
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
227
gifter ska överföras till A. Beslutet om varje överföring fattas i stället av mottagaren. Direktåtkomst innebär att någon egentlig sekretessprövning hos B inte sker varje gång någon hos A använder direktåtkomsten för att ta del av en uppgift. Sekretessprövningen sker istället då B bestämmer vilka uppgifter som skall vara möjliga för A att ta fram via direktåtkomsten. Direktåtkomst kan därvid avse all information som finns samlad i ett datasystem eller endast en på förhand bestämd del av denna.
Regeringen uttalar även i förarbetena till patientdatalagen att det med direktåtkomst avses ett sätt att bereda sig automatisk tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation, men utan möjlighet att kunna bearbeta eller annars påverka uppgifternas innehåll.6
Mot denna bakgrund anser utredningen att med direktåtkomst i hälso- och sjukvårdsdatalagen ska avses en speciell form av elektroniskt utlämnande av personuppgifter till en mottagare utanför vårdgivarens organisation. Direktåtkomst skiljer sig från andra typer av elektroniska utlämnanden genom att det är mottagaren av uppgifterna som bereder sig tillgång till informationen utan att den som lämnar ut informationen vidtar någon åtgärd med informationen vid överföringstillfället, till exempel en sekretessprövning. I de här fallen är det fråga om ett helt automatiskt utlämnande.
Mot bakgrund av vad som anförts ovan finns även skäl att tydliggöra att bestämmelser om direktåtkomst inte anses ha en sekretessbrytande effekt enligt offentlighets- och sekretesslagen. Bestämmelser om direktåtkomst har en annan funktion än sekretessbrytande regler. Medan sekretessbrytande regler anger i vilken mån sekretessbelagda uppgifter över huvud taget får lämnas från en myndighet till en annan, tar bestämmelser om direktåtkomst sikte på själva formerna för utlämnandet. Om en myndighet ska få ha direktåtkomst till uppgifter som omfattas av sekretess hos en annan myndighet måste bestämmelser om direktåtkomst därför kompletteras med en sekretessbrytande bestämmelse. I anslutning till våra resonemang om möjligheter till direktåtkomst mellan vårdgivare och mellan vårdgivare och de som bedriver socialtjänst berörs denna fråga ytterligare.
Elektroniskt utlämnande av personuppgifter SOU 2014:23
228
Begreppet elektronisk åtkomst
För att skilja på situationer där åtkomst sker till uppgifter som finns lagrade i en annan vårdgivares organisation, dvs. direktåtkomst, från situationer där åtkomst sker till uppgifter som finns lagrade i personalens egen organisation, dvs. hos den egna vårdgivaren, används i dag begreppet elektronisk åtkomst. Vi bedömer att begreppet elektronisk åtkomst ska ha samma innebörd i hälso- och sjukvårdsdatalagen som det har i nuvarande patientdatalag. När det gäller personalens möjligheter att elektroniskt ta del av uppgifter som finns tillgängliga i vårdgivarens egen organisation används således begreppet elektroniskt åtkomst.7
Även om frågan kan betraktas som något akademisk är det viktigt att ha ett begrepp för att särskilja när åtkomsten används till uppgifter inom eller utom den egna organisationen. Som exempel på elektronisk åtkomst kan nämnas när personal på en vårdavdelning tar del av de uppgifter om patienten som dokumenterades av akutmottagningen på samma sjukhus. Detta naturligtvis under förutsättning att akutverksamheten och verksamheten på avdelningen bedrivs av samma vårdgivare.
I hälso- och sjukvårdsdatalagen återfinns begreppet elektronisk åtkomst endast i den bestämmelse som tydliggör patientens möjlighet att begränsa åtkomst till uppgifter inom och mellan vårdgivare som bedriver hälso-och sjukvårdsverksamhet som samma huvudman ansvarar för.
Direktåtkomst tillåten endast om det anges i lag eller förordning
Mot bakgrund av vad som redovisats ovan kan konstateras att direktåtkomst medför helt andra risker för integritetsskyddet än andra former av utlämnande som t.ex. innebär att beslut om utlämnande fattas vid varje givet överföringstillfälle. Därför bör det i hälso- och sjukvårdsdatalagen framgå att utlämnande genom direktåtkomst endast är tillåten i den utsträckning som anges i lag eller förordning. Bestämmelsen överförs således från patientdatalagen.
När det gäller vilka fall av direktåtkomst som bör vara lagliga har det alltsedan patientdatalagen trädde ikraft framförts önskemål om utökade möjligheter till direktåtkomst. Det har bland annat handlat om direktåtkomst mellan hälso- och sjukvården och social-
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
229
tjänsten. Ett annat område som har lyfts fram är hälso- och sjukvårdens samarbete med den medicinska forskningen och läkemedelsindustrin, där direktåtkomst skulle kunna underlätta det informationsutbyte som i dag görs genom andra typer av utlämnanden. Vidare har den tekniska utvecklingen, som anförts ovan, medfört att det i praktiken i enskilda situationer kan vara väldigt små skillnader mellan vad som är att betrakta som direktåtkomst och vad som är att betrakta som utlämnande på medium för automatiserad behandling. Var man landar i bedömningen har dock ofta en helt avgörande betydelse för frågan om utlämnandet är lagligt eller inte. Medan utlämnandet i regel å ena sidan kan betraktas som lagligt för det fall det bedöms ske på medium för automatiserad behandling, blir utlämnandet å andra sidan ofta otillåtet om det är att betrakta som direktåtkomst.
Detta är självklart ingen eftersträvansvärd situation för de som har att tillämpa lagstiftningen och utveckla effektiva och säkra itlösningar för informationshanteringen. Utveckling på detta område tar inte sällan flera år och är även kostsam. En otydlighet kring vad som är att betrakta som direktåtkomst och vad som är att betrakta som annat utlämnande medför inte endast svårigheter för de som tillämpar lagstiftningen utan det riskerar också att bromsa en utveckling som skulle kunna vara till nytta både för enskilda individer och för olika verksamheter, utan att nödvändigtvis medföra otillbörliga risker för integritetsförluster. Inte minst visar regeringens uppdrag till den tidigare nämnda informationshanteringsutredningen på behovet av en generell översyn av dessa frågor.
Sett mot denna bakgrund ser vi samtidigt att regeringen kan behöva vara särskilt aktiv på hälso- och sjukvårdens och socialtjänstens område för att hela tiden uppmärksamma om utvecklingen för med sig behov av författningsändringar för att tillåta direktåtkomst i nya situationer eller i nya former. Sådana nya behov av direktåtkomst, i situationer som inte innebär stora risker för intrång i den personliga integriteten, skulle möjligen kunna regleras på förordningsnivå. Det ger även en möjlighet att hålla regelverket i takt med den rådande utvecklingen.
För hälso- och sjukvårdens del föreslår vi enligt ovan att direktåtkomst, precis som i dag, ska vara tillåten endast i den utsträckning som anges i lag eller förordning. I hälso- och sjukvårdsdatalagen föreslås i det följande ett antal sådana situationer.
Elektroniskt utlämnande av personuppgifter SOU 2014:23
230
Vissa fall av direktåtkomst anges i lagen
I patientdatalagen regleras i dag vissa fall av tillåten direktåtkomst, t.ex. mellan hälso- och sjukvårdsmyndigheter i samma landsting eller samma kommun, mellan vårdgivare i sammanhållen journalföring, för vårdgivare i samband med användningen av nationella eller regionala kvalitetsregister samt för vårdgivares utlämnande till enskilda.
Vi föreslår att den nuvarande bestämmelsen i patientdatalagen som medger direktåtkomst mellan myndigheter i samma landsting eller samma kommun överförs till hälso- och sjukvårdsdatalagen, men att den i lagen placeras i anslutning till vissa andra bestämmelser om direktåtkomst mellan vårdgivare. Vidare föreslår vi att den bestämmelse som räknar upp när direktåtkomst är tillåten ska utökas till att omfatta också den nya formen för direktåtkomst inom en huvudmans ansvarsområde som vi föreslår. Se avsnitt 13 för våra överväganden och förslag i denna del. Vidare lämnar vi i det följande förslag om möjligheter till direktåtkomst vid monitorering (källdatagranskning) i samband med forskning inom hälso- och sjukvården. Frågan om vårdgivares möjlighet att lämna ut uppgifter till enskilda genom direktåtkomst behandlas i avsnitt 33.
11.2.3 Direktåtkomst vid källdatagranskning i samband med kliniska prövningar m.m.
Vårt förslag: En möjlighet till direktåtkomst för källdata-
granskning (monitorering) vid forskning inom hälso- och sjukvården ska införas i hälso- och sjukvårdsdatalagen. Sådant utlämnande genom direktåtkomst får endast göras avseende patienter som har samtyckt till deltagande i forskningsstudien och till den personuppgiftsbehandling som görs inom ramen för studien, samt till utlämnandet av uppgifter för källdatagranskningen.
För att göra direktåtkomsten möjlig föreslås en sekretessbrytande bestämmelse i offentlighets- och sekretesslagen. I lagen ska anges att hälso- och sjukvårdssekretess inte hindrar sådant utlämnande genom direktåtkomst för källdatagranskning som görs i enlighet med den föreslagna bestämmelsen i hälso- och sjukvårdsdatalagen.
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
231
Vår bedömning: Den föreslagna varianten av direktåtkomst är
mer integritetsvänligt än utlämnanden på medium för automatiserad behandling, där mottagaren förutsätts ta hand om de utlämnade uppgifterna och hantera samt förvara dem i sin organisation. Med direktåtkomst kan monitoreringen bedrivas utan att uppgifterna sprids utanför vårdgivarens organisation. Informationshanteringen kan bli säkrare, effektivare och ske med hjälp av moderna tekniska lösningar.
Inledning
I samband med forskning inom hälso- och sjukvården, och kanske framför allt vid kliniska prövningar, ska en granskning göras av att uppgifterna i studien (studiedata) överensstämmer med uppgifter i patientjournalen. Denna källdatagranskning benämns ofta monitorering.
En klinisk prövning kan beskrivas som en undersökning för att studera effekten av ett läkemedel eller en behandlingsmetod. Förutom sådant som har med läkemedel att göra, exempelvis att utvärdera olika substansers lämplighet och att analysera olika effekter av läkemedel, kan kliniska prövningar även handla om att utvärdera kirurgiska metoder som används i vården, dieter, medicintekniska produkter m.m. Kliniska prövningar är därför ett viktigt verktyg för att kunna garantera och utveckla en hög kvalitet och säkerhet i hälso- och sjukvården. Det innebär också en kontroll av nya produkter och behandlingar samt ett stöd vid tidigt införande av nya behandlingar i vården.
När det gäller läkemedel bedrivs de kliniska prövningarna oftast i samarbete mellan det företag (sponsor) som utvecklat läkemedlet och hälso- och sjukvårdspersonal hos en vårdgivare (prövare). Rent praktisk innebär det bland annat att kliniska prövningar normalt sett äger rum i hälso- och sjukvården, vanligtvis på ett sjukhus och under ledning och uppsikt av vårdgivarens hälso- och sjukvårdspersonal. Närmare förutsättningar om hur kliniska läkemedelsprövningar får genomföras m.m. finns bland annat i läkemedelslagen (1992:859) och Läkemedelsverkets föreskrifter (LVFS 2011:19) om kliniska läkemedelsprövningar på människor.
Enligt internationella riktlinjer om god klinisk sed (GCP) ska prövare, i detta fall vårdgivare, ge monitorer tillgång till all efterfrågad prövningsrelaterad dokumentation (källdata) avseende
Elektroniskt utlämnande av personuppgifter SOU 2014:23
232
berörda forskningspersoners deltagande i kliniska prövningar. Den som utför monitoreringen ska enligt riktlinjerna kunna verifiera alla data som har betydelse för utvärderingen av den kliniska prövningen.
God klinisk sed har central betydelse i forskningssammanhang. Här kan nämnas att i huvuddirektivet om kliniska prövningar (2001/20/EG) anges att kliniska prövningar ska utföras i enlighet med god klinisk sed. Frågan lyfts även i kommissionens direktiv (2005/28/EG) om fastställande av principer och detaljerade riktlinjer för god klinisk sed. I ingressen anges att de internationella riktlinjerna om god klinisk sed bör beaktas. Direktiven om kliniska läkemedelsprövningar genomförs i Sverige i huvudsak genom Läkemedelsverkets föreskrifter (LVFS 2011:19) om kliniska läkemedelsprövningar, där det i 3 kap. 1 § anges att god klinisk sed ska tillämpas. De krav som ställs på prövare och monitorer enligt god klinisk sed får därmed anses gälla i Sverige, trots att det i svensk författning i och för sig inte finns någon uttrycklig bestämmelse om prövarnas och monitorernas skyldigheter när det gäller källdatagranskningen.
Monitorering utförs i stor utsträckning i Sverige. Vid utredningens kontakter med Läkemedelsverket har vi fått information om att det pågår uppskattningsvis omkring 2 000–3 000 kliniska prövningar i Sverige och att dessa sammantaget omfattar mellan 20 000 och 25 000 patienter. Forskningsintensiva kliniker kan ha besök av flera monitorer varje vecka.
Tillvägagångssätt vid monitorering
Det grundläggande lagliga stödet för att utföra en källdatagranskning ligger i det samtycke som patienter lämnar i samband med deltagande i kliniska prövningar. Regelmässigt inhämtas patientens samtycke till att delta i studien, till att personuppgifter behandlas på sätt som beskrivits i patientinformationen samt att journalkopior får hämtas in och användas för källdatagranskning.
Även om forskning är nära förknippat med hälso- och sjukvårdsaktörernas uppdrag anses forskning och den individinriktade hälso- och sjukvården i regel vara skilda verksamheter i sekretesshänseende. Det innebär att det normalt sett gäller sekretess mellan en vårdgivares individinriktade patientverksamhet och den verksamhet som en vårdgivare bedriver när denne genomför forskning
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
233
på uppdrag av t.ex. ett läkemedelsföretag (sponsor). Regeringen anför bland annat följande i förarbetena till patientdatalagen.8
När det gäller forskning som bedrivs inom en hälso- och sjukvårdsmyndighet måste man skilja mellan sådan forskning, som sker som ett led i vården och behandlingen av en patient, och annan forskning som bedrivs med myndigheten som huvudman. Med annan forskning avses dokumentation som enbart sker i forskningssyfte och som inte heller har någon betydelse för vården. Den förstnämnda typen av forskning omfattas av hälso- och sjukvårdssekretessen. Vid annan forskning som bedrivs med en hälso- och sjukvårdsverksamhet som huvudman överförs hälso- och sjukvårdssekretessen till forskningsverksamheten enligt 1 kap. 3 § andra stycket och 13 kap. 3 § sekretesslagen. Hälso- och sjukvårdsverksamheten inklusive forskning som sker som ett led i vården och behandlingen av en patient å ena sidan och annan forskning som utförs inom myndigheten å andra sidan utgör således olika verksamhetsgrenar i den mening som avses i 1 kap. 3 § sekretesslagen (jfr prop. 1979/80:2 Del A s. 463 f. och 494).
Om det föreligger sekretess mellan vårdgivarens individinriktade patientverksamhet och den verksamhet som bedrivs i en klinisk prövning måste uppgifterna ur patientjournalen formellt sett lämnas ut till den som ska utföra källdatagranskningen, dvs. monitorera. I ett sådant fall saknar det betydelse om den som ska utföra monitoreringen är anställd hos vårdgivaren eller om det är någon annan person som sponsorn har utsett.
Utlämnande av uppgifter för monitorering kan i dag göras antingen manuellt på papper eller elektroniskt på medium för automatiserad behandling, t.ex. cd eller usb-minne. Däremot finns ingen bestämmelse i nuvarande patientdatalag som särskilt tillåter att uppgifterna lämnas ut genom direktåtkomst. Som redovisats i det föregående är utlämnande genom direktåtkomst enligt patientdatalagen endast tillåten i den utsträckning det framgår av lag eller förordning.
Frågan har uppmärksammats av exempelvis Läkemedelsverket och även varit föremål för uttalanden och tillsyn från Datainspektionen. I sammanhanget kan exempelvis nämnas att Datainspektionen i tillsynsbeslut bedömt att ett landstings sätt att lämna ut uppgifter för monitorering var att betrakta som direktåtkomst och därmed skedde i strid mot patientdatalagen.9I det aktuella landstinget hade en särskild applikation utvecklats för att tillgodose behovet av källdatagranskning. Genom applikationen
8Prop. 2007/08:126 s. 202. 9 Datainspektionens beslut 2012-11-09, dnr. 59-2012.
Elektroniskt utlämnande av personuppgifter SOU 2014:23
234
kunde åtkomst till patientuppgifter begränsas till att omfatta journalförda uppgifter endast om de patienter som samtyckt till att ingå i den kliniska läkemedelsprövningen. Den som utförde monitoreringen fick därmed inte som vid många andra varianter av direktåtkomst en potentiell tillgång till uppgifter om andra patienter än de som omfattades av den aktuella läkemedelsprövningen. Applikationen fungerade som en portal genom vilken behöriga monitorerare kunde logga in och därigenom ta del av patientuppgifter i journalsystemet utan att ha möjlighet att ta del av uppgifter om andra patienter än de som ingick i studien. Vid onkologen, där applikationen utvecklades, behövs vid de flesta studier i princip tillgång till all information i den enskilde patientens journal. Den som utför monitorereringen får därför tillgång till samtliga uppgifter om patienten, dvs. de uppgifter som finns i det aktuella journalsystemet.
Datainspektionen bedömer i beslutet att landstingets applikation, genom att det fungerar som en begränsad portal för inloggning i journalsystemet innebär att uppgifter lämnas ut genom direktåtkomst, vilket inte är tillåtet för monitorering. Vidare pekar myndigheten på att det efter beslutet om utlämnande kan komma att dokumenteras nya uppgifter om patienten i journalsystemet, vilka i sådant fall kommer att vara åtkomliga för monitoreraren genom sidoapplikationen. Av den anledningen synes Datainspektionen mena att den tekniska utformningen är sådan att monitorn kan söka fram andra uppgifter än de som omfattas av vårdgivarens sekretessprövning och beslut om utlämnande. Sammanfattningsvis förelades landstinget att upphöra med att lämna ut uppgifter i applikationen på det sätt som beskrivits.
Närmare om vårt förslag
Elektroniskt utlämnande genom direktåtkomst kan ske på en mängd olika sätt och skilja sig mycket åt. Det finns exempel på direktåtkomst där den potentiella tillgången till uppgifter är större än vad den enskilde användaren i det enskilda fallet har behov av. Vidare finns exempel på direktåtkomst där den enskilde patientens samtycke inte krävs, men där det kan finnas en möjlighet för patienten att motsätta sig. Den typ av direktåtkomst som beskrivs ovan skiljer sig emellertid mycket från detta. En tydlig skillnad är att direktåtkomsten endast avser patienter som ingår i studien och
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
235
har lämnat sitt samtycke till deltagande. Den potentiella tillgången till uppgifter är därmed begränsad till det behov som finns för att kunna utföra källdatagranskningen. Den tillgång till överskottsinformation som direktåtkomst ofta medför saknas därmed. Visserligen innebär direktåtkomsten att samtliga uppgifter om patienten går att nå i samband med källdatagranskningen. Såvitt utredningen har kunnat bedöma så motsvaras detta emellertid av det behov som i regel finns. Den eventuella överskottsinformationen får samtidigt betraktas som väldigt begränsad. Utöver detta har patientens egen inställning avgörande betydelse för personuppgiftsbehandlingen och utlämnandet av uppgifter. Patienten har samtyckt till deltagande i studien, till den personuppgiftsbehandling som äger rum i studien och till det utlämnande av uppgifter som behövs för källdatagranskningen.
Sammantaget bedömer utredningen att det finns övervägande skäl som talar för att direktåtkomst för monitorering vid forskning inom hälso- och sjukvården bör vara tillåtet. Förutom vad som redovisats ovan kan direktåtkomst, i den form som här är aktuell, även betraktas som ett mer integritetsvänligt alternativ än utlämnande på medium för automatiserad behandling. Vid den senare formen av utlämnande lämnas uppgifter ut exempelvis genom filöverföring, på cd eller på usb-minne. Ett sådant utlämnande innebär att uppgifterna sprids utanför prövarens organisation och ska omhändertas av den sponsrande läkemedelsföreraget. Detta trots att sponsorn inte har något behov av att ta del av uppgifterna på detta sätt eller att fortsatt hantera dem i sin verksamhet. Enligt god klinisk sed ska en sponsor inte heller känna till försökspersonernas identitet. Att i dessa fall lämna ut uppgifter genom direktåtkomst skulle därmed kunna innebära att patientens behov av skydd för den personliga integriteten bättre tillgodoses. Detta genom att uppgifter vid monitoreringen inte föranleder någon ytterligare spridning och lagring av uppgifterna. Den som utför monitoreringen har därmed endast en tillfällig tillgång till uppgifterna så länge det behövs för monitoreringen. Ett utlämnande genom direktåtkomst för monitorering förefaller därför vara mer ändamålsenligt än andra former av elektroniska utlämnanden.
Läkemedelsverket har även i kontakter med utredningen framfört att det är av stor betydelse att regelverket ger monitorer förutsättning att granska läkemedelsprövningar på det sätt som krävs enligt reglerna om god klinisk sed och i övrigt på ett ändamålsenligt sätt med användandet av säkra tekniska lösningar.
Elektroniskt utlämnande av personuppgifter SOU 2014:23
236
Att regelmässigt lämna ut uppgifter manuellt på papper anses inte vara någon bra lösning och när det gäller utlämnanden på medium för automatiserad behandling anförs att det kan skapa risker för informationsläckage. Myndigheten har också pekat på att utlämnande på medium för automatiserad behandling i regel innebär att uppgifterna lämnar kliniken, dvs. prövarens verksamhet, och att det saknas behov av detta både för sponsorns räkning och för möjligheterna att följa god klinisk sed.
Sammantaget bedömer vi att det finns skäl att tillåta direktåtkomst för monitorering vid forskning inom hälso- och sjukvården. Utredningen föreslår därför att detta ska tillåtas genom en uttrycklig bestämmelse i hälso- och sjukvårdsdatalagen. Utlämnande genom direktåtkomst för monitorering ska endast vara tillåten om patienten samtyckt till medverkan i forskningsstudien och till den personuppgiftsbehandling som görs inom ramen för studien samt till utlämnandet av uppgifter för monitorering.
Eftersom bestämmelser om direktåtkomst i sig inte har sekretessbrytande effekt bör en sekretessbrytande bestämmelse föras in i offentlighets- och sekretesslagen. Visserligen har patienten, genom att lämna sitt samtycke till utlämnandet av uppgifter, eftergivit sekretessen till förmån för monitoreringen. Samtidigt bedömer vi att det finns skäl att tydliggöra att direktåtkomsten får avse uppgifter som dokumenterats efter det att patienten lämnat sitt samtycke till utlämnandet och att detta bör tydliggöras genom en sekretessbrytande bestämmelse på motsvarande sätt som gäller för andra typer av direktåtkomst. Av offentlighets- och sekretesslagen bör därför följa att hälso- och sjukvårdssekretess inte hindrar sådant utlämnande genom direktåtkomst vid kliniska prövningar som görs i enlighet med den föreslagna bestämmelsen i hälso- och sjukvårdsdatalagen.
237
12 Ett tydligare ansvar för patientjournalen och dess innehåll
12.1 Vårt uppdrag m.m.
I utredningens övergripande uppdrag ingår att identifiera både nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom hälso- och sjukvården och vilka hinder för en sådan informationshantering som finns i dag. Med utgångspunkt från det ska utredningen föreslå de lagstiftningsåtgärder som behövs.
En väsentlig del av personuppgiftsbehandlingen i hälso- och sjukvården görs primärt i syfte att bidra till god och säker vård av enskilda patienter. För att åstadkomma en fungerande och sammanhållande reglering av behandlingen av personuppgifter i hälso- och sjukvården är det därför nödvändigt att särskilt beakta vad som gäller i fråga om patientjournalen. Inom ramen för vårt övergripande uppdrag är patientjournalen och patientjournalföringen därför av central betydelse.
Hantering av personuppgifter i patientjournaler är nödvändig för att kunna erbjuda en god och säker vård. Dokumentationen av olika åtgärder och insatser kan vara helt avgörande för patientsäkerheten. I en tid när allt fler vårdgivare samverkar i vården av enskilda patienter blir betydelsen av dokumentationen i patientjournalen dessutom ännu större. Fler och fler yrkesutövare är involverade i vården av en patient och i journalföringen rörande den aktuella patienten. Det gör bland annat att frågor om en ändamålsenlig journalföring och om ansvar för patientjournalens inne-
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
238
håll och utformning behöver hänga med och vid behov anpassas till rådande och framtida förhållanden
Regler om hantering av uppgifter i patientjournaler fanns fram till 1 juli 2008 framför allt i patientjournallagen (1985:562), men även i lagen (1998:544) om vårdregister. De materiella regler som reglerar journalföringsplikten och patientjournalens innehåll m.m. har därefter reglerats i 3 kap. patientdatalagen (2008:355), förkortad PDL. Patientdatalagens regler om journalföring gäller både inom offentlig och privat hälso- och sjukvård, alldeles oberoende om journaler förs på papper eller elektroniskt. I praktiken överfördes de flesta bestämmelser om patientjournalen och journalföringen i princip oförändrade från patientjournallagen till patientdatalagen. Det innebär bland annat att även dagens bestämmelser i allt väsentligt bygger på det förslag till lag som lämnades av Journalutredningen i deras huvudbetänkande Patientjournalen (SOU 1984:73).
Sedan mitten av 1980-talet, då patientjournallagen trädde ikraft, har det på flera plan skett en stor utveckling av hälso- och sjukvården. När det gäller patientjournalföringen har utvecklingen gått från en tid när patientjournalen var starkt förknippad med enskilda yrkesutövare och deras journalföringsplikt, till en tid när vårdgivarens betydelse för hanteringen av patientjournaler blivit allt större. Där patientjournalen tidigare i stor utsträckning kunde hanteras isolerat av enskilda yrkesutövare eller enskilda kliniker, har vi i dag landstingsövergripande journalsystem där vårdgivaren är den som tillhandahåller de närmare förutsättningarna för journalföringen och för utbytet av uppgifter inom och mellan organisationer. Det innebär att vårdgivare och yrkesutövare i större utsträckning än tidigare tillsammans ansvarar för att journalföringen är ändamålsenlig och att uppgifterna är korrekta och kan ligga till grund för patientens fortsatta vård. Bland annat mot den bakgrunden kan det enligt vår bedömning finnas särskilda skäl för att analysera hur regelverket är anpassat till de behov och förutsättningar som gäller i dag.
Vidare har vi även gått från en tid där journalföringen många gånger handlade om att i efterhand dokumentera de bedömningar som gjorts och de åtgärder som vidtagits i vården av en patient, till en tid när journalföringen och användningen av uppgifter i en patientjournal kan stödja yrkesutövaren direkt i själva arbetsprocessen. Journalföringen kan då ske i samband med den individinriktade patientvården och ge ett konkret och kunskapsstyrande
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
239
beslutsstöd till den som står i begrepp att ta ställning till patientens vård och behandling. De möjligheter att på detta sätt förändra informationshanteringen som den tekniska utvecklingen har fört med sig utgör också en anledning till översyn av regelverket.
Av utredningsdirektivet framgår vidare att utredningen särskilt ska överväga förändrade förutsättningar för att ansöka om journalförstöring. Enligt nuvarande lagstiftning får ansökan om förstörande av patientjournal göras till Inspektionen för vård och omsorg, antingen av den enskilde själv eller av någon annan som omnämns i journalen. I de fall vårdpersonal för in felaktigheter i journalen av misstag finns två alternativa sätt att korrigera misstaget. Antingen görs en rättelse enligt patientdatalagen eller så kontaktar vårdgivaren patienten och ber denne ansöka om förstörande av journalanteckningen. Det första alternativet, en rättelse, innebär att den felaktiga uppgiften ändå finns kvar i journalen. För det andra alternativet kan det i vissa fall finnas omständigheter som gör att det inte är lämpligt att vårdgivaren kontaktar patienten. Det kan t.ex. inträffa att uppgifter om en helt annan patient antecknas i en patients journal. Mot den bakgrunden har utredningen fått i uppdrag att överväga om det bör införas en möjlighet för vårdgivare att ansöka om journalförstöring och, om det bedöms som lämpligt, lämna förslag till en sådan reglering.
Sammantaget innebär detta att det i utredningens uppdrag i första hand ingår att analysera frågor om ansvaret för patientjournalen och dess innehåll samt hur de delarna i regelverket kan bidra till en mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården.
Även om det i och för sig inte finns några hinder för det enligt utredningsdirektivet har vi uppfattat direktivet så att det i vårt uppdrag inte primärt ingår att pröva alla materiella bestämmelser i patientdatalagens regelverk om patientjournalen och journalföringen. Vi har således inte gjort någon närmare analys exempelvis av bestämmelserna om journalföringsplikt.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
240
12.2 Gällande rätt om ansvaret för patientjournalen och dess innehåll
12.2.1 Grundläggande förutsättningar
Tillgång till rätt information i rätt tid är grundläggande för en god och säker vård. Även ur ett integritetsperspektiv är det centralt att de uppgifter som hanteras om en patient är korrekta och relevanta för ändamålet. Därför är det noga reglerat i lag hur en patientjournal ska föras och hur uppgifterna i journalen ska hanteras.
I patientdatalagen finns bestämmelser om skyldigheten att föra journal och vad en journal ska innehålla. Men det finns också bestämmelser i patientdatalagen som syftar till att informationssäkra innehållet i journalen. Det är framförallt bestämmelserna om ansvar för anteckningen (3 kap. 4 §), anteckning av patientens avvikande mening (3 kap. 8 §), skyndsamhet (3 kap. 9 §), signering (3 kap. 10 §), rättelse (3 kap. 14 §), bevarandetid (3 kap. 17 §) och bestämmelserna om journalförstöring (8 kap. 4 §). Nedan redogörs översiktligt för vad dessa regler innebär och lite kort om patientjournalen som allmän handling samt vad som gäller för gallring av journaluppgifter m.m.
Varför ska det finnas en patientjournal?
Det grundläggande syftet med att föra journal och bevara journalanteckningarna är att det ska finnas information om patienten tillgänglig för hälso- och sjukvårdspersonalen så att patienten kan få vård och behandling under säkra förhållanden och av god kvalitet. Journalen ska i första hand kunna användas av hälso- och sjukvårdspersonalen som ett hjälpmedel för planering, genomförande och uppföljning av vården. Journalföringen ger också samhället möjlighet att utöva tillsyn över hälso- och sjukvården. Journaluppgifter utnyttjas också i flera andra för hälso- och sjukvården viktiga sammanhang, t.ex. i klinisk och epidemiologisk forskning. Det är därför viktigt att uppgifterna som finns i patientjournalen är korrekta och att man kan lita på att de inte kan ändras hur som helst.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
241
Vem ska föra patientjournal?
I 3 kap. 3 § PDL anges vilka som är skyldiga att föra patientjournal. Skyldigheten gäller främst den som har legitimation eller ett särskilt förordnande att utöva ett visst yrke inom hälso- och sjukvården eller tandvården. Den som är verksam som kurator i den allmänna hälso- och sjukvården är också skyldig att föra journal.
Även andra personalkategorier än de som räknas till hälso- och sjukvårdspersonal får dokumentera i en patientjournal om det följer av de rutiner för dokumentation som finns i verksamheten. Det kan exempelvis handla om undersköterskor och skötare som på olika sätt deltar i patientens vård och behandling
12.2.2 Ansvaret för uppgifterna i patientjournalen
Den som för journal ansvarar enligt 3 kap. 4 § PDL för de uppgifter som han eller hon för in i journalen. Patientjournalen ska innehålla uppgift om vem som har gjort en viss anteckning och när anteckningen gjordes (3 kap. 6 § PDL). Ansvaret för journalanteckningen hör ihop med det personliga yrkesansvaret. Den som tillhör hälso- och sjukvårdspersonalen bär enligt 6 kap. 2 § patientsäkerhetslagen (2010:659), förkortad PSL, själv ansvaret för hur han eller hon fullgör sina arbetsuppgifter. Journalanteckningen ska återge på vilket sätt yrkesutövaren fullgjort sina arbetsuppgifter. Det ingår i arbetsuppgifterna att ge patienten en sakkunnig och omsorgsfull vård som uppfyller kraven på vetenskap och beprövad erfarenhet. För att kunna göra det måste yrkesutövaren ta del av den bakgrundsinformation som finns om patienten samt dokumentera sina egna ställningstaganden och insatser i patientjournalen.
Det är viktigt av flera skäl att uppgifter om journalförarens identitet och yrkeskompetens finns i journalen. Det kan t.ex. vara viktigt i samband uppföljning och kvalitetssäkring och i samband med tillsynsärenden. Också vårdpersonalens arbete underlättas av att det går att utläsa av journalen vilka kolleger som tagit del i vården.1
Genom att signera journalanteckningen bekräftar yrkesutövaren att innehållet i journalanteckningen är kontrollerat och att han eller hon kan stå för innehållet.2
1Prop. 1984/85:189 s. 19. 2 Socialutskottets betänkande 1984/85:SoU33 s. 9.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
242
Det framgår bara indirekt av lagstiftningen vem som har ansvaret för hanteringen och bevarande av patientjournalerna. Vårdgivaren har enligt 3 kap. 1 § PSL ansvar för att planera, leda och kontrollera verksamheten så att kravet på god vård i hälso- och sjukvårdslagen uppnås. I hälso- och sjukvårdslagen (1982:763), förkortad HSL, finns utöver det övergripande kravet att hälso- och sjukvården ska bedrivas så att god vård uppnås även t.ex. krav på att det där det bedrivs vård ska finnas den personal, de lokal och den utrusning som behövs för att nå detta mål (2 a och 2 e HSL). Det är naturligt att den som bedriver och ansvarar för verksamheten också ansvarar för hanteringen och förvaringen av journalerna.3
Varje vårdgivare eller varje myndigheter inom en vårdgivare är enligt 2 kap. 6 § PDL personuppgiftsansvarig för de personuppgifter som behandlas i verksamheten.
Vårdgivaren ansvarar alltså för att journaler upprättas och hanteras på ett ändamålsenligt och säkert sätt i verksamheten. I det ansvaret ligger också ett ansvar för gallring och arkivering.
Den som bedriver hälso- och sjukvårdsverksamhet ska alltså ordna med bl.a. journalförvaring och iaktta vad som krävs beträffande skyddsnivån och bevarandetiden.4
12.2.3 Patientens avvikande mening ska antecknas
Varje uppgift i en journalhandling som upprättas inom hälso- och sjukvården ska utformas så, att patientens integritet respekteras. Uppgifterna ska vila på ett korrekt underlag och inte vara av nedsättande eller kränkande karaktär. Hänsynen till patienten förutsätter en betydande återhållsamhet när det gäller uppgifter om patientens privatliv. Detsamma gäller subjektiva värderingar som bara bör få förekomma om de grundas på korrekt underlag och är av verklig betydelse för medicinska ställningstaganden. Uppgifter om tredje person bör så långt möjligt undvikas5. Känsliga uppgifter som patienten meddelat i förtroende ska inte ogenomtänkt föras in i journalen. I den mån uppgifterna är relevanta för tolkning av sjukdomsbilden ska de givetvis skrivas in, vilket ställer särskilda krav på utformningen. En patientjournal behöver dock mera sällan innehålla detaljerade återgivanden.
3Prop. 1984/85:189 s. 26 och prop. 1991/92:104 s. 9. 4 Aa s. 11. 5 1984/85:189 s. 14 f och 20 f.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
243
Om en patient anser att en uppgift i patientjournalen är oriktig eller missvisande, ska det enligt 3 kap. 8 § PDL antecknas i journalen. Bestämmelsen är en komplettering till bestämmelserna om rättelse och journalförstöring. För att rättelse av en journaluppgift på patientens begäran ska göras krävs att den som ansvarar för uppgiften är ense med patienten om felaktigheten. Om patienten inte lyckas övertyga den som ansvarar för journalen om att en viss uppgift är felaktig kommer uppgiften inte att ändras.
Patienten har även en möjlighet att få journaluppgifter förstörda, men detta är tillåtet endast i undantagsfall. En patients möjlighet att få journaluppgifter utplånade är i realiteten ganska små eller i vart fall omständliga.6
I takt med att vårdgivare samarbetar och inför journalsystem som gör det möjligt att följa patienten genom processer och över vårdgivargränser kan det vara av betydelse för enskilda patienter att kunna markera missnöje med journaluppgifter som man av någon anledning anser är felaktiga.7
Bestämmelsen om avvikande mening ger den enskilda patienten en möjlighet att markera att han eller hon har en avvikande uppfattning från vad som har antecknats i journalen. Det är tillräckligt att det av anteckningen framgår att patienten har en avvikande uppfattning. Vilken uppfattning patienten har behöver således inte på grund av denna bestämmelse redovisas. Bestämmelsen innebär ingen rätt för patienten att själv skriva i sin journal eller bestämma vad som ska stå i den.8
Det finns dock inget hinder mot att patienter tillåts att mera direkt bidra till innehållet i journalen genom att t.ex. registrera uppgifter från egenvård såsom mätvärden eller liknande. Vårdgivaren ansvarar för att det förs journal i enlighet med patientdatalagen och att journalföringen är ändamålsenlig.
Exempel på sådan informationsinhämtning som kan ske elektroniskt och på ett effektivt sätt bidra till innehållet i patientjournalen är olika former av hälsodeklarationer som patienter kan fylla i t.ex. inför en kontakt med vården. Det kan även handla om att patienter registrerar och elektroniskt rapporterar in olika mätvärden till en vårdgivare.
Det förhållande att patienter med hjälp av den tekniska utvecklingen elektroniskt kan bidra med sådana uppgifter som har
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
244
betydelse för en god och säker vård innebär dock inte att det är patienten som för journalen. Det bör i stället betraktas som att vårdgivaren i sina rutiner för att inhämta den information som behövs för god och säker vård tillhandahåller definierade möjligheter för patienten att bidra med viktig information. Ur ett journalföringsperspektiv är det heller ingen egentlig skillnad mellan en hälsodeklaration som förut inkom på papper och tillfogades journalen och en hälsodeklaration som lämnas in elektroniskt och tas om hand elektroniskt i journalen.
Det är i princip uteslutande via internet som vårdgivare och patienter kan kommunicera elektroniskt. Av den anledningen är det nödvändigt att vårdgivare som tillhandahåller sådana möjligheter även ser till att vidta de säkerhetsåtgärder som krävs, t.ex. för att skydda uppgifterna från obehörig åtkomst. Såväl ur ett patientsäkerhetsperspektiv som ur integritetshänseende måste även patientens identitet kunna säkerställas vid sådan elektronisk kommunikation.
12.2.4 Patientjournalen som allmän handling
Patientjournaler som upprättas och förvaras inom den offentliga hälso- och sjukvården utgör allmänna handlingar enligt tryckfrihetsförordningen. Det innebär att sådana patientjournaler omfattas av bestämmelserna om offentlighet och sekretess som finns i tryckfrihetsförordningen och i offentlighets- och sekretesslagen (2009:400), förkortad OSL.9Detta har påverkat utformningen av lagstiftningen om patientjournaler, som noggrant reglerat hur uppgifter får rättas, förstöras och hur länge de ska bevaras. På det sättet kan man säga att offentlighetsprincipen påverkar även privat utförd hälso- och sjukvård.
Rätten att ta del av uppgifter i en patientjournal som finns i den offentliga hälso- och sjukvården är följaktligen reglerad på samma sätt som rätten att ta del av andra allmänna handlingar. Offentlighetsprincipen gäller i grunden, men bestämmelser om sekretess begränsar rätten att ta del av handlingarna.
En handling är allmän om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos myndigheten. När det gäller diarium, journal, register eller annan förteckning som förs löpande anses en handling upprättad när handlingen färdig-
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
245
ställts för anteckning eller införing (2 kap. 7 § första stycket tryckfrihetsförordningen).
Högsta förvaltningsdomstolen har i en dom 2013 beslutat att en anteckning som görs i en patientjournal omedelbart blir en allmän handling. Domstolen fann att signeringen av en journalanteckning inte har någon betydelse för bedömningen av när anteckningen ska anses utgöra del av en allmän handling i tryckfrihetsförordningens mening. Domstolen menade också att signeringskravet inte avsetts ha någon sådan funktion utan motiverats av patientsäkerhetsskäl. Journalanteckningen blir omedelbart att se som allmän när den skrivs in i journalen. Korrigering av eventuella skrivfel bör fritt kunna ske i direkt anslutning till införandet, men om journalanteckningen ändras senare, t.ex. i samband med signering, blir båda versionerna av anteckningen att anse som en allmän handling.10
Det är inte tillåtet att sätta rätten att ta del av allmänna handlingar ur spel genom att förstöra sådana handlingar som omfattas av den rätten. Grundläggande bestämmelser om hur allmänna handlingar ska bevaras samt om gallring och annat avhändande av sådana handlingar meddelas enligt 2 kap. 18 § tryckfrihetsförordningen i lag. Sådana bestämmelser finns framförallt i arkivlagen (1990:782), men bestämmelserna om journalförstöring är också exempel på en reglering av när allmänna handlingar får förstöras.
12.2.5 Bevarande och gallring av journalhandlingar
En journalhandling ska enligt 3 kap. 17 § PDL bevaras i minst 10 år efter det att sista anteckningen fördes in i handlingen. Regeringen eller den myndighet som regeringen bestämmer får dock meddela föreskrifter om att vissa slags journalhandlingar ska bevaras ännu längre.
För den offentliga hälso- och sjukvården och tandvården gäller bestämmelserna i arkivlagen om att bevara och gallra så kallade allmänna handlingar (3 kap. 18 § PDL). Det innebär i praktiken att journalhandlingarna kommer att fortsätta att bevaras även efter 10 år om det inte finns någon gallringsbestämmelse som säger annat.
Journalhandlingar inom såväl allmän som enskild hälso- och sjukvård ska alltså bevaras den minsta tid som anges i patientdatalagen eller i författningar som har meddelats med stöd av lagen.
10 Högsta förvaltningsdomstolens dom den 27 maj 2013, mål nr 5319-12.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
246
Längre bevarandetider kan vara föreskrivna i andra lagar. Efter utgången av den minsta tiden för bevarande får sådana handlingar gallras. Den som överväger en sådan gallring ska beakta bestämmelserna i 9 § första stycket i och tredje stycket personuppgiftslagen (1998:204), förkortad PUL. Men om journalhandlingarna utgör allmänna handlingar måste dock bestämmelserna i arkivlagen och de bestämmelser som meddelas med stöd av arkivlagen beaktas.11
Bestämmelserna i arkivlagen innebär att när den minsta tiden för bevarande har löpt ut beträffande sådana journaler som är allmänna handlingar träder arkivlagens huvudregler om bevarande och gallring in. Dessa innebär en presumtion för bevarande men medgivande till gallring på bestämda villkor.
Genom patientdatalagen infördes samma minsta bevarandetid för journaler från offentlig och enskild hälso- och sjukvård.
Journalhandlingar får gallras
En journalhandling ska alltså enligt 3 kap. 17 § PDL bevaras i minst 10 år efter det att sista uppgiften fördes in i handlingen. Bestämmelsen innebär att när den minsta tiden för bevarande har löpt ut beträffande sådana journaler som är allmänna handlingar (sådana som förs hos offentliga vårdgivare) träder arkivlagens huvudregler om bevarande och gallring in. Dessa innebär en presumtion för bevarande men medgivande till gallring på bestämda villkor.
Bestämmelsen i 10 § arkivlagen om att allmänna handlingar får gallras är alltså ett undantag från huvudregeln om att myndigheters allmänna handlingar ska bevaras. Med gallring kan avses att information i sin helhet förstörs. Så måste dock inte ske för att det ska vara fråga om gallring. Gallring av elektronisk information kan t.ex. ske genom att informationen skrivs ut på papper som bevaras varefter informationen raderas från datamediet. Gallring kan också innebära att information överförs från ett datamedium till annat datamedium som medför sämre sammanställnings- eller sökmöjligheter, sämre möjligheter att kontrollera handlingars autenticitet m.m.
Gallring görs av den arkivbildande myndigheten. En kommunal myndighet får dock inte på egen hand avgöra vad som ska gallras ur dess arkiv av patientjournalhandlingar. Gallringsföreskrifter för
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
247
sådana myndigheter fattas av kommunfullmäktige respektive landstingsfullmäktige. Deras föreskriftsrätt begränsas dock av att hänsyn ska tas till att återstående material ska tillgodose arkivbildningens syften. Dessutom får gallringsföreskrifter inte strida mot bevarandereglerna i patientdatalagen och i andra författningar om minsta bevarandetid för patientjournalhandlingar. Avvikande gallringsbestämmelser i lag eller förordning tar över arkivlagens regler om bevarande och gallring. Någon bestämmelse om att patientjournaler eller vårdregister ovillkorligen måste gallras finns emellertid inte. 12
Samrådsgruppen för kommunala arkivfrågor är ett samverkansorgan för Riksarkivet och Sveriges kommuner och landsting13. Samrådsgruppen ska främja samverkan mellan stat, kommuner och landsting inom arkivområdet, till gagn för utvecklingen av arkivfrågorna. Tonvikten ska ligga på frågor som är av gemensamt intresse för den offentliga sektorn. Samrådsgruppen har bl.a. utarbetat råd om bevarande och gallring inom en rad kommunala områden, t.ex. när det gäller landstingens, regionernas och kommunernas patientjournaler och övrig medicinsk dokumentation.14
I fråga om elektroniskt förda patientjournaler inom den enskilda hälso- och sjukvården följer av 9 § första stycket och i tredje stycket PUL att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas eller så länge uppgifterna därefter behövs för historiska, statistiska eller vetenskapliga ändamål. Enligt förarbeten innebär denna bestämmelse i personuppgiftslagen inte någon ovillkorlig skyldighet att gallra journalerna.15
Varje vårdgivare som deltar i ett sammanhållet journalföringssystem ansvarar för bevarandet av de ospärrade journaluppgifter som vårdgivaren själv gör tillgängliga i det sammanhållna journalföringssystemet. Ett sådant ansvar vilar alltså inte på en vårdgivare som endast har en potentiell tillgång till dessa uppgifter. Det innebär i princip att det är endast en, inte flera, vårdgivare som ansvarar för bevarandet och arkivbildningen av journalhandlingar. Detta gäller även om en vårdgivare bereder sig tillgång till en annan vårdgivares journalhandling, så länge inte journalhandlingen ”tankas hem” och lagras av den förstnämnde vårdgivaren. En tanke med
12Prop. 2007/08:126 s. 137. 13 http://www.samradsgruppen.se/ 14 En uppdaterad version av gallringsråd inom detta område är under 2013 ute på remiss. 15Prop. 2007/08:126 s. 99.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
248
den sammanhållna journalföringen är dock att en vårdgivare inte ska behöva hämta hem och lagra en annan vårdgivares journalhandlingar. Dubbeldokumentation ska så långt möjligt undvikas. För att patientsäkerheten ska kunna tillgodoses lär det ibland bli nödvändigt att göra detta. En sådan åtgärd innebär att vårdgivaren framställer en ny handling. Bevarandet och hanteringen av den nya handlingen följer samma regler som gäller för övriga journalhandlingar som har sitt ursprung i den egna verksamheten.
En myndighet får enligt 6 kap. 8 § andra stycket PDL gallra journalhandlingar och andra handlingar som är tillgängliga för myndigheten endast genom direktåtkomst vid sammanhållen journalföring. Denna gallringsregel behövs bl.a. för att inte någon av de i en sammanhållen journalföring deltagande myndigheterna ska bli arkivansvarig för privata vårdgivares journalhandlingar eller andra handlingar som myndigheten potentiellt sett har tillgång till, jfr 3 § första stycket arkivlagen.
Den som är personuppgiftsansvarig enligt patientdatalagen ska se till att den registrerade får information om personuppgiftsbehandlingen. Det innebär att patienten ska få information om vad som gäller i fråga om bevarande och gallring.
12.2.6 Signeringskravet – kontrolläsning och bekräftelse av uppgifternas riktighet
För att patientjournalen ska kunna fylla sin uppgift att utgöra en säker grund för insatser i vården krävs det att innehållet är korrekt och oförvanskat. Patientjournalen ska kunna utgöra ett pålitligt underlag för den vård och behandling som ges till patienten. Missförstånd och felskrivningar kan leda till ödesdigra konsekvenser.16
I patientjournallagen infördes ett krav på journalanteckningar ska signeras av den som ansvarar för uppgiften. Signeringen innebär att den som ansvarar för en journalanteckning läser igenom den och bekräftar att den är korrekt. Därefter får journalanteckningen sin slutliga utformning. Signeringen uttrycker det ansvar för att uppgiften är korrekt som faller på den som fört in uppgiften. Vårdgivaren har det övergripande ansvaret för att journaler förs i verksamheten och för att uppgifterna i journalerna är korrekta, men den som för journal är ansvarig för de uppgifter som han eller hon för in.
16 Socialutskottets betänkande 1984/85:SoU33 s. 9.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
249
Signeringen kan vara viktig ur patientsäkerhetssynpunkt men har inte betydelse för anteckningens status som allmän handling.17I förarbeten till patientjournallagen anfördes att även om kontrollsigneringen saknar betydelse för tillämpning av offentlighetsprincipen, kan den ha värde som bevis i t.ex. ett ansvarsärende, om fråga senare uppkommer om den rätta innebörden av en anteckning. Fel eller förväxlingar i samband med att ett diktat skrivs in kan påverka förutsättningarna vid den fortsatta vården. Kontrolläsning ansågs därför motiverad av säkerhetsskäl.18
I patientdatalagen infördes en möjlighet för Socialstyrelsen att föreskriva om undantag från signering. I förarbeten till denna undantagsmöjlighet anfördes19 följande om signeringskravet.
De patientsäkerhetsskäl som anfördes vid införandet av signeringskravet gäller fortfarande. Dessa skäl gäller än mer vid anteckningar i stora eller kompatibla journalsystem där anteckningarna kan komma att läggas till grund för behandlingsåtgärder och medicinering av andra vårdenheter än den där anteckningarna gjorts. I sådana fall är det av särskild vikt att uppgifterna dessförinnan har kontrollästs så att risken för missförstånd och felskrivningar kan minimeras. Det lagstadgade kravet på att journalanteckningar, om inte synnerligt hinder möter, ska signeras av den som ansvarar för uppgiften ska därför inte ändras. Det kan däremot finnas skäl att göra undantag från signeringskravet när man väger nyttan av signeringen mot det merarbete som signeringskravet skulle innebära. Bedömningen av när signering kan åsidosättas ska överlåtas till regeringen eller den myndighet som regeringen bestämmer. Vid bedömningen när undantag kan medges bör risker för patientsäkerheten eller andra viktiga faktorer som talar för signering övervägas.
I föreskrifterna (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården har vårdgivarna tilldelats en möjlighet att besluta om vissa undantag från signeringskravet i sin verksamhet. Väsentliga ställningstaganden som rör vård och behandling, förhållningsregler enligt smittskyddslagen (2004:168) samt epikriser och andra sammanfattningar ska alltid signeras. Men vårdgivaren kan i sina rutiner för signering besluta vilka andra anteckningar som inte behöver signeras. I en enkätundersökning genomförd av tidningen Sjukhusläkaren, som besvarades av femtio läkare runt om i landet, framkom att endast en respondent uppgav
17 Högsta förvaltningsdomstolens dom den 27 maj 2013, mål nr 5319-12. 18Prop. 1984/85:189 s. 19. 19Prop. 2007/08:126 s. 94.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
250
att kliniken tillvaratagit möjligheten att göra undantag från signeringskravet.20
Föreskrifternas bestämmelser om signering kompletteras med en bestämmelse om att vårdgivaren ansvarar för att journaluppgifterna låses en viss tid efter det att de förts in i journalen. Låsning innebär enligt föreskrifterna att vårdgivaren säkerställer att uppgifter i patientjournalen inte kan ändras eller utplånas annat än med stöd av bestämmelserna i patientdatalagen. Uppgifterna ska låsas senast 14 dagar efter att de har förts in i journalen. Fram till dess behöver vårdgivaren inte ha några tekniska hinder mot att någon i verksamheten ändrar innehållet i en viss journalanteckning.
Bestämmelsen i föreskrifterna om att osignerade uppgifter måste låsas efter 14 dagar gäller för behandling av uppgifter i system som är helt eller delvis automatiserade. Denna bestämmelse behövs för att även osignerade anteckningar ska få ett tekniskt skydd mot ändring. När det gäller manuellt förda journaler kan rättelse av praktiska skäl inte utföras på annat sätt än med stöd av bestämmelserna om rättelse eftersom en ändring oftast inte kan göras utan att det syns. För att ändringar av uppgifter i datorjournaler inte ska vara tekniskt möjliga att göra obemärkt hur länge som helst måste det finnas rutiner för signering eller låsning.
Det är enligt vad utredningen fått veta relativt vanligt att hälso- och sjukvårdspersonal i anslutning till en patients besök i vården eller någon annan vårdåtgärd själva gör journalanteckningen och signerar den i direkt anslutning till att texten förs in. En sådan snabbhet både i införandet av uppgiften och av kvalitetssäkringen av uppgiften är sannolikt det säkraste sättet att föra journal på.
Men det är fortfarande också vanligt att läkare dikterar vad som ska antecknas i journalen. Dessa diktat förs sedan in i journalen av en läkarsekreterare. Hur snabbt sådana diktat förs in och hur snabbt de sedan signeras kan variera mycket mellan olika verksamheter. Enligt vad som framkommit till utredningen är det inte ovanligt att yrkesutövare som ska ta vid senare i vårdkedjan får grunda sina ställningstaganden på uppgifter som inte är signerade av den som svarar för uppgiften. På så sätt får uppgifter som inte är kontrollerade betydelse för patientens vård och behandling.
Utredningen konstaterar att vårdgivarens ansvar för säkerheten i vården innebär att vårdgivaren måste se till att det finns ändamåls-
20 Sjukhusläkaren. Signering: Så tyckte läkare från norr till söder. 2013-02-19. Tillgänglig på http://www.sjukhuslakaren.se/2013/02/19/signering-sa-tycker-lakare-fran-norr-till-soder/ [2013-11-20].
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
251
enliga och tillräckligt säkra rutiner i verksamheten om på vilket sätt och hur snabbt uppgifter ska journalföras och signeras. Kontrollläsning och signering måste göras så snabbt att en felaktighet inte får ödesdigra följder.
I de fall då signeringen görs i direkt anslutning till att anteckningen förs in kan felaktigheter korrigeras formlöst. Felaktigheter i en journalanteckning som signeras först vid ett senare tillfälle ska rättas i enlighet med reglerna för det i samband med signeringen. Konsekvensen av att osignerade anteckningar används i vården och läggs till grund för behandling av patienter är att en anteckning som förts in i en patientjournal inte får rättas eller utplånas annat än med stöd av de bestämmelser som reglerar detta.
Om journalanteckningen fick korrigeras formlöst ända fram till signeringen skulle det inte finnas tillräcklig spårbarhet avseende de uppgifter som legat tillgrund för bedömningar och ställningstaganden i vården. Det förhållandet att en anteckning inom den offentliga vården blir allmän handling direkt genom att uppgiften förs in talar också för att uppgiften inte får rättas eller utplånas annat än med stöd av särskilda bestämmelser – även om uppgifter inte är kontrolläst och signerad.21
12.2.7 Rättelse av felaktiga uppgifter
Vårdgivaren har ansvar för att journaler förs i verksamheten och för att det görs på ett ändamålsenligt och korrekt sätt. När det gäller elektroniskt förda journaler har den personuppgiftsansvarige också ett ansvar enligt 9 § h PUL att självmant vara aktiv och se till att behandlade personuppgifter är korrekta samt att felaktigheter rättas.
Uppgifter som förts in i en journalhandling får enligt gällande rätt inte utplånas eller göras oläsliga annat än med stöd av bestämmelserna om journalförstöring (eller med stöd av gallringsbeslut, se ovan). Detta regleras uttryckligt i 3 kap. 14 § PDL. En rättelse av en journalanteckning måste därför vara spårbar. Kravet innebär bl.a. att en rättelse i en journalhandling alltid måste göras så att den ursprungliga texten klart framgår också efter rättelsen. Det är inte tillåtet att utplåna den ursprungliga texten. Men det måste ändå vara tydligt vilken uppgift det är som gäller fortsättningsvis. Vid
21 Högsta förvaltningsdomstolens dom den 27 maj 2013, mål nr 5319-12.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
252
rättelse av en felaktighet ska det anges när rättelsen har skett och vem som har gjort den.
En journalanteckning som är införd i en patientjournal kan komma att ligga till grund för bedömningar av en patients fortsatta vård – även om den inte är signerad. Mot bakgrund av att signering är en kvalitetskontroll av anteckningen så är detta ett förhållande som vårdgivaren måste beakta vid utformningen av de rutiner för vård och behandling samt dokumentation som ska gälla i verksamheten. Av patientsäkerhetsskäl bör det inte finnas fördröjningar varken när det gäller införandet av en anteckning eller kontrolläsning och signering av den. Rutinerna för hur signeringen ska gå till måste också vara anpassade till vilken verksamhet som bedrivs.
De särskilda regler som gäller för rättelse och journalförstöring ska tillämpas för korrigering redan innan anteckningen är signerad eller låst. Enligt vad som framkommit till utredningen används anteckningar som inte kontrollästs och signerats i stor utsträckning som underlag för vård och behandling. Mot den bakgrunden är det viktigt att anteckningar som förts in endast kan korrigeras med stöd av särskilda bestämmelser. Även det förhållandet att anteckningen blir en allmän handling i den offentliga vården redan genom införandet stödjer ett sådant synsätt. 22
I förarbetena till patientjournallagen anfördes att en journalanteckning kunde rättas formlöst i omedelbar anslutning till att den infördes.23Därefter är alltså anteckningen att anse som införd och får bara rättas eller förstöras med stöd av de regler som gäller för det i patientdatalagen. Detta kan motiveras av att det måste finnas en spårbarhet när det gäller de uppgifter som trots att det inte signerats ändå kan komma att ligga till grund för en patients vård och behandling.
Det är den som ansvarar för journalanteckningen som ska bedöma om en rättelse ska göras och också se till att nödvändiga rättelser görs. När det gäller journalanteckningar som ska signeras ska rättelsen av eventuella felaktigheter normalt göras i samband med signeringen. Det är den som svarar för uppgiften som bäst kan bedöma uppgiftens riktighet.
22 Högsta förvaltningsdomstolens dom den 27 maj 2013, mål nr 5319-12. 23Prop. 1984/85:189 s. 44.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
253
12.2.8 Att ta bort uppgifter från patientjournalen
Med journalförstöring avses ett totalt förstörande av hela eller vissa delar av journalen i enlighet med bestämmelser i patientdatalagen. Journalförstöring utreds och beslutas av Inspektionen för vård och omsorg efter ansökan från den som nämns i journalen och skiljer sig därmed från gallring som görs på vårdgivarens initiativ.
Möjligheten till journalförstöring infördes genom lagen (1980:11) om tillsyn av hälso- och sjukvårdspersonal m.fl. Bakgrunden till bestämmelsen var vetskapen om att en journalanteckning kan uppfattas som så stötande för en patient att dess förekomst kan innebära en alltför stor påfrestning för patienten. En journalanteckning som patienten uppfattar som felaktig eller kränkande kan medföra att han eller hon i fortsättningen avstår från att söka vård eller från att lämna uppgifter om sig själv som har betydelse för vården.24
Enligt bestämmelsen i patientdatalagen får Inspektionen för vård och omsorg på ansökan av patienten eller någon annan som omnämns i journalen besluta om att den helt eller delvis ska förstöras. Förutsättningarna för detta är att godtagbara skäl anförts, att uppgifterna inte behövs för patientens vård och att det från allmän synpunkt inte finns skäl att bevara journalen. Innan ansökan prövas får den som ansvarar för journalen ges tillfälle att yttra sig i frågan (8 kap. 4 § PDL).
Kravet på godtagbara skäl innebär att en patient inte utan vidare kan få sin journal eller en del av den förstörd. Det krävs att anteckningarna rimligen kan medföra en psykisk belastning eller liknande för patienten om de bevaras. Genom inskränkningen att det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen ges enligt förarbeten en möjlighet att beakta olika samhällsintressen som avser journalmaterialet – till exempel insynen, forskningen och ekonomin i vården.25 Om journalhandlingarna exempelvis legat till grund för ett beslut hos en myndighet eller är bevis i en rättslig process kan de oftast inte förstöras av allmänna skäl.
Det är inte bara patienten själv som kan ansöka om journalförstöring. Även någon annan som omnämns i journalen kan ha anledning att ansöka om förstöring. Frågan har t.ex. aktualiserats när en förälder som inte är vårdnadshavare velat få anteckningar
24SOU 1984:73, s. 179. 25 Prop. 1978/79, s. 49.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
254
som rör honom förstörda och dessa varit införda i barnets journal26. Däremot finns ingen möjlighet för vårdgivaren att ansöka om journalförstöring.
Det är Inspektionen för vård och omsorg som behandlar ansökningarna och fattar beslut om journalförstöring. I samband med att möjligheten till journalförstöring lagreglerades fanns dock önskemål om att sjukvårdshuvudmannen skulle vara den som fattade besluten.27
Journalförstöring innebär alltså att samtliga journalhandlingar som innehåller uppgifter som omfattas av beslutet ska utplånas. Förstöring ska ske av både originalhandlingen och kopior eller avskrifter och detta oberoende av om handlingarna förvaras inom hälso- och sjukvården eller utanför, t.ex. hos Försäkringskassan eller domstol. I de fall en journalhandling finns hos någon annan än den som ansvarar för patientjournalen måste följaktligen handlingen begäras åter. I 3 kap. 11 § PDL föreskrivs att om en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon, ska det antecknas i patientjournalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Dessa anteckningar syftar bl.a. till att underlätta arbetet med att spåra journalhandlingar.
12.3 Kort om patientjournalens utformning
Rätt information i rätt tid är nödvändigt för att kunna ge patienten en god och säker vård. Rätt information innebär att den är relevant för situationen, att den är uttryckt på ett entydigt sätt och inte kan misstolkas samt att den presenteras i ett sammanhang.
För att åstadkomma detta fullt ut krävs att vårdgivarna använder ett gemensamt regelverk för dokumentation och informationshantering, för innehåll och sammanhang. Ett sådant regelverk är en viktig grund för att utveckla it-stöd som kan hantera informationen på ett effektivt och säkert sätt. Regelverket är en del av strategin för Nationell eHälsa.
Socialstyrelsen har ett nationellt ansvar för att samordna arbetet med en ändamålsenlig och strukturerad dokumentation. Syftet med arbetet är att relevant och korrekt information om en person ska kunna tillgängliggöras för behörig personal i olika delar av verk-
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
255
samheter, över geografiska, tekniska och organisatoriska gränser. För att förbättra hanteringen av information inom vård och omsorg har Socialstyrelsen utvecklat en nationell informationsstruktur. Med den som grund ska verksamheter kunna utveckla funktionella it-stöd och standardiserade mallar för dokumentation.
Målet är att den nationella informationsstrukturens modeller för hur information i vård och omsorg kan struktureras ska omsättas i praktiken av huvudmän på nationell, regional och lokal nivå. För att nå målet arbetar Socialstyrelsen med att ta fram regelverk och vägledning för hur informationsstrukturen ska användas.
Gemensamma begrepp och termer inom hälso- och sjukvården och socialtjänsten bidrar till en god och säker vård och omsorg. För att patientuppgifterna i vårdprocessen ska bli entydiga bör nationellt överenskomna begrepp och termer, klassifikationer och kodverk användas och endast nödvändiga uppgifter dokumenteras. När innehåll i patientjournalen uttrycks med enhetliga termer och koder skapas bättre förutsättningar för patientsäkerheten och återanvändning av patientuppgifter i form av jämförelser, uppföljning och statistik.
Socialstyrelsen ansvarar för ett nationellt fackspråk samt metoder för hur det ska tas omhand och användas. Socialstyrelsen har lagt grunden till ett nationellt fackspråk för vård och omsorg. Det består av termbanken, klassifikationer och kodverk samt det internationella begreppssystemet Snomed CT. Målet är att det nationella fackspråket ska komma i bred användning och därmed bidra till att den information som skapas i vård och omsorg är enhetlig, entydig och jämförbar.
Förändringen till enhetliga och strukturerade journalsystem kan ta lång tid. Socialstyrelsen har till uppgift att stödja förändringsarbetet med förvaltning av och metoder för den nationella informationsstrukturen, begrepp, termer och klassifikationer samt Snomed CT.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
256
12.4 Våra överväganden och förslag
12.4.1 Vissa bestämmelser om journalföring förs över från patientdatalagen
Vårt förslag: Bestämmelserna i 3 kap. patientdatalagen om
journalföringsplikten, patientjournalens innehåll, skyldigheten att utfärda intyg om vården och om patientjournaler i krig ska föras över oförändrade till hälso- och sjukvårdsdatalagen. Andra bestämmelser i kapitlet förs över med vissa förändringar och ett par nya bestämmelser tillkommer.
Vissa av bestämmelserna i nu gällande 3 kap. patientdatalagen påverkas inte av utredningsen förslag. Det är t.ex. bestämmelsen om vilka yrkesgrupper som är skyldiga att föra patientjournal, bestämmelserna om vad en patientjournal får och ska innehålla och bestämmelsen om skyldigheten att utfärda intyg om vården. Vi föreslår därför att dessa bestämmelser ska föras över i huvudsak oförändrade till hälso- och sjukvårdsdatalagen.
När det gäller bestämmelsen om vad en patientjournal maximalt får innehålla föreslår vi att utformningen ändras endast på så vis att ändamålet vårddokumentation skrivs ut i stället för att en paragrafhänvisning till ändamålsbestämmelsen görs.
Bestämmelserna om vad en patientjournal minimalt ska innehålla förs över från patientdatalagen.28En i huvudsak motsvarande bestämmelse som uttrycker vad en patientjournal ska innehålla fanns redan i patientjournallagen.29
Anteckning i patientjournalen om utlämnanden
Om en journalhandling eller avskrift eller kopia av handlingen har lämnats ut till någon, ska det enligt i 3 kap. 11 § patientdatalagen dokumenteras i journalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Bestämmelsen syftar till att underlätta utredningen om var det finns journalhandlingar för att kunna verkställa beslut om journalförstöring.30 Från dokumentationsskyldigheten undantas i dag utlämnanden som görs
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
257
genom direktåtkomst, exempelvis till patienten själv eller till andra vårdgivare genom sammanhållen journalföring. Enligt bestämmelserna om sammanhållen journalföring anses en journalhandling utlämnad redan i och med att den görs tekniskt eller potentiellt tillgänglig för anslutna vårdgivare. I förarbetena till patientdatalagen motiverade regeringen detta med att det skulle medföra ett orimligt administrativt merarbete för yrkesutövarna, om det varje gång en ny anteckning görs i journalen även ska noteras vilka vårdgivare som är anslutna till den sammanhållna journalföringen och alltså i strikt mening är mottagare av den nya informationen.31
Utredningen ansluter sig till den uppfattningen och föreslår att bestämmelsen ska kompletteras med två ytterligare undantag från dokumentationsskyldigheten. Vi föreslår att det inte ska behöva antecknas att ett utlämnande har gjorts till ett nationellt eller regionalt kvalitetsregister och inte heller när ett utlämnande har gjorts till patienten själv. Utlämnanden till nationella och regionala kvalitetsregister kännetecknas inte sällan av upprepade utlämnanden över tid. De uppgifter som lämnas ut kan dessutom finnas på många olika platser i ett elektroniskt patientjournalssystem. Att under de förutsättningarna dokumentera vad som lämnats ut, till vem och när, skulle på motsvarande sätt som vid direktåtkomst medföra en orimligt stor administrativ insats. Dessutom förutsätter registrering i nationella kvalitetsregister att patienten, efter att ha blivit informerad om personuppgiftsbehandlingen, inte motsätter sig medverkan i kvalitetsregistret. Patienten ska således äga kännedom om ett sådant utlämnande. Därutöver har en patient även rätt att på eget initiativ begära att uppgifter i ett nationellt kvalitetsregister utplånas. Något beslut från Inspektionen för vård och omsorg, som vid journalförstöring, med efterföljande sökning av de uppgifter som ska förstöras är således inte aktuellt.
Av motsvarande skäl anser vi inte heller att utlämnanden som har gjorts till patienten själv måste dokumenteras.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
258
Krav på dokumentation av information till patienten
En patientjournal ska innehålla de uppgifter som behövs för en god och säker vård av patienten. Om uppgifterna finns tillgängliga, ska en patientjournal alltid innehålla
1. uppgift om patientens identitet,
2. väsentliga uppgifter om bakgrunden till vården,
3. uppgift om ställd diagnos och anledning till mera betydande
åtgärder,
4. väsentliga uppgifter om vidtagna och planerade åtgärder, och
5. uppgift om den information som lämnats till patienten och om
de ställningstaganden som gjorts i fråga om val av behandlingsalternativ och om möjligheten till en förnyad medicinsk bedömning.
Patientjournalen ska vidare innehålla uppgift om vem som har gjort en viss anteckning i journalen och när anteckningen gjordes.
Kravet i femte punkten om att patientjournalen ska innehålla dokumentation av den information som lämnats till patienten infördes i patientjournallagen år 1999.
Kommunikation mellan patient och närstående samt vårdpersonal av alla kategorier av stor vikt för en säker och kvalitativt god hälso- och sjukvård. Kravet på information ska dokumenteras i patientjournalen infördes i lagen just för att poängtera att patientinformationen är viktig. Men enligt förarbetena fanns det en risk för att ett krav på en alltför detaljerad dokumentation kunde leda till väsentligt extra arbetsinsatser vilket kunde medföra att tiden för det direkta patientarbetet inskränks.32 Regeringen anförde därför att det inte ställas alltför långtgående krav på dokumentationen. Med tanke på utvecklingen mot en mer datoriserad hantering av journalföringen ansåg regeringen att det borde vara möjligt att på ett inte alltför tidsödande sätt dokumentera sådana uppgifter som har betydelse i det enskilda fallet. Hit hör uppgifter som bedöms ha betydelse för slutsatser som dras, överenskommelser och beslut som fattas, skäl för att patientens krav inte kan tillgodoses samt situationer då patienten avstår från behandling.
32 Regeringens proposition (prop. 1998/99:4) Stärkt patientinflytande. s. 32 f.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
259
Enligt utredningens bedömning ska bestämmelsen om att dokumentera den information som lämnats till patienten därför tolkas mot bakgrund av grundbestämmelsen om vad en journal ska innehålla och med koppling till övriga krav i femte punkten. Det är de uppgifter som behövs för en god och säker vård av patienten som ska antecknas. Det innebär att det inte är all löpande information som patienten får i den kontinuerliga kommunikationen som ska dokumenteras i patientjournalen. Den information som ska dokumenteras är sådan individuellt anpassad information som har betydelse för patientens fortsatta vård, t.ex. som underlag för överenskommelser med patienten eller för val av behandlingsalternativ.
12.4.2 Ny bestämmelse om patientjournalen
Vårt förslag: I hälso- och sjukvårdsdatalagen ska kapitlet om
patientjournalen inledas med bestämmelser som beskriver vad som avses med en journal.
Under utredningens arbete har framförts synpunkter på att det är en brist att det nuvarande kapitlet om patientjournalen inte innehåller en samlad definition av vad patientjournalen är. Utredningen delar den uppfattningen och bedömer att patientjournalens centrala betydelse för informationshanteringen inom hälso- och sjukvården gör att det är särskilt viktigt med en tydlig definition. För att underlätta för den som ska tillämpa bestämmelserna om journalföring föreslår utredningen därför att kapitlet om patientjournalen inleds med en beskrivning av vad som avses med patientjournal och journalhandling. Dessa begrepp finns även med i definitionslistan i lagens inledning.
Enligt utredningens förslag avses med en patientjournal en eller flera journalhandlingar som rör samma patient. En journalhandling är en framställning i skrift eller bild eller en upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. En sådan handling upprättas eller inkommer i samband med vården av en patient och innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
260
Patientjournalen består alltså av en samling journalhandlingar som berör vården av en enskild patient. En del av dessa handlingar har upprättats direkt i samband med vården, medan andra har t.ex. kommit in från andra vårdgivare eller från myndigheter.33
Utredningens förslag till definition av patientjournalen och journalhandlingar innebär inga förändringar i sak jämfört med vad som gäller i dag. Förslaget handlar i allt väsentligt om att samla ihop definitionerna och tydliggöra dem i kapitlets inledning.
12.4.3 Patientjournalen är även en informationskälla vid undervisning och utbildning
Vårt förslag: Den nuvarande bestämmelsen i patientdatalagen
som anger syftet med en patientjournal ska överföras till hälso- och sjukvårdslagen och kompletteras med en uppgift om att journalen även syftar till att vara en informationskälla i samband med undervisning och utbildning.
Patientjournalen är i första hand ett arbetsinstrument för hälso- och sjukvårdspersonalen. Journalens grundläggande syfte är att tillgodose patientens intresse av en god och säker vård. Patientjournalen har även betydelse inte bara för patienten själv utan även som t.ex. underlag vid verksamhetsuppföljning, kontroll och tillsyn eller i rättsliga sammanhang, som källmaterial vid forskning och kvalitetssäkring. Detta framgår av den nuvarande bestämmelsen i patientdatalagen, enligt vilken det anges att journalen även är en informationskälla för
• patienten,
• uppföljning och utveckling av verksamheten,
• tillsyn och rättsliga krav,
• uppgiftsskyldighet enligt lag, samt
• forskning.
Enligt utredningens uppfattning är patientjournalen även en alldeles avgörande informationskälla för utbildning av framtida hälso- och sjukvårdspersonal. Studeranden i hälso- och sjukvården kan ha
33 Regeringens proposition (prop. 1984/85:189) om patientjournallag m.m., s. 38.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
261
behov av att använda patientuppgifter i olika situationer och för olika syften. Det kan exempelvis handla om att ta del av uppgifter för att kunna ge en god och säker vård av en patient som den studerande möter. På motsvarande sätt kan en studerande ha behov av att ta del av uppgifter för att i efterhand kvalitetssäkra sina bedömningar och åtgärder i konkreta patientmöten. Men det kan även handla om att ta del av patientuppgifter för ren utbildning som inte har något med den studerandes deltagande i vården av en patient att göra. Det handlar i dessa fall om att återanvända information i patientjournaler för att använda dem i undervisning och utbildning av framtida hälso- och sjukvårdspersonal. På motsvarande sätt som journalen är en viktig informationskälla exempelvis för den medicinska forskningen har journalen även central betydelse för möjligheterna att bedriva en ändamålsenlig utbildning av hälso- och sjukvårdspersonal. Mot den bakgrunden föreslår utredningen att det i hälso- och sjukvårdsdatalagen uttryckligen framgår att patientjournalen är en informationskälla även för undervisning och utbildning.
Att i hälso- och sjukvårdsdatalagen ange att patientjournalen är en informationskälla för undervisning och utbildning innebär inte att de närmare förutsättningarna för att använda personuppgifter i undervisningssammanhang påverkas. Hur uppgifter om patienter får användas i sammanhang utanför den egentliga patientvården eller vårdgivarens övriga kärnverksamhet är en helt annan fråga. Utredningen har bland annat i en promemoria i samband med en delredovisning som överlämnades till regeringen den 31 december 2013 redogjort för möjligheterna för studeranden att med stöd av gällande rätt ta del av uppgifter i en patientjournal. Promemorian återfinns i bilaga 4 till detta slutbetänkande.34
12.4.4 Förtydliganden i fråga om vem bestämmelserna om patientjournalen riktar sig till
Vår bedömning: Bestämmelserna om patientjournalen bör så
långt möjligt uttrycka vem som har att följa dem. Vissa bestämmelser som ska föras över från patientdatalagen bör ändras på så sätt att vårdgivaren skrivs in i paragrafen som ansvarigt subjekt.
34 PM om Studerandens möjligheter att ta del av och använda patientuppgifter, bilaga 4.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
262
I andra paragrafer bör det uttryckas att det är den som för patientjournal som ska vara ansvarig.
Vårt förslag: Bestämmelsen om anteckning av en patients av-
vikande mening ska föras över till hälso- och sjukvårdsdatalagen med tillägg att det är vårdgivaren som ansvarar för att anteckningen om att patienten har en avvikande mening förs in i journalen.
De materiella bestämmelserna om patientjournaler fördes över nästan helt oförändrade från 1985-års patientjournallag till patientdatalagen den 1 juli 2008. Vi anser att det nu är dags att göra vissa moderniseringar av flera av bestämmelserna för att bättre uttrycka vem som handlingsdirektiven riktar sig till.
Vi anser att en bestämmelse i de allra flesta fall bör uttrycka vilket subjekt som har att följa den. Ibland kan det dock uttryckas underförstått utan att det innebär risker för missförstånd. När det t.ex. gäller vad en journal ska innehålla så uttrycks det i gällande rätt och i vårt förslag som ett krav på innehållet utan att den riktar sig till något subjekt. En sådan bestämmelse riktar sig förstås till den som kan påverka innehållet. Det innebär att både vårdgivaren i egenskap av ytterst ansvarig för patientjournalen och den som för patientjournal måste känna till och rätta sig efter bestämmelserna om vilka uppgifter som ska finnas i en patientjournal.
Utredningen föreslår att vårdgivararen som ansvarigt subjekt förs in i bestämmelsen om anteckning av en patients avvikande mening och i bestämmelsen om utformningen av patientjournalen. Även i flera av bestämmelserna om ansvaret för uppgifterna förs vårdgivaren i som ansvarigt subjekt. Se mer om dessa bestämmelser i det följande.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
263
12.4.5 Patientens möjlighet att bidra med uppgifter i patientjournalen
Vår bedömning: En patient kan, efter vårdgivarens anvisningar,
bidra med uppgifter i en patientjournal genom att exempelvis fylla i elektroniska formulär som vårdgivaren tillhandahåller.
Det har ibland ifrågasatts om det är tillåtet för patienter att elektroniskt bidra med uppgifter i en patientjournal. Enligt utredningens bedömning är en vårdgivare som ansvarar för patientjournalen också ansvarig för vilka uppgifter som samlas in och ska också bestämma formerna för detta. Om vårdgivaren anser att uppgifter som patienten bidrar med har betydelse för patientens vård och behandling kan vårdgivaren bestämma om detta och hur det ska gå till.
Patienten har dock inte någon ovillkorlig möjlighet eller rätt att på eget initiativ registrera uppgifter i patientjournalen. Däremot kan vårdgivare i sina rutiner för att inhämta den information som behövs fastställa på vilka sätt patienten kan bidra med viktig information. På samma sätt som att en vårdgivare kan be en patient att fylla i en pappersenkät som sedan manuellt förs in i en journal, kan en patient få ett elektroniskt formulär som efter vårdgivarens anvisning kan fyllas i av patienten och elektroniskt överföras till patientjournalen.
Olika former av hälsodeklarationer som patienten får fylla i inför en kontakt med vården kan vara exempel på sådan informationsinhämtning som kan göras elektroniskt. Det kan vara ett effektivt sätt att låta patienten bidra till innehållet i patientjournalen. Det kan även handla om att patienter registrerar och elektroniskt rapporterar in olika mätvärden till en vårdgivare.
Även om patienter med hjälp av den tekniska utvecklingen elektroniskt kan bidra med sådana uppgifter som har betydelse för en god och säker vård, innebär det dock inte att det är patienten som för journalen. Det bör i stället betraktas som att vårdgivaren i sina rutiner för att inhämta den information som behövs för god och säker vård tillhandahåller definierade möjligheter för patienten att bidra med information. Ur ett journalföringsperspektiv är det heller ingen skillnad mellan en hälsodeklaration som förut inkom på papper och tillfogades journalen och en hälsodeklaration som lämnas in elektroniskt. Samtidigt vill utredningen betona att det,
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
264
både ur ett kvalitets- och ett integritetsperspektiv, är viktigt att sådana elektroniska formulär som patienter kan fylla i utformas på ett sådant sätt att det så långt möjligt endast är de efterfrågade uppgifterna som kan registreras.
En vårdgivare som ger patienter möjlighet att bidra med uppgifter elektroniskt behöver även vidta säkerhetsåtgärder för att skydda uppgifterna från obehörig åtkomst, t.ex. genom att se till att en överföring över internet är krypterad. Även med hänsyn till behovet av tillförlitliga uppgifter och hög datakvalitet kan vårdgivare ha anledning att vidta lämpliga åtgärder. Det kan exempelvis handla om att säkerställa att det är den avsedda patienten som bidrar med uppgifterna i patientjournalen.
12.4.6 Vårdgivarens ansvar för patientjournalen m.m. förtydligas
Vårt förslag: Vårdgivarens yttersta ansvar för journalen ska
uttryckas i en paragraf i början av kapitlet om patientjournalen. Vårdgivaren ska se till att det vid vård av patienter förs patientjournaler och att uppgifter förs in i journalen så snart som möjligt. Vidare ska nuvarande bestämmelser om att en patientjournal ska föras för varje patient och att den inte får vara gemensam för flera patienter, föras över till hälso- och sjukvårdsdatalagen.
Vårdgivarens yttersta ansvar för patientjournalen
Det behöver enligt utredningens mening bli mer tydligt i lagen att vårdgivaren har det yttersta ansvaret för patientjournalen. Vårdgivaren ansvarar för att journaler förs i verksamheten, för deras innehåll och för att de hanteras och förvaras i enlighet med lag. Vårdgivarens ansvar omfattar att de används på ett sådant sätt att de bidrar till en god och säker vård.
I gällande lag finns det en passivt formulerad regel som anför att det vid vård av patienter ska föras patientjournal. Vidare anförs i bestämmelsen att en patientjournal ska föras för varje patient och inte får vara gemensam för flera patienter. Det uttrycks inte i bestämmelsen vem som ansvarar för att detta uppnås. I äldre lagstiftningstradition inom hälso- och sjukvårdsområdet uttrycktes
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
265
sällan ansvaret på ledningsnivå, i stället betonades hälso- och sjukvårdspersonalens individuella yrkesansvar. Det anförs dock i förarbeten till patientjournallagen35 att det medicinska ledningsansvaret inom hälso- och sjukvården innebär ett yttersta ansvar för att underställd personal fullgör sina skyldigheter i vården, däribland journalföringen. Vårdgivarens ansvar uttrycktes dock inte bokstavligen i någon bestämmelse. Eftersom bestämmelserna överfördes utan ändring till patientdatalagen finns ännu i dag inte någon bestämmelse som ger uttryck för vårdgivarens yttersta ansvar för patientjournalen. Det finns inte några oklarheter om att vårdgivaren har detta ansvar, men utredningen anser ändå att det är viktigt att ge bokstavligt uttryck för vad som gäller.
Vi föreslår därför en bestämmelse där det framgår att vårdgivaren ska se till att det vid vård av en patient förs patientjournal. I bestämmelsen uttrycks också att det ska föras en patientjournal för varje patient och att journalen inte får vara gemensam för flera patienter. Den som bedriver hälso- och sjukvårdsverksamhet har alltså ansvaret för att det upprättas journaler.
Den aktuella bestämmelsen formulerar också att vårdgivarens yttersta ansvar för journalföringen innebär att vårdgivaren ska se till att uppgifter som ska antecknas förs in i journalen så snabbt som möjligt. Mer om detta ansvar följer i nästa avsnitt.
Ansvar för skyndsamhet i journalföringen
Med hänsyn till säkerheten i vården är det nödvändigt att viktiga uppgifter som ska journalföras förs in i journalen så snart som möjligt. Det finns annars risk för att uppgifter som kan vara av betydelse för vårdresultatet glöms bort, förvanskas eller av annan anledning aldrig dokumenteras. Det är också viktigt att uppgifterna finns i journalen snabbt så att den som behöver uppgifterna i ett senare led i vårdprocessen verkligen har uppdaterade uppgifter tillgängliga. Också patientens rättssäkerhet kräver att journaluppgifterna tas in i journalen så snart som möjligt. I takt med att patienten bereds möjlighet att ta del av sin egen journal genom direktåtkomst blir det också allt mer betydelsefullt att även patienten har tillgång till aktuella uppgifter.
Bestämmelsen gäller alla journalhandlingar och alla slags journalanteckningar; både anteckningar i en journalhandling och infogande
35 Regeringens proposition 1984/85:189 om patientjournal m.m. s. 26.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
266
av journalhandlingar som upprättats inom verksamheten eller som inkommit utifrån.36
Det är viktigt att väsentliga uppgifter om undersökningar och bedömningar med mera finns tillgängliga så fort som möjligt efter ett besök i vården. Samtidigt är det förståeligt att det kan gå en kort tid innan en dikterad uppgift blir införd i journalen och tillgänglig för resten av personalen. Patientdatalagens krav på att uppgiften ska föras in i journalen så snart som möjligt har av Socialstyrelsen tolkats som att man inte kan acceptera någon längre fördröjning.
I ett tillsynsbeslut har Socialstyrelsen uttalat att en vårdgivare avseende en akutklinik måste se till att samtliga journaldiktat i fortsättningen skulle journalföras fortlöpande och senast inom två dygn från den aktuella medicinska åtgärden.37 Socialstyrelsens bedömning gjordes mot bakgrund av att tillsynen gällde verksamheten vid en akutklinik.
Vårdgivaren måste anpassa sina rutiner för hur snabbt en journalanteckning ska föras in i patientjournalen efter behoven i sin verksamhet och de krav på säkerhet som måste ställas.
En anteckning eller en handling ska anses införd när det faktiskt skrivs in eller överförs till journalsystemet. När en löpande anteckning förs i ett journalsystem är den införd och därefter också en allmän handling om vårdgivaren är en myndighet.38
Vårdgivaren har det övergripande ansvaret över resurserna i verksamheten och hur de ska användas. Ansvaret för att arbetet läggs upp på ett sådant sätt att det finns tid att så snabbt som möjligt föra in de uppgifter som ska finnas i journalen måste därför ligga på vårdgivarnivå. Det är en viktig patientsäkerhetsfråga att nödvändiga uppgifter snabbt finns tillgängliga i patientjournalen.
12.4.7 Vårdgivarens ansvar för utformningen av patientjournalen förtydligas
Vårt förslag: I hälso- och sjukvårdsdatalagens ska anges att
vårdgivaren ska se till att patientjournaler förs på svenska språket och är tydligt utformade så att förståelse och utbyte av uppgifter underlättas. Vidare ska, som i dag, framgå att patientjournalen ska vara så lätt som möjligt att förstå för patienten.
36Prop. 1984/85:189 s. 41. 37 Den 24 november 2008, dnr 44-9129/08. 38 Högsta förvaltningsdomstolens dom den 27 maj 2013, mål nr 5319-12.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
267
Nuvarande möjlighet för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om patientjournalens språk, innehåll och utformning samt om hur patientjournalen ska hanteras och försvaras ska överföras till hälso- och sjukvårdsdatalagen.
I patientdatalagen finns i dag flera bestämmelser som syftar till att möjligöra ändamålsenligt utbyte av personuppgifter inom hälso- och sjukvården. Det finns t.ex. bestämmelser som reglerar hur den elektroniska åtkomsten inom en vårdgivares verksamhet ska vara ordnad och det finns bestämmelser som möjliggör direktåtkomst mellan olika vårdgivare.
Det finns dock inte i gällande lag bestämmelser som mer konkret uppmanar till att strukturera eller formulera patientjournalen på ett sådant sätt att det finns faktiska förutsättningar för det tekniska utbytet. Det finns inga bestämmelser som ställer krav på hur informationen ska struktureras eller vilka termer och begrepp som ska användas. Även om det inte finns någon mer detaljerad bestämmelse följer det dock av vårdgivarens övergripande ansvar för verksamheten och patientjournalen att vårdgivaren även ansvarar för att dokumentation utformas och kan användas på ett sätt som lever upp till syftet med lagen.
När det gäller den språkliga utformningen finns i gällande lag ett uttryckligt krav på att patientjournalen ska vara skriven på svenska, vara tydlig utformad och lätt att förstå för patienten. Kravet på att journalen ska vara tydligt utformad är förstås ett krav som både innefattar struktur och språklig tydlighet. Enligt förarbetena till patientjournallagen39avses med ”tydligt utformade” handlingens tekniska utformning.
Utredningen föreslår att innebörden av vårdgivarens ansvar för utformningen förtydligas något genom att föra över den befintliga bestämmelsen om språket i journalen och lägga till i paragrafen att journalen ska vara tydligt utformad så att förståelse och utbyte av uppgifter underlättas.
Utredningen föreslår att de bestämmelser om bemyndiganden inom detta område som finns i befintlig lagstiftning ska föras över till den nya lagen.
Mera detaljerade bestämmelser avseende innehåll och utformning av patientjournalen får alltså föreskrivas av regeringen eller
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
268
Socialstyrelsen. Arbete med framtagandet av en enhetlig informationsstruktur och ett nationellt fackspråk kan komma att utmynna i diverse föreskrifter. Dessa kommer enligt utredningen uppfattning att kunna meddelas med stöd av dessa delegationsbestämmelser.40
Vi föreslår även att bestämmelsen med bemyndiganden om hur patientjournaler ska hanteras och förvaras ska föras över till den nya lagen.
12.4.8 Vårdgivaren ska säkerställa att uppgifter är korrekta och att felaktigheter rättas
Vårt förslag: En bestämmelse ska införas som ställer krav på
vårdgivaren att säkerställa att uppgifterna i en patientjournal är korrekta och att felaktiga uppgifter rättas. Vårdgivaren ska också ansvara för att uppgifter inte utplånas eller görs oläsliga annat än med stöd av de bestämmelser som gäller för det. Lagen ska innehålla en bestämmelse om hur en rättelse ska gå till.
Inledning
Vårdgivaren har ansvar för att journaler förs i verksamheten och för att det görs på ett ändamålsenligt och korrekt sätt. Vårdgivaren ansvarar även för att journalerna hanteras och förvaras i enlighet med de bestämmelser som finns. Vidare är en vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. Den som är personuppgiftsansvarig är enligt 9 § h PUL skyldig att se till att rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana uppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen av uppgifterna. Skyldigheten för vårdgivaren att vara aktiv och se till att uppgifterna i en patientjournal är korrekta är alltså uttryckligt reglerat i personuppgiftslagen. Även bestämmelserna om signering och rättelse är ett uttryck för detta ansvar. Vårdgivarens ansvar för hantering av patientuppgifter följer även av att vårdgivaren är ytterst ansvarig för hela verksamheten.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
269
I nuvarande patientdatalagen uttrycks vårdgivarens skyldighet bara indirekt genom signeringskravet och genom att reglera hur själva rättelsen ska gå till. Detta är enligt vår bedömning en ofullständighet i lagen. Det bör enligt vår mening vara tydligt att vårdgivarens ansvar innebär en skyldighet att vara aktiv och se till att felaktiga journaluppgifter rättas. Utredningens utgångspunkt är därför att det också bör uttryckas genom konkreta bestämmelser i hälso- och sjukvårdsdatalagen att vårdgivaren har ett särskilt ansvar för att innehållet i patientjournalerna är korrekt och att det finns en skyldighet att rätta. Det är ett viktigt ansvar som bör regleras tillsammans med övriga regler om vårdgivarens hantering av personuppgifter i hälso- och sjukvården. Grundläggande bestämmelser som reglerar ansvar och hantering av journaluppgifter bör finnas i samma lag.
Tydligare ansvar för vårdgivaren
Vårdgivarens ansvar för säkerheten i vården och för hanteringen av personuppgifter innebär enligt utredningens bedömning också ett ansvar för att uppgifterna i en patientjournal är korrekta. Utredningen föreslår att vårdgivarens ansvar för att uppgifterna i en patientjournal är korrekta, uttrycks genom en bestämmelse i hälso- och sjukvårdsdatalagen som ställer krav på att vårdgivaren är aktiv och kontrollerar att uppgifternas riktighet samt rättar felaktiga uppgifter. Denna skyldighet ska gälla oavsett i vilken form journalerna förs. Lagen bör vara så fullständig som möjligt avseende de grundläggande kraven som bör ställas på vårdgivare och hälso- och sjukvårdspersonal när det gäller journalföring och hantering av uppgifter. Att uppgifter är korrekta och att felaktigheter rättas är centralt såväl för integritetsskyddet som för kvaliteten och säkerheten i hälso- och sjukvården. Den principen bör ha en naturlig plats och vara tydligt uttryck i hälso- och sjukvårdsdatalagen.
Denna skyldighet för en vårdgivare innebär att vårdgivaren måste ge instruktioner till verksamheten om hur kontrollen av uppgifternas riktighet ska uppfyllas och om hur rättelser av patientjournaler ska hanteras. Det är nödvändigt att de som arbetar åt en vårdgivare vet hur de ska agera när en felaktighet upptäcks. Det är också viktigt att de rättelser som görs är tydliga och kan tolkas av de som arbetar i verksamheten så att patientjournalen kan fortsätta att vara ett effektivt arbetsverktyg. Personalen behöver också ha
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
270
tydliga instruktioner om hur felaktiga uppgifter får utplånas, se vårt förslag i det följande.
Det går sannolikt inte att uttömmande precisera vad som ska ingå i vårdgivarens övergripande ansvar för att uppgifter i patientjournaler är korrekta. Riktlinjer och instruktioner till personalen har givetvis en självklar plats i detta, liksom vårdgivarens ansvar för att ensa användningen av de termer och begrepp som förekommer i verksamheten. På en övergripande nivå har vårdgivare även mycket att vinna på att implementera tekniska funktioner som bidrar till att se till att korrekta uppgifter dokumenteras och att det görs på rätt plats i patientjournalen. Att bygga in integritetsskyddande och kvalitetssäkrande funktioner i vårdens it-stöd har många fördelar och kan göras på en mängd olika sätt. Det kan exempelvis handla om olika funktioner som t.ex. gör att vissa termer och begrepp endast kan uttryckas på ett eller fler fördefinierade sätt eller att vissa uppgifter endast kan dokumenteras på vissa platser i en patientjournal. Att införa en mer strukturerad vårddokumentation med anpassade funktioner är sannolikt ett av de mest effektiva sätten för vårdgivare att ta ansvar för patientjournalernas innehåll. Det skulle även kunna medföra positiva effekter vad gäller hälso- och sjukvårdens administrativa börda genom att både journalföringen och informationsinhämtandet i patientmötet blir effektivare.
Genom vårt förslag tydliggörs vårdgivarens ansvar för att tillhandahålla en administrativ, organisatorisk och teknisk infrastruktur som ger hälso- och sjukvårdspersonalen förutsättningar att dokumentera korrekta och relevanta uppgifter på ett ändamålsenligt sätt.
Utredningen föreslår därtill att bestämmelsen i gällande patientdatalag om att uppgifter i en patientjournal inte får göras oläsliga eller utplånas i andra fall än vad som gäller enligt lag förtydligas på så vis att vårdgivaren läggs till som ansvarigt subjekt.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
271
12.4.9 Den som för journal ska kontrollera sina uppgifter
Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att den
som för patientjournal ansvarar för sina uppgifter och ska kontrollera att uppgifterna är korrekta. I lagen ska också finnas en bestämmelse om hur den som för journal ska rätta felaktiga uppgifter.
Vår bedömning: Detta ansvar tillsammans med vårdgivarens
yttersta ansvar för att journalerna är korrekta innebär att signeringskravet, i form av ett uttryckligt krav på kvittens, kan tas bort.
Inledning
Den som för journal ansvarar i dag för de uppgifter som han eller hon för in i journalen och för att dessa uppgifter signeras. I enlighet med vad som redovisats ovan har vårdgivaren således det övergripande ansvaret för att journaler förs i verksamheten och för att uppgifterna i journalerna är korrekta, men den som för patientjournal är ansvarig för de uppgifter som han eller hon för in.
Det framgår inte direkt i lagen vad signeringskravet innebär och hur det i praktiken ska uppfyllas. Kravet på att den som svarar för en anteckning också ska signera får dock anses innebära att en anteckning som förts in ska kontrolleras av den som ansvarar för uppgiften och sedan undertecknas. Signeringskravet har varit reglerat i lag sedan patientjournallagen trädde i kraft 1985. Kravet var omdiskuterat redan vid införandet. Varken journalutredningens betänkande41eller propositionen42innehöll något sådant förslag. Av kostnadsskäl ansågs det inte lämpligt att införa något generellt krav på kontrolläsning. För att någon tveksamhet inte skulle föreligga om ansvaret för uppgifternas riktighet infördes i stället en uttrycklig bestämmelse om att den som för journal ansvarar för att de uppgifter som han eller hon för in i journalen är riktiga.43Signeringskravet kom sedan att föras in i lagen samband med riksdagsbehandlingen av patientjournallagen.44
41SOU 1984:73. 42Prop. 1984/85:189. 43Prop. 1984/85:189 s. 20. 44 Socialutskottets bestänkande 1984/85:SoU33.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
272
Allt sedan dess har en debatt förts om signeringskravet är meningsfullt och ändamålsenligt. I Myndighetens för vårdanalys rapport Ur led är tiden45tas signeringskravet upp som ett exempel på en administrativ åtgärd där värdet av åtgärden kan diskuteras i relation till vilken insats som krävs.
Det finns enighet om att måste ska gå att lita på uppgifterna i en patientjournal, men den omdiskuterade frågan är om signeringskravet fyller någon sådan funktion i praktiken? På grund av det höga tempo som råder i hälso- och sjukvården är det ofta nödvändigt att kunna lita även på uppgifter som inte är signerade. Av redogörelserna i det föregående framgår även att uppgifter som förs in i en patientjournal inte får ändras annat än med stöd av särskilda regler. Detta gäller oavsett om uppgifterna är signerade eller inte.
Vårdgivarens ansvar och det ansvar som ligger hos den som för in uppgifter i en patientjournal är grundläggande och behövs för att säkerställa att uppgifterna i en patientjournal är korrekta. Frågan är om det utöver detta ansvar behöver finnas bestämmelser om att en kontrolläsning också måste signeras? Vårdgivarens ansvar för journalen och den enskilde yrkesutövarens ansvar för de uppgifter som förs in kan tillsammans med de bestämmelser som reglerar vilka möjligheter till ändring av innehållet som finns vara tillräckliga för att säkra innehållet i patientjournalen. De bestämmelser som reglerar journalföring och hantering av personuppgifter i hälso- och sjukvården syftar till att journalerna ska kunna användas som ett tillförlitligt arbetsredskap i vården Det är viktigt att rätt uppgifter och korrekta uppgifter finns i journalen och att dessa uppgifter inte får förvanskas eller utplånas annat än med stöd av särskilda bestämmelser.
Krav på kontrolläsning men inte på undertecknandet som dess kvittens
Utredningen anser att kvalitetskravet avseende journalanteckningen uttrycks bättre genom att förtydliga kravet på ansvar för anteckningen än genom att behålla signeringskravet som det är utformat i dag. Signeringskravet innebär dels att den som ansvarar för uppgiften ska kontrollera att de uppgifter som han eller hon ansvarar för är korrekta, dels att denna kontroll bekräftas med en
45 Myndigheten för vårdanalys Rapport 2013:9, Ur led är tiden s. 44 ff.
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
273
signering. Utredningen anser att det viktigaste är att i lagen uttrycka kravet på att uppgifterna ska kontrolleras.
Vi menar att signeringskravet, som det har kommit att tillämpas i praktiken, inte fyller den funktion som lagstiftaren en gång såg framför sig. Signeringen ger inte uttryck för den kvalitetskontroll den egentligen är avsedd att göra. I stället för att en signerad uppgift betyder att den är kontrolläst och riktig verkar innebörden av en signerad uppgift i dag endast vara att den är just signerad. Det förhållande att hälso- och sjukvårdspersonal ofta beskriver signeringen som en administrativ pålaga med liten eller ringa betydelse för tilliten till uppgifternas riktighet och säkerheten i vården, gör att det i dag starkt kan ifrågasättas om kravet är ändamålsenligt.
Det kan heller inte uteslutas att lagstiftningens utformning, dvs. att fokus ligger på att en uppgift ska signeras, har bidragit till en olycklig förskjutning från den nödvändiga kontrollen av uppgifternas riktighet till den mer administrativa kvittensen.
Sammantaget bedömer vi därför att det finns skäl att ändra lagstiftningen så att den på ett tydligt sätt uttrycker att den som journalför ansvarar för sina uppgifter och att de är korrekta, alldeles oavsett om en administrativ kvittens är synlig eller inte. Signeringskravet, som det är utformat i dag, bör därför tas bort. I anslutning till ett uttryckligt ansvar för vårdgivaren avseende patientjournalens innehåll vill vi därför även tydliggöra yrkesutövarens ansvar för de uppgifter som han eller hon för in i journalen. Vi föreslår därför ett tillägg till ansvaret för uppgifterna som innebär att yrkesutövaren ska kontrollera att uppgifterna är riktiga. Denna kontroll görs antingen i direkt anslutning till att yrkesutövaren själv för in sin anteckning eller i samband med genomläsning av vad t.ex. en läkarsekreterare fört in.
Detta innebär att vårdgivaren får ta ansvar för om det behövs någon synlig kvittering av att genomläsning skett. Vårdgivaren kan ställa krav på sådan signering av vissa anteckningar om det är motiverat med hänsyn till verksamhetens krav på patientsäkerhet och kvalitet.
Vårt förslag innebär ingen begränsning av det ansvar som en yrkesutövare redan i dag har för sina uppgifter. Tvärtom avser vi med förslaget att förtydliga vad ansvaret egentligen handlar om. Det är upp till vårdgivaren att ha tydliga rutiner för hur detta ansvar för uppgifternas riktighet ska upprätthållas generellt i verksamheten. Det är nödvändigt för informationsöverföringen inom och mellan verksamheter och vårdgivare att det finns tillit till
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
274
att dokumentationen är korrekt och användbar. Detta ställer stora krav på vårdgivare och yrkesutövare när det gäller ansvaret för uppgifterna i patientjournalen. Vårt förslag om att uttrycka detta på ett annat sätt än genom signeringskravet förminskar inte detta ansvar.
Rättelse av en felaktighet
Vi föreslår att bestämmelsen i patientdatalagen om hur rättelse av en journalanteckning ska gå till förs över med vissa förtydliganden i en egen paragraf. Det ska framgå att det är den som för patientjournal som utför rättelsen. Det ska också uttryckas i bestämmelsen att rättelsen ska göras så att den ursprungliga texten inte blir oläslig eller oåtkomlig.
12.4.10 Vårdgivare ska få utplåna uppenbara felaktigheter i patientjournalen
Vårt förslag: En vårdgivare ska få utplåna uppgifter i en patient-
journal. Vårdgivaren ska enbart kunna göra detta om det är sannolikt att den uppgift som ska utplånas inte har använts som underlag för bedömningar och ställningstaganden i samband med patientens vård och behandling. Utöver detta ska det krävas att den uppgift som ska tas bort är uppenbart felaktig och att rättelse inte är en tillräcklig åtgärd för att tillgodose skyddet för den registrerades integritet.
Inledning
Med beaktande av patientsäkerheten och skyddet för de registrerades integritet är det nödvändigt att vara mycket noggrann i samband med hantering av personuppgifter i hälso- och sjukvården. Det finns en hög medvetenhet om detta i hälso- och sjukvården. Trots detta inträffar det ibland att felaktiga noteringar görs i en patientjournal. Det kan t.ex. hända att felaktiga uppgifter om en patients hälsotillstånd förs in, t.ex. en felaktig uppgift om dos eller styrka av ett läkemedel. Om misstaget inte uppmärksammas i anslutning till att uppgifterna förs in får uppgifterna dock inte
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
275
utplånas från journalen. Däremot är det möjligt för vården att rätta uppgifterna enligt de regler som gäller för det i nu gällande 3 kap. 14 § PDL. En sådan åtgärd är ofta tillräcklig för att säkra att innehållet i journalen blir korrekt. Det kommer fortfarande att synas i journalen att den rättats och det finns en spårbarhet avseende den felaktiga uppgiften. En rättelse innebär således inte att den felaktiga uppgiften får tas bort från journalen.
Andra felaktiga noteringar i journalen blir mer problematiska för hälso- och sjukvården. Om t.ex. anteckningar om vård och behandling görs på fel patient uppstår en känslig situation. Det kan i värsta fall innebära ett otillåtet spridande av sekretessbelagda uppgifter att inte helt kunna ta bort de felaktiga noteringarna.
Den enda möjligheten att helt ta bort dessa uppgifter är att vända sig till den patient som journalen avser eller till den patient som omnämns i den felaktiga anteckningen (om den finns något omnämnande) och uppmana någon av dem att ansöka om journalförstöring. Detta framstår sannolikt som märkligt för patienten att behöva ta ansvar för. Varför ska han eller hon behöva besvära sig med att hantera sådana misstag som gjorts i vården? Det kan också vara svårt att hantera detta utan att den registrerade får ta del av uppgifter om en annan registrerad. En anteckning i en patientjournal som egentligen avser en annan person kan innebära patientsäkerhetsrisker och integritetsrisker för den patient som ”äger” journalen. Även med hänsyn till den patient vars uppgifter hamnat fel kan det medföra sådana risker. Det är därför angeläget att en sådan felaktighet snabbt kan rättas.
Utredningen har därför fått i uppdrag att utreda möjligheten att göra det tillåtet för vårdgivaren att ansöka om journalförstöring. Utredningens utgångspunkt är att av hänsyn till de registrerades integritet måste felaktigheter i en patientjournal kunna åtgärdas på ett enkelt sätt utan onödig administration - men med beaktande av de säkerhetsaspekter som vi här redogjort för. En vårdgivare ska inte kunna ändra innehållet i en patientjournal utan att följa ändamålsenliga regler för hur det ska gå till.
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
276
Vårdgivare bör få en möjlighet att under vissa förutsättningar ta bort felaktiga uppgifter
Uppgifter som förts in i en journal kan enbart bli helt utplånade med stöd av bestämmelsen om journalförstöring. Det är dock bara patienten eller någon annan som omnämns i en patientjournal som kan ansöka om journalförstöring. Det innebär stora olägenheter för vårdgivaren och hindrar verksamheten från att bära ett fullständigt ansvar för att uppgifterna i journalen är riktiga.
Om t.ex. felet består i att uppgifter på fel patient förts in i en journal blir det komplicerat att åstadkomma en rättelse som innebär att båda patienternas integritet respekteras. Huvudregeln är ju att det föreligger sekretess avseende de aktuella uppgifterna mellan de båda patienterna. Ändå är det bara någon av dessa som kan ansöka om journalförstöring. Det blir en ömtålig fråga som är svår att hantera på ett bra sätt för vårdgivaren. För att åtgärda det fel som vårdgivaren själv orsakat finns det i dagsläget ingen annan laglig lösning än att vårdgivaren lägger över ansvaret för att rätta till felet på någon av de registrerade.
Den patient som journalen avser kan ansöka om att uppgifterna som avser en annan patient ska förstöras. Ansökan ska lämnas till Inspektionen för vård och omsorg, som ska utreda och fatta beslut i frågan. Det är sannolikt att en sådan ansökan skulle bifallas. Men det är inte någon enkel och snabb väg att behöva vända sig till en myndighet för att rätta till en uppenbar felaktighet. Det kan innebära risker för patienten så länge som de felaktiga uppgifterna finns kvar i journalen. För båda berörda patienter kan det också medföra risker för integritetskränkningar så länge som de felaktiga uppgifterna är åtkomliga i journalen. För de registrerades skull vore det önskvärt med en möjlighet för vårdgivarna att åtgärda sådana uppenbara fel.
Utredningen anser att vårdgivaren måste få en möjlighet att åtgärda uppenbara felaktigheter i patientjournalen. Vi anser att det inte är en tillräckligt bra lösning att ge vårdgivarna en möjlighet att i dessa lägen ansöka om journalförstöring. Det tar onödigt lång tid att rätta till felaktigheterna om det måste krävas ett myndighetsbeslut för det.
Vi anser att det av hänsyn till de patienter som drabbas av dessa felaktigheter är nödvändigt att en rättelse måste kunna göras enkelt utan tidsödande administration. Vårdgivaren har ansvar såväl för att erbjuda en god och säker vård som för en säker informations-
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
277
hantering. Det är därför rimligt att vårdgivarna också får ta ansvar för att åtgärda uppenbara felaktigheter som kan få konsekvenser för en eller flera patienter.
Enligt gällande rätt får uppgifter i en patientjournal endast utplånas eller göras oläsliga med stöd av bestämmelsen om journalförstöring eller med stöd av bestämmelser om gallring enligt arkivlagen. Dessa bestämmelser utgör undantag från skyldigheten att bevara allmänna handlingar när det gäller patientjournaler som förs av en offentlig vårdgivare.
Utredningens förslag om att vårdgivare ska få utplåna felaktiga uppgifter innebär när det gäller den offentliga vården ytterligare ett undantag från skyldigheten att bevara allmänna handlingar. Utredningen måste därför överväga om detta undantag innebär en oacceptabel konflikt med offentlighetsprincipen. När det gäller patientjournalens ställning som allmän handling är den redan mycket starkt begränsad av den starka sekretess som råder avseende uppgifterna i journalen. Patientjournalens viktigaste uppgift är att finnas till hands i syfte att erbjuda patienten en god och säker vård. Mot den bakgrunden är det nödvändigt för vården att så långt möjligt kunna lita på innehållet i en patientjournal.
Vårdgivaren har ett ansvar för att innehållet i patientjournalen är korrekt. Det finns redan i dag en möjlighet för patienten att under vissa förutsättningar få uppgifter utplånade ur en patientjournal. Utredningen föreslår nu en möjlighet för vårdgivaren att under vissa begränsade förutsättningar få utplåna uppgifter i en journal. Syftet med det undantaget är att vårdgivaren på ett bättre sätt kan ta ansvar för att det bara finns korrekta uppgifter i en patientjournal. Vårdgivarens rätt att utplåna felaktiga uppgifter är en undantagsbestämmelse som enligt utredningens förslag bara ska få tillämpas om en rättelse inte är en tillräcklig åtgärd. Vårt förslag innebär endast ett mindre tillägg till de möjligheter som redan finns att trygga en patientjournals innehåll. Vi gör mot denna bakgrund bedömningen att förslaget inte innebär någon konflikt mot offentlighetsprincipen.
Närmare om villkoren för vårdgivares utplåning av uppgifter
Det grundläggande villkoret för att en utplåning på vårdgivarens initiativ ska vara möjlig är att det är sannolikt att den eller de uppgifter som ska utplånas inte har legat till grund för bedömningar
Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23
278
och ställningstaganden vid vård och behandling av den patient som journalen avser. Om en felaktig uppgift har haft betydelse för vården av patienten är det viktigt av spårbarhetsskäl att den felaktiga uppgiften inte utplånas. Det kan vara betydelsefullt för den fortsatta vården av patienten att veta vilka uppgifter som legat till grund för behandlingen. Även för att kunna följa upp och kvalitetssäkra vården är det viktigt att den dokumentation som funnits i ett vårdförlopp går att återskapa. I samband med en utredning av en vårdskada kan det vara nödvändigt att det går att få fram vilken dokumentation som fanns att tillgå vid vårdtillfället. Därför anser utredningen att felaktiga uppgifter som använts i vården inte ska utplånas utan rättas i enlighet med den bestämmelse som gäller för det.
Med förutsättningen att felet ska vara uppenbart avser utredningen att den felaktiga uppgiften ska ha förts in av rent förbiseende. Det ska vara en uppgift som entydigt är felaktig i den aktuella journalen, t.ex. att fel uppgift noterats på grund av någon form av förväxling. Det kan t.ex. handla om att uppgiften i sig är korrekt, men den avser en annan patient. Det ska inte vara fråga om en uppgift som noterats på grund av någon bedömning, som senare visar sig felaktig.
En ytterligare förutsättning för att vårdgivaren ska få ta bort det uppenbara felet är att det – av hänsyn till en registrerads integritet – inte är tillräckligt att rätta felaktigheten enligt de bestämmelser som gäller för det. Huvudregeln är att uppenbara fel ska rättas i enlighet med de befintliga reglerna om rättelse. Det ska alltså innebära ett bristande skydd för en registrerads integritet att uppgifterna finns åtkomliga på det sätt som blir resultatet av en vanlig rättelse. En rättelse enligt patientdatalagen innebär ju inte att de felaktiga uppgifterna utplånas. Det innebär endast att någon form av markering görs om att en uppgift är felaktig. I förekommande fall skrivs i stället en riktig uppgift in i stället. Spårbarheten avseende den felaktiga uppgiften kan vara konstruerad på olika sätt i olika journalsystem.
Om det handlar om att samma uppgift av misstag förts in flera gånger gör utredningen bedömning att det är möjligt för vårdgivaren att formlöst se till att uppgiften bara noteras så många gånger som är nödvändigt. En sådan rättelse innebär ju inte att själva informationen går förlorad.
I de fall där den uppenbara felaktigheten består i att uppgifter om fel patient förs in i en patientjournal kan det vara känsligt för
SOU 2014:23 Ett tydligare ansvar för patientjournalen och dess innehåll
279
båda patienterna om de felaktiga uppgifterna inte kan tas bort helt och hållet. Utredningen anser att en sådan situation är ett typfall då det inte är tillräckligt att åtgärda felet genom att tillämpa reglerna om rättelse. Vi anser att vårdgivaren i sådana situationer på ett enkelt och snabbt sätt måste kunna utplåna de felaktiga uppgifterna från journalen. Det skulle innebära mer administration både för vårdgivaren och för Inspektionen för vård och omsorg om sådana fel endast kunde åtgärdas genom att vårdgivaren ansökte hos myndigheten om journalförstöring. Det skulle också innebära att det tog längre tid att åtgärda felet. Ju längre tid det tar att rätta till ett fel ju större blir risken för att en registrerads integritet kränks. Utredningen har därför valt att föreslå att vårdgivaren under vissa förutsättningar själv får rätta till uppenbara fel.
Av utredningens förslag till bestämmelse framgår att möjligheten för vårdgivaren att utplåna uppgifter bara får användas om rättelse inte är en tillräcklig åtgärd. I första hand ska bestämmelsen om rättelse användas för att åtgärda uppenbara fel. Bestämmelsen kan bli tillämplig först om det inte är tillräckligt med en rättelse för att trygga en registrerads integritet. Undantaget får inte tillämpas rutinmässigt. Då det i enskilda fall används, ska det ske med urskillning och varsamhet.
Utredningens förslag till bestämmelser riktar sig till vårdgivaren som ansvarig för behandlingen av personuppgifterna i verksamheten. Det innebär att vårdgivaren måste ha rutiner till de som arbetar i vården om hur de ska hantera rättelse och utplåning av uppgifter i journalen. Vårdgivaren måste ge instruktioner till verksamheten hur denna nya möjlighet att åtgärda felaktigheter ska användas.
Vårdgivarens ansvar för hantering av journaluppgifter innebär att vårdgivaren i första hand måste se till att det inträffar så få felaktiga noteringar i journalerna som möjligt. Journalsystemen måste vara användarvänliga. Det ska vara enkelt att göra rätt – svårt att göra fel. Vårdgivaren ansvarar även för att arbetet med patienter och dokumentation av vården läggs upp på ett ändamålsenligt och säkert sätt.
Utredningens förslag innebär att vårdgivaren för att kunna ta ansvar för informationshanteringen också måste följa upp hur den nya möjligheten till att ta bort felaktigheter används i verksamheten. Ett sådant kvalitetsarbete kan ge vårdgivaren signaler om vilka brister som finns när det gäller t.ex. användbarhet av journalsystemen och även om brister avseende hur vårdarbetet är utformat.
281
13 En informationshantering med patienten i centrum
13.1 Bakgrund
Under 2011 presenterade Riksrevisionen sin rapport Rätt information
vid rätt tillfälle inom vård och omsorg – samverkan utan verkan?
(RiR 2011:19). I rapporten granskas de statliga insatserna som gjorts för att vårdpersonal ska ha tillgång till all relevant patientinformation vid rätt tillfälle.
Motiven för granskningen var att hälso-och sjukvården och den kommunala omsorgen under senare år genomgått stora strukturförändringar, vilket bland annat gjort att antalet aktörer på området har ökat. Den nationella vårdgarantin och det fria vårdvalet som införts har bland annat medfört att ett större antal vårdgivare involveras i vården av patienter, vilket ställer nya krav på möjligheterna för vårdpersonalen att ta del av uppgifter om patienterna. Det har därmed blivit allt viktigare att säkerställa ett effektivt och säkert utbyte av information mellan olika vårdgivare. Riksrevisionen anför i granskningen att vårdens organisering har kommit att bli avgörande för informationsutbytet. Riksrevisionen anför bl.a. följande.
Regeringen har som ambition att öka andelen privata aktörer inom vård och omsorg. Med flera aktörer blir det allt viktigare att säkerställa ett effektivt utbyte av information över organisationsgränserna. Det har i granskningen framkommit att val av organisation får konsekvenser för hanteringen av patientinformation.
Vidare framhöll Riksrevisionen att det i ett landsting med få vårdgivare är enklare att få tillgång till patientinformation eftersom patientdatalagen ställer hårdare krav vid informationsutbyte mellan olika vårdgivare än inom en vårdgivare. Mot den bakgrunden rekommenderade Riksrevisionen regeringen att analysera de
En informationshantering med patienten i centrum SOU 2014:23
282
konsekvenser som det ökade antalet privata vårdgivare får för målet att behörig personal ska ha rätt information vid rätt tillfälle och överväga om det behövs någon ytterligare författningsreglering.
I regeringens skrivelse om Riksrevisionens rapport aviserades sedan regeringen denna utredning.1 Regeringen anför i skrivelsen bland annat att insatser till enskilda inte ska vara mindre säkra eller av lägre kvalitet till följd av bristande tillgång till information. Utan sådan tillgång till uppgifter ökar, enligt regeringens skrivelse, risken för bl.a. felaktiga beslutsunderlag, felbehandlingar eller allvarliga interaktioner mellan läkemedel och andra insatser. Utöver direkt negativa konsekvenser för den enskilde kan brister i möjligheten att samverka och samarbeta genom att effektivt utbyta uppgifter mellan verksamheter också få negativa följder för hälso- och sjukvården och socialtjänsten på en övergripande nivå. Vidare uttalar regeringen att den delar Riksrevisionens bedömning att det finns behov av att se över patientdatalagen (2008:355), förkortad PDL, och annan berörd lagstiftning i syfte att utreda hur ett effektivt utbyte av information mellan socialtjänsten och hälso- och sjukvården kan säkerställas. Mot den bakgrunden aviserade regeringen denna utredning genom att uttala följande.
Regeringen avser därför snarast att förordna en särskild utredare med uppdrag att med beaktande av integritetsaspekterna utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten.
Hälso- och sjukvård utförs i dag av en mångfald av vårdgivare, privata som offentliga, som var för sig och tillsammans samverkar för att ge god och säker vård. En ändamålsenlig informationshantering är en av förutsättningarna för att alla patienter ska garanteras en likvärdig tillgång till hälso- och sjukvård av god kvalitet.
13.2 Några utgångspunkter för utredningen
Utredningen har mot bakgrund av regeringens uppdrag bedrivit ett omfattande arbete med att identifiera förutsättningar och hinder för en mer ändamålsenlig och sammanhållen informationshantering.
1 Regeringens skrivelse 2011/12:34.
SOU 2014:23 En informationshantering med patienten i centrum
283
Under arbetets gång har det blivit tydligare och tydligare att behovet av informationsutbyte kring individen i dag är störst på det lokala planet, i hemkommunen och inom det egna landstinget. Den hälso- och sjukvård som utförs av landsting, kommuner och privata vårdgivare kräver ett tätt och fortlöpande samarbete i individuella vårdsituationer. En av grundförutsättningarna för att patienter ska känna trygghet med hälso- och sjukvården är därför att den vårdgivare patienten möter har tillgång till all aktuell och relevant information som behövs för att patienten ska få en god och säker vård. Ytterligare en förutsättning är att såväl hälso- och sjukvårdsinsatserna som informationshanteringen bygger på respekt för patientens självbestämmande och integritet.
Vi har i tidigare avsnitt redogjort för den omfattande strukturförändring som hälso- och sjukvården har genomgått de senaste åren, inte minst efter patientdatalagen trädde ikraft 1 juli 2008. En ökad specialisering, ett ökat antal vårdgivare och en ökad patientrörlighet är några av de grundläggande faktorer som har påverkan både på de faktiska behoven och på de legala möjligheterna att hantera och utbyta uppgifter om patienter.
Fler vårdgivare innebär även fler gränser mellan vårdgivare, vilket bland annat kan skapa rättsliga hinder eller begränsningar för hur information får hanteras och utbytas. Samtidigt behöver de verksamheter som bedriver hälso- och sjukvård ha tillgång till rätt information om patienterna, för att kunna ge bästa möjliga vård i varje situation.
Huvudmannen som har ansvar för hälso- och sjukvården i området och som finansierar verksamheterna, oavsett om de sedan drivs i offentlig eller i privat regi, behöver ha tillgång till rätt uppgifter för att kunna planera behovet av insatser, men även för att kvalitetssäkra verksamheten och dess olika processer - oavsett om individens resa har passerat offentliga och privata aktörer. Rätt information på rätt plats i rätt tid för är en nyckel för att informationshanteringen ska kunna bidra till ännu bättre resultat för patienterna. Det kräver även ett regelverk med individen och individens behov i centrum.
För den enskilde individen handlar det bland annat om att känna trygghet i att hälso- och sjukvårdens aktörer har tillgång till den information om den enskilde som behövs för att kunna ge en så god och säker vård som möjligt i de situationer som uppstår. Sannolikt förutsätter de flesta individer att den information om dem som behövs av samverkande vårdgivare i en vårdprocess finns tillgänglig
En informationshantering med patienten i centrum SOU 2014:23
284
på ett lika effektivt och säkert sätt som om processen hade hanterats av en och samma vårdgivare. För den enskilde handlar det även om att känna trygghet med de fria val som den enskilde har rätt att göra i hälso- och sjukvården, t.ex. att fritt välja vårdgivare och att välja att ta emot eller avstå från erbjudanden om vård. Därutöver finns ett övergripande intresse för alla medborgare att känna tillit till att den hälso- och sjukvård som erbjuds i det egna landstinget eller i den egna kommunen står sig väl i förhållande till vad som erbjuds i andra delar av landet, exempelvis med avseende på jämlikhet, kvalitet, säkerhet och tillgänglighet. En informationshantering med individen i centrum är därför en av de grundläggande förutsättningarna för att kunna leva upp till individens behov och förväntningar på hälso- och sjukvårdssystemet.
Utredningen vill genom några exempel beskriva på vilket sätt dagens mer organisationsinriktade lagstiftning riskerar att medföra negativa konsekvenser för patienten både i enskilda behandlingssituationer och i ett vidare perspektiv. Gemensamt för exemplen är att olika former av organisatoriska gränser i stor utsträckning påverkar möjligheterna att ge god och säker vård, arbeta preventivt och möta befolkningens behov, förbättra resultatet för patienterna m.m.
13.3 Utredningens reflektioner kring gällande rätt
Nedan redovisas fyra olika exempel som på olika sätt har bäring på frågan om hur en mer ändamålsenlig och sammanhållen informationshantering kan stimuleras. Exemplen rör såväl informationshanteringen i patienters individuella möten med hälso- och sjukvården som förutsättningarna att hantera information för att säkra kvaliteten i patienteras vård eller för att arbeta förebyggande och stödjande.
Syftet med exemplen är att tydliggöra några av de hinder och problem som dagens lagstiftning uppställer. För att möjliggöra en informationshantering som bidrar till bättre resultat för patienterna måste vi, enligt utredningens bedömning, hitta lösningar på dessa problem.
SOU 2014:23 En informationshantering med patienten i centrum
285
13.3.1 Exempel 1. Konsekvenser för informationsutbytet beroende på olika driftformer inom ett landstings ansvarsområde
Hantering av information mellan olika landstingsdrivna verksamheter
Akademiska sjukhuset i Uppsala och Svartbäckens vårdcentral finansieras och drivs i dag båda av Landstinget i Uppsala län. Det innebär bland annat att personuppgifter rörande patienter som finns i vårdcentralens och sjukhusets verksamhet är tillgängliga för åtkomst både för sjukhuspersonal och för vårdcentralspersonal. En anställd får ta del av de relevanta uppgifterna om denne deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården (exempelvis kvalitetssäkring). Beroende på hur landstinget valt att definiera sin verksamhet i vårdenheter och vårdprocesser kan en patient ha rätt att exempelvis spärra information som dokumenterats på sjukhuset för personal på vårdcentralen. Spärren kan dock hävas av personal på vårdcentralen om patienten samtycker till det. Om ett samtycke inte kan inhämtas kan spärren hävas av personal om informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver. En sådan spärr gäller dock inte i förhållande till vårdcentralspersonalen om denne behöver tillgång till uppgifterna för andra ändamål för sitt arbete inom hälso- och sjukvården, t.ex. kvalitetssäkring, statistikframställning, utvärdering m.m.
Hantering av information mellan verksamheter som bedrivs av olika vårdgivare inom landstinget
På Liljeforstorg i centrala Uppsala ligger en annan vårdcentral, som även den finansieras av landstinget men för tillfället drivs av den privata vårdgivaren Capio. Det innebär bland annat att personuppgifter rörande patienter som finns i denna vårdcentrals och Akademiska sjukhusets verksamhet som huvudregel inte får vara elektroniskt tillgängliga för åtkomst för både sjukhuspersonal och vårdcentralspersonal. För att uppgifterna ska få vara tillgängliga genom direktåtkomst krävs att reglerna om sammanhållen journalföring tillämpas, det vill säga att patienterna informerats om det och valt att inte motsätta sig en sådan direktåtkomst. För den som motsätter sig ska informationen genast spärras så att den inte kan
En informationshantering med patienten i centrum SOU 2014:23
286
vara tillgänglig för personal i de respektive verksamheterna. Om det sedan uppstår ett behov för sjukhuspersonalen att ta del av sådan information om individen som dokumenterats av vårdcentralen måste en begäran göras till vårdcentralen om att häva spärren och lämna ut informationen. En sådan begäran kan göras av patienten eller i en nödsituation, där patienten inte kan göra det, av sjukhuspersonalen. Spärren är alltså hård och kan inte hävas av personal på sjukhuset, utan ett formellt beslut måste fattas av befattningshavare på vårdcentralen. På kvällar och helger är vårdcentralen emellertid stängd, vilket innebär att uppgifter inte kan hävas i de situationer det behövs under dessa tidpunkter.
För patienter som inte har motsatt sig att sjukhuset och vårdcentralen får tillgång till varandras patientuppgifter är informationen dock tillgänglig. Det innebär dock inte att sjukhuspersonal kan ta del av informationen som dokumenterats på vårdcentralen på Liljeforstorg på samma sätt som de kan göra för information som dokumenterats på Svartbäckens vårdcentral. En förutsättning för att vid behov få ta del av uppgifterna från Liljeforstorg vårdcentral är att patienten samtyckt till det.
Oavsett om ett samtycke från patienten finns får sjukhuspersonal inte genom direktåtkomst ta del av patientuppgifter från Liljeforstorg vårdcentral för något annat syfte än vård och behandling. Uppgifter får därmed inte på detta sätt användas för kvalitetssäkring, statistikframställning eller annat. Varken Akademiska sjukhuset eller Liljeforstorg vårdcentral har således rätt att genom direktåtkomst hantera personuppgifter över vårdgivargränser för att exempelvis utvärdera och kvalitetssäkra de gemensamma vårdprocesser deras patienter befinner sig i.
Utbyte av information mellan verksamheter som drivs direkt av landstinget respektive landstingsägda bolag
I sammanhanget kan noteras att den beskrivna situationen ovan är densamma även om landstinget själv skulle driva vårdcentralen på Liljeforstorg genom ett landstingsägt bolag. Även om sekretess inte gäller mellan landstinget och ett av landstinget ägt bolag (sådana kommunala bolag som avses i 2 kap. 3 § offentlighets- och sekretesslagen [2009:400], förkortad OSL), är direktåtkomst mellan sådana verksamheter inte tillåten enligt 5 kap. 4 § PDL.
SOU 2014:23 En informationshantering med patienten i centrum
287
Konsekvenserna
Ovanstående situation visar endast på några skillnader som uppstår om en offentligfinansierad verksamhet inom ett och samma landsting drivs i offentlig eller i privat regi. Det är inte endast personalen som ska hålla reda på och känna till vilka verksamheter som drivs av vilka aktörer, utan även för invånarna gäller det att känna till i vilka situationer man har en möjlighet att motsätta sig, lämna samtycke etc. För patienter är detta inte alltid helt uppenbart, vare sig i den stund det handlar om att välja vårdgivare eller när patienten befinner sig i en pågående vårdprocess. De organisatoriska gränserna blir i praktiken även mer otydliga och svårare att upptäcka i takt med att vårdgivare i ännu större utsträckning än tidigare samverkar kring patienterna, t.ex. genom att vara lokaliserade i samma byggnad.
Motsvarande situation som den ovan beskrivna gör sig även gällande i den kommunala hälso- och sjukvården när olika aktörer är inblandade i den enskildes hälso- och sjukvård. Utmaningen är emellertid större än så eftersom det i många verksamheter, t.ex. särskilda boenden inom äldreomsorgen och i stora delar av hemsjukvården, utförs både sociala insatser och hälso- och sjukvårdsinsatser. Vilka dessutom kan utföras av olika vårdgivare respektive utförare. Problematiken kring informationshantering inom och mellan den kommunala hälso- och sjukvården och socialtjänsten uppmärksammas huvudsakligen i avsnitt 31.
Våra sammanfattande reflektioner
Ovanstående exempel ger anledning till reflektion över regelverkets utformning i relation till individens behov. Vi bedömer att det är på det lokala planet som individen har störst behov av att viktig information hålls samman och alltid finns tillgänglig när individen möter vården. Vi ifrågasätter om det för individens del finns något tillräckligt starkt skäl som motiverar att förutsättningarna för en mer sammanhållen informationshantering ska vara beroende av om den vårdgivare individen möter drivs i offentlig eller privat regi.
Det kan exempelvis ifrågasättas om det är rimligt att det råder sekretess mellan vårdcentralen på Liljeforstorg och Akademiska sjukhuset en km därifrån, när bevekelsegrunderna för organisationen av verksamhetens drift sannolikt handlat om något helt
En informationshantering med patienten i centrum SOU 2014:23
288
annat. För en utomstående betraktare synes det närmast som att sekretessgränserna uppstår slumpmässigt utan reell koppling till behov av öppenhet för att garantera alla patienter en jämlik vård av hög kvalitet.
I sammanhanget kan även noteras att det sannolikt inte råder sekretess (tystnadsplikt) mellan vårdcentralen på Liljeforstorg och S:t Görans sjukhus i Stockholm, eller för den delen Hälsocentralen Dragonen i Umeå. Detta eftersom S:t Göran, Dragonen i Umeå och vårdcentralen på Liljeforstorg för tillfället drivs av samma vårdgivare (Capio).
Exemplen ovan visar att det är hög tid att ställa frågan om hur ett framtida regelverk kan utformas för att stimulera en informationshantering som bidrar till bättre resultat för alla patienter, oavsett hur vården är organiserad.
13.3.2 Exempel 2. Möjligheterna till aktiv hälsostyrning i län med liten eller stor mångfald av aktörer
Aktiv hälsostyrning innebär, något förenklat, att man med tydligt fokus på prevention identifierar och proaktivt stödjer riskpopulationer. Det kan exempelvis handla om att man försöker identifiera mångbesökare inom vissa sjukdomsgrupper för att i nästa skede kunna erbjuda dem en särskild vårdcoach.
Statistik visar exempelvis att det finns en liten grupp patienter med ett stort vårdbehov. En procent av befolkningen inom Stockholms läns landsting beräknas stå för cirka 30 procent av sjukvårdskostnaderna. Dessa personer har i snitt 8 olika diagnoser, 65 vårdkontakter på ett år, en inläggning var tredje månad, mycket låg självskattad livskvalitet samt stora behov av stöd, vårdkoordinering och coachning.2Nationella och internationella erfarenheter visar att ett preventivt arbetssätt med en aktiv hälsostyrning kan förbättra och effektivisera vården för dessa patientgrupper.
För att identifiera dessa individer som är i behov av och kan erbjudas särskilt stöd behöver stora mängder grunddata hanteras maskinellt. En vårdgivare har möjlighet att göra den typen av personuppgiftsbehandling inom sin egen verksamhet. Mellan vårdgivare finns däremot hinder för det, såväl i offentlighets- och sekretesslagstiftningen som i patientdatalagen. Förutom att sekre-
2 Jfr Stockholms läns landsting Rapport Aktiv hälsostyrning - vårdcoacher 2012.
SOU 2014:23 En informationshantering med patienten i centrum
289
tess och tystnadsplikt gäller mellan olika vårdgivare är denna typ av personuppgiftsbehandling genom direktåtkomst inget tillåtet ändamål enligt patientdatalagen. Någon möjlighet att inhämta individernas samtycke och sedan lämna ut uppgifter för samkörning finns inte heller, eftersom man måste hantera samtliga personuppgifter rörande samtliga individer för att över huvud taget identifiera de relevanta personerna.
En slutsats är således att ett landsting med få privata aktörer har väldigt goda förutsättningar att identifiera de länsinvånare som kan erbjudas ett särskilt stöd. Finns däremot många privata aktörer i den offentligfinansierade sjukvården inom ett landsting blir förutsättningarna väsentligt försämrade. För medborgarnas del handlar det om att möjligheterna att på detta sätt få stöd i att hantera sin hälsa bl.a. är beroende av vem som utför den offentligt finansierade hälso- och sjukvården i länet. I längre perspektiv påverkar detta naturligtvis utsikterna för en mer jämlik vård.
Aktiv hälsostyrning är endast ett av många exempel på hur regelverket påverkar huvudmannens, dvs. landstingets eller kommunens, möjligheter att vidta ändamålsenliga åtgärder för att möta länsinvånarnas behov. För den huvudman som ansvarar för befolkningens hälsa handlar det i dag mycket om att i större utsträckning än tidigare arbeta preventivt för att identifiera riskfaktorer, sätta in resurser där behoven är som störst och på olika sätt tillhandahålla effektiva verktyg för invånare att hålla sig friska.
Våra sammanfattande reflektioner
Ovanstående exempel visar på skillnader mellan olika huvudmäns möjligheter att arbeta med prevention och i övrigt vidta åtgärder för att möta invånarnas behov av hälsa och sjukvård. Som huvudmän har kommuner och landsting ett lagstadgat ansvar för den hälso- och sjukvård som med offentliga medel erbjuds och kommer invånarna till del. Det ansvaret kan inte överlåtas utan ligger alltid kvar på landstinget eller kommunen oavsett om en privat vårdgivare står för själva driften av verksamheten.
För att huvudmännen ska kunna sköta detta ansvar måste det finnas förutsättningar att hantera de uppgifter som behövs för att vidta effektiva och ändamålsenliga åtgärder. Det är enligt utredningens bedömning inte rimligt att de organisatoriska gränser som finns mellan huvudmannen som ytterst ansvarig och utförarna
En informationshantering med patienten i centrum SOU 2014:23
290
som ska förverkliga huvudmannens intentioner medför sådana konsekvenser som redovisas i exemplet. Det reser inte minst farhågor vad gäller jämlik vård. Sett över tiden, vad händer med en jämlik hälso- och sjukvård när skillnaderna avseende hur länen är organiserade medför konsekvenser för invånarnas hälsa?
Exemplet ovan visar återigen att det är hög tid att ställa frågan om hur ett framtida regelverk kan utformas för att stimulera en informationshantering som bidrar till bättre resultat för alla patienter, oavsett hur hälso- och sjukvården är organiserad. Vår utgångspunkt är att regelverket ska utgöra en garant för att alla som omfattas av ett offentligfinansierat system ges samma möjligheter.
13.3.3 Exempel 3. Möjligheterna att kvalitetssäkra vårdprocesser över vårdgivargränser
Dagens regelverk medför liknande konsekvenser som ovan avseende möjligheterna att skapa bättre resultat för patienter i vårdprocesser över vårdgivargränser genom användning av nationella kvalitetsregister.
I ett landsting som t.ex. Norrbotten, kan en patients behandlingsresa börja på vårdcentralen i Kiruna för att fortsätta på länsdelssjukhuset i Gällivare och för att sedan avslutas på länssjukhuset i Sunderbyn. I ett sådant landsting finns möjligheter att i ett kvalitetsregister följa och kvalitetssäkra patientens väg genom vårdsystemet. Detta eftersom såväl vårdcentralen som de två sjukhusen drivs av landstinget, dvs. av en och samma vårdgivare. I kvalitetsregistret kan därmed landstinget, med stöd av bestämmelserna i 7 kap. 9 § PDL, ha direktåtkomst till de uppgifter som lämnats till registret från vårdgivarens verksamheter. På det sättet kan landstinget ta ansvar och kvalitetssäkra hela patientens vårdprocess från det att den startade på vårdcentralen på hemorten och sedan fortsatte till två av sjukhusen i länet.
För ett landsting där vårdcentralen eller något av sjukhusen drivs i privat regi med offentlig finansiering saknas dock möjligheter till motsvarande kvalitetssäkring. Förutom att det råder sekretess mellan olika vårdgivare medger inte patientdatalagen direktåtkomst över vårdgivargränser för kvalitetssäkringsändamål. Det tas heller ingen hänsyn till om det är en och samma huvudman som finansierar samtliga verksamheter.
SOU 2014:23 En informationshantering med patienten i centrum
291
Offentlighets- och sekretesslagstiftningen reser tillsammans med patientdatalagen hinder för det finansierande landstinget att hantera patientuppgifter över vårdgivargränser för att säkra och utveckla kvaliteten i vården av de patienter som mött de vårdgivare som landstinget har huvudmannaansvar för. Ingen av de inblandade sjukhusen eller vårdcentralen kan därmed ta ett ansvar och kvalitetssäkra patientens process. Motsvarande problem gör sig även starkt gällande i exempelvis rikssjukvården, cancersjukvården och i äldreomsorgen.
Våra sammanfattande reflektioner
Exemplet visar återigen på att regelverket medför negativa och omotiverade konsekvenser för dagens och morgondagens patienter. Ur ett grundläggande perspektiv kan det självklart ifrågasättas om det över huvud taget ska vara tillåtet med samverkan och vårdprocesser över vårdgivargränser, om det inte samtidigt finns goda legala förutsättningar för att säkra och utveckla kvaliteten i den vård patienterna ges. I realiteten är det förstås en omöjlighet, inte minst eftersom tät samverkan mellan vårdgivare många gånger är en förutsättning för att patienter ska kunna få den vård som är nödvändig till hög kvalitet. Inte minst centrala delar som rikssjukvården, cancersjukvården, primärvården och äldreomsorgen m.m. vilar på en förutsättning att huvudmän och vårdgivare samarbetar.
Vår utgångspunkt är att det avgörande inte bör var i vilken organisation informationen har dokumenterats utan i vilken situation den behövs. I detta fall bör därför övervägas om inte alla vårdgivare som är inblandade i vården av en patient har behov av att ta del av den information som genererats under vårdprocessen för att kunna säkra och utveckla sin egen och den totala insatsen.
13.3.4 Exempel 4. Hantering av vårddokumentation i samband med byte av utförare
Varje vårdgivare eller myndigheter inom en vårdgivare är personuppgiftsansvarig för de patientuppgifter som behandlas i verksamheten. Vårdgivaren ansvarar för att journaler upprättas och hanteras på ett ändamålsenligt och säkert sätt i verksamheten. I det ansvaret ligger också ett ansvar för gallring och arkivering. Det innebär att
En informationshantering med patienten i centrum SOU 2014:23
292
varje vårdgivare måste föra sina egna journaler. En privat entreprenör får därför inte föra journal i ett landstings eller en kommuns journaler.
I samband med att patientdatalagen trädde ikraft gjordes vissa lättnader i sekretessbestämmelserna. De innebär att sekretess inte hindrar att patientuppgifter lämnas mellan olika hälso- och sjukvårdsmyndigheter inom ett landsting eller mellan sådana myndigheter inom en kommun. Dessa lättnader omfattar alltså inte privata utförare i landstinget eller kommunen. Reglerna innebär förenklat att det i praktiken krävs ett samtycke från patienten för ett utlämnande över vårdgivargränserna som omfattar alla vårdgivare inom ett sådant område. Däremot är det möjligt att utbyta patientuppgifter mellan alla vårdgivare oavsett organisationsform och geografiskt område under förutsättning att reglerna om sammanhållen journalföring följs.
Konsekvensen av vårdgivarens ansvar för journalerna och reglerna om sekretess och tystnadsplikt är att det kan bli svårt att upprätthålla kontinuiteten i vården och i informationshanteringen i samband med att privata utförare tillkommer eller avvecklas. För patienterna finns det en uppenbar risk för att aktuell och viktig information inte längre finns tillgänglig där den behövs och när det behövs. Det kan exempelvis handla om att läkemedelsordinationer och andra viktiga uppgifter som i ena stunden finns tillgängliga i system för sammanhållen journalföring nästa stund inte längre finns där p.g.a. en verksamhetsövergång.
Med fler och fler aktörer blir det allt viktigare att säkerställa ett effektivt utbyte av information över organisationsgränserna. Det gäller inte bara under tiden de olika aktörerna erbjuder hälso- och sjukvård utan också när en ny verksamhet startas och i samband med att verksamheten ska övergå till en annan aktör.
När en privat vårdgivare (vårdgivare nr 1) som bedrivit t.ex. en vårdcentral enligt avtal med ett landsting förlorar sitt kontrakt i samband med en ny upphandling, ska vårdgivare nr 1 fortsätta att förvara och bevara journalerna i enlighet med de regler som gäller enligt patientdatalagen. Om verksamheten inte klarar av det kan företrädaren för verksamheten ansöka hos Inspektionen för vård och omsorg om att journalarkivet ska tas om hand. Inspektionen kan då besluta om att journalarkivet ska förvaras hos en arkivmyndighet.
Vårdgivare nr 2 som vunnit upphandlingen och som ska fortsätta att erbjuda vård till de patienter som söker vård på vård-
SOU 2014:23 En informationshantering med patienten i centrum
293
centralen behöver förstås patienternas journaler för att kunna upprätthålla säkerheten och kontinuiteten i vården. Reglerna om tystnadsplikt innebär dock att det i praktiken inte är tillåtet att överföra uppgifterna från vårdgivare nr 1 till vårdgivare nr 2 utan varje patients samtycke.
Problemet som uppstår när patientuppgifter ska utlämnas över en sekretessgräns uppkommer också i samband med att ett landsting eller en kommun ska överföra en tidigare offentligt driven verksamhet till en upphandlad privat aktör. Och följaktligen också i samband med att en tidigare privat driven verksamhet ska återgå till en offentlig vårdgivare.
En patient som går till samma vårdcentral och kanske till och med träffar samma yrkesutövare har nog svårt att förstå varför ett samtycke efterfrågas. Om överföringen av journaler (alternativt journalkopior) ska göras på ett korrekt sätt kan det dessutom över tid bli nödvändigt att efterfråga patientens samtycke flera gånger för samma verksamhet.
Det finns i landstingen och kommunerna flera exempel på problem vid tillämpningen av dessa regler. Det förekommer att huvudmannen i avtalet reglerar att den privata utföraren ska föra journal i huvudmannens journaler. Det förekommer också att den vårdgivare som förlorat upphandlingen av konkurrensskäl vägrar att samarbeta om överföring av information.
Socialstyrelsen har i handboken till SOSFS 2008:14 beskrivit ett praktiskt sätt att lösa frågan om överföring av t.ex. journalkopior från en vårdgivare som utfört hälso- och sjukvård på entreprenad till den vårdgivare som ska ta över ansvaret för patienterna:
Informera patienterna om att vården övergår till en ny vårdgivare och att man avser att föra över journalkopior till den nya vårdgivaren och samtidigt erbjuda en möjlighet för patienterna att motsätta sig detta. När sedan den nya vårdgivaren avser att använda sig av journaluppgifter från den förra vårdgivaren kan ett aktivt samtycke inhämtas.
Denna lösning motsvarar den som gäller vid sammanhållen journalföring och innebär ett gott integritetsskydd.
Denna lösning är pragmatisk, men inte helt tillfredsställande. Dels för att den kan strida mot en helt korrekt tillämpning av reglerna om tystnadsplikt i enskilda verksamheter, dels för att även denna lösning medför praktiska svårigheter. Eftersom rätt information vid rätt tillfälle är grundläggande för en god och säker vård vore det önskvärt med ett säkrare sätt att trygga informationsöverföringen i samband med verksamhetsövergångar.
En informationshantering med patienten i centrum SOU 2014:23
294
13.4 Våra överväganden och förslag
13.4.1 Inledning
De exempel som redovisas i det föregående sätter ljuset på några av de hinder för en ändamålsenlig informationshantering som dagens regelverk ger upphov till. Det finns framför allt ett behov av att se över hur regelverket kan utformas så att informationshanteringen i den patientinriktade verksamheten i första hand kan utgå ifrån individens behov i stället från hur hälso- och sjukvården är organiserad.
Vidare framkommer det tydligt att förutsättningarna för huvudmännen att på olika sätt möta läns- och kommuninvånarnas behov, arbeta preventivt och låta kvalitet slå igenom som det centrala styrmedlet skiljer sig väsentligt åt beroende på hur stor mångfalden av utförare är i det offentligfinansierade systemet. Även detta ger anledning att överväga förändringar i lagstiftningen som suddar ut de organisatoriska gränserna och gör det möjligt för kommuner och landsting att ta ansvar för all hälso- och sjukvård som är offentligt finansierad.
13.4.2 Förbättrade möjligheter till direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde
Vårt förslag: En vårdgivare ska genom direktåtkomst kunna
lämna ut uppgifter som dokumenterats för ändamålet vårddokumentation till en annan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. Sådan direktåtkomst är enbart tillåten mellan den hälso- och sjukvårdsverksamhet som vårdgivarna bedriver inom samma huvudmans ansvarsområde.
För att en vårdgivare ska få ta del av uppgifter som gjorts tillgängliga genom direktåtkomst ska uppgifterna röra en patient som vårdgivaren har eller har haft en patientrelation med och uppgifterna ska behövas för något av de i lagen tillåtna ändamålen för personuppgiftsbehandling. Bestämmelser om detta ska tas in i hälso- och sjukvårdsdatalagen.
I offentlighets- och sekretesslagen ska införas en sekretessbrytande bestämmelse som möjliggör denna direktåtkomst.
SOU 2014:23 En informationshantering med patienten i centrum
295
I offentlighets- och sekretesslagen ska även införas en bestämmelse om absolut sekretess för uppgifter som är potentiellt tillgängliga för en vårdgivare.
Vår bedömning: Genom förslaget blir förutsättningarna för
informationshantering i den individinriktade patientverksamheten i praktiken lika för alla vårdgivare inom en huvudmans ansvarsområde, oavsett om vårdgivarens verksamhet drivs i privat eller i offentlig regi. Förslaget syftar till att öka patientsäkerheten och kvaliteten i vården samt att bidra till en jämlik vård över hela landet. Förslaget ska läsas i ljuset av de integritetsskyddande bestämmelser som i övrigt föreslås, bland annat i form av patienternas möjligheter att begränsa åtkomsten mellan vårdgivare samt krav på risk- och sårbarhetsanalys och överenskommelse om hur skyddet för personuppgifterna ska tillgodoses av vårdgivare som utbyter uppgifter genom direktåtkomst.
Inledning
Det är tydligt att utvecklingen i hälso- och sjukvården har gått från en tid där landsting och kommuner såväl ansvarade för som själva utförde i princip all hälso- och sjukvård, till en tid när landsting och kommuner allt mer blivit beställare inom sitt ansvarsområde. Politiska initiativ har på olika sätt stimulerat en ökning av privata utförare, som beställaren använder sig av för att utföra offentligfinansierad verksamhet. Detta har lett till att mångfalden av aktörer i vård- och omsorgssektorn blivit tusentals fler under de senaste tio åren. Variationerna i landet är fortfarande stora, men utvecklingen går av allt att döma mot fler aktörer, större mångfald och större möjligheter för individen att välja vårdgivare. Fortfarande är det emellertid landsting och kommuner som finansierar verksamheten och som på en övergripande nivå har ansvaret för att de offentligt och privat drivna verksamheterna bedrivs med hög kvalitet och sammantaget kan svara mot invånarnas behov av hälso- och sjukvård.
Samtidigt är det lika tydligt att dagens regelverk utgår ifrån ett organisatoriskt synsätt som inte är anpassat till den rådande utvecklingen. Varje gång ett landsting eller en kommun erbjuder en privat aktör att bedriva hälso- och sjukvård med offentlig finansiering uppkommer en sekretessgräns i förhållande till den privata
En informationshantering med patienten i centrum SOU 2014:23
296
verksamheten. En gräns som inte finns om huvudmannen fortsätter att själv bedriva verksamheten. En gräns som försvinner igen om huvudmannen i ett senare skede återtar driften av verksamheten. En privatisering medför även att olika regler för informationshantering ska tillämpas i förhållande till den privata verksamheten och den verksamhet som huvudmannen själv utför. Det finns ett antal negativa konsekvenser av detta, både för möjligheterna att ge god och säker vård i enskilda fall och för att utveckla och säkra kvaliteten i vården.
Under utredningens arbete har det i olika sammanhang påtalats att det blivit svårare och svårare att hålla ihop informationshanteringen på ett lokalt och regionalt plan, såväl i den individinriktade verksamheten som kring olika länsövergripande kvalitets- och förbättringssträvanden. Inte sällan framförs att dagens regelverk för informationshantering inte ligger i linje med de politiska initiativen kring ökad mångfald, större valfrihet för invånarna och tydligare fokus på folkhälsa och prevention. Kommuner och landsting med få privata vårdgivare i sitt offentligfinansierade system har i dag bättre rättsliga förutsättningar att skapa en ändamålsenlig informationshantering än vad landsting och kommuner med en större mångfald av aktörer har.
Enligt utredningens bedömning medför de gränser som lagstiftningen ställer upp mellan vårdgivare negativa konsekvenser med potentiella risker för patienter, vilket på sikt även kan påverka förutsättningarna för jämlik vård. För patienter blir situationen i det närmaste slumpartad, eftersom de legala möjligheterna för informationshanteringen är beroende av patientens bostadsort och landstingstillhörighet. Det visar enligt vår bedömning på ett grundläggande behov av en lagstiftning som gör det möjligt för alla vårdgivare som bedriver verksamhet som finansieras av samma landsting eller kommun att hantera och utbyta information på lika villkor.
Även för patienter kan den rådande situationen vara svår att överblicka. Vid utredningens kontakter med patientorganisationer har exempelvis framkommit att man inte alltid har kännedom om vårdgivaren drivs av landstinget eller någon privat aktör. Än mindre synes patienter veta att tillgången till rätt information i en konkret vårdsituation bl.a. är beroende av vem som driver den offentligfinansierade verksamheten. Sammantaget kan det således bli svårt för patienten att överblicka att hennes val av vårdgivare kan få olika konsekvenser avseende tillgången på vårddokumentation. En annan
SOU 2014:23 En informationshantering med patienten i centrum
297
fråga är naturligtvis om detta är något som patienter i allmänhet ska behöva ta i övervägande, eller om patienter generellt ska kunna förutsätta att de offentligfinansierade verksamheterna har samma legala möjligheter att hantera uppgifter på ett sätt som bidrar till god och säker vård.
Vi bedömer att patienter har ett grundläggande intresse av att den vårdgivare patienten möter har tillgång till all aktuell och relevant information som behövs för att ge god och säker vård. Oavsett om patienten har varit aktiv och gjort ett informerat val av vårdgivare eller om patienten gjort ett mer passivt val har alla patienter, enligt vår bedömning, rätt att förutsätta att rätt information finns på rätt plats i rätt tid oavsett vilken offentligfinansierad vårdgivare patienten möter och hur samarbetet med andra vårdgivare ser ut.
Reflektioner kring gällande rätt och bakgrunden till regelverket
Den ökade förekomsten av privat drivna verksamheter inom ett landsting eller en kommun innebär att sekretessgränser har kommit att uppstå mellan verksamheter som tidigare inte haft gränser mellan sig. Offentlighets- och sekretesslagstiftningen medför exempelvis att sekretess råder mellan det landstingsdrivna sjukhuset och en vårdcentral som landstinget finansierar, men som drivs av en privat aktör. Dessutom innebär regleringen i patientdatalagen att informationsutbytet i förhållande till en privat vårdgivare måste ske enligt ett delvis annat regelverk än vad som gäller i förhållande till verksamheter som landstinget själv driver.
Enligt patientdatalagen får inte en vårdgivare lämna ut personuppgifter genom direktåtkomst i annan utsträckning än vad som följer av lag eller förordning. Ett tillåtet sätt att utbyta patientuppgifter är att göra det med hjälp av reglerna om sammanhållen journalföring. Dessa regler gör det möjligt för olika former av vårdgivare i hela landet att under vissa förutsättningar utbyta uppgifter.
En annan tillåten form av direktåtkomst är den som i dag reglerar utbytet av patientuppgifter inom ett landsting eller en kommun. Med stöd av dessa bestämmelser och bestämmelserna om lättnad i sekretessen kan landstinget eller kommunen utbyta patientuppgifter mellan olika myndigheter i samma landsting eller i samma kommun. Denna direktåtkomst är en förutsättning för att anställda vid andra myndigheter inom t.ex. ett landsting i praktiken
En informationshantering med patienten i centrum SOU 2014:23
298
ska kunna beredas tillgång till uppgifterna genom sådan intern elektronisk åtkomst som regleras i patientdatalagen.3
Regeringen anförde i förarbetena att denna direktåtkomst var nödvändig för att patientdatalagen inte skulle ställa upp nya hinder för informationsutbyte inom sådana landsting som valt att dela upp hälso- och sjukvårdsverksamheten mellan olika nämnder. Regeringen problematiserade detta ytterligare och anförde att det skulle innebära tillämpningsproblem om uppgiftsutbytet mellan olika myndigheter bara kunde ske med stöd av bestämmelserna om sammanhållen journalföring. Det skulle t.ex. innebära problem när ett landsting, som satsat på att införa ett elektroniskt journalsystem under en nämnd, av organisatoriska eller politiska skäl senare väljer att dela upp verksamheten i flera nämnder. Regeringen framför en farhåga att sådana villkor för informationshanteringen skulle låsa fast nämndstrukturen i landsting och kommuner på ett olyckligt sätt. Förslaget om direktåtkomst mellan myndigheter inom ett landsting eller inom en kommun motiverades därför med att det inte ska vara någon väsentlig skillnad i patientdatahanteringen om ett landsting eller en kommun väljer att bedriva hälso- och sjukvård genom en eller flera myndigheter.4
I praktiken har vi egentligen i dag hamnat precis i den situation som regeringen ville undvika. Skillnaden är att landsting och kommuner inte har delat upp hälso- och sjukvårdsverksamheten i olika nämnder, som regeringen tog höjd för, utan i stället fördelat driften av den offentligfinansierade verksamheten på ett stort antal privata och offentliga vårdgivare. Det samarbete som antogs behöva ske mellan nämnder har nu i stället kommit att behöva ske mellan ett stort antal privata och offentliga vårdgivare inom samma landsting eller samma kommun. Mellan dessa uppställs dock legala gränser som påverkar förutsättningarna för samverkan och informationsutbyte.
Även om regeringen ville möjliggöra ett ändamålsenligt informationsutbyte mellan olika nämnder i samma landsting eller samma kommun medger dagens regler emellertid inte direktåtkomst mellan de myndighetsdrivna verksamheterna som drivs i förvaltningsform och de som drivs i bolagsform.5Denna direktåtkomst är således endast tillåten mellan myndigheter. Det är med dagens regler exempelvis inte tillåtet med direktåtkomst mellan
3Prop. 2007/08:126 s. 76. 4 Prop. 2007/08 :126 s. 171 ff. 5Prop. 2007/08:126 s. 172.
SOU 2014:23 En informationshantering med patienten i centrum
299
Karolinska Universitetssjukhuset och Danderyds sjukhus annat än med stöd av reglerna om sammanhållen journalföring. Anledningen är att Danderyds sjukhus drivs i bolagsform av Stockholms läns landsting medan Karolinska Universitetssjukhuset drivs direkt av landstinget. Däremot är sådan direktåtkomst tillåten mellan Karolinska Universitetssjukhuset och andra verksamheter som drivs av landstinget, exempelvis alla vårdcentralet m.m. som drivs av landstinget. Motsvarande exempel finns även i många andra landsting.
Det kan konstateras att driftsformerna i kommunerna och landstingen har fortsatt att utvecklas. Det är inte bara nämndorganisationen som kan variera mellan olika kommuner och landsting utan också i vilken omfattning privata utförare anlitas. Totalt sett har antalet privata utförare ökat mycket de senaste åren. Det innebär att patienten ofta träffar flera olika vårdgivare när hon eller han genomgår en behandling för en sjukdom eller skada. Det kan också uttryckas som att det är flera olika vårdgivare med flera olika driftsformer som deltar i samma vårdprocess. För patienten framstår det ofta som om vården ges av samma vårdgivare, t.ex. kan de olika vårdgivarna till och med finnas i samma byggnad. Det finns därför skäl att underlätta informationsutbytet mellan de vårdgivare som är verksamma i samma landsting eller samma kommun. Det är en grundläggande förutsättning för en informationshantering som bidrar till bättre resultat för alla patienter, oavsett var patienterna bor och hur hälso- och sjukvården i det länet eller den kommunen är organiserad.
Förbättrade möjligheter till direkåtkomst för vårdgivare inom samma huvudmans ansvarsområde
Utredningen anser att inom det område som patienten oftast söker vård – inom det egna landstinget eller inom den egna kommunen – ska informationen kunna följa patienten på ett enkelt och säkert sätt samt på ett sätt som är till nytta för patienten.
Vi anser vidare att reglerna i patientdatalagen inte ska styra vilka etableringsformer som är mest ändamålsenliga i en kommun eller i ett landsting. Det ska vara möjligt att organisera vården på olika sätt och ändå ha tillgång till rätt information i den individinriktade patientvården. Samma skäl som låg bakom slopandet av sekretessen mellan myndigheter inom ett och samma landsting samt tillåtandet
En informationshantering med patienten i centrum SOU 2014:23
300
av direktåtkomst mellan dessa kan i dag åberopas i relation till de privata vårdgivarna.
Mot bakgrund av vad som redovisats i det föregående föreslår utredningen, något förenklat, att den nu gällande möjligheten till direktåtkomst mellan olika myndigheter hos en huvudman i praktiken utvidgas till att omfatta all offentligfinansierad hälso- och sjukvård som landstinget eller kommunen ansvarar för.
Utredningen föreslår att en vårdgivare får möjlighet att genom direktåtkomst lämna ut uppgifter som dokumenterats för ändamålet vårddokumentation till en annan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. Det gör det exempelvis möjligt för de vårdgivare som är verksamma i byggnaderna som utgör Danderyds sjukhus i Stockholm att ha direktåtkomst till varandras vårddokumentation när det behövs för vården av patienten eller när det behövs för att kvalitetssäkra verksamheten och patienternas processer. Förslaget gör det möjligt för exempelvis Capio Simrishamns sjukhus att utbyta patientuppgifter med Skånes universitetssjukhus på i praktiken motsvarande sätt som är möjligt för det regiondrivna Helsingborgs lasarett att göra. För patienter på Aleris Specialistvård vid Bollnäs sjukhus kan information följa med i kontakterna med de landstingsdrivna verksamheterna på i stort samma sätt som om verksamheterna vore integrerade. I den kommunala hälso- och sjukvården kommer exempelvis två vårdgivare som står för hälso- och sjukvårdsinsatserna på samma särskilda boende men vid olika tidpunkter på dygnet att få ännu bättre förutsättningar att hantera information om de boende. Det finns naturligtvis hur många exempel som helst, men här är endast platsen att lämna några för att beskriva vad som blir möjligt.
Detta förslag innebär att de organisatoriska gränserna mellan vårdgivare till viss del suddas ut genom att åtkomst till uppgifter om en patient får användas på i princip samma villkor inom en vårdgivares verksamhet som mellan de vårdgivare som finansieras av samma huvudman. Det avgörande blir inte längre var eller i vilken organisation uppgifterna är dokumenterade, utan i vilken situation uppgifterna behövs. Reglerna om informationshantering kan därmed bidra till jämlik vård oberoende av hur olika huvudmän har valt att organisera hälso- och sjukvården inom sitt ansvarsområde. Lagstiftningen kommer därmed inte att göra att patienter som väljer en viss vårdgivare riskerar att få en vård med sämre säkerhet eller lägre kvalitet på grund av att uppgifter som doku-
SOU 2014:23 En informationshantering med patienten i centrum
301
menterats hos en annan vårdgivare i samma landsting eller kommun inte är åtkomlig för behörig personal när det behövs.
Den möjlighet till direktåtkomst som föreslås gäller emellertid endast för den hälso- och sjukvårdsverksamhet som vårdgivarna bedriver inom samma huvudmans ansvarsområde. Det innebär exempelvis att det endast är den hälso- och sjukvårdsverksamhet som t.ex. Capio bedriver med finansiering från Stockholms läns landsting som får utbyta uppgifter genom direktåtkomst med andra offentliga eller privata vårdgivare som också driver verksamhet som finansieras av det landstinget. Genom denna begränsning anpassas möjligheterna till direktåtkomst till de verksamheter som landstinget har huvudmannaansvaret för. Det handlar alltså om informationsutbytet inom landstinget eller inom kommunen.
Vidare anser vi att det med hänsyn till behovet av skydd för den personliga integriteten inte får vara fråga om en okontrollerad spridning av uppgifter inom en huvudmans ansvarsområde. Det ska vara tillåtet att ta del av uppgifter när behov föreligger, men naturligtvis inte annars. I linje med de grundläggande kraven på hälso- och sjukvården att verksamheten ska bygga på respekt för patientens självbestämmande och integritet är det ytterst patienten som bestämmer vilken eller vilka vårdgivare som i enskilda situationer får ta del av patientens uppgifter. Att uppgifter får lämnas ut genom direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde innebär således ingen ökad rätt för vårdgivarna att faktiskt ta del av uppgifterna. Direktåtkomsten innebär i sig endast att uppgifterna får vara tekniskt åtkomliga så att de är möjliga att ta del av när det i enskilda situationer behövs.
För att en vårdgivare ska få använda denna möjlighet till direktåtkomst, dvs. ta del av uppgifter som gjorts tillgängliga av andra vårdgivare, ska uppgifterna röra en patient som vårdgivaren har eller har haft en patientrelation med. Det är således patienten som genom sitt val av vårdgivare och samtycke till vård avgör vilken vårdgivare som får ta del av uppgifter. Uppgifterna ska naturligtvis även behövas för något av de i lagen tillåtna ändamålen för personuppgiftsbehandling. Det innebär att direktåtkomsten bara får användas för att ta del av uppgifter avseende enskilda som är eller har varit patienter i verksamheten och under förutsättning att uppgifterna behövs för t.ex. vård och behandling eller kvalitetssäkring. Precis som i dag är det med detta förslag otillåtet för en vårdgivare att ta del av uppgifter om patienter som inte omfattas av vårdgivarens verksamhet.
En informationshantering med patienten i centrum SOU 2014:23
302
Utredningens förslag innebär visserligen en viss inskränkning i patientens integritetsskydd jämfört med vad som gäller i dag om dessa vårdgivare i stället tillämpar reglerna om sammanhållen journalföring. En skillnad är att uppgifter rörande en patient som motsätter sig medverkan i sammanhållen journalföring, dvs. lägger en spärr, inte ens är tekniskt åtkomliga för andra vårdgivare. Det är helt enkelt inte möjligt att ta del av uppgifterna eller att forcera spärren ens i nödsituationer. En spärr, enligt vårt förslag, mellan vårdgivare inom en huvudmans ansvarsområde innebär visserligen att den elektroniska åtkomsten begränsas, men uppgifterna kan vara tekniska åtkomliga och möjliga att ta del av exempelvis med patientens samtycke eller i en nödsituation. Se mer om patientens spärrmöjligheter i det följande.
Vidare innebär vårt förslag att vårdgivare, i jämförelse med vad som gäller vid sammanhållen journalföring, får möjlighet att behandla personuppgifter för fler ändamål, t.ex. kvalitetssäkring och verksamhetsuppföljning. Samtidigt gäller detta dock bara de patienter som ingår i vårdgivarens verksamhet, dvs. de patienter som vårdgivaren har eller har haft en patientrelation med. Förslaget innebär således inte att gränserna mellan vårdgivare helt slopas, utan att gränserna öppnas endast när det är påkallat med hänsyn till patientens väg genom hälso- och sjukvården.
Vårt förslag ska även ses i ljuset av de övriga förslag, bland annat om integritetsskyddande åtgärder, som utredningen lämnar. Det handlar bland annat om patienternas möjlighet att begränsa den elektroniska åtkomsten och direktåtkomsten (dvs. spärra) inom och mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. Vi redogör även i avsnitt 10 för ett förslag som innebär uttryckliga krav på vårdgivare som utbyter uppgifter genom direktåtkomst att göra en risk- och sårbarhetsanalys och komma överens med varandra om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Bestämmelsen är tillämplig på den direktåtkomst som här föreslås och innebär att vårdgivare måste vidta åtgärder för att säkerställa att de övriga inblandade vårdgivarna har förutsättningar att leva upp till de integritetsskyddskrav som gäller vid behandling av så känsliga personuppgifter som det är fråga om i hälso- och sjukvården. Vi har i tidigare avsnitt även redogjort för vårt förslag om att tydliggöra vårdgivarens ansvar för informationshanteringen, bland annat genom att ställa krav på vårdgivaren att se till att informationssystemen utformas på ett sätt som tillgodoser patienternas behov
SOU 2014:23 En informationshantering med patienten i centrum
303
av integritetsskydd. För att stärka och vid behov kunna åstadkomma en mer effektiv tillsyn föreslår vi längre fram i detta betänkande även att Datainspektionen ska få möjligheter att förena beslut om förelägganden eller förbud med vite. Vidare redogörs nedan för utredningens förslag om absolut sekretess för uppgifter som är tillgängliga genom direktåtkomst mellan vårdgivare.
Utredningens förslag innebär inte att fler vårdgivare får utbyta uppgifter genom direktåtkomst än vad som är fallet i dag. Förslaget innebär i själva verket att de vårdgivare, inom ett landsting eller en kommun, som i dag utbyter uppgifter genom direktåtkomst enligt reglerna om sammanhållen journalföring nu kan göra det enligt utredningens förslag i stället.
Vidare har vårt förslag i dagsläget något olika relevans för olika kommuner och landsting, beroende på hur de organisatoriska förutsättningarna ser ut i de enskilda fallen. De kommuner och landsting som själva utför det mesta av hälso- och sjukvården har, som vi har redovisat, redan genom den befintliga lagstiftningen motsvarande möjligheter för personuppgiftsbehandlingen som vårt förslag syftar till att möjliggöra för alla kommuner och landsting. I landsting med få privata vårdgivare kan således sjukhusen, vårdcentralerna, specialistmottagningarna m.m. redan i dag utbyta uppgifter utan att tillämpa regelverket om sammanhållen journalföring.
Därutöver finns också skäl att förtydliga att vårt förslag inte innebär någon möjlighet till direktåtkomst i förhållande till verksamheter som inte bedriver hälso- och sjukvård som huvudmannen ansvarar för. Det utvidgade området för direktåtkomst motsvarar således endast de verksamheter som landstinget eller kommunen i egenskap av huvudman har ansvar för. Vårt förslag ger därmed inte en kommun eller ett landsting en större möjlighet att utbyta uppgifter än vad som redan i dag gäller om landstinget och kommunen av någon anledning skulle välja att utföra all hälso- och sjukvård helt i egen regi.
Sammantaget bedömer utredningen att den inskränkning i patienternas integritetsskydd som förslaget innebär uppvägs av den nytta i form av god och säker vård som förslaget syftar till att åstadkomma. Utredningen bedömer att förslaget är en nödvändig förutsättning för en jämlik och patientsäker hälso- och sjukvård, där patienter oavsett bostadsort kan känna trygghet i att lagstiftaren inte satt upp särskilda hinder för informationshanteringen enbart på grund av hur patientens landsting eller kommun har valt att organisera den offentligfinansierade verksamheten.
En informationshantering med patienten i centrum SOU 2014:23
304
Konsekvenser för tillämpningsområdet av reglerna om sammanhållen journalföring
Utredningens förslag medför konsekvenser för tillämpningsområdet för sammanhållen journalföring. Vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för behöver således inte tillämpa reglerna om sammanhållen journalföring. Som en konsekvens av detta blir sammanhållen journalföring i stället det informationsutbyte som förekommer mellan vårdgivare som bedriver verksamhet som olika huvudmän ansvarar för eller som en privat vårdgivare utan offentlig finansiering utför. Se vidare om sammanhållen journalföring i avsnitt 14.
Sekretessbrytande bestämmelse
Bestämmelser i registerlagstiftning som tillåter direktåtkomst har emellertid ingen sekretessbrytande verkan i sig. Det innebär att ändringar i offentlighets- och sekretesslagen behövs för att upphäva sekretessen och möjliggöra direktåtkomst mellan de offentliga och de privata vårdgivarna som bedriver hälso- och sjukvård som samma huvudman ansvarar för.
Något generellt upphävande av sekretessgränserna anser vi inte är påkallat, utan sekretessgenombrottet bör begränsas till att gälla under förutsättning att bestämmelserna om direktåtkomst följs. Utredningens förslag till sekretessgenombrott upphäver således inte sekretessgränserna mellan vårdgivare, privata eller offentliga, inom en huvudmans ansvarsområde. Det innebär att det i offentlighets- och sekretesslagens och tryckfrihetsförordningens mening fortfarande är fråga om ett utlämnande när uppgifter utbyts mellan vårdgivarna.
Utredningen föreslår således att hälso- och sjukvårdssekretessen enligt 25 kap. 1 § OSL inte ska hindra att uppgifter lämnas ut till en enskild vårdgivare enligt vad som föreskrivs om direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde i hälso- och sjukvårdsdatalagen. Vid annat utlämnande från vårdgivarna ska de vanliga sekretessbestämmelserna tillämpas. Sedan tidigare finns regler om undantag från sekretess mellan de olika myndigheter som bedriver hälso- och sjukvård inom huvudmannens område.
På grund av de bestämmelser som vi föreslår behövs ingen särskild reglering för att en enskild vårdgivare ska kunna lämna ut
SOU 2014:23 En informationshantering med patienten i centrum
305
uppgifter genom direktåtkomst. Ett sådant utlämnande kan inte anses som obehörigt i den mening som avses i patientsäkerhetslagen (2010:659), förkortad PSL, och innebär därmed inget brott mot tystnadsplikten. Det är därmed samma konstruktion för lättnad i tystnadsplikten som gäller vid sammanhållen journalföring.
Bestämmelse om absolut sekretess
Inom en huvudmans ansvarsområde kan vårdgivaren på grund av vårt förslag få potentiell tillgång till uppgifter som vårdgivaren inte får ta del av om inte förutsättningarna för att använda direktåtkomsten är uppfyllda. För att vårdgivaren inte ska behöva använda direktåtkomsten för att sekretesspröva uppgifter som denne inte har rätt att ta del av behövs en bestämmelse om absolut sekretess.
Vi föreslår därför att absolut sekretess ska gälla hos en myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet för uppgift om enskilds personliga förhållanden om uppgiften har gjorts tillgänglig för myndigheten av en annan sådan myndighet eller av en enskild vårdgivare enligt vad som föreskrivs om direktåtkomst, och om förutsättningar för att myndigheten ska få behandla uppgiften enligt 6 kap. hälso- och sjukvårdsdatalagen inte är uppfyllda.
Om förutsättningarna för vårdgivaren att få behandla uppgifterna är uppfyllda eller om myndigheten tidigare har behandlat uppgiften med stöd av nämnda bestämmelser ska vanlig hälso- och sjukvårdssekretess tillämpas ifall någon begär ut handlingen.
13.4.3 Patientens rätt att spärra information inom och mellan vårdgivare inom huvudmannens ansvarsområde
Vårt förslag: Patienten ska ha rätt att begränsa elektronisk
åtkomst eller direktåtkomst till hans eller hennes vårddokumentation inom och mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. Patienten får spärra åtkomst för de vårdenheter eller vårdgivare som på grund av patientens aktuella behov av vård inte kan antas behöva ha tillgång till dokumentationen. En uppgift om att det finns spärrade uppgifter och vilken vårdgivare som spärrat dem får
En informationshantering med patienten i centrum SOU 2014:23
306
vara tillgänglig för andra vårdenheter eller vårdgivare inom huvudmannens ansvarsområde.
Vårdnadshavare till ett barn får inte begränsa elektronisk åtkomst eller direktåtkomst till uppgifter om barnet.
En patients begäran om spärr ska tillgodoses skyndsamt och föregås av att patienten får information om spärrens omfattning och dess konsekvenser. En spärr får inte läggas eller tas bort utan att patientens identitet har säkerställts. En patient kan när som helst begära att en spärr ska tas bort.
En spärr får tas bort av den som behöver uppgifterna för sitt arbete i hälso- och sjukvården om patienten samtycker till det, eller patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.
Även om patienten har spärrat uppgifterna får den vårdgivare som har dokumenterat uppgifterna behandla dem för ändamål som anges i 2 kap. 5 § första stycket 3–6 och andra stycket samt 2 kap. 6 §.
Inledning
Hälso- och sjukvården ska bedrivas så att den uppfyller kraven på en god vård. Det innebär enligt hälso- och sjukvårdslagen till exempel att den ska bygga på respekt för patientens självbestämmande och integritet. Samma princip uttrycks i patientdatalagens syftesbestämmelse; personuppgiftsbehandlingen ska utformas så att patientens integritet respekteras. Bestämmelserna som gör det möjligt för patienten att motsätta sig (spärra) viss behandling av personuppgifter är ett utflöde av dessa principer.
Om en uppgift spärras enligt det regelverk som gäller i dag får den inte göras elektroniskt åtkomlig för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vård-
givare – så kallade inre spärrar. Det finns även regler som gör det
möjligt för en patient att motsätta sig att uppgifter görs tillgängliga genom sammanhållen journalföring.
Vi har i det föregående redogjort för vårt förslag om förbättrade möjligheter till direktåtkomst mellan offentlig finansierade vårdgivare inom ett landsting eller inom en kommun. Syftet med dessa förslag är att patientens journaldokumentation ska finnas tillgänglig inom hela vårdprocessen – oavsett hur den kommun eller
SOU 2014:23 En informationshantering med patienten i centrum
307
det landsting som patienten befinner sig i har organiserat hälso- och sjukvården, dvs. även om vårdprocessen sträcker sig över flera vårdgivargränser. Detta för att vården ska kunna erbjudas på ett jämlikt sätt över landet och under så säkra former och så hög kvalitet som möjligt.
Patientens rätt att begränsa elektronisk åtkomst (spärr)
Samtidigt innebär vårt förslag att vårdgivare som i dag kan utbyta uppgifter genom direktåtkomst genom att tillämpa reglerna om sammanhållen journalföring, inte ska behöva tillämpa det regelverket. För att patienterna ska känna tillit till vårdgivarnas informationshantering och för att integritetsskyddet ska värnas bör patienterna även med vårt förslag ha en bestämmanderätt över vårdgivarnas elektroniska tillgång till uppgifter. Det ligger även i linje med de grundläggande principerna i hälso- och sjukvårdslagen (1982:763), förkortad HSL, om att verksamheten ska bygga på respekt för patientens självbestämmande och integritet.
Patientens möjlighet att motsätta sig åtkomst till uppgifter inom en vårdgivares verksamhet behöver därmed anpassas till vårt förslag om direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde. Patienten ska ha en rätt att begränsa den elektroniska tillgången till uppgifter inom och mellan de vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. Den rätt som en patient i dag har att begränsa den elektroniska tillgången exempelvis mellan en landstingsdriven vårdcentral och ett landstingsdrivet sjukhus ska patienten även ha mellan en privat driven vårdcentral (med offentlig finansiering) och det landstingsdrivna sjukhuset och vice versa.
Mot den bakgrunden föreslår vi en rätt för patienten att begränsa den elektroniska åtkomsten eller direktåtkomsten till hans eller hennes vårddokumentation inom och mellan vårdgivare som bedriver hälso- och sjukvård inom en huvudmans ansvarsområde. I praktiken innebär förslaget att patienten exempelvis kan spärra uppgifter som dokumenterats av en vårdenhet hos vårdgivare 1 mot andra vårdenheter hos samma vårdgivare samt mot vårdenheter hos andra vårdgivare som finansieras av samma huvudman. Patienten kan dock inte spärra uppgifter mot de vårdenheter som deltar eller kan antas komma att delta i den pågående vården av patienten – oavsett om de vårdenheterna finns hos samma vård-
En informationshantering med patienten i centrum SOU 2014:23
308
givare eller hos andra vårdgivare som finansieras av samma huvudman. Med en sådan lösning säkerställs att de som har ett behov av uppgifter för att ge patienten en god och säker vård har tillgång till dem. Samtidigt kan en spärr läggas mot vårdenheter och vårdgivare som inte har ett sådant behov och inte deltar i vården av patienten.
En patient kan när som helst begära att uppgifterna spärras, alltså även efter det att uppgifterna har gjorts tillgängliga utanför vårdenheten. Uppgifterna får då inte längre göras tillgängliga för andra vårdenheter än de som behöver har tillgång till uppgifterna i samband med patientens aktuella behov av vård. Patienten kan också när som helst begära att spärren tas bort. Hur det ska närmare ska göras kan inte närmare anges, men patienten bör vända sig till den vårdgivare som har dokumenterat uppgiften och begära att spärren tas bort. Beroende på hur samarbetet mellan vårdgivare ser ut kan det även tänkas att vårdgivarna utformar en gemensam administration för att häva spärrar på begäran av patienter. För den patient som har spärrat information hos flera vårdenheter eller vårdgivare kan en sådan organisatorisk lösning underlätta patientens möjligheter att rent praktiskt tillvarata sin möjlighet att begära att spärrar tas bort.
Med en spärr i detta sammanhang avses samma sak som i dag är fallet för spärrar inom en vårdgivares verksamhet. Det innebär att det i praktiken är den elektroniska tillgången till uppgifter som spärras. Till skillnad mot när patienter motsätter sig medverkan i sammanhållen journalföring, vilket innebär att uppgifterna inte på något sätt får vara tekniskt åtkomliga för andra vårdgivare, innebär denna spärr att uppgifterna kan nås om det exempelvis uppstår en nödsituation eller att patienten själv samtycker till att spärren hävs. En vårdgivare får dock inte lagligen ta del av en spärrad uppgift hos en annan vårdgivare under några andra förutsättningar.
För att ytterligare tillgodose patientens behov av integritetsskydd har utredningen i föregående avsnitt även lämnat förslag till bestämmelse om absolut sekretess i offentlighets- och sekretesslagen, vilken förhindrar en offentlig vårdgivare att ta del av uppgifter hos andra vårdgivare om uppgiften inte rör en patient som vårdgivaren har eller har haft en patientrelation med den enskilde patienten. Vidare ska utredningens förslag om direktåtkomst mellan vårdgivare även läsas i ljuset av de uttryckliga krav utredningen föreslår på vårdgivare att göra risk- och sårbarhetsanalyser och komma överens om hur informationssäkerheten och skyddet
SOU 2014:23 En informationshantering med patienten i centrum
309
för personuppgifterna ska tillgodoses vid utbyte genom direktåtkomst.
Begreppet vårdenhet definieras inte i patientdatalagen och inte heller föreslår utredningen att det ska tas in en definition i hälso- och sjukvårdsdatalagen. Det är därmed en organisatorisk enhet som vårdgivaren själv har att fastställa utifrån de förutsättningar som gäller i verksamheten. Hur stora olika vårdenheter är och vad som karaktäriserar dem kan skilja sig åt mellan olika vårdgivare. En vanligt förekommande definition i dag är att vårdenhet avser ”den organisatoriska enhet som leds av en verksamhetschef eller motsvarande”. Det innebär exempelvis att en vårdcentral eller en mindre privat vårdgivare ofta utgörs av en enda vårdenhet medan ett sjukhus eller en privat vårdgivare som har verksamhet i flera olika delar av landet har många olika vårdenheter. Inom den kommunala hälso- och sjukvården finns ofta flertalet vårdenheter, bland annat beroende på kommunens storlek och de olika verksamheternas karaktär.
De organisatoriska gränserna och indelningen i vårdenheter bör självklart dras på ett praktiskt och rimligt sätt som gör att verksamheten kan bedrivas på ett ändamålsenligt sätt och inte tyngas med onödig administration. Även inom en vårdenhet gäller naturligtvis att endast den yrkesutövare som behöver uppgifterna för att kunna utföra sitt arbete inom hälso- och sjukvården, får ta del av uppgifterna.
Begreppet vårdprocess bör ersättas
I nuvarande bestämmelser i 4 kap. 4 § PDL används ordet vårdprocess för att förhindra att patienten spärrar information mellan vårdenheter inom en vårdprocess. Patienten får därmed inte spärra uppgifter mellan vårdenheter som ingår i samma vårdprocess. I förarbetena uttalas att avgränsningen av en vårdprocess är funktionell och inte organisatorisk såsom beträffande begreppet vårdenhet. En vårdprocess kan med andra ord inbegripa avgränsbara aktiviteter eller åtgärder hos olika vårdenheter som har ett funktionellt samband.6 Ändamålet bakom reglerna är således att se till att de som har behov av patientens uppgifter kan ha tillgång till dem.
En informationshantering med patienten i centrum SOU 2014:23
310
Vi har emellertid i flera sammanhang upptäckt att begreppet vårdprocess inte är lämpligt att använda i en lagstiftning om informationshantering. Det kan exempelvis inte uteslutas att en tolkning enligt den nuvarande paragrafens ordalydelse kan leda till att uppgifter kan behöva spärras mot de enheter som trots allt deltar i patientens vård och av det skälet har behov av uppgifterna.
Problemet är, enligt vår bedömning, mångfacetterat. En utmaning ligger i att över huvud taget kunna fastställa alla vårdprocesser i verksamheten. Inte minst för de patienter som befinner sig i en diagnosticerande fas torde det vara svårt, eller ibland till och med omöjligt, att i förväg avgränsa och fastställa vårdprocessen. Det har även konstaterats att en multisjuk äldre persons väg genom vården inte följer samma enkla linje med en början och ett slut som en patient med endast en diagnos. En annan orsak hänger ihop med att begreppet vårdprocess i hälso- och sjukvården normalt sett definieras primärt med hänsyn till verksamhetens process. Det innebär exempelvis att en patient kan befinna sig i ett flertal olika vårdprocesser samtidigt. Multisjuka äldre har t.ex. flera diagnoser, symptom och funktionsnedsättningar. Personen kan befinna sig i flera vårdprocesser samtidigt och en vårdprocess kan förhindra eller stanna upp en eller fler andra pågående vårdprocesser.7
Motsvarade exempel finns även bland personer med kroniska sjukdomar, vilket förekommer hos nästan halva befolkningen. Myndigheten för vårdanalys har i en rapport nyligen konstaterat att det förekommer kronisk sjukdom hos 44 procent av befolkningen och att var femte person under 20 år har fått minst en kronisk diagnos de senaste tre åren.8 I rapporten anges även att en fjärdedel av befolkningen i de landsting som studerats har två eller fler kroniska diagnoser och att kontakterna med primärvård, specialistvård och kommunal hälso- och sjukvård är många.
Även den ökade specialiseringen av hälso- och sjukvården kan ha påverkan på vad som anses ingå i en vårdprocess och vad som anses ingå i en annan. Inte sällan handlar det dock om att patienten har ett eller flera sammanhängande hälsoproblem som tillsammans hanteras i ett antal olika vårdprocesser. För patienter som, t.ex. inom ramen för samma hälsoärende, befinner sig i flera vårdprocesser kan en tillämpning av nuvarande bestämmelse således
7 Socialstyrelsen, Väntetider och patientens väg genom vården – exemplet multisjuka äldre (2013). 8 Myndigheten för vårdanalys, VIP i vården? – Om utmaningar i vården av personer med kronisk sjukdom (2014:2).
SOU 2014:23 En informationshantering med patienten i centrum
311
leda till att uppgifter kan spärras mellan dessa sammanhängande vårdprocesser.
Eftersom det, enligt vår bedömning, inte har varit syftet med bestämmelserna anser vi att begreppet vårdprocess bör utgå och ersättas med en beskrivning av vad det egentligen handlar om. Därför har vi tagit bort ordet vårdprocess och i stället föreslagit att en spärr inte ska kunna läggas mot de vårdenheter som kan antas behöva ha tillgång till uppgifterna på grund av patientens aktuella behov av vård. Vi bedömer att denna bestämmelse kan vara lättare att tillämpa och uppmana till ett mer aktivt förhållningssätt i förhållande till de patienter som uttrycker en vilja att spärra. Sett mot bakgrund av ändamålet bakom den nuvarande bestämmelsen medför vårt förslag i just denna del sannolikt ingenting nytt i sak. Vi bedömer dock att det blir en mer pedagogisk utformning och en tydligare signal om att spärrar inte kan läggas mot de enheter som har ett behov av uppgifter för att ge patienten en god och säker vård, men att de däremot kan läggas mot vårdenheter och vårdgivare som inte har ett sådant behov.
Vi bedömer även att förslaget om att ersätta ordet vårdprocess ger bättre uttryck för behovet av skydd för den personliga integriteten samt att det blir tydligare för patienten vilka spärrar som kan tillhandahållas och vilka som inte kan göra det. Förslaget gör även att vårdgivare behöver ta tydligare ställning till frågan i sak, dvs. till vilka vårdenheter som på grund av patientens behov av vård inte kan antas behöva ha tillgång till de aktuella uppgifterna.
I stället för att använda ett begrepp som vårdprocess, som kan innebära en rad olika saker och i sig inte ger patienten någon information om vare sig vilka spärrar som kan tillhandahållas eller vilka skäl som ligger bakom bestämmelsen, tydliggörs genom förslaget att det handlar om spärrar mot sådana verksamheter som inte har något med patientens vård att göra. Vi tror att det blir lättare för en patient att förstå.
Därutöver medför vårt förslag att det blir möjligt för patienten och tillsynsmyndigheten att göra en bedömning av om de spärrar som vårdgivare erbjuder patienter är ändamålsenliga i förhållande till det som uttrycks i paragrafen. Hur en vårdgivare i dag definierar en vårdprocess är upp till vårdgivaren att avgöra och torde inte vara helt enkelt att bedöma ur ett integritetsskyddsperspektiv. Möjligheterna att göra en sådan bedömning torde dock öka eftersom det med vårt förslag handlar om att analysera vårdgivares ställnings-
En informationshantering med patienten i centrum SOU 2014:23
312
taganden till vilka enheter som, med hänsyn till patientens hälsotillstånd, inte kan antas ha behov av uppgifter om patienten.
Uppgift om att det finns spärrade uppgifter får vara tillgänglig
Av nuvarande bestämmelser i 4 kap. 4 § PDL följer att uppgift om att det finns spärrade uppgifter om en patient, får vara tillgänglig för andra vårdenheter och vårdprocesser. Syftet med detta är att kännedomen om att det finns spärrade uppgifter kan initiera en önskvärd dialog mellan en patient och hälso- och sjukvårdspersonal i en enskild vårdsituation.9
Utredningen föreslår att bestämmelsen förs över till hälso- och sjukvårdsdatalagen med en anpassning till utredningens förslag i övrigt. Det ska således uttryckas att en uppgift om att det finns spärrade uppgifter och uppgift om vilken vårdgivare som har spärrat dem får vara tillgänglig för andra vårdenheter eller vårdgivare inom huvudmannens anvarsområde.
Förutom att bestämmelsen, som anförs ovan, kan ge ett underlag för dialog mellan patienten och hälso- och sjukvårdspersonalen möjliggör den att spärrar kan hävas utan att uppgifter som inte är relevanta i sammanhanget blir exponerade. Hälso- och sjukvårdspersonalen kan då med patienten samtycke och med ledning av vilken vårdgivare som har spärrat uppgifter se till att endast ta del av dessa uppgifter och inga andra som patienten eventuellt kan ha spärrat. Se vidare i det följande om hur spärrar hävs.
Uppgifter om ordinerade läkemedel och varningsinformation undantas från spärrmöjligheter
Enligt utredningens förslag får patienten, med två undantag, spärra alla uppgifter som har dokumenterats för ändamålet vårddokumentation. Undantagen består av uppgifter om ordinerade läkemedel och s.k. varningsinformation. Utredningen redogör i avsnitt 15 och 16 för våra överväganden och förslag rörande undantag från spärrmöjligheter för uppgifter om ordinerade läkemedel och uppgifter om varningsinformation som kan medföra allvarlig risk för patientens liv eller hälsa.
SOU 2014:23 En informationshantering med patienten i centrum
313
Sammantaget innebär utredningens förslag i de delarna att patienten inte får begränsa den elektroniska tillgången till uppgifter om ordinerade läkemedel och varningsinformation inom och mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för.
Information till patienten och säkerställande av identiteten m.m.
Om en patient begär att få spärra uppgifter mot andra enheter inom huvudmannens ansvarsområde bör vårdgivaren ha ett ansvar för att informera patienten om vad en sådan spärr kommer att omfatta och vilka konsekvenser spärren kan få för patienten. Med hänsyn till patientens behov av information för att kunna fatta beslut i frågor om vårdenheters och vårdgivares tillgång till uppgifter föreslår vi att kravet på information uttryckligen ska anges i hälso- och sjukvårdsdatalagen. Att patienten får information om saken gör också att patienten får en ökad kännedom om effekterna av en spärr. Den som begär en spärr bör exempelvis få information om vilka vårdenheter eller vårdgivare som en spärr inte gäller mot, om hur spärren kan hävas och om vårdgivarens möjlighet att behandla uppgifterna för andra ändamål än patientens vård och behandling.
Vidare ska anges att vårdgivare ska se till att skyndsamt tillgodose patientens önskemål om spärr. Det innebär att vårdgivaren, efter att ha informerat patienten och säkerställt patientens identitet enligt nedan, ska se till att tillgodose patientens begäran. Vårdgivare behöver därför ha såväl organisatoriska som tekniska förutsättningar för att administrera och effektuera en patients begäran om spärr.
Vårdgivaren har förstås också ett ansvar för att kontrollera att patienten är den han eller hon utger sig för att vara och att önskemålen om spärr avser de egna uppgifterna. I syfte att reducera risker för att det blir fel, t.ex. att fel patients uppgifter spärras eller att den som utger sig för att vara patienten helt enkelt är någon annan, föreslår vi att det införs ett uttryckligt förbud för vårdgivaren att lägga eller ta bort en spärr utan att patientens identitet har säkerställts.
När det gäller tillvägagångssättet för att säkerställa en patients identitet så anser vi inte att det i lagen ska uppställas några särskilda krav. I hälso- och sjukvården finns redan i dag i ett flertal samman-
En informationshantering med patienten i centrum SOU 2014:23
314
hang krav på att säkerställa identiteten, exempelvis genom legitimering fysiskt eller elektroniskt genom e-legitimation. Det förekommer naturligtvis även att personal i ett fysiskt möte med patienter redan har en sådan kännedom om patientens identitet att en närmare identitetskontroll inte är befogad. Vi menar att de sätt på vilka hälso- och sjukvården i dag säkerställer patienternas identiteter även kan användas i det här aktuella sammanhanget om att lägga eller häva spärrar.
Som exempel på tillvägagångsätt som kan vara mindre lämpliga kan e-post och telefon nämnas. Om en sådan kommunikation inte görs på ett sådant sätt att patientens identitet är säkerställd är det i regel svårt, för att inte säga omöjligt, att egentligen veta vem som döljer sig bakom en e-postadress eller en telefonröst. Av den anledningen anser vi att sådana metoder bör användas med försiktighet.
I sammanhanget kan noteras att vi längre fram i betänkandet lägger motsvarande förslag vid sådana spärrar som kan aktualiseras för informationsutbyte mellan vårdgivare i system för sammanhållen journalföring.
Förbud för vårdnadshavare att spärra uppgifter om barn
Enligt nuvarande regelverk får vårdnadshavare till ett barn inte spärra uppgifter om barnet. Bestämmelsen tillkom på regeringens initiativ efter att flera organisationer i samband med remissyttranden på patientdatautredningens betänkande pekat på behovet av ett förbud i denna del.10
Utredningen har funnit övervägande skäl som talar för att förbudet att spärra barns uppgifter bör föras över till hälso- och sjukvårdsdatalagen och där anpassas till de nya möjligheterna med direktåtkomst inom en huvudmans ansvarsområde. Även om det rent faktiskt innebär ett väsentligt sämre integritetsskydd för barn i förhållande till vad som är fallet för andra patientgrupper, gör vi liksom regeringen bedömningen att skyddet för barnets liv och hälsa i detta fall väger tyngre.
Med barn avses den som är under 18 år. Avsikten med bestämmelsen är att öka vårdpersonalens möjligheter att upptäcka barn som far illa och att bedöma om anmälan ska göras till socialnämnden för att barnet ska få nödvändigt skydd, 14 kap. 1 § socialtjänstlagen (2001:453). Detta skäl har ansetts väga tyngre än den
SOU 2014:23 En informationshantering med patienten i centrum
315
integritetskränkning som kan uppstå till följd av att vårdnadshavare inte kan spärra sitt barns uppgifter.
I takt med barnets stigande ålder och utveckling får barnet självt spärra uppgifterna. Beträffande barnets mognadsgrad att själv få avgöra om uppgifter ska spärras föreslås inte några särskilda bestämmelser. Barn och tonåringar bör hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården. I takt med den underåriges stigande ålder och utveckling ska allt större hänsyn tas till barnets önskemål och vilja, jämför 6 kap. 11 § föräldrabalken.
Spärrade uppgifter får användas för andra ändamål än patientens vård
Enligt de nuvarande bestämmelserna i patientdatalagen gäller en spärr inom en vårdgivares verksamhet endast om uppgifterna ska användas för ändamålet vård och behandling av patienten. Det innebär att en patient exempelvis inte kan hindra vårdgivaren från att använda uppgifter om honom eller henne vid t.ex. uppföljning och kvalitetssäkring av den egna verksamheten.11 Uppgifterna är därmed tillgängliga om vårdgivaren behöver dem exempelvis för administration, planering, kvalitetssäkring, statistikframställning m.m.
Utredningen gör bedömningen att denna princip ska överföras från patientdatalagen. Även om patienten har spärrat uppgifter får därmed den vårdgivare som har dokumenterat uppgifterna behandla dem för sådana ändamål som inte rör patientens vård och behandling.
Hur spärrade uppgifter får göras åtkomliga igen
Av bestämmelserna i 4 kap. 5 § PDL följer att en spärr får hävas av en behörig befattningshavare hos vårdgivaren om patienten samtycker till det eller patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver. Av paragrafens andra stycke följer dessutom att uppgift om vilka vårdenheter eller vårdprocesser som spärrat uppgifterna först ska göras tillgängliga och därefter får bara
En informationshantering med patienten i centrum SOU 2014:23
316
sådana uppgifter som kan antas ha betydelse för vården av patienten göras tillgängliga.
Vi föreslår att bestämmelsen i huvudsak ska föras över till hälso- och sjukvårdsdatalagen. I lagen ska anges att en spärr får tas bort av den som behöver uppgifterna för sitt arbete i hälso- och sjukvården om patienten samtycker till det eller patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.
Utredningens förslag innebär bland annat en språklig förändring jämfört med nuvarande bestämmelse i patientdatalagen. Vi anser att begreppet behörig befattningshavare bör ersättas med den som
behöver uppgifterna för sitt arbete i hälso- och sjukvården. I för-
arbetena lämnas ingen ytterligare vägledning kring vad som avses med behörig befattningshavare, utan det bestäms av vårdgivarna själva.12 Förutom att behörig befattningshavare ger ett omodernt och opersonligt intryck, ger utredningens förslag en tydligare bild av vad det egentligen handlar om. Både för patienter och för personal tydliggörs därmed att det är den som behöver uppgifterna för sitt arbete inom hälso- och sjukvården som med patientens samtycke eller i en sådan nödsituation som beskrivs, får ta del av uppgifter som är spärrade.
Den nuvarande bestämmelsens andra stycke om tågordningen för åtkomst i de situationer där patienten inte kan samtycka behöver, enligt vår bedömning, inte föras över till hälso- och sjukvårdsdatalagen. Vi har i det föregående redogjort för att uppgift om att det finns spärrade uppgifter samt uppgift om vilken vårdgivare som har spärrat uppgifterna får vara tillgängliga. Det är således i första hand med hjälp av dessa uppgifter som hälso- och sjukvårdspersonalen, precis som i dag, har att avgöra vilka uppgifter som kan antas ha betydelse för den vård som patienten oundgängligen behöver. Någon särskild bestämmelse härom bedöms därför inte behövas i sammanhanget.
SOU 2014:23 En informationshantering med patienten i centrum
317
13.4.4 Ökade möjligheter för kommuner och landsting att fullgöra sitt ansvar för hälso- och sjukvården
Vårt förslag: En tystnadspliktsbrytande uppgiftsskyldighet ska
införas i patientsäkerhetslagen.
Uppgiftsskyldigheten ska gälla privata vårdgivare i förhållande till det landsting eller den kommun (huvudman) som enligt hälso- och sjukvårdslagen har ansvar för att erbjuda den aktuella hälso- och sjukvården. En sådan privat vårdgivare ska lämna ut de personuppgifter som huvudmannen behöver för ändamål som anges i 2 kap. 5 § hälso- och sjukvårdsdatalagen.
Vår bedömning: Förslaget syftar till att förbättra kommuners
och landstings möjligheter att planera, följa upp och kvalitetssäkra den hälso- och sjukvård kommunen eller landstinget har huvudmannaansvar för. Genom förslaget får kommuner och landsting samma förutsättningar att ta ansvar för hälso- och sjukvården oberoende av om verksamheten drivs av kommunen eller landstinget själv eller av en privat vårdgivare med offentlig finansiering.
Inledning
Vi har genomgående uppmärksammat att en större och större del av den offentligfinansierade hälso- och sjukvården utförs av privata vårdgivare på uppdrag av kommuner och landsting. Det har bland annat medfört en osäkerhet vad gäller kommuners och landstings möjligheter att inhämta uppgifter från de privata vårdgivarna för att exempelvis kvalitetssäkra den hälso- och sjukvård som kommunen eller landstinget har huvudmannaansvar för.
Enligt utredningens bedömning finns i dag en tystnadspliktsgräns mellan en privat vårdgivare och den myndighet inom hälso- och sjukvården som finansierar och har det övergripande huvudmannaansvaret för verksamheten. Det kan dock inte uteslutas att ett utlämnande i enskilda fall ändå, exempelvis från en privat vårdgivare till det finansierande landstinget, kan bedömas vara tillåtet vid en tillämpning av bestämmelserna om tystnadsplikt i patientsäkerhetslagen.
Frågan om kommuners och landstings skyldigheter att följa upp verksamhet som drivs av annan och vilka möjligheter som finns att
En informationshantering med patienten i centrum SOU 2014:23
318
ta del av personuppgifter för detta ändamål är komplex. Utredningen om en ny kommunallag berörde i delbetänkandet Privata utförare – kontroll och insyn (SOU 2013:53) frågorna på en mer övergripande nivå. Däremot finns fortfarande anledning att ytterligare analysera och överväga behovet av en ökad tydlighet rörande hälso- och sjukvårdshuvudmännens möjligheter att inhämta och använda uppgifter som dokumenteras hos privata vårdgivare. Dessa frågor sätter även ljuset på innebörden av landstingets och kommunens roll som huvudman.
Huvudmannaansvaret
Genom bestämmelserna i hälso- och sjukvårdslagen tydliggörs kommuners och landstings ansvar för hälso- och sjukvården. Enligt 3 § ska varje landsting erbjuda en god hälso- och sjukvård åt dem som är bosatta inom landstinget och i övrigt verka för en god hälsa hos hela befolkningen. Ett landsting får sluta avtal med någon annan om att utföra de uppgifter som landstinget ansvarar för enligt hälso- och sjukvårdslagen. I 18 § preciseras sedan kommunens motsvarande ansvar för hälso- och sjukvården i särskilda boendeformer och viss dagverksamhet. Därutöver kan landstinget överlåta skyldigheten att erbjuda hemsjukvård till kommunen. På motsvarande sätt som gäller för landsting kan även kommunen sluta avtal med någon annan om att utföra de uppgifter som kommunen ansvarar för enligt hälso- och sjukvårdslagen.
Utredningen om en ny kommunallag för framtiden har konstaterat att även om en huvudman; ett landsting eller kommun, sluter avtal med någon annan om att utföra vissa uppgifter som landstinget eller kommunen ansvarar för så kvarstår huvudmannens övergripande ansvar för verksamheten.13 För att göra detta ansvar tydligare föreslog utredningen att det på olika ställen i lagstiftningen uttryckligen ska tydliggöras att huvudmännen behåller huvudmannaskapet även efter ett överlämnande av vissa uppgifter. Utredningen föreslog även en uttrycklig skyldighet för kommuner och landsting att följa uppverksamhet som utförs av privata utförare.14
13 Delbetänkande av Utredningen om en kommunallag för framtiden, Privata utförare kontroll och insyn, SOU 2013:53, s. 103. 14SOU 2013:53 s. 124 ff.
SOU 2014:23 En informationshantering med patienten i centrum
319
Oavsett hur en verksamhet utformas har kommunen och landstinget i egenskap av huvudmän alltjämt ett ansvar för att den hälso- och sjukvård som erbjuds håller god kvalitet. Vidare har kommuner och landsting alltid ett ansvar för att planera hälso- och sjukvården inom sitt ansvarsområde. Landstingets ansvar omfattar även det förebyggande arbetet för en god hälsa åt hela befolkningen. För att kommuner och landsting ska ha reella möjligheter att fullgöra sitt ansvar för hälso- och sjukvården är det ibland nödvändigt att kunna ta del av uppgifter från privata vårdgivare för att exempelvis planera och vidta särskilda insatser eller utvärdera kvaliteten i hälso- och sjukvården.
En uppgiftsskyldighet för privata vårdgivare bör införas
Offentlighets- och sekretesslagen gäller inte för privata vårdgivare. I stället finns bestämmelser om tystnadsplikt i patientsäkerhetslagen. Enligt dessa bestämmelser får den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Det saknas direkta bestämmelser som anger vad ett obehörigt röjande är. En viss ledning kan dock hämtas från den menprövning som ska göras enligt offentlighets- och sekretesslagen.15Även andra bestämmelser i offentlighets- och sekretesslagen kan vara till ledning, till exempel de som reglerar när sekretessen kan brytas.
Vid tolkningen av obehörighetsrekvisitet har det vidare ansetts naturligt att söka ledning i offentlighet- och sekretesslagens regler.16 Grunden är att den enskilde ska ha samma skydd för sin personliga integritet vare sig han eller hon får insatser av en offentlig eller enskild verksamhet.
Under utredningens arbete har det framkommit att det finns en osäkerhet från företrädare för privata vårdgivare om när man kan lämna ut information och vilken information man kan lämna ut. Även från huvudmännens sida finns det en osäkerhet om vilken information man kan begära in. Utredningen delar den osäkerhet som verksamheterna ger uttryck för. Enligt vår uppfattning är det i
15Prop. 1980/81:28, prop. 1981/82:186, prop. 2007/08:126 och prop. 2005/06:161. 16Prop. 2005/06:141 s. 63, prop. 2005/06:161 s. 82 och 93 och prop. 2007/08:126 s. 133.
En informationshantering med patienten i centrum SOU 2014:23
320
dag inte tydligt att enskilda verksamheter kan lämna ut uppgifter till den huvudman som ansvarar för verksamheten utan hinder av tystnadsplikten. Det finns därför ett behov av att tydliggöra rättsläget och skapa reella förutsättningar för huvudmannen att följa upp och ta sitt ansvar för att alla medborgare får tillgång till en hälso- och sjukvård av god kvalitet.
Kommuner och landsting har i dag möjligheter att ta del av uppgifter för att planera, följa upp eller kvalitetssäkra sådan hälso- och sjukvård som utförs i verksamheter som drivs av kommunen eller landstinget själv. Samma möjligheter bör rimligen finnas även för sådan hälso- och sjukvård som landstinget eller kommunen ansvarar för men som utförs av en privat vårdgivare etablerad t.ex. enligt lagen (2008:962) om valfrihetssystem, lagen (2007:1091) om offentlig upphandling eller lagen (1993:1651) om läkarvårdsersättning. I annat fall riskerar förutsättningarna för en jämlik hälso- och sjukvård av god kvalitet att bli beroende av organisatoriska faktorer.
I sammanhanget ska nämnas att det just när det gäller de verksamheter som är etablerade enligt lagen om läkarvårdsersättning, den s.k. nationella taxan, redan i dagsläget finns viss uppgiftsskyldighet gentemot den finansierande huvudmannen. Enligt lagens 26 § ska en läkare som begär läkarvårdsersättning medverka till att den egna verksamheten kan följas upp och utvärderas. Läkaren ska årligen till landstinget lämna en redovisning med uppgifter om mottagningens personal och medicintekniska utrustning samt om utförda vårdåtgärder och antalet patientbesök. Vidare ska läkaren på begäran av landstinget lämna upplysningar och visa upp patientjournal samt övrigt material som rör undersökning, vård eller behandling av en patient och som behövs för kontroll av begärd läkarvårdsersättning.
I förarbetena till bestämmelsen anför regeringen att landstingens ansvar för planering och finansiering av hälso- och sjukvården medför ett stort och berättigat behov av att följa upp att verksamheten bedrivs på ett sätt som ger ett bra resultat i hela hälso- och sjukvården med avseende på kostnader, effektivitet och kvalitet.17 Med hänsyn till det grundläggande behovet för en huvudman att följa upp den vård som finansieras och de enskilda patienternas behov av sekretess och integritetsskydd anför regeringen bland annat följande.
SOU 2014:23 En informationshantering med patienten i centrum
321
Enligt regeringens bedömning är det angeläget att landstingen får de uppföljningsredskap som de anser sig behöva för att följa upp den vård som de finansierar. Som flera landsting påpekat omfattas den personal vid landstingen som arbetar med uppföljning av vårdgivarnas verksamhet av bestämmelserna i 7 kap. 1 c § sekretesslagen (1980:100) om hälso- och sjukvårdssekretess. Landstinget hanterar också en stor mängd känslig information redan idag bl.a. om patienter inom den offentligt drivna hälso- och sjukvården. Vidare finns en motsvarande möjlighet att granska journaler enligt 11 § tandvårdsförordningen (1998:1338). Ytterligare en aspekt är att landstingen kan ha behov av att följa upp hela vårdkedjor med avseende på kvalitet, effektivitet och resultat. Uppföljning inom hälso- och sjukvården blir allt mer inriktad mot att följa hela processer istället för enskilda åtgärder. För att en sådan uppföljning ska vara möjlig behövs identifierbara patientuppgifter.
Utredningen delar i stort regeringens bedömning och anser att frågan om behov av uppföljning på en övergripande nivå inte är mindre för de vårdgivare som bedriver hälso- och sjukvård med stöd av andra former än lagen om läkarvårdsersättning. Vår generella utgångspunkt är att kommuners och landstings huvudmannaansvar bland annat innebär ett ansvar för planering, uppföljning och kvalitetssäkring av den hälso- och sjukvård som erbjuds invånarna. Vidare ska de rättsliga möjligheterna att vidta en sådan kvalitetssäkring etc. inte bero på organisatoriska förutsättningar. För att kommuner och landsting ska kunna ta ansvar för den hälso- och sjukvårdsverksamhet som de i egenskap av huvudmän har ett övergripande ansvar för behöver de ha tillgång till uppgifter om den hälso- och sjukvård som ges hos de utförare som anlitats. Regelverket bör därför tydligt tillhandahålla förutsättningar för en ändamålsenlig planering, uppföljning och kvalitetssäkring av all hälso- och sjukvård huvudmannen ansvarar för.
Mot den bakgrunden föreslår vi en uppgiftsskyldighet för privata vårdgivare som verkar med offentlig finansiering. De ska vara skyldiga att till huvudmannen lämna de uppgifter som behövs för att huvudmannen ska kunna fullgöra sitt ansvar enligt hälso- och sjukvårdslagen. Det kan exempelvis handla om att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten, administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller att framställa statistik om hälso- och sjukvården. Förslaget gör det möjligt att på ett effektivt och säkert sätt följa upp all vård som erbjuds inom det område som landstinget eller kommunen ansvarar för oavsett vilka driftsformer som finns.
En informationshantering med patienten i centrum SOU 2014:23
322
Samtidigt uppstår ett behov för sjukvårdshuvudmännen att tydliggöra vilka uppgifter som behövs med hänsyn till de olika ändamål som gör sig gällande.
Som vid all personuppgiftsbehandling gäller även att inte fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet får behandlas. Vidare behöver landsting och kommuner bedöma för vilka ändamål personuppgifter över huvud taget behöver samlas in, eller om det räcker med uppgifter som åtminstone inte direkt kan hänföras till enskilda individer. Vidare bedömer utredningen att den direkta tillgången till personuppgifter i de allra flesta fall endast behöver förekomma i ett initialt skede av hanteringen. Samma överväganden som görs vad gäller uppföljning, planering och kvalitetssäkring av den verksamhet som huvudmannen själv driver ska naturligtvis även göras i förhållande till de uppgifter som hämtas in från privata vårdgivare.
Vidare ska tydliggöras att uppgiftsskyldigheten endast gäller uppgifter om patienters hälsotillstånd eller andra personliga förhållanden. Bestämmelsen medför därmed ingen ökad möjlighet för en huvudman att, jämfört med vad som gäller i dag, inhämta andra uppgifter som rör de privata vårdgivarnas verksamhet. Inte heller omfattas den andel privata vårdgivare som inte står under offentlig finansiering av utredningens förslag. Det är således de vårdgivare eller de vårdgivares verksamheter som bedrivs med ett landsting eller en kommun som huvudman, dvs. som finansiär, som omfattas av förslaget.
Genom utredningens förslag får huvudmännen samma möjligheter att ta ansvar för befolkningen och fullgöra sitt uppdrag alldeles oavsett hur hälso- och sjukvården i det enskilda landstinget eller den enskilda kommunen närmare är organiserad. Det innebär att ett landsting eller en kommun med många privata vårdgivare får samma möjligheter att fullgöra sitt uppdrag som landsting och kommuner med få privata vårdgivare. Förutom att följa upp den hälso- och sjukvård som ges medför förslaget nya möjligheter att genom aktiv hälsostyrning och liknande metoder kunna arbeta förebyggande och tillgodose behovet för individer som har många och ofta komplexa kontakter med hälso- och sjukvården. Det förebyggande arbetet behöver inte sällan tillgång till individuppgifter i det initiala skedet och genom utredningens förslag får huvudmän med en stor mångfald av aktörer lika goda möjligheter att erbjuda rätt vård till rätt person, som huvudmän med färre antal privata vårdgivare redan i dag har. För invånarna innebär detta
SOU 2014:23 En informationshantering med patienten i centrum
323
ökade möjligheter till en jämlik vård av god kvalitet oavsett i vilken kommun och vilket landsting invånarna bor i.
Denna uppgiftsskyldighet medför att det inte kommer att gälla någon tystnadsplikt mot huvudmannen avseende dessa uppgifter. Redan av befintliga regler i offentlighets- och sekretesslagen följer att det inte gäller sekretess mellan olika myndigheter inom hälso- och sjukvården hos samma huvudman eller i relation till sådana bolag där ett landsting eller en kommun utövar det rättsligt bestämmande inflytandet. Som exempel på det senare kan nämnas Södersjukhuset AB och Danderyds sjukhus AB.
Bestämmelsen om tystnadsplikt i patientsäkerhetslagen är liksom bestämmelsen om uppgiftsskyldighet till sin formulering riktad till hälso- och sjukvårdspersonalen (6 kap. 12 och 15 §§ PSL). Detta har historiska orsaker. Många krav som gäller för hälso- och sjukvårdsverksamhet riktades tidigare ofta direkt till yrkesutövarna. Detta har med utvecklingen av de krav som allt mer tydligt har ställts på huvudmännen i hälso- och sjukvårdslagen fört med sig att krav som riktar sig till privata utförare har ställts i den lag som reglerar yrkesansvaret. Bestämmelserna om tystnadsplikt och uppgiftsskyldighet överfördes oförändrade när patientsäkerhetslagen ersatte lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Traditionen kan ha sin grund att innan den utveckling med allt fler privata vårdgivare som vi har i dag satte fart bestod den privata vården mest av enskilda yrkesutövare som drev små egna mottagningar.
Vårt förslag till uppgiftsskyldighet för privata vårdgivare återfinns därför i den bestämmelse som reglerar hälso- och sjukvårdspersonalens upplysningsplikt i patientsäkerhetslagen.
13.4.5 Informationsöverföring vid verksamhetsövergångar
Vår bedömning: För att kunna upprätthålla kontinuiteten och
säkerheten i den vård som patienter erbjuds och säkerställa att rätt information finns på rätt plats i rätt tid, behöver en effektiv och säker informationsöverföring vid verksamhetsövergångar göras möjlig. En informationshantering med individen och individens behov i centrum förutsätter att de organisatoriska gränserna vid verksamhetsövergångar överbryggas.
En informationshantering med patienten i centrum SOU 2014:23
324
Vårt förslag: I hälso- och sjukvårsdatalagen ska tas in ett antal
bestämmelser om överföring av information vid verksamhetsövergångar. Huvudmannen ska ansvara för att den vårdgivare som ska ta över en verksamhet som huvudmannen driver får tillgång till de personuppgifter om patienter som behövs för att bedriva verksamheten.
Privata vårdgivare med offentlig finansiering som avser att upphöra med viss hälso- och sjukvårdsverksamhet ska se till att de personuppgifter om patienter som behövs för att bedriva verksamheten vidare överlämnas till annan vårdgivare som ska överta ansvaret för patientens vård och behandling. Om det inte finns någon annan vårdgivare som ska ta över ansvaret för patienternas vård och behandling ska den privata vårdgivaren i stället överlämna uppgifterna till huvudmannen för hälso- och sjukvårdverksamheten i det landsting eller den kommun där verksamheten bedrivits.
Sekretess ska inte hindra att uppgifter lämnas ut till en enskild näringsidkare med stöd av dessa bestämmelser.
Inledning
Privat vårdgivare är en juridisk person eller en enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet. Det är vårdgivaren som är ansvarig för att förvara och bevara patientjournalerna.18I det ligger ett ansvar för att journaler upprättas och hanteras på ett ändamålsenligt och säkert sätt.
I patientdatalagen finns bestämmelser om hur länge journaler ska bevaras och vad som ska göras om den som upphört med sin verksamhet inte längre kan bevara journalerna på föreskrivet sätt. Dessa bestämmelser har vi i tidigare avsnitt föreslagit ska överföras till hälso- och sjukvårdsdatalagen.
Däremot finns inga bestämmelser om hur kontinuiteten i vårddokumentationen och därmed i kvaliteten och säkerheten i vården av patienter ska upprätthållas i samband med att en vårdgivare ska ta över en annan vårdgivares verksamhet. Om till exempel en kommun i samband med att avtalstiden löper ut väljer att sluta avtal med en ny vårdgivare som ska driva ett särskilt boende så finns det inga regler för hur journalerna i verksamheten ska hanteras.
SOU 2014:23 En informationshantering med patienten i centrum
325
Vi har i det föregående redovisat ett antal konsekvenser som avsaknaden av sådana bestämmelser riskerar att ge upphov till. Det grundläggande syftet med informationshanteringen i hälso- och sjukvården i allmänhet och med journalföringen i synnerhet är att bidra till en god och säker vård för alla patienter. Syftet med patientjournalföringen riskerar att inte kunna uppnås fullt ut om inte den informationsöverföring som är nödvändig med hänsyn till detta ändamål inte kan komma till stånd på ett effektivt sätt vid verksamhetsövergångar.
Konsekvenserna av regelverket för vårdgivarnas ansvar för journaler och bestämmelserna om sekretess och tystnadsplikt är att det kan bli svårt att upprätthålla kontinuiteten i vården och i informationshanteringen när nya vårdgivare tillkommer eller avvecklas. För patientera uppstår risker om aktuell och viktig information helt plötsligt saknas. Inte sällan kan informationen även ha funnits tillgänglig i system för sammanhållen journalföring, vilket bland annat kan ha inneburit att även andra vårdgivare förlitar sig på att den aktuella informationen finns. För utredningens del är det uppenbart att informationshanteringen i hälso- och sjukvården inte längre kan ske isolerat verksamhet för verksamhet. De täta och komplexa samarbeten som i dag kännetecknar utförandet av hälso- och sjukvård förutsätter en mer holistisk syn på informationshanteringen. Vårdgivare är i dag beroende av att information från andra vårdgivare finns tillgänglig i den stund behovet för patienten uppstår.
Mot bakgrund av detta och med anledning av vad utredningens redovisat i genomgången av gällande rätt i avsnitt 13.3.4 föreslår vi därför ett antal nya bestämmelser för att närmare reglera vad som ska gälla i samband med att en verksamhet får en ny privat utförare eller återgår till att drivas i offentlig regi. Syftet med förslagen är att säkerställa kvaliteten och säkerheten i den hälso- och sjukvård patienternas erbjuds.
Ansvar för landsting och kommuner i egenskap av huvudmän
Vi föreslår för det första att en huvudman, dvs. ett landsting eller en kommun, som överlämnar driften av en viss verksamhet ska ansvara för att den privata vårdgivaren får tillgång till de personuppgifter om patienterna som behövs för att bedriva verksamheten. På vilket sätt huvudmannen i realiteten ska ta detta ansvar kan inte
En informationshantering med patienten i centrum SOU 2014:23
326
regleras i detalj. Med hänsyn till de olika situationer och samarbeten som kan uppstå finns en risk att alltför detaljerade regler kan låsa in verksamheterna i lösningar som inte är tillräckligt flexibla i ett längre perspektiv. Vi bedömer dock att det kan finnas ett antal olika sätt för huvudmannen att rent praktiskt fullgöra sitt ansvar. Det är upp till hälso- och sjukvårdens aktörer att med hänsyn till behoven och förutsättningar i enskilda fall finna lämpliga former för detta.
Om huvudmannen och den privata vårdgivaren samarbetar genom att tillåta varandra direktåtkomst till patientuppgifter enligt de regler vi föreslagit i det föregående kan utföraren exempelvis använda direktåtkomsten för att få tillgång till de nödvändiga uppgifterna om patienterna. Ytterligare ett alternativ kan vara att huvudmannen lämnar ut kopior (elektroniska handlingar eller i pappersform) till den privata vårdgivaren, som sedan har att ta emot dessa och fortsatt hantera dem enligt de grundläggande bestämmelserna. En sådan lösning är emellertid inte alltid att föredra ur ett integritetsperspektiv, eftersom det innebär att uppgifter om den enskilde sprids för hantering och lagring på fler platsen är vad som egentligen kanske är nödvändigt.
Ett annat alternativ kan därför vara att huvudmannen, om så är möjligt och lämpligt, avhänder sig de allmänna handlingarna i enlighet med de regler som finns om detta i arkivlagen (1990:782), 2 kap. 17 § tryckfrihetsförordningen och lagen (1993:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring.
Ansvar för vårdgivare och för kommunen eller landstinget i egenskap av huvudmän
För att kontinuiteten i den vård som ges till en patient ska säkerställas föreslår vi dessutom att den vårdgivare med offentlig finansiering som inte längre ska bedriva en viss verksamhet ska överlämna de personuppgifter om patienterna, som behövs för att bedriva verksamheten, till den vårdgivare som ska ta över ansvaret för patientens vård och behandling. Vi föreslår inga detaljerade bestämmelser som närmare anger hur detta ska göras, utan det är upp till vårdgivaren att avgöra med hänsyn till omständigheterna i det enskilda fallet.
SOU 2014:23 En informationshantering med patienten i centrum
327
Vårdgivaren som upphör med en viss verksamhet kan exempelvis välja mellan att överlämna kopior (elektroniska handlingar eller i pappersform) på de uppgifter som är nödvändiga för patientens vård eller att lämna över ansvaret för hela journalarkivet. Om den privata vårdgivaren tillåter andra vårdgivaren direktåtkomst till patientuppgifter enligt de regler som vi föreslagit i det föregående kan den nya vårdgivaren även använda direktåtkomsten för att få till gång till nödvändig vårddokumentation. En sådan lösning förutsätter naturligtvis att vårdgivaren inte helt upphör med sin hälso- och sjukvårdsverksamhet, utan fortsatt bedriver hälso- och sjukvård och har reella möjligheter att ta ansvar för de aktuella uppgifterna.
Om det uppstår en övergångstid mellan det att vårdgivaren upphör med att driva viss verksamhet och tills någon annan tar vid eller om huvudmannen själv ska bedriva verksamheten för längre eller kortare tid, ska uppgifterna lämnas över till landstinget eller kommunen. Denna bestämmelse säkerställer ytterligare att viktig journalinformation inte går förlorad på grund av att ansvaret för driften av en verksamhet varierar över tid.
Om varken en annan privat vårdgivare eller en huvudman ska ta över journalerna enligt de regler som vi nu har beskrivit faller vårdgivarens yttersta ansvar för journalarkivet ut. Om vårdgivaren sedan inte klarar av att förvara och bevara journalerna enligt gällande regler blir bestämmelserna om omhändertagande av journalarkiv tillämpliga. Socialstyrelsen ska i sådana fall besluta om att journalerna ska tas om hand.
Våra förslag till reglering av vad som gäller angående personuppgifterna i en verksamhet blir inte tillämpliga i samband med att ett vårdföretag blir uppköpt av ett annat företag. I sådana fall ingår patientjournalerna i företagsöverlåtelsen och något problem med kontinuitet i dokumentationen behöver inte uppstå.
Ändringar i offentlighets- och sekretesslagen behövs för att upphäva sekretessen mellan huvudmannen och den privata vårdgivaren. Vi föreslår att sekretess inte ska gälla om bestämmelserna om överföring av personuppgifter vid verksamhetsövergångar följs. Vid annat utlämnande från vårdgivarna ska de vanliga sekretessbestämmelserna tillämpas. Sedan tidigare finns regler om undantag från sekretess mellan de olika myndigheter som bedriver hälso- och sjukvård inom huvudmannens område.
På grund av de bestämmelser som vi föreslår behövs ingen särskild reglering för att en enskild vårdgivare ska kunna lämna ut
En informationshantering med patienten i centrum SOU 2014:23
328
uppgifter i samband med verksamhetsövergångar. Ett sådant utlämnande kan inte anses som obehörigt i den mening som avses i patientsäkerhetslagen och innebär därmed inget brott mot tystnadsplikten. Det är samma konstruktion för lättnad i tystnadsplikten som gäller vid sammanhållen journalföring.
13.4.6 Kommunalt ansvar för omhändertagna patientjournaler i kommunal hälso- och sjukvård eller hos elevhälsan
Vårt förslag: Patientjournaler inom hälso- och sjukvårdsverk-
samheter som bedrivits med en kommun som huvudman eller inom elevhälsan ska efter ett omhändertagande förvaras avskilda hos arkivmyndigheten i den kommun där hälso- och sjukvården bedrivits. Patientjournaler i övriga verksamheter ska efter ett omhändertagande bevaras hos arkivmyndighet i det landsting där hälso- och sjukvården bedrivits.
Bestämmelser om att patientjournaler inom privat hälso- och sjukvård kan tas om hand om det på sannolika skäl kan antas att journalerna inte kommer att hanteras enligt gällande bestämmelser eller om den som ansvarar om journalerna ansöker om det införde i patientjournallagen 1992.19 Frågan hade utretts av journalutredningen som 1984 lämnade betänkandet Journalarkiv utanför den offentliga hälso- och sjukvården och tandvården.20 Bestämmelserna överfördes sedan oförändrade till patientdatalagen.
Det alltså funnit regler för hur patientjournaler i privata verksamheter ska tas om hand sedan början på 90-talet. När journalutredningen beredde lagförslaget hade kommunerna ännu inget ansvar för hälso- och sjukvård för äldre och funktionshindrade. Ädelreformen21 började gälla den 1 januari 1992. Genom den fick kommunerna bl.a. ansvar för hälso- och sjukvården i särskilda boenden. En kommun får även sluta avtal med någon annan, exempelvis en privat vårdgivare, om att utföra de uppgifter som kommunen ansvarar för. Den kommunala hälso- och sjukvården med tiden alltmer börjat utföras av privata vårdgivare. Se avsnittet om En hälso- och sjukvård i utveckling.
19Prop. 1991/92:104. 20 Ds S 1984:18. 21Prop. 1990/91:14.
SOU 2014:23 En informationshantering med patienten i centrum
329
Den svenska skolan blev ett kommunalt ansvar först 1991. Friskolereformen, som gjorde det möjligt för privata företag att bedriva skolverksamhet med kommunal finansiering, genomfördes 1992.22
Bestämmelserna som reglerar ansvaret för omhändertagna journaler utreddes alltså innan det fanns något behov av att överväga ett kommunalt ansvar för vissa hälso- och sjukvårdsjournaler.
På grund av de regler som gäller i dag ska patientjournaler i privata verksamheter inom elevhälsan eller inom privata verksamheter som bedrivs med kommunen som huvudman överföras till ett landstingsarkiv om ett omhändertagande av journalerna skulle bli aktuellt. Detta framstår inte som helt ändamålsenligt. Det är enligt utredningens bedömning lämpligare att patientjournaler som uppstår i privata verksamheter med anknytning till kommunen som huvudman för hälso- och sjukvård eller till kommunen som ansvarig för finansieringen av skolverksamheten arkiveras tillsammans med journaler från kommunens egna verksamheter.
När det gäller betygen i en friskola gäller att elevernas slutbetyg eller de betygsdokument som eleven får efter fullföljd gymnasieutbildning ska lämnas över till den till den kommun där skolan är belägen.23På så sätt får elever på fristående skolor samma möjlighet som elever i offentliga skolor att i efterhand kunna få uppgifter på genomförd skolgång om originalbetyget har förkommit och den fristående skolan inte längre finns kvar.24
Motsvarande behov att enkelt kunna ta reda på var en handling finns bevarad finns när det gäller patientjournaler från elevhälsan. Vårt förslag om att patientjournaler i privat bedriven elevhälsa efter ett omhändertagande ska förvaras i den kommun där hälso- och sjukvården bedrivits innebär att journalerna ska förvaras hos samma arkivmyndighet som betygen. Om en friskola går i konkurs och inte längre kan ansvara för patientjournalerna ska konkursförvaltaren ansöka om att journalarkivet ska tas om hand. Vårt förslag innebär att sådana journaler efter ett omhändertagande ska förvaras hos arkivmyndigheten i den kommun där elevhälsan bedrev sin verksamhet. Vi bedömer att det ur allmänhetens synpunkt framstår som logiskt att en elevhälsovårdsjournal finns i den kommun där verksamheten bedrevs.
22Prop. 1991/92:95 Om valfrihet och fristående skolor. 2329 kap. 18 § skollagen (2010:800). 24 Regeringens proposition Den nya skollagen – för kunskap, valfrihet och trygghet, prop. 2009/10:165 s. 604 ff.
En informationshantering med patienten i centrum SOU 2014:23
330
När det gäller patientjournaler som omhändertagits hos privata utförare av kommunal hälso- och sjukvård finns också ett behov av att lätt kunna ta reda på var en journal finns bevarad. En verksamhet som bedrivs av en privat entreprenör kan tas tillbaka för att drivas av kommunen. Det kan också förekomma skiften av privata utförare. Konsekvensen av dagens lagstiftning är att patientjournaler från en visst särskilt boende kan komma att förvaras hos olika arkivmyndigheter. Utredningen anser att patientjournaler som uppstått i verksamheter som erbjudit hälso- och sjukvård på kommunens uppdrag efter ett omhändertagande bör förvaras hos samma arkivmyndighet som patientjournaler i verksamheter som bedrivs av kommunen själv.
När det gäller patientjournaler i övriga verksamheter föreslår vi att de efter ett omhändertagande ska bevaras i det landsting där hälso- och sjukvården bedrivits. Det innebär att omhändertagna journaler i privata verksamheter som finansierats av landstinget ska förvaras på samma sätt som i dag.
Vi föreslår därför bestämmelser om ansvar för omhändertagna journaler som bättre stämmer överens med hur hälso- och sjukvården är organiserad i dag och som ur patientens synpunkt är mer begriplig.
13.4.7 Bevarande och gallring vid direktåtkomst inom en huvudmans ansvarsområde
Vårt förslag: När patientjournaler eller andra handlingar är till-
gängliga för en vårdgivare genom direktåtkomst gäller skyldigheten att bevara en journalhandling bara den vårdgivare som ansvarar för handlingen. Övriga myndigheter får gallra handlingen.
Utredningens förslag om direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde innebär att en del av den direktåtkomst som i dag görs med stöd av reglerna för sammanhållen journalföring i stället kommer att göras med stöd av de bestämmelser som redovisats i det föregående. Det innebär samtidigt att vissa överväganden som har gjorts i fråga om sammanhållen journalföring aktualiseras även för direktåtkomsten inom en huvudmans ansvarsområde.
SOU 2014:23 En informationshantering med patienten i centrum
331
Ett sådant övervägande rör frågan om vem som ska bevara handlingar som finns potentiellt tillgängliga genom direktåtkomst. Här ansluter vi oss till den bedömning som regeringen gjorde i samband med införandet av motsvarande bestämmelser för sammanhållen journalföring.25
Utredningen anser därmed att arkivansvar eller annat ansvar för bevarande av journalhandlingarna bör följa verksamhetsansvar och personuppgiftsansvar för den enskilda personuppgiftsbehandlingen. En journalhandling eller annan handling bör därför bara bevaras och bilda arkiv hos en myndighet eller hos en privat vårdgivare.
För att tydliggöra detta föreslår utredningen att det ska regleras att bestämmelser i hälso- och sjukvårdsdatalagen eller i annan lag eller förordning om att journalhandlingar eller andra handlingar ska bevaras viss minsta tid, inte ska vara tillämpliga på sådana journalhandlingar som har gjorts tillgängliga genom direktåtkomst hos andra vårdgivare och som dessa vårdgivare endast har en potentiell tillgång till. Det innebär i princip att det är endast en, inte flera, vårdgivare som ansvarar för bevarandet och arkivbildningen av journalhandlingar. Detta gäller även om en vårdgivare bereder sig tillgång till en annan införande vårdgivares journalhandling, så länge inte handlingen ”tankas hem” och lagras av den förstnämnde vårdgivaren.
Vidare föreslår utredningen en generell bestämmelse om att sådana potentiella handlingar får gallras. Som nämnts ska, enligt 3 § första stycket andra meningen arkivlagen, upptagningar för automatisk behandling som är tillgängliga för flera myndigheter så att de utgör allmänna handlingar hos alla dessa myndigheter, bilda arkiv endast hos en av myndigheterna. En sådan gallringsregel behövs för att inte någon myndighet ska bli arkivansvarig för privata vårdgivares journalhandlingar m.m. som de potentiellt sett har tillgång till genom direktåtkomst och som utgör allmänna handlingar hos vårdgivare som är myndigheter.26
25Prop. 2007/08:126 s. 136 ff. 26Prop. 2007/08:126 s. 120 f.
333
14 En ny sammanhållen journalföring
14.1 Bakgrund
En patient som vårdas för en sjukdom eller skada behöver ofta vård hos flera olika vårdgivare. I det föregående har vi redovisat för utvecklingen inom hälso- och sjukvården, med ett ökat antal vårdgivare, en ökad specialisering, ökad patientrörlighet och nya krav på samverkan mellan aktörer. Utvecklingen har bland annat fört med sig att allt fler vårdprocesser och motsvarande går över vårdgivargränser och i många fall även över huvudmannagränser. Ett exempel på en process som i praktiken alltid innebär att vårdgivare hos olika huvudmän behöver vara inblandade är i äldreomsorgen. Äldre som bor på särskilt boende eller i hemmet och har behov av hälso- och sjukvård får i dag sitt primära behov tillgodosett inom den kommunala hälso- och sjukvården. Eftersom kommunen endast har ansvar för hälso- och sjukvård upp till sjuksköterskenivå, dvs. inte läkare, är äldre även i behov av läkarinsatser från en landstingsfinansierad vårdgivare. Inte sällan omfattar äldres behov såväl landstingets primärvård som dess slutenvård. Inom äldreomsorgen finns därför en i princip ständigt pågående samverkan i den individinriktade patientvården.
Den högspecialiserade vården kan nämnas som ett exempel bland andra processer, som allt oftare behöver passera geografiska och organisatoriska gränser. För människor som drabbas av exempelvis cancer är det inte ovanligt att vissa delar av vårdprocessen äger rum i hemlandstinget, medan andra delar äger rum på t.ex. ett universitetssjukhus i ett närliggande landsting.
För att de olika vårdgivarna ska kunna ge bästa möjliga vård behöver de få del av de av varandras vårddokumentation om patienterna. Behovet för olika vårdgivare att dela information om patienter har i dag snarare kommit att bli regel än undantag.
En ny sammanhållen journalföring SOU 2014:23
334
Eftersom det råder sekretess och tystnadsplikt mellan olika vårdgivare måste ett utbyte av uppgifter som huvudregel föregås av ett samtycke eller prövning av om det finns något stöd för utlämnandet i det enskilda fallet. Fram tills patientdatalagen (2008:355), förkortad PDL, trädde i kraft den 1 juli 2008 gjordes allt utbyte av uppgifter mellan olika vårdgivare med stöd av dessa regler. Nu kan utbyte av uppgifter mellan olika vårdgivare också göras med hjälp av direktåtkomst. För att det ska vara tillåtet i dag måste vårdgivarna följa reglerna om sammanhållen journalföring.
Sammanhållen journalföring innebär att vårdgivare, privata som offentliga, kommun- som landstingsfinansierade och helt privata, kan dela med sig av sin vårddokumentation till varandra. Med vårdgivare avses enligt 1 kap. 3 § PDL statlig myndighet, landsting och kommun (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
I stället för att som tidigare, på ett tidsödande och inte sällan osäkert sätt, begära att information lämnas ut från en vårdgivare till en annan, t.ex. genom journalkopior, kan vårdgivarna hålla vårddokumentation ständigt tillgänglig för varandra så att den som behöver informationen själv kan ta del av den. Det kan exempelvis handla om att primärvårdsläkaren som ska ordinera läkemedel åt äldre på ett särskilt boende eller i hemsjukvården har tillgång till viktig information om de äldres hälsa som är dokumenterad i patientjournalen av sjuksköterskor i den kommunala hälso- och sjukvården, och vice versa. Det kan även handla om att anestesiläkaren som snabbt ska fatta ett viktigt beslut för en medvetslös patient vid en operation har tillgång till uppgifter från andra vårdgivare om patientens läkemedel och överkänsligheter m.m. För sjuksköterskan i den kommunala hemsjukvården kan det bestå i att vid behov enkelt och säkert kunna ta del av laboratoriesvaret på det senaste provet som primärvårdsläkaren ordinerade för patienten. Det handlar alltså om en ändamålsenlig informationshantering för att tillgodose en god och säker vård av den enskilde patienten.
Kort om förutsättningarna för sammanhållen journalföring i dag
Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring ska patienten informeras om vad den sammanhållna journalföringen innebär. Patienten ska också
SOU 2014:23 En ny sammanhållen journalföring
335
få information om att han eller hon kan neka till att uppgifterna blir tillgängliga på det sättet. För samtliga patienter som då inte motsatt sig får vårdgivaren en laglig grund att göra uppgifterna tillgängliga för andra vårdgivare. På det sättet kan viktig vårddokumentation, oavsett vilka vårdgivare som är inblandade i individens vård, alltid nås av den personal som behöver den för att göra så bra bedömningar som möjligt för individens liv och hälsa. De flesta medborgare motsätter sig inte att vårdgivare gör vårddokumentation potentiellt tillgänglig för varandra genom sammanhållen journalföring.
Det finns inga uttryckliga krav på i vilken form informationen om sammanhållen journalföring ska lämnas utan det är upp till vårdgivarna att hitta lämpliga former som är väl avvägda och anpassade till olika verksamhetsformer och olika slags samarbeten mellan vårdgivare. En förutsättning för att individen ska kunna ta ställning är självklart att rätt information har lämnats av vårdgivaren, något som Datainspektionen i ett antal tillsynsärenden funnit brister i. Även om det inte finns krav på att informationen ska vara individuell är det vårdgivaren som ansvarar för att alla har fått information. I praktiken informerar vårdgivare genom annonsering i länstidningar, dagstidningar, på olika webbsidor, i informationsbroschyrer, på affischer och genom information i samband med kallelser m.m. För de individer som efter en sådan informationsinsats inte vänder sig till vårdgivaren och motsätter sig den sammanhållna journalföringen tillgängliggörs vårddokumentation för andra vårdgivare.
För att en vårdgivare sedan, i en enskild vårdsituation, ska få använda uppgifter som en annan vårdgivare gjort tillgängliga genom sammanhållna journalföringen krävs dessutom enligt 6 kap. 3 § PDL att
1. uppgifterna rör en patient som vårdgivaren har en aktuell
patientrelation med,
2. uppgifterna kan antas ha betydelse för att förebygga, utreda eller
behandla sjukdomar och skador hos patienten inom hälso- och sjukvården, och
3. patienten samtycker till att vårdgivaren behandlar uppgifterna.
En ny sammanhållen journalföring SOU 2014:23
336
14.1.1 Kort om behovet av ett förändrat och förenklat regelverk
Vår bedömning: Patientdatalagens bestämmelser om samman-
hållen journalföring bör föras över till hälso- och sjukvårdsdatalagen, men det finns behov av förändringar i språk, innehåll och struktur. Vidare bör övervägas vissa förändrade förutsättningar för att ta del av uppgifter i sammanhållen journalföring. Regelverket om sammanhållen journalföring bör även anpassas till övriga förslag om direktåtkomst vi lämnar.
Enligt vår uppfattning är sammanhållen journalföring i dag i närmaste en nödvändighet för att kunna åstadkomma en informationshantering som bidrar till kvalitet och patientsäkerhet. Av den anledningen saknas skäl att inte överföra patientdatalagens bestämmelser till den hälso- och sjukvårdsdatalag som vi föreslår. Samtidigt är konstruktionen för utbyte av vårddokumentation genom sammanhållen journalföring komplex och har gett upphov till tillämpningsproblem. Därtill är bestämmelserna om sammanhållen journalföring i patientdatalagen komplicerade såväl språkligt som strukturellt.
För att underlätta den praktiska tillämpningen av lagen anser utredningen därför att det finns behov av en omarbetning av bestämmelserna om sammanhållen journalföring när de förs över till hälso- och sjukvårdsdatalagen. Det finns både ur ett medborgar- och vårdgivarperspektiv behov av att göra regleringen enklare att tillämpa och mer pedagogisk, det vill säga lättare att förstå. Vi vill därför förenkla bestämmelserna om sammanhållen journalföring.
Dessutom finns det behov av att analysera hur bestämmelserna om sammanhållen journalföring påverkas av de förslag som utredningen lämnar i andra delar. En konsekvens av de förslag som vi redogjort för tidigare om utökade möjligheter till informationsutbyte mellan vårdgivare som bedriver verksamhet som samma huvudman ansvarar för, är att tillämpningsområdet för sammanhållen journalföring blir mindre än i dag.
Vidare bedömer vi att det finns anledning att se över förutsättningarna för att ta del av och använda uppgifter i system för sammanhållen journalföring. Det handlar framför allt om den nuvarande begränsningen som innebär att åtkomst till uppgifter i system för sammanhållen journalföring inte får användas för att säkra och
SOU 2014:23 En ny sammanhållen journalföring
337
utveckla verksamhetens kvalitet. Därutöver finns det behov av att analysera om det nu gällande samtyckeskravet för få att ta del av uppgifter i sammanhållen journalföring är ändamålsenligt, eller om patientens grundläggande samtycke till vård även kan utgöra grund för den informationshantering som behövs för att patienten ska få bästa möjliga vård.
14.2 Våra överväganden och förslag om att göra uppgifter tillgängliga i system för sammanhållen journalföring
14.2.1 Tydligare reglering av regelverkets tillämpningsområde och innebörd
Vår bedömning: Vårt förslag, i avsnitt 13, om direktåtkomst
mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för, medför att tillämpningsområdet för vad som i dag hänförs till sammanhållen journalföring minskar. Detta bör framgå av hälso- och sjukvårdsdatalagen. Vidare bör kapitlet om sammanhållen journalföring inledas med en bestämmelse som beskriver vad som regleras i kapitlet.
Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att med
sammanhållen journalföring avses en möjlighet för vårdgivare, som bedriver hälso- och sjukvård som olika huvudmän ansvarar för eller som är privat finansierad, att ha direktåtkomst till varandras vårddokumentation. I lagen ska även anges att kapitlet innehåller bestämmelser om förutsättningarna för sammanhållen journalföring.
Inledning
I dag omfattar bestämmelserna om sammanhållen journalföring allt informationsutbyte genom direktåtkomst mellan vårdgivare. Det innebär exempelvis att en privat driven vårdcentral och det landstingsdrivna sjukhuset behöver tillämpa reglerna om sammanhållen journalföring för att vid behov kunna utbyta uppgifter om patienter. En konsekvens av vårt förslag om utökade möjligheter till direktåtkomst mellan vårdgivare som bedriver hälso- och sjuk-
En ny sammanhållen journalföring SOU 2014:23
338
vård som samma huvudman ansvarar för, är dock att tillämpningsområdet för sammanhållen journalföring minskar jämfört med i dag.
Som vi har redogjort för i avsnitt 13 föreslår vi att vårdgivare som bedriver hälso- och sjukvård som t.ex. samma kommun eller samma landsting ansvarar för, ska få utbyta information genom direktåtkomst utan att tillämpa sammanhållen journalföring. En följd av det förslaget är att sammanhållen journalföring enligt hälso- och sjukvårdsdatalagen kommer att vara den form av informationsutbyte genom direktåtkomst som används mellan vårdgivare som bedriver hälso- och sjukvård som olika huvudmän ansvarar för. Jämfört med i dag blir tillämpningsområdet således betydligt mindre.
Som exempel på sådana informationsutbyten genom direktåtkomst som kommer att omfattas av hälso- och sjukvårdsdatalagens bestämmelser om sammanhållen journalföring kan bland annat följande nämnas.
• Informationsutbyte mellan en vårdgivare som bedriver hälso- och sjukvård som ett landsting ansvarar för och en vårdgivare som bedriver hälso- och sjukvård som en kommun ansvarar för.
• Informationsutbyte mellan två vårdgivare som bedriver hälso- och sjukvård som olika landsting ansvarar för.
• Informationsutbyte mellan två vårdgivare som bedriver hälso- och sjukvård som olika kommuner ansvarar för.
• Informationsutbyte mellan två vårdgivare som bedriver hälso- och sjukvård som två olika privata aktörer ansvarar för och finansierar.
• Informationsutbyte mellan en vårdgivare som bedriver hälso- och sjukvård som antingen ett landsting eller en kommun ansvarar för och en vårdgivare som bedriver hälso- och sjukvård som en privat aktör ansvarar för och finansierar.
Innebörden av detta är, något förenklat, att sammanhållen journalföring i hälso- och sjukvårdsdatalagen kommer att gälla för informationsutbyte genom direktåtkomst mellan hälso- och sjukvårdsverksamheter som finansieras av olika huvudmän eller privata aktörer. Det innebär att tillämpningsområdet för sammanhållen journalföring inte på samma sätt som i dag kommer att påverkas av organisatoriska förändringar i den hälso- och sjukvård som samma
SOU 2014:23 En ny sammanhållen journalföring
339
huvudman ansvarar för. Så fort en landstingsdriven vårdcentral tas över för att drivas i privat regi, men med fortsatt med offentlig finansiering måste i dag sammanhållen journalföring börja användas för det fortsatta informationsutbytet. Med vårt förslag kommer sådana organisationsförändringar att kunna göras utan att det automatiskt påverkar förutsättningarna för utbyte av patientuppgifter.
Sammanhållen journalföring kommer fortfarande att vara den möjlighet som finns för informationsutbyte mellan landstingsfinansierade verksamheter och kommunalt finansierade verksamheter. Som exempel kan nämnas sådan direktåtkomst som sjuksköterskor på särskilda boenden eller i den kommunala hemsjukvården har till vårddokumentation hos slutenvården eller primärvården och vice versa. Våra förslag minskar således inte incitamenten för dessa vårdgivare att samarbeta i system för sammanhållen journalföring, exempelvis den Nationella patientöversikten (NPÖ) eller mer lokala lösningar. Det behovet kvarstår oförändrat och kan i själva verket komma att öka, inte minst i takt med att fler och fler kommuner tar över ansvaret för hemsjukvården.
Ett annat exempel på när sammanhållen journalföring kommer att behöva användas är vid vårdprocesser över landstingsgränser. Det kan t.ex. handla om samarbeten mellan verksamheter i olika landsting vad gäller högspecialiserad vård, men det kan även vara fråga om sådan vård i olika landsting som föranleds av patienternas vårdval och rörlighet.
Ytterligare exempel kan vara i samband med sådan ambulanssjukvård där ambulansen bedriver verksamhet som en huvudman ansvarar för medan mottagande akutsjukhus bedriver verksamhet som en annan huvudman ansvarar för. I sådana fall kommer direktåtkomst till vårddokumentation att användas med stöd av reglerna om sammanhållen journalföring. För stora delar av ambulanssjukvården kommer dock direktåtkomsten att kunna ske i enlighet med förslagen om utökade möjligheter för vårdgivare som bedriver verksamhet som samma huvudman ansvarar för.
I patientdatalagens 6 kap. om sammanhållen journalföring återfinns ingen egentlig definition av vad som avses med begreppet. Visserligen anges bland definitionerna i 1 kap. 3 § att sammanhållen journalföring är ett elektroniskt system som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare. Även om den definitionen till stora delar är
En ny sammanhållen journalföring SOU 2014:23
340
tillfyllest, kan lämpligheten att peka på att det handlar om ett elektroniskt system ifrågasättas. Att definitionen inte finns i 6 kap. är även en sak som har lyfts fram som en brist i utredningens kontakter med företrädare från hälso- och sjukvården. Utredningens erfarenhet är att det finns en osäkerhet på olika nivåer i hälso- och sjukvården om vad sammanhållen journalföring är och att olika uppfattningar och beskrivningar florerar. Även om det sannolikt inte kan tillskrivas den nuvarande definitionen av sammanhållen journalföring och dess placering i lagen, anser vi att det finns skäl att så långt möjligt skapa en ökad tydlighet i frågan. För att tydliggöra vad som i hälso- och sjukvårdsdatalagen avses med sammanhållen journalföring och avgränsa regelverket från andra möjligheter till direktåtkomst, bör enligt vår bedömning en ny definition av sammanhållen journalföring föras in i lagen och i inledningen till kapitlet om sammanhållen journalföring. Vi föreslår därför att det med sammanhållen journalföring avses en möjlighet för vårdgivare, som bedriver hälso- och sjukvård som olika huvudmän ansvarar för eller som är privat finansierad, att ha direktåtkomst till varandras vårddokumentation.
Begreppet direktåtkomst
När det gäller begreppet direktåtkomst ansluter vi oss till den syn på begreppet som regeringen redovisar i förarbetena till patientdatalagen.1Innebörden av direktåtkomst i hälso- och sjukvårdsdatalagen ska således vara densamma som i dag följer av patientdatalagen och dess förarbeten. Regeringen uttalar bland annat att det med direktåtkomst avses ett sätt att bereda sig automatisk tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation, men utan möjlighet att kunna bearbeta eller annars påverka uppgifternas innehåll.2Med direktåtkomst enligt hälso- och sjukvårdsdatalagen ska därmed avses en speciell form av elektroniskt utlämnande av personuppgifter till en mottagare utanför den organisation som bedriver verksamhet enligt socialtjänstlagen (2001;453). Direktåtkomst skiljer sig från andra typer av elektroniska utlämnanden genom att det är mottagaren av uppgifterna som bereder sig tillgång till informationen utan att den som lämnar ut informationen vidtar någon åtgärd med informa-
SOU 2014:23 En ny sammanhållen journalföring
341
tionen vid överföringstillfället, till exempel en sekretessprövning. I de här fallen är det fråga om ett helt automatiskt utlämnande. Se vidare om direktåtkomst och andra former av elektroniska utlämnanden i avsnitt 11.
Kapitlets huvudsakliga innehåll bör framgå av lagen
Det nuvarande regelverket om sammanhållen journalföring i 6 kap. patientdatalagen är omfattande och berör en mängd olika delar av informationsutbytet genom direktåtkomst. Exempelvis anges förutsättningarna för att lämna ut uppgifter genom direktåtkomst, ta del av uppgifter genom direktåtkomst, vilken betydelse patientens inställning har, vad som gäller för barn m.m.
I syfte att göra regleringen mer överskådlig och pedagogisk föreslår vi att kapitlet inleds med bestämmelser om vad kapitlet avser att reglera. Av en inledande bestämmelser bör därför framgå att kapitlet innehåller bestämmelser om förutsättningarna för att dela med sig av och ta del av uppgifter genom sammanhållen journalföring samt om patientens rätt att motsätta sig att uppgifter görs tillgängliga.
14.2.2 Förenklad utformning av bestämmelserna
Vår bedömning: Den nuvarande paragrafen om att göra upp-
gifter tillgängliga för andra vårdgivare i 6 kap. 2 § PDL är lång, oöverskådlig och svårtillgänglig.
Vårt förslag: Bestämmelserna om förutsättningarna för att göra
personuppgifter tillgängliga för andra vårdgivare (skede 1) ska delas upp på flera paragrafer.
De nuvarande bestämmelserna om villkoren för att tillgängliggöra uppgifter genom sammanhållen journalföring (6 kap. 2 § PDL) är sällsynt lång och svårgenomtränglig. Paragrafen innehåller inte mindre än 241 ord och handlar såväl om vårdgivarens informationsskyldighet och möjlighet att tillgängliggöra uppgifter, som om patientens rätt att spärra uppgifter och begära att spärrar hävs. Vidare regleras att vårdnadshavare inte kan spärra uppgifter om barn. I paragrafens sista stycke anges även detaljerade och mer
En ny sammanhållen journalföring SOU 2014:23
342
verksamhetsnära krav som påverkar utformningen av användargränssnitten i system för sammanhållen journalföring.
Bestämmelsens utformning är enligt utredningens uppfattning inte ändamålsenlig. Vår erfarenhet är även att såväl vårdgivare som har att tillämpa bestämmelsen och patienter som vill bilda sig en uppfattning om de rättsliga förutsättningarna finner den alldeles för svårtillgänglig. Vi föreslår därför att förutsättningarna för att göra uppgifter tillgängliga för andra vårdgivare i system för sammanhållen journalföring delas upp på ett flertal olika bestämmelser. Mot den bakgrunden föreslår vi sammanfattningsvis att de mer grundläggande förutsättningarna samlas i en bestämmelse och att en annan bestämmelse reglerar vad som ska gälla om patienten inte endast tillfälligt saknar förmåga att ta ställning till sammanhållen journalföring. Vidare föreslås en egen bestämmelse om patientens rätt att motsätta sig sammanhållen journalföring och konsekvenserna av detta. Slutligen föreslår vi en egen bestämmelse som reglerar vårdnadshavares förbud att motsätta sig att uppgifter om barn görs tillgängliga för andra vårdgivare. Förslagen redovisas i det följande.
14.2.3 Grundläggande bestämmelse om att göra uppgifter tillgängliga
Vårt förslag: I hälso- och sjukvårdsdatalagen ska i en paragraf
anges de grundläggande förutsättningarna för att göra personuppgifter tillgängliga i system för sammanhållen journalföring. I paragrafen ska anges att vårdgivare får göra uppgifter som dokumenterats för ändamålet vårddokumentation tillgängliga för andra vårdgivare, om patienten efter att ha fått information om vad den sammanhållna journalföringen innebär och om sin rätt att motsätta sig, inte har motsatt sig det.
Vår bedömning: Förslaget innebär inte några förändringar i sak
jämfört med vad som gäller enligt patientdatalagen i dag.
Som anförts ovan är den nuvarande bestämmelsen i 6 kap. 2 § PDL med förutsättningar för att tillgängliggöra uppgifter i system för sammanhållen journalföring lång och omfattande. För att göra regelverket tydligare och mer överskådligt föreslår vi att de grund-
SOU 2014:23 En ny sammanhållen journalföring
343
läggande förutsättningarna samlas i en egen bestämmelse. I denna paragraf anges kraven på information till patienten innan tillgängliggörandet. Där regleras också vilka typer av uppgifter som får lämnas ut genom sådan direktåtkomst, dvs. sådana uppgifter som dokumenterats för ändamålet vårddokumentation. Vidare ska, precis som enligt nuvarande reglering i patientdatalagen, en förutsättning för att få göra uppgifter tillgängligavara att patienten inte har motsatt sig det.
Vårt förslag innebär inte några förändringar i sak jämfört med vad som gäller i dag och vad som regeringen anförde i denna del i förarbetena till patientdatalagen.3
Vårdgivarens informationsskyldighet och patientens rätt att motsätta sig
När det gäller vårdgivarens skyldighet att informera patienter om sammanhållen journalföring ansluter vi oss till regeringens uttalanden i förarbetena till den nuvarande bestämmelsen i 6 kap. 2 § PDL och till den praxis som har utarbetats av Datainspektionen. Vidare ska ett tillgängliggörande av uppgifter i system för sammanhållen journalföring enligt hälso- och sjukvårdsdatalagen precis som i dag bygga på att patienten inte motsätter sig det. Den s.k. opt-outmodell som i dag gäller, dvs. patientens rätt att motsätta sig, ska således överföras oförändrad till hälso- och sjukvårdsdatalagen.
Med avseende på informationsplikten och patientens rätt att motsätta sig uttalade regeringen bland annat följande i förarbetena.4
Något krav på samtycke i den mening som avses i personuppgiftslagen såsom förutsättning för personuppgiftsbehandlingen föreslås alltså inte. Genom den föreslagna bestämmelsen uppnår man i stället en ordning där ett slags opt out-modell eller, om man så vill, ett tyst samtycke i praktiken gäller för att journaluppgifter lämnas ut till andra vårdgivare genom införande i ett system för sammanhållen journalföring. Givetvis måste denna opt out-ordning kombineras med krav på att patienten blir informerad om att journalföring m.m. avses ske i en för flera vårdgivare sammanhållen journalföring och om sin rätt att motsätta sig att uppgifterna görs tillgängliga för andra vårdgivare än den patienten uppsökt. Enligt regeringens uppfattning ska tillgängliggörandet inte få ske innan denna information lämnats. Hur denna information ska lämnas kan inte anges generellt. Regeringen förut-
3 Se framför allt prop. 2007/08:126 s. 112 f och s. 248–250. 4Prop. 2007/08:126 s. 113.
En ny sammanhållen journalföring SOU 2014:23
344
sätter att hälso- och sjukvårdens aktörer hittar lämpliga former som är väl avvägda och anpassade till olika verksamhetsområden och till olika slags samarbeten mellan vårdgivare genom sammanhållen journalföring samt till den enskilde patientens förmåga att ta till sig informationen.
När det gäller tillvägagångssättet för att informera patienter anför regeringen även följande i förarbetena.5
Hur informationen ska lämnas överlåts åt varje personuppgiftsansvarig att bestämma. Något krav på att informationen ska ges i viss form – muntlig eller skriftlig – finns inte. Det är dock viktigt att den personuppgiftsansvarige utarbetar rutiner för hur informationsskyldigheten ska fullgöras. Säkra rutiner ligger i den personuppgiftsansvariges eget intresse, eftersom denne – då det gäller information till en registrerad vid personuppgiftsbehandling – anses ha bevisbördan för att obligatorisk information faktiskt har lämnats till patienten.
Det finns således inga uttryckliga krav på i vilken form informationen om sammanhållen journalföring ska lämnas utan det är upp till vårdgivarna att hitta lämpliga former som är väl avvägda och anpassade till olika verksamhetsformer och olika slags samarbeten mellan vårdgivare. En förutsättning för att individen ska kunna ta ställning är självklart att rätt information har lämnats av vårdgivaren, något som Datainspektionen i ett antal tillsynsärenden funnit brister i.
Även om det inte finns krav på att informationen ska vara individuell är det vårdgivaren som ansvarar för att alla har fått information. I praktiken informerar vårdgivare genom annonsering i länstidningar, dagstidningar, på olika webbsidor, i informationsbroschyrer, på affischer och genom information i samband med kallelser m.m. Datainspektionen har i ett antal tillsynsärenden bedömt att sådana informationsinsatser gör att vårdgivare kan göra uppgifter tillgängliga i enlighet med bestämmelserna i 6 kap. 2 § PDL.6För de individer som efter en sådan informationsinsats inte vänder sig till vårdgivaren och motsätter sig den sammanhållna journalföringen görs vårddokumentationen tillgänglig för andra vårdgivare.
Datainspektionen har emellertid i flera tillsynsärenden funnit brister i informationens innehåll och i tillvägagångssättet för att informera. För att illustrera tillsynsmyndighetens syn på hur
5Prop. 2007/08: 126 s. 249 f. 6 Datainspektionens beslut 2011-06-01, dnr. 461-2010.
SOU 2014:23 En ny sammanhållen journalföring
345
information kan lämnas kan följande tillsynsärende rörande en privat vårdgivare nämnas.7
Bolaget tillhandahåller Landstingets patientbroschyr i Bolagets väntrum. I övrigt lämnas inte någon annan information om sammanhållen journalföring till Bolagets patienter som ingår i den sammanhållna journalföringen. Detta innebär att patienter som har Bolaget som vårdgivare ännu inte har erhållit information om vad sammanhållen journalföring innebär och om att patienten kan motsätta sig detta. ---- Datainspektionen vill i sammanhanget lämna följande information. Bolaget måste nu avgöra vilka åtgärder som ska vidtas när det gäller informationsskyldigheten och se till att samtliga av Bolagets patienter som Bolaget har tillgängliggjort inom ramen för den sammanhållna journalföringen, dvs. även de patienter som eventuellt inte är bosatta i länet, blir informerade. Datainspektionen anser att Bolaget, för att kunna uppfylla informationsskyldigheten mot patienter bosatta såväl inom som eventuellt utom länet, behöver informera i medier som finns både inom och eventuellt utom länet. När det gäller att informera patienter utanför länet finns även en möjlighet för Bolaget att samarbeta med aktuella vårdgivare i de olika länen. Datainspektionen anser vidare att det är lämpligt att Bolaget informerar patienterna vid minst ett par tillfällen i medierna. När det gäller tillvägagångssättet för att kontinuerligt informera patienter, dvs. de som besöker Bolaget för första gången, anser Datainspektionen att Bolaget förutom att endast tillhandahålla broschyrer i väntrum, även måste uppmärksamma patienterna på att ta del av broschyren. En sådan hänvisning kan göras på många olika sätt, t.ex. muntligt eller, vid planerade besök, i samband med kallelser. Datainspektionen vill även framhålla att när det gäller t.ex. patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på flera språk.
Vi kan konstatera att vårdgivare behöver vidta ett antal olika informationsinsatser för att kunna nå samtliga patienter, dvs. både enskilda som redan finns i vårdgivarens journalsystem och enskilda som besöker vårdgivare för första gången. Vi har vid våra kontakter med vårdgivare även blivit informerade om att det finns ett antal mer eller mindre stående informationsinsatser och kombinationer av informationsinsatser som används. Det är viktigt att detta arbete upprätthålls och kontinuerligt anpassas efter nya situationer som kan uppstå.
7 Datainspektionens beslut 2011-02-17, dnr. 616-2010.
En ny sammanhållen journalföring SOU 2014:23
346
Vi anser även att det kan finnas skäl att överväga en mer samordnad nationell informationsinsats riktad till hela befolkningen. Detta för att öka det allmänna medvetandet om informationshantering i hälso- och sjukvården i allmänhet och informationsutbytet genom sammanhållen journalföring i synnerhet. Det skulle kunna göras som ett komplement till vårdgivarnas egna informationsinsatser, men möjligtvis i viss mån även kunna ersätta sådana insatser som vårdgivare i dag gör var för sig trots att det handlar om ett och samma samarbete och system för sammanhållen journalföring. Ett sådant exempel skulle möjligtvis kunna vara informationen kring den Nationella patientöversikten, NPÖ. Ifall detta är lämpligt och om en sådan informationsinsats skulle kunna gå att utforma på ett sådant sätt att det i viss mån ersätter vårdgivarnas egna informationsinsatser bör dock övervägas mer noggrant än vad vi har möjlighet att göra. Generellt kan dock ifrågasättas lämpligheten och effektiviteten av att i princip varje privat vårdgivare, varje landsting och varje kommun ska ta fram informationsmaterial för i princip samma sak.
Vidare kan konstateras att det inte heller med avseende på informationens innehåll finns några uttryckliga krav i patientdatalagen, förutom att det anges att patienten ska få information om vad den sammanhållna journalföringen innebär. Datainspektionen har i sin praxis bedömt att en vårdgivare åtminstone behöver lämna följande information.8
• Ändamålet med den sammanhållna journalföringen.
• Vilka uppgifter vårdgivaren avser att tillgängliggöra.
• För vilka andra vårdgivare uppgifterna tillgängliggörs.
• Vilka förutsättningar som gäller för andra vårdgivares åtkomst till uppgifterna.
• Patientens rätt att spärra uppgifter och hur spärrar får hävas.
8 Datainspektionens beslut 2011-02-17, dnr. 590-2010, 591-2010 och 616-2010.
SOU 2014:23 En ny sammanhållen journalföring
347
14.2.4 Grundläggande bestämmelse om patienten inte endast tillfälligt saknar förmåga att ta ställning
Vårt förslag: Vårdgivare får en möjlighet att göra person-
uppgifter tillgängliga i system för sammanhållen journalföring även om en patient inte endast tillfälligt saknar förmåga att ta ställning till personuppgiftsbehandlingen. Detta under förutsättning att det inte är uppenbart att patienten skulle ha motsatt sig sådan personuppgiftsbehandling.
Inledning
För en patientsäker hälso- och sjukvård är det i dag mer eller mindre nödvändigt för vårdgivare att vid behov kunna nå viktig information om patienterna i varandras journalsystem. Det gäller inte minst på det lokala planet i den kommun och det landsting patienten bor i. Genom sammanhållen journalföring kan vårddokumentation, oavsett vilka vårdgivare som är delaktiga i vården av en patient, alltid nås av behörig personal som behöver den i sitt möte med patienten. De allra flesta medborgare väljer att inte motsätta sig att vårddokumentation blir potentiellt tillgänglig för vårdgivare på detta sätt. I den allmänna debatten och vid våra kontakter med patient- och anhörigorganisationer har framkommit att de flesta redan förutsätter att så är fallet, dvs. att den som patienten möter i vården har tillgång till rätt och aktuell information för säker vård.
Ett problem är dock att patientdatalagen saknar bestämmelser om hur personer som inte endast tillfälligt saknar beslutsförmåga ska kunna dra nytta av en sådan informationsdelning och de fördelar det kan medföra i form av ökad kvalitet och patientsäkerhet. En person som i det aktuella avseendet har nedsatt beslutsförmåga kan ju varken informeras om sammanhållen journalföring eller ta ställning till om vårddokumentationen ska få delas på det sättet. En möjlighet skulle visserligen kunna vara att låta en legal ställföreträdare fatta beslut å den enskildes vägnar. I praktiken saknas dock ett sådant ställföreträdarskap som skulle kunna agera i den enskildes ställe i dessa frågor. Det har heller inte bedömts vara möjligt att exempelvis låta en närstående ta emot informationen
En ny sammanhållen journalföring SOU 2014:23
348
och ge uttryck för den enskildes vilja.9 Därutöver får även antas att inte alla har närstående som har möjlighet att bevaka och utöva den enskildes intressen i sådan utsträckning som skulle krävas för att regelverket skulle ge alla samma förutsättningar.
Sammantaget får det enligt gällande rätt anses oklart om det över huvud taget är möjligt att inkludera vuxna personer som inte endast tillfälligt har nedsatt beslutsförmåga i system för sammanhållen journalföring. Det finns därför stora behov av att lägga förslag som gör de möjligt att använda denna typ av informationsdelning för en god och säker vård även för personer med nedsatt beslutsförmåga.
Utredningens delbetänkande SOU 2013:45
Utredningen har i delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga, SOU 20013:45, föreslagit ändringar av patientdatalagen som gör det möjligt för personer med nedsatt beslutsförmåga att dra nytta av sammanhållen journalföring. Vi föreslår nu att det förslaget i stället tas in i den hälso- och sjukvårdsdatalag som vi föreslår.
I det följande återges centrala delar av vårt förslag. För ytterligare vägledning hänvisas till delbetänkandet.
Vi anser att lagstiftaren måste ta ett särskilt ansvar för den grupp patienter som inte själva kan föra sin information vidare i hälso- och sjukvården. Det gäller inte minst vuxna som av olika skäl och många gånger över tid har en nedsatt beslutsförmåga. Den som på grund av sjukdom, psykisk störning, försvagat hälsotillstånd eller annat liknande förhållande mer varaktigt saknar beslutsförmåga har i de flesta fall större nytta av att uppgifter finns potentiellt tillgängliga för andra vårdgivare än patienter som själva har möjlighet att berätta viktiga detaljer om sin hälsa i kontakten med hälso- och sjukvården.
I sammanhanget kan uppmärksammas att lagstiftaren när det gäller barn valt att undanta dem från möjligheterna att motsätta sig den sammanhållna journalföringen. Inte heller vårdnadshavaren har i dessa fall rätt att motsätta sig att uppgifter om barn görs tillgängliga. Syftet har varit att göra det möjligt att hålla vårddokumentation om barn tillgängliga för vårdpersonal hos olika vårdgivare, för att på sådant sätt få bättre möjligheter att upptäcka
9 Se t.ex. Datainspektionens beslut dnr 1048-2012.
SOU 2014:23 En ny sammanhållen journalföring
349
om ett barn far illa. Regeringen ansåg att skyddet för barnet väger tyngre än behovet av skydd för barnets integritet10.
Det går visserligen inte att komma ifrån att ett tillgängliggörande av uppgifter i system för sammanhållen journalföring kan medföra ökade risker för intrång i den personliga integriteten. Vi bedömer emellertid att behovet av skydd för patientens liv och hälsa väger tyngre än dennes behov av ett sådant skydd för den personliga integriteten som ett exkluderande innebär. I våra kontakter med patient- och anhörigorganisationer framgår det dessutom tydligt att man vill, och redan i dag förutsätter, att viktig information – om alla patienter – ska finnas där den behövs alldeles oavsett om den exempelvis är dokumenterad i kommunens hälso- och sjukvård, på vårdcentralen eller på sjukhuset. Det avgörande ska inte vara i vilken organisation uppgifterna är dokumenterade utan i vilken vårdsituation uppgifterna behövs. Inte minst för den som inte själv kan redogöra för viktiga detaljer kring sitt hälsotillstånd är det en förutsättning för en god och säker vård.
Vidare bedömer vi att det regelverk vi föreslår för hantering av patienters personuppgifter generellt bidrar till ett starkt integritetsskydd. I hälso- och sjukvårdsdatalagen tydliggörs kraven på vårdens aktörer att vidta tekniska och organisatoriska åtgärder för att tillgodose behovet av skydd för den personliga integriteten. Dessa ska precis som i dag kompletteras med närmare föreskrifter från Socialstyrelsen. Bestämmelser om inre sekretess, om behörighetsstyrning, om åtkomstkontroll och om rätt för patienten att få information om åtkomst till sina uppgifter, medför att alla patienter får ett ur lagstiftarens perspektiv starkt grundläggande integritetsskydd. Detta kompletteras och stärks även av att hälso- och sjukvårdspersonalen är skyldiga att tillämpa bestämmelser om sekretess och tystnadsplikt.
Närmare om vårt förslag
För att den som har nedsatt beslutsförmåga ska ha samma möjligheter som andra individer att dra nytta av ett mer patientsäkert och effektivt informationsutbyte föreslår vi sammanfattningsvis ett undantag i hälso- och sjukvårdsdatalagen som innebär att vårdgivare, under vissa förutsättningar, kan göra personuppgifter tillgängliga i system för sammanhållen journalföring även om patienten
En ny sammanhållen journalföring SOU 2014:23
350
inte kan ta emot information och ta ställning till åtgärden. Förslaget vilar på den grundläggande värderingen om att det på en generell nivå är det bästa för den enskildes liv, hälsa och livskvalitet. Vi bedömer att det ligger i den enskildes intresse att t.ex. primärvårdsläkaren har möjlighet att ta del av den information som behövs från det särskilda boendet eller från sjukhuset för att göra bästa möjliga ställningstaganden för den enskildes vård och behandling. Dessutom vårdas ofta individer med nedsatt beslutsförmåga växelvis hemma, på sjukhus, på vårdcentraler och i olika former av särskilda boenden. Sammanhållen journalföring är därför en nödvändig förutsättning för att alla dessa berörda, offentliga som privata vårdgivare, ska kunna ge den enskilde en god och säker vård.
Från lagstiftningens nuvarande krav på information och möjlighet att motsätta sig sammanhållen journalföring undantas således vuxna som inte endast tillfälligt saknar förmåga att ta ställning till saken. Genom vårt förslag till undantag görs detta informationsutbyte möjligt för alla patienter. Det ska inte göras på samma, men på ett liknande sätt som redan gäller för barn. Till skillnad mot vad som gäller för barn ska inte möjligheten att tillgängliggöra uppgifter vara helt utan undantag. Om det är uppenbart att den enskilde skulle ha motsatt sig tillgängliggörandet, får uppgifterna inte göras tillgängliga för andra vårdgivare.
För patienter, närstående, vårdgivare och personal som arbetar i hälso- och sjukvården är det viktigt att det så långt möjligt är tydligt när en personuppgiftsbehandling är laglig och när den inte är det. Bland annat av den anledningen bedömer vi att det ska vara uppenbart att den enskilde skulle ha motsatt sig tillgängliggörandet för att en sådan personuppgiftsbehandling inte ska få genomföras. Vi bedömer även att det ligger i linje med den värdering lagstiftaren gjort vad gäller patienter som har förmåga att ta ställning till personuppgiftsbehandlingen. Där är det upp till den patient som inte önskar medverka i system för sammanhållen journalföring som har ett ansvar för att aktivt motsätta sig detta.
Närmare om betydelsen av patientens inställning m.m.
I linje med de grundläggande bestämmelserna i hälso- och sjukvårdslagen (1982:763), förkortad HSL, om att all hälso- och sjukvård ska bygga på respekt för patientens självbestämmande och
SOU 2014:23 En ny sammanhållen journalföring
351
integritet har en vårdgivare att beakta vad som är känt om den enskildes inställning i den aktuella frågan. Om det för vårdgivaren finns omständigheter som pekar på att den enskilde uppenbarligen hade motsatt sig sammanhållen journalföring, ska ett tillgängliggörande av personuppgifter inte kunna göras med stöd av den bestämmelse vi föreslår. Sådana omständigheter kan exempelvis utgöras av att vårdgivaren känner till eller får kännedom om att den enskilde motsatt sig sammanhållen journalföring i annat, liknande, sammanhang. Det kan även handla om att närstående lämnar välgrundad information om saken, exempelvis i samband med vårdplanering eller inflyttning på särskilt boende eller inför planerad hälso- och sjukvård. För vårdgivarna är det därför viktigt att i dessa olika möten med patienter och närstående informera om sammanhållen journalföring och försöka ta reda på ifall den enskilde skulle ha motsatt sig det.
Närstående har ingen formell rätt att besluta i den enskildes ställe, utan det är hälso- och sjukvårdspersonalen hos vårdgivaren som ska ta ställning till personuppgiftsbehandlingen. Närståendes uppfattning om patientens inställning kan dock vara vägledande. I dessa fall handlar det således om att hälso- och sjukvårdspersonalen har att göra en bedömning som liknar den som ändå alltid görs för att kunna ge vård och behandling åt en person med nedsatt beslutsförmåga. Den personuppgiftsbehandling som ett tillgängliggörande innebär ska därmed göras utifrån vad som är känt om den enskildes inställning och hälso- och sjukvårdspersonalens bedömning av vad som är det bästa för den enskilde. Om det är uppenbart att den enskilde skulle ha motsatt sig den sammanhållna journalföringen, ska uppgifterna inte få göras tillgängliga för andra vårdgivare på det sättet.
För att enskilda och närstående ska känna till att en vårdgivare ingår i system för sammanhållen journalföring är det nödvändigt för vårdgivaren att på olika sätt tillhandahålla information. Som anförts i det föregående bör det förutom riktad information vid möten med patienter och närstående och i samband med kallelser till vård, hållas information tillgänglig exempelvis på hemsidor och i sjukvårdens lokaler. Eftersom sammanhållen journalföring fortfarande är under utveckling och sannolikt ännu inte är allmänt känt bland medborgarna, bör vårdgivare dessutom med jämna mellanrum aktivt tillhandahålla information. Det kan exempelvis göras i länstidningar som går ut till alla hushåll, vilket bl.a. Datainspektionen har lyft fram i sina tillsynsärenden. Det skulle öka
En ny sammanhållen journalföring SOU 2014:23
352
medvetenheten hos patienter och närstående och därmed även stärka deras ställning. Sannolikheten för att personer med en beslutsförmåga som varierar över tiden ska få reda på vad sammanhållen journalföring innebär och vilka rättigheter man har som patient, ökar även om information tillhandahålls kontinuerligt och på olika sätt. Sådana personer ges då ökade möjligheter att tillvarata sina rättigheter under perioder när förmågan att ta ställning till frågor om sammanhållen journalföring finns.
Många personer som i dag har en mer varaktigt nedsatt beslutsförmåga får sitt hälso- och sjukvårdsbehov tillgodosett både av kommunal- och landstingsfinansierad hälso- och sjukvård. I den samverkan är sammanhållen journalföring i dagsläget inte infört i lika stor utsträckning som det är mellan olika landstingsfinansierade vårdgivare, t.ex. i primärvården. De flesta kommuner och landsting utbyter i dag inte uppgifter genom sammanhållen journalföring. Däremot pågår ett sådant införande över hela landet i och med att fler och fler landsting och kommuner ansluter sig till den nationella patientöversikten, NPÖ. En målsättning med det är att öka patientsäkerheten genom att se till att rätt information om exempelvis äldre patienter med nedsatt beslutsförmåga finns tillgänglig både hos primärvårdsläkaren, på sjukhuset, i det särskilda boendet och i hemsjukvården. I samband med denna utveckling och i samband med anslutning till NPÖ borde det enligt vår mening finnas goda förutsättningar för vårdgivarna att informera patienter och deras närstående om detta och sedan – om det inte är uppenbart att den enskilde skulle ha motsatt sig – göra det möjligt att dela den enskildes information genom sammanhållen journalföring.
Utredningens förslag innebär således inget uttryckligt krav på vårdgivare att försöka klarlägga patientens inställning till medverkan i sammanhållen journalföring. Eftersom det i dag inte finns något krav på att informera varje patient individuellt har vårdgivaren inte heller alltid någon kännedom om den enskildes beslutsförmåga i det ögonblick uppgifterna görs tillgängliga i system för sammanhållen journalföring. Ett sådant krav skulle, enligt vår bedömning, i praktiken vara mycket svårt att leva upp till. Inte minst för många av de landstingsfinansierade vårdgivarna som står i begrepp att ansluta sig till system för sammanhållen journalföring. Det innebär att uppgifter kan göras tillgängliga i system för sammanhållen journalföring om vårdgivaren inte äger kännedom om patientens beslutsförmåga, under förutsättning att det för vård-
SOU 2014:23 En ny sammanhållen journalföring
353
givaren inte är uppenbart att patienten skulle ha motsatt sig. I situationer där det är praktiskt möjligt bör bedömningen av patientens beslutsförmåga emellertid ske i samband med att det blir aktuellt att tillgängliggöra personuppgifterna i systemet för sammanhållen journalföring. En sådan situation kan exempelvis uppstå i samband med att en patient med nedsatt beslutsförmåga vänder sig till en ny vårdgivare för första gången eller i samband med att en vårdgivare inom den kommunala hälso- och sjukvården står inför att göra uppgifter om patienter i särskilda boenden tillgängliga i system för sammanhållen journalföring för första gången.
14.2.5 Patientens rätt att motsätta sig sammanhållen journalföring
Vårt förslag: Bestämmelser som ger uttryck för patientens rätt att
motsätta sig sammanhållen journalföring samt konsekvenserna av detta m.m. ska samlas i en egen paragraf. Vårdgivare får inte göra uppgifter tillgängliga i system för sammanhållen journalföring om en patient motsätter sig detta. Sådana uppgifter får inte vara tekniskt åtkomliga för andra vårdgivare. Uppgift om att patienten motsatt sig samt uppgift om vilken vårdgivare som har ansvarar för uppgifterna får dock göras tillgängliga. Vidare kan en patient när som helst begära att den vårdgivare som ansvarar för uppgifterna, som inte har gjorts tillgängliga, gör dessa tillgängliga i systemet för sammanhållen journalföring. Vårdgivare får inte tillgodose patientens begäran om att motsätta sig eller att göra uppgifter tillgängliga igen, utan att patientens identitet har säkerställts. Paragrafen ska även innehålla en hänvisning till en annan bestämmelse som begränsar patientens rätt att motsätta sig att vissa uppgifter görs tillgängliga i system för sammanhållen journalföring.
Vår bedömning: Vårt förslag innebär, med ett undantag, ingen
förändring i sak jämfört med vad som gäller i dag. Den förändring vi föreslår består av ett uttryckligt krav på vårdgivare att säkerställa patientens identitet enligt ovan. I övrigt innebär förslaget att begreppet spärr mönstras ut från regelverket om sammanhållen journalföring. Detta för att bättre uttrycka att uppgifter om en patient som motsätter sig sammanhållen
En ny sammanhållen journalföring SOU 2014:23
354
journalföring över huvud taget inte är tekniskt åtkomliga för andra vårdgivare. Sådana uppgifter går således inte att ta del av med direktåtkomst i en nödsituation.
I den nuvarande bestämmelsen i 6 kap. 2 § PDL uttrycks även patientens rätt att motsätta sig att uppgifter görs tillgängliga i system för sammanhållen journalföring och vilka konsekvenser en sådan spärr medför. För att bättre lyfta fram patientens rättighet bör den enligt utredningens bedömning vara enkel att hitta i lagen. Därför föreslår vi att bestämmelsen regleras i en egen paragraf under en egen rubrik En patients rätt att motsätta sig sammanhållen
journalföring.
Vårt förslag innebär, med ett undantag, inte några förändringar i sak jämfört med vad som gäller i dag och överensstämmer med vad regeringen anförde i denna del i förarbetena till patientdatalagen.11
Den förändring utredningen föreslår är att vårdgivare ska säkerställa patienternas identitet i samband med att patienter motsätter sig att uppgifter görs tillgängliga i system för sammanhållen journalföring och när samma patienter sedan begär att sådana uppgifter ändå ska göras tillgängliga.
Patientens rätt att motsätta sig
Patientens rätt att motsätta sig innebär som tidigare nämnts inget krav på vårdgivaren att inhämta ett aktivt samtycke från patienten till att uppgifter görs tillgängliga i system för sammanhållen journalföring. Det innebär i stället att patienten har en rätt att motsätta sig att uppgifterna tillgängliggörs efter att ha blivit informerad om den sammanhållna journalföringen. Det är således ett ansvar för den patient som inte vill att uppgifter görs tillgängliga att ta initiativ och meddela vårdgivaren detta.
Denna lösning ger uttryck för vad man kan kalla för en opt-outmodell eller, om man så vill, en ordning i vilket ett tyst samtycke gäller för att journaluppgifter görs tillgängliga för andra vårdgivare. Att patienten kan motsätta sig ett tillgängliggörande innebär inte att han eller hon har rätt att motsätta sig att uppgifter journalförs i det elektroniska journalsystemet. Det innebär bara att uppgifterna
11 Se framför allt prop. 2007/08:126 s. 112–115 och s. 248–250.
SOU 2014:23 En ny sammanhållen journalföring
355
på den enskildes begäran inte får vara åtkomliga hos andra vårdgivare.12
Innebörd och konsekvenser av att patienten motsätter sig sammanhållen journalföring
En patient har i dag rätt att välja att helt stå utanför sammanhållen journalföring. I sådant fall får en vårdgivare inte göra vårddokumentation tillgänglig för andra vårdgivare. Samtidigt finns det inget hinder mot att vårdgivare gör det möjligt för patienter att själva välja om vissa uppgifter inte ska göras tillgängliga och vissa ska göras tillgängliga för andra vårdgivare i systemet för sammanhållen journalföring. Det finns heller inget hinder mot att vårdgivare gör det möjligt för patienter att motsätta sig att uppgifter görs tillgängliga endast i förhållande till någon eller några av de vårdgivare som deltar i systemet. Vilka möjligheter som i dessa avseenden ska erbjudas patienterna är dock upp till vårdgivarna att avgöra.
Vårt förslag innebär att patientens rätt att motsätta sig att uppgifter görs tillgängliga i stort förs över oförändrade till hälso- och sjukvårdsdatalagen. Samtidigt kommer vi längre fram att redogöra för ett förslag som begränsar patientens möjligheter att motsätta sig att vissa uppgifter görs tillgängliga i system för sammanhållen journalföring. Det handlar om vissa uppgifter om ordinerade läkemedel och om s.k. varningsinformation.
Utredningens förslag innebär vissa språkliga förändringar jämfört med vad som uttrycks i patientdatalagen. Vi föreslår exempelvis att begreppet spärr utmönstras ur kapitlet med bestämmelser om sammanhållen journalföring. Detta eftersom ordet spärr, enligt vår bedömning, inte ger en helt rättvisande bild av vad det egentligen handlar om. Konsekvenserna av att patienten motsätter sig är i dag och även med vårt förslag att uppgifterna inte får göras tillgängliga i system för sammanhållen journalföring. Andra vårdgivare har således ingen direktåtkomst till uppgifterna och personal hos andra vårdgivare kan inte läsa uppgifterna.13Regeringen uttalade bland annat följande i förarbetena.14
En ny sammanhållen journalföring SOU 2014:23
356
För det fall en patient motsätter sig att uppgiften görs tillgänglig för andra vårdgivare genom sammanhållen journalföring, ska uppgiften spärras. Den får då inte göras elektroniskt tillgänglig för andra vårdgivare. Spärrade uppgifter blir alltså inte allmänna handlingar hos andra myndigheter som är anslutna till sammanhållen journalföring.
Spärrar i system för sammanhållen journalföring är således hårda, eller absoluta, i den meningen att uppgifterna är tekniskt oåtkomliga. Mot den bakgrunden anser vi att det inte är helt ändamålsenligt att tala om att uppgifterna är spärrade, det finns helt enkelt inte med i systemet. Det innebär exempelvis att uppgifterna inte ens går att nå med direktåtkomst i en nödsituation. Detta följer redan av dagens regelverk och kan exempelvis jämföras med en patient som motsätter sig medverkan i ett nationellt kvalitetsregister. På samma sätt finns sådana uppgifter över huvud taget inte registrerade i det aktuella kvalitetsregistret.
Mot den bakgrunden anser vi att begreppet spärr ska bytas ut och att det av lagen uttryckligen ska framgå att uppgifter inte är teknisk åtkomliga för andra vårdgivare om patienten motsatt sig medverkan i sammanhållen journalföring. Utredningen har under arbetets gång upplevt att det finns en viss osäkerhet i hälso- och sjukvården när det gäller denna innebörd av att inte medverka i system för sammanhållen journalföring. Inte sällan synes vårdgivare tro att uppgifterna som enligt de nuvarande bestämmelserna är spärrade går att nå t.ex. i en nödsituation. Så är emellertid inte fallet. I en nödsituation får uppgifterna i stället lämnas ut av den vårdgivare som ansvarar för dem. En spärr i sammanhållen journalföring kan således inte forceras av den som behöver uppgifterna.
Detta är en skillnad jämfört med vad som i dag gäller för spärrar inom en vårdgivares verksamhet och jämfört med vad vi föreslår gälla för spärrar mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. I sådana situationer innebär en spärr inte att uppgifterna görs tekniskt oåtkomliga på sätt som är fallet vid sammanhållen journalföring. Inom en vårdgivares verksamhet kan den som har behov av uppgifterna för att kunna utföra sitt arbete t.ex. i en nödsituation själv en möjlighet att forcera spärren och ta del av de aktuella uppgifterna. Även för att bättre tydliggöra denna skillnad mellan konsekvensen att å ena sidan motsätta sig sammanhållen journalföring och å andra sidan begränsa åtkomst inom en vårdgivarens verksamhet, är det lämpligt att begreppet spärr ersätts i kapitlet med sammanhållen journalföring.
SOU 2014:23 En ny sammanhållen journalföring
357
Sammantaget innebär detta att en vårdgivare inte får göra uppgifter tillgängliga i system för sammanhållen journalföring, om en patient motsätter sig detta. Sådana uppgifter får inte vara tekniskt åtkomliga för andra vårdgivare.
Uppgift om att patienten motsatt sig och vilken vårdgivare som ansvarar för uppgiften får göras tillgängliga
Av nu gällande bestämmelse följer att det i system för sammanhållen journalföring däremot får ingå en uppgift om att det finns spärrade uppgifter om en patient och uppgift om vilken vårdgivare som har spärrat uppgifterna. Regeringen anför i förarbetena att syftet med detta är att kännedomen om att det finns spärrade uppgifter kan initiera en önskvärd dialog mellan en patient och hälso- och sjukvårdspersonal i en enskild vårdsituation.15 Vårt förslag innebär att denna bestämmelse förs över till hälso- och sjukvårdsdatalagen, men att språkliga justeringar görs med hänsyn till att begreppet spärr utmönstras.
Det innebär att det i system för sammanhållen journalföring även fortsättningsvis får finnas en uppgift om att patienten motsatt sig och en uppgift om vilken vårdgivare som ansvarar för uppgifterna. För att hälso- och sjukvårdspersonal i en enskild situation ska få ta del av den sistnämnda uppgiften, dvs. hos vilken vårdgivare uppgifterna finns, krävs att särskilda förutsättningar är uppfyllda. Se i det följande om våra förslag som rör åtkomst till uppgifter i system för sammanhållen journalföring.
Uppgifter om ordinerade läkemedel och varningsinformation undantas från patientens möjlighet att motsätta sig sammanhållen journalföring
Enligt utredningens förslag får patienten, med två undantag, motsätta sig att vilka uppgifter som helst som har dokumenterats för ändamålet vårddokumentation görs tillgängliga i system för sammanhållen journalföring. Undantagen består av uppgifter om ordinerade läkemedel och s.k. varningsinformation. Utredningen redogör i avsnitt 15 och 16 för våra överväganden och förslag rörande undantag från patientens möjlighet att motsätta sig för
En ny sammanhållen journalföring SOU 2014:23
358
uppgifter om ordinerade läkemedel och uppgifter om varningsinformation som kan medföra allvarlig risk för patientens liv eller hälsa.
Sammantaget innebär utredningens förslag i de delarna att patienten inte får motsätta sig att uppgifter om ordinerade läkemedel och varningsinformation görs tillgängliga i system för sammanhållen journalföring. Det innebär emellertid endast att uppgifterna får vara tekniskt åtkomliga, dvs. potentiellt tillgängliga. För att hälso- och sjukvårdspersonal ska få ta del av sådana uppgifter gäller samma krav som gäller för åtkomst till andra uppgifter i system för sammanhållen journalföring. Att patientens spärrmöjligheter i dessa delar tas bort innebär därmed ingen ökad rätt för vårdgivare att behandla personuppgifterna genom direktåtkomst.
Patientens rätt att begära att uppgifter görs tillgängliga igen
Precis som i dag gäller enligt 6 kap. 2 § PDL föreslår vi att patientens rätt att när som helst begära att en spärr hävs ska anges i hälso- och sjukvårdsdatalagen. Bestämmelsen behöver dock justeras språkligt eftersom begreppet spärr utgår. Bestämmelsen innebär att patienten när som helst kan vända sig till den vårdgivare som har tillgodosett patientens önskan att inte medverka i sammanhållen journalföring och begära att uppgifterna görs åtkomliga.
Vårdgivaren ska säkerställa patientens identitet
En vårdgivare har ett ansvar för att kontrollera att patienten är den han eller hon utger sig för att vara och att önskemålen om att motsätta sig sammanhållen journalföring avser de egna uppgifterna. I syfte att reducera risker för att det blir fel, t.ex. att fel patients uppgifter görs tekniskt oåtkomliga eller att den som utger sig för att vara patienten helt enkelt är någon annan, föreslår vi att det införs ett uttryckligt förbud för vårdgivaren att tillgodose patientens önskemål utan att patientens identitet har säkerställts.
Vi menar att det är av grundläggande betydelse att det så långt möjligt inte blir fel med avseende på medverkan i sammanhållen journalföring, inte minst eftersom ett motsättande innebär att upp-
SOU 2014:23 En ny sammanhållen journalföring
359
gifterna inte finns tekniskt tillgängliga för andra vårdgivare att ta del av.
När det gäller tillvägagångssättet för att säkerställa en patients identitet så anser vi inte att det i lagen ska uppställas några särskilda krav. I hälso- och sjukvården finns redan i dag i ett flertal sammanhang krav på att säkerställa identiteten, exempelvis genom legitimering fysiskt eller elektroniskt genom e-legitimation. Det förekommer naturligtvis även att personal i ett fysiskt möte med patienter redan har en sådan kännedom om patientens identitet att en närmare identitetskontroll inte är befogad. Vi menar att de sätt på vilka hälso- och sjukvården i dag säkerställer patienternas identiteter även kan användas i det här aktuella sammanhanget om att tillgodose patientens önskan och rättigheter.
Som exempel på tillvägagångsätt som kan vara mindre lämpliga kan e-post och telefon nämnas. Om en sådan kommunikation inte görs på ett sådant sätt att patientens identitet är säkerställd är det i regel svårt, för att inte säga omöjligt, att veta vem som döljer sig bakom en e-postadress eller en telefonröst. Av den anledningen anser vi att sådana metoder bör användas med försiktighet.
I sammanhanget kan noteras att vi i det föregående har redovisat motsvarande förslag vid sådana spärrar som kan aktualiseras inom och mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för.
14.2.6 Förbud för vårdnadshavare att motsätta sig sammanhållen journalföring
Vårt förslag: Förbudet för vårdnadshavare att motsätta sig att
uppgifter om barn görs tillgängliga i system för sammanhållen journalföring ska överföras från patientdatalagen, men regleras i en egen paragraf. I paragrafen ska erinras om att vårdgivaren ska ge ett barn möjlighet att själv ta ställning till tillgängliggörandet av uppgifter i takt med barnets stigande ålder och mognad.
I den svårgenomträngliga bestämmelsen i 6 kap. 2 § PDL om regler vid tillgängliggörande av uppgifter genom sammanhållen journalföring uttrycks även att vårdnadshavare till ett barn inte kan spärra uppgifter om barnet. Bestämmelsen tillkom på regeringens initiativ efter att flera organisationer i samband med remissyttranden på
En ny sammanhållen journalföring SOU 2014:23
360
patientdatautredningens betänkande pekat på behovet av ett förbud i denna del. Regeringen uttryckte bland annat följande i sammanhanget.16
Flera av experterna i utredningen och en majoritet av remissinstanserna har uttryckt oro för att utredningens förslag, som ger vårdnadshavare rätt att spärra uppgifter i sina barns journal, kan medföra att vårdpersonalen inte upptäcker barn som far illa och fall där anmälningsskyldighet föreligger enligt socialtjänstlagen. Mot bakgrund av detta anser regeringen att skyddet för barnet väger tyngre än skyddet för den enskildes, i detta fall barnets, integritet. Regeringen föreslår därför en regel som innebär att vårdnadshavare inte har rätt att spärra uppgifter i sina barns journal. I takt med barnets stigande ålder och mognad får dock barnet själv spärra uppgifterna. Beträffande barnets mognadsgrad att själv få avgöra om uppgifter ska spärras föreslår regeringen inte några särskilda bestämmelser. Barn och ungdomar bör hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården. I takt med den underåriges stigande ålder och mognad ska allt större hänsyn tas till barnets önskemål och vilja, om uppgifter om honom eller henne ska få göras tillgängliga för andra vårdgivare eller inte, se 6 kap. 11 § föräldrabalken.
Utredningen har funnit att övervägande skäl talar för att förbudet mot vårdnadshavare att motsätta sig att uppgifter om barnet görs tillgängliga i system för sammanhållen journalföring bör föras över till hälso- och sjukvårdsdatalagen. Även om det rent faktiskt innebär ett väsentligt sämre integritetsskydd för barn i förhållande till vad som är fallet för andra patientgrupper, gör vi liksom regeringen bedömningen att skyddet för barnets liv och hälsa i detta fall väger tyngre. Samtidigt finns det anledning att påminna om att sammanhållen journalföring är en frivillig form av informationsöverföring. Den som har för avsikt att göra uppgifter tillgängliga på detta sätt bör alltid överväga om det är en åtgärd som behövs och i övrigt är lämplig. Det kan även finnas behov av att göra en närmare analys av vilka uppgifter som det generellt sett finns behov av att utbyta genom direktåtkomst. Det gäller även uppgifter som rör barn.
Såväl för vårdnadshavare och barn som för hälso- och sjukvårdspersonal är det viktigt att denna begränsning i rätten att motsätta sig att uppgifter görs tillgängliga genom direktåtkomst uttrycks på ett tydligt sätt och är enkel att hitta i lagen. Därför föreslår vi att bestämmelsen regleras i en egen paragraf under en egen rubrik
Förbud för vårdnadshavare att motsätta sig.
SOU 2014:23 En ny sammanhållen journalföring
361
Vidare har det kommit till utredningens kännedom att det finns en osäkerhet kring detta förbuds omfattning i förhållande till barnet själv. Regeringen uttrycker i förarbetena, som nämns ovan, att barnet i takt med stigande ålder och mognad själv ska få spärra uppgifterna. I syfte att öka tydligheten och stärka barns ställning anser vi att denna princip bör framgå direkt av lagen. Därför föreslår vi en påminnelse om att vårdgivaren, i takt med ett barns stigande ålder och mognad, ska ge barnet möjlighet att själv ta ställning till medverkan i system för sammanhållen journalföring. Någon bestämd åldersgräns för när ett barn ska anses kunna ta ställning till sammanhållen journalföring går inte att fastslå, utan bör hanteras på samma sätt som andra liknande frågor i hälso- och sjukvården. I sammanhanget kan noteras att Datainspektionen ibland har uttryckt att barn som nått en ålder av 15 år normalt har förutsättningar att ta ställning till frågor om personuppgiftsbehandling. Vi ansluter oss till den uppfattningen men bedömer samtidigt att det, beroende på barnets individuella förutsättningar, kan finnas många barn som är yngre än så och som kan anses ha nått en sådan mognadsgrad som krävs för att ta ställning till frågan om sammanhållen journalföring. Inte minst barn som har mycket kontakter med hälso- och sjukvården, exempelvis på grund av en kronisk sjukdom, kan ha särskilda förutsättningar att förfoga över sitt integritetsskydd i detta sammanhang. Det är därför alltid viktigt att vårdgivare skapar utrymme och möjligheter att göra individuella bedömningar för att så långt möjligt tillgodose barns rätt till självbestämmande och integritet.
En förutsättning för att barn och unga ska ha en reell möjlighet att förfoga över sina rättigheter är naturligtvis att de, precis som vuxna, får information om sammanhållen journalföring och rätten att motsätta sig. Vårdgivare behöver därför anpassa information och arbetssätt för att tillgodose barnets rätt till information.
En ny sammanhållen journalföring SOU 2014:23
362
14.3 Våra överväganden och förslag om åtkomst till uppgifter i sammanhållen journalföring
14.3.1 Våra inledande reflektioner kring gällande rätt
Vår bedömning: Regelverket för åtkomst till uppgifter i system
för sammanhållen journalföring har gett upphov till tillämpningsproblem och osäkerhet om betydelsen av de grundläggande villkoren för åtkomst. Det bör övervägas hur regelverket kan utformas för att bli tydligare och lättare att tillämpa för hälso- och sjukvårdspersonalen. Vidare bör övervägas om den nuvarande ändamålsbegränsningen för åtkomst till uppgifter hos andra vårdgivare är lämplig med hänsyn till behovet av att kvalitetssäkra den hälso- och sjukvård patienterna får. Dessutom kan ifrågasättas om det nuvarande kravet på samtycke är ändamålsenligt och om det kan anses vara ett sådant samtycke som avses i personuppgiftslagen (1998:204), förkortad PUL.
Vid sammanhållen journalföring enligt 6 kap. patientdatalagen är de tillåtna ändamålen för behandling av patientuppgifter begränsade. Det är enbart tillåtet att ta del av andra vårdgivares uppgifter för
ändamål som rör vård och behandling samt för att utfärda intyg.
Vidare krävs att uppgifterna rör en patient som vårdgivaren har en
aktuell patientrelation med samt att patienten samtycker till att
uppgifterna används. Dessa förutsättningar regleras i dag i 6 kap. 3 § PDL på följande sätt.
För att en vårdgivare ska få behandla uppgifter som en annan vårdgivare gjort tillgängliga i systemet med sammanhållen journalföring enligt 2 § fjärde stycket krävs att
1. uppgifterna rör en patient som det finns en aktuell patientrelation med,
2. uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso-och sjukvården, och
3. patienten samtycker till det.
Vårdgivaren får även behandla sådana uppgifter om
1. uppgifterna rör en patient som det finns eller har funnits en patientrelation med,
2. uppgifterna kan antas ha betydelse för att utfärda sådant intyg som avses i 3 kap. 16 §, och
3. patienten samtycker till det.
SOU 2014:23 En ny sammanhållen journalföring
363
Till skillnad från informationshanteringen inom en vårdgivares verksamhet, får åtkomst till uppgifter i system för sammanhållen journalföring endast användas för ändamålen vård och behandling av patienten samt för att utfärda intyg. Det innebär bl.a. att det i dag inte är tillåtet att ta del av uppgifter hos andra vårdgivare genom direktåtkomst för att exempelvis följa upp och kvalitetssäkra den egna verksamheten. I detta syfte får endast uppgifter som redan finns i den egna verksamheten användas. Under utredningens arbete har det i flera sammanhang blivit tydligt att det kan finnas behov av att ta del av uppgifter i sammanhållen journalföring för att kvalitetssäkra den egna verksamheten. Sådana behov kan exempelvis finnas i vårdprocesser där flera vårdgivare arbetar tätt tillsammans i vården av patienter. För att en vårdgivare i ett sådant samarbete ska kunna följa upp och säkra kvaliteten på sina insatser kan det finnas behov av att ta del av uppgifter om patienten som dokumenterats av någon av de andra vårdgivarna i vårdprocessen. Mot bakgrund av detta finns det anledning att överväga om den nuvarande ändamålsbegränsningen är helt ändamålsenlig eller om det finns skäl att förbättra möjligheterna för vårdgivare att kvalitetssäkra sin verksamhet och patienternas processer.
Vidare är det intressant att notera att bestämmelserna om tillåtna ändamål och tillåten behandling vänder sig till vårdgivaren som sådan. Vårdgivaren är den myndighet eller det företag som bedriver hälso- och sjukvård. Om man läser bestämmelsen i 6 kap. 3 § PDL ordagrant är det således vårdgivaren som ska ha en aktuell patientrelation och som ska bedöma om uppgifterna kan antas ha betydelse för vården av patienten.
Rekvisitet ”kan antas ha betydelse...”
Det kan vara rimligt att ge vårdgivaren ett ansvar för att begränsa behandlingen av uppgifter från en annan vårdgivare till uppgifter om enskilda som faktiskt är patienter hos vårdgivaren (patientrelation). Men det är sannolikt inte praktisk möjligt för en vårdgivare som sådan att ta ställning till om uppgifterna kan antas ha betydelse för vård i det enskilda fallet. Här kan man anta att lagstiftaren inte helt och fullt har hållit isär vilka skyldigheter som lämpligen bör ligga på vårdgivaren och vilka som bör ligga på hälso- och sjukvårdspersonalen i samband med användning av uppgifterna.
En ny sammanhållen journalföring SOU 2014:23
364
Även när patientdatautredningen i sitt huvudbetänkande beskriver tillämpningen av andra punkten i bestämmelsen, som handlar om att bedöma om uppgifterna har betydelse för vården av patienten växlar utredningen från att vända sig direkt till vårdgivaren till att vända sig till en befattningshavare.17 En ortoped används som exempel på befattningshavare. Det innebär att utredningen sannolik har avsett att det är hälso- och sjukvårdspersonalen eller andra som arbetar åt en vårdgivare som ska tillämpa bestämmelsen. Det framstår också som det som är praktisk genomförbart. Det är den som ska erbjuda vård som kan bedöma om uppgifterna behövs. Valet av vårdgivare som subjekt i denna bestämmelse har, åtminstone i det avseendet, inte varit helt stringent.
Uttalanden i förarbetena tyder även på att regeringen inte haft för avsikt att ge vårdgivaren ett ansvar för en sådan prövning av uppgifternas betydelse. Bestämmelsen bör snarare ses som ett uttryck för att direktåtkomsten till andra vårdgivares uppgifter inte får användas för andra syften än vård och behandling, dvs. en grundläggande bestämmelse om tillåtna ändamål för personuppgiftsbehandlingen.18Mot denna bakgrund har bestämmelsen enligt vår mening fått en olycklig utformning, vilket sannolikt är en av anledningarna till de tillämpningsproblem som finns när det gäller den aktuella bestämmelsen.
Begreppet patientrelation
Patientdatautredningen anför att kravet på att vårdgivaren ska ha en
aktuell patientrelation med den enskilda patienten i fråga inte är en
bestämmelse om inre sekretess utan anger under vilka förutsättningar vårdgivaren som sådan får använda den direktåtkomst som vårdgivaren medgetts genom den sammanhållna journalföringen.19 På så sätt begränsas den lagliga räckvidden, i förhållande till den faktiska tillgången till andra vårdgivares uppgifter, till att enbart omfatta de patienter som vårdas eller behandlas inom den egna verksamheten. Patientdatautredningen menar att det på så sätt tydliggörs att det inte är tillåtet för en vårdgivare att i en behandlingssituation med en patient söka efter och bereda sig tillgång till vårddokumentation avseende en annan patient som vårdas
SOU 2014:23 En ny sammanhållen journalföring
365
hos en annan vårdgivare, t.ex. en nära släkting med samma sjukdomsdiagnos. Denna motivering kan emellertid ifrågasättas eftersom det även finns ett krav på samtycke från patienten innan vårdgivaren får tillgodogöra sig journalinformation från en annan vårdgivare. Journalinformation avseende en annan patient skulle alltså hur som helst inte få inhämtas utan samtycke.
Det bör understrykas att det är vårdgivaren som sådan som ska ha en aktuell patientrelation, inte hälso- och sjukvårdspersonalen. Utredningens erfarenhet är att det finns en osäkerhet kring detta såväl hos hälso- och sjukvårdspersonal som hos vårdgivarnas ledning. Inte sällan uttrycker personalen en tveksamhet inför att ta del av uppgifter om en patient eftersom de inte har träffat patienten och därmed inte upplever sig ha en patientrelation. Det är mot den bakgrunden angeläget att för olika nivåer i verksamheten tydliggöra att patientrelationen i första hand uppstår i förhållande till vårdgivaren, inte i förhållande till den enskilda hälso- och sjukvårdspersonalen.
En patientrelation kan t.ex. uppstå genom att patienten bokar ett besök, kommer till en vårdinrättning och söker vård, remitteras till vårdgivaren, kommer på planerat besök, vårdas inneliggande på en avdelning eller genom att patienten kommunicerar med vårdgivaren elektroniskt m.m. En patientrelation kan uppstå på en mängd olika sätt. Den behöver inte uppstå genom ett fysiskt möte med personal hos en vårdgivare. Exempelvis måste den vårdgivare som tar emot en elektronisk remiss från en annan vårdgivare anses ha en aktuell patientrelation med den patient som omfattas av remissen.
Att det föreligger en aktuell patientrelation hos en viss vårdgivare har däremot ingenting att göra med vilken personal som har rätt att ta del av uppgifter om patienten. Den senare frågan styrs, precis som vid åtkomst av uppgifter i den egna verksamheten, framför allt av personalens behov i förhållande till deras arbetsuppgifter och deltagande i vården och behandlingen av patienten.
Likväl som att en patientrelation kan uppstå på många olika sätt, kan relationen även avslutas på olika sätt. Om en person som vårdats inneliggande på sjukhus skrivs ut utan att det finns behov av några återbesök, efterkontroller eller liknande bör patientrelationen inte längre betraktas som aktuell. På motsvarande sätt upphör den aktuella patientrelationen när en person inte längre är i behov av hemsjukvård eller andra sjukvårdsinsatser i den kommunala hälso- och sjukvården.
En ny sammanhållen journalföring SOU 2014:23
366
Som redovisats ovan innebär kravet på aktuell patientrelation att den legala åtkomsten begränsas, i förhållande till den faktiska tillgången till andra vårdgivares information, till att enbart omfatta de patienter som vårdas eller behandlas inom den egna verksamheten.20 Enligt utredningens uppfattning kan det i viss utsträckning vara möjligt att bygga in integritetsskyddande och behörighetsbegränsande funktioner i it-systemen som gör att vårdgivarens relation med patienten kan kontrolleras automatiskt. Ett sätt att göra det kan vara att ta fram tekniska funktioner som gör att en vårdgivare inte når uppgifter om en patient i ett system för sammanhållen journalföring om inte patienten redan är registrerad hos vårdgivaren, dvs. har en patientjournal upprättad i vårdgivarens verksamhet. Vid en slagning mot systemet för sammanhållen journalföring kan därmed en kontroll göras mot vårdgivarens eget vårddokumentationssystem för att verifiera att patienten är aktuell i verksamheten. En sådan funktion kan exempelvis bidra till att en kommunal vårdgivare inte har teknisk möjlighet att ta del av uppgifter om andra patienter än de som är föremål för kommunens hälso- och sjukvård, t.ex. i särskilda boende eller i hemsjukvården. Genom sådana tekniska funktioner minskas risken för obehörig åtkomst samtidigt som systemet gör det lättare för yrkesutövarna att göra rätt. Inom ramen för utvecklingen av den Nationella Patientöversikten, NPÖ, har exempelvis en liknande funktion kallad ”tillgänglig patient”, TGP, framtagits. Såvitt utredningen förstår syftar den tekniska funktionen, TGP, till att begränsa urvalet av patienter som vårdpersonalen över huvud taget kan ta del av i NPÖ till att motsvara de patienter som redan finns registrerade i verksamheten.
Kravet på patientens samtycke
Den tredje förutsättningen, samtycke från patienten, innebär att ett samtycke från patienten ska finnas för att vårdgivaren ska få ta del av uppgifter i systemet för sammanhållen journalföring. Det ska vara fråga om ett aktivt samtycke från patienten sida. För att vara giltigt ska det även vara frivilligt, särskilt och otvetydigt. Kravet på att det ska vara frivilligt ger uttryck för att patienten ska ha ett fritt val. Att samtycket ska vara särskilt innebär att det inte får vara för generellt eller oprecist. Patienten ska kunna förstå vad samtycket
SOU 2014:23 En ny sammanhållen journalföring
367
handlar om och omfattar. Kravet på att samtycket ska vara otvetydigt innebär att det inte får råda någon tvekan om att patienten verkligen godtar informationsinhämtningen.
Ett sådant samtycke kan lämnas på många olika sätt och vid flera olika typer av situationer. Samtycket kan exempelvis lämnas inför en kontakt med en vårdgivare, dvs. på förhand, eller i den stund patienten har fysisk eller elektronisk kontakt med vårdgivaren och dess personal. I samband med att en patient remitteras till en annan vårdgivare kan det till exempel vara smidigt att inhämta patientens samtycke till att remissmottagaren får ta del av vårdgivarens uppgifter om patienten redan då remissen skrivs. Samtycket följer då med remissen och den som tar emot remissen kan förbereda sig för att ta emot patienten genom att ta del av de uppgifter i systemet för sammanhållen journalföring som behövs.21
Hur länge ett samtycke gäller är beroende av den aktuella situationen. Bedömningen av hur lång tid samtycket ska gälla blir olika beroende på om det gäller ett enstaka besök på en mottagning eller en längre vårdprocess under ett visst sjukdomsförlopp. Om det går att förklara för patienten hur vårdperioden och den planerade vården ser ut och vad samtycket omfattar kan det vara rimligt att hämta in ett samtycke för t.ex. en episod av hemsjukvård eller en vistelse på ett särskilt boende. För den enskilde patienten ska det vara tydligt vad samtycket omfattar och hur länge det gäller. Det är också viktigt att patienten vet att hon eller han kan dra tillbaka samtycket.
Även när det gäller kravet på samtycke är det viktigt att understryka att ett samtycke till åtkomst av uppgifter i system för sammanhållen journalföring primärt ska rikta sig till vårdgivaren som sådan – inte till enskilda yrkesutövare. Det är vårdgivarens arbetsledning och organisatoriska förutsättningar samt patientens hälsoproblem som i det enskilda fallet avgör vilken hälso- och sjukvårdspersonal som har ett behov av att ta del av uppgifter i systemet för sammanhållen journalföring. Den eller de yrkesutövare som i dessa situationer är inblandade i patientens vård och behandling behöver därmed i första hand kontrollera om patienten har lämnat ett samtycke. Om det inte finns blir det hans eller hennes uppgift att be patienten om ett samtycke för vårdgivaren att ta del av journaluppgifter hos en annan vårdgivare.
En ny sammanhållen journalföring SOU 2014:23
368
Under utredningens arbete har även den grundläggande frågan om kravet på samtycke till personuppgiftsbehandlingen är ändamålsenligt och om det egentligen kan anses vara ett sådant samtycke som avses i personuppgiftslagen. Vid utredningens kontakter med både personal och företrädare för patient- och anhörigorganisationer har bland annat framförts uppfattningar om att samtycket till själva vården och behandlingen även borde utgöra grund för den informationshantering som krävs för att vården och behandlingen ska kunna ges med hög kvalitet och patientsäkerhet. Utredningen anser att det ligger mycket i ett sådant resonemang. På ett övergripande plan får det nästan anses självklart att den som samtycker till en viss hälso- och sjukvårdsinsats även vill att den som ska ta ställning till och utföra insatsen kan ta del av all relevant information som behövs för att göra detta på bästa sätt. Mot den bakgrunden finns det enligt vår bedömning skäl att analysera om det nuvarande samtyckeskravet är ändamålsenligt eller inte. Vidare kan ifrågasättas om det i situationer när en patient är i behov av hälso- och sjukvård kan talas om ett sådant frivilligt samtycke till personuppgiftsbehandlingen som följer av personuppgiftslagen.
Behov av kunskapshöjande insatser och tydliga anvisningar till personalen
Den som arbetar inom hälso- och sjukvården ska inte i det vardagliga arbetet behöva vara orolig för att göra sig skyldig till otillåten behandling av patientuppgifter. Det är viktigt att det är enkelt att ta del av de uppgifter som behövs för att ge patienten en god och säker vård. Det är därför också nödvändigt att vårdgivarna tar sitt ansvar och i sitt ledningssystem beskriver hur patientuppgifter ska behandlas i verksamheten. Det måste vara tydligt för medarbetarna vad som ingår i deras arbetsuppgifter och vilka uppgifter som han eller hon måste ta del av för att sköta dessa. För att säkerställa att uppgifterna används på ett lagligt och säkert sätt har vårdgivarna också ett ansvar att ha ändamålsenliga rutiner och system för behörighetstilldelning och behörighetskontroll, liksom för åtkomstkontroll.
Den nuvarande bestämmelsen om tillåten behandling av uppgifter vid sammanhållen journalföring är knuten till att uppgifterna rör en patient som vårdgivaren har en aktuell patientrelation med. Bestämmelsen tolkas ofta som en bestämmelse som reglerar under
SOU 2014:23 En ny sammanhållen journalföring
369
vilka förutsättningar den enskilde yrkesutövaren får bereda sig tillgång till uppgifterna. Frågan om vad som ska betraktas som en aktuell patientrelation har därför medfört tillämpningsproblem. När och hur inleds patientrelationen? Hur länge varar den? När upphör den? På grund av att hälso- och sjukvårdspersonal kan ha svårt att skilja på åtkomst till uppgifter inom vårdgivarens verksamhet och åtkomst i system sammanhållen journalföring har kravet på patientrelation även spillt över på tillämpningen av åtkomst inom den inre sekretessen. Det har vid våra kontakter med hälso- och sjukvårdspersonal exempelvis framkommit missuppfattningar om att den personal som inte har träffat patienten fysiskt inte får ta del av uppgifter eftersom ingen patientrelation skulle föreligga. Resonemanget verkar vara särskilt vanligt vid exempelvis medverkan i ronder och olika typer av konsultationer. Vi gör bedömningen att det är svårt att knyta regler om tillgänglighet till begreppet relation. Det är inte heller helt enkelt att knyta det till begreppen deltar i vården och behövs i arbetet. Dock framstår de begreppen som lättare att använda för att motivera ett försvarbart behov av att ta del av uppgifterna. Det är mer adekvat att beskriva tillåtligheten att ta del av uppgifter till ett behov som föranleds av arbetsuppgifter i vården.
Situationen då den som arbetar åt en vårdgivare ska ta ställning till om han eller hon har rätt att ta del av uppgifter som tillgängliggjorts av en annan vårdgivare liknar den då den som arbetar år en vårdgivare överväger att ta del av uppgifter som finns tillgängliga inom den egna verksamheten. Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete åt vårdgivaren. Den grundförutsättningen gäller både vid sammanhållen journalföring och när man tar del av uppgifter i den egna verksamheten. Det finns enligt vår bedömning behov av att tydliggöra detta för vårdgivare och för hälso- och sjukvårdspersonal. Vi har övervägt att göra detta bl.a. genom att infoga bestämmelser i kapitlet om sammanhållen journalföring, som direkt riktar sig till hälso- och sjukvårdspersonalen. Men vi har valt att inte gå den vägen. I dagsläget bedömer vi att det vore mer effektivt med olika former av kunskapshöjande insatser riktade till vårdgivare och personal.
Tillämpningsproblemen uppstår när vårdgivarna inte ger sina anställda tillräckligt med stöd vid utformning av arbetsuppgifter och rutiner i verksamheten. På grund av den debatt som med jämna
En ny sammanhållen journalföring SOU 2014:23
370
mellanrum blossar upp vad gäller tillåten behandling av uppgifter inom hälso- och sjukvården finns ett behov av informations- och utbildningsinsatser för att öka kompetensen inom detta område. Ansvaret för dessa insatser ligger i första hand på vårdgivarna, men även lagstiftaren och ansvariga myndigheter bör ta ett ansvar för att underlätta tillämpningen. Många som i den allmänna debatten ifrågasätter patientdatalagen och hävdar att den begränsar tillgången till nödvändiga uppgifter och därmed innebär risker för patientsäkerheten tolkar lagens krav på deltagande i vården av patienten alltför snävt. Förmodligen beror detta på en rädsla att göra sig skyldig till dataintrång. Självklart vill man vara säker på att hamna på rätt sida om gränsen för det som kan betraktas som brottsligt. Lagstiftaren, myndigheter och vårdgivare måste tillsammans förtydliga vad som gäller så att de som arbetar i verksamheterna kan känna större trygghet i det dagliga arbetet. Det måste göras tydligt att alla som vårdar patienten, antingen konkret eller genom att bidra med sin kompetens, t.ex. i samband med ronder eller konsultationer, också deltar i vården på ett sådant sätt att de har rätt att ta del av uppgifter om patienten.
Utredningen vill i denna del även hänvisa till den delredovisning som utredningen överlämnade till regeringen den 31 december 2012. Förutom att den berör omkring ett 80-tal vanliga frågeställningar innehåller den även en promemoria som särskilt belyser förutsättningarna för att ta del av uppgifter i system för sammanhållen journalföring. Delredovisningen finns som bilaga till detta betänkande.
Våra sammanfattande reflektioner
Sammantaget konstaterar utredningen att regelverket för åtkomst till uppgifter i system för sammanhållen journalföring har gett upphov till tillämpningsproblem och osäkerhet. Vi har i det föregående redogjort för de missuppfattningar som finns i hälso- och sjukvården om till vem de grundläggande kraven riktar sig till, dvs. i första hand vårdgivaren. Utredningen gör bedömningen att lagstiftningen i sig är utformad på ett sådant sätt att risken för osäkerhet i tillämpningen är stor. Detta gäller, i olika avseenden, samtliga rekvisit i nuvarande 6 kap. 3 § PDL. Vidare finns det i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården ytterligare
SOU 2014:23 En ny sammanhållen journalföring
371
formuleringar som riskerar att bidra till missuppfattningar, t.ex. i fråga om samtycke till sammanhållen journalföring måste vara personligt riktat till en enskild yrkesutövare eller inte.22
Vidare bedömer vi att det finns skäl att analysera om den nuvarande ändamålsbegränsningen, dvs. att uppgifter hos andra vårdgivare endast får behandlas för vården och behandlingen av patienten, är ändamålsenlig i relation till behoven av att kvalitetssäkra den hälso- och sjukvård patienterna får.
Som redovisats ovan anser utredningen att kravet på samtycke till åtkomst i system för sammanhållen journalföring bör analyseras och ställas i relation till det samtycke till vård och behandling patienten lämnar samt till personuppgiftslagens definition av samtycke.
I det följande redogörs för våra närmare överväganden och våra förslag till ett förenklat och mer ändamålsenligt regelverk för åtkomst till uppgifter i system för sammanhållen journalföring.
14.3.2 En ny reglering för åtkomst till uppgifter i sammanhållen journalföring (skede 2)
Vårt förslag: Villkoren för att en vårdgivare ska få ta del av
uppgifter genom sammanhållen journalföring ska uttryckas dels som ett grundläggande krav på att uppgifterna avser en patient hos vårdgivaren, dels som krav på de ändamål som uppgifterna får användas till. Det innebär att vårdgivare endast får ta del av uppgifter som rör en patient som vårdgivaren har eller har haft en patientrelation med. Vidare får vårdgivare endast behandla personuppgifterna om de behövs för ändamålen vård och behandling av patienten, intygsutfärdande eller för att systematiskt och fortlöpande utveckla och säkra kvaliteten av den vård som patienten fått. Jämfört med vad som gäller i dag ska således åtkomst till uppgifter hos andra vårdgivare – under vissa förutsättningar – även få ske för att systematiskt och fortlöpande utveckla och säkra kvaliteten i vården.
Det nuvarande kravet på patientens samtycke till själva personuppgiftsbehandlingen ska inte överföras från patientdatalagen. I stället ska patientens överenskommelse om och
222 kap. 8 § SOSFS 2008:14.
En ny sammanhållen journalföring SOU 2014:23
372
samtycke till själva hälso- och sjukvårdsinsatserna utgöra grund för tillåten åtkomst till uppgifter hos andra vårdgivare.
Vi föreslår även vissa andra språkliga och strukturella förändringar jämfört med regleringen i patientdatalagen.
Inledning
Vi har ovan redogjort för våra reflektioner kring gällande rätt och de tillämpningsproblem och den osäkerhet som regelverket delvis har medfört. Sammantaget har vi gjort bedömningen att det finns skäl att tydliggöra regelverket för åtkomst till uppgifter i system för sammanhållen journalföring, så att det utgör ett bättre stöd för dem som har att tillämpa lagstiftningen. Vidare finns det anledning att överväga dels om nuvarande ändamålsbestämmelse bör utökas, dels om kravet på patientens samtycke är ändamålsenligt.
Mot denna bakgrund föreslår vi att de grundläggande bestämmelserna om under vilka villkor en vårdgivare får ta del av uppgifter genom sammanhållen journalföring (skede 2) delas upp på två bestämmelser under en egen underrubrik i kapitlet om sammanhållen journalföring. Den ena bestämmelsen ska reglera kravet på patientrelation och den andra bestämmelsen ska ange de tillåtna ändamålen. Syftet med uppdelningen är i allt väsentligt att göra regelverket mer överskådligt och bättre anpassat för dem som ska tillämpa det.
En alldeles grundläggande förutsättning för att en vårdgivare kan få åtkomst till vårddokumentation hos en annan vårdgivare är att patienten inte har motsatt sig medverkan i systemet för sammanhållen journalföring. Vi anser att detta inte behöver nämnas i bestämmelserna eftersom uppgifterna inte får finnas tillgängliga i en sådan situation. Den andra vårdgivaren har alltså inte gjort dem tekniskt tillgängliga för åtkomst, vilket som tidigare redovisats är konsekvensen av att patienten motsätter sig.
Patientrelation med vårdgivaren är nödvändig för åtkomst
Det första egentliga villkoret för åtkomst är att uppgifterna avser en patient som vårdgivaren har eller har haft en patientrelation med. Detta villkor ska enligt vårt förslag överföras från patientdatalagen, men regleras i en egen bestämmelse.
SOU 2014:23 En ny sammanhållen journalföring
373
Eftersom vi även föreslår att sammanhållen journalföring ska få användas för kvalitetsutveckling (se i det följande) måste åtkomst också vara tillåten avseende en tidigare patientrelation. Jämfört med gällande rätt har vi därför av språkliga skäl tagit bort ordet aktuell som beskrivning av patientrelationen. Det blir helt enkelt inte helt logiskt att tala om att man har haft en aktuell patientrelation. Vi avser inte att förändra villkorets innebörd annat än på så sätt att även en tidigare patientrelation kan berättiga till åtkomst.
Syftet med bestämmelsen är att avgränsa rätten till åtkomst till sådana uppgifter som avser personer som är eller har varit patienter hos vårdgivaren. Kravet innebär, på samma sätt som i dag, att det inte är tillåtet för en vårdgivare att behandla personuppgifter rörande patienter som inte finns i verksamheten.
Det bör understrykas att det är vårdgivaren som sådan som ska ha en patientrelation, inte hälso- och sjukvårdspersonalen. En patientrelation kan, som anfördes ovan under avsnittet gällande rätt, t.ex. uppstå genom att patienten bokar ett besök, kommer till en vårdinrättning och söker vård, remitteras till vårdgivaren, kommer på planerat besök, vårdas inneliggande på en avdelning eller genom att patienten kommunicerar med vårdgivaren elektroniskt m.m. En patientrelation kan uppstå på en mängd olika sätt. Det krävs inte något fysiskt möte med personal hos en vårdgivare för att patientrelationen ska inledas. Exempelvis måste den vårdgivare som tar emot en elektronisk remiss från en annan vårdgivare anses ha en patientrelation med den patient som omfattas av remissen. När en patient vänder sig till en vårdgivare för att få ett intyg uppstår också en patientrelation.
Tillåtna ändamål vid sammanhållen journalföring
Enligt nuvarande regelverk får åtkomst till uppgifter i system för sammanhållen journalföring endast användas för ändamålen vård och behandling av patienten samt för att utfärda intyg. Jämfört med de tillåtna ändamålen för behandling av personuppgifter inom en vårdgivares verksamhet är således möjligheterna att använda uppgifter genom direktåtkomst starkt begränsade. En konsekvens av ändamålsbegränsningen är att det inte är tillåtet att ta del av uppgifter hos andra vårdgivare genom direktåtkomst för att exempelvis följa upp och kvalitetssäkra den egna verksamheten. Samtidigt har det blivit tydligt att det kan finnas behov av att ta del
En ny sammanhållen journalföring SOU 2014:23
374
av uppgifter i sammanhållen journalföring för att kvalitetssäkra den egna verksamheten. Det handlar inte om behov av att generellt ta del av patientuppgifter hos andra vårdgivare, utan om att ta del av uppgifter om patienter som vårdats både i den egna verksamheten och hos andra vårdgivare. Det är i dag vanligt förekommande att flera vårdgivare arbetar tätt tillsammans i vården av samma patienter. För att en vårdgivare i ett sådant samarbete ska kunna följa upp och säkra kvaliteten på sina insatser kan det finnas behov av att ta del av uppgifter om patienten som dokumenterats av någon av de andra vårdgivarna i vårdprocessen.
Vi anser att ett nära samarbete i vården av en patient som går över vårdgivargränser också måste kunna utvecklas och förbättras. Behoven av att kvalitetssäkra hälso- och sjukvården är inte mindre i dessa situationer jämfört med situationer där hela vårdepisoden kan hållas inom en och samma vårdgivares verksamhet. För att inte förutsättningarna för att kvalitetssäkra den vård patienterna får i processer över vårdgivargränser ska vara sämre än motsvarande förutsättningarna i den egna verksamheten, krävs att reglerna om informationshantering inte sätter upp hinder för detta. De vårdprocesser som passerar olika vårdgivargränser, t.ex. inom primärvård, specialistvård och slutenvård, blir dessutom allt fler. För att patienterna ska tillförsäkras en god och säker vård behöver det finnas goda legala möjligheter att bedriva ett effektivt kvalitetssäkringsarbete vid sådana samarbeten.
Även om vårt förslag om förbättrade möjligheter till direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde genomförs, kommer det ändå att finnas vårdprocesser som korsar huvudmannagränser, t.ex. samarbeten mellan kommunala och landstingskommunala vårdgivare i samarbeten kring äldre och personer med funktionshinder. Dessutom går mycket av den högspecialiserade vården, t.ex. cancersjukvård, inte sällan över landstingsgränser på ett sådant sätt att patienten vårdas växelvis i sitt hemlandsting och växelvis i ett annat landsting. Vi anser att det finns starka patientsäkerhetsskäl som talar för att tillåta direktåtkomst till de uppgifter som behövs för att utveckla kvaliteten i vården även i dessa situationer.
Mot denna bakgrund föreslår vi sammanfattningsvis att de i dag tillåtna ändamålen ska överföras från patientdatalagen och utökas på sådant sätt att direktåtkomst även får användas för att systematiskt och fortlöpande säkra kvaliteten i verksamheten. Med hänsyn till patienternas behov av integritetsskydd och för att
SOU 2014:23 En ny sammanhållen journalföring
375
tydliggöra att ändamålet kvalitetssäkring inte gäller generellt på ett sådant sätt att uppgifter om vilken patient som helst får behandlas, ska självklart det grundläggande kravet på patientrelation även gälla för åtkomst för detta ändamål. I syfte att ytterligare begränsa möjligheterna till kvalitetssäkring i förhållande till verksamhetens behov och den enskildes behov av integritetsskydd ska det i bestämmelsen uttryckas en princip om att det är kvaliteten i de egna hälso- och sjukvårdsinsatserna som ska kvalitetssäkras. Det handlar därmed om en möjlighet att kvalitetssäkra den vård som vårdgivaren ger i relation till patienter som i enskilda situationer omfattas av hälso- och sjukvårdsinsatser från flera vårdgivare. Som ett exempel kan nämnas kvalitetssäkring av den vård som ges en cancersjuk patient som vårdas växelvis i det egna landstinget och växelvis på ett mer specialiserat sjukhus i ett annat landsting. I en sådan situation ska t.ex. vårdgivaren i hemlandstinget därmed kunna ta del av de uppgifter hos den andra vårdgivaren som behövs för att kvalitetssäkra de egna insatserna i förhållande till patienten. Vi bedömer att en sådan direktåtkomst är motiverad med hänsyn till behovet av en god och säker vård för patienterna.
Under utredningens arbete har det även blivit tydligt att det finns ett behov för vårdgivare att ta ett aktivt ansvar för tillämpningen av lagstiftningen och ta fram närmare riktlinjer som ger hälso- och sjukvårdspersonalen stöd i hur personalen förväntas agera för att utveckla och säkra verksamhetens kvalitet. Utredningen har även i samband med den delredovisning som överlämnades den 31 december 2013 tagit fram en promemoria för att ytterligare vägleda vårdgivare i hur patientuppgifter kan användas i det systematiska kvalitetsarbetet. Se vidare bilaga 4 till detta betänkande.
Enligt vårt förslag till bestämmelse om ändamål för sammanhållen journalföring ska det sammantaget tydligt framgå att direktåtkomst till uppgifter genom sammanhållen journalföring endast får användas för ändamålen att förebygga, utreda eller behandla sjukdomar och skador hos patienten, för att systematiskt och fortlöpande utveckla kvaliteten av dessa vårdinsatser och för att utfärda sådana intyg som avses i hälso- och sjukvårdsdatalagen.
En ny sammanhållen journalföring SOU 2014:23
376
Kravet på samtycke till personuppgiftsbehandlingen bör tas bort
Det finns enligt vår bedömning skäl att överväga om kravet på samtycke till personuppgiftsbehandling i samband med åtkomst till uppgifter i sammanhållen journalföring är ändamålsenligt. Det är inte minst viktigt att ställa detta krav i relation till det samtycke som patienter lämnar till själva hälso- och sjukvårdsinsatserna. En naturlig utgångspunkt skulle kunna vara att den som samtycker till vård även samtycker till den informationshantering som behövs för att vården ska kunna ges med hög kvalitet och patientsäkerhet.
Enligt utredningens uppfattning finns det mycket som talar för att det uttryckliga kravet på ett särskilt samtycke från patienten avseende informationshanteringen bör tas bort. Den grundläggande förutsättningen för att överhuvudtaget få vårda en patient är att patienten samtyckt till åtgärden. Vi tror att det är främmande både för patienten och för personalen att utöver att vara överens om insatsen också måsta göra särskilda ställningstaganden till informationsinhämtningen. Den rimliga utgångspunkten är att den patient som har behov av, önskar och samtycker till hälso- och sjukvård av olika karaktär och omfattning också samtycker till den informationshantering som krävs för att patienten ska få bästa möjlig vård. Denna utgångspunkt gäller för hälso- och sjukvårdspersonalens åtkomst till information i den egna verksamheten. Det är inte ett helt rationellt ställningstagande att göra en annan bedömning endast för att information behöver inhämtas från en annan organisation, dvs. en annan vårdgivare.
Rent principiellt kan även innebörden och värdet av det samtycke till informationshanteringen som lagstiftningen i dag föreskriver behöva diskuteras. Formellt ska samtycket vara av sådant slag som avses i personuppgiftslagen. Regeringen uttalar i propositionen att samtycket ska vara frivilligt, särskilt och otvetydigt. Kravet på att samtycket ska vara frivilligt ger enligt regeringen uttryck för att den enskilde verkligen ska ha ett val.23
Men vilket samtycke till personuppgiftsbehandling är det egentligen som erbjuds den patient som är i behov av vård? Det kan övervägas om kravet på frivillighet alltid är uppfyllt i en verksamhet som hälso- och sjukvården. Den patient som i och för sig samtycker till själva vården, t.ex. till att få ett visst läkemedel ordinerat, kan ju inte gärna avstå från att lämna samtycke till den informationsinhämtning som behövs för att ordinerande läkare ska
SOU 2014:23 En ny sammanhållen journalföring
377
kunna ordinera ett för den enskilde lämpligt läkemedel. Om situationen är sådan att patienten i praktiken inte kan avstå, kan samtycket inte gärna vara frivilligt. Också det förhållandet att en patient allmänt sett kan ha en underordnad eller beroende ställning till hälso- och sjukvårdspersonal som efterfrågar samtycke, bör beaktas vid bedömningen av om samtycket lämnas frivilligt på det sätt som personuppgiftslagen kräver.
När det gäller frågan om ett samtycke kan anses vara frivilligt i den mening som avses i personuppgiftslagen kan viss vägledning hämtas från Datainspektionens praxis och uttalanden. Datainspektionen har bland annat rörande samtycken i försäkringssammanhang, dvs. när enskilda ger försäkringsbolag samtycke att hämta in journaluppgifter från hälso- och sjukvården för att bolaget ska behandla en ansökan om försäkring eller göra bedömningar i samband med skadereglering, uttalat följande.24
Den utvidgade informationsplikten gör förstås att det blir lättare för den försäkrade att ta ställning till om han eller hon ska lämna samtycke eller inte. Huruvida de samtycken som lämnas är frivilliga kan dock fortfarande ifrågasättas. Som en jämförelse kan man titta på vad som krävs för att samtycke ska anses frivilligt enligt personuppgiftslagen (1998:204). För att ett samtycke ska anses frivilligt måste den enskilde i praktiken ha ett fritt val att avgöra om hans eller hennes personuppgifter ska få behandlas. Konsekvensen av att man inte samtycker kan bli att man inte får en vara eller tjänst. Är situationen sådan att den registrerade i praktiken inte kan avstå, kan samtycket inte gärna anses frivilligt. Om till exempel myndigheter skulle kräva samtycke till behandling av personuppgifter som en förutsättning för att tillhandahålla samhälleliga tjänster, kan de starkt ifrågasättas om kravet på frivillighet är uppfyllt. Tillhandahållandet av försäkring kan sägas vara en samhällelig tjänst, vilket till exempel kommer till uttryck genom kontraheringsplikten. Vid ansökan om försäkring har man förstås möjlighet att vända sig till ett annat försäkringsbolag. Det troliga är dock att alla försäkringsbolag hanterar ansökan på samma sätt. Om ett bolag avslår ansökan eller begränsar försäkringsskyddet på grund av att sökanden inte vill lämna sitt samtycke till att hälsouppgifter hämtas in, är det troligt att även andra bolag gör det.
När det gäller skaderegleringssituationen anser Datainspektionen i yttrandet att frivilligheten kan ifrågasättas än mer. Alternativen till att lämna det samtycke som begärs vid skadereglering är enligt inspektionen att inte utnyttja sin försäkring. En vägran kan leda till
24 Datainspektionens yttrande på promemoria till lagrådsremiss, 2010-04-08, dnr 465-2010.
En ny sammanhållen journalföring SOU 2014:23
378
att den skadelidande nekas ersättning eller får lägre ersättning. Frågan är därför, enligt Datainspektionen om den skadelidande i praktiken kan avstå från att lämna samtycke.
Enligt utredningens uppfattning har Datainspektionens uttalande flera beröringspunkter med vad som får anses gälla i hälso- och sjukvården. På motsvarande sätt som inspektionen menar att en försäkringstagare i praktiken inte alltid kan avstå från att lämna samtycke, kan en patient som är i behov av och samtycker till vissa hälso- och sjukvårdsinsatser inte neka hälso- och sjukvårdspersonalen att ta del av de uppgifter som behövs för att utföra arbetet i enlighet med kraven på patientsäkerhet och vetenskap och beprövad erfarenhet. På samma sätt som anförs ovan kan patientens erbjudande om vård i praktiken begränsas och anpassas efter den åtkomst till uppgifter som patienten samtycker till. Vi menar att det starkt kan ifrågasättas om den patient som är i behov av vård och samtycker till vård i praktiken kan avstå från att lämna ett sådant samtycke till personuppgiftsbehandlingen som krävs för att den aktuella vården ska kunna erhållas.
När det gäller frågan om samtycke till åtkomst till uppgifter i elektroniska patientjournaler finns även viss vägledning att hämta från den s.k. Artikel 29-gruppen.25 Artikel 29-gruppen anför bland annat följande i sammanhanget.26
Samtycket måste ges frivilligt: Med frivilligt samtycke menas ett beslut som fattats av en person som är vid sina sinnens fulla bruk, utan tvång av något slag, vare sig socialt, ekonomiskt, psykologiskt eller annat. Ett samtycke som i en vårdsituation getts under hot om att en medicinsk behandling inte kommer att ges, eller att behandling av lägre kvalitet kommer att ges, kan inte betraktas som frivilligt. Samtycke som ges av en patient som inte har haft möjlighet att göra ett reellt val eller som har ställts inför ett fullbordat faktum kan inte anses vara giltigt.
Vidare menar 29-gruppen att då en patients hälsotillstånd gör att det är absolut nödvändigt för hälso- och sjukvårdspersonal att behandla personuppgifter i ett elektroniskt journalsystem är det fel att kräva att de måste inhämta samtycke.
Som redovisats ovan krävs enligt patientdatalagen inget särskilt samtycke till personuppgiftsbehandlingen om uppgifterna finns
25 Artikel 29-gruppen består av företrädare för alla medlemsstaternas dataskyddsmyndigheter. Gruppen är rådgivande och oberoende och har till uppgift att se till att dataskyddsdirektivet tillämpas enhetligt i medlemsstaterna. 26 Artikel 29-gruppen för skydd av personuppgifter, WP 131, Arbetsdokument om behandling av hälsorelaterade personuppgifter i elektroniska patientjournaler (EPJ).
SOU 2014:23 En ny sammanhållen journalföring
379
inom vårdgivarens verksamhet. Det är enligt vår mening inte helt rationellt att göra en annan bedömning endast för att information behöver inhämtas från en annan organisation, dvs. en annan vårdgivare. Resonemanget blir särskilt haltande för den grupp människor som har behov av hälso- och sjukvårdsinsatser både från kommuner och också från landsting, exempelvis alla äldre i särskilda boenden och de som får hemsjukvård i ordinärt boende. Dessa är beroende av läkarinsatser från den landstingsfinansierade hälso- och sjukvården och får övriga behov tillgodosedda inom den kommunala hälso- och sjukvården. Vidare är det en grupp människor som ofta är föremål för inläggningar i slutenvården, vilket kan leda till många övergångar i vårdnivåer och byten av vårdgivare.
I dag pågår omfattande insatser på nationell, regional och lokal nivå för att åstadkomma en mer sammanhållen vård och omsorg för denna patientgrupp. Syftet är att stärka patientsäkerheten och öka kvaliteten i patienternas vård bland annat genom tätare samverkan mellan olika vårdgivare. Att i dessa situationer tala om särskilda samtycken för personuppgiftsbehandlingen, utöver det samtycke som ges till hälso- och sjukvårdsinsatserna, är inte ändamålsenligt. Dessutom bidrar det till att befästa de organisatoriska gränserna och sätta den betydelsen framför betydelsen av en informationshantering med individen i centrum.
Ett annat exempel i sammanhanget är hemsjukvården. Hemsjukvården är ett område där det under lång tid har pågått en växling av ansvaret från landstingen till kommunerna. En sådan växling av hemsjukvården innebär normalt att kommunen tar över landstingets ansvar för sjukvård i hemmet upp till sjuksköterskenivå. Läkarinsatserna står dock den landstingsfinansierade verksamheten för, eftersom kommunerna inte får anställa läkare. För det landsting som i dag har kvar ansvaret för hemsjukvården kan informationsutbytet mellan läkare och sjuksköterska göras utan några andra samtyckeskrav än patientens samtycke till vården. Om landstinget och kommunen sedan skulle komma överens om en växling av hemsjukvården skulle en konsekvens av det bli att samma patienter och samma personal plötsligt skulle behöva tillämpa kravet på ett frivilligt, särskilt och otvetydigt samtycke för informationsutbytet mellan läkare och sjuksköterska. Förutom att en sådan situation inte känns helt rimlig kan återigen ifrågasättas om patienten i praktiken kan avstå från att lämna samtycke till personuppgiftsbehandlingen.
En ny sammanhållen journalföring SOU 2014:23
380
Sammantaget finns enligt vår bedömning övervägande skäl för att låta patientens överenskommelse om och samtycke till vård även vara utgångspunkten för informationshanteringen. Den principen har gällt sedan länge och gäller även för hälso- och sjukvårdspersonalens åtkomst till information i den egna verksamheten. Att frångå detta endast på grund av att det i dag finns modern teknik som gör att uppgifter kan utbytas mellan vårdgivare på ett mer effektivt och patientsäkert sätt än tidigare, är inte ändamålsenligt.
Hälso- och sjukvård får överhuvudtaget inte ges mot någons vilja – om detta inte särskilt framgår av lag. Frivilligheten är grundlagsskyddad. Hälso- och sjukvårdsåtgärder får alltså inte vidtas utan patientens samtycke. Det framgår indirekt av hälso- och sjukvårdslagen och patientsäkerhetslagen (2010:659), förkortad PSL. Enligt 2 a § HSL och 6 kap. 1 § PSL ska vården och behandlingen så långt det är möjligt utformas och genomföras i samråd med patienten. Hälso- och sjukvården ska vidare bygga på respekt för patientens självbestämmande och integritet. Hälso- och sjukvårdspersonalen är skyldig att så långt som möjligt samråda med patienten inför utformningen och genomförandet av vården.
Regeringen har i sitt förslag till patientlag uttryckligt reglerat samtyckeskravet avseende vård och behandling.27 Av patientlagen ska framgå att hälso- och sjukvård inte får ges utan patientens samtycke om inte annat följer av lag. Innan samtycke inhämtas ska patienten få information enligt bestämmelserna i patientlagen. Patienten kan när som helst ta tillbaka sitt samtycke. Om en patient inte samtycker till viss hälso- och sjukvård ska patienten få information om vilka konsekvenser detta kan medföra. Patienten kan om inte annat särskilt följer av lag lämna sitt samtycke skriftligen, muntligen eller genom att på annat sätt visa att han eller hon samtycker till den aktuella åtgärden.
Vår utgångspunkt är att såväl vårdinsatser som informationshantering ska genomföras med respekt för den enskildes integritet och självbestämmande. Vår bedömning är att patientens samtycke till att ta emot viss hälso- och sjukvård som regel också omfattar ett samtycke till att hälso- och sjukvårdspersonalen kan inhämta de uppgifter som behövs för att erbjuda vården. I vårdprocesser som sträcker sig över vårdgivargränser finns det behov av ett kontinuerligt informationsutbyte mellan vårdgivarna. I sådana situationer
27 Regeringens proposition Patientlag, 2013/14:106.
SOU 2014:23 En ny sammanhållen journalföring
381
framstår det som naturligt för patienten att de yrkesutövare som utför vårdinsatser också har tillgång till relevant och nödvändig information för att kunna genomföra vården oavsett om den informationen finns hos den vårdgivaren eller någon annan. Vid utredningens kontakter med patient- och anhörigorganisationer framkommer även att många utgår från att yrkesutövaren har tillgång till all dokumentation som behövs. Åtkomst till journaluppgifter behöver inte föregås av något samtycke om uppgifterna hämtas från den egna verksamheten. För patienten framstår det sannolikt som en jämförlig situation om uppgifter behöver inhämtas från en annan vårdgivare. Många gånger är patienten inte ens medveten om att han eller hon har passerat en vårdgivargräns.
Vi gör därför bedömningen att åtkomsten till uppgifter som finns hos en annan vårdgivare inte ska behöva föregås av något särskilt samtycke. Patientens överenskommelse om själva vårdinsatsen ska utgöra grund för den tillåtna åtkomsten till andra vårdgivares uppgifter.
Genom att det ytterst är patienten som lagligen bestämmer om vilken hälso- och sjukvård som ska utföras är det även patienten som bestämmer vilka vårdgivare som får ta del av uppgifter i system för sammanhållen journalföring och vilka uppgifter det handlar om. Vårt förslag förändrar inte detta. Innebörden av vårt förslag är endast att frågan om informationshantering inte ska hanteras särskilt, utan att den ska avgöras av den överenskommelse om hälso- och sjukvård som patienten träffar med vårdgivaren. I praktiken anser vi inte att vårt förslag förändrar betydelsen av patientens självbestämmande i frågor om vare sig hälso- och sjukvård eller informationshanteringen i hälso- och sjukvården. Med vårt förslag kommer frågor om informationshantering och frågor om förutsättningarna att erbjuda patienten hälso- och sjukvård däremot att gå hand i hand. Hälso- och sjukvårdspersonalen kommer inte att behöva tillämpa två olika tanke- och tillvägagångssätt för det ena eller det andra.
Den grundläggande förutsättningen för att över huvud taget få ta del av uppgifter om patienten i system för sammanhållen journalföring kommer alltjämt att vara att det finns en laglig grund för hälso- och sjukvårdsinsatserna, dvs. att patienten har lämnat sitt samtycke till detta. Det är detta samtycke och denna överenskommelse som enligt vår mening utgör patienternas primära integritetsskydd.
En ny sammanhållen journalföring SOU 2014:23
382
Sammantaget föreslår vi att kravet i gällande rätt på att vårdgivaren ska ha ett särskilt samtycke från patienten för åtkomst till uppgifter i system för sammanhållen journalföring kan tas bort.
Utredningens bedömning är att förslaget i praktiken inte försämrar patienternas integritetskydd. Utredningens förslag förändrar över huvud taget inte frågan om vilken eller vilka vårdgivare som får ha en potentiell tillgång till uppgifter om en patient. Att kravet på samtycke till åtkomst tas bort medför därmed inte i sig någon spridning av uppgifter. Den frågan styrs i stället av reglerna om hur uppgifter får göras tillgängliga i sammanhållen journalföring, vilket har redovisats i det föregående.
Inte heller förändrar utredningens förslag vilken eller vilka vårdgivare som i enskilda fall får utnyttja sin möjlighet till direktåtkomst och faktiskt ta del av uppgifter om en patient. Att kravet på samtycke till åtkomst tas bort innebär inte att det kommer att bli lagligt för fler vårdgivare att ta del av patientens uppgifter, än vad som följer av nuvarande lagstiftning.
Det är fortfarande patienten som förfogar över frågan om vilken vårdgivare som lagligen ska få ta del av patientens uppgifter. Detta gör patienten genom att denne vänder sig till en viss vårdgivare och i detta möte kommer överens om hälso- och sjukvårdsinsatser av olika omfattning och karaktär.
Det kommer fortfarande att vara patienten som på en övergripande nivå förfogar över frågan om vilka uppgifter som hälso- och sjukvårdspersonalen får ta del av. Eftersom hälso- och sjukvårdspersonalen endast får ta del av de uppgifter som behövs för att de ska kunna utföra sitt arbete, kommer patientens självbestämmande alltjämt att vara grunden för vad som är lagligt i fråga om att ta del av uppgifter hos andra vårdgivare. Att kravet på samtycke tas bort innebär alltså inte att yrkesutövaren får ta del av några andra uppgifter än de som behövs för att den vård som patienten önskar och som yrkesutövaren kan erbjuda, ska kunna ges på ett patientsäkert sätt. Förslaget innebär ingen förändrad eller ökad rätt för hälso- och sjukvårdspersonal att ta del av de aktuella uppgifterna.
Vidare har vi redovisat att det starkt kan ifrågasättas om det samtycke till personuppgiftsbehandling som i dag ska inhämtas verkligen kan anses vara ett sådant samtycke som avses i personuppgiftslagens mening. Det visar enligt vår bedömning på att det nuvarande samtycket i praktiken har ringa betydelse för patientens integritetsskydd.
SOU 2014:23 En ny sammanhållen journalföring
383
Härtill gäller att verksamheten i hälso- och sjukvården, enligt de grundläggande kraven i HSL, alltid ska byggas på respekt för den enskildes självbestämmande och integritet. Det innebär att hälso- och sjukvårdspersonalen – oavsett kravet på samtycke till personuppgiftsbehandling – alltid måste ta hänsyn till patientens vilja och önskemål.
Om en patient av något skäl framför önskemål om att personalen inte ska ta de av viss information, ska självklart patientens vilja respekteras. Beroende på vilken typ av information och vilken insats det handlar om, kan en sådan önskan förstås påverka personalens möjligheter att utföra sitt arbete och på det sättet också påverka patientens möjlighet att få en viss insats. Dessa principer gäller dessutom oavsett om de aktuella uppgifterna finns inom eller utom vårdgivarens verksamhet. Hälso- och sjukvårdspersonalen kan endast ge den vård som bedöms ligga i linje med vetenskap och beprövad erfarenhet och som, bland annat mot bakgrund av tillgänglig information om patienten, bedöms vara patientsäker i det enskilda fallet.
Vår bedömning är sammanfattningsvis att patienten, precis som i dag, även med vårt förslag kommer att ha en rätt att bestämma om en vårdgivarens hälso- och sjukvårdspersonal ska få ta del av en annan vårdgivares vårddokumentation som finns tillgänglig i den sammanhållna journalföringen.
Åtkomst till uppgifter om barn
Som en konsekvens av utredningens förslag ovan behövs inga särskilda bestämmelser vad gäller åtkomst till uppgifter om barn i system för sammanhållen journalföring. Genom nuvarande bestämmelser i 6 kap. 3 § PDL tydliggörs att en vårdgivare har rätt att behandla sådana personuppgifter om barn som vårdgivare inte får spärra, om uppgifterna rör ett barn vårdgivaren har en patientrelation med och uppgifterna behövs för att förebygga, utreda eller behandla sjukdomar och skador hos barnet. En sådan bestämmelse behöver inte tas in i hälso- och sjukvårdsdatalagen eftersom det, p.g.a. att samtycke till personuppgiftsbehandlingen inte längre krävs, kommer att gälla samma förutsättningar för åtkomst till uppgifter om vuxna som till uppgifter om barn. Åtkomst till uppgifter om barn får således ske under det förutsättningar som redovisats ovan.
En ny sammanhållen journalföring SOU 2014:23
384
14.3.3 Åtkomst till uppgifter i samband med vård av vuxna med nedsatt beslutsförmåga
Vår bedömning: Några särskilda bestämmelser för åtkomst till
uppgifter i system för sammanhållen journalföring i samband med vård av vuxna som inte endast tillfälligt har nedsatt beslutsförmåga behövs inte. I situationer där det är lagligt att ge hälso- och sjukvård till någon som inte kan samtycka till själva åtgärden, bör det vara tillåtet för den hälso- och sjukvårdspersonal som ska ge vården att ta del av den information som behövs för att patienten ska få en god och säker vård. Den särskilda bestämmelsen i nuvarande 6 kap. 4 § PDL, som reglerar åtkomst till ospärrade uppgifter om patienten i en nödsituation inte kan samtycka, bör därmed inte överföras till hälso- och sjukvårdsdatalagen.
I det föregående har vi redogjort för vårt förslag om att vårdgivare inte behöver inhämta ett särskilt samtycke för personuppgiftsbehandlingen, dvs. för åtkomsten till uppgifter hos en annan vårdgivare. På grund av detta förslag behövs inte heller någon särskild reglering för vuxna som inte endast tillfälligt har nedsatt beslutsförmåga. Den bestämmelse som utredningen föreslog i betänkandet SOU 2013:45 om möjlighet för vårdgivare att under vissa förutsättningar ta del av uppgifter i sammanhållen journalföring, även om patienten saknade förmåga att samtycka, kommer därmed inte längre att behövas. Det innebär att det precis som för patienter som har beslutsförmåga är den lagliga grunden för själva hälso- och sjukvårdsinsatserna som ska vara avgörande för om en åtkomst till uppgifter hos andra vårdgivare är tillåten eller inte.
Om en person saknar förmåga att ge uttryck för sin inställning till vård och behandling ställs särskilt stora krav på hälso- och sjukvårdspersonalens ansvarstagande, bemötande och omhändertagande. Utredningens utgångspunkt är att personalen ska stötta personer med nedsatt beslutsförmåga på ett sådant sätt att de i så stor utsträckning som möjligt kan tillvarata sin självbestämmanderätt. Av grundläggande respekt för den enskilde individen bör hälso- och sjukvårdspersonalen verkligen försöka nå fram till individen och i möjligaste mån tillhandahålla relevant och anpassad information samt efterfråga individens inställning till frågan om vård. Men i många situationer kommer det inte att var en helt framkomlig väg.
SOU 2014:23 En ny sammanhållen journalföring
385
Personalen behöver då ta hjälp av annan information, t.ex. genom samtal med närstående, och göra en professionell bedömning av vad som är bäst för individen i frågor som exempelvis rör vård, behandling och informationshantering.
Vår utgångspunkt är därför att vårdinsatserna och den med insatserna sammanhängande informationshanteringen, rörande vuxna som inte endast tillfälligt saknar beslutsförmåga. bör genomföras utifrån vad som är känt om den enskildes inställning samt hälso- och sjukvårdspersonalens bedömning av vad som är den enskildes bästa.
Om hälso- och sjukvårdspersonalen bedömer att en viss vårdinsats är laglig att ge patienten trots att patienten inte kan uttrycka sitt samtycke till vården, får personalen också ta del av de uppgifter som behövs för att genomföra den aktuella vårdinsatsen. Det innebär att åtkomst till uppgifter i system för sammanhållen journalföring endast får ske i den omfattning som behövs för den hälso- och sjukvård som patienten får.
Genom utredningens förslag tydliggörs att det är den legala grunden för att meddela vård som är utslagsgivande för vilken åtkomst till uppgifter hos andra vårdgivare som får förekomma. I situationer där det är tillåtet att ge vård till någon som inte kan samtycka till själva åtgärden, bör lagstiftningen även göra det tillåtet för den som ska ge vården att ta del av den information som behövs för att patienten ska få en god och säker vård. Det handlar om nödvändiga förutsättningar för individens säkerhet och om hälso- och sjukvårdspersonalens skyldighet att göra gott och undvika skada.
14.3.4 Åtkomst till uppgifter i samband med vård av vuxna med tillfälligt nedsatt beslutsförmåga
Vår bedömning: Några särskilda bestämmelser för åtkomst till
uppgifter i system för sammanhållen journalföring i samband med vård av vuxna med tillfälligt nedsatt beslutsförmåga behövs inte. I situationer där det är lagligt att ge hälso- och sjukvård till någon som inte kan samtycka till själva åtgärden, bör det vara tillåtet för den hälso- och sjukvårdspersonal som ska ge vården att ta del av den information som behövs för att patienten ska få en god och säker vård. Den särskilda bestämmelsen i nuvarande
En ny sammanhållen journalföring SOU 2014:23
386
6 kap. 4 § PDL, som reglerar åtkomst till ospärrade uppgifter om patienten i en nödsituation inte kan samtycka, bör därmed inte överföras till hälso- och sjukvårdsdatalagen.
Inom hälso- och sjukvården uppkommer ofta situationer då personer av olika anledningar saknar möjlighet att ge samtycke till nödvändiga vårdinsatser. Förutom vid sådana situationer som redovisats i föregående avsnitt handlar det framförallt om akuta situationer då en person exempelvis är medvetslös och sjukvårdsinsatser måste vidtas omedelbart för att rädda personens liv eller i övrigt för att undvika svåra konsekvenser för den enskildes hälsa. Det legala stöd som hittills ansetts finnas vid dylika situationer är 24 kap. 4 § brottsbalken som reglerar under vilka förutsättningar ett handlande i en nödsituation kan vara fritt från straffrättsligt ansvar.
Regeringen har nyligen lämnat ett förslag till en ny patientlag.28Av den föreslagna lagen framgår att hälso- och sjukvård som regel inte får ges utan patientens samtycke. Kravet på samtycke kompletteras bl.a. av en bestämmelse om att patienter ska få den hälso- och sjukvård som behövs för att avvärja fara som akut och allvarligt hotar patientens liv eller hälsa, även om hans eller hennes vilja på grund av medvetslöshet eller av någon annan orsak inte kan utredas.
Regeringen anför att det är enbart sådan vård som behövs för att avvärja en fara som akut och allvarligt hotar patientens liv eller hälsa som får ges utan patientens samtycke. Det ska således vara fråga om sådan nödvändig vård som inte kan anstå tills en patient eventuellt själv kan ta ställning till åtgärden. Bestämmelsen ska gälla enbart i situationer där det handlar om att rädda patientens liv eller i övrigt för att undvika svåra konsekvenser för hans eller hennes hälsa.29
Bestämmelsen tar därmed sikte på nödsituationer. Om en patient inte befinner sig i en sådan nödsituation föreslås således inte vård och behandling kunna ges med stöd av bestämmelsen. Vår uppfattning är att lagförslaget inte tillräckligt tillgodoser behovet av att reglera förutsättningarna att ge vård när patienten tillfälligt saknar förmåga att samtycka och situationen i sig inte är akut. Utredningen delar lagrådets bedömning att förslaget inte överens-
SOU 2014:23 En ny sammanhållen journalföring
387
stämmer med vad som är praxis vid sådana situationer i hälso- och sjukvården.30Utredningens uppfattning är att den som av olika skäl tillfälligt saknar beslutsförmåga brukar erbjudas den vård som är nödvändig med hänsyn till personens hälsotillstånd, även om det inte är en sådan akut nödsituation som avses i lagförslaget.
Utredningen anser att förutsättningarna för att hantera journalinformation om en individ så långt möjligt bör vara samma om en person tillfälligt eller mer varaktigt saknar förmåga att samtycka till en viss personuppgiftsbehandling. Vidare anser vi att det avgörande inte bör vara om situationen i sig är akut eller inte. Det avgörande bör vara vilken information som behövs för att patienten ska få den vård som är nödvändig med hänsyn till hälsotillståndet. Det är det som är det berättigade intresset för patienter, närstående och personal.
Vi har ovan föreslagit att det nuvarande kravet på ett särskilt samtycke för direktåtkomsten till uppgifter hos en annan vårdgivare ska tas bort. Åtkomsten ska i stället vara tillåten på samma grunder som själva erbjudandet och överenskommelsen om vården. På grund av detta förslag behövs heller inte någon särskild reglering för vuxna som tillfälligt har nedsatt beslutsförmåga. Den bestämmelse som finns i patientdatalagen om åtkomst till ospärrade uppgifter i nödsituationer behöver därför inte föras över till hälso- och sjukvårdsdatalagen.
Om hälso- och sjukvårdspersonal bedömer att en viss hälso- och sjukvårdinsats kan ges trots att patienten inte kan uttrycka sitt samtycke får personalen också ta del av de uppgifter som behövs för att genomföra vården. Även genom detta förslag tydliggörs att de förutsättningar som gäller för att kunna genomföra vård- och behandlingsinsatser måste överensstämma med de förutsättningar som gäller för att hantera den information som behövs i en sådan situation. I situationer där det är tillåtet att ge vård till någon som inte kan samtycka till själva åtgärden, bör lagstiftningen därmed även göra det tillåtet för den som ska ge vården att ta del av den information som behövs för att patienten ska få en god och säker vård. Det innebär, i likhet med vad som sägs ovan, att åtkomst till uppgifter i system för sammanhållen journalföring endast får ske i den omfattning som behövs för den hälso- och sjukvård som patienten får.
En ny sammanhållen journalföring SOU 2014:23
388
14.3.5 Att ta del av uppgifter om vilken vårdgivare som ansvarar för uppgifter som inte är tekniskt åtkomliga
Vårt förslag: Om patienten motsatt sig att uppgifter görs till-
gängliga i system för sammanhållen journalföring ska en vårdgivare under vissa förutsättningar ändå få ta del av uppgift om vilken vårdgivare som har sådana uppgifter som inte har gjorts tillgängliga. Sådan åtkomst får ske om patienten saknar förmåga att själv begära att uppgifterna ska göras tillgängliga och det föreligger fara för patientens liv eller hälsa. När vårdgivaren under dessa förutsättningar kan ta del av vilken vårdgivare som har de aktuella uppgifterna kan denne vända sig till vårdgivaren som ansvarar för uppgifterna och begära att denne tar ställning till om uppgifterna får lämnas ut. Bestämmelser härom ska införas i hälso- och sjukvårdsdatalagen.
Vår bedömning: Bestämmelsen syftar till att vårdgivare i en
situation där det är fara för patientens liv eller hälsa ska kunna ta reda på vilken vårdgivare som har uppgifter om patienten som inte har gjorts tillgängliga i system för sammanhållen journalföring, men som kan behövas för vården av patienten. Bestämmelsen är i sak inte ny, men den har däremot omarbetats mot bakgrund av utredningens förslag om att mönstra ut begreppet spärr ur regelverket om sammanhållen journalföring.
I 6 kap. 4 § PDL finns bestämmelser om åtkomst till uppgifter i nödsituationer när patienten inte kan lämna samtycke till personuppgiftsbehandlingen. Den nuvarande bestämmelsen lyder som följer.
Om det finns spärrade uppgifter om en patient och det föreligger fara för dennes liv eller annars föreligger allvarlig risk för dennes hälsa, får vårdgivaren, om patienten inte kan häva spärren enligt 2 § fjärde stycket, ta del av uppgift om vilken eller vilka vårdgivare som har spärrat uppgifterna. Om vårdgivaren med ledning av denna uppgift bedömer att de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren.
Enligt utredningens bedömning har denna bestämmelse i praktiken medfört begränsad nytta. Eftersom uppgifter som är spärrade inte ens är tekniskt åtkomliga i system för sammanhållen journalföring
SOU 2014:23 En ny sammanhållen journalföring
389
kan inte den som har behov av uppgifterna häva spärren. I stället ska en kontakt tas med den vårdgivare som har lagt spärren och begära att denne bedömer om spärren kan hävas. Bestämmelsen kan därför anses ge mer uttryck för hur handläggningen av utlämnande av uppgifter ska gå till än för hur uppgifter som är spärrade ska kunna göras tillgängliga i system för sammanhållen journalföring när så behövs.
Vidare har bestämmelsen kritiserats för att i praktiken vara mycket svår att tillämpa vad gäller den bedömning som den vårdgivare som har behov av uppgifterna ska göra. Enligt bestämmelsen ska denne vårdgivare, med ledning av uppgift om vilken vårdgivare som har spärrat uppgifterna, bedöma om dessa uppgifter kan antas ha betydelse för den vård som patienten oundgängligen behöver. Med tanke på definitionen av begreppet vårdgivare torde detta i praktiken vara en svår och kanske ibland en helt omöjlig uppgift. Det kan exempelvis ifrågasättas hur det ska vara möjligt att med ledning av uppgift om att vårdgivarna Region Skåne, Praktikertjänst, Stockholms läns landsting eller Capio har spärrade uppgifter om patienten, bedöma om dessa uppgifter kan ha betydelse för patientens vård.
Utredningen konstaterar att bestämmelsen utformades i enlighet med lagrådets förslag i samband med lagrådsremissen till patientdatalagen. Av lagrådets yttrande framgår att lagrådet ansåg att det i en situation när det föreligger fara för patientens liv eller det annars föreligger allvarlig risk för patientens hälsa, ska finnas möjligheter att häva en spärr.31 Det bör då, enligt lagrådet, vara den vårdgivare som har lagt spärren som också har att pröva om den ska hävas. Därutöver anför lagrådet följande i sammanhanget.
I praktiken bör det således gå till på det viset att den vårdgivare som har vårdansvaret för patienten tar del av den alltid tillgängliga uppgiften i den sammanhållna journalföringen om att det finns spärrade uppgifter om patienten. Om patientens tillstånd motiverar det går vårdgivaren vidare och tar del av uppgiften om vilken annan vårdgivare som har lagt spärren. Visar det sig att spärren har lagts exempelvis av en vårdgivare inom psykiatrin medan patienten vårdas för en somatisk sjukdom, kan det leda till att patientens aktuelle vårdgivare avstår från att försöka få spärren hävd. Men om han eller hon bedömer att de spärrade uppgifterna behövs för den vård han eller hon avser att ge patienten, måste vårdgivaren vända sig till den vårdgivare som har lagt spärren och begära att denne ger honom tillgång till de spärrade uppgifterna.
31 Lagrådet, utdrag ur protokoll vid sammanträde 2008-03-06.
En ny sammanhållen journalföring SOU 2014:23
390
Enligt utredningens bedömning kan resonemanget ovan ifrågasättas, inte minst med tanke på hur hälso- och sjukvården faktiskt är organiserad. Därutöver blandas begreppet vårdgivare med benämningarna han eller hon samt honom. Det kan därför inte uteslutas att lagrådets resonemang och den efterföljande författningskonstruktionen är en bidragande orsak till varför bestämmelsen upplevs vara svår att tillämpa och till ringa värde i praktiken. Som tidigare nämnts torde det exempelvis inte alltför ofta gå att bedöma om uppgifterna kan ha betydelse för patientens vård, endast mot bakgrund av kännedom om vilken vårdgivare som har spärrat uppgifterna. Generellt går exempelvis inte att dra någon slutsats om vilket verksamhetsområde uppgifterna är hänförliga till och än mindre om vilken typ av uppgifter det faktiskt handlar om, endast genom att få vetskap om vårdgivarens namn.
Vidare har utredningen i kontakter med hälso- och sjukvårdspersonal flertalet gånger stött på uppfattningen att det är den som har behov av uppgifterna som också kan forcera en spärr och ta del av dem. Möjligen bottnar dessa missuppfattningar i att det är så det fungerar vad gäller spärrar inom en vårdgivares verksamhet. Samtidigt finns uttalanden av regeringen i propositionen som också kan ha en bidragande orsak till dessa uppfattningar. Regeringen anför exempelvis att en vårdgivare får vid en sådan akut nöd-
situation häva spärren och bereda sig tillgång till en annan vårdgivares journaluppgifter om det behövs för den vård patienten oundgängligen behöver även om patientens samtycke inte kan inhämtas.32
Även om detta uttalande med all sannolikhet är oavsiktligt och regeringen i flera andra sammanhang ger en annan bild av förutsättningarna, sänder just detta uttalande otvivelaktigt signalen om att den som vårdar patienten och behöver uppgifterna också kan forcera en spärr. Eftersom spärrade uppgifter i sammanhållen journalföring emellertid inte är tekniskt åtkomliga och i rättslig mening inte heller utgör allmänna handlingar hos andra myndigheter som är anslutna till systemet för sammanhållen journalföring, saknas dock rättsliga förutsättningar för en sådan forcering.
Sammantaget har utredningen mot bakgrund av de tillämpningsproblem som finns och det förhållandevis ringa värde som bestämmelsen i praktiken verkar ha, övervägt om bestämmelsen bör överföras till hälso- och sjukvårdsdatalagen eller om den bör utgå. Eftersom ett hävande av en spärr vid sammanhållen journal-
SOU 2014:23 En ny sammanhållen journalföring
391
föring i rättslig mening snarare är att jämställa med vilket annat elektroniskt utlämnande som helst än direktåtkomst, kan hävdas att bestämmelsen inte behövs. Detta eftersom det redan följer av lagen att uppgifter som får lämnas ut kan lämnas ut på medium för automatiserad behandling.
Samtidigt anser utredningen att bestämmelsen, genom att den åtminstone ger information om vilken vårdgivare som har spärrade uppgifter, kan fylla en viss funktion. Detta genom att vårdgivaren i alla fall får information om vilken vårdgivare som kan kontaktas om det bedöms nödvändigt och om det finns ett tidsutrymme att ta en sådan kontakt i den akuta situationen. Vidare torde värdet av uppgiften öka i takt med att allt fler vårdgivare ansluter sig till system för sammanhållen journalföring. Om endast ett fåtal vårdgivare medverkar blir den praktiska nyttan begränsad för patienten och för hälso- och sjukvårdspersonalen. I ett sådant fall säger nämligen uppgiften om att det finns spärrade uppgifter om en patient, indirekt väldigt lite om det finns anledning för personalen att begära ut de spärrade uppgifterna eller om det kan finnas mer relevanta uppgifter om patienten hos vårdgivare som över huvud taget inte medverkar i systemet för sammanhållen journalföring.
Efter att ha vägt olika alternativ mot varandra har utredningen kommit fram till att de nuvarande bestämmelserna om åtkomst till spärrade uppgifter i mer akuta nödsituationer bör föras över till hälso- och sjukvårdsdatalagen, men genomgå en språklig anpassning eftersom begreppet spärr tas bort ur detta regelverk. Utredningen föreslår således att vårdgivare i en situation när det är fara för patientens liv eller hälsa ska kunna ta reda på vilken vårdgivare som har uppgifter om patienten som inte har gjorts tillgängliga i systemet för sammanhållen journalföring, men som kan behövas för vården av patienten.
14.3.6 Bevarande och gallring
Vårt förslag: När patientjournaler eller andra handlingar är till-
gängliga för en vårdgivare genom direktåtkomst gäller skyldigheten att bevara handlingen därmed endast den vårdgivare som ansvarar för handlingen. Övriga myndigheter får gallra handlingen. Bestämmelser härom överförs från patientdatalagen till hälso- och sjukvårdsdatalagen.
En ny sammanhållen journalföring SOU 2014:23
392
Utredningen föreslår att den nuvarande bestämmelsen i 6 kap. 8 § PDL om bevarande och gallring vid sammanhållen journalföring överförs till hälso- och sjukvårdsdatalagen. Bestämmelsen är även tillämplig för sådan direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för och har därför i allt väsentligt redovisats tidigare i detta betänkande. Se avsnitt 13.4.7.
14.3.7 Övriga bestämmelser
Vårt förslag: De nuvarande bestämmelserna i 6 kap. 5 och 7 §§
PDL ska föras över till hälso- och sjukvårdsdatalagen. Det innebär att vårdgivare inte får behandla en annan vårdgivares uppgifter i system för sammanhållen journalföring under andra förutsättningar än dem som särskilt anges i kapitlet, även om patienten uttryckligen samtycker till det. Vidare ska en påminnelse göras om att hälso- och sjukvårdsdatalagens regler om behörighetstilldelning och åtkomstkontroll även gäller vid sammanhållen journalföring. Dessutom ska i en paragraf erinras om hälso- och sjukvårdsdatalagens krav på risk-och sårbarhetsanalys och överenskommelse om informationssäkerhet och skydd för personuppgifter vid direktåtkomst mellan vårdgivare.
Betydelsen av patientens samtycke
Den nuvarande bestämmelsen i 6 kap. 5 § PDL om att patienten, vid direktåtkomst i system för sammanhållen journalföring, inte kan samtycka till personuppgiftsbehandling för ändamål som är otillåtna ska föras över till hälso- och sjukvårdsdatalagen. Utredningen gör samma bedömning som regeringen gjorde i förarbetena om att i denna del begränsa möjligheten för patienten att samtycka till personuppgiftsbehandling som är otillåten.33
Förslaget innebär att åtkomst till uppgifter i system för sammanhållen journalföring endast är tillåtet för de ändamål som särskilt anges i hälso- och sjukvårdsdatalagens bestämmelser om sammanhållen journalföring, oavsett om patienten samtycker till annat.
SOU 2014:23 En ny sammanhållen journalföring
393
Behörighetsstyrning och åtkomstkontroll
På samma sätt som i 6 kap. 7 § PDL anser utredningen att det i hälso- och sjukvårdsdatalagens kapitel om sammanhållen journalföring ska tas in en påminnelse om att de grundläggande bestämmelserna i lagen om behörighetstilldelning och åtkomstkontroll även gäller vid vårdgivares direktåtkomst till andra vårdgivares uppgifter i system för sammanhållen journalföring.
Risk- och sårbarhetsanalys och överenskommelse
Utredningen föreslår att det i hälso-och sjukvårdsdatalagens kapitel om sammanhållen journalföring tas in en påminnelse om att kravet i 2 kap. 9 § hälso- och sjukvårdsdatalagen även gäller för direktåtkomst vid sammanhållen journalföring. Det innebär att vårdgivare som utbyter uppgifter genom sammanhållen journalföring ska göra en risk- och sårbarhetsanalys och komma överens om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Utredningen redogör närmare för detta förslag i kapitel 10.
395
15 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
15.1 Bakgrund
Läkemedelsbehandling är i dag den mest omfattande och avgörande behandlingen inom hälso- och sjukvård globalt sett. Samtidigt som läkemedelsbehandling många gånger ger stora fördelar för en enorm mängd patienter krävs omfattande resurser i form av hälso- och sjukvårdspersonal och pengar. Läkemedel är förenat med stora risker när det inte används korrekt. För den enskilde patienten kan fel läkemedel eller en olämplig kombination av läkemedel föra med sig allvarliga konsekvenser för hälsa och livskvalitet.
Läkemedelslistan
Det är vanligt att uppgifter i patientjournalen om vilka läkemedel som ordinerats till patienten visas i en särskild lista i journalsystemet, en läkemedelslista. Journalsystemen innehåller normalt sett även s.k. läkemedelsmoduler som, förutom läkemedelslistan, kan innehålla ett antal funktioner för att stödja en patientsäker läkemedelsprocess. Det kan exempelvis handla om beslutsstödsfunktioner av olika slag. Vanligast förekommande är en automatisk kontroll av hur de olika läkemedlen som patienten ordinerats kan påverka varandras upptag, fördelning, utsöndring och effekt, s.k. interaktionskontroll.
Till skillnad mot andra typer av journalanteckningar, som ibland kan vara strukturerade och katalogiserade utifrån verksamhetsområden eller vårdenheter, har det sedan länge strävats efter att hålla läkemedelslistan gemensam för vårdgivarens samtliga verk-
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
396
samheter. Anledningen till detta är att uppgifter om patientens ordinerade läkemedel ur ett patientsäkerhetsperspektiv behöver vara samlade så att patientens totala och aktuella läkemedelsbehandling kan vara ett underlag för ordinatörens beslut om patientens fortsatta behandling.
Beslutsunderlag vid ordination av läkemedel
För hälso- och sjukvårdspersonal som står i begrepp att på olika sätt ta ställning till en patients läkemedelsordinationer är korrekt och aktuell information om de läkemedel patienten tar en nödvändig förutsättning för att kunna ge en god och säker vård. Utan ett ändamålsenligt beslutsunderlag i form av läkemedelslista, uppgifter om ordinationsorsaker m.m. kan hälso- och sjukvårdspersonalen svårligen arbeta fullt ut i enlighet med de etiska grundprinciperna samt vetenskap och beprövad erfarenhet.1 Det är inte möjligt att ordinera läkemedel på bästa tänkbara sätt utan att samtidigt känna till och kunna värdera om läkemedlet är lämpligt i förhållande till andra läkemedel och andra behandlingar patienten får.
En utmaning i dag är att uppgifter om patienters läkemedel är utspridda på olika informationskällor i olika delar av hälso- och sjukvården samt på de register över recept och uthämtade läkemedel som förs av eHälsomyndigheten. Därtill kommer att de legala förutsättningarna för att dokumentera och ta del av uppgifter är olika för samtliga dessa informationskällor. Det medför bl.a. svårigheter att utveckla it-stöd som ger en samlad bild av patientens aktuella läkemedelsbehandling.
De utmaningar som i dag finns lyfts bland annat upp av regeringen i direktivet till vår utredning, där exempelvis följande framgår.2
Behörig personal inom hälso- och sjukvården och socialtjänsten behöver ha tillgång till personuppgifter om den enskilde och information om de insatser (förskrivning av läkemedel, behandlingar etc.) som den enskilde fått tidigare. Utan sådan tillgång till uppgifter ökar risken för bl.a. felaktiga beslutsunderlag, felbehandlingar eller allvarliga interaktioner mellan läkemedel och andra insatser. Konkret innebär det exempelvis att förskrivare behöver ha en så samlad bild som möjligt av en individs läkemedelsordinationer, från såväl förskrivning på recept
1 Jfr 6 kap. 1 § patientsäkerhetslagen (2010:659). 2 Dir. 2011:111.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
397
som på rekvisition från öppen och sluten vård. Sjuksköterskor i kommunal hälso- och sjukvård behöver veta vilka ordinationer den patient som varit på sjukhuset har fått. Farmaceutisk personal i hälso- och sjukvården eller på apotek behöver ha tillgång till informationen som finns i läkemedelsförteckningen. Utöver negativa konsekvenser för den enskilde kan brister i möjligheter att samverka och samarbeta genom att utbyta uppgifter utgöra ett hot mot vården och stödet på en övergripande nivå.
15.1.1 Vårt uppdrag
Utredningens övergripande uppdrag är att analysera de utmaningar och hinder som finns för en mer ändamålsenlig och sammanhållen informationshantering. Detta gäller inte minst i förhållande till behovet av korrekta och aktuella uppgifter om patienternas läkemedelsanvändning. Regeringen framhåller i direktivet att om det ska vara möjligt att få en så samlad och aktuell bild av en enskilds läkemedelsordinationer som möjligt, behöver även bestämmelser i relevant lagstiftning om lagring och gallring av uppgifter i journaler och register harmoniseras så att inte kraven på gallring skiljer sig åt för uppgifter som bör hanteras samlat.
Utredningen har mot denna bakgrund valt att titta närmare på läkemedelsprocessen och några av de faktorer som behöver samspela för att informationshanteringen ska kunna bidra till bättre resultat för patienterna. Det handlar här inte endast om lagring och gallring av uppgifter, utan även om förutsättningar för åtkomst och användning av de uppgifter som registreras av olika aktörer i hälso- och sjukvården samt i apoteksledet. I detta ryms ett antal grundläggande frågor om de olika regelverk som styr hanteringen av läkemedelsinformation, men även sådant som rör samverkan mellan aktörer, it-utveckling, professionskulturer, arbetssätt m.m. Utredningens uppdrag handlar primärt om den informationshantering som förekommer i hälso- och sjukvården, vilket bland annat innebär att en betydande del av apoteksaktörernas verksamheter ligger utanför utredningens uppdrag.
Ytterligare en fråga som påverkar möjligheterna till en samlad bild av patienternas läkemedelsanvändning är patienternas rätt att spärra information inom och mellan vårdgivare. Ända sedan patientdatalagens (2008:355), förkortad PDL, tillkomst har i den allmänna debatten ibland höjts röster för att sådana informationsmängder som t.ex. uppgift om läkemedelsordinationer inte borde kunna
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
398
spärras. Under utredningens arbete har även Center för e-Hälsa i samverkan, CeHis, kommit in med en begäran om undantag från patientdatalagen avseende patientens spärrmöjligheter i syfte att kunna skapa en samlad läkemedelslista i en Nationell ordinationsdatabas (NOD). Utredningen kommer att beröra frågan om patientens rätt att spärra uppgifter om läkemedelsordinationer i det följande.
Vidare har regeringen nyligen tillsatt ytterligare en utredning, Ehälsokommittén (S2013:17), med uppdrag att se över frågor som rör registrering och hantering av läkemedelsordinationer. Enligt direktivet ska utredningen utreda behovet av en bättre hantering av informationen i hela ordinationskedjan från förskrivare via expeditör till slutanvändaren och vid behov lämna förslag på hur en bättre hantering kan åstadkommas. Utredaren ska vid behov även utarbeta nödvändiga författningsförslag.
De frågor som E-hälsokommittén har att hantera överlappar i viss mån de frågor som är aktuella i vår utredning avseende en ändamålsenlig hantering av uppgifter om ordinerade läkemedel. I dessa delar har vi därför samrått med E-hälsokommittén.
15.1.2 Kort om nationell läkemedelsstrategi
Inom ramen för Nationell eHälsa tillsatte regeringen 2011 en särskild styrgrupp för it och läkemedel. I regeringens skrivelse, där regeringen redovisar sin bedömning av Riksrevisionens iakttagelser i rapporten Rätt information vid rätt tillfälle inom vård och omsorg – samverkan utan verkan? (RiR 2011:19), anges bland annat följande.3
Risken för felmedicinering eller en olämplig kombination av läkemedel är de kanske mest konkreta riskerna som individer, särskilt äldre, möter i sina kontakter med vården och omsorgen. En förutsättning för att minimera dessa risker är, som beskrivits ovan, lagstiftning som medger att behörig personal har tillgång till personuppgifter om den enskilde och information om de insatser som den enskilde fått tidigare. En annan förutsättning är att förskrivare och andra personalkategorier använder stödsystem som ger en samlad bild av individens läkemedelsanvändning inom såväl öppen som sluten vård. För att etablera en nationell ordinationsdatabas (NOD) samt påskynda införandet av elektroniska förskrivar- och expeditionsstöd inom hela hälso- och sjukvården och berörda delar av socialtjänsten har regeringen inrättat
3 Regeringens skrivelse 2011/12:34.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
399
en styrgrupp (regeringens beslut den 16 juni 2011). Styrgruppen hanterar den nationella läkemedelsstrategins insatsområde om ordinationsprocessen.
I uttalandet från regeringen betonas de allvarliga risker som uppstår, inte minst för äldre, vid felmedicinering eller vid en olämplig kombination av läkemedel. En lagstiftning som medger att behörig personal har tillgång till uppgifter om patienternas samlade läkemedelsanvändning nämns som en förutsättning för att reducera riskerna.
Under 2011 arbetade regeringen tillsammans med bland annat Sveriges kommuner och landsting, Socialstyrelsen, Läkemedelsverket, Tandvårds- och läkemedelsförmånsverket, Statens beredning för medicinsk utvärdering, läkarprofessionen, läkemedelsindustrin och apoteksbranschen fram en nationell läkemedelsstrategi med ett antal insatsområden. Syftet var att få en nationell kraftsamling på prioriterade förbättringsområden inom läkemedelsområdet.
Målen med den nationella läkemedelsstrategin är
medicinska resultat och patientsäkerhet i världsklass
jämlik vård
kostnadseffektiv läkemedelsanvändning
attraktivitet för innovation av produkter och tjänster
minimal miljöpåverkan
Strategin innefattade ursprungligen ett trettiotal planerade aktiviteter inom olika insatsområden, såsom exempelvis följande.
1. Skapa en bättre och säkrare ordinationsprocess och lägga grunden för generisk förskrivning genom nationellt samordnade it-stöd.
2. Öka samsyn och förståelse för ordinerad läkemedelsbehandling.
3. Utveckla kunskap om och riktlinjer för läkemedel och läkemedelsanvändning för de patientgrupper där det är mest eftersatt.
I dessa övergripande punkter ingår olika avgörande delmoment som man sedan kan följa upp i ”Handlingsplanen för nationell läkemedelstrategi 2013”, där bland annat följande framgår.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
400
• Färdigställande av it-plattform för nationellt dosregister och överföring av information från befintliga dosregister. Nationellt dosregister har skapats. Övergång har skett nationellt till ordinationsverktyget Pascal. Processen har krävt förändrade arbetsrutiner och anpassning på olika håll såväl inom vården, som för förskrivarna och på apoteken.
• Skapande av nationell ordinationsdatabas inom ramen för nuvarande lagstiftning. Arbetet pågår och görs inom ramen för Nationell eHälsa.
• Skapande av förutsättningar för effektiva läkemedelsgenomgångar och arbete i vårdens övergångar.
15.2 Kort om läkemedelsbehandling
För att kunna analysera och värdera de utmaningar och hinder som finns för en mer ändamålsenlig hantering av läkemedelsrelaterade uppgifter om patienter i hälso- och sjukvården är det nödvändigt att kortfattat beröra ett antal grundläggande faktorer kring läkemedelsbehandling. Det handlar bland annat om omfattningen av läkemedelsbehandlingen och de risker som finns för patienterna om tillgång till korrekt och aktuell information saknas. Vidare redogörs översiktligt för de olika besluts- och informationsunderlag som hälso- och sjukvårdspersonal och patienter har när det gäller läkemedelsbehandling.
15.2.1 Omfattning m.m.
Läkemedelsbehandling är i dag den vanligaste behandlingsinsatsen och också den som ger mest resultat. Samtidigt kräver läkemedelsbehandling stora resurser inkluderande såväl hälso- och sjukvårdspersonal som pengar och är förenad med stora risker när den inte används på ett rätt sätt. WHO har bl. a deklarerat följande.4
Mer än 50 % av alla läkemedel förskrivs, dispenseras och säljs på medicinskt olämpligt sätt och hälften av alla patienter lyckas inte ta sina läkemedel korrekt. Denna överanvändning, underanvändning samt felanvändning av läkemedel skadar människor och ger resursförluster.
4 WHO, Active Ageing, A policy Framework. In: WHO, editor, 2002.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
401
I Sverige används läkemedel för ungefär 36 miljarder kronor per år, vilket är omkring 12 procent av de totala offentligt finansierade hälso- och sjukvårdskostnaderna.5Den största delen av läkemedelskostnaden, omkring 26 miljarder kronor, utgörs av receptbelagda läkemedel som expedierats på apotek. Kostnadsökningen som skett de senaste 20 åren kan relateras till faktorer som en åldrande befolkning, mer och intensivare behandling, nya riktlinjer, nya läkemedel och ett nytt ersättningssystem.
Särskilt när det gäller innebörden av en åldrande befolkning kan noteras att äldres användning av läkemedel nästan har fördubblats de senaste 20 åren, från tre till i dag mellan fem och sex preparat per person.6 Sveriges befolkning förväntas öka med fem procent mellan 2009 och år 2020. Samtidigt förväntas den äldre delen av befolkningen, som har det största behovet av läkemedel, utgöra en allt större andel av befolkningen. Med dagens läkemedelsanvändning kan demografiska faktorer förväntas bidra med en ökad kostnad på 3 miljarder kronor år 2020.7 Utmaningen för samhället framöver utgörs därmed bland annat av bördan av kroniska sjukdomar och kronisk medicinering i takt med att patienterna överlever och lever längre.
För många patientgrupper har behandlingsmöjligheterna med moderna läkemedel inneburit förbättrad livskvalitet, minskade invalidiserande symtom, minskat sjukvårdsbehov och förbättrad prognos. Detta är stora och tungt vägande fördelar i dagens hälso- och sjukvård. I takt med tiden och ökad överlevnad tack vare behandling framträder dock en annan bild, nämligen avigsidan av alltför omfattande behandling främst hos en åldrande befolkning. Särskilt utsatta för läkemedelsrelaterade problem är sköra äldre som på grund av sviktande funktioner eller sjukdom också är mest känsliga för läkemedel. Dessa personer använder i dag i genomsnitt tio preparat per person.8
15.2.2 Kort om risker och läkemedelsrelaterade problem m.m.
Beräkningar visar att 3–15 procent (i vissa studier upp till 30 procent) av alla patienter som behöver sjukhusvård gör det med läkemedel som utlösande eller bidragande orsak. Vid olika kart-
5SOU 2012:75 s. 184. 6 Socialstyrelsen, Kvaliteten i äldres läkemedelsanvändning (2011) s. 9. 7SOU 2012:75 s. 197 f. 8 Socialstyrelsen, Kvaliteten i äldres läkemedelsanvändning (2011) s. 9.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
402
läggningar har det visat sig att av alla läkemedelsrelaterade sjukhusinläggningar så är 31 procent kopplade till förskrivningsproblem, 33 procent med följsamhetsproblem och 22 procent med monitoreringsproblem.9
Beräkningarna visar enligt utredningen på en i högsta grad allvarlig problembild. De redovisade problemen och komplexiteten i förskrivningsprocessen, speciellt gällande de multisjuka äldre, involverar patienten, förskrivaren och vårdgivarna. Det är på alla sätt en gemensam utmaning för hela hälso- och sjukvårdssystemet. Den fråga som utredningen vill lösa handlar om hur informationshanteringen i hälso- och sjukvården kan utformas för att bidra till att reducera dessa risker och leda till bättre resultat för patienterna.
Äldre och multimedicinering
Även om läkemedelsbehandling självklart har potential att väsentligt förbättra människors hälsa och livskvalitet träder samtidigt en annan bild fram. I takt med tiden och med en ökad överlevnad synliggörs avigsidan av en alltför omfattande läkemedelsbehandling främst hos en åldrande befolkning, och framför allt hos de multisjuka äldre. Det handlar om läkemedelsrelaterade problem i form av biverkningar, interaktioner, överbehandling och olämplig behandling, åtföljt av en markant kostnadsökning av läkemedels- och sjukvårdsnotan.
Ålder och samsjuklighet (komorbiditet) är uppenbara riskfaktorer avseende multimedicinering (polyfarmaci). Med stigande ålder följer en förändrad känslighet för läkemedel vilket i sig innebär risker. Multimedicinering är i sig också associerat med olämplig medicinering och läkemedelsrelaterade problem som exempelvis interaktioner och biverkningar. Men även negativa läkemedelsreaktioner såsom fall och förvirring som i sin tur sedan åtföljs av ökad sjuklighet, sjukhusinläggningar och ökade sjukvårdskostnader totalt.
Antalet läkemedel är i sig inte enbart avgörande för om en patient drabbas av läkemedelsrelaterade problem. Men ju fler läkemedel desto större är risken för läkemedelsrelaterade problem. För patienternas del innebär låg kvalitet i läkemedelsbehandlingen ofta även sämre livskvalitet.
9 Nordin Olsson, Rational drug treatment in the elderly, 2012.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
403
Drygt en fjärdedel av de vårdskador som identifierades i Socialstyrelsens vårdskadestudie 2007 hade orsakats av olämplig läkemedelsbehandling. I registeranalyser utförda av Socialstyrelsen 2012 har även visats att omfattande läkemedelsbehandling av personer över 65 år medförde ökad risk för dödsfall, akutmottagningsbesök, magtarmblödning och fallskada.10
De bakomliggande orsaker till fortgående multimedicinering är sannolikt flera. Det kan exempelvis bero på sådant som oklara indikationer, brister i diagnostik och dålig uppföljning. En bristande utvärdering av insatta läkemedels effekter medför uppenbara risker, inte minst för äldre patienter. Om den hälso- och sjukvårdspersonal som den äldre möter i vården dessutom saknar en samlad översikt över den pågående läkemedelsbehandlingen blir riskerna ännu större.
Vårdprocesser och övergångar i vårdnivåer
Utformningen av dagens äldrevård med en uppdelad vårdkedja och olika utförare innebär utmaningar för en bättre och säkrare läkemedelsprocess. I och med Ädelreformen 1992 övergick det samlade ansvaret för äldrevården till kommunerna medan landstingen har kvar det övergripande sjukvårdsuppdraget och ansvaret för läkarinsatserna. Valfrihetsreformen och det ökande antalet privata har också medfört att komplexiteten i vårdkedjan har blivit större.
För många äldre är det inte ovanligt att man växlar mellan att bo i eget boende och särskilt boende, mellan att vara inlagd i sluten vård och att vistas i korttidsboende. Många gör även besök i öppenvården. Det innebär många övergångar mellan huvudmän, vårdgivare och utförare av socialtjänst. Varje övergång i vårdkedjan innebär risker för fel i läkemedelslistan då information ska överföras mellan olika aktörer och mellan olika system. Detta medför risker för att flera läkemedelslistor med innehåll som inte stämmer överens med varandra uppstår. Förändringar av ordinationer under en vårdtid är självklart naturligt och vanligt förekommande. Men när informationsöverföringen brister mellan de olika stegen i vårdkedjan, dvs. i varje vårdövergång, ökar riskerna för att fel i
10 Socialstyrelsen, Äldre med regelbunden medicinering – antalet läkemedel som riskmarkör (2012).
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
404
läkemedelsordinationerna uppkommer varvid säkerheten i behandlingen minskar.
Läkemedelsgenomgångar
Problemen med läkemedelsbehandling för äldre är så allvarliga och omfattande att Socialstyrelsen under 2011 fick i uppdrag att göra en revidering av myndighetens föreskrifter om läkemedelshantering med ett tillägg om läkemedelsgenomgångar för äldre med flera läkemedel.
Socialstyrelsens nya föreskrift (SOSFS 2012:9) adresserar äldre som är 75 år och uppåt och har 5 eller fler läkemedel.11 För dessa ska läkemedelsgenomgångar genomföras vid alla besök i öppen vård, vid inläggning på sjukhus, inflyttning på särskilt boende och inskrivning i hemsjukvård samt i alla situationer med misstänkta läkemedelsproblem oavsett ålder. Arbetet ska genomföras systematiskt och i två delar. Det handlar dels om en enkel läkemedelsgenomgång med kartläggning av vad patienten har och tar, dels om så krävs ett nästa steg med fördjupad läkemedelsgenomgång. Den medicinska bakgrunden till behandlingen ska då ifrågasättas och omprövas, med tidsbestämd uppföljning efteråt. Målet är att läkemedelsbehandlingen ska vara ändamålsenlig och säker.
15.3 Hur ser ordinatörens beslutsunderlag ut?
I den nationella läkemedelsstrategin anför regeringen att en förskrivare (ordinatör) är beroende av såväl korrekt information om patientens aktuella läkemedelsbehandling som om relevant och välstrukturerad information om de läkemedel som ska förskrivas. I dagsläget har förskrivaren vid ordinationstillfället inte alltid tillgång till sådan information. Det medför självklart negativa konsekvenser för möjligheterna till en god och säker vård för patienterna. I det följande berörs kortfattat vad ordinatörens beslutsunderlag består av och hur de olika delarna samspelar med varandra.
11 Socialstyrelsens föreskrifter om ändring i föreskrifterna och allmänna råden (SOSFS 2000:1) om läkemedelshantering i hälso- och sjukvården.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
405
Förskrivning och ordination, förskrivare och ordinatör
Förskrivning är ett begrepp som innebär att en läkemedelsordination skickas elektroniskt eller skrivs ut på en receptblankett så att patienten kan hämta ut det ordinerade läkemedlet på ett apotek. Lite beroende på vilken situation som avses talas i hälso- och sjukvården i dag både om förskrivning och om ordination. Historiskt sett är begreppet förskrivning mer förknippat med en åtgärd inom öppenvården som åtföljs av expediering på apotek, medan begreppet ordination både är vidare i sin betydelse genom att det kan omfatta andra åtgärder än läkemedelsbehandling och mer förekommande i slutenvården. Kedjan ordination av läkemedel, förskrivning av recept och expediering på apotek, motsvaras i slutenvården av ordination av läkemedel, beredning av läkemedlet och delning eller administrering av läkemedlet till patienten. Förhållandet mellan förskrivning och ordination kan beskrivas på det sättet att vissa ordinationer är läkemedelsordinationer och vissa av dessa (i öppenvården) resulterar i en förskrivning av ett recept. En trend synes dock vara att generellt gå från begreppet förskrivning mot det vidare begreppet ordination.
Endast läkare har en generell rätt att förskriva läkemedel, s.k. fri förskrivningsrätt, varför det skulle kunna anses lämpligt att i stället använda begreppet läkare. Samtidigt har vissa andra yrkesgrupper en begränsad rätt att förskriva läkemedel, t.ex. tandläkare, sjuksköterskor med särskild utbildning i farmakologi och sjukdomslära samt barnmorskor. Sett mot den bakgrunden använder vi generellt begreppen förskrivare och ordinatör för att benämna den yrkesutövare som har att fatta beslut om patienters läkemedelsbehandling.
Patientjournalen
Patientjournalen är den primära informationskällan för den som deltar i vården av en patient och exempelvis överväger en läkemedelsordination. I patientjournalen ska antecknas samtliga uppgifter som behövs för en god och säker vård av patienten. Uppgifter om ordinerade läkemedel är naturligvis nödvändigt för att ge en god och säker vård. Det är vanligt att dokumentation av uppgifter om ordinerade läkemedel görs och visas i en särskild läkemedelslista i journalsystemet, där denna information kan vara
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
406
direkt kopplad till annan väsentlig information som uppgifter om vem som ordinerat läkemedel, orsaken till ordinationen, mål för behandlingen, planerad uppföljning av läkemedelsbehandlingen samt patientens övriga hälsotillstånd vid ordinationstillfället.
Utveckling med elektroniska journalsystem och tillhörande läkemedelsmoduler har möjliggjort snabbare, effektivare och säkrare handläggning i samband med läkemedelsordinationer. System för sammanhållen journalföring har dessutom möjliggjort viss informationsöverföring över vårdgivargränserna. Samtidigt uppger vårdgivare och yrkesutövare att det förekommer många olika läkemedelslistor och s.k. ordinationsunderlag i verksamheterna, vilket medför risker för felaktiga eller olämpliga ordinationer. Läkemedelslistan delas inte heller alltid i realtid på ett sådant sätt att den finns tillgänglig i den stund behovet uppstår, vilket ger ett bristande ordinationsunderlag och medföljande risk för patienten.
Såvitt utredningen kan bedöma finns i dag inget samlat och enhetligt dokumentationssystem som gör att en läkemedelslista kan delas och ses av alla för patienten relevanta vårdgivare samtidigt och som möjliggör en aktuell överblick över patientens samlade läkemedel. Vissa undantag från detta finns självklart, exempelvis på mer lokal eller regional nivå där vårdgivare som använder samma journalsystem har förutsättningar att skapa en samlad läkemedelslista. Hur komplett ordinatörens läkemedelslista är beror därför mycket på hur stort verksamhetsområde som delar samma läkemedelslista, dvs. har samma journalsystem eller system för sammanhållen journalföring. Samtidigt har antalet vårdgivare ökat liksom patientrörligheten, vilket sammantaget gör att behovet av att hålla ihop en samlad läkemedelslista, alldeles oavsett vilka journalsystem de olika vårdgivarna använder, nu är större än någonsin tidigare. Varje gång en patient väljer att besöka olika vårdgivare som har olika journalsystem ökar sannolikheten för att informationen om ordinationerna inte finns i en samlad läkemedelslista, utan är utspridda på olika listor i de olika journalsystemen.
Förutom brist på en korrekt och samlad läkemedelslista är det en särskild utmaning att känna till vilka läkemedel patienten faktiskt tar. Frekvensen korrekta läkemedelslistor, dvs. överensstämmelse mellan journaluppgifter och vad patienten faktiskt tar har vid olika genomgångar visat sig mycket låg. I en studie som uppmärksammades i Läkartidningen 2012 framgår att 8 av 10 patienter med 5 eller fler läkemedel hade minst en avvikelse (i
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
407
genomsnitt 29 procent) mellan aktuell medicinering och ordinationer i patientjournalens läkemedelslista.12
Receptregister och läkemedelsförteckning
Bilden av ordinatörens beslutsunderlag blir än mer komplex genom att viss information om patientens läkemedelsbehandling ibland även kan inhämtas genom tillgång till receptregistret och läkemedelsförteckningen. Det är eHälsomyndigheten som ansvarar för dessa register. Receptregistret innehåller information om alla elektroniska receptförskrivningar, medan läkemedelsförteckningen innehåller uppgift om alla receptbelagda läkemedel som patienter har hämtat ut på apoteken. Dessa register kan komplettera bilden av patientens läkemedelsbehandling, men saknar förutsättningar att själva utgöra patientens aktuella läkemedelslista eftersom doseringar kan ha ändrats och läkemedelsbehandling upphört utan att själva receptet makulerats.13
Ordinatörens informationskällor består alltså av en eller flera läkemedelslistor i journalsystemen (bl.a. beroende på patientrörlighet och tekniska förutsättningar), receptregistret med patientens förskrivningar samt läkemedelsförteckningen som ger svar på vilka receptförskrivna läkemedel patienten hämtat ut på apotek. Till detta ska läggas patientens egna uppgifter om vilka läkemedel som han eller hon tar.
Förutsättningarna för ordinatören att ta del av informationen i dessa olika källor är emellertid olika utformat för var och en av källorna. Direktåtkomst till receptregistret får exempelvis bara förekomma för legitimerad hälso- och sjukvårdspersonal samt endast om det rör uppgifter om patienter med dosdispenserade läkemedel. Direktåtkomst till läkemedelsförteckningen får med patientens samtycke och under vissa andra förutsättningar ges till yrkesutövare med förskrivningsrätt och sjuksköterskor utan förskrivningsrätt. Åtkomst till uppgifter om ordinerade läkemedel m.m. i journalsystemen får t.ex. ges till den som arbetar hos en vårdgivare och behöver uppgifterna för vården av patienten.
Enligt utredningens bedömning är dessa olikheter en av de faktorer som bidrar till risker och osäkerheter i läkemedelsprocessen. Längre fram redovisas och analyseras mer ingående de
12 Rutberg, Hoffman m.fl., Läkartidningen 2012-05-15, nr 20. 13 Ekedahl, Stora brister i information om ordinerade läkemedel, Läkartidningen 2010-09-03.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
408
olika förutsättningarna för åtkomst till läkemedelsrelaterade uppgifter.
15.3.1 Våra reflektioner
Utredningen konstaterar att ordinatörens beslutsunderlag är en förutsättning för kvalitet och patientsäkerhet i läkemedelsprocessen. Samtidigt är den information som behövs utspridd på olika informationskällor hos olika vårdgivare och i två register som förs av eHälsomyndigheten. Den stora ökningen av antalet vårdgivare som har ägt rum alltsedan år 2009 har tillsammans med den ökade patientrörligheten och specialiseringen i hälso- och sjukvården medfört att behoven av att hålla samman uppgifter om patienternas läkemedelsbehandling är större än någonsin. Därför är det enligt utredningen bedömning angeläget att utvecklingen mot en samlad, korrekt och aktuell bild av patientens läkemedelsbehandling drivs framåt på ett kraftfullt sätt – trots att det finns stora utmaningar, såväl legala som mer praktiska.
Problemen och riskerna med olika läkemedelslistor och åtföljande fel i ordinationer samt läkemedelsbehandlingar har uppmärksammats sedan länge och även påvisats i olika studier. Sammantaget gör de divergerande läkemedelslistorna det närmast omöjligt att följa upp och se behandlingseffekt eller att värdera nya sjukdomssymtom kontra läkemedelsrelaterade problem. Ofullständiga beslutsunderlag medför även risker för att nya läkemedel förskrivs i stället för att en omprövning görs och läkemedel sätts ut, dvs. att den riskabla ”förskrivningskaskaden” uppstår. En sådan trend är problematisk och riskerar inte minst att bidra till onödigt lidande för enskilda patienter. Läkemedelsbehandling fordrar systematik; indikation, värdering av risker och nytta, kontinuerlig uppföljning samt att i varje stund av nytillkomna symtom beakta läkemedel som tänkbar utlösande orsak. För att kunna göra detta krävs ett korrekt och aktuellt underlag av patientens läkemedelsbehandling.
För ordinatören som ska ta ställning inte bara till enskilda läkemedel, utan även till hur läkemedel samverkar med varandra och med andra pågående behandlingar för att bl.a. ta ställning till fortsatt behandling krävs visserligen mer information än endast uppgift om ordinerade läkemedel. Det behövs inte sällan en koppling mellan varje läkemedelsordination och exempelvis information
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
409
om vem som ordinerat läkemedlet, orsaken till ordinationen, mål för behandlingen samt planerad uppföljning.
I sammanhanget är även hälso- och sjukvårdspersonalens personliga yrkesansvar relevant. Hälso- och sjukvårdspersonalen ska enligt 6 kap. 1 § patientsäkerhetslagen (2010:659), förkortad PSL, utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet. En patient ska ges sakkunnig och omsorgsfull vård som uppfyller dessa krav. Detta ansvar betonas ytterligare i läkemedelslagen (1992:859). Enligt 22 § denna lag ska den som förordnar eller lämnar ut läkemedel särskilt iaktta kraven på sakkunnig och omsorgsfull vård samt på upplysning till och samråd med patienten eller företrädare för denne. Men den rådande situationen med en mer fragmentiserad vård, kortare vårdtider och subspecialisering har medfört att färre förskrivare än tidigare tar ett helhetsansvar för den enskilde patientens medicinering – trots att behovet är större. En samlad överblickbar läkemedelslista är naturligtvis en grundförutsättning. Utöver detta krävs att förskrivaren tar det förskrivaransvar som följer med fri förskrivningsrätt.
Vår utgångspunkt är att varje förskrivare har ett ansvar för att i varje given förskrivningssituation göra en bedömning av aktuell läkemedelsbehandling, bedöma om helheten fungerar och att den ordination som avses är ändamålsenlig och säker. Även en oförändrad ordination kan betraktas som ett ställningstagande och i princip jämställas med en ordination av given dos, styrka och behandlingstid.
Utredningens erfarenhet är att synsätten avseende ansvaret för patientens läkemedelslista skiljer sig åt inom professionen. Det bekräftas även av forskning inom området, där inte minst Pia Bastholm Rahmner i sin avhandling visar hur vitt skilda synsätt det finns om vilket läkarens ansvar är för patienter med många läkemedel. I avhandlingen framhålls följande fem olika synsätt på ansvaret kring läkemedelslistan.14
1. Läkaren övertar ansvaret från annan förskrivare.
2. Läkaren är ansvarig för den egna förskrivningen.
3. Läkaren är ansvarig för samtliga förskrivningar.
4. Patienten och läkaren har olika men delat ansvar.
14 Bastholm Rahmner P. Doctors and drugs – how Swedish emergency and family physicians understand drug prescribing (2009).
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
410
5. Patienten är ansvarig för att distribuera information mellan vårdgivare.
Frågan är komplex och behöver sannolikt analyseras ur flera perspektiv. Här vore det önskvärt med en aktiv inomprofessionell dialog om ansvarets omfattning och lämpliga sätt att arbeta på för att ta ett gemensamt helhetsansvar för patientens läkemedelsbehandling. En sådan inomprofessionell dialog kan i sin tur vara underlag för förtydligande vägledningar från berörda myndigheter kring ordinatörers roller och ansvar kring läkemedelslistan. Utredningen har även under den senare delen av arbetets gång blivit varse om att dessa diskussioner nu börjar initieras och ta form. Vi har exempelvis i samband men konferenser, seminarier och vid andra former av erfarenhetsutbyten deltagit i diskussioner som handlat om roller och fördelning av ansvar för patienternas läkemedelsbehandling. Utredningen har även tagit del av det nyligen framlagda förslag till policy om läkares ansvar som tagits fram av Läkarförbundets råd för läkemedel, IT och medicinteknik. Det är glädjande och viktigt att dessa diskussioner fortsätter och så småningom mynnar ut i en ökad tydlighet som i förlängningen förhoppningsvis kan bidra till ännu bättre resultat för patienterna.
15.4 Hur ser patientens informationsunderlag ut?
För patienter och närstående, som många gånger ska ta ett ansvar för att fullfölja den ordinerade medicineringen, är det nödvändigt med korrekt och fullständig information rörande den samlade läkemedelsbehandlingen. Aktuell, korrekt och lättillgänglig information är även en viktig beståndsdel i arbetet med att skapa förutsättningar för att öka patientens delaktighet, kunskap och inflytande över sin egen situation och hälsa. Liksom för hälso- och sjukvårdspersonalen har även patienten ett antal olika källor som sammantaget kan ge svar på frågor om aktuell läkemedelsbehandling.
Patientjournalen
Patienter kan i dag använda sig av flera olika informationskällor för att få en bild av den ordinerade läkemedelsbehandlingen. En naturlig informationskälla är patientjournalen och dess läkemedels-
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
411
lista, vilken patienten exempelvis kan få en kopia på vid kontakt med en vårdgivare. Det finns även legala förutsättningar för patienten att nå informationen elektroniskt, t.ex. genom Mina vårdkontakter eller andra gränssnitt där patienten kan ta del av journaluppgifter. I dag är det dock inte många vårdgivare som rent praktiskt kan tillhandahålla journaluppgifterna på det sättet, även om det pågår ett intensivt utvecklingsarbete framför allt i landstingen för att möjliggöra detta.
Om patienten blivit ordinerad läkemedel av förskrivare hos flera olika vårdgivare, är informationen i dag sannolikt fragmenterad och utspridd på dessa. I sådant fall måste patienten kontakta respektive vårdgivare och begära ut kopior av läkemedelslistan för att sedan själv foga samman den totala informationsmängden. Något som naturligtvis kan vara svårt att göra eftersom det av de olika listorna kan vara svårt att härleda vilka förändringar som har skett hos respektive vårdgivare. Patienten får därmed kanske endast svar på vilka ordinationer som har gjorts hos var och en, men inte hur de förhåller sig till varandra. För patienten eller anhöriga som kanske hjälper till i läkemedelsbehandlingen uppstår därmed en osäkerhet kring vad som är den samlade och aktuella bilden.
Sparade elektroniska recept
Vidare har patienten en möjlighet att på ett apotek eller på internet ta del av uppgifter om sina elektroniskt sparade recept. Det är eHälsomyndigheten som i dag ansvarar för och tillhandahåller uppgifter om recept enligt lagen (1996:1156) om receptregister (receptregisterlagen). Patientens sparade recept går i dag att nå via Mina vårdkontakter. De sparade recepten kan innehålla uppgifter som såväl uttagna som framtida uttag av sparade recept.
Det bör samtidigt uppmärksammas att denna informationskälla inte nödvändigtvis är överensstämmande med patientens aktuella medicinering eller med vad som kan framgå vid en genomgång av journalsystemens läkemedelslistor. Patientens sparade recept kan innehålla recept på utsatta eller ändrade ordinationer samt dubbletter. Utredningen har bland annat kunna ta del av följande information från ett landstings hemsida på internet, där patienterna uppmärksammas på att det kan vara osäkert att lägga informationen
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
412
om sparade recept till grund för en bedömning om den aktuella läkemedelsbehandlingen.15
”På apoteket får du en sammanställning över dina elektroniskt sparade recept. Den visar bland annat hur länge recepten gäller, hur många gånger till du kan hämta ut läkemedlen och hur de ska doseras. Observera att
• läkemedel som du inte längre ska ta kan finnas med på listan,
• doseringar kanske inte stämmer om läkaren ändrat doseringen
sedan receptet skrevs ut,
• två läkemedel med samma substans med olika namn kan stå med
och medföra risk för dubbeldosering,
• läkemedel som du fortfarande ska ta kan saknas för att receptet har
tagit slut.”
Läkemedelsförteckningen
Genom läkemedelsförteckningen kan patienten ta del av uppgifter om de receptförskrivna läkemedel som patienten har hämtat ut på apotek under de senaste 15 månaderna. Även läkemedelsförteckningen kan i dag nås genom inloggning i Mina vårdkontakter. Patienten kan även få uppgifterna genom att be om en utskrift på ett apotek eller genom att vända sig till eHälsomyndigheten med en begäran om registerutdrag enligt 26 § personuppgiftslagen (1998:204), förkortad PUL.
Även informationen i läkemedelsförteckningen kan skilja sig från den i journalsystemens läkemedelslistor. Olikheterna uppstår exempelvis om det ordinerade läkemedlet byts ut vid expedieringen på apoteket (generikabyte). Medan patientjournalen i ett sådant fall innehåller uppgift om det läkemedel som patienten ordinerats, ger läkemedelsförteckningen svar på vilket läkemedel patienten hämtat ut. För patienter som begärt journalkopior och utdrag ur läkemedelsförteckningen kan därmed en förvirrande situation uppstå.
15 Landstinget i Gävleborg , www.lg.se, 2 014-02-17.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
413
Läkemedlets förpackning
Ytterligare en informationskälla för patienten är själva läkemedelsförpackningarna, som innehåller en bipacksedel från tillverkaren och en etikett från det expedierande apoteket. Denna information behöver nödvändigtvis inte överensstämma med den som exempelvis patienten har fått genom en kopia av patientjournalen eller med den som finns i de elektroniskt sparade recepten. Exempelvis kan ett generisk utbyte av läkemedlet ha ägt rum, vilket får till följd att läkemedel med andra namn än de som finns i läkemedelslistan eller bland de sparade recepten kan ha expedierats.
15.4.1 Våra reflektioner
Utredningen kan konstatera att de olika informationskällorna om patientens läkemedelsbehandling är konstruerade på ett sådant sätt att det kan vara svårt för patienten att få en korrekt och aktuell bild av sin egen läkemedelsbehandling. Detta är ett problem ur ett patientsäkerhetsperspektiv, men bidrar även till att i allmänhet skapa en osäker och otrygg situation för patienter och anhöriga. Även sett ur ett grundläggande integritetsperspektiv är de uppenbara riskerna för divergerande information i de olika källorna ett problem. Även om personuppgiftsbehandlingen i och för sig är korrekt utifrån respektive vårdgivares, apoteks och eHälsomyndighetens perspektiv, ger den sammantagna informationen upphov till en osäker och ibland felaktig bild av den faktiska situationen för patienten. Mot den bakgrunden kan på en generell nivå ifrågasättas om den sammantagna personuppgiftsbehandlingen ligger i linje med det grundläggande integritetsskyddsintresset om att de personuppgifter som behandlas är riktiga, aktuella och i övrigt behandlas i enlighet med vad som är god sed.
Individen har behov av information om sin egen medicinering. Hälso- och sjukvårdspersonalen och apotekspersonalen har behov av en samlad, korrekt och aktuell bild av patientens läkemedelsbehandling för att kunna erbjuda en god och säker vård. Vi anser därför att dagens splittrade regelverk behöver ses över på ett samlat sätt.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
414
15.5 På väg mot en samlad läkemedelslista – Nationell ordinationsdatabas
Både på lokal, regional och på nationell nivå pågår i dag en utveckling mot att skapa en samlad läkemedelslista. På lokal och regional nivå sker det exempelvis genom samarbeten mellan vårdgivare som använder samma journalsystem. På nationell nivå pågår utvecklingen genom anslutningar till den Nationella Patientöversikten, NPÖ, som bland annat har för avsikt att innehålla uppgifter om ordinerade läkemedel.
Samtidigt driver landstingen genom Inera AB ett specifikt utvecklingsarbete, Nationell Ordinationsdatabas (NOD), som syftar till att på en nationell nivå skapa en samlad informationskälla för patientens läkemedelsbehandling. NOD ska utgöra en nationell, samlad läkemedelslista inom ramen för regelverket med sammanhållen journalföring.
I en informationsbroschyr16om NOD anges att visionen för den samlade läkemedelslistan är att den ska bidra till rätt läkemedelsanvändning till nytta för patient och samhälle genom att:
1. visa samma information om läkemedel för alla ordinatörer i
patientens vårdkedja, för övrig behandlande vård- och omsorgspersonal, för apoteken och för patienten själv.
2. i samma vy ge information om vilka läkemedel som patienten
ordinerats just nu och vid tidigare vårdkontakter, vilka av dessa som har hämtats ut på apotek, vilka som har bytts ut och vilka som finns kvar att hämta ut.
3. ge ordinatören möjlighet att ordinera på samma sätt oavsett om
läkemedlen förpackas i dospåsar på apotek eller lämnas ut i originalförpackning.
4. undanröja behovet av dubbelregistrering av samma information i
olika listor och system.
5. kopplas till beslutsstöd med aktuell information om läkemedel,
biverkningar, korsreaktioner mellan läkemedel med mera.
6. bidra till utvecklingen av generisk förskrivning.
16 Center för eHälsa i samverkan, En samlad läkemedelslista, Beskrivning av Nationell ordinationsdatabas, NOD (2013).
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
415
Som konstateras i det föregående är informationen om patientens läkemedelsbehandling i dag utspridd på olika informationskällor inom hälso- och sjukvården och i apoteksledet. Dessutom regleras förutsättningarna för åtkomst till informationskällorna av olika författningar, som alla anger olika villkor för vem som får ta del av informationen och för vilka ändamål det får ske. Mot bakgrund av vad som redovisas nedan om gällande rätt kan utredningen konstatera att delar av det som uttrycks i visionen svårligen kan realiseras inom ramen för gällande regelverk. Det beror bland annat på att förutsättningarna för registrering och åtkomst till information är olika reglerat i patientdatalagen, lagen om läkemedelsförteckning och receptregisterlagen.
15.6 Problembeskrivning – våra reflektioner av gällande rätt
Som nämnts ovan regleras förutsättningarna för åtkomst till uppgifter i patientjournalen, läkemedelsförteckningen och receptregistret av olika författningar, som alla ställer upp olika villkor för vem som får ta del av informationen och för vilka ändamål det får ske. Förutom att det bidrar till att skapa en splittrad och motsägelsefull information om patientens läkemedelsbehandling påverkar det förutsättningarna för att komma till rätta med situationen och driva arbetet mot en samlad läkemedelslista framåt. De olika informationskällorna påverkar också förskrivarnas arbetsmiljö. Den bristande logiken avseende vilka förutsättningar för åtkomst som finns till de olika registren och den bristande överensstämmelsen avseende informationen skapar både osäkerhet och frustration. I det följande beskrivs kortfattad de olika regelverken.
15.6.1 Åtkomst till journaluppgifter/läkemedelslista
Åtkomst till uppgifter i patientjournalen styrs i dag av bestämmelser i patientdatalagen och Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. De närmare förutsättningarna beror sedan på om åtkomsten avser uppgifter inom den egna vårdgivarens verksamhet
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
416
eller om det rör sig om åtkomst till uppgifter hos andra vårdgivare (sammanhållen journalföring).
Åtkomst inom en vårdgivares verksamhet
En grundläggande förutsättning för att ta del av uppgifter om ordinationer som har dokumenterats i den egna vårdgivarens verksamhet är att användaren antingen deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete i hälso- och sjukvården. De faktiska möjligheterna att elektroniskt ta del av uppgifterna kan även bero på hur vårdgivarens verksamhet är organiserad, var i vårdgivarens verksamhet patienten blivit ordinerad läkemedel samt om patienten spärrat information mellan vårdenheter och vårdprocesser i vårdgivarens organisation. Det är en förhållandevis komplex situation som kan uppstå och som behöver beskrivas för att ge en fullständig bild av de förutsättningar som kan uppstå för ordinatören och annan hälso- och sjukvårdspersonal.
Om patienten inte har spärrat uppgifter inom vårdgivarens verksamhet så får den som t.ex. deltar i vården av patienten och behöver uppgifterna för sitt arbete, ta del av uppgifter om ordinationer efter ett antal aktiva val. Möjligheten för ordinatören att snabbt och enkelt ta del av en samlad läkemedelslista inom vårdgivarens verksamhet får mot bakgrund av gällande regelverk dock betraktas som begränsade. Åtminstone om patienten har fått läkemedel ordinerat från olika delar av vårdgivarens verksamhet, t.ex. från olika vårdenheter. I 2 kap. 7 § SOSFS 2008:14 anges nämligen följande.
Vårdgivaren ska ansvara för att information om vilka vårdenheter som har uppgifter om en viss patient inte kan göras tillgänglig utan att den behörige användaren gör ett aktivt val, d.v.s. gör ett ställningstagande till, om han eller hon har rätt att ta del av dessa uppgifter. Patientuppgifterna hos dessa vårdenheter får sedan inte göras tillgängliga utan att den behörige användaren gör ytterligare ett aktivt val.
Såvitt utredningen kan bedöma medför kraven i föreskriften ovan hinder mot att skapa en vårdgivarintern samlad läkemedelslista med uppgifter om patientens ordinationer från olika vårdenheter, med mindre än att ordinatören gör ett antal ställningstaganden och aktiva val för att få tillgång till den samlade informationen. För att illustrera hur föreskriften är tänkt att tillämpas har Socialstyrelsen i
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
417
sin handbok tagit fram följande exempel. För att exemplet ska bli ännu mer illustrativt för läkemedelsprocessen har vi på ett antal ställen nedan ersatt orden ”sjuksköterska” och ”användare” med ”ordinatör” samt orden ”uppgifter” och ”patientuppgifter” med ”uppgift om ordinerade läkemedel”.
En ordinatör ska kunna se i systemet om det finns uppgift om ordinerade läkemedel hos en annan vårdenhet, men inte vilken. Ordinatören ska också kunna se om uppgifterna är spärrade eller inte. För att kunna se hos vilken vårdenhet eller vårdprocess som uppgifter om ordinerade läkemedel finns måste ordinatören först göra ett aktivt val. Det aktiva valet fungerar som en tröskel där ordinatören aktivt väljer åtkomst till uppgifter genom att gå vidare i informationssystemet. Om någon annan vårdenhet har ospärrade uppgifter ordinerade läkemedel måste ordinatören göra ytterligare ett aktivt val för att få tillgång till dessa uppgifter. En annan vårdenhet kan också ha spärrade uppgifter om patienten, och då måste ordinatören först ha patientens samtycke. Även här måste ordinatören göra aktiva val för att nå uppgifterna. Nedan följer ett exempel på hur en ordinatör kan få åtkomst till
ospärrade uppgifter om ordinerade läkemedel inom en och samma
vårdgivare: 1) En ordinatör kan se att det finns ospärrade uppgifter om ordinerade läkemedel om en viss patient hos en annan vårdenhet inom samma vårdgivare, men inte vilken enhet det är. 2) Ordinatören gör därefter ett aktivt val i systemet, vilket innebär att han eller hon tagit ställning till och anser sig ha rätt att ta del av uppgifterna. Därefter kan ordinatören se att uppgifterna om ordinerade läkemedel finns vid en psykiatrisk enhet. 3) Ordinatören gör ytterligare ett aktivt val i systemet, det vill säga återigen tar ställning till om han eller hon har rätt att ta del av uppgifterna. Därefter kan ordinatören läsa de ospärrade uppgifterna om ordinerade läkemedel. 4) Samtliga aktiva val som ordinatören har gjort har blivit loggade i systemet och kan följas upp i efterhand. Vårdgivaren ansvarar för att åtkomsten till ospärrade patientuppgifter regleras i enlighet med 2 kap. 7 § i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.
Situationen ovan blir om möjligt än mer komplex i de fall patienten valt att spärra uppgifter om ordinerade läkemedel från elektronisk åtkomst inom en vårdgivares verksamhet. I ett sådant fall syns inte de spärrade uppgifterna bland de uppgifter som ordinatören kan ta
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
418
del av enligt ovan, utan åtkomsten till de spärrade uppgifterna får ske först efter patientens samtycke och ytterligare ett aktivt val. Spärrade uppgifter inom en vårdgivares verksamhet går även att ta del av i mer akuta nödsituationer där patienten inte kan lämna sitt samtycke.
Sammantaget kan konstaterar utredningen att det vid utformningen av läkemedelslistan och det gränssnitt som hälso- och sjukvårdspersonalen möter behöver tas hänsyn till en rad olika faktorer och krav i regelverken. Det kan ifrågasättas om dessa krav i praktiken är möjliga att genomföra och förena med hur hälso- och sjukvårdsverksamhet bedrivs i dag och med de övriga krav som finns på kvalitet, patientsäkerhet, effektivitet m.m.
Åtkomst mellan vårdgivare – sammanhållen journalföring
Uppgifter om ordinerade läkemedel kan precis som andra informationsmängder delas mellan vårdgivare i system för sammanhållen journalföring. Som vi har beskrivit flera gånger tidigare i betänkandet är sammanhållen journalföring i dag närmast en förutsättning för att kunna bedriva god och säker vård.
För att kunna skapa en läkemedelslista som går över vårdgivargränser och innehåller uppgifter om de ordinationer som gjorts hos respektive vårdgivare krävs i ett första skede att patienterna informerats om den sammanhållna journalföringen och sedan inte motsatt sig den. För den patient som motsätter sig sammanhållen journalföring får uppgifterna inte delas mellan vårdgivarna. Det innebär att övriga vårdgivare inte genom direktåtkomst kan ta del av uppgifter om ordinerade läkemedel om patienten. Uppgifterna finns därmed inte tekniskt åtkomliga. I systemet får det dock framgå att det finns uppgifter om patienten och hos vilken vårdgivare det finns, men inte någon närmare information om vilka uppgifter det rör.
För de patienter som inte sig motsätter sammanhållen journalföring får uppgifterna göras tillgängliga för de övriga vårdgivarna som deltar i systemet. Det innebär, enligt vår bedömning, emellertid inte att uppgifterna i sig kan struktureras och slås ihop med övriga vårdgivares uppgifter på ett sådant sätt att en samlad läkemedelslista för varje patient uppstår. Även här ställer Socialstyrelsens föreskrifter SOSFS 2008:14 nämligen krav på s.k. aktiva
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
419
val och att informationen struktureras efter organisatorisk tillhörighet.
Av patientdatalagen följer som grundläggande krav för åtkomst till patientens uppgifter hos en annan vårdgivare att det finns en aktuell patientrelation, att uppgifterna kan antas ha betydelse för vården av patienten samt att patienten särskilt samtycker till informationsinhämtningen. Utöver detta ställs sedan krav i 2 kap. 8 § ovan nämnda föreskrifter att ordinatören, efter att patienten lämnat sitt samtycke, gör ett aktivt val för att ta del av uppgifterna.
Även när det gäller åtkomst till uppgifter i system för sammanhållen journalföring har Socialstyrelsen i sin handbok lämnat exempel på hur föreskrifterna kan tillämpas. Av exemplet framgår följande steg för åtkomst till information hos andra vårdgivare. Även i detta exempel har vi använt oss av orden ”ordinatör” och ”uppgift om ordinerade läkemedel” för att göra exemplet mer illustrativt.
1. En ordinatör kan se att en annan vårdgivare har ospärrade uppgifter om ordinerade läkemedel om en viss patient, men inte vilken vårdgivare.
2. Ordinatören måste nu inhämta samtycke från patienten för att gå vidare.
3. Om patienten samtycker måste ordinatören göra ett aktivt val innan han eller hon kan se vilka vårdgivare som har uppgifter om ordinerade läkemedel om patienten.
4. Därefter tar ordinatören ställning till hos vilka vårdgivare det finns uppgifter om ordinerade läkemedel som behövs för att vårda patienten – ett aktivt val.
5. Samtliga aktiva val som ordinatören gjort har blivit loggade i systemet och kan följas upp i efterhand.
Våra reflektioner
Vid en genomläsning av exemplen ovan framträder en bild av en omständlig informationshanteringsprocess för den som ska ta ställning till vård och behandling av patienten. Det kan ifrågasättas om detta är ändamålsenligt eller ens i linje med de krav på patientsäkerhet som måste ställas vid ordination av läkemedel. Enligt utredningens bedömning medför regleringen i föreskrifterna svårigheter för arbetet med att skapa en samlad läkemedelslista som snabbt och säkert kan nås av den som t.ex. står i begrepp att göra en ordination eller utvärdera en pågående läkemedelsbehandling.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
420
Det kan inte uteslutas att de hinder som uppställs medför ökade risker för patienter, t.ex. genom felaktiga eller olämpliga läkemedelsordinationer.
Föreskrifternas utformning blir än mer problematisk när man beaktar det grundläggande ansvaret hälso- och sjukvårdspersonalen har för att utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet och för att ge patienten en sakkunnig och omsorgsfull vård som uppfyller dessa krav (6 kap. 1 § PSL). Det kan därför krävas av den yrkesutövare som t.ex. ordinerar eller sätter ut ett läkemedel att alltid ta del av patientens läkemedelslista vid sitt ställningstagande till patientens behandling.
I sammanhanget kan exempelvis nämnas den rekommendation som landets samtliga läkemedelskommittéer tog fram år 2009. Av rekommendationen om ansvar och riktlinjer för hantering av patientens läkemedelslista i öppen vård följer bland annat detta.17
• Ordinatören är skyldig att informera sig om vilka eventuella övriga läkemedel som patienten använder, att ta ställning till hur detta påverkar ens ordination eller uppföljningen av en behandling och ta ställning till hur den nya ordinationen påverkar tidigare ordinationer.
• Ordinatören är ansvarig för att aktuell ordination är lämplig utifrån patientens status och behov samt mot bakgrund av tillgänglig historik.
På en övergripande nivå medför regleringen i föreskrifterna att journalsystemets användargränssnitt inte kan byggas utifrån användarens behov av information för att fatta bästa möjliga beslut om patientens läkemedelsbehandling, utan snarare efter organisatoriska och andra faktorer. Samtidigt kan ifrågasättas om det i praktiken är möjligt att implementera regelverkets krav på ett sätt som är förenat med hur hälso- och sjukvårdsverksamhet bedrivs i dag. Regeringen anför i propositionen till patientdatalagen att det behövs en blandning av preventiva och reaktiva åtgärder för att patientuppgifter inte ska hanteras på ett oacceptabelt sätt samt att det knappast är möjligt att i lag formulera alla de krav som bör ställas på olika slags verksamheter. Vidare uttalar regeringen att det även finns en risk för att detaljerade bestämmelser visar sig olämpliga på sikt på grund av t.ex. en strukturell eller teknisk
17 Sveriges läkemedelskommittéer, Patientens samlade läkemedelslista – ansvar och riktlinjer för hantering i öppen vård (2009).
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
421
utveckling inom områden som nu inte kan överblickas.18 Enligt utredningens bedömning är de detaljerade kraven på journalsystemens användargränssnitt exempel på sådana bestämmelser som är olämpliga. Vi bedömer att regelverket i denna del behöver förändras för att informationshanteringen i hälso- och sjukvården ska kunna bli mer ändamålsenlig och bidra till ännu bättre resultat för patienterna.
Som nämnts tidigare ställer sig utredningen även tveksam till föreskrifternas utformning i förhållande till det uttalande från regeringen som föreskrifterna söker stöd i. I Socialstyrelsens handbok lyfts följande uttalande från regeringen fram som stöd för föreskrifterna om aktiva val.19
Vidare bör uppgifter lagras i olika skikt så att mer känsliga uppgifter kräver aktiva val eller annars inte är lika enkelt åtkomliga för personalen som mindre känsliga uppgifter. När det gäller personal som arbetar med verksamhetsuppföljning, statistikframställning, central ekonomiadministration och liknande verksamhet som inte är individorienterad torde det för flertalet befattningshavare räcka med tillgång till uppgifter som endast indirekt kan härledas till enskilda patienter.
Utredningen kan trots det inte se att föreskriften om aktiva val på ett ändamålsenligt sätt implementerar regeringens intentioner. Regeringen pekar på att det är känsligheten i uppgifterna och personalens behov av uppgifter som ska vara styrande för hur åtkomsten till uppgifter närmare ska arrangeras. Föreskriften tar dock över huvud taget inte hänsyn varken till uppgifternas känslighet eller till yrkesutövarnas behov, utan utgår uteslutande ifrån organisatoriska faktorer.
Det kan dock konstateras att även Datainspektionen i äldre praxis vid tillämpning av dåvarande vårdregisterlagen också gett uttryck för att åtkomsten till information bör styras utifrån organisatoriska principer. I sitt remissyttrande angående Patientdatautredningens förslag anförde Datainspektionen även följande.20
Datainspektionen har i sin tillsyn i frågor som rör 8 § lagen om vårdregister ansett att användargränssnittet i ett system för vårddokumentation ska ha ett utgångsläge som innebär att användaren inte kan se om patienten är aktuell i någon annan verksamhet hos vårdgivaren än den där användaren själv är verksam. Även sådan information är integritetskänslig.
18Prop. 2007/08:126 s. 147. 19Prop. 2007/08:126 s. 149. 20 Datainspektionen, Synpunkter på betänkandet Patientdatalag, dnr 1612-2006.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
422
Modellen med elektronisk åtkomst bör därför utformas så att vårdgivarens anställda inte får tillgång till information om att patienten överhuvudtaget förekommer i en annan vårdenhet eller vårdprocess innan förutsättningarna för åtkomsten är uppfyllda. Datainspektionen anser att detta är möjligt att åstadkomma med föreskrifter om behörighetstilldelning samt inom ramen för de övriga tekniska och organisatoriska säkerhetsåtgärder som vårdgivaren ska vidta enligt 31 § personuppgiftslagen för att skydda de personuppgifter som behandlas.
Utredningen delar regeringens uttalande ovan att det kan finnas behov av aktiva val som ett slags tekniska trösklar för att nå sådan information som kan vara särskilt känslig eller som exempelvis inte generellt är nödvändiga att ta del av i vården av en patient. Samtidigt måste det betraktas som en svår uppgift att med någon form av exakthet bedöma vad som är en sådan känslig uppgift och vad som inte är det. Det avgörande torde i själva verket vara i vilket sammanhang en viss uppgift exponeras.
När det gäller spärrade uppgifter inom en vårdgivares verksamhet anser utredningen att det av nuvarande 4 kap. 4 § tredje stycket PDL följer att en yrkesutövare ska kunna se att det finns spärrade uppgifter, men inte i utgångsläget vilken vårdenhet som har de spärrade uppgifterna. Något motsvarande finns dock inte vad gäller ospärrade uppgifter. Inte heller kan den grundläggande bestämmelsen om behörighetsstyrning i 4 kap. 2 § PDL anses medföra ett sådant krav. Den bestämmelsen tar på en övergripande nivå sikte på vilken behörighet en användare ska ha till patientuppgifter för att kunna utföra sitt arbete, alldeles oavsett var i vårdgivarens verksamhet uppgifterna är dokumenterade.
Både ur ett patientsäkerhetsperspektiv och med hänsyn till behovet av enskilda patienters integritetsskydd finns det skäl att i första hand utforma yrkesutövarnas gränssnitt efter behovet av uppgifter, inte efter organisatoriska faktorer. Den nu gällande föreskriften medför enligt utredningens bedömning att en yrkesutövare varje gång denne har behov av information utanför sin egen vårdenhet ska få se en uppräkning över alla andra vårdenheter som har dokumenterade uppgifter om patienten. Det kan ifrågasättas om den typen av innehållsförteckning som ska exponeras för yrkesutövaren är en ordning som är ändamålsenlig ur ett integritetsperspektiv, eller om det i stället vore att ta större hänsyn till patientens behov av integritetsskydd om användargränssnittets utgångsläge så långt möjligt var anpassad efter yrkesutövarens behov i förhållande till patientens situation. Datainspektionen
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
423
framhåller i ovan nämnda remissyttrande att även information om var en patient är aktuell i en vårdgivarens verksamhet är integritetskänslig. Utredningen delar den bedömningen, men anser samtidigt att det kan övervägas om nuvarande regelverk verkligen tar hänsyn till det på ett ändamålsenligt sätt. När det gäller uppgifter om ordinerade läkemedel finns det enligt vårt synsätt mycket som talar för att det såväl ur ett integritets- som ett patientsäkerhetsperspektiv vore att föredra om yrkesutövaren kunde se en samlad lista av patientens aktuella läkemedelsbehandling i stället för en uppräkning över vilka verksamheter som stått för ordinationerna. Det senare kan vara mer information än vad användaren faktiskt har behov av.
Problemet med den nuvarande utformningen av föreskrifterna blir därför särskilt tydligt när det gäller åtkomst till uppgifter om patientens ordinerade läkemedel. Det är en sådan informationskälla som yrkesutövaren förutsätts ta del av i sin helhet och där det finns betydande risker för patienten vid ett felaktigt beslutsunderlag. Tvärtemot vad som är fallet i dag anser utredningen att såväl lagstiftning som föreskrifter har all anledning att inte förhindra, utan ytterligare stimulera att behörig personal snabbt och säkert får tillgång till en korrekt, samlad och aktuell bild av patientens läkemedelsbehandling. Här kan även finnas behov av att analysera om patientdatalagens nuvarande utformning med möjligheter för patienter att spärra uppgifter om ordinerade läkemedel är ändamålsenlig och hur det förhåller sig till förutsättningarna att lagra och ta del av motsvarande information i läkemedelsförteckningen och receptregistret.
15.6.2 Åtkomst till läkemedelsförteckningen
Läkemedelsförteckningen innehåller uppgifter om samtliga läkemedel som patienter hämtat ut på apotek under de senaste 15 månaderna. Registret kan därmed sägas ge svar på om patienten har hämtat ut det läkemedel som en ordinatör har ordinerat och dokumenterat i patientjournalen. Detta under förutsättning att läkemedlet inte har bytts ut i samband med expedieringen på apotek. I sådant fall registreras det expedierade läkemedlets namn i läkemedelsförteckningen medan patientjournalen fortfarande innehåller uppgift om vilket läkemedel som ursprungligen ordinerades.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
424
Det är eHälsomyndigheten som är personuppgiftsansvarig för läkemedelsförteckningen och behandlingen av personuppgifter regleras av lagen (2005:258) om läkemedelsförteckning. Registreringen av uppgifter i läkemedelsförteckningen är obligatorisk och patienten kan inte motsätta sig den. Vid en jämförelse med patientdatalagens regler för sammanhållen journalföring kan därmed konstateras att patienten inte har någon motsvarande spärrmöjlighet avseende läkemedelsförteckningen.
En förskrivare kan i dag få behörighet, dvs. en teknisk möjlighet, att ta del av uppgifter i läkemedelsförteckningen på åtminstone två olika sätt. Den förskrivare som vill ta del av läkemedelsförteckningen via Mina vårdkontakter ska göra en ansökan om behörighet genom att fylla i en blankett och skicka till eHälsomyndigheten. Såvitt utredningen förstår godkänns förskrivares ansökan generellt om de formella kraven är uppfyllda, utan någon närmare individuell prövning. Naturligtvis kontrolleras att förskrivaren har förskrivningsrätt och i övrigt uppgivit rätt uppgifter i form av exempelvis förskrivarkod och arbetsplatskod. Ett annat alternativ är att ta del av läkemedelsförteckningen via Inera AB:s läkemedelsförteckningstjänst. Tjänsten kan integreras i vårdgivarnas journalsystem eller exempelvis nås genom Nationell Patientöversikt, NPÖ. I dessa fall är det vårdgivarna, dvs. yrkesutövarens arbetsgivare, som tilldelar behörigheter till förskrivare och sjuksköterskor utan förskrivningsrätt. Vårdgivarens anropande system ska ansvara för kontrollen av att yrkesutövaren är behörig att få åtkomst till läkemedelsförteckningen innan ett anrop till eHälsomyndigheten görs.
Behörighet till läkemedelsförteckningen ger en potentiell tillgång till uppgifter som samtliga patienters uthämtade läkemedel de senaste 15 månaderna. De uppgifter som registreras i läkemedelsförteckningen är därmed i princip automatiskt potentiellt tillgängliga för de aktörer som enligt lagen om läkemedelsförteckning får ha direktåtkomst till uppgifterna. Sådan åtkomst får under vissa förutsättningar t.ex. ges till förskrivare och sjuksköterskor utan förskrivningsrätt. För att få använda sin behörighet och i enskilda situationer ta del av uppgifter om uthämtade läkemedel krävs dock att patienten samtycker till det, eller att det är en sådan situation där patienten inte kan samtycka men uppgifterna kan behövas för att patienten ska få den vård som hon eller han oundgängligen behöver.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
425
En förskrivare får genom direktåtkomst ta del av uppgifterna om det behövs för att åstadkomma en säker framtida förskrivning av läkemedel för patienten, bereda patienten vård eller behandling samt för att komplettera patientjournalen. Det finns inga krav i lagen om läkemedelsförteckning på att informationen ska vara strukturerad på ett visst sätt eller att den ska presenteras utifrån organisatoriska faktorer. En förskrivare kan därmed snabbt och enkelt få tillgång till en samlad lista över de läkemedel en patient hämtat ut på apotek under den senaste 15-månadersperioden.
Våra reflektioner
Vid en jämförelse med förutsättningarna för förskrivaren att ta del av motsvarande uppgifter i den egna vårdgivarens journalsystem eller hos andra vårdgivare i system för sammanhållen journalföring, synes åtkomsten till uppgifter i läkemedelsförteckningen vara mer anpassad till de behov som finns för en patientsäker läkemedelsbehandling. Dessa inkonsekvenser i lagstiftningen medför enligt utredningens bedömning problem i flera dimensioner. Problemen blir särskilt uppenbara i relation till det utvecklingsarbete som i dag drivs såväl regionalt som nationellt och där vårdgivare genom att tillämpa reglerna i patientdatalagen samarbetar mot en gemensam och samlad läkemedelslista. Ur ett pedagogiskt perspektiv är det även svårförklarligt varför en yrkesutövare ska ha svårare att få fram en samlad bild av patientens läkemedelsbehandling i vårdgivarens eget journalsystem jämfört med att ta del av uppgifter i läkemedelsförteckningen. Medan åtkomsten till uppgifter i det egna journalsystemet måste ske i ett antal steg där informationen är ordnad efter vilka vårdenheter som har ordinerat läkemedel för patienten, kan yrkesutövaren i läkemedelsförteckningen direkt ta del av motsvarande information i en samlad lista.
Ytterligare en inkongruens mellan regelverken är att patienten inte kan motsätta sig att uppgifterna registreras i läkemedelsförteckningen och hålls potentiellt tillgängliga för de som är behöriga att ta del av uppgifterna. Det är en skillnad mot system för sammanhållen journalföring där patienten kan motsätta sig och där en sådan spärr dessutom innebär att uppgifterna inte ens i en nödsituation går att ta del av genom direktåtkomst. Av lagen om läkemedelsförteckning följer emellertid en möjlighet för t.ex. en förskrivare att i nödsituationer, där patienten inte kan samtycka till
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
426
åtkomsten, ändå ta del av uppgifterna. En följd av detta är således att uppgiften om patientens ordination kan vara spärrad och därmed oåtkomlig i systemet för sammanhållen journalföring för t.ex. den läkare som möter patienten i en akut situation, medan samma läkare i samma situation och genom åtkomst till läkemedelsförteckningen kan ta del av uppgift om att det ordinerade läkemedlet har hämtats ut.
Regelverkens olikheter blir än mer svårbegripliga när vi läser regeringens uttalanden från förarbetena till lagen om läkemedelsförteckning. I propositionen anför regeringen bland annat att en förskrivare som tar del av uppgifter i läkemedelsförteckningen ska få komplettera uppgifterna till patientens journal och att detta bör vara möjligt oberoende av om journalen förs manuellt eller elektroniskt.21Vad som är intressant är att en sådan journalkomplettering vid en jämförande tillämpning av nu gällande patientdatalag och Socialstyrelsens föreskrifter skulle leda till att informationen skulle behöva hänföras till den vårdenhet förskrivaren tillhör. Detta med följden att en förskrivare vid en annan vårdenhet hos samma vårdgivare vid ett framtida möte med patienten inte lika snabbt och enkelt skulle kunna ta del av de i patientjournalen kompletterade uppgifterna, som förskrivaren skulle kunna göra genom läkemedelsförteckningen. Att använda patientjournalen, som är hälso- och sjukvårdspersonalens primära informationskälla och arbetsinstrument, blir således mindre ändamålsenligt i en sådan situation.
När det gäller läkemedelsförteckningen understryker regeringen i propositionen vikten av fullständig information, både för den som ska förskriva läkemedel, men även för den som bedömer patientens behov av annat än läkemedelsbehandling. Det borde enligt utredningens bedömning gälla oavsett om det är åtkomsten till uppgifterna i läkemedelsförteckningen som används eller om det är en åtkomst till journalsystemens läkemedelslistor eller läkemedelsmoduler som används. Regeringen anför bl.a. följande.22
Genom att förskrivaren får en fullständig bild av patientens läkemedelsköp klar för sig minskar bl. a. risken för över- och underförskrivning samt andra former av felaktig förskrivning. Information om en patients läkemedelssituation är också, som flera remissinstanser påtalat, många gånger av stort värde vid bedömningar av en patients behov av vård- eller behandlingsinsatser som inte innefattar förskriv-
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
427
ning av läkemedel. Regeringen anser att uppgifterna i förteckningen ska kunna användas i sistnämnda situationer.
Vidare anför regeringen följande angående intentionerna och förhoppningarna med läkemedelsförteckningen.23
Avsikten med förteckningen är i stället att möjliggöra för olika förskrivare vid olika vårdenheter som patienten kommer i kontakt med vid senare tillfälle att snabbt få ett så fullständigt beslutsunderlag som möjligt om patientens läkemedelsanvändning utan att gå den tidsödande och kanske inte ens genomförbara vägen att låna in patientjournaler från olika håll.
Enligt utredningens bedömning är regeringens avsikt rimlig och generellt i linje med vad som får betraktas som ändamålsenligt för att en yrkesutövare på ett effektivt sätt ska kunna ge en god och säker vård utifrån ett samlat beslutsunderlag. Mot bakgrund av regeringens uttalande kan emellertid konsekvenserna av det ovan beskrivna regelverket i patientdatalagen och Socialstyrelsens föreskrifter ifrågasättas.
15.6.3 Särskilt om utbyte av läkemedel (generikabyte)
I läkemedelsförteckningen registreras, som redovisats ovan, uppgifter om läkemedel om patienter hämtar ut på apotek. Det innebär bland annat att det i läkemedelsförteckningen registrerats vilket läkemedel som har köpts. Om ett byte av läkemedel (generikabyte) har ägt rum är det således det nya läkemedlet som registreras i läkemedelsförteckningen. Av den anledningen finns det även skäl att i detta sammanhang uppmärksamma hur hanteringen av uppgifter om utbytta läkemedel är reglerad i närliggande lagstiftning.
Förutsättningarna för utbyte av läkemedel regleras närmast av lagen (2002:160) om läkemedelsförmåner m.m. Av 21 § fjärde stycket följer en uppgiftsskyldighet för apotekens räkning. Apoteken ska enligt bestämmelsen skriftligt underrätta den som utfärdat receptet, dvs. ordinerat läkemedlet, om att ett utbyte har ägt rum. I förarbetena till bestämmelsen berörs egentligen inte närmare hur denna underrättelse är tänkt att gå till eller varför den behövs. I samband med omregleringen av apoteksmarknaden anförde regeringen dock att förskrivaren behöver information om att utbyte har skett för att kunna komplettera patientjournalen och
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
428
eventuellt även för att kunna ta ställning till den fortsatta behandlingen av patienten.24
Förarbetena till bestämmelsen om skyldigheten att underrätta förskrivarna om utbytta läkemedel ger inte svar på vad som avses med att underrättelsen ska ske skriftligen. Ett alternativt synsätt är att det inte får ske muntligen. Ett annat synsätt är att söka ledning i tryckfrihetsförordningens bestämmelser om ”framställning i skrift eller bild” och ”upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel”.
Utredningen anser emellertid att begreppet skriftligen, i brist på vägledande uttalanden i förarbetena till bestämmelsen, snarare bör ses i sitt aktuella sammanhang än jämföras med tryckfrihetsförordningens bestämmelser. Kravet på skriftlighet får därför närmast, enligt vår bedömning, ses som ett förbud mot muntlig underrättelse. Detta bland annat eftersom det torde finnas ett grundläggande intresse av att säkerställa att kommunikationen görs på ett sådant sätt att den inte kan missförstås. Läkemedel har inte sällan långa och relativt komplicerade produktnamn. En muntlig kontakt mellan utlämnande apotek och förskrivare får mot den bakgrunden anses mindre lämplig. Vidare förutsätter en muntlig kontakt en mer omfattande administrativ aktivitet hos mottagaren, som ska ta del av informationen och dokumentera uppgiften så att den kan ligga till grund för fortsatta ställningstaganden kring patientens vård.
Om avsikten varit att inte möjliggöra olika formera av elektroniska utlämnanden borde det även ha uppmärksammats i förarbetena till apoteksdatalagen (2009:367). Så gjordes inte. När det gäller möjliga sätt att fullgöra uppgiftsskyldigheten ligger det därför enligt vår bedömning närmast till hands att söka stöd i apoteksdatalagen. Lagen reglerar förutsättningarna för apoteken att behandla och lämna ut personuppgifter. Av 8 § punkten 7 följer att personuppgifter får behandlas om det är nödvändigt för rapportering till förskrivare om utbyte av läkemedel enligt 21 § fjärde stycket lagen om läkemedelsförmåner m.m. Vidare framgår av 11 § att en personuppgift som får lämnas ut, får lämnas ut på medium för automatiserad behandling. Sammantaget innebär detta, enligt utredningens bedömning, att kravet på att underrätta förskrivaren får tillgodoses genom ett elektroniskt utlämnande av uppgifterna.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
429
När detta ställs i relation till förutsättningarna för förskrivaren att ta del av samma uppgifter i läkemedelsförteckningen kan en splittrad bild återigen identifieras. Medan det enligt lagen om läkemedelsförmåner finns en uttrycklig skyldighet att underrätta förskrivaren om att ett utbyte av läkemedel har ägt rum samt att detta kan fullgöras elektroniskt med stöd av apoteksdatalagen, krävs patientens samtycke för att samma uppgifter ska få lämnas ut från läkemedelsförteckningen. Detta vare sig utlämnandet görs genom direktåtkomst eller på medium för automatiserad behandling. Inte minst eftersom en underrättelse om utbyte av läkemedel i sig även innebär en uppgift om att patienten har hämtat ut det ordinerade läkemedlet och kan ifrågasättas om inte regelverken skulle kunna harmoniseras. För detta talar även det faktum att de bakomliggande ändamålen med underrättelsen av utbytet och åtkomsten till uppgifter i läkemedelsförteckningen synes vara desamma, dvs. att komplettera patientjournalen och se till att patienten får en god och säker vård.
Det praktiska tillvägagångssätten för att underrätta förskrivare om utbytta läkemedel har genom åren kritiserats för att vara omständligt och ge upphov till ökad administration. Före omregleringen av apoteksmarknaden samlade Apoteket AB in informationen om utbyten och levererade sedan uppgifterna efter en sammanställning per arbetsplatskod till landstingen. Informationen lämnades en gång per månad antingen i pappersform eller på en cdskiva.
Läkemedelsverket har i ett regeringsuppdrag analyserat frågor med beröringspunkter till frågan om underrättelse av utbytta läkemedel.25 I en rapport från 26 september 2011 anger Läkemedelsverket följande.26
För att säkerställa att patienten får aktuellt läkemedel förskrivet vid nästa vårdkontakt samt för att ha aktuell information om patientens aktuella läkemedel vid eventuella reaktioner på läkemedlen måste återrapportering av dessa byten ske till förskrivaren samma dygn bytet utförs på apotek. För att återrapporteringen ska uppfylla sitt syfte måste förtydligade krav ställas på vården att dessa uppgifter snarast/omgående förs i journal/förskrivarstöd så att förskrivaren vid nästa förskrivning/ordination vet vilket läkemedel patienten fått expedierat och kan förskriva det aktuella läkemedlet. För att återrapporteringen ska fungera i praktiken och för att undvika tungrodd
25 S2010/8678/HS. 26 Läkemedelsverket, Utredning av förutsättningar för utvidgat utbyte respektive utbyte vid nyinsättning s. 21.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
430
administration bör möjligheter skapas för apotekens återrapportering att elektroniskt överföras till vården och företrädesvis direkt till patientens journal/motsvarande.
Läkemedels- och apoteksutredningen
Frågan om underrättelse av utbytta läkemedel har nyligen även uppmärksammats av Läkemedels- och apoteksutredningen (S 2011:07) i delbetänkandet SOU 2012:75. I betänkandet betonas vikten av att förskrivare får information om att ett utbyte har skett och att underrättelseskyldigheten bör kunna fullgöras på ett mer ändamålsenligt sätt än vad som hittills varit fallet.
I utredningen uppmärksammas även osäkerheten kring vad kravet på att underrättelsen ska ske skriftligen egentligen innebär. Utredningen lyfter här fram samma alternativa synsätt som vi redogjort för ovan, men tar själva inte närmare ställning till saken. För att undanröja tvivlen och möjliggöra ett effektivare informationsutbyte föreslår utredningen dock att ordet skriftligen tas bort i bestämmelsen i lagen om läkemedelsförmåner. Utredningen anför bland annat följande.27
Utredningen stannar för att det i dagsläget mest ändamålsenliga sättet att utforma bestämmelsen om öppenvårdsapotekens underrättelseskyldighet till förskrivarna är att ta bort kravet på skriftlighet. Apoteksaktörerna kan därmed själva bestämma på vilket sätt de vill underrätta förskrivaren, t.ex. elektroniskt. Apoteksaktörerna bör samråda med mottagarna av informationen rörande såväl rapporteringssätt som tidpunkt för rapporteringen. För det fall rapporteringen sker elektroniskt måste parterna också ta hänsyn till att det är fråga om integritetskänsliga personuppgifter som kräver säkerhet vid överföringen. Eftersom det är nödvändigt att förskrivarna har tillgång till aktuell information om patientens läkemedelsanvändning bör rapporteringen ske inom rimlig tid. Det kan finnas behov av att regeringen eller TLV utnyttjar bemyndigandet att meddela föreskrifter på området, t.ex. avseende just inom vilken tid underrättelsen ska ske. Det bör också påpekas att det för närvarande pågår flera utredningar och projekt som rör informationshanteringen inom hälso- och sjukvården och som kan komma att påverka frågan om förskrivarens information om utbyte av läkemedel, t.ex. arbetet med NOD.
27SOU 2012:75 s. 685 f.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
431
Våra reflektioner
Utredningen delar såväl Läkemedelsverkets som Läkemedels- och apoteksutredningens bedömning att underrättelseskyldigheten bör kunna utformas på ett mer ändamålsenligt sätt, så att aktuell information om patientens läkemedelsbehandling finns tillgänglig för den som behöver uppgifter för att t.ex. ta ställning till patientens vård och behandling. Samtidigt utkristalliseras en bild av ett regelverk som inte i alla delar hänger ihop. Det tydliggörs exempelvis av de olika överväganden som förefaller ha legat bakom den reglerade underrättelseskyldigheten och lagen om läkemedelsförteckning. Medan den förstnämnda ställer ett uttryckligt krav på att informationen om utbytet (och därmed även att läkemedlet hämtats ut) ovillkorligen ska återrapporteras till hälso- och sjukvården ställer det sistnämnda regelverket krav på samtycke för tillgång till motsvarande information. Det kan därför finnas anledning att överväga ett mer samlat grepp om hur rätt information om patienternas läkemedel kan göras tillgänglig för behöriga yrkesutövare. Detta blir inte minst viktigt eftersom det, precis som Läkemedels- och apoteksutredningen uppmärksammar, nu pågår ett antal olika projekt och initiativ för att förbättra informationshanteringen i läkemedelsprocessen.
Ytterligare en faktor att uppmärksamma är att det i lagen om läkemedelsförmåner uttrycks att underrättelsen ska ske till förskrivaren och inte till vårdgivaren. Såvitt vi har kunnat utreda framgår inte av förarbetena till bestämmelsen hur detta ska tolkas. Vid en strikt bokstavstolkning ger bestämmelsen snarare uttryck för att återrapporteringen ska ske till förskrivaren personligen än till organisationen som sådan. Mot bakgrund av regeringens uttalande om att uppgift om utbytta läkemedel är viktiga för att komplettera patientjournalen och utgöra underlag för fortsatta beslut kring patientens vård, blir bilden dock något annorlunda. Ett sådant syfte omfattar generellt fler än endast den som i ett enskilt fall ordinerat ett läkemedel, t.ex. andra yrkesutövare som i olika situationer har att ta ställning till patientens läkemedelsbehandling m.m. Ansvaret för att uppgiften tas om hand och kompletterar patientjournalen ligger då även i verksamhetens intresse och omfattas av vårdgivarens ansvar för en patientsäker informationshantering. En annan omständighet som i praktiken talar för att tolkningen hittills varit att informationen om utbytet snarare riktar sig till verksamheten som sådan än till den enskilda förskrivaren, är
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
432
det praktiska tillvägagångssättet för hur återrapporteringen under en längre tid har fullföljts. Som redovisats ovan har det historiskt sett varit vanligt med en månatlig återrapportering till verksamheten som sådan, sammanställd per arbetsplatskod (där flera förskrivare ingår), inte primärt till enskilda förskrivare. Läkemedels- och apoteksutredningen redovisar exempelvis att det i vissa landsting skickades information direkt till en vårdcentral, medan andra landsting ville samla informationen centralt.28
15.6.4 Åtkomst till receptregistret
Receptregistret, eller receptdepån, innehåller uppgifter om samtliga elektroniska läkemedelsförskrivningar som görs i landet. eHälsomyndigheten är personuppgiftsansvarig för receptregistret enligt receptregisterlagen. De uppgifter som får registreras är bland annat patientens namn, personnummer, uppgifter om läkemedlet, förskrivningsorsaken (ska anges med kod), förskrivarens namn och arbetsplats. Registreringen är obligatorisk i den meningen att patienten inte kan motsätta sig att uppgifterna registreras. Från denna huvudprincip finns dock ett undantag som innebär att uppgifter om patienter som får dosdispenserade läkemedel endast får behandlas med stöd av patientens samtycke.
Generellt får hälso- och sjukvårdspersonal inte ha direktåtkomst till uppgifter i receptregistret. Det skiljer sig därmed från vad som redovisas om läkemedelsförteckningen ovan. Från denna huvudregel i receptregisterlagen finns dock ett undantag som innebär att legitimerad hälso- och sjukvårdspersonal får ha direktåtkomst till uppgifter om dosrecept. I sammanhanget kan således noteras att lagstiftaren har utformat regelverket för åtkomst till uppgifter om ordinerade läkemedel olika beroende på vilken distributionsform det är fråga om (dvs. dosläkemedel eller inte) och inte utifrån sådant som patientens autonomi eller särskilda behov.
Några särskilda villkor för hur denna direktåtkomst ska få användas uppställs inte i lagen. Inte heller ställs det några krav på hur uppgifterna ska vara strukturerade och presenteras vid en direktåtkomst. I praktiken innebär det således att legitimerad hälso- och sjukvårdspersonal kan ta del av en samlad lista över patientens dosrecept de senaste 15 månaderna.
28 Pris, tillgång och service – fortsatt utveckling av läkemedels- och apoteksmarknaden SOU 2012:75 s. 679.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
433
För att möjliggöra denna direktåtkomst finns en sekretessbrytande regel i 25 kap. 17 c § andra stycket offentlighets- och sekretesslagen (2009:400), förkortad OSL, som innebär att sekretess inte hindrar att uppgift i receptregistret lämnas till hälso- och sjukvårdspersonal i enlighet med vad som följer av receptregisterlagen. Vidare finns i 13 § receptregisterlagen en uppgiftsskyldighet som innebär att eHälsomyndigheten ska lämna ut uppgifter om dosrecept till den som har legitimation för yrke inom hälso- och sjukvården och som i sin verksamhet inom vården har behov av sådana uppgifter. Regeringen anför bland annat följande med avseende på möjligheten till direktåtkomst och uppgiftsskyldigheten för Apotekens Service AB (nuvarande eHälsomyndigheten).29
Apoteket AB och Datainspektionen har uppgett att förskrivare och
sjuksköterskor med behörighet till e-dos för närvarande har direktåtkomst till dosrecept. Åtkomsten sker genom tjänsten e-dos. Det är viktigt att denna direktåtkomst kan säkerställas även fortsättningsvis. Registrering av dosrecept är ett av de ändamål för vilket personuppgiftsbehandlingen i receptregistret får ske. För att direktåtkomst för de aktuella personalkategorierna ska vara möjlig krävs att det i receptregisterlagen införs en tystnadspliktsbrytande uppgiftsskyldighet för Apotekens Service AB. Regeringen föreslår därför att Apotekens Service AB ska åläggas att från receptregistret lämna ut uppgifter om dosrecept till den som har legitimation för yrke inom hälso- och sjukvården och som i sin verksamhet inom vården har behov av sådana uppgifter. Uppgiftsskyldigheten är tystnadspliktsbrytande och innebär att nämnda personalkategori får medges direktåtkomst till uppgifterna om dosrecept i receptregistret.
Utredningen konstaterar att det finns en viss otydlighet vad gäller de tillåtna ändamålen för direktåtkomst till uppgifter om dosrecept. I registerförfattningar anges vanligtvis tydligt för vilka ändamål det är tillåtet att behandla personuppgifter genom direktåtkomst.
Av uppgiftsskyldigheten i receptregisterlagen följer indirekt ett mycket generellt utformat ändamål, dvs. att den legitimerade yrkesutövaren får ta del av uppgifter om denne ”har behov” av uppgifterna. Samtidigt anges i lagens grundläggande ändamålsbestämmelse att personuppgifter får behandlas om det behövs för registrering av dosrecept. Det får, enligt utredningens bedömning, anses oklart vad detta ändamål ska anses omfatta och hur det korresponderar med de behov av informationen som finns i hälso- och sjukvården. En fråga som kan ställas är om ändamålet t.ex.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
434
innebär att direktåtkomst till redan registrerade uppgifter endast får användas för att kunna registrera nya uppgifter, dvs. nya eller förändrade ordinationer. Effekten och nyttan av en sådan ordning kan dock ifrågasättas. För att endast göra en registrering borde det inte finnas behov av att se tidigare registreringar.
I författningskommentaren till bestämmelsen anför regeringen bland annat följande.30
I andra stycket anges att den som har legitimation för yrke inom hälso- och sjukvården får ha direktåtkomst till uppgifter om dosrecept. Den personal som åsyftas är hälso- och sjukvårdspersonal som enligt 1 kap. 4 § första stycket 1 lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, har legitimation för yrke inom hälso- och sjukvården. Både när det gäller expedierande personal på öppenvårdsapotek och den hälso- och sjukvårdspersonal som anges i bestämmelsens andra stycke, får direktåtkomst endast medges om det behövs för ändamålen 1, 2 och 8. Det innebär att endast personal som på grund av sitt arbete behöver ha tillgång till uppgifterna får ha direktåtkomst till uppgifter som behandlas automatiserat. Den personuppgiftsansvarige måste därför göra en bedömning av vilka personuppgifter som varje anställd behöver ha tillgång till för att kunna utföra sitt arbete.
Enligt vad utredningen har fått information om har bestämmelsen i praktiken kommit att tolkas på ett sådant sätt att den legitimerade yrkesutövare som exempelvis ska ordinera ett dosdispenserat läkemedel, eller av andra skäl som rör patientens vård har behov av uppgifterna, får del av uppgifterna om tidigare ordinationer i receptregistret. Direktåtkomsten underlättar då för yrkesutövaren att fatta sitt beslut om patientens vård samt ta ställning till och registrera nya ordinationer. På så sätt har direktåtkomsten till uppgifter om dosrecept snarare kommit att användas som ett beslutsunderlag vid vården av patienter, i stället för endast i samband med den rent administrativa uppgiften ”registrering av dosrecept”. Sannolikt är detta en naturlig utveckling eftersom nyttan av en direktåtkomst endast för syftet att registrera ett dosrecept inte kan vara stor.
Mot bakgrund av regeringens uttalanden bedömer utredningen att syftet med att möjliggöra direktåtkomst har varit att tillhandahålla en möjlighet för hälso- och sjukvårdspersonal att ta del av uppgifter om dosrecept för att exempelvis i samband med ordinationer av dosläkemedel få ett beslutsunderlag som ökar
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
435
förutsättningarna för en patientsäker ordination. En sådan tolkning ligger även i linje med följande yttrande från lagrådet.31
Som Lagrådet ser det torde avsikten endast vara att uppgifter ska lämnas ut till de nämnda yrkesutövare som behöver uppgifterna i sin yrkesverksamhet. Någon uppgiftsskyldighet bör alltså inte finnas gentemot de legitimerade yrkesutövare inom hälso- och sjukvården som inte tar befattning med frågor om dosrecept.
Enligt utredningens bedömning ger lagrådets yttrande och regeringens uttalande i författningskommentaren uttryck för att den legitimerade yrkesutövare som i sin verksamhet inom vården har behov av att ta befattning med frågor om dosrecept får göra det genom direktåtkomst. Någon närmare ändamålsbegränsning framkommer inte av receptregisterlagen eller dess förarbeten.
Datainspektionen har även i ett samrådsyttrande rörande direktåtkomst till receptregistret bland annat uttalat följande som också får anses ge stöd för en sådan tolkning.32
Det är endast den som har legitimation för yrke inom hälso- och sjukvården och som i sin verksamhet inom vården har behov av uppgifterna som avses med denna uppgiftsskyldighet. Det är alltså behovet av uppgifterna i verksamheten för den legitimerade personalen som ska styra vem som har rätt att få direktåtkomst till uppgifterna. Det är därför nödvändigt att gå igenom vilka personer som behöver tillgång till uppgifterna för att utföra sitt arbete och därefter göra en avgränsning i enlighet med dessa behov. Med hänsyn till detta anser vi inte att det är förenligt med gällande regler att Apotekens Service AB ger direktåtkomst avseende dosrecept till samtlig hälso- och sjukvårdspersonal inom landstinget, d.v.s. även till dem som inte behöver uppgifter om dosrecept i sin verksamhet inom vården.
15.6.5 Våra sammanfattande reflektioner kring gällande rätt
Utredningens generella bedömning är att regelverket för hantering av läkemedelsrelaterade uppgifter om patienter, t.ex. ordinationer, recept och uthämtade läkemedel, är såväl svåröverskådligt som oförenligt i sitt sätt att reglera förutsättningarna för en säker läkemedelsprocess. En vanligt förekommande beskrivning av en ändamålsenlig eller rationell läkemedelsanvändning är: rätt läkemedel till rätt patient, i rätt dos, vid rätt tillfälle och till rätt
31Prop. 2008/09:145 s. 567. 32 Datainspektionen, Samråd om direktåtkomst till dosregistret, dnr 483-2013.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
436
kostnad. Sammantaget finns behov av att justera gällande regelverk så att förutsättningarna för att nå dessa målsättningar ökar.
Ovan har det tydliggjorts att hanteringen av information i samband med förskrivning av läkemedel är komplicerad – inte desto mindre är den mycket viktig att komma till rätta med. I dag finns inte någon samlad, korrekt och aktuell information om en patients läkemedelsbehandling. Såväl patientens information som ordinatörens beslutsunderlag innehåller brister som ger upphov till uppenbara risker för patientens hälsa och livskvalitet.
Det är vidare en stor pedagogisk utmaning att beskriva motiven bakom regelverkens nuvarande utformning. Sannolikt finns inget sammanhängande motiv eller någon gemensam målsättning för hur de olika lagstiftningarna tillsammans kan bidra till god och säker vård. Även om utredningen inte kommer att ha förslag till lösningar i läkemedelsprocessens alla delar bedömer vi att det ligger i vårt uppdrag att lämna förslag som ökar möjligheterna för hälso- och sjukvårdens aktörer att utveckla ett gränssnitt som kan utgöra en samlad informationskälla om patientens ordinerade och uthämtade läkemedel. Det ligger i den enskilde individens intresse att beslut om läkemedelsbehandling fattas på bästa möjliga grunder så att avsedd effekt kan uppnås och bidra till ökad hälsa och livskvalitet.
15.7 Våra överväganden och förslag
I det följande redovisas ett antal överväganden och förslag som enligt utredningens bedömning ökar förutsättningarna för en mer ändamålsenlig och sammanhållen informationshantering på läkemedelsområdet. Utredningens förslag syftar i allt väsentligt till att öka kvaliteten och säkerheten i vården samtidigt som patienternas behov av skydd för den personliga integriteten tillgodoses.
15.7.1 Utredningens förslag i andra delar m.m.
Vår bedömning: Utredningens förslag om förbättrade möj-
ligheter till direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde samt om förändringar i reglerna om sammanhållen journalföring bedöms undanröja en del av de hinder som i dag finns för utvecklingen mot en samlad bild av
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
437
patientens läkemedelsbehandling. Samtidigt finns behov av ytterligare överväganden för att harmonisera vissa förutsättningar för informationshantering som de regleras i nu gällande patientdatalag, i lagen om läkemedelsförteckning och i receptregisterlagen.
Vidare bedöms bestämmelserna om s.k. aktiva val i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården, utgöra hinder för en patientsäker och ändamålsenlig hantering av uppgifter om ordinationer. Föreskrifterna är för tillfället under omarbetning.
Inledning
I detta betänkande föreslås ett antal grundläggande förändringar vad gäller möjligheterna att hantera och dela information om patienter i hälso- och sjukvården. Ett antal av dessa förslag kommer även att undanröja en del av de hinder som i dag finns för att utveckla en samlad information om patientens läkemedelsbehandling. Men det behövs ytterligare åtgärder för att harmonisera vissa förutsättningar i de relevanta regelverken, dvs. framför allt i nu gällande patientdatalag, lagen om läkemedelsförteckning och receptregisterlagen.
Nedan berörs kortfattat vilken betydelse utredningens förslag i övriga delar kan ha för en mer ändamålsenlig hantering av läkemedelsrelaterade uppgifter inom hälso- och sjukvården.
Direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för
Utredningens förslag till ökade möjligheter för direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för kommer att innebära betydligt bättre förutsättningar för en sammanhållen informationshantering jämfört med vad som är fallet i dag. Effekterna av vårt förslag kommer att bli särskilt påtagliga i de delar av landet där ett stort antal privata och offentliga vårdgivare bedriver hälso- och sjukvård.
I dag medför regleringen i offentlighets- och sekretesslagen och patientdatalagen att vårdgivare i landsting och kommuner med
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
438
många privata vårdgivare har svårare att hålla samman information om patienterna, jämfört med vad som är möjligt i kommuner och landsting där de privata inslagen är mindre. Vårt förslag innebär i praktiken att dessa skillnader kan suddas ut och att förutsättningarna för en sammanhållen informationshantering inte längre blir beroende av hur hälso- och sjukvården är organiserad, utan i stället kan utgå ifrån individens behov och den situation individen befinner sig i.
Konkret innebär vårt förslag att uppgifter om ordinerade läkemedel kan delas mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för, t.ex. sådan verksamhet som finansieras av ett och samma landsting, i det närmaste ”som om” de vore samma verksamhet. Beroende på hur den direktåtkomst vi föreslår implementeras rent tekniskt, kommer uppgifter om ordinerade läkemedel kunna presenteras för behörig hälso- och sjukvårdspersonal i en samlad vy innehållande uppgifter från olika vårdgivare.
Det handlar inte om någon okontrollerad spridning eller tillgång till uppgifterna. En förutsättning för att få ta del av uppgifterna ska vara att vårdgivaren har en aktuell relation med patienten, dvs. att åtkomsten endast får avse patienter som är aktuella i verksamheten. Dessutom följer av den grundläggande bestämmelsen om inre sekretess att t.ex. en ordinatör hos en vårdgivare endast får ta del av de uppgifter som behövs för att kunna utföra sitt arbete.
Utöver detta har patienten en möjlighet att spärra vårddokumentation inom och mellan vårdgivare som bedriver hälso- och sjukvårdsverksamhet som samma huvudman ansvarar för. Det innebär exempelvis att det i en samlad vy över patientens ordinerade läkemedel kan finnas en uppgift om att det finns spärrade uppgifter om ordinationer rörande patienten. Sådana spärrade uppgifter är till skillnad från i system för sammanhållen journalföring fortfarande tekniskt åtkomliga för hälso- och sjukvårdspersonalen, så att de i enskilda situationer med patientens samtycke eller vid akuta nödlägen kan ta del av de spärrade uppgifterna. Frågan om uppgifter om ordinerade läkemedel bör undantas från patientens rättighet att begära spärrar kommer dock att behandlas i det följande.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
439
Sammanhållen journalföring
Genom utredningens förslag om ökade möjligheter till direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvårdsverksamhet som samma huvudman ansvarar för kommer tillämpningsområdet för sammanhållen journalföring att minska. Redan det innebär att hindren mot att skapa en samlad bild av patientens läkemedelsbehandling blir mindre omfattande. Regelverket om sammanhållen journalföring kommer då endast att behöva tillämpas för informationsutbyte mellan vårdgivare som bedriver hälso- och sjukvård som olika huvudmän ansvarar för, t.ex. mellan vårdgivare i olika landsting eller mellan vårdgivare med ett landsting som huvudman och vårdgivare med en kommun som huvudman.
Vidare leder vårt förslag om att ta bort det särskilda samtyckeskravet för åtkomst till uppgifter i sammanhållen journalföring förhoppningsvis till en mer ändamålsenlig informationshantering i praktiken. Genom att tydliggöra att samtycket till och överenskommelsen om vård är utslagsgivande för informationsinhämtningen bedömer vi samtidigt att patienternas integritetsskydd i praktiken inte försämras. Den som inte har en laglig grund för att ge hälso- och sjukvård, t.ex. ordinera ett läkemedel, får därmed inte ta del av uppgifter hos andra vårdgivare i sammanhållen journalföring.
Socialstyrelsens föreskrifter
Som vi har redovisat i det föregående bedömer utredningen att utformningen av kraven på s.k. aktiva val i Socialstyrelsens föreskrifter (SOSFS 2008:14) innebär hinder för en patientsäker och ändamålsenlig hantering av uppgifter om ordinationer. För en ordinatör kan dessa krav innebära att det i praktiken blir svårt att snabbt få en samlad bild av patientens läkemedelsbehandling. Föreskrifterna är för tillfället under revidering. Utredningen hoppas att de nya föreskrifterna kommer att ge stöd för att utforma journalsystemens användargränssnitt efter behoven av information i stället för efter organisatoriska faktorer. Oavsett om utredningens förslag i övrigt genomförs har förändrade föreskrifter stor betydelse för de faktiska möjligheterna att tillhandahålla ett fullständigt beslutsunderlag för den som står i begrepp att ordinera, sätta ut eller bedöma en patients läkemedelsbehandling.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
440
15.7.2 Behov av åtgärder som leder till harmoniserade regler
Utredningen har redovisat de olika förutsättningar som i dag finns för hanteringen av motsvarande informationsmängder i patientjournalen, i receptregistret respektive i läkemedelsförteckningen, samt uppmärksammat den underrättelseskyldighet som följer av lagen om läkemedelsförmåner m.m.
Det kan konstateras att det finns bristande överensstämmelser både i frågor som rör villkoren för registrering av uppgifter och villkoren för åtkomst till uppgifterna. Vår bedömning är att en viss harmonisering av regelverken bör göras i syfte att öka förutsättningarna för en mer ändamålsenlig hantering av läkemedelsrelaterad information om patienter.
För att identifiera vilka förändringar som det kan finnas behov av att överväga kan, förutom det som redovisats i det föregående, följande schematiska och något förenklade uppställning vara upplysande. Beskrivningen utgår ifrån de förutsättningar som skulle gälla om det som utredningen hittills har föreslagit genomförs. Vidare beaktas inte kraven på s.k. aktiva val i SOSFS 2008:14 i uppställningen.
Patientjournalen – åtkomst inom och mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för
1. Uppgifter om ordinationer får vara tillgängliga inom och mellan vårdgivarna.
2. Patienten kan motsätta sig, men sådan spärrad information får ändå ingå och vara åtkomlig med stöd av patientens samtycke eller i en nödsituation.
3. Åtkomsten får ske till uppgifter rörande patienter som finns i den egna verksamheten under förutsättning att uppgifterna behövs.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
441
Patientjournalen – sammanhållen journalföring
1. Uppgifter om ordinationer får vara tillgängliga mellan vårdgivarna om patienten först informerats och inte motsatt sig.
2. Patienten kan motsätta sig och i sådant fall är uppgifterna inte tekniskt åtkomliga för andra vårdgivare, dvs. uppgift om ordinationen kan inte nås genom direktåtkomst vare sig med patientens samtycke eller i en nödsituation.
3. Åtkomsten får ske till uppgifter rörande patienter som finns i den egna verksamheten under förutsättning att uppgifterna behövs.
Läkemedelsförteckningen – uppgifter om uthämtade läkemedel
1. Uppgifterna ska registreras i läkemedelsförteckningen och patienten kan inte motsätta sig det.
2. Förskrivare och sjuksköterskor utan förskrivningsrätt har potentiell åtkomst till samtliga uppgifter.
3. Åtkomst får användas om patienten samtyckt till det och uppgifterna behövs för att åstadkomma en säker förskrivning, ge patienten vård och behandling eller komplettera patientjournalen.
4. Åtkomst är även tillåten om patienten inte kan lämna samtycke och uppgifterna behövs för att patienten ska kunna få den vård eller behandling som han eller hon oundgängligen behöver.
Underrättelseskyldighet rörande utbytta läkemedel
1. Apotek ska skriftligen underrätta förskrivare om ett utbyte av läkemedel har skett i samband med att patienten hämtar ut läkemedlet på ett apotek.
2. Syftet med underrättelsen är att komplettera patientjournalen och ligga till grund för beslut om patientens vård och behandling.
3. Underrättelsen bedöms kunna ske på medium för automatiserad behandling, t.ex. filöverföring.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
442
Receptregistret – uppgifter om dosrecept
1. Om patienten samtycker ska uppgifter om dosrecept registreras i receptregistret.
2. Legitimerad hälso- och sjukvårdspersonal får ha direktåtkomst till uppgifter om dosrecept om det behövs för yrkesutövarens verksamhet i hälso- och sjukvården.
15.7.3 Patientens spärrmöjligheter bör inte omfatta uppgifter om ordinerade läkemedel
Vårt förslag: Patienten ska inte kunna motsätta sig att uppgifter
om ordinerade läkemedel görs tillgängliga genom elektronisk åtkomst inom en vårdgivares verksamhet eller genom direktåtkomst mellan vårdgivare. Patienten kan därmed inte motsätta sig att uppgifter om ordinerade läkemedel görs tillgängliga genom sammanhållen journalföring eller mellan vårdgivare inom en huvudmans ansvarsområde. Bestämmelser om detta ska tas in i hälso- och sjukvårdsdatalagen.
Med uppgifter om ordinerade läkemedel avses ordinationsorsak, läkemedlets namn, läkemedlets form, mängd, dosering, administrationssätt och tidpunkter för administrering. Definitionen ska anges i hälso- och sjukvårdsdatalagen och anger den yttersta ramen för vad som patienten inte har rätt att spärra.
Vår bedömning: Förslaget syftar till att förbättra kvaliteten och
patientsäkerheten i hälso- och sjukvården genom att möjliggöra en samlad, korrekt och aktuell bild av patientens läkemedelsbehandling. Förslaget innebär ingen ökad rätt för hälso- och sjukvårdspersonal att ta del av uppgifter, utan endast att uppgifterna får finnas tekniskt åtkomliga så att det är möjligt att ta del av dem när det behövs för patientens vård. Genom förslaget blir förutsättningarna för yrkesutövares åtkomst i journalsystemens läkemedelslistor därmed i stort överensstämmande med vad som gäller för åtkomst till motsvarande uppgifter i receptregistret och läkemedelsförteckningen.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
443
Inledning
Utredningen kan konstatera att de rättigheter enligt patientdatalagen som patienten har att spärra uppgifter inte helt är harmoniserade med förutsättningarna för registrering av motsvarande information i läkemedelsförteckningen. Det kan även finnas anledning att ställa regelverket i relation till den underrättelseskyldighet som följer av lagen om läkemedelsförmåner m.m. och som uttrycker vikten av att rätt information om läkemedel finns för den som står i begrepp att fatta beslut om patienters läkemedelsbehandling m.m.
Ända sedan patientdatalagens ikraftträdande har det framförts åsikter och bedömningar kring möjligheterna för patienterna att spärra sådan information som är särskilt viktig antingen för vården av patienten eller för säkerheten m.m. för hälso- och sjukvårdspersonalen. I ett antal remissyttranden på Patientdatautredningens betänkande framfördes vikten av att exempelvis s.k. varningsinformation, t.ex. uppgifter om allergi, överkänslighet eller smitta inte bör kunna spärras av patienten.33Reumatikerförbundet anförde i sammanhanget exempelvis att det borde kunna skapas ett ”emergency-tecken” i journalen med direktåtkomst till viktiga fakta kring t.ex. läkemedel, sjukdom, funktionsstörningar i hjärtlungverksamhet, uppgifter som kan vara av avgörande betydelse för vård i kristillstånd.34
Regeringen anförde dock att det är viktigt att gå försiktigt fram vid införandet av ny lagstiftning och att skyddet för patientens integritet och därmed möjligheterna att behålla förtroendet för systemet som föreslås väger över till förmån för att inte införa regler om undantag för spärr för viss information. I sammanhanget anförde regeringen även följande35
Det går inte att nu göra annat än antaganden om hur många som kommer att välja att spärra uppgifter och varför eller anledningen till att patienter inte spärrar uppgifter. Den nyordning som regeringen föreslår bör därför utvärderas så snart som det finns underlag för det. Visar det sig vid en framtida utvärdering att många patienter spärrar sina uppgifter och att det leder till problem utifrån patientsäkerhetssynpunkt vad det gäller andra områden än barn som far illa, som exempelvis smitta, kan det finnas skäl att överväga ytterligare lag-
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
444
ändringar som gör undantag från den ordning som regeringen nu föreslagit.
Utredningen delar generellt regeringens uppfattning att det är viktigt att gå försiktigt fram och att det är viktigt att analysera och utvärdera effekterna av en ny lagstiftning. När det gäller det senare bedömer vi att det inte enbart är relevant att betrakta frågorna ur ett övergripande patientsäkerhets- och integritetsperspektiv, utan att det också är nödvändigt att ta hänsyn till andra aspekter som ett införande av regelverket för med sig. Det kan handla om balansen mellan kostnader och nytta, men även om regelverkets påverkan på arbetssituationen för yrkesutövarna i hälso- och sjukvården. Vidare bör hänsyn även tas till vilka praktiska möjligheterna de som ska tillämpa lagstiftningen har att omsätta lagstiftningens krav i de system som används och som ska bidra till god och säker vård. Vår utgångspunkt är även att det är nödvändigt att inte endast analysera frågan om patientens spärrmöjligheter som en isolerad fråga om ett vara eller icke vara. Vi behöver också fokusera på frågan i sak, dvs. hur ett tillfredsställande integritetsskydd övergripande bör konstrueras och konkretiseras utan att omotiverade patientsäkerhetsrisker m.m. uppstår.
Utmärkande för patientdatalagens utformning och uttalanden i förarbetena är bland annat att det inte görs någon skillnad mellan olika informationsmängder. Samtliga informationsmängder omfattas av samma legala regelverk oavsett skillnader som kan finnas i informationens betydelse för en god och säker vård eller oavsett informationens känslighet ur ett integritetsperspektiv. Inte heller gör regelverket skillnad på om uppgifter hanteras i ett omfattande journalsystem tillsammans med alla andra uppgifter om patienter eller om uppgifterna är strukturerade på ett sådant sätt att de kan t.ex. kan nås för en mindre krets yrkesutövare genom avgränsade tekniska funktioner etc. Det kan därför uppstå kollisioner mellan ett generellt tillämpligt regelverk och de mer specifika och verksamhetsnära behoven. Det är särskilt uppenbart när det gäller hanteringen av läkemedel. Vid denna hantering har man länge arbetat mot en gemensam läkemedelslista, en samlingsvy över patientens läkemedelsbehandling,
Frågan om att eventuellt begränsa patientens rätt att spärra uppgifter är komplicerad och kräver noggranna överväganden. Ur ett övergripande perspektiv delar vi den princip om självbestämmande som gällande rätt ger uttryck för. Det är på ett generellt plan högst
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
445
rimligt att patienter har möjligheter att påverka hur känsliga uppgifter hanteras och utbyts inom och utom hälso- och sjukvården. Samtidigt kan finnas skäl att överväga om skälen för detta är lika starka för all information eller om viss information i sig utgör en sådan nödvändig förutsättning för god och säker vård att den i praktiken alltid behövs för att patienten ska kunna ges den vård som är nödvändig. Uppgifter om ordinerade läkemedel är på flera sätt en sådan uppgift.
Vi har tidigare översiktligt redovisat omfattningen av läkemedelsbehandling och vilka risker och läkemedelsrelaterade problem som patienter utsätts för. Vi har även redovisat att de yrkesutövare som ska fatta bästa möjliga beslut om patienters läkemedelsbehandling många gånger gör sina ställningstaganden på osäker grund, exempelvis för att läkemedelslistorna är utspridda på olika vårdgivare eller för att de inte överensstämmer med vad patienten faktiskt har hämtat ut och tar. Samtidigt har uppmärksammats att det både på lokal, regional och nationell nivå pågår ett målmedvetet arbete med att tillhandahålla bättre förutsättningar för en säker och ändamålsenlig hantering av läkemedelsrelaterade uppgifter om patienter. Utredningen anser att det är viktigt att detta arbete kan fortsätta drivas framåt för att komma närmare målsättningen om rätt information på rätt plats i rätt tid.
Vidare är vår utgångspunkt att varje förskrivare har ett ansvar för att i varje given förskrivningssituation göra en bedömning av aktuell läkemedelsbehandling, att helheten fungerar och att den ordination som avses är ändamålsenlig och säker. Även en oförändrad ordination kan betraktas som ett ställningstagande och i princip jämställas med en ordination av given dos, styrka och behandlingstid. För att kunna ta detta ansvar krävs en samlad, korrekt och aktuell bild av patientens läkemedelsbehandling. Regeringen uttrycker bland annat följande i den nationella läkemedelsstrategin.36
Läkemedel skapar stor nytta för patienter och samhälle. Men läkemedelsanvändningen är inte problemfri. Biverkningar, olämpliga läkemedelskombinationer, feldosering, bristande följsamhet till ordinationer, oavsiktlig dubbelmedicinering och annan felaktig läkemedelsanvändning kan leda till hälsoproblem. Ett sätt att öka möjligheterna att förutse och undvika läkemedelsrelaterade problem skulle vara att patienten själv, vården och apoteket hade en samlad och gemensam bild av vilka läkemedel varje enskild patient rekommenderats och
36 Nationell läkemedelsstrategi, Handlingsplan 2014, s. 13.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
446
varför. Idag finns ingen sådan samlad bild. I stället finns informationen spridd i flera olika läkemedelslistor och register. Till exempel finns uppgift om ordinerade läkemedel i läkemedelslistor i olika journalsystem, giltiga recept i receptregistret och uppgifter om uthämtade läkemedel i Läkemedelsförteckningen. Dessa register och listor visar inte sällan olika bilder av verkligheten och de har dessutom olika regler om vem som får åtkomst till informationen. Det är inte heller säkert att någon av listorna stämmer med patientens egen bild. Detta är bakgrunden till att en nationell, samlad läkemedelslista behövs och nu skapas.
När nu hälso- och sjukvården står inför nästa steg i riktning mot en samlad läkemedelslista i form av nationell ordinationsdatabas anser utredningen att en omprövning och en omvärdering av lagstiftningens perspektiv och utgångspunkter bör göras. Den tekniska utvecklingen har gått framåt och ytterligare utveckling kommer att ske. Inte minst går utvecklingen mot inbyggda beslutsstödsliknande funktioner som kan reducera riskerna för olämpliga beslut i läkemedelsprocessen. Det kan exempelvis handla om sådana funktioner där systemet själv känner av och signalerar om en olämplig ordination är på väg att genomföras, t.ex. om det finns risker för kontraindikationer mellan läkemedel. Ett regelverk som tillåter att sådan information kan spärras som behövs för att systemet ska kunna stödja en patientsäker vård och vara kunskapsstyrande för yrkesutövarna ger också uttryck för att tillåta och ha överseende med osäkerhetsfaktorerna. För den patient som spärrat en viss läkemedelsordination får ett sådant beslutsstöd ett begränsat värde eftersom beslutsstödet inte tillåts arbeta med all relevant information. Detsamma gäller naturligtvis för de yrkesutövare som ska vägledas av beslutsstödsfunktionerna i sitt arbete. För dem blir det svårt att lita på om systemet har fått bearbeta tillräcklig och nödvändig information för att göra sin rekommendation.
Med nya och effektiva beslutsstöd har vi i dag möjligheter att låta tekniken göra sådant som vi i en manuell hantering skulle ha mycket svårt att klara av. Både resursmässigt vad gäller tid men även kunskapsmässigt med tanke på de snabba landvinningar som görs och det omfattande forskningsunderlag som kontinuerligt produceras. Att manuellt gå igenom en omfattande mängd indikatorer i patientjournaler, värdera dessa efter vetenskap och beprövad erfarenhet och samtidigt ta hänsyn till de senaste forskningsrekommendationerna för att fatta ett beslut är ingalunda en enkel
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
447
uppgift. I dag vet vi dock att tekniken kan göra mycket av detta åt oss mer eller mindre automatiskt. Men då måste uppgifterna finnas tillgängliga så att de kan bearbetas av systemet och ligga till grund för en beräkning eller rekommendation.
Denna typ av beslutsstödsfunktioner kan dessutom vara fördelaktiga ur ett integritetsskyddsperspektiv eftersom de aktuella uppgifterna hanteras av systemet och inte exponeras för yrkesutövaren på samma sätt som när motsvarande beslutsunderlag ska tas fram vid en traditionell genomgång av patientjournalen. En samlad, korrekt och aktuell bild av patientens läkemedelsbehandling utgör en begränsad del av dokumentationen i vården. Samtidigt är värdet av informationen ofta alldeles avgörande i vårdögonblicket. Vid analysen av nyttan med tillgång till informationen relaterat till risker för ökat integritetsintrång behöver därför särskild hänsyn tas till att läkemedel är en informationsmängd som är särskilt viktig för patientens liv och hälsa.
Hälso- och sjukvårdens utmaning beträffande handläggning av kroniska sjukdomar och pågående kronisk läkemedelsbehandling är avgörande för hela hälso- och sjukvårdssystemet inför framtiden. Läkemedelsrelaterade problem med åtföljande vårdkonsumtion utgör en allt större del av de samlade hälso- och sjukvårdskostnaderna. Målet och intentionen med en samlad läkemedelslista är att i varje stund kunna ge patienten en adekvat och anpassad läkemedelsbehandling som grund för en god och säker vård utifrån det tillstånd och den situation som råder. Aktuell och pågående läkemedelsbehandling ger hälso- och sjukvårdspersonalen en kvalificerad bild av aktuellt hälsotillstånd. Med detta utgångsläge möjliggörs ett effektivt medicinskt omhändertagande på en nivå där tidigare medicinska bedömningar tas tillvara, omprövas och ifrågasättas samtidigt som nya bedömningar kan adderas.
Danmark som jämförande exempel
Vid en utblick mot våra grannländer kan bland annat konstateras att Danmark sedan ett antal år tillbaka drivit utvecklingen mot en nationell, samlad läkemedelslista (Fælles Medicinkort, FMK). Det är en gemensam nationell läkemedelslista där hälso- och sjukvårdspersonal (och även socialtjänstpersonal m.fl.) elektroniskt kan ta del av en patients samtliga ordinationer. Även patienterna själva har en möjlighet att över internet ta del av sin samlade läkemedelslista.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
448
För hälso- och sjukvårdspersonal både i offentlig och privat hälso- och sjukvård finns en skyldighet att uppdatera informationen i den samlade läkemedelslistan och patienter kan inte motsätta sig att uppgifter registreras. Det finns således ingen motsvarande rätt för patienter att spärra, som det finns i patientdatalagens regelverk för sammanhållen journalföring. I Danmark är uppgifter om ordinerade läkemedel därmed alltid potentiellt tillgängliga för de behöriga yrkesutövarna.
För att exempelvis en läkare ska få ta del av uppgifterna krävs att det finns en aktuell patientrelation med patienten och att uppgifterna kan antas behövas för vården av patienten. Åtkomst till läkemedelslistan kan ske antingen genom att hälso- och sjukvårdspersonalen loggar in direkt mot FMK t.ex. genom den lösning som Sundhedsstyrelsen tillhandahåller, eller genom att vårdgivaren har integrerat FMK i sitt journalsystem. Enligt uppgifter till utredningen har alla fem hälso- och sjukvårdsregioner i Danmark utvecklat full integration mot FMK genom de lokala patientjournalsystemen.
Även om patienter i Danmark inte har rätt att motsätta sig att uppgifterna registreras i FMK finns en möjlighet för patienten att begära att en ordination ska markeras som ”privat”. Patienten kan inte själv göra detta utan det ska göras av en läkare på patientens begäran. Läkaren ska samtidigt informera patienten om eventuella konsekvenser för framtida behandlingar, så att patienten kan fatta ett informerat beslut. Normalt sett ska det vara den läkare som ordinerat läkemedlet. När annan hälso- och sjukvårdspersonal sedan tar del av patientens läkemedelslista kommer den privatmarkerade ordinationen inte att framgå i klartext, men det framgår att det finns en ordination som är privatmarkerad. Hälso- och sjukvårdspersonalen kan ta del även av den privatmarkerade uppgiften efter att ha inhämtat patientens samtycke till det. Om patienten saknar förmåga att samtycka och yrkesutövaren bedömer att uppgifterna kan vara nödvändig med hänsyn till patientens behov av vård, är det också tillåtet att ta del av en privatmarkerad ordination. Det innebär således att en privatmarkerad ordination är tillgänglig i systemet, dvs. tekniskt åtkomlig, men att särskilda villkor gäller för att en yrkesutövare lagligen ska få ta del av uppgiften.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
449
Balansen mellan olika intressen
Sammantaget finns det, enligt utredningens bedömning, starka skäl som talar för att såväl lagstiftning som andra åtgärder behöver stimulera den utveckling mot en samlad läkemedelslista som nu är på gång även i Sverige. Ett led i detta skulle kunna vara att undanta uppgifter om läkemedelsordinationer från patienternas rätt att motsätta sig sammanhållen journalföring. Samtidigt skulle det innebära ökade risker för intrång i den personliga integriteten samt inskränka patienternas rätt till självbestämmande i frågan. Det är dock viktigt att poängtera att ett undantag från dagens spärrmöjligheter inte skulle innebära en okontrollerad spridning eller användning av uppgifterna. Undantaget skulle principiellt endast innebära att uppgifterna, i likhet med vad som gäller för läkemedelsförteckningen, får vara tekniskt åtkomliga, så att det är möjligt för en yrkesutövare att ta del av dem när det i en enskild situation är lagligt. Att undanta läkemedelsordinationer från spärrmöjligheterna handlar således inte om förutsättningarna för yrkesutövare att få ta del av uppgifterna, det handlar om uppgifterna över huvud taget ska få finnas potentiellt tillgängliga.
Mot den bakgrunden kan det vara av intresse att uppmärksamma hur regeringen resonerade i en motsvarande fråga, där det precis som här handlade om begränsade informationsmängder avseende läkemedel. Regeringen uttalade bl.a. följande i propositionen till lagen om läkemedelsförteckning om behovet av en samlad bild av patientens läkemedelsbehandling.37
Regeringen konstaterar att det i nuläget inte finns någon samlad information om patientens läkemedelssituation tillgänglig. Om en förskrivare inte har den fullständiga och korrekta bilden av patientens läkemedelsförhållande klar för sig när ett läkemedel ska förskrivas utgör detta en uppenbar hälsorisk för den enskilde patienten. En brist på information om patientens läkemedelsförhållanden kan leda till över- och underförskrivning samt direkt felaktig förskrivning, vilket i sin tur kan leda till att patienten drabbas av sjukdom och lidande. --- För att skapa en aktuell och samlad information om en patients läkemedel som kan användas vid förskrivning och hantering av den enskildes läkemedel vore det lämpligt att utnyttja eller knyta an till denna registrering av uthämtade förskrivna läkemedel men spara uppgifterna under en längre tid än i dag. En sådan registrering belastar inte den förskrivande läkaren och har den fördelen att den omfattar sådana läkemedel som patienten inte bara har ordinerats utan också hämtat ut
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
450
på apoteket. Registreringen kan knytas till den enskilde patienten, dennes namn och personnummer och möjliggör en samlad, heltäckande information om patientens läkemedelsinköp oberoende av vem som har förskrivit läkemedlen och vid vilken vårdenhet det skett.
Mot denna bakgrund övervägde regeringen sedan om registreringen av uppgifter om uthämtade läkemedel skulle vara obligatorisk eller om det skulle vara beroende av patientens inställning. Det kan i detta avseende därför jämföras med frågan om patientens rättighet att spärra uppgifter från elektronisk åtkomst och motsätta sig att uppgifter om ordinationer delas mellan vårdgivare i system för sammanhållen journalföring. Vad gäller läkemedelsförteckningen menade regeringen att registret behöver vara heltäckande för att förskrivare ska kunna lita på att samtliga uthämtade läkemedel finns med i förteckningen. Regeringen anförde bland annat följande.38
Ett register, som för vissa patienter endast redovisar ett urval av de förskrivna läkemedel som hämtats ut, skulle av naturliga skäl inte fullt gå att lita på. Syftet med förteckningen skulle då vara förfelat och nuvarande problem med informationsbrist skulle kvarstå. ---- Skälen för att tillåta att uppgifterna i en läkemedelsförteckning registreras utan krav på den enskildes samtycke väger tungt. Regeringen anser därför att själva förtecknandet av uppgifterna ska få ske utan krav på den enskilde patientens samtycke. För att skydda den enskildes integritet skall dock tillgången till uppgifterna vara beroende av den enskildes samtycke.
Med avseende på uppgifter om uthämtade läkemedel har lagstiftaren således gjort bedömningen att registrering inte ska kräva patientens samtycke eller att patienten ska ha en rätt att motsätta sig registreringen. Det innebär t.ex. att uppgifter om samtliga uthämtade läkemedel kan vara tillgängliga för den förskrivare som i möten med patienter har behov av uppgifterna för att kunna ge en god och säker vård. Det faktum att patientens samtycke krävs för åtkomsten kan jämföras med det samtycke till vård som patienter lämnar och som är det som primärt grundar en rätt att ta del av uppgifter i en patientjournal.
Enligt vår uppfattning blir lagstiftarens signaler när det gäller hanteringen av läkemedelsrelaterad information splittrad. Medan patienter i enlighet med patientdatalagen ges rätt att spärra en ordination från en yrkesutövares åtkomst, har patienten inte rätt
38Prop. 2004/05:70 s. 20 ff.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
451
att motsätta sig registrering av samma information i läkemedelsförteckningen. Och eftersom yrkesutövaren får ha tillgång till uppgifter läkemedelsförteckningen på i princip samma grunder som gäller för åtkomst till patientjournalen, kan effekten av patientens spärr ifrågasättas. Den spärrade uppgiften kan ju ändå nås av yrkesutövaren, genom åtkomst till läkemedelsförteckningen, när det behövs i vården av patienten. Det kan därmed diskuteras vilken reell försvagning av patienternas integritetsskydd som det egentligen skulle vara fråga om ifall uppgifter om ordinerade läkemedel undantogs från spärrmöjligheterna.
Utredningen delar regeringens bedömning i propositionen om läkemedelsförteckningen att en läkemedelslista som inte är fullständig är av begränsat värde. Sammantaget finner vi därför att övervägande skäl talar för att uppgifter om ordinerade läkemedel bör undantas från patientens möjligheter att motsätta sig sammanhållen journalföring. Inte minst för de grupper som utredningen enligt direktivet särskilt ska fokusera på (dvs. äldre, personer med psykisk sjukdom eller funktionsnedsättning samt personer med missbruks- och beroendeproblematik) är en samlad läkemedelslista många gånger helt avgörande. För den stora och växande gruppen av äldre har situationen beskrivits ingående; flera läkemedel, stora vårdbehov och omfattande vårdkontakter. Samma faktorer kan sägas gälla många funktionshindrade.
Behovet av en samlad läkemedelista kan även vara avgörande i behandlingen av beroendesjukdomar. Utöver att förskrivningar av olika beroendeframkallande preparat visas i en läkemedelslista så syns också den totala förskrivningen samt vilka förskrivare som förekommit. Patientgruppen vid läkemedelsberoende rör sig ofta mellan olika förskrivare. Interna läkemedelistor inte ger därför inte alltid en rättvisande bild. Behandling av beroendesjukdomar innebär hanterande av det förnekande och förringande av missbruket som ingår i sjukdomsbilden. En samlad läkemedelslista möjliggör en överblick och uppföljning av förskrivningssituationen på ett mer ändamålsenligt sätt.
Förslaget innebär visserligen att patienternas självbestämmande i frågor om hur information får hanteras inom hälso- och sjukvården begränsas något jämfört med vad som är fallet i dag. Samtidigt finns patientens möjligheter att avseende all annan vårddokumentation motsätta sig en medverkan i systemet kvar. Frågan om undantag avseende uppgifter om läkemedel bör i stället närmast jämföras med vad som gäller för läkemedelsrelaterade
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
452
uppgifter i övrigt - än med vad som gäller för vårddokumentation generellt. Det något ökade intrånget i den personliga integriteten som det då är fråga om bedömer vi är motiverat med hänsyn till den nytta som förslaget innebär för förutsättningarna för kvalitet och patientsäkerhet i läkemedelsprocessen.
Även om det inte är avgörande för frågans bedömning ska det inte heller underskattas att det finns praktiska svårigheter och att det krävs omfattande resurser, både i form av utveckling och av administration av system m.m., för att implementera och förvalta spärrfunktioner i en läkemedelslista som sedan länge har byggts upp med målsättningen att vara gemensam för alla i verksamheten som möter patienten och har behov av uppgifterna. Här har bland annat tillsyn från Datainspektionen visat både på svårigheter och låg prioritering från vårdgivarna när det gäller att utveckla spärrfunktioner i läkemedelslistan. Samtidigt har inte minst från chefläkare och andra framhållits farhågor om att ett införande av spärrmöjligheter i läkemedelslistorna leder till ökade patientsäkerhetsrisker.
Vid bedömningen av om det ska vara tillåtet att spärra uppgifter om läkemedel bör hänsyn bör även tas till hälso- och sjukvårdspersonalens förutsättningar att utöva sakkunnig och omsorgsfull vård. De förväntas ta del av all relevant information för att kunna fatta bästa möjliga beslut om patientens vård och behandling. Det kan i det avseendet inte uteslutas att varje krav från lagstiftaren som gör det svårare att snabbt och säkert ta del av den information som behövs i detta syfte medför en otrygg arbetssituation och ett större mått av osäkerhet och frustration i verksamheten. Hälso- och sjukvårdspersonal har i kontakter med utredningen vittnat om att det i dag finns en generell osäkerhet om den informationshantering som görs i och för vården av patienterna. Bland annat har lyfts fram att yrkesutövare möter ett gränssnitt i journalsystemen där det ställs höga krav på att navigera rätt för att få fram den information som behövs.
Vi bedömer att det generellt, och särskilt vad gäller läkemedel, finns ett behov av att gå ifrån en modell där informationen ska delas upp efter organisatorisk tillhörighet till en modell där informationen kan presenteras efter användarens behov. Dagens korta vårdtider och många övergångar i vårdkedjan förutsätter en ändamålsenlig informationshantering där korrekta uppgifter kan nås av behörig hälso- och sjukvårdspersonal på ett säkert och enkelt sätt. Förslaget att ta bort spärrmöjligheterna för uppgifter
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
453
om ordinerade läkemedel är en av flera åtgärder som vi bedömer har betydelse för att stödja en sådan utveckling.
Sammanfattningsvis syftar förslaget i allt väsentligt till att förbättra resultatet för patienter som är i behov av läkemedel och till att reducera de stora risker som i dag finns för patienter att drabbas av läkemedelsrelaterade problem som leder till ökad ohälsa och lägre livskvalitet. Vi är medvetna om att det därutöver krävs ett antal olika åtgärder som alla samspelar med varandra för att patienter i praktiken ska kunna dra nytta av de möjligheter som lagstiftningen ger. Vad dessa åtgärder kan bestå i berörs längre fram.
Närmare om vårt förslag
Mot bakgrund av vad som redovisats ovan föreslår vi således att uppgifter om läkemedelsordinationer ska vara undantagna från patientens rätt att motsätta sig att uppgifter görs tillgängliga i system för sammanhållen journalföring och mellan vårdgivare som bedriver verksamhet som samma huvudman ansvarar för. Det innebär i praktiken, precis som för läkemedelsförteckningen, att uppgifterna får dokumenteras och vara potentiellt tillgängliga för andra vårdenheter och andra vårdgivare utan att patienten kan motsätta sig det. För att någon ska få ta del av uppgifterna krävs dock att de grundläggande förutsättningarna för åtkomst till patientuppgifterna är uppfyllda.
Vid sammanhållen journalföring får åtkomsten till uppgifter om ordinerade läkemedel således ske under samma förutsättningar som gäller för åtkomst till andra uppgifter om patienten. Det innebär bl.a. att åtkomst till uppgifterna i system för sammanhållen journalföring i praktiken får användas om det finns en aktuell patientrelation och uppgifterna kan antas behövas för den aktuella vården av patienten. Precis som vid all hälso- och sjukvård gäller naturligtvis att patienten har samtyckt till vården eller att vården i annat fall har stöd av lag. Genom att tydliggöra att det är patientens behov av och samtycke till hälso- och sjukvårdsinsatser som är utgångspunkten för informationsinhämtningen uppnås i praktiken en överenstämmelse mellan förutsättningarna för att ge vård och för att ta del av den information som behövs för att kunna ge den aktuella vården med hög kvalitet och säkerhet.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
454
Även för sådan åtkomst inom och mellan vårdgivare som bedriver verksamhet som samma huvudman ansvarar för ska åtkomsten till uppgifter om ordinerade läkemedel ske enligt samma förutsättningar som gäller för övriga ospärrade uppgifter. Det innebär att åtkomsten till uppgifterna bara är tillåten i förhållande till patienter som är aktuella i den egna verksamheten och om uppgifterna behövs för arbetets utförande.
Sammantaget innebär detta att yrkesutövares åtkomst till uppgifter om ordinerade läkemedel i patientjournaler i praktiken kommer att vara tillåten under samma förutsättningar som gäller för åtkomst till motsvarande uppgifter i läkemedelsförteckningen eller i receptregistret avseende dospatienter. De olika regelverken rörande hantering av läkemedelsrelaterade uppgifter om patienter skulle då i praktiken komma att harmoniseras och ge uttryck för samma värdering av nyttan av att hålla information tillgänglig och behovet av att tillåta åtkomst endast när det är befogat.
En möjlig framtida konsekvens av förslagen kan vara att den i dag tillåtna åtkomsten till uppgifter om dosrecept i receptregisterlagen inte kommer att behöva användas. Om hälso- och sjukvårdens aktörer fortsätter utvecklingen mot en samlad, nationell läkemedelslista i likhet med vad som är fallet i Danmark, kommer denna läkemedelslista att innehålla de uppgifter som i dag tillhandahålls samlat i receptregistret. Om en sådan utveckling realiseras kommer det därför inte längre att finnas behov av åtkomst till receptregistret. Detta förutsätter, precis som ambitionen är i Danmark, att alla som ordinerar läkemedel använder samma verktyg, dvs. den samlade nationella läkemedelslistan, för att journalföra och/eller presentera ordinationerna. Ytterligare aspekter kring vikten av att alla vårdgivare arbetar mot samma samlade läkemedelslista berörs längre fram.
I praktiken medför förslagen, enligt vår bedömning, även väsentligt bättre förutsättningar att utforma ett användargränssnitt som samlat kan ge svar både på patientens ordinerade och på patientens uthämtade läkemedel. Hälso- och sjukvårdsdatalagen skulle åtminstone inte ställa upp några hinder mot att uppgifter om ordinerade läkemedel presenteras i en samlad lista oavsett om uppgifterna är dokumenterade hos en eller flera vårdgivare. Till det skulle det också, när förutsättningarna för åtkomst enligt läkemedelsförteckningen är uppfyllda, vara möjligt att i samma gränssnitt få svar på om läkemedlet är uthämtat och om det i sådana fall är utbytt. För läkemedel som har blivit utbytta skulle i och för sig
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
455
motsvarande information kunna tillföras patientjournalens läkemedelslista om en mer ändamålsenlig och elektronisk funktion för återrapporteringsskyldigheten enligt lagen om läkemedelsförmåner togs fram. Denna informationskälla är dock inte fullständig eftersom den saknar information om läkemedel som inte har bytts ut men väl hämtats ut av patienten.
Utredningen har därutöver övervägt om det skulle vara lämpligt med motsvarande lösning som i Danmark, dvs. att patienten ges en möjlighet att ”privatmarkera” en ordination. Det finns emellertid ett antal skillnader mellan förhållandena i Sverige och Danmark, som även påverkar bedömningen av lämpligheten av en sådan lösning. En skillnad är exempelvis att det generellt är fler yrkeskategorier som tillåts ha åtkomsten till den samlade läkemedelslistan i Danmark än vad som är fallet i Sverige, t.ex. viss socialtjänstpersonal. Även om en sådan lösning i och för sig skulle kunna vara ett sätt för att uppväga de ökade risker för integritetsintrång som kan uppstå, ser vi samtidigt att det i praktiken förutsätter ett nationellt system för hantering av uppgifter om ordinerade läkemedel. Medan Danmark har en författningsreglerad hantering av uppgifter i en gemensam läkemedelslista, bygger motsvarande utveckling i Sverige på vårdgivares frivillighet och på regleringarna rörande läkemedelsförteckningen och receptregistret. Att i en sådan situation föreslå en särskild lösning endast för vårdgivares hantering av uppgifter om ordinerade läkemedel i vårddokumentationen vore en tveksam lösning. Förutom att det även framöver skulle bidra till att upprätthålla inkongruensen mellan åtkomst till uppgifter i en patientjournal och åtkomst till uppgifter i läkemedelsförteckningen, kan det heller inte uteslutas att det skulle medföra praktiska svårigheter för vårdgivarna att utforma ändmålsenliga IT-system. Med det sagt kan emellertid en annan bedömning vara påkallad om utvecklingen framöver, även vad gäller lagstiftningen, tar en liknande riktning som exempelvis i Danmark.
Vad är uppgifter om ordinerade läkemedel?
För att vårt förslag ska vara praktiskt genomförbart är det nödvändigt att definiera vilken information som ska omfattas av undantaget från spärreglerna. Enligt vår bedömning bör detta även framgå av hälso- och sjukvårdsdatalagen.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
456
Vid en jämförelse med läkemedelsförteckningens information om uthämtade läkemedel kan konstateras att följande uppgifter, enligt 4 § lagen om läkemedelsförteckning, får registreras.
1. Inköpsdag, vara, mängd, dosering,
2. den registrerades namn och personnummer, samt
3. förskrivarens namn, yrke, specialitet och arbetsplats.
När det gäller receptregistret får enligt 8 § receptregisterlagen följande uppgifter registreras.
1. Inköpsdag, vara, mängd, dosering, kostnad och kostnadsreducering,
2. förskrivningsorsak,
3. patientens namn, personnummer och folkbokföringsort samt
postnumret i patientens bostadsadress,
4. förskrivarens namn, yrke, specialitet, arbetsplats, arbetsplatskod
och förskrivarkod,
5. samtycke, och
6. administrativa uppgifter.
För att komma fram till hur uppgift om ordinerade läkemedel bör definieras och avgränsas kan även bestämmelserna om krav på patientjournalens innehåll vara vägledande. Av de grundläggande bestämmelserna i patientdatalagen följer att journalen ska innehålla de uppgifter som behövs för en god och säker vård av patienten. Detta konkretiseras sedan något och av 3 kap. 6 § andra stycket PDL framgår att om uppgifterna finns tillgängliga ska en patientjournal alltid innehålla bl.a. uppgifter om bakgrunden till vården, uppgifter om diagnos samt väsentliga uppgifter om vidtagna och planerade åtgärder. Enligt utredningens bedömning måste det redan av patientdatalagen anses följa ett krav på att journalen innehåller sådan information som t.ex. vilket läkemedel som ordinerats, i vilken mängd, med vilken dosering och varför läkemedlet ordinerats. Detta förtydligas även i Socialstyrelsens föreskrifter SOSFS 2008:14, där det i 3 kap. 6 § bland annat uttryckligen ställs krav på att en patientjournal ska innehålla uppgifter om ordinationer av läkemedel och uppgifter om förskrivningsorsak vid ordination av läkemedel. I
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
457
Socialstyrelsens handbok med ytterligare tillämpningsanvisningar kring föreskrifterna framgår bland annat följande.
Ordination av läkemedel och olika behandlingar ska dokumenteras i patientjournalen. När det gäller ordinerade läkemedel ska förskrivningsorsaken noteras tillsammans med namn på preparatet, läkemedelsform, styrka, dosering, administrationssätt, tidpunkt för administrering och eventuell iterering.
Ovanstående återfinns även i Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2000:1) om läkemedelshantering i hälso- och sjukvården. Av 3 kap. 7 § följer bland annat att en läkemedelsordination ska innehålla uppgifter om läkemedlets namn, läkemedelsform, styrka, dosering, administrationssätt och tidpunkterna för administrering.
Mot bakgrund av ovanstående finner vi sammantaget att det i begreppet ”uppgifter om ordinerade läkemedel” och som föreslås vara undantaget från patientens spärrmöjligheter får inrymmas följande.
-Ordinationsorsak
-Läkemedlets namn
-Läkemedlets form
-Mängd
-Dosering
-Administrationssätt
-Tidpunkter för administrering
Ovanstående uppgifter utgör därmed den yttersta ram för vilka uppgifter som patienten inte har en rätt att spärra. Eftersom det är svårt och ibland olämpligt att direkt i lagstiftning vara alltför precis är detta även ett område som ytterligare kan behöva preciseras genom föreskrifter från Socialstyrelsen. Sannolikt kan således finnas behov av att även definiera några av begreppen ovan. Det görs emellertid, enligt utredningens bedömning, med fördel på den föreskrivande myndighetens nivå än direkt i lag. När utredningen har övervägt uppgiften om ordinationsorsak har vi närmast avsett ”omständighet som ordinatör anger som skäl för ordination”.39
39 Jfr CeHis, Projekt för dokumentation av ordinationsorsak och analys av samspel med närliggande kunskapsstöd, s. 26.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
458
Samtidigt ser vi inga hinder för att i det avseende som är aktuellt här, låta ordinationsorsak även omfatta både insättningsorsak, ändringsorsak och utsättningsorsak. Sett mot bakgrund av syftet med utredningens förslag är det även helt naturligt. Detta eftersom ordinerande åtgärder i sig kan utgöras både av insättning av en behandling och av ändring eller utsättning av behandlingen. Särskilt torde vissa utsättningsorsaker kunna vara väldigt viktiga att känna till för en patientsäker läkemedelsbehandling, inte minst de orsaker som har att göra med sådant som allvarliga biverkningar, uteblivna effekter. Utebliven information medför risker för patienter eftersom det ökar sannolikheten för att samma läkemedel kan komma att ordineras ännu en gång. Orsaken till att en ordination förändras eller sätts ut ska dokumenteras i patientjournalen precis på samma sätt som själva ordinationsorsaken ska dokumenteras. Även sett mot den bakgrunden finns det övervägande skäl som talar för att de olika informationsmängderna bör hanteras på samma sätt i den föreslagna hälso- och sjukvårdsdatalagen. En samlad, korrekt och aktuell bild av patientens läkemedelsbehandling bör således även ge svar på varför en ordination ändrats eller satts ut.
Vidare bedömer vi att det kan finnas fördelar om ordinationsorsaken anges som en kod utifrån medicinska klassifikationer. Förutom att en strukturerad journalföring i denna del skulle reducera riskerna för missförstånd och samtidigt öka möjligheterna till uppföljning och kvalitetssäkring, innebär medicinska klassifikationer ett visst integritetsskydd i jämförelse med om uppgifterna anges exempelvis i fritext. Ytterligare en omständighet i sammanhanget är att receptregistret får innehålla uppgift om ordinationsorsak (förskrivningsorsak), men endast om det anges med en kod. Ett nationellt kodverk för ordinationsorsaker skulle då ge förutsättningar för en enhetlig hantering oavsett om uppgifterna dokumenteras i en patientjournal eller registreras i receptregistret. Socialstyrelsen har på regeringens uppdrag inlett ett arbete med att ta fram koder för ordinationsorsak bl.a. av dessa skäl. I det arbetet har även påbörjats ett arbete med att möjliggöra dokumentation av ordinationsorsak med en kod i den samlade, nationella läkemedelslistan, NOD.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
459
15.7.4 Ändringar som görs på apotek
Vår bedömning: Det bedöms möjligt för apoteksaktörerna att
inom ramen för gällande rätt lämna ut information till vårdgivare i hälso- och sjukvården om sådana ändringar i receptinformationen som görs på apotek på begäran av förskrivaren. Sådana ändringar som görs på begäran av patienten bör kunna lämnas ut under förutsättning att patienten samtycker till det. Utlämnandet bör kunna göras elektroniskt i enlighet med apoteksdatalagen.
När patienter hämtar ut läkemedel på apotek händer det ibland att den utlämnande farmaceuten gör ändringar i den aktuella receptinformationen, dvs. i det som ordinerats av en förskrivare. Utredningen har blivit varse om att det finns en osäkerhet om det är möjligt för apoteksaktörerna att kommunicera de vidtagna ändringarna till vårdgivare i hälso- och sjukvården, t.ex. så att patientens läkemedelslista kan kompletteras med information och därmed överensstämma med det som registrerats i receptregistret.
Såvitt utredningen förstår görs i dag sådana förändringar antingen på ordinatörens uppdrag eller på patientens uppdrag. Enligt uppgift är det som görs på ordinatörens uppdrag följande.
1. ”skapa ordination”, dvs. registrera en läkemedelsordination
2. ”sätta ut ordination”, dvs. registrera en utsättning
3. ”korrigera ordination”, dvs. registrera en korrigering av t.ex.
doseringstext eller andra enstaka fält
4. ”makulera ordination”, dvs. ta bort det registrerade receptet
5. ”förlänga ordination”, dvs. förlänga receptets giltighetstid
När det gäller ändringar som görs på patientens uppdrag är det enligt uppgift följande som kan göras av farmaceut på apotek.
1. ”skapa ordination”, dvs. registrera en läkemedelsordination som
kommer med pappersrecept
2. ”makulera ordination”, dvs. ta bort det registrerade receptet
3. ”skriva ut receptoriginal”, dvs. omvandla ett elektroniskt recept
till ett pappersrecept så att det inte sparas elektroniskt
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
460
En fråga utredningen har försökt få svar på är varför förändringar görs på det beskrivna sättet. Det besked vi då har fått är att det har att göra med det faktum att vi i Sverige både arbetar med ordinationer och med recept. De förändringar som görs i detta led syftar därför i första hand till att korrigera det recept, dvs. beställningen, som förskrivits och som ger patienten en möjlighet att på apoteket hämta ut det som omfattas av receptet.
När hälso- och sjukvården nu är på väg mot en samlad, nationell läkemedelslista har önskemål väckts om att de ovan angivna förändringarna ska kommuniceras tillbaka till vårdgivaren för att på sådant sätt kunna komplettera den samlade läkemedelslistan. Om så inte görs befaras att läkemedelslistan kommer att visa upp viss information och receptregistret en annan, trots att det avser samma läkemedelsordination. Utredningen kan emellertid inte helt se att det scenariot nödvändigtvis behöver inträffa. Det kan exempelvis antas att förskrivare som arbetar i en samlad, nationell läkemedelslista även kommer att ha egna möjligheter att vidta de aktuella förändringarna direkt i ordinationsverktyget.
Under en övergångsperiod när ordinationsverktyget inte används av samtliga förskrivare kvarstår dock, såvitt vi kan bedöma, ett behov för ordinatören att kontakta apoteket och be att receptet förändras på önskat sätt. Enligt utredningens bedömning ska en sådan åtgärd från ordinatören journalföras. Detta omfattas av den grundläggande skyldigheten att föra patientjournal och att dokumentera uppgifter om ordinerade läkemedel. Kraven gäller oavsett om förändringarna görs av farmaceuten på begäran av förskrivaren eller om förskrivaren kan göra ändringarna själv på ett sådant sätt att de slår igenom i recepthandlingen som ligger till grund för patientens möjlighet att hämta ut läkemedel. Kraven på journalföring omfattar av naturliga skäl inte sådana ändringar som görs på begäran av patienten i dennes kontakter med apoteket. Dessa har förskrivaren normalt sett ingen kännedom om.
I viss utsträckning synes detta därmed vara en fråga av mer praktisk karaktär. Den praktiska frågan handlar om journalföringen skulle kunna underlättas genom att farmaceuten på apotek kommunicerar de vidtagna ändringarna ifall förskrivaren inte själv har använt ett ordinationsverktyg som möjliggör såväl journalföring som förändring av receptet. En sådan ordning skulle innebära att en förskrivare som, t.ex. via en telefonkontakt med apoteket, begär en förändring inte skulle behöva notera detta själv i patientjournalen utan i stället ta emot den registrerade informa-
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
461
tionen från apoteket och låta den komplettera patientens journal. Naturligtvis kan det finnas fördelar med en sådan lösning, bland annat eftersom den innebär att uppgifterna bara behöver dokumenteras en gång på ett ställe och sedan kommuniceras till mottagaren. Vidare kan datakvaliteten öka genom att riskerna för divergerande informationsmängder minskar jämfört med om två olika personer ska dokumentera uppgifterna var för sig och i olika it-stöd.
För att kunna realisera ett sådant arbetssätt krävs dock att den rådande lagstiftningen inte hindrar den aktuella kommunikationen, dvs. utlämnandet av uppgifter från apotek till den vårdgivare där förskrivaren är verksam. Eftersom det i dessa fall är apoteksaktörerna som dokumenterar och skulle kommunicera informationen med vårdgivare i hälso- och sjukvården är det primärt apoteksdatalagens bestämmelser som behöver analyseras.
I sammanhanget kan samtidigt konstateras att informationen om de aktuella ändringarna redan i dag kan vara åtkomliga för legitimerad hälso- och sjukvårdspersonal. Det gäller dock endast rörande patienter som får dosdispenserade läkemedel. Med avseende på dessa patienter har hälso- och sjukvårdspersonal en möjlighet att ta del av uppgifterna genom direktåtkomst till receptregistret. Men även om själva åtkomsten kan tillgodose behovet av information rörande dosrecept, kvarstår enligt utredningens uppfattning ett krav på att informationen journalförs i hälso- och sjukvården. Detta gäller förstås endast sådana förändringar som görs på förskrivarens uppdrag.
Grundfrågan om de legala möjligheterna att kommunicera informationen från apoteket till vårdgivare i hälso- och sjukvården är därmed, ur ett journalföringsperspektiv, lika relevant alldeles oavsett om det rör dosdispenserade läkemedel eller andra läkemedel.
Apoteksdatalagen reglerar som tidigare nämnts personuppgiftsbehandlingen hos öppenvårdsapoteken. Av 6 § följer bland annat att sådan behandling av personuppgifter som är tillåten enligt lagen får utföras även om den enskilde motsätter sig behandlingen. I andra stycket samma paragraf anges att behandling av person-
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
462
uppgifter som inte är tillåten enligt lagen ändå får utföras om den enskilde har lämnat ett uttryckligt samtycke till behandlingen.
I 8 § finns en uppräkning över tillåtna ändamål för öppenvårdsapotekens personuppgiftsbehandling. Det kan konstateras att behandling av personuppgifter för att kommunicera (lämna ut) förändringar i recept som begärs av förskrivare i hälso- och sjukvården inte återfinns i ändamålsbestämmelsen. Det framgår dock av bestämmelsen att apoteken får behandla sådana uppgifter. I själva verket innebär den hänvisning som finns i 8 § punkten 2 apoteksdatalagen att det föreligger en skyldighet för apoteket att behandla personuppgifterna och lämna ut dem till eHälsomyndigheten. Detta följer av 2 kap. 6 § punkten 5 lagen (2009:366) om handel med läkemedel, som ålägger apoteken att vid expediering av en förskrivning lämna de uppgifter som anges i 8 § receptregisterlagen till eHälsomyndigheten.
Att det ändamål för personuppgiftsbehandlingen som här är aktuellt, dvs. utlämnande till vårdgivare i hälso- och sjukvården, inte uttrycks i lagens ändamålsbestämmelse behöver dock inte innebär att den är otillåten att genomföra. Av 9 § apoteksdatalagen följer nämligen, genom en hänvisning till personuppgiftslagen, en möjlighet att behandla personuppgifter för andra ändamål än de som räknas upp i ändamålsbestämmelsen så länge som det nya ändamålet inte är oförenligt med det ursprungliga. Detta är ett uttryck för personuppgiftslagens finalitetsprincip och innebär enligt utredningens bedömning att det får anses vara tillåtet att behandla personuppgifter för att, till vårdgivare i hälso- och sjukvården, lämna ut uppgifter om sådana förändringar som vidtagits på begäran av ordinatören. Det saknas enligt utredningens bedömning skäl att inte tillåta en sådan personuppgiftsbehandling i dessa fall när själva behandlingen görs på initiativ av ordinatören själv. Ett utlämnande av uppgifterna bedöms därmed inte som oförenligt med det ändamål för vilka uppgifterna samlades in.
Av 11 § apoteksdatalagen följer sedan att en personuppgift som får lämnas ut, får lämnas ut på medium för automatiserad behandling. Förutsättningarna för att personuppgiften ska få lämnas ut är dels att det måste vara en tillåten personuppgiftsbehandling, dels att utlämnandet inte får hindras av bestämmelser om tystnadsplikt. Att det är en tillåten personuppgiftsbehandling har redan konstaterats. Inte heller kan reglerna om tystnadsplikt anses förhindra ett sådant utlämnande som det här är fråga om. Detta eftersom utlämnandet inte görs till någon som inte redan äger kännedom om uppgifterna.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
463
Det är i själva verket endast fråga om ett utlämnande som bekräftar den begäran som förskrivaren framfört till farmaceuten på apoteket.
Utöver detta krävs att utlämnandet görs på ett sådant sätt att de grundläggande kraven på it-säkerhetsåtgärder är uppfyllda. Vilka dessa krav är i praktiken, beror på hur informationsöverföringen arrangeras. Om uppgifterna överförs över öppet nät, t.ex. Internet eller Sjunet, måste uppgifterna vara krypterade och mottagarna vara identifierade genom stark autentisering, exempelvis SITHS-kort.
Det finns sannolikt ett antal olika tillvägagångssätt för att arrangera den aktuella informationsöverföringen på ett sådant sätt att informationen säkert och ändamålsenligt kan komplettera patientjournalen. I sammanhanget är det dock viktigt att poängtera att informationsöverföringen inte innebär att farmaceuten på apoteken för patientjournal. Att apoteksaktörerna med hjälp av den tekniska utvecklingen elektroniskt kan bidra med uppgifter som sedan kan komplettera en patientjournal i hälso- och sjukvården innebär inte att apoteksaktörerna för patientjournal eller att de har någon ovillkorlig möjlighet att bidra med uppgifter till en patientjournal. Det innebär endast att vårdgivaren i sina rutiner för att inhämta den information som behövs för en god och säker vård tillhandahåller definierade möjligheter för apoteksaktörerna att bidra med viktig information. Det formella ansvaret för journalanteckningar och att journal förs ligger därmed alltid på vårdgivaren och den yrkesutövare som svarar för anteckningen. Detta kan jämföras med andra situationer där vårdgivare inhämtar uppgifter från olika källor för att uppgifterna behövs i vården av patienter. Ett sådant exempel är sådana uppgifter som patienterna själva bidrar med t.ex. genom att fylla i elektroniska formulär som sedan bidrar till patientjournalens innehåll. Ur ett journalföringsperspektiv är det ingen egentlig skillnad mellan t.ex. en uppgift som förut inkom på papper och tillfogades journalen och en uppgift som lämnas in elektroniskt och tas om hand elektroniskt i journalen.
Vad gäller det informationsutbyte som här är aktuellt är det upp till de berörda parterna att hitta närmare former för informationsöverföringen som tillgodoser såväl kraven på säkerhet för personuppgifterna som kraven på journalföring m.m.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
464
Förändringar som görs på patientens begäran
När det gäller sådana förändringar som görs på begäran av patienten själv kan det möjligen finnas skäl att anlägga ett annat synsätt än vad som redovisats ovan. Det finns ett antal principiella skillnader mellan en ändring som görs på begäran av förskrivaren och en ändring som görs på begäran av patienten. I det senare fallet har det nödvändigtvis inte förekommit någon kontakt eller dialog om saken mellan patient och förskrivare. Det kan därmed vara något som patienten själv råder över och har fattat beslut om. Andra skillnader har att göra med de ändringar som patienten faktisk kan begära och hur de korresponderar med journalföringen.
Den första ändringen patienten kan begära innebär att apoteksaktörerna kan elektroniskt registrera ett pappersrecept. Detta är egentligen ingen ny ordination ur ordinatörens synvinkel, bl.a. eftersom det endast bekräftar vad som ordinerats. Dessutom ska denna ordination redan vara införd i patientjournalen i enlighet med de krav som gäller för journalföring. Motsvarande resonemang kan även föras med den tredje ändringen som patienten kan begära och som redovisats ovan, dvs. att omvandla ett elektroniskt recept till ett pappersrecept så att det inte sparas elektroniskt. För ordinatörens del har ordinationen inte förändrats utan överensstämmer med vad som ska vara dokumenterat i patientjournalen.
Till skillnad mot ovanstående kan emellertid patientens begäran om att ett recept ska makuleras vara sådan information som ordinatören inte har och som kan vara viktig att känna till. Visserligen kan en åtkomst till läkemedelsförteckningen ge ordinatören svar på om läkemedlet hämtats ut eller inte. I läkemedelsförteckningen framgår emellertid inte om receptet makulerats och därmed inte längre är möjligt att lägga till grund för ett uthämtande.
Någon skyldighet för patienter eller för apoteksaktörerna att underrätta ordinatören om att ett recept har makulerats finns inte i dag. Vidare får bedömas att ett utlämnande av en sådan uppgift, utan patientens samtycke, kan anses strida mot bestämmelserna om tystnadsplikt. Mycket talar för att ett sådant utlämnande skulle bedömas som obehörigt röjande av en uppgift som omfattas av apotekspersonalens tystnadsplikt. Såvitt utredningen kan bedöma skulle ett sådant utlämnande av uppgifter från apoteket till vårdgivaren där förskrivaren är verksam således kräva patientens samtycke. Ett sådant samtycke bör då omfatta såväl frågan om
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
465
utlämnandet som frågan om den personuppgiftsbehandling som utlämnandet innebär.
15.7.5 Uttag av läkemedel som görs utomlands ska registreras i Läkemedelsförteckningen
Vårt förslag: Lagen om läkemedelsförteckning ska tydliggöras
på sådant sätt att köp av läkemedel som förskrivits i Sverige ska registreras i förteckningen även om köpet har ägt rum utomlands.
Vår bedömning: Förslaget syftar till att tydliggöra att lagstift-
ningen är anpassad till de nya möjligheterna patienter har att hämta ut recept på apotek i andra länder. För att läkemedelsförteckningen ska vara ändamålsenlig i förhållande till sitt syfte behöver alla köp av läkemedel som förskrivits i Sverige finnas med i registret.
Det är i dag möjligt att hämta ut läkemedel som förskrivits i Sverige i vissa andra länder i Europa. Vi har bland annat i avsnitt 34 uppmärksammat det gemensamma utvecklingsarbete som bedrivits på EU-nivå och nationellt inom ramen för Epsos. När det gäller de närmare förutsättningarna för att hämta ut receptförskrivna läkemedel i andra länder hänvisas därför till det nämnda avsnittet.
Den nya utvecklingen medför att läkemedel som tidigare både förskrivits och hämtats ut i Sverige, i viss utsträckning i framtiden kommer att hämtas ut i andra länder. Syftet med läkemedelsförteckningen är att registrera samtliga köp av förskrivna läkemedel så att informationen bland annat kan användas av svenska förskrivare för att åstadkomma en säker framtida förskrivning av läkemedel för patienten och för att fatta beslut om patientens vård och behandling samt för att vid behov komplettera patientens patientjournal. För att läkemedelsförteckningen ska kunna leva upp till sitt syfte är det nödvändigt att alla köp av förskrivna läkemedel registreras i förteckningen. Det är i det sammanhanget oväsentligt om patienten hämtat ut läkemedlet på ett apotek i Sverige eller på ett apotek i ett annat land.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
466
I propositionen till lagen om läkemedelsförteckning anförde regeringen bland annat följande med avseende på vikten av ett heltäckande register.40
Ett register, som för vissa patienter endast redovisar ett urval av de förskrivna läkemedel som hämtats ut, skulle av naturliga skäl inte fullt gå att lita på. Syftet med förteckningen skulle då vara förfelat och nuvarande problem med informationsbrist skulle kvarstå.
Regeringens bedömning gör sig enligt utredningen gällande även på den här aktuella frågan om registrering i läkemedelsförteckningen av läkemedel som förskrivits i Sverige men hämtats ut utomlands. Utredningens bedömning är att det ur flera perspektiv är olyckligt om läkemedelsförteckningen inte innehåller uppgifter om samtliga uthämtade läkemedel, oavsett var de hämtas ut. Förutom att informationskällan inte längre skulle bli fullständig och inte på samma sätt kunna ligga till grund för kvalificerade bedömningar om patientens vård och läkemedelsbehandling, skulle det ur ett övergripande perspektiv missgynna patienter som väljer att hämta ut läkemedel under vistelse i andra länder. Med ökad patientrörlighet över nationsgränserna och ökat samarbete mellan hälso- och sjukvårdsaktörer i olika länder kan problemet dessutom befaras bli större. Vidare skulle det även kunna ge upphov till missförstånd i kommunikationen mellan exempelvis en förskrivare och patienten. Detta eftersom det i läkemedelsförteckningen skulle se ut som om patienten inte har hämtat ut läkemedlet över huvud taget.
Enligt utredningens bedömning framgår det inte av lagen om läkemedelsförteckning att det enbart är läkemedel som köps i Sverige som ska registreras. Men vi bedömer ändå att det kan finnas ett behov av att förtydliga att alla köp av läkemedel ska registreras oavsett var köpet genomförs.
Vi föreslår därför att lagen om läkemedelsförteckning förtydligas på ett sådant sätt att det framgår att köp av läkemedel som förskrivits i Sverige ska registreras i läkemedelsförteckningen även om köpet ägt rum i ett annat land.
Såvitt utredningen kan bedöma finns inget hinder i gällande rätt mot att registrera de aktuella uppgifterna i receptregistret, varför en ändring i den lagstiftningen inte behövs. Det innebär exempelvis att expedierande personal på apotek kommer att kunna se att ett en expediering har skett utomlands. Med vårt förslag harmoniseras
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
467
förutsättningarna för personuppgiftbehandling i receptregistret och läkemedelsförteckningen i denna del.
15.7.6 Bevarande och gallring av uppgifter
Vår bedömning: Nuvarande bestämmelser om bevarande och
gallring av uppgifter enligt, receptregisterlagen, lagen om läkemedelsförteckning och gällande patientdatalag bör kvarstå oförändrade respektive föras över till hälso- och sjukvårdsdatalagen.
Regeringen framhåller i direktivet till utredningen att om det ska vara möjligt att få en så samlad och aktuell bild av en enskilds läkemedelsordinationer som möjligt, behöver även bestämmelser i relevant lagstiftning om lagring och gallring av uppgifter i journaler och register harmoniseras så att inte kraven på gallring skiljer sig åt för uppgifter som bör hanteras samlat.
Inledningsvis kan konstateras att det i dag gäller olika krav på bevarande och gallring av uppgifter enligt patientdatalagen, receptregisterlagen och lagen om läkemedelsförteckning. För hälso- och sjukvårdens del gäller enligt patientdatalagen som huvudregel ett krav att bevara journalhandlingar i tio år efter det att den sista uppgiften fördes in i handlingen. Detta innebär exempelvis att uppgifter om ordinerade läkemedel som förts in i patientjournalen, t.ex. i läkemedelslistan, ska bevaras i minst tio år. För journalhandlingar som utgör allmänna handlingar gäller även arkivlagen (1990:782) samt sådana bestämmelser som meddelats med stöd av den lagen.
För uppgifter om dosrecept i receptregistret gäller enlig 19 § receptregisterlagen att uppgifter som kan hänföras till enskilda personer ska tas bort ur registret under den femtonde månaden efter den under vilken de registrerades.
Av 9 § lagen om läkemedelsförteckning följer att uppgifterna ska tas bort ur förteckningen under den femtonde månaden efter den månad uppgifterna registrerades.
Utredningen kan konstatera att bestämmelserna om bevarande och gallring i de olika regelverken syftar till att möta olika behov. Medan uppgifter i patientjournaler generellt behöver bevaras en längre tid för att kunna användas t.ex. i vården av patienter har motsvarande uppgifter inte bedömts behöva sparas lika länge för de
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
468
behov som primärt ska tillgodoses i receptregistret och läkemedelsförteckningen. Sett mot den bakgrunden ser utredningen inget generellt behov av exempelvis att förlänga bevarandetiden i receptregistret eller läkemedelsförteckningen. Något behov för apoteksmarknadens aktörer att ha tillgång till uppgifter i receptregistret och läkemedelsförteckningen under en längre tid än vad som är tillåtet i dag, har vi inte kunnat styrka. Inte heller bedömer vi att uppgifterna i de två registren ska bevaras under en längre tid för ändamål som hänför sig till behov inom hälso- och sjukvården.
Hälso- och sjukvårdens behov av information om patienters läkemedelsbehandling är primärt avsett att tillgodoses genom journalföringen och de möjligheter till utbyte av vårddokumentation som finns inom och mellan vårdgivares verksamheter. Det torde därför snarare handla om att utveckla ändamålsenliga funktioner för informationsinhämtning från receptregistret och läkemedelsförteckningen och för den åtföljande kompletteringen av patientjournalen. I sådant fall kommer de uppgifter som behövs i och för vården av patienter att finnas i vårddokumentationen och vara tillgänglig för behörig personal i hälso- och sjukvården.
Vi bedömer inte heller att nuvarande gallringsbestämmelser utgör ett hinder mot att skapa en nationell, samlad bild av patientens läkemedelsbehandling.
15.7.7 Farmaceuters tillgång till läkemedelsförteckningen
Vårt förslag: Farmaceuter som arbetar i hälso- och sjukvården
ska med den enskildes uttryckliga samtycke kunna få åtkomst till den enskildes uppgifter i läkemedelsförteckningen. Uppgifterna ska få användas för att åstadkomma en säker framtida förskrivning av läkemedel för den enskilde, komplettera den enskildes patientjournal eller underlätta den enskildes läkemedelsanvändning.
Inledning
Läkemedelsförteckningen innehåller som tidigare redovisats uppgifter om samtliga läkemedel som patienter under den senaste 15månadersperioden har hämtat ut på apotek. Registret hanteras av eHälsomyndigheten, som även är personuppgiftsansvarig för registret.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
469
I förteckningen samlas viss information om en individs uthämtade läkemedel, oavsett vem som har förskrivit läkemedlet. Den information som får finnas i registret är inköpsdag, vara, mängd, dosering, patientens namn och personnummer samt förskrivarens namn, yrke, specialitet och arbetsplats. Registreringen i registret är tvingande på så sätt att patienten inte kan motsätta sig registreringen. Däremot har patienten viss rätt att påverka vem som ska få tillgång till patientens uppgifter.
Syftet med läkemedelsförteckningen är framför allt att öka patienternas trygghet och stärka kvaliteten och säkerheten på läkemedelsområdet. En korrekt och komplett bild över patientens läkemedelsanvändning är en förutsättning för att behörig hälso- och sjukvårdspersonal ska kunna bedöma patientens tillstånd, behandlingseffekter, risker, interaktioner och biverkningar.
Läkemedelsförteckningen får endast användas för att
1. åstadkomma en säker framtida förskrivning av läkemedel för
den registrerade,
2. bereda den registrerade vård och behandling,
3. komplettera den registrerades patientjournal,
4. underlätta den kontroll som ska genomföras innan ett läkemedel
lämnas ut till den registrerade från apotek, samt
5. underlätta den registrerades läkemedelsanvändning.
Åtkomsten till uppgifterna i läkemedelsförteckningen är i dag begränsade till patienten själv och med dennes samtycke till förskrivare, sjuksköterskor utan förskrivningsrätt och farmaceuter på apotek. Dessa olika yrkeskategorier får med patientens samtycke använda uppgifter i läkemedelsförteckningen för några begränsade och skilda ändamål.
Förskrivare av läkemedel får använda uppgifter för att åstadkomma en säker framtida förskrivning av läkemedel för patienten, bereda patienten vård och behandling samt för att komplettera patientjournalen.
Om det är nödvändigt för att patienten ska kunna få den vård eller behandling som patienten oundgängligen behöver får legitimerad sjuksköterska utan behörighet att förskriva läkemedel använda uppgifterna för att bereda patienten vård och behandling och för att komplettera patientjournalen.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
470
Farmaceut på apotek får, vid färdigställande av läkemedel som ska lämnas ut, använda uppgifterna för att underlätta den kontroll som ska göras innan ett läkemedel lämnas ut till patienten
Dessa tre olika yrkeskategorier får med stöd av patientens samtycke ta del av uppgifter i läkemedelsförteckningen för de angivna ändamålen antingen genom direktåtkomst eller genom att uppgifterna lämnas ut på medium för automatiserad behandling.
Farmaceuter i vårdgivares verksamhet
Farmaceut är en yrkestitel och för att få arbeta som farmaceut krävs att den enskilde är apotekare eller receptarie och har legitimation för yrket. Av ovanstående kan konstateras att farmaceuter på apotek, men inte farmaceuter som arbetar hos vårdgivare i hälso- och sjukvården, får med patientens samtycke ha tillgång till uppgifterna i läkemedelsförteckningen.
Farmaceuter som arbetar i vårdgivares verksamheter får med dagens regelverk över huvud taget inte ta del av uppgifterna i läkemedelsförteckningen, vare sig på medium för automatiserad behandling eller med direktåtkomst och alldeles oavsett patientens inställning i saken.
Det medför bland annat att farmaceuter hos vårdgivare i samband med exempelvis läkemedelsgenomgångar inte på ett effektivt och ändamålsenligt sätt kan ta del av uppgifter om vilka läkemedel patienten hämtat ut. I utredningsdirektivet nämner regeringen följande av betydelse i sammanhanget.41
Behörig personal inom hälso- och sjukvården och socialtjänsten behöver ha tillgång till personuppgifter om den enskilde och information om de insatser (förskrivning av läkemedel, behandlingar etc.) som den enskilde fått tidigare. Utan sådan tillgång till uppgifter ökar risken för bl.a. felaktiga beslutsunderlag, felbehandlingar eller allvarliga interaktioner mellan läkemedel och andra insatser. Konkret innebär det exempelvis att förskrivare behöver ha en så samlad bild som möjligt av en individs läkemedelsordinationer, från såväl förskrivning på recept som på rekvisition från öppen och sluten vård. Sjuksköterskor i kommunal hälso- och sjukvård behöver veta vilka ordinationer den patient som varit på sjukhuset har fått. Farmaceutisk personal i hälso- och sjukvården eller på apotek behöver ha tillgång till informationen som finns i läkemedelsförteckningen. Utöver de negativa konsekvenserna för den enskilde kan brister i möjligheter att samverka
41 Dir. 2011:11 s. 6.
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
471
och samarbeta genom att utbyta uppgifter utgöra ett hot mot vården och stödet på en övergripande nivå.
Även Sveriges Kommuner och Landsting (SKL) och Center för Ehälsa i samverkan (CeHis) har uppmärksammat behovet för farmaceutisk personal hos vårdgivare att ha tillgång till uppgifter i läkemedelsförteckningen.
Ökat antal farmaceuter i vården
Antalet farmaceuter som arbetar i vårdgivares organisationer har ökat de senaste åren. Inte minst genom att landstingen anställt fler och fler farmaceuter har antalet som arbetar i vårdgivares hälso- och sjukvårdsverksamhet ökat till omkring 250–300 stycken i dag. Tidigare köptes kompetensen i större utsträckning in från Apoteket AB, men det blir enligt vad utredningen har fått veta, mindre och mindre vanligt. En vanlig arbetsuppgift för en farmaceut i vårdgivares verksamheter är att medverka i individuella patienters läkemedelsgenomgångar. En sådan genomgång innebär att man utifrån den enskildes behov granskar och undersöker de läkemedel som en patient har ordinerats. Genomgångarna bör följa en enhetlig struktur, om möjligt ske tillsammans med patienten och vid behov också vårdpersonalen. Syftet är att efter en noggrann analys bedöma om något läkemedel ska bytas ut, tas bort helt eller kompletteras. Det kan handla om att utifrån den totala läkemedelsanvändningen och sjukdomshistorien identifiera ev. interaktioner, över- och/eller underförskrivning m.m.
Syftet med läkemedelsgenomgångar är framför allt att åstadkomma en bättre läkemedelsanvändning och minska antalet läkemedelsrelaterade problem.
Av Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2000:1) om läkemedelshantering i hälso- och sjukvården följer att en läkare ska ansvara för läkemedelsgenomgången och vid behov samverka med andra läkare, apotekare, sjuksköterskor och annan hälso- och sjukvårdspersonal, om det inte finns hinder för det enligt bestämmelserna om sekretess och tystnadsplikt. Vidare framgår av de allmänna råden till 3 a kap. 5 § att vid en kartläggning kan uppgifter behöva hämtas in från den egna vårdgivarens och andra vårdgivares journalhandlingar samt från läkemedelsförteckningen, om det inte finns rättsliga hinder för det.
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
472
Av 3 a kap. 3 § följer att vårdgivare ska erbjuda de patienter som är 75 år eller äldre och som är ordinerade minst fem läkemedel en enkel läkemedelsgenomgång vid
1. besök hos läkare i öppen vård,
2. inskrivning i sluten vård,
3. påbörjad hemsjukvård, och
4. inflyttning i särskilt boende.
Patienter som är 75 år eller äldre och som är ordinerade minst fem läkemedel ska dessutom erbjudas en enkel läkemedelsgenomgång minst en gång per år under pågående hemsjukvård eller boende i särskilt boende.
Närmare om vårt förslag
Läkemedelsförteckningen ger en komplett och kvalitetssäkrad information över de läkemedel patienten har hämtat ut på apotek under den senaste 15-månadersperioden. Förteckningen är därmed en väldigt viktig informationskälla i strävan efter att åstadkomma en bättre läkemedelsanvändning och minska enskilda individers läkemedelsrelaterade problem. Av integritetsskäl är användningen av uppgifter i läkemedelsförteckningen begränsad till ett fåtal ändamål och det är endast ett fåtal yrkeskategorier som får ha tillgång till uppgifterna. Det är dessutom patienten, som genom sitt samtycke, bestämmer vem som ska få ta del av uppgifter om patientens uthämtade läkemedel.
Inom vårdgivares organisationer kan vi till skillnad mot tidigare i dag se ett ökat antal farmaceuter som på olika sätt deltar och medverkar i den individinriktade verksamheten. Det kan sägas ha medfört att det uppstått ett behov av tillgång till uppgifter i läkemedelsförteckningen för en inom vårdens verksamhet ny yrkeskategori. Det bör därför övervägas om lagstiftningen bättre ska anpassas efter hur verksamheten är organiserad genom att fler yrkeskategorier i vårdteamet får tillgång till läkemedelsförteckningen.
Kliniska farmaceuter som arbetar i hälso- och sjukvården och där ges i uppdrag att med sin kompetens medverka till en säker och mer ändamålsenlig läkemedelsanvändning bör enligt utredningens
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
473
uppfattning ges reella möjligheter att utföra sitt arbete. En farmaceut som arbetar hos en vårdgivare får ta del av den information om patienterna som farmaceuten behöver för att kunna utföra sitt arbete. Det innebär exempelvis att farmaceuten har möjlighet att ta del av journaluppgifter, t.ex. uppgifter om ordinerade läkemedel, för det fall det behövs med hänsyn till det arbete farmaceuten är satt att utföra. Precis som för övriga yrkeskategorier i hälso- och sjukvården är det behovet av uppgifter för att kunna utföra sitt arbete som är avgörande. En farmaceut som deltar i arbetet med att ta ställning till eller utvärdera en patients läkemedelsanvändning kan då genom patientjournalen ta del av uppgifter om vilka läkemedel som ordinerats för patienten. Sett mot den bakgrunden kan det tyckas omotiverat att inte farmaceuten i detta uppdrag även kan ta del av uppgifter om vilka av de ordinerade läkemedlen som patienten hämtat ut på apotek.
Av dessa skäl bedömer utredningen att farmaceuter som arbetar hos en vårdgivare kan ha ett berättigat behov av tillgång till uppgifter i läkemedelsförteckningen. En självklar förutsättning är givetvis, precis som för övriga yrkeskategorier, att patienten samtycker till det.
En annan fråga är dock för vilka ändamål en farmaceut som arbetar hos en vårdgivare ska få använda uppgifter i Läkemedelsförteckningen. Eftersom farmaceuter i vårdgivares verksamheter framför allt medverkar vid olika former av läkemedelsgenomgångar och på andra sätt arbetar med att öka kvaliteten och säkerheten i läkemedelsanvändningen bedömer utredningen att de tillåtna ändamålen ska anpassas efter de behov som dessa arbetsuppgifter medför. Det bör därför vara tillåtet för farmaceuter hos vårdgivare att, med patientens samtycke, använda uppgifter i läkemedelsförteckningen för ändamålen att åstadkomma en säker framtida förskrivning, komplettera patientjournalen samt underlätta patientens läkemedelsanvändning.
Risken för intrång i enskilda patienters personliga integritet ökar i viss mån när ytterligare en yrkeskategori inom vården får möjlighet att ta del av uppgifter i läkemedelsförteckningen. Förslaget syftar emellertid att leda till en ökad kvalitet och säkerhet i hälso- och sjukvården i allmänhet och i läkemedelsanvändningen i synnerhet. Det i kombination med att patienten själv genom att lämna samtycke eller avstå från att lämna samtycke styr tillgången till läkemedelsförteckningen bedöms dock väga upp den ökade risken för integritetsintrång. Dessutom föreslås inte farmaceuter
Rätt information om läkemedel – på väg mot en samlad läkemedelslista SOU 2014:23
474
omfattas av den möjlighet som förskrivare och sjuksköterskor utan förskrivningsrätt i dag har att i nödsituationer där patienten inte kan samtycka ta del av läkemedelsförteckningen. Tillgången är därmed begränsad till sådana situationer när patienten kan lämna sitt samtycke.
15.7.8 Övriga rekommendationer för utvecklingen mot en samlad läkemedelslista m.m.
Vår bedömning: Våra förslag syftar till att öka kvaliteten och
säkerheten för patienter som är i behov av läkemedelsbehandling. Flera förslag innebär att nya möjligheter för en ändamålsenlig och sammanhållen hantering av uppgifter om ordinerade läkemedel tillhandahålls. Samtidigt kan det finnas behov av ytterligare åtgärder på en rad andra områden för att möjligheterna ska kunna tillvaratas och målsättningen nås.
Lagstiftaren kan genom utformningen av regelverket ställa krav, tillhandahålla möjligheter och på andra sätt stimulera en önskad utveckling. Läkemedelsprocessen är ett sådant område där lagstiftningen inte på ett samlat sätt ger uttryck för patientens intresse av att den som står i begrepp att fatta beslut om vård och behandling har tillgång till bästa möjliga beslutsunderlag. Vi lämnar ett antal förslag i detta betänkande som i allt väsentligt syftar till att förändra denna bild, harmonisera regelverken och öka förutsättningarna för ökad kvalitet och säkerhet för patienter som är i behov av läkemedelsbehandling. Samtidigt inser vi att det sannolikt krävs kraftfulla och medvetna åtgärder på en rad andra områden för att de nya möjligheterna ska kunna tillvaratas och bidra till att målsättningen nås. För att kunna ta tillvara intentionerna bakom lagstiftningen kommer det att krävas stora resurser och en gemensam vilja att arbeta tillsammans över organisatoriska och professionella gränser.
En grundläggande förutsättning för en samlad, nationell läkemedelslista där informationen i de olika källorna är samstämmig, är att samtliga som ordinerar läkemedel arbetar mot samma informationskälla. Så länge den samlade läkemedelslistan inte kompletteras med uppgifter från samtliga som ordinerar läkemedel kommer det att finnas inbyggda osäkerheter om vilken som är den korrekta och
SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista
475
aktuella bilden av patientens läkemedelsbehandling. Utredningen inser att det kan ta tid att genomföra detta. Men det är inte desto mindre är viktigt att ta ett nationellt ansvar för att driva utvecklingen mot en gemensam målsättning. Av naturliga skäl är vissa saker även svårare än andra att genomföra, exempelvis kan möjligheterna att arbeta mot samma informationskälla bedömas vara större när det gäller öppenvårdsordinationer än när det gäller slutenvårdsordinationer.
En central fråga är även hur ett gemensamt nationellt åtagande mot en samlad läkemedelslista ska utformas och drivas. I detta ryms såväl finansiella frågor som frågor om det ska bygga på frivillig basis eller om det ska vara tvingande att arbeta mot en nationell källa. De finansiella frågorna är inte minst avgörande i relation till alla mindre privata vårdgivare som är etablerade i landet.
Vi har i det föregående redovisat kort hur Danmark har byggt upp sitt system med en samlad, nationell läkemedelslista. I Danmark har alla förskrivare, vare sig de arbetar i offentlig eller privat verksamhet, en skyldighet att uppdatera informationen i den nationella listan. Vidare har samtliga hälso- och sjukvårdsregioner integrerat den nationella listan mot sina journalsystem.
Utredningen bedömer att dessa frågor har starka beröringspunkter med det uppdrag E-hälsokommittén har enligt sitt utredningsdirektiv.42Det kan i det arbetet bland annat finnas skäl att göra närmare överväganden kring följande.
• Tydligare nationell styrning vad gäller infrastrukturfrågor m.m. för att säkra informationshanteringen i läkemedelsprocessen
• Om pappersrecept ska få användas eller om det endast ska vara möjligt med elektronisk förskrivning.
• Hur en inomprofessionell diskussion om ansvaret för en samlad läkemedelslista ytterligare kan stimuleras.
• Ett tydligare gemensamt åtagande som gör det möjligt för alla patienter, oavsett var i landet de bor, att själva kunna ta del av sin samlade läkemedelslista.
42 S 2013:17, dir. 2013:125.
477
16 Förbättrad tillgång till varningsinformation
16.1 Bakgrund
För patientens liv och hälsa är det särskilt nödvändigt att den hälso- och sjukvårdspersonal som patienten möter känner till om patienten exempelvis har sådana överkänsligheter som kan medföra allvarlig fara för patienten om denne utsätts för ämnet som ger överkänsligheten. Sådan information som hälso- och sjukvårdspersonalen behöver uppmärksammas på kallas ofta för varningsinformation. Det kan exempelvis vara information om att patienten är överkänslig för läkemedel, födoämnen, djur, växter eller kemikalier. Vidare kan det handla om att patienten lider av ett, särskilt allvarligt tillstånd, exempelvis att patienten är blödningsbenägen eller svårintuberad vid narkos. Det kan även vara fråga om att patienten står under en pågående allvarlig behandling med exempelvis blodförtunnande eller immunsupprimerande (immunförsvarsnedsättande) läkemedel. Det är sådan information som, om den inte är känd för hälso- och sjukvårdspersonalen, kan leda till livshotande eller mycket farliga situationer för patienten.
I Socialstyrelsens termbank definieras varningsinformation som ”uppmärksamhetsinformation som gäller överkänsligheter, tillstånd och behandlingar som, om de inte är kända för vård- och omsorgspersonalen, medför allvarligt hot mot vård- eller omsorgstagarens liv eller hälsa”.
Avsaknad av uppgifter om varningsinformation kan i värsta fall leda till att en patient blir allvarligt felbehandlad eller dör.
Från varningsinformation ska därför skiljas sådan uppmärksamhetsinformation som i och för sig är relevant för hälso- och sjukvårdspersonalen att känna till för att patienten ska få en god och säker vård, men som inte medför allvarligt hot mot vård- eller omsorgstagarens liv eller hälsa. Sådan information kallas ofta för
Förbättrad tillgång till varningsinformation SOU 2014:23
478
observandum. Det kan handla om sådant som att patienten har en smittsam sjukdom. Men det kan även vara information om hur patienten önskar att hälso- och sjukvården ska agera, t.ex. ifall patienten accepterar behandling med blodprodukter. Allvarlighetsgraden av att sådan information inte är känd är generellt inte lika hög som när det gäller varningsinformation. Utredningens överväganden och förslag omfattar således inte sådan information som inte är att betrakta som varningsinformation enligt definitionen i Socialstyrelsens termbank.
16.1.1 Informationshanteringen
För att patienten ska få en god och säker vård är det nödvändigt att varningsinformation kommer till hälso- och sjukvårdspersonalens kännedom i rätt tid och på rätt plats. Det är därför viktigt att vårdgivare ser till att sådan information dokumenteras och hanteras på ett sätt som tillgodoser patientens behov. Det kan bland annat innebära att vårdgivare behöver utforma journalsystemens användargränssnitt på ett sådant sätt att det tydligt framgår att det finns varningsinformation rörande en patient och vad denna information består av.
Av 3 kap. 6 § Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården följer dessutom att rutinerna för dokumentation av patientuppgifter ska säkerställa att patientjournalen innehåller en markering som ger en varning om att en patient har visat intolerans eller har en överkänslighet som innebär en allvarlig risk för patientens liv eller hälsa. Vidare ska markeringen göras på ett sådant sätt att den är lätt att uppmärksamma.
Samtidigt innehåller föreskrifterna krav på hur uppgifter i t.ex. ett journalsystem presenteras och göras tillgängliga för hälso- och sjukvårdspersonalen. Det finns bland annat föreskrifter med krav på s.k. aktiva val, som i praktiken innebär att en användare i utgångsläget inte ska kunna se om det finns information om patienten hos en annan vårdenhet i vårdgivarens verksamhet. Dessa krav gäller oavsett vilka uppgifter det handlar om och omfattar således även uppgifter om intoleranser eller överkänsligheter som innebär en allvarlig risk för patientens liv eller hälsa.
I äldre föreskrifter från Socialstyrelsen (SOSFS 1982:8) angavs exempelvis att överkänslighet mot läkemedel m.m. som är så allvar-
SOU 2014:23 Förbättrad tillgång till varningsinformation
479
lig att den hotar liv eller hälsa ska märkas särskilt i patientjournalen. Märkningen skulle enligt föreskriften ske i rött med ordet ”VARNING”. På den tiden när patientjournalföringen var manuell gjordes därför märkningen med ordet ”VARNING” i rött i regel både på patientjournalens omslag samt på handlingar inne i journalmappen.
Genom patientdatalagen (2008:355), förkortad PDL, har patienten en rätt att spärra uppgifter från elektronisk åtkomst inom en vårdgivares verksamhet och från direktåtkomst mellan vårdgivare (sammanhållen journalföring). Patientens spärrmöjligheter gäller således oberoende av vilka uppgifter det är fråga om och var de har dokumenterats. Det innebär att patienten med stöd av nuvarande regelverk ges en möjlighet att spärra varningsinformation om exempelvis överkänsligheter från att vara elektronisk åtkomliga för andra vårdenheter än den som har dokumenterat uppgiften hos vårdgivaren. Patienten kan även motsätta sig att uppgifter om varningsinformation görs tillgängliga för andra vårdgivare i system för sammanhållen journalföring.
I samband med arbetet som föregick patientdatalagen framhöll en stor mängd remissinstanser att s.k. varningsinformation, t.ex. uppgifter om överkänsligheter, ska framgå av journalen och inte bör kunna spärras av patienten.1 Bakgrunden till detta var framför allt de patientsäkerhetsrisker som gör sig gällande för patienter som exempelvis har en överkänslighet som kan medföra allvarligt hot mot patientens hälsa om de inte är kända för hälso- och sjukvårdspersonalen.
16.1.2 Vårt uppdrag m.m.
I utredningens övergripande uppdrag ingår bland annat att identifiera utmaningar och hinder för en mer ändamålsenlig informationshantering inom hälso- och sjukvården.
En ändamålsenlig informationshantering handlar bland annat om att behörig hälso- och sjukvårdspersonal har tillgång till den information om patienter som behövs för en god och säker vård. När det gäller varningsinformation kan tillgången till sådan information med fog hävdas vara alldeles nödvändig för patientens liv och fortsatta hälsa. I samband med att utredningen gjort en bred översyn av behoven av en ändamålsenlig informationshantering och
Förbättrad tillgång till varningsinformation SOU 2014:23
480
av regelverket i patientdatalagen har därför frågan om patientens möjlighet att spärra varningsinformation hamnat i ljuset. Utredningen har under arbetets gång vid flera tillfällen blivit uppmärksammad på de risker som en spärr av sådan information kan medföra samt om de hinder för utvecklingen av en gemensam standard för att dokumentera och visualisera varningsinformation som nuvarande regelverk ställer upp. I detta avseende har utredningen även blivit uppmärksammade på de konsekvenser som Socialstyrelsens föreskrifter (SOSFS 2008:14) kan ha på frågan om en ändamålsenlig hantering av varningsinformation.
16.2 Våra överväganden och förslag
16.2.1 Varningsinformation bör undantas från patientens spärrmöjligheter
Vårt förslag: Patienten ska inte kunna motsätta sig att uppgifter
som ger en varning om att patienten har visat intolerans eller har en överkänslighet som innebär en allvarlig risk för patientens liv eller hälsa, görs tillgängliga genom elektronisk åtkomst inom en vårdgivares verksamhet eller genom direktåtkomst mellan vårdgivare. Patienten kan därmed inte motsätta sig att sådana uppgifter görs tillgängliga genom sammanhållen journalföring eller mellan vårdgivare inom en huvudmans ansvarsområde. Bestämmelser om detta ska tas in i hälso- och sjukvårdsdatalagen.
Vår bedömning: Förslaget syftar till att förbättra kvaliteten och
patientsäkerheten i hälso- och sjukvården. Förslaget innebär ingen ökad rätt för hälso- och sjukvårdspersonal att ta del av uppgifter, utan endast att uppgifterna får finnas tekniskt åtkomliga så att det är möjligt att ta del av dem när det behövs för patientens vård.
Kännedom om varningsinformation är nödvändig för patientens säkerhet
För en patient som exempelvis är så överkänslig mot vissa läkemedel att en felaktig läkemedelsordination kan leda till bestående allvarliga men eller till patientens död, är hälso- och sjukvårds-
SOU 2014:23 Förbättrad tillgång till varningsinformation
481
personalens tillgång till sådan information helt nödvändig. Det handlar inte endast om att uppgifterna behöver vara tillgängliga för hälso- och sjukvårdspersonalen, utan även om att uppgifterna ska vara lättillgängliga och lätta att uppmärksamma. Med hänsyn till behovet av säkerhet för den enskilde patienten ska det helst inte gå att missa att ta del av uppgifterna för den hälso- och sjukvårdspersonal som står i begrepp att ta ställning till patientens vård och behandling.
Utmaningar och hinder för en ändamålsenlig hantering av varningsinformation
När patientjournaler fördes manuellt på papper tillgodosågs behovet genom att ordet ”VARNING” markerades i rött på patientjournalens omslag och i journalhandlingar inne i journalmappen. I dag har vårdgivarna ett krav på sig att, i enlighet med 3 kap. 6 § SOSFS 2008:14, säkerställa att patientjournalen innehåller en markering som ger en varning om att en patient har visat intolerans eller har en överkänslighet som innebär en allvarlig risk för patientens liv eller hälsa. Markeringen ska enligt föreskriften göras på ett sådant sätt att den är lätt att uppmärksamma. Det ska därmed, såvitt utredningen kan bedöma, inte vara fråga om en markering som hälso- och sjukvårdspersonalen ska behöva leta efter. Markeringen bör med andra ord vara så tydlig att den så långt möjligt inte går att undvika för den som deltar i patientens vård och behandling. Socialstyrelsen anger i handboken till föreskrifterna att uppgiften ska vara lätt tillgänglig för alla som behöver uppgifterna.
Samtidigt kan utredningen konstatera att det i Socialstyrelsens föreskrifter finns krav som i praktiken styr hur information får presenteras för vårdgivarens personal. Som vi har redovisat i kapitlet om arbetet för en gemensam läkemedelslista gäller olika förutsättningar för personalens åtkomst till uppgifter inom en vårdgivares verksamhet och mellan vårdgivare. För åtkomst till uppgifter inom en vårdgivares verksamhet gäller enligt 2 kap. 7 § SOSFS 2008:14 att information om vilka vårdenheter som har uppgifter om en viss patient inte får göras tillgänglig utan att den behörige användaren gör ett aktivt val, dvs. gör ett ställningstagande till, om han eller hon har rätt att ta del av dessa uppgifter. Patientuppgifterna hos dessa vårdenheter får sedan inte göras tillgängliga utan att den behörige användaren gör ytterligare ett aktivt
Förbättrad tillgång till varningsinformation SOU 2014:23
482
val. Om patientuppgifterna har spärrats av en annan vårdenhet hos vårdgivaren, får uppgifterna endast göras tillgängliga efter att användaren gjort ett aktivt val efter att ha inhämtat patientens samtycke eller om förutsättningarna för nödåtkomst enligt 4 kap. 5 § PDL är uppfyllda.
Av Socialstyrelsens handbok förtydligas föreskrifternas krav på ett sådant sätt att yrkesutövaren vid inloggning i journalsystemet ska kunna se i systemet att det finns patientuppgifter hos en annan vårdenhet, men inte vilken vårdenhet det är eller vilka uppgifter det handlar om. Efter att ha gjort ett aktivt val kan yrkesutövaren sedan se vilka vårdenheter som har uppgifter om patienten, men inte vilka uppgifter det handlar om. Efter ytterligare ett aktivt val kan yrkesutövaren dock ta del av de aktuella uppgifterna hos de andra vårdenheterna. Om uppgifterna är spärrade gäller dock att yrkesutövaren antingen måste ha patientens samtycke eller att det är fråga om en sådan nödsituation som beskrivs i patientdatalagen, för att få ta del av uppgifterna.
I praktiken innebär föreskrifterna, enligt vår bedömning, att personalen vid inloggning i journalsystemet i utgångsläget inte ens får se att det finns varningsinformation om patienten eller vilken vårdenhet som har dokumenterat uppgifterna.
Motsvarande situation uppstår i stort sett även vad gäller åtkomst till uppgifter hos andra vårdgivare. Där innebär föreskrifterna, enligt tillämpningsanvisningarna i Socialstyrelsens handbok, att yrkesutövaren vid inloggning i ett system för sammanhållen journalföring kan se att en annan vårdgivare har uppgifter om patienten, men inte vilken vårdgivare eller vilka uppgifter det rör. Om patienten har samtyckt till åtkomst till uppgifter hos andra vårdgivare och övriga förutsättningar i 6 kap. 3 § PDL är uppfyllda, kan yrkesutövaren sedan genom ett aktivt val se vilka vårdgivare som har uppgifter om patienten. Därefter förutsätts yrkesutövaren, med ledning av uppgiften om vilka vårdgivare som har uppgifter om patienten, ta ställning till hos vilka vårdgivare det finns uppgifter som behövs för att vårda patienten. Efter det kan yrkesutövaren ta del av de aktuella uppgifterna.
Om patienten motsatt sig medverkan i sammanhållen journalföring, dvs. spärrat uppgifterna, är uppgifterna om varningsinformation inte ens tekniskt åtkomliga för yrkesutövare hos andra vårdgivare. Det enda som syns i systemet för sammanhållen journalföring är att det finns spärrade uppgifter om patienten och hos vilken vårdgivare uppgifterna finns. En spärr vid sammanhållen
SOU 2014:23 Förbättrad tillgång till varningsinformation
483
journalföring är således absolut i den meningen att uppgifterna inte finns potentiellt tillgängliga. För att kunna se vilken vårdgivare som har de spärrade uppgifterna krävs antingen att patienten har samtyckt till det eller att det är fråga om en sådan nödsituation där det föreligger fara för patientens liv eller allvarlig risk för patientens hälsa. När yrkesutövaren under de förutsättningarna fått reda på vilken eller vilka vårdgivare som har spärrade uppgifter om patienten, får yrkesutövaren sedan vända sig till dessa och begära att uppgifterna lämnas ut. Yrkesutövaren kan alltså inte själv forcera en spärr och ta del av uppgifterna om patienten, t.ex. varningsinformation.
Varningsinformation bör undantas från spärrmöjligheterna
Mot bakgrund av vad som redovisats ovan ställer sig utredningen frågande till hur det är avsett att en vårdgivare ska kunna säkerställa att en markering om varningsinformation är lättillgänglig och lätt att uppmärksamma, samtidigt som en sådan uppgift inte får vara tillgänglig för användarna om inte föreskrifterna i SOSFS 2008:14 om s.k. aktiva val följs. Det framstår som om dessa två olika krav inte är helt självklara att förena för dem som har ett ansvar för att tillämpa föreskrifterna.
Enligt utredningens bedömning leder utformningen av 2 kap. 7 § åtminstone inte till att uppgifterna är lätt tillgängliga för alla som behöver dem. Detta eftersom föreskrifterna i praktiken innebär att uppgifter ska sorteras och presenteras med hänsyn till organisatoriska faktorer i stället för utifrån patientens behov av att informationen är lätt tillgänglig och lätt att uppmärksamma för alla.
Sådan varningsinformation som det här är fråga om är, enligt utredningens bedömning, närmast att betrakta som så generell och grundläggande som uppgifter om patientens personnummer och namn. Det vill säga som sådana uppgifter som normalt är tillgängliga på samma sätt för alla som deltar i vården och behandlingen av patienten. Utredningen anser att patienter och deras närstående har ett alldeles särskilt behov av att all personal som deltar i patientens vård har tillgång till uppgifter om varningsinformationen. Detta eftersom en ovetskap om dessa förhållanden kan ge upphov till stor skada och stort lidande.
Utredningen anser att det kan ifrågasättas om det över huvud taget är lämpligt att ge patienter möjlighet att spärra varnings-
Förbättrad tillgång till varningsinformation SOU 2014:23
484
information från åtkomst inom och mellan vårdgivares verksamheter. Inte minst mot bakgrund av att det sedan lång tid tillbaka funnits krav på att sådan information ska vara lätt tillgänglig och synlig för hälso- och sjukvårdspersonalen. Samtidigt som det ur ett grundläggande integritetsperspektiv självklart alltid kan finnas skäl att låta den enskilde själv bestämma i frågor om behandling av personuppgifter, kan det finnas skäl att diskutera om inte lagstiftaren har skäl att ställa krav på hälso- och sjukvårdens aktörer att säkerställa att varningsinformation alltid är tillgängliga för den personal, på den plats och vid den tidpunkt uppgifterna behövs för att patienten ska få en god och säker vård. Det kan ur ett principiellt perspektiv behöva övervägas om ett sådant integritetsskydd som lagstiftaren ställer upp genom att ge patienter en ovillkorlig rätt att spärra vilka uppgifter som helst, blir missriktat och riskerar att motverka de krav på kvalitet och säkerhet som ställs på hälso- och sjukvården.
Även om utredningen inte har kunnat göra en fullödig genomgång av Lex Maria-ärenden m.m., har vi kunnat konstatera att patienter har dött eller lidit allvarlig skada för att sådana uppgifter som är att betrakta som varningsinformation inte har funnits tillgängliga eller varit tillräckligt lätta att uppmärksamma. Vi har exempelvis tagit del av exempel som tyder på att patienter har avlidit på grund av överkänslighet mot läkemedel och där uppgifterna inte varit tillräckligt iögonfallande i journalsystemet.
Det primära intresset är därför, enligt vår mening, att se till att alla patienter med intoleranser eller överkänsligheter m.m. kan vara trygga i förvissningen om att uppgifterna kommer till hälso- och sjukvårdspersonalens kännedom. Vårdgivare har ett ansvar för att arbeta aktivt med frågan om hur varningsinformation ska hanteras. Med hänsyn till att det är en så viktig informationsmängd för patientens liv och hälsa bör hanteringen av varningsinformation vara likartad över hela landet. Med ett, så långt möjligt, gemensamt tillvägagångssätt för att dokumentera och visualisera varningsinformation ökar hälso- och sjukvårdspersonalens möjlighet att uppmärksamma informationen och agera i enlighet med den, vilket i sin tur ökar tryggheten och säkerheten för patienten.
I sammanhanget kan nämnas att det har bedrivits utvecklingsprojekt för att nå en nationell enighet om hur varningsinformation bör hanteras. Projektet Varningsinformation som drevs av dåvarande Sjukvårdsrådgivningen föreslog exempelvis en symbol för uppmärksamhetsinformation som bygger på ett gemensamt sätt för
SOU 2014:23 Förbättrad tillgång till varningsinformation
485
informationshantering och som skulle kunna implementeras i journalsystemen.2Symbolen som föreslogs i projektet finns i dag i den Nationella Patientöversikten (NPÖ) och syftar till att i systemet för sammanhållen journalföring tydligt visualisera ifall det finns sådana uppgifter om patienten som innebär en allvarlig risk för patientens liv eller hälsa. Det är enligt utredningens bedömning viktigt att det utvecklingsarbetet kan fortsätta och att vårdgivare vidtar de övriga åtgärder som krävs för att verksamhetens hantering av varningsinformation görs på ett ändamålsenligt sätt. Det kan bland annat finnas behov av rutiner och närmare riktlinjer för en strukturerad dokumentation av sådana uppgifter som ska slå igenom i varningssymbolen och för hur sådana uppgifter närmare får hanteras, t.ex. i fråga om vilka yrkesutövare som i enskilda fall avgör vad som utgör varningsinformation.
Utredningens utgångspunkt är att patienternas behov av skydd för den personliga integriteten ska värnas i hälso- och sjukvården. Det är en av grundpelarna både för att upprätthålla förtroendet för hälso- och sjukvårdens informationshantering och för att bidra till en hög patientsäkerhet. Redan av de grundläggande bestämmelserna i hälso- och sjukvårdslagstiftningen följer att verksamheten ska bygga på respekt för patientens självbestämmande och integritet. Lagstiftaren har även ett särskilt ansvar för att se till att nya möjligheter att hålla information tillgänglig eller nya möjligheter att utbyta information görs på ett sådant sätt att det inte uppstår otillbörliga integritetsintrång. Samtidigt kan inte integritetsskyddet vara absolut, utan det behöver balanseras även mot andra värden och intressen.
När det gäller spärrmöjligheter har regeringen exempelvis gjort bedömningen att skydd för ett barns hälsa väger högre än skyddet för barnets integritet. Vårdnadshavare förhindras därmed genom regler i patientdatalagen från att spärra uppgifter om sina barn. Förbudet innebär att vårdnadshavare inte får spärra några uppgifter över huvud taget om sina barn. Det gäller både inom en vårdgivares verksamhet och mellan vårdgivare i system för sammanhållen journalföring. Möjligheterna att upptäcka de barn som far illa kan därmed sägas ha värderats högre än övriga barns behov av skydd för den personliga integriteten.
När det gäller den här aktuella frågan om varningsinformation har utredningen ovan redovisat dels hur viktig informationen är för
2 Sjukvårdsrådgivningen, Varningsinformation, slutrapport (2008).
Förbättrad tillgång till varningsinformation SOU 2014:23
486
patientens liv och hälsa, dels vilka utmaningar som finns för vårdgivare som ska tillämpa patientdatalagen och Socialstyrelsens föreskrifter. Sammantaget bedömer utredningen att det finns övervägande skäl som talar för att varningsinformation ska undantas från patientens spärrmöjligheter. Även om det kan antas att patienter som har en sådan intolerans eller överkänslighet som det här är fråga om, sällan väljer att spärra sådan information kan det hävdas att en enda allvarlig konsekvens av en sådan spärr skulle räcka för att motivera ett borttagande av spärrmöjligheterna i denna del. Enligt utredningens bedömning saknas det skäl att vänta på att något sådant ska inträffa för att lagstiftaren ska göra en värdering och ta ställning till saken. Det kan heller inte uteslutas att en av anledningarna till att det hittills inte verkar ha uppstått några utbredda patientsäkerhetsrisker på grund av spärrad varningsinformation är att vårdgivare inte fullt ut har implementerat spärrmöjligheter för sådana informationsmängder. I Datainspektionens tillsyn på området och vid utredningens kontakter med företrädare för hälso- och sjukvården har framkommit uppgifter som tyder på det.
Hälso- och sjukvården står nu, genom införandet av NPÖ, inför en möjlighet att säkerställa att varningsinformation dokumenteras på ett sätt som gör att informationen följer patienten över organisatoriska gränser och på ett sätt som tillsammans med andra vårdgivares information om patienten kan skapa en mer komplett och säker bild av enskilda patienters varningsinformation. Det ligger i patientens intresse av säkerhet att hälso- och sjukvårdspersonalen har en aktuell och komplett bild av sådant som annars allvarligt kan hota patientens liv eller hälsa. För att hälso- och sjukvårdspersonalen ska kunna lita på att varningsinformationen är aktuell och komplett, oavsett om det visualiseras genom en symbol eller framgår på annat sätt, krävs enligt vår bedömning att alla uppgifter som behövs får vara tillgängliga när det behövs. Varningsinformation som är ofullständig eller felaktig har ringa värde och tillgodoser inte behovet av patientsäkerhet. Sådan information bör därför inte omfattas av de nuvarande spärrmöjligheterna i patientdatalagen.
Vidare anser utredningen att den möjlighet som finns att häva spärr vid sammanhållen journalföring inte är särskilt relevant för den aktuella frågan. Eftersom en spärr vid sammanhållen journalföring innebär att de spärrade uppgifterna inte ens är tekniskt
SOU 2014:23 Förbättrad tillgång till varningsinformation
487
åtkomliga, finns ingen möjlighet för den vårdgivare som behöver uppgifterna att själva forcera spärren.
Därutöver är reglerna uppbyggda på ett sådant sätt att de enda uppgifter som får finnas är att det finns spärrade uppgifter och vilken vårdgivare som har spärrat dem. För en yrkesutövare ger det tämligen liten vägledning att se att en patient har spärrade uppgifter hos Västra Götalandsregionen, Landstinget i Värmland, Praktikertjänst eller Capio etc. Förutom att det är i det närmaste omöjligt att endast med ledning av de uppgifterna bedöma om det finns sådan varningsinformation hos någon av dessa vårdgivare, har yrkesutövaren i praktiken även svårt att veta var han eller hon ska vända sig med begäran om att få uppgifterna utlämnade, dvs. att spärren hävs. En uppgift om att det finns spärrade uppgifter hos vårdgivaren Praktikertjänst eller Capio innebär rent faktiskt att uppgifterna kan ha spärrats i en verksamhet i stort sett var som helst i landet. Att spärrade uppgifter finns hos en vårdgivare som utgör ett landsting innebär på motsvarande sätt att uppgiften kan finnas var som helst inom en landstingsdriven verksamhet. Hur en yrkesutövare i praktiken ska kunna komma i kontakt just med den person hos dessa vårdgivare som ansvarar för uppgiften och har att pröva frågan om utlämnande är inte helt enkelt att föreställa sig. I relation till en patient som har sådan intolerans eller överkänslighet som i sig innebär en allvarlig risk för patientens liv eller hälsa är det för hälso- och sjukvårdspersonalen även bråttom att få vetskap om dessa förhållanden.
Utredningens förslag innebär att patienter som exempelvis har en sådan intolerans eller överkänslighet som innebär ett allvarligt hot mot det egna livet eller hälsan, inte fullt ut själv kan bestämma i frågor om hur sådana uppgifter ska utbytas och vara tillgängliga för hälso- och sjukvårdspersonalen. Jämfört med vad som gäller i dag innebär förslaget således ett visst integritetsintrång. Samtidigt kan det med fog antas att patienter i dag i ringa utsträckning motsätter sig att sådan information ska vara tillgänglig för behörig hälso- och sjukvårdspersonal när det behövs för att patienten ska få en god och säker vård. Utredningens sammantagna bedömning är att de patientsäkerhetsskäl som talar för vårt förslag väger tyngre än den inskränkning av patientens självbestämmande och integritet som förslaget innebär.
Sammanfattningsvis föreslår utredningen att patienten inte ska kunna motsätta sig att uppgifter som ger en varning om att patienten har visat intolerans eller har en överkänslighet som innebär en
Förbättrad tillgång till varningsinformation SOU 2014:23
488
allvarlig risk för patientens liv eller hälsa, görs tillgängliga genom elektronisk åtkomst inom en vårdgivares verksamhet eller genom direktåtkomst mellan vårdgivare. Patienten kan därmed inte motsätta sig att sådana uppgifter görs tillgängliga genom sammanhållen journalföring eller mellan vårdgivare inom en huvudmans ansvarsområde.
Utredningens förslag syftar till att förbättra kvaliteten och patientsäkerheten i hälso- och sjukvården. Däremot innebär förslaget ingen förändrad eller ökad rätt för hälso- och sjukvårdspersonal att ta del av de aktuella uppgifterna. Förslaget innebär endast att uppgifterna får finnas tekniskt åtkomliga så att det är möjligt att ta del av dem när det behövs för patientens vård.
16.2.2 Nationella insatser för en strukturerad, entydig och enhetlig varningsinformation
Vår bedömning: Regeringen, eller den eller de myndigheter
eller organisationer som regeringen ger uppdrag åt, bör vidta åtgärder för att åstadkomma en strukturerad, entydig och enhetlig dokumentation och presentation av varningsinformation.
I utredningens uppdrag ingår att identifiera nödvändiga förutsättningar för en ändamålsenlig informationshantering samt vilka hinder (juridiska, tekniska etc.) som finns för en sådan informationshantering. Utredningen ska vid behov föreslå lagstiftning eller andra åtgärder som medger att behörig personal får tillgång till nödvändiga uppgifter. Därutöver är utredningen oförhindrad att ta upp frågor som inte nämns i direktiven, men som utredningen anser behöver analyseras eller regleras för att uppdraget ska kunna fullgöras på ett tillfredsställande sett.
Sammantaget innebär detta, enligt utredningens uppfattning, att det kan finnas skäl att förutom lagstiftningsåtgärder föreslå eller rekommendera andra åtgärder för att komma till rätta med de hinder för en ändamålsenlig informationshantering som finns i dag.
I det föregående har utredningen redogjort för ett förslag som syftar till att öka patientsäkerheten och förbättra kvaliteten i hälso- och sjukvården. Det handlar konkret om att se till att patienter som har visat en intolerans eller har en överkänslighet som medför allvarlig fara för patientens liv eller hälsa inte, vid sina kontakter
SOU 2014:23 Förbättrad tillgång till varningsinformation
489
med hälso- och sjukvården, ska utsättas för de ämnen m.m. som orsakar överkänsligheten eller intoleransen. För att se till att sådan information alltid är tillgänglig när den behövs för behörig hälso- och sjukvårdspersonal ska en patient inte kunna spärra sådan information från åtkomst inom och mellan vårdgivares verksamheter.
För att utredningens förslag i praktiken ska få den avsedda effekten krävs emellertid, enligt vår bedömning, insatser och åtgärder på en rad andra områden. Utredningen har bland annat kunnat ta del av hur hälso- och sjukvården i Norge driver ett utvecklingsprojekt för att säkerställa att en strukturerad, entydig och enhetlig varningsinformation finns tillgänglig och kan presenteras på ett entydigt sätt för hälso- och sjukvårdspersonal i olika delar av det norska hälso- och sjukvårdssystemet. Enligt vår bedömning finns det anledning för vårdgivare och myndigheter i Sverige att, i likhet med Norge, vidta gemensamma åtgärder för att se till att varningsinformation dokumenteras på ett strukturerat, entydigt och enhetligt sätt även i Sverige. Det är en grundförutsättning för att sådan information ska kunna presenteras och visualiseras på ett sätt som garanterar patientsäkerheten. Vidare ger det förutsättningar att säkerställa att patientens behov av integritetsskydd tillgodoses.
Vi anser att ett sådant nationellt arbete för en strukturerad, entydig och enhetlig hantering av varningsinformation inte är beroende av utredningens förslag om förändrad lagstiftning. I själva verket finns det redan i dag ett behov av ett sådant arbete. Det bör därför, enligt vår bedömning, kunna initieras inom en snar framtid. Inte minst mot bakgrund av att varningsinformation och en symbol för varningsinformation ingår i den Nationella Patientöversikten finns, enligt vår mening, skäl att vidta gemensamma insatser och åtgärder redan nu.
Utredningen har inte haft möjlighet till närmare överväganden kring vilka konkreta åtgärder som skulle behöva komma till stånd för att stimulera en sådan utveckling. Samtidigt ser vi, förutom behov av teknisk implementering m.m., ett ökat behov av kunskapsstyrning och möjligen även normering på detta område. Det kan exempelvis finnas skäl för Socialstyrelsen att överväga om en tydlig normering med efterföljande aktiv förvaltning avseende krav på strukturerat innehåll och presentation för varningsinformation kan vara en lämplig väg att gå.
Förbättrad tillgång till varningsinformation SOU 2014:23
490
För en gemensam implementering och fortsatt utveckling över landet kan möjligen inspiration hämtas från statens, huvudmännens och Sveriges Kommuner och Landstings arbete med kunskapsstyrning. Landsting och regioner har exempelvis vid SKL tillsammans etablerat Nationella programrådet för diabetes, som arbetar för en mer jämlik och kunskapsbaserad diabetesvård. Utredningen har kunnat konstatera att en motsvarande utveckling är på gång bl.a. inom ramen för strokevården och när det gäller regeringens Nationella strategi för att förebygga och behandla kroniska sjukdomar finns exempel på samma typ av samarbetsstrukturer mellan myndigheter och sjukvårdshuvudmännen.
Utredningen har inte möjlighet att rekommendera eller peka ut den bästa vägen framåt, men bedömer att det i dagsläget finns ett antal förebilder där olika organisationer samverkar för att försöka åstadkomma nationell samsyn och gemensamt införande för en jämlik vård av hög kvalitet. För att öka säkerheten för patienterna ser vi ett motsvarande behov av gemensamt arbete vad gäller hantering av varningsinformation. Vi bedömer därför att regeringen, eller den eller de myndigheter eller organisationer som regeringen ger uppdrag till, bör vidta åtgärder för att åstadkomma en strukturerad, entydig och enhetlig dokumentation och presentation av varningsinformation.
491
17 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
17.1 Bakgrund
Verksamhet inom hälso- och sjukvården ska enligt grundläggande bestämmelser i hälso- och sjukvårdslagen (1982:763), förkortad HSL, vara av god kvalitet. Med det avses bl.a. att vården ska erbjudas av personal med rätt kompetens och ges med säker utrustning i enlighet med vetenskap och beprövad erfarenhet.1Vidare följer av 31 § HSL att kvaliteten i hälso- och sjukvården systematiskt och fortlöpande ska utvecklas och säkras. I förarbetena till bestämmelsen anför regeringen att vårdgivare ska utveckla metoder för att noga följa och analysera utvecklingen vad gäller kvalitet och säkerhet.2Det gäller t.ex. system som synliggör förekomsten av risktillbud eller s.k. avvikande händelser (onormala vårdtider, infektioner, komplikationer, reoperationer, återinläggningar etc.) eller som mäter servicegrad, patienttillfredsställelse osv.
Vidare anförs att det är viktigt att vårdgivarna skapar förutsättningar och stimulerar medarbetare till insatser i arbetet med kvalitetssäkring och kvalitetsutveckling. Resultatet av det arbetet är, enligt regeringen, en viktig del av att vidareutveckla vården, höja kvaliteten och stärka patientens ställning och ska fortlöpande återföras till dem som deltar i vård- och behandlingsarbetet.
Även genom föreskrifter från Socialstyrelsen förtydligas vårdgivares ansvar för att systematiskt och fortlöpande utveckla och
1 Regeringens proposition Förstärkt tillsyn över hälso- och sjukvården, prop. 1995/96:176 s. 27. 2Prop. 1995/96:176 s. 53 f.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
492
säkra kvaliteten i verksamheten. I Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete finns bestämmelser om hur detta kvalitetsarbete ska bedrivas. Tanken är att vårdgivaren med hjälp av processer och rutiner samt ett systematiskt förbättringsarbete ska uppnå kvalitet i verksamheten. Det systematiska förbättringsarbetet ska bestå av riskanalys, egenkontroll och hantering av avvikelser.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården bedrivs på olika nivåer, på olika sätt och i ett antal olika steg. Vidare aktualiseras kunskap och kompetens inom en rad olika områden som exempelvis ledarskap, utvärderingmetoder, förbättringskunskap, hälsoekonomi och evidensbaserade arbetssätt. Som utgångspunkt för att kunna organisera och bedriva verksamheten på ett sådant sätt att det leder till bättre resultat för patienterna är det även ofta nödvändigt att identifiera och kartlägga patienternas processer.
För att följa upp och säkra kvaliteten i verksamheten samt skapa bättre resultat för patienterna finns därför ett behov av att låta dokumenterade uppgifter om enskilda och om genomförandet av insatser samt resultaten av dessa m.m. ligga till grund för ett ständigt förbättringsarbete. Personuppgiftsbehandlingen utförs i olika skeden av det systematiska kvalitetsarbetet och ger underlag för att exempelvis kunna mäta resultatet av åtgärder och insatser, identifiera förbättringsområden, kartlägga processer och följa upp effekter av olika tillvägagångssätt. Dagens hälso- och sjukvård med patientrörlighet, valfrihet och mångfald av aktörer ställer även delvis nya krav på kvalitetssäkringen. De vårdinsatser som tidigare ofta genomfördes inom en och samma vårdgivares verksamhet utförs i dag snarare genom samverkan mellan flera, såväl landstings- som kommunalt finansierade, vårdgivare. Även informationshanteringen för att utveckla kvaliteten i hälso- och sjukvården behöver därför i större utsträckning än tidigare ta sin utgångspunkt i och följa patientens process och dennes möten med kommunala, landstingsdrivna och privata aktörer under ett visst vårdåtagande eller vårdprocess.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
493
Vårt uppdrag
Personuppgiftsbehandling för att säkra och utveckla verksamhetens kvalitet kan göras på olika nivåer i hälso- och sjukvården. På lokal nivå, inom en vårdgivarens verksamhet, används ofta personuppgifter för vårdgivarens kvalitetsarbete. Vid sidan av detta finns även ett stort antal nationella och regionala kvalitetsregister som, förutom att de används i det lokala kvalitetsarbetet, bland annat möjliggör jämförelser mellan vårdgivare i olika delar av landet.
Frågan om hälso- och sjukvårdspersonalens möjlighet att ta del av personuppgifter som finns i den egna vårdgivarens verksamhet i syfte att följa upp och säkra kvaliteten i genomförda insatser, har under en längre tid varit förknippad med viss osäkerhet. Utredningen har bland annat kunnat följa en allmän debatt där det ifrågasatts om det är lagligt för t.ex. en läkare att följa upp sina bedömningar och åtgärder kring enskilda patienter. Det är viktigt att analysera om det nuvarande regelverket förhindrar ett sådant kvalitetsarbete eller om det i stället finns behov av åtgärder för att tydliggöra vad som är möjligt att göra. Utredningen uppmärksammade denna fråga genom en promemoria i den delredovisning som överlämnades till regeringen den 31 december 2013 och som återfinns som bilaga till detta slutbetänkande. Vissa delar av detta återges även i det följande.
Vidare har det under utredningens arbete lyfts fram behovet av att se över vissa förutsättningar för personuppgiftsbehandlingen i nationella kvalitetsregister. En fråga som särskilt har aktualiserats är om de i dag begränsade möjligheterna till direktåtkomst till uppgifter om patienter bör förändras för att i större utsträckning göra det möjligt att säkra kvaliteten i vårdprocesser som går över vårdgivargränser. Vidare finns en osäkerhet i frågor som rör hopslagning eller utvidgning av nationella kvalitetsregister samt i frågor som rör förändringar av ansvaret för central behandling av personuppgifter i nationella kvalitetsregister.
Även i utredningens grunduppdrag om att analysera vilka hinder som i dag finns för en mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården har frågor om nationella kvalitetsregister en naturlig plats. I utredningsdirektivet anför regeringen även att personal och beslutsfattare bör få använda uppgifter i olika slags stödsystem för att löpande kvalitetssäkra och förbättra insatserna som vänder sig till enskilda och att relevant
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
494
lagstiftning främjar en effektiv och ständigt pågående förbättringsprocess inom hälso- och sjukvården.3
I det följande kommer möjligheterna att behandla personuppgifter för att säkra och utveckla kvaliteten i hälso- och sjukvården att belysas. Det omfattar både hur uppgifter som finns dokumenterade i vårdgivarens verksamhet får användas i ett systematiskt kvalitetsarbete och hur uppgifter får användas i ett nationellt eller regionalt kvalitetsregister.
17.2 Nationella kvalitetsregister
För att säkra och utveckla kvaliteten i hälso- och sjukvården och därigenom bidra till bättre resultat för patienterna används i dag omkring 100 nationella kvalitetsregister. I ett nationellt eller regionalt kvalitetsregister samlas personuppgifter från kommunal hälso- och sjukvård, sjukhus, vårdcentraler m.fl. för att möjliggöra kvalitetssäkring och jämförelser inom hälso- och sjukvården på nationell eller regional nivå. I dag används kvalitetsregistren både för systematisk uppföljning och jämförelse på nationell nivå, men även på ett mer lokalt plan där registrerande enheter med allt tätare intervall följer sina resultat och lägger dem till grund för ett verksamhetsnära förbättringsarbete. Det gör bl.a. att patienter som i dag deltar i kvalitetsregister i större utsträckning än tidigare själva är med och drar nytta av sin egen medverkan.
Med ett kvalitetsregister avses, enligt 7 kap. 1 § patientdatalagen (2008:355), förkortad PDL, en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregistren ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå. Med ett nationellt eller regionalt kvalitetsregister avses ett kvalitetsregister i vilket personuppgifter samlas in från flera olika vårdgivare. När det fortsättningsvis i detta betänkande talas om nationella kvalitetsregister avses även regionala kvalitetsregister som förs i enlighet med 7 kap. patientdatalagen.
Innan en vårdgivare registrerar uppgifter i ett nationellt kvalitetsregister krävs att den enskilde har fått viss information om kvalitetsregistret och en möjlighet att motsätta sig registreringen. Det krävs alltså inget samtycke, men den enskilde har en möjlighet
3 Dir. 2011:111.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
495
att säga nej. Den rättsliga konstruktionen motsvarar därför vad som tidigare redovisats för vårdgivares möjlighet att göra vårddokumentation tillgänglig i system för sammanhållen journalföring.
17.2.1 Exempel på användning av nationella kvalitetsregister
Nationella kvalitetsregister har kommit att bli en av flera nödvändiga förutsättningar för att utveckla hälso- och sjukvården. Ett framgångsrikt utvecklingsarbete förutsätter dock insamling och bearbetning av de uppgifter om enskilda, om åtgärder, om diagnoser, om använda produkter m.m. som behövs. Mycket av förbättringsarbetet i kvalitetsregister görs i dag på lokal nivå, genom tät återkoppling av verksamhetens resultat. Precis som regeringen anförde i ovan nämnda proposition går utvecklingen mot att verksamhetens inrapporterade uppgifter och resultat återförs mer kontinuerligt än tidigare och nu i större grad kan ligga till grund för en lokal och verksamhetsnära förbättring av resultatet för de enskilda patienterna.
Detta har bland annat kommit att medföra att patienter som i dag deltar i kvalitetsregister i större utsträckning än tidigare själva är med och drar nytta av sin egen medverkan i registret. I sådana register där individen följs upp och uppgifter registreras kontinuerligt och över längre tid finns tydliga exempel på nyttan, inte endast för framtida patienter utan även för patienten själv. Som några exempel på sådana register kan nämnas register över kroniska sjukdomar som t.ex. reumatisk sjukdom och diabetes, men även register som Senior Alert och BPSD som riktar sig till individer över en viss ålder eller med en viss beteendemässig störning.
I sammanhanget kan även nämnas registret InfCare HIV som sedan det infördes för cirka 10 år sedan anses ha varit en stark bidragande faktor till att HIV-patienter som är under behandling i dag i stor utsträckning kan känna sig friska och leva ett normallångt liv med i princip obefintlig risk att smitta andra. Förbättringsarbetet genom InfCare HIV har i olika sammanhang lyfts upp som ett exempel på när insamlandet av uppgifter blir en förutsättning för att kunna skapa bättre resultat och högre livskvalitet för en hel patientgrupp.
Att nationella kvalitetsregister har en central plats i hälso- och sjukvårdens förbättringsarbete lyfts även fram av regeringen i en
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
496
skrivelse som nyligen överlämnades till riksdagen.4 De nationella kvalitetsregistren utgör enligt regeringen en stor tillgång för hälso- och sjukvården genom att de har bidragit till de goda resultat för patienter som Sverige kan uppvisa i internationella jämförelser. Kvalitetsregistren har utvecklats primärt för att stödja det kliniska förbättringsarbetet, men är också en av huvudkällorna till Öppna jämförelser.
Vidare anför regeringen bland annat följande i den ovan nämnda skrivelsen.
Kvalitetsregistret Swedeheart samlar kontinuerligt in information från patienter i Sverige som vårdas på en hjärtinfarktsavdelning eller genomgår kranskärlsingrepp eller hjärtoperation. Genom registret informeras vårdgivare kontinuerligt och det görs jämförelser mellan sjukhus om vilka behandlingar som ges och vilket utfall de ger i termer av dödlighet, återinsjuknande och hur patienterna mår efter behandlingen. En studie som publicerades i den medicinska tidsskriften The Lancet i januari 2014 visar att dödligheten 30 dagar efter hjärtinfarkt är nästan 30 procent lägre i Sverige än i Storbritannien. Det betyder att mer än 10 000 liv skulle ha kunnat räddas i Storbritannien om dessa patienter hade fått samma sjukvård som i Sverige. Swedeheart har i sina årliga rapporter kunnat visa hur kvaliteten och följsamheten till riktlinjer ökat dramatiskt under de senaste 10–15 åren genom att vården registrerats kontinuerligt, jämförts öppet och publicerats offentligt. Faktum är att dödligheten efter hjärtinfarkt i Sverige mer än halverats under en tioårsperiod.
Svenska höftprotesregistret registrerar utbyte av höftleder. Enligt
registrets användarundersökningar används registret aktivt och upplevs som användbart av i stort sett samtliga verksamheter i landet. Genom att omoperationer registreras möjliggörs analyser av komplikationer i det kontinuerliga förändringsarbetet. Sverige har den lägsta rapporterade omoperationsfrekvensen av höftproteser i världen.
Svensk reumatologis kvalitetsregister uppvisar kontinuerligt förbättrad
hälsa för patienter med reumatologi. Registret har demonstrerat vinsterna för patienten med en allt bättre hälsa genom de nya biologiska läkemedlen, och med att andelen som får biologiska läkemedel ökar. Registret bidrar också till att antalet patienter som får rätt behandling vid första besöket successivt har ökat. I registret identifieras också vilka patienter som har en aktiv sjukdom och vilka som har en lugn och inaktiv sjukdom. På så vis kan vården anpassas efter vilken typ av besök patienten har behov av och med vilken
4 Regeringens skrivelse 20103/14:204, Riksrevisionens rapport om statens satsningar på nationella kvalitetsregister.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
497
frekvens. Detta bidrar till att patientens besöksfrekvens optimeras och att belastningen på vården därmed minskar.
Nationella kataraktregistret är det nationella registret för operationer av
grå starr. Operation av grå starr kan följas av en allvarlig men sällan förekommande inflammation. Sedan 1997, då Nationella kataraktregistret började samla patientdata för denna inflammation, fram till 2009, har det skett en kraftig minskning av antalet fall av inflammationen. Landstingsgenomsnittet för antalet fall låg 2009 på samma nivå som för den högst rankade ögonkliniken i USA. Detta skedde genom att riskfaktorer och bästa praxis kunde identifieras genom registret.
BPSD-registret hanterar beteendemässiga och psykiska symtom vid
demens, dvs. förändrade beteenden som är belastande för omgivningen och psykiska symtom som är belastande för individen. Förekomst av BPSD kan ses som ett mått på livskvalitet för personen med demenssjukdom. Syftet med registret är att kvalitetssäkra omvårdnaden av personer med demenssjukdom och att uppnå ett likvärdigt omhändertagande av denna patientkategori över hela landet. Genom registret har ett systematiskt arbetssätt med förbättrat bemötande vid beteendemässiga symptom vid demens visat sig göra stor skillnad för dessa patienter. Sådana systematiska bedömningar har ökat dramatiskt mellan 2011 och 2013.
17.2.2 Kort om regelverket och dess framväxt
Nationella kvalitetsregister har omfattats av ett antal olika regleringar genom åren. För register som startades före 24 oktober 1998 tillämpades t.o.m. 30 september 2001 sådana tillstånd med föreskrifter som meddelats med stöd av den då gällande datalagen. Normalt sett innebar det att det ställdes krav på att information skulle lämnas om registret och om att registreringen var frivillig. Sådana föreskrifter kan sägas ha medfört ett krav på den enskildes samtycke till registreringen av uppgifter.
För register som startades från och med den 24 oktober 1998 gällde däremot personuppgiftslagen (1998:204), förkortad PUL, vilken sedan blev tillämplig för samtliga nationella och regionala kvalitetsregister från 1 oktober 2001. Under den tid personuppgiftslagens tillämpades, dvs. åtminstone mellan oktober 2001 och juli 2009, bedömdes behandling av personuppgifter i kvalitetsregister vara tillåten utan samtycke från den registrerade patienten.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
498
Den bedömningen gjordes bl.a. av Datainspektionen, i en rapport om nationella kvalitetsregister.5
Samtidigt framförde Datainspektionen att behandlingen av personuppgifter i kvalitetsregister är så pass omfattande och rör så pass integritetskänsliga uppgifter att det finns starka skäl för att låta de nationella kvalitetsregistren omfattas av en särskild registerlagstiftning. Patientdatalagen kom sedan att bli den registerlagstiftning som sedan 1 juli 2009 har gällt fullt ut för personuppgiftsbehandling i nationella och regionala kvalitetsregister.
I direktiven till patientdatautredningen angavs att utredningen skulle utgå från att det skulle ställas krav på ett uttryckligt och informerat samtycke till behandling av personuppgifter i nationella kvalitetsregister, men samtidigt analysera konsekvenserna av att registreringen inte blir heltäckande om samtycke krävs. Utredningen tog i den delen hänsyn till att ett samtyckeskrav av olika skäl skulle kunna medföra ett så stort bortfall i registreringen att registrens betydelse för kvalitetssäkringsarbetet och till och med fortsatta drift skulle äventyras.
Vidare anförde utredningen bl.a. att vårdgivare enligt 31 § HSL är skyldiga att kvalitetssäkra sin verksamhet och att analyser av sammanställda personuppgifter i vårddokumentationen är en viktig metod i denna verksamhet vars samhällsnytta torde vara obestridlig. En hög täckningsgrad konstaterades vara helt avgörande för tillförlitligheten i registren.6.
Bland annat mot den bakgrunden avfärdade utredningen ett samtyckeskrav för registrering. Samtidigt ansåg utredningen att patienter borde ha någon form av inflytande. Med hänvisning bl.a. till grundläggande bestämmelser i hälso- och sjukvårdslagen om patientens medbestämmanderätt och med tanke på att vårdgivarens deltagande i kvalitetsregister inte är en författningsreglerad skyldighet, föreslogs i stället den nu gällande rätten för patienten att motsätta sig registreringen.
Kort om nuvarande regelverk
I det särskilda regelverket för kvalitetsregister i 7 kap. PDL finns ett antal bestämmelser som särskilt syftar till att balansera behovet av integritetsskydd mot behovet av en ändamålsenlig utveckling av
5 Datainspektionens rapport 2002:1. 6SOU 2006:82Patientdatalag, s. 454.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
499
hälso- och sjukvårdens kvalitet. Ett grundläggande krav för att få registrera uppgifter i ett nationellt kvalitetsregister är att patienten inte motsatt sig det. Det är således fråga om samma förutsättningar för s.k. opt-out som gäller vid sammanhållen journalföring. För att den enskilde ska kunna tillvarata sin rätt att ta ställning till medverkan i den verksamhetsuppföljning som görs i ett kvalitetsregister är den personuppgiftsansvarige skyldig att, innan uppgifterna registreras, lämna patienten utförlig information om den hantering av personuppgifter som gäller för det aktuella kvalitetsregistret.
Vidare anger de grundläggande ändamålsbestämmelserna på ett uttömmande sätt för vilka syften personuppgifter i kvalitetsregister får behandlas. Som primärt syfte anges i 7 kap. 4 § PDL att personuppgifter får behandlas för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Det är vidare endast de personuppgifter som just behövs för detta ändamål som får finnas i ett kvalitetsregister (7 kap. 8 §). Uppgifter som behövs och som behandlas för kvalitetssäkring får sedan även behandlas för statistikframställning och forskning. Det ska dock observeras att ändamålet forskning inte utgör något undantag från etikprövningslagen (2003:460) och dess krav på etikprövning då forskning innefattar behandling av känsliga personuppgifter.7Det innebär i dag att all forskning som har för avsikt att ske med hjälp av uppgifter i nationella kvalitetsregister måste underkastas etikprövningsnämndens bedömning.
Av hänsyn till enskildas behov av integritetsskydd får uppgifter, enligt 7 kap. 5 § PDL, lämnas ut från kvalitetsregister endast till en mottagare som själv ska behandla uppgifterna för kvalitetssäkring, statistikframställning eller forskning. Ett sådant utlämnande måste dock som alltid föregås av en prövning om uppgifterna över huvud taget får lämnas ut med hänsyn till hälso- och sjukvårdssekretessen. Enligt sistnämnda bestämmelse får utlämnande också ske för att fullgöra eventuell uppgiftsskyldighet.
Till skillnad mot vad som i övrigt gäller för vårddokumentation m.m. får uppgifter i kvalitetsregister inte behandlas för några andra ändamål än de uppräknade. Personuppgiftslagens finalitetsprincip gäller således inte för personuppgiftsbehandling i kvalitetsregister. Regeringen bedömde i propositionen att denna modell med uttömmande ändamålsuppräkning och specifikt tillåtna utlämnanden
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
500
innebär ett starkt integritetsskydd för den enskilde. Utredningen delar den uppfattningen och bedömer att regelverket på ett bra sätt ger uttryck för behovet av balans mellan de olika intressen som gör sig gällande. Av det skälet är det viktigt att uppgifter i kvalitetsregister inte i senare skeden får användas för andra än de uppräknade ändamålen.
17.3 Reflektioner kring möjligheterna att använda patientuppgifter i lokalt kvalitetsarbete
Frågan om det är tillåtet för en yrkesutövare inom hälso- och sjukvården att del av uppgifter för att följa upp utfallet för en patient yrkesutövaren vårdat har debatterats under de senaste åren. Röster har höjts för att lagstiftningen borde ändras och det har spridits en osäkerhet och otrygghet hos personalen om vad som egentligen gäller. Vår uppfattning är att osäkerheten till stor del bottnar i en okunskap om lagstiftningens möjligheter och i en avsaknad av aktiv rättstillämpning från vårdgivarnas sida. Vi bedömer generellt att möjligheterna att ta del av personuppgifter i vårdgivarens egen verksamhet är stora. För utbyte av information över vårdgivargränser i syfte att säkra och utveckla kvaliteten i verksamheten gäller delvis andra förutsättningar. Genom våra förslag med ökade möjligheter till informationsutbyte mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för kommer dock enligt vår bedömning att ge bättre förutsättningar att utveckla verksamhetens kvalitet jämfört med vad som är fallet i dag.
Som redovisats ovan fullgör vårdgivare sitt ansvar för att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten genom en antal olika aktiviteter, som alla tillsammans bidrar till en övergripande systematik och en struktur för ledning av kvalitetsarbetet. Att ta del av patientuppgifter för att säkra och följa upp vårdens resultat är endast en av många saker som görs inom ramen för det systematiska kvalitetsarbetet.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
501
Hälso- och sjukvårdspersonalens ansvar för kvaliteten
Enligt hälso- och sjukvårdslagstiftningen har den som tillhör hälso- och sjukvårdspersonalen ett personligt yrkesansvar och ska bland annat bidra till att hög patientsäkerhet upprätthålls. Hälso- och sjukvårdspersonalen ska utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet. Patienten ska ges sakkunnig och omsorgsfull hälso- och sjukvård som uppfyller dessa krav. Vården ska så långt som möjligt utformas och genomföras i samråd med patienten. Patienten ska visas omtanke och respekt.
Det innebär enligt utredningen ett ständigt lärande att arbeta inom hälso- och sjukvården. Hälso- och sjukvårdspersonalen behöver kontinuerligt få återkoppling på sina egna och andras bedömningar och insatser för att bli bättre yrkesutövare och på så sätt öka säkerheten och kvaliteten i vården. För att utveckla sin kliniska förmåga kan det vara nödvändigt att följa upp hur det gick för patienten. Utan att veta vad man gör och vilket resultat det medför för patienterna är det inte möjligt att bedriva ett systematiskt kvalitetsarbete. En sådan uppföljning är också ett sätt att visa omtanke och respekt för patienten.
Ett sätt att arbeta med kvalitet är att följa upp de bedömningar och insatser som görs, för att på sådant sätt få underlag för att initiera förbättringsarbeten m.m. Att personal som deltagit i vården av en patient följer upp sina egna bedömningar och insatser är därför många gånger en naturlig utgångspunkt för ett systematiskt och fortlöpande kvalitetsarbete. Ur ett medborgarperspektiv har patienter och närstående även rätt att förutsätta att läkare, sjuksköterskor, sjukgymnaster, barnmorskor och tandläkare med flera vet vilka resultat de är med och skapar för sina patienter.
17.3.1 Lagstiftningen ger möjligheter till kvalitetssäkring och kvalitetsutveckling
Av patientdatalagen följer bland annat att uppgifter om patienter får användas för att ”systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten” (2 kap. 4 § punken 4 PDL). Detta syfte knyter an till vårdgivarens grundläggande skyldighet enligt hälso- och sjukvårdslagen att vara aktiv inom detta område. Vi har i det föregående föreslagit att den grundläggande bestämmelsen om
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
502
tillåtna ändamål i 2 kap. 4 § PDL förs över till hälso- och sjukvårdsdatalagen.
Vidare får den som arbetar hos en vårdgivare ta del av uppgifter om en patient antingen om yrkesutövaren deltar i vården av patienten eller av ”annat skäl behöver uppgifterna för sitt arbete” (4 kap. 1 § PDL). Ett exempel på ett sådant annat skäl är just att personal kan behöva ta del av uppgifter för sitt arbete med att kvalitetssäkra sina insatser och bedömningar m.m. Även denna bestämmelse föreslår vi ska överföras till den föreslagna lagen, dock med vissa justeringar av språklig karaktär.
Detta innebär att det på en generell nivå är tillåtet för personal att ta del av patientuppgifter för att följa upp, säkra och utveckla kvaliteten i verksamheten. I lagen anges dock inte närmare hur detta ska gå till. Patientdatalagen är i detta avseende, precis som annan lagstiftning på hälso- och sjukvårdens område, en ramlag. Tanken bakom valet av denna lagstiftningsteknik är att det är svårt för lagstiftaren att detaljreglera en sådan komplex verksamhet som hälso- och sjukvården. Därför måste lagarna fyllas ut av föreskrifter och vägledning på myndighetsnivå. Men även sådana riktlinjer är ofta inte tillräckligt verksamhetsnära för att ge bra vägledning. Lagstiftningen måste också få ett konkret innehåll genom en aktiv tillämpning av de som ska använda lagstiftningen, det vill säga vårdgivare och hälso- och sjukvårdspersonal. Ett exempel på ett sådant område är just kvalitetssäkring och kvalitetsutveckling. Här finns ett behov av en aktiv tillämpning som resulterar i verksamhetsnära riktlinjer för hur respektive vårdgivare vill arbeta med att säkra och utveckla kvaliteten i verksamheten.
Kvalitetsarbetet kan göras på många olika sätt och på olika nivåer, men det ställs krav på en systematik i arbetet. Att ta del av personuppgifter för kvalitetssäkring ska ha stöd i medarbetares uppdrag och vårdgivarens riktlinjer.
Behov av riktlinjer för det systematiska kvalitetsarbetet
Patientdatalagen gör det möjligt för vårdgivare att använda patientuppgifter för att följa upp, säkra och utveckla kvaliteten i verksamheten. Det är dock inte i detalj reglerat hur det ska göras, vilken personal som ska göra det eller vilka uppgifter som behöver användas. Här förlitar sig lagstiftaren på kompetensen som finns hos hälso- och sjukvårdens aktörer. Det är där kunskapen finns om
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
503
hur man på bästa sätt mäter, följer och utvecklar kvaliteten i verksamhetens olika delar. I vårdgivarens ansvar för att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten ligger alltså även ett ansvar för att närmare avgöra hur det ska gå till, samt vilka uppgifter om vilka patienter som behöver användas och hur kunskap ska återföras till verksamheten.
Att använda patientuppgifter inom ramen för vårdgivarens systematiska kvalitetsarbete kan ske på en många olika sätt. Det kan handla såväl om att de enskilda yrkesutövarna kontinuerligt följer upp resultaten av sina bedömningar och åtgärder som att vårdgivaren initierar särskilt inriktade kvalitetsarbeten med fokus på avgränsade delar av verksamheten t.ex. en viss process eller en viss intervention.
I den allmänna debatten hörs ibland att enskilda yrkesutövares uppföljning av enstaka patienter inte skulle vara ett sådant systematiskt kvalitetsarbete som lagstiftaren angett i hälso- och sjukvårdslagen och patientdatalagen. Utredningens uppfattning är dock att sådana åtgärder mycket väl kan utgöra en del av vårdgivarens arbete med att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten. Sådan kvalitetssäkring som görs när den som deltagit i vården av patienten följer upp resultatet av sina bedömningar och åtgärder blir tillsammans med övriga yrkesutövares motsvarande uppföljningar av patienter ett omfattande och ständigt pågående kvalitetsarbete.
Genom att formulera närmare riktlinjer för hur kvalitetsarbetet ska gå till uppnås även en tydlig systematik. Systematiken handlar i detta fall bland annat om att avgöra vad som ska följas upp, när det ska göras, hur det ska göras, vem som ska göra det, vilka uppgifter som är relevanta för uppföljningen samt hur erfarenheterna ska återföras. Om exempelvis en vårdgivares akutläkare har som rutin att efter en bedömning av blindtarm följa upp detta när patienten flyttats för vidare vård och behandling på avdelning uppnås en systematik. Om respektive akutläkare även noterar de variationer som tydliggörs vid uppföljningen och vårdgivaren sedan tillhandahåller möjligheter för gemensam återföring till verksamheten uppnås en ännu tydligare struktur för ett ständigt förbättringsarbete för ökad kvalitet.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
504
Riktlinjerna bör vara verksamhetsnära
Rutiner och riktlinjer för kvalitetsarbetet behöver utformas nära och tillsammans med professionsföreträdare för respektive verksamhet. Det går säkert att ha en övergripande riktlinje på vårdgivarnivå som generellt beskriver hur man arbetar med kvalitetssäkring, men sannolikt behöver den sedan konkretiseras i respektive verksamhet. Åtminstone om vi ser framför oss en effektiv uppföljning med förutsättningar för jämförelser och bredare slutsatser.
Systematiken, det vill säga när uppföljning ska ske och vilka uppgifter som behövs, kan skilja sig åt beroende på verksamhetens karaktär, till exempel akutsjukvård, anestesi- och intensivvård jämfört med psykiatri, reumatologi och så vidare. Den kan också skilja sig åt beroende på enskilda yrkesutövares kompetens och erfarenhet. På samma sätt kan formerna för återföring av erfarenheter och kunskap variera. Den gemensamma faktorn är dock alltid behovet av att följa upp och säkra kvaliteten.
Riktlinjerna bör enligt utredningens uppfattning inte beskriva vad personalen får göra, utan vad vårdgivaren förväntar sig att personalen ska göra. Det skapar sannolikt en ökad förutsebarhet och en ökad trygghet för hälso- och sjukvårdspersonalen. Utan tydliga riktlinjer riskerar enskilda yrkesutövares ansträngningar att följa upp hur det går för patienterna även att bedömas som otillåtna. Det berättigade intresset från patienter, närstående, kollegor och ledning är att kvaliteten i verksamheten ständigt följs upp och utvecklas.
It-systemen bör utvecklas
För att arbetet med att följa upp, säkra och utveckla verksamhetens kvalitet ska bli så effektiv och ändamålsenlig som möjligt, samtidigt som patienternas behov av integritetsskydd tillgodoses, behöver sannolikt även it-systemen i hälso- och sjukvården utvecklas. Det bör exempelvis i större utsträckning än i dag vara möjligt för personal att ta del av de uppgifter om patienterna som behövs för kvalitetssäkringen utan att samtidigt bli exponerad för information som inte är relevant i sammanhanget. Genom att ta fram verksamhetsnära riktlinjer som så långt som möjligt ger vägledning kring vad som ska följas upp och hur det ska gå till borde förutsätt-
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
505
ningarna att utveckla ändamålsenliga funktioner i it-systemen bli bättre.
Mycket av den systematik som saknas i kvalitetsarbetet på den verksamhetsnära nivån finns redan på en nationell och regional nivå genom de nationella kvalitetsregistren. I de registren har hälso- och sjukvården tagit ställning till vad som ska mätas, vilka uppgifter som behövs för att göra det, hur det ska göras, vilka mätpunkter och uppföljningsintervall som ska gälla, vilka patientrapporterade utfallsmått som ska användas och vilken personal som ska ha tillgång till uppgifterna etc. Till skillnad från verksamhetens journalsystem, som kan innehålla information som inte har relevans för personalens behov vid kvalitetssäkringen, har även systemstöd för respektive register byggts upp. Det gör det möjligt för personalen att endast ta del av det som behövs i det enskilda fallet. Förutom att det möjliggör en mer effektiv och kvalitetssäkrad uppföljning är det självklart även positivt för patienterna ur ett integritetsperspektiv.
17.4 Våra överväganden och förslag rörande nationella kvalitetsregister
17.4.1 Bestämmelser om nationella kvalitetsregister förs över till hälso- och sjukvårdsdatalagen
Vårt förslag: Stora delar av nuvarande 7 kap. patientdatalagen
om nationella och regionala kvalitetsregister förs över oförändrade till hälso- och sjukvårdsdatalagen. Det rör inledande bestämmelser om kvalitetsregister samt bestämmelserna om den enskildes inställning till registreringen, information, kvalitetsregisters ändamål, personuppgifter som får behandlas samt bevarande och gallring.
Vi bedömer att stora delar av det nuvarande regelverket i 7 kap. patientdatalagen om nationella och regionala kvalitetsregister bör föras över oförändrade till hälso- och sjukvårdsdatalagen. Det innebär bland annat att den inledande bestämmelsen om kvalitetsregisters innebörd överförs till den nya lagen.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
506
Bestämmelsernas tillämpningsområde
Precis som i dag föreslås särskilda bestämmelser gälla för nationella och regionala kvalitetsregister, men inte för lokala register. Vi föreslår att den grundläggande bestämmelsen om tillämpningsområdet för det särskilda regelverket om nationella och regionala kvalitetsregister förs över oförändrad till hälso- och sjukvårdsdatalagen. Regeringen motiverade bestämmelsernas tillämpningsområde i förarbetena till patientdatalagen på följande sätt.8
Datoriserade register vari lagras känsliga personuppgifter som härrör från ett flertal vårdgivares patientverksamhet får anses som mer integritetskänsliga än lokala motsvarigheter. Det finns därför anledning att kringgärda den aktuella personuppgiftshanteringen med vissa specialbestämmelser rörande några för integritetsskyddet viktiga förhållanden. En tydligare reglering genom specialbestämmelser kan också ha den goda effekten att allmänhetens förtroende för registerverksamheten bevaras på en hög nivå. Av samma skäl kan en reglering i bästa fall motverka bortfall genom att enskilda patienter blir mindre benägna att utnyttja rätten att motsätta sig registrering i ett nationellt eller regionalt kvalitetsregister.
Vi delar regeringens bedömning och finner ingen anledning att i dagsläget förändra utgångspunkten för reglernas tillämpningsområde. Personuppgiftsbehandling i lokala kvalitetsregister inom vårdgivarnas verksamheter omfattas därmed inte av de föreslagna särbestämmelserna, utan regleras i stället av hälso- och sjukvårdsdatalagens grundläggande ändamålsbestämmelse m.m. För att särskilja nationella och regionala kvalitetsregister från lokala motsvarigheter ska därför av hälso- och sjukvårdsdatalagen, som i dag, framgå att särbestämmelserna endast gäller för ett kvalitetsregister till vilket personuppgifter från flera vårdgivare samlats in och som möjliggör jämförelser inom hälso- och sjukvården på nationell respektive lokal nivå.
Vidare ska förtydligas att bestämmelserna för nationella och regionala kvalitetsregister gäller oberoende av vilka kvalitetsregister som i finansiellt hänseende m.m. är etablerade som nationella kvalitetsregister.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
507
Betydelsen av den enskildes inställning
Vi föreslår att den nuvarande bestämmelsen om att personuppgifter inte får behandlas i ett nationellt eller regionalt kvalitetsregister om den enskilde motsätter sig det, förs över oförändrad till hälso- och sjukvårdsdatalagen. Vi föreslår således att patienten även fortsättningsvis ska ha en rätt att motsätta sig registrering, men att det inte ska krävas något samtycke till registreringen.9Bestämmelsen ger även patienten en rätt att på begäran få uppgifter utplånade ur ett nationellt eller regionalt kvalitetsregister.
Information
Vidare föreslår vi att nuvarande bestämmelse om att patienten ska få information om personuppgiftsbehandlingen i nationella och regionala kvalitetsregister ska överföras till hälso- och sjukvårdsdatalagen. Bestämmelsen innebär att den som är personuppgiftsansvarig har ett ansvar för att, innan uppgifter behandlas i registret, se till att patienten får information om rätten att när som helst få uppgifter om sig själv utplånade ur registret, i vilken utsträckning personuppgifter inhämtas från någon annan källa än patienten själv eller dennes patientjournal och vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till. Dessutom ska informationen innehålla de uppgifter som enligt den allmänna informationsbestämmelsen i nuvarande 8 kap. 6 § PDL ska lämnas.
Som huvudregel gäller att information ska lämnas innan personuppgiftsbehandlingen börjar, men om det inte är möjligt ska informationen lämnas så snart som möjligt därefter. Detta innebär således att det i vissa fall är möjligt att inleda en personuppgiftsbehandling innan informationsinsatsen har kunnat genomföras. I förarbetena till bestämmelsen anförde regeringen bland annat följande.10
Inom hälso- och sjukvården uppstår inte sällan situationer då information inte kan lämnas på ett tidigt stadium, t.ex. då patientens hälsotillstånd omöjliggör att information lämnas om en personuppgiftsbehandling. Det kan exempelvis bero på att patienten är medvetslös eller alltför fysiskt eller psykiskt medtagen för att kunna ta till sig information av det slag som här avses. Sådana situationer bör inte förhindra att personuppgiftsbehandlingen ändå påbörjas. I annat
9 För förarbetsuttalanden se Prop. 2007/08:126 s. 186–189. 10Prop. 2007/08:126 s. 191.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
508
fall torde t.ex. integrering av elektronisk journalföring och rapportering till kvalitetsregister i många fall försvåras eller till och med omöjliggöras. Undantag föreslås därför gälla, för nationella och regionala kvalitetsregister, i situationer då informationen inte kan lämnas på ett så tidigt stadium. I en sådan situation ska informationen i stället lämnas så snart som möjligt.
Vidare bör förtydligas att det primärt är den vårdgivare som står i begrepp att registrera uppgifter om en patient i ett nationellt kvalitetsregister som ska leva upp till informationsplikten. Informationen ska även innehålla uppgifter om den personuppgiftsbehandling som görs av den myndighet som är personuppgiftsansvarig för central behandling av personuppgifter för det aktuella kvalitetsregistret. Det innebär bland annat att informationen måste innehålla uppgift om vilken myndighet som har det centrala personuppgiftsansvaret och vad som gäller ifråga om den enskildes rättigheter i förhållande till myndigheten, exempelvis i frågor om registerutdrag och utplåning.
När det gäller det närmare innehållet i informationen har Datainspektionen tagit fram ett exempel som finns tillgängligt på www.kvalitetsregister.se. Där återfinns även ett antal andra exempel på hur informationen kan utformas.
Från integritetssynpunkt är det viktigt att patienten tillhandahålls utförlig information om den behandling av personuppgifter som registrering i ett nationellt kvalitetsregister innebär. Informationen behövs för att patienten ska bli medveten om rätten att motsätta sig medverkan och i övrigt kunna ta tillvara sina rättigheter. Det finns en mängd olika tänkbara tillvägagångssättet för att informera patienter om nationella kvalitetsregister. Det finns inget krav på att informationen ska lämnas på ett särskilt sätt, t.ex. skriftligt. Det är upp till varje vårdgivare att bestämma hur informationen ska ges. Informationen ska dock vara utformad på ett sätt som kan förstås av patienten och som uppfyller kraven på innehåll enligt lagen. Att inte tillhandahålla information skriftligt kan dels innebära risker för att all information inte lämnas, dels medföra svårigheter för vårdgivare att se till att alla patienter får samma information. Sedan är det naturligtvis svårare att vid behov bevisa vilken information som lämnas ifall det inte görs skriftligen.
Vårdgivare behöver anpassa tillvägagångssättet att informera efter verksamhetens förutsättningar och patienternas situation. Det är i allmänhet inte tillräckligt att vårdgivaren endast informerar på internet eller genom broschyr eller annat anslag i väntrum, om inte
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
509
detta kompletteras med någon form av hänvisning till patienten att ta del av informationen. Det får däremot bedömas som fullt möjligt för vårdgivare att informera genom flera typer av insatser som tillsammans gör att patienten kan få del av det fullständiga informationsinnehållet. Som exempel kan nämnas att patienten i en kallelse till en vårdgivare med en kortfattad information görs uppmärksam på ett nationellt kvalitetsregister och rätten att motsätta sig samt att det vid besöket hos vårdgivaren finns fullständig information för patienten att ta del av.
Eftersom hänsyn ska tas till den enskilde patientens möjligheter att tillgodogöra sig informationen kan vårdgivaren även behöva olika informationsrutiner för olika situationer. Tillvägagångssättet för att informera patienter kan även skilja sig åt mellan olika typer av verksamheter hos en vårdgivare, bland annat beroende på hur många kvalitetsregister som är relevanta i olika verksamheter. Vårdgivarena kan därför behöva utforma rutiner som är anpassade efter förutsättningarna i respektive verksamhet.
Sammantaget finns inget krav på att patienten måste ha tagit del av informationen om ett kvalitetsregister, men vårdgivaren ska ha gjort patienten uppmärksam på att informationen finns och var den finns samt om att registrering görs för det fall patienten inte motsätter sig. Det är sedan upp till den enskilde patienten att själv avgöra om informationen ska läsas eller inte. Om patienten haft möjlighet att ta del av fullständig information och därefter inte motsatt sig medverkan i registret genom att meddela vårdgivaren det, får vårdgivaren inkludera patientens personuppgifter i det nationella kvalitetsregistret.
Vid Datainspektionens omfattande tillsyn över nationella kvalitetsregister år 2010 framkom stora brister i informationen till patienterna. Informationen var bland annat ofullständig ifråga om vem som var personuppgiftsansvarig och om patienternas rättigheter i flera avseenden. Datainspektionen konstaterade även att det inte är tillräckligt endast med en informationsblankett i väntrum, utan att patienterna även måste uppmärksammas att ta del av informationen.11 Sedan tillsynsinsatsen har framkommit att vårdgivare, företrädare för nationella kvalitetsregister, registercentra och Sveriges Kommuner och landsting drivit ett arbete för att ta fram korrekta och fullständiga patientinformationer. Även om utredningen inte med någon exakthet kan bedöma hur de ser ut
11 Bland annat Datainspektionens beslut 2010-10-11, dnr 1604-2009, 1605-2009, 1606-2009 och 1725-2009.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
510
i dag, är vår uppfattning att medvetenheten om regelverkets krav och vilka åtgärder som är nödvändiga att vidta har ökat bland vårdgivare. Vi har även i samband med konferenser och i möten med s.k. registerhållare för nationella kvalitetsregister fått information som visar på att frågorna prioriterats och att förståelsen för patientinformationen som en grundläggande och integritetsskyddande rättighet är stor.
Kvalitetsregisters ändamål
Vi föreslår att de nuvarande bestämmelserna i 7 kap. patientdatalagen om kvalitetsregisters ändamål förs över oförändrade till hälso- och sjukvårdsdatalagen. Det innebär att det primära ändamålet ska vara att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet och att personuppgifter som behandlas för det ändamålet sedan får behandlas för några uttryckligen angivna sekundära ändamål, t.ex. statistikframställning och forskning. Även bestämmelsen i 7 kap. 6 § PDL som anger att personuppgifter i nationella och regionala kvalitetsregister inte får behandlas för något annat ändamål än de som framgår i 7 kap. ska överföras till hälso- och sjukvårdsdatalagen. I sammanhanget bör dock noteras att det kommer att vara möjligt att behandla personuppgifter för andra ändamål, om ett särskilt och uttryckligt samtycke till det föreligger från patienten. Det framgår även av nuvarande bestämmelser om verkan av den enskildes samtycke i patientdatalagen.12
Personuppgifter som får behandlas
Vidare föreslår vi att nuvarande bestämmelse om vilka personuppgifter som får behandlas i ett nationellt eller regionalt kvalitetsregister förs över till hälso- och sjukvårdsdatalagen. Det innebär att endast sådana personuppgifter som behövs för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet får behandlas i ett nationellt kvalitetsregister. Vidare ska utgångspunkten vara att i första hand behandla personuppgifter som endast indirekt kan hänföras till enskilda patienter. Uppgift om personnummer eller namn får således behandlas endast om det inte är tillräckligt för
12Prop. 2007/08:126 s. 66 och 181.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
511
ändamålet med registret att använda kodade personuppgifter eller indirekt utpekande uppgifter.
För många nationella kvalitetsregister finns behov av att behandla uppgift om patienternas personnummer. Det kan bland annat behövas för att kunna följa patientens utveckling över tid eller samköra uppgifter med andra register, t.ex. något av Socialstyrelsens hälsodataregister. Det får däremot betraktas som mer sällsynt att uppgift om patienternas namn behöver finnas med i nationella kvalitetsregister. Vid Datainspektionens omfattande tillsyn över nationella kvalitetsregister år 2010 framkom att flera vårdgivare behandlade uppgift om patienternas namn i nationella kvalitetsregister utan att ha något egentligt behov av det. Utredningen har i sina kontakter med företrädare för nationella kvalitetsregister blivit informerad om att många vårdgivare och kvalitetsregister sett över sina rutiner för att registrera namn och att de flesta nu har upphört med att göra det.
Bevarande och gallring
Utredningen föreslår att nuvarande bestämmelse om bevarande och gallring av uppgifter i nationella och regionala kvalitetsregister förs över oförändrade till hälso- och sjukvårdsdatalagen. Som huvudregel ska personuppgifter därmed gallras när de inte längre behövs för ändamålet att utveckla och säkra vårdens kvalitet. Vidare följer av bestämmelsen att en arkivmyndighet inom ett landsting eller en kommun får föreskriva att personuppgifter i ett kvalitetsregister som förs inom landstinget eller kommunen får bevaras för historiska, statistiska eller vetenskapliga ändamål. I förarbetena anförde regeringen bland annat följande med avseende på huvudregeln om att uppgifter ska gallras när de inte längre behövs för det ändamål för vilket de samlades in.13
Regeringen anser inte att detta är en tillfredsställande lösning för personuppgifter i nationella och regionala kvalitetsregister. En motsatt utgångspunkt bör enligt regeringens uppfattning i stället gälla, dvs. att personuppgifterna ska gallras då de inte längre behövs för det primära ändamålet med ifrågavarande kvalitetsregister, att systematiskt och fortlöpande säkra och utveckla hälso- och sjukvårdens kvalitet. Även i kvalitetsregister som förs fortlöpande och fylls på med nya personuppgifter, ska gallring regelbundet ske av äldre uppgifter så snart de inte längre behövs för verksamheten. Det är regeringens mening att detta
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
512
förslag balanserar önskemålet om att skydda den enskildes integritet gent-emot behovet av att kunna genomföra långsiktig uppföljning.
Från huvudregeln finns således ett undantag som ger den för registret aktuella arkivmyndigheten en möjlighet att meddela föreskrifter om att uppgifterna ska bevaras för historiska, statistiska eller vetenskapliga syften. Det bör noteras att frågan om bevarande ankommer på arkivmyndigheten hos den myndighet som har personuppgiftsansvar för central behandling av personuppgifter, inte på respektive inrapporterande vårdgivare.
17.4.2 Patientens möjlighet att bidra med uppgifter i registreringen
Vår bedömning: En patient kan, med stöd av vårdgivarens
anvisningar, bidra med uppgifter till ett nationellt kvalitetsregister genom att exempelvis fylla i elektroniska formulär som vårdgivaren tillhandahåller.
Under utredningens arbete har frågan väckts om det är möjligt för patienter att elektroniskt bidra med uppgifter i nationella kvalitetsregister. Enligt utredningens bedömning är den vårdgivare som registrerar uppgifter i ett kvalitetsregister ansvarig för vilka uppgifter som samlas in och har själv att bestämma formerna för detta. Om vårdgivaren anser att uppgifter som patienten bidrar med är av värde för ändamålet med det nationella kvalitetsregistret kan vårdgivaren bestämma om detta och hur det ska gå till.
Att patienter med hjälp av den tekniska utvecklingen elektroniskt kan bidra med uppgifter till ett nationellt kvalitetsregister innebär emellertid inte att patienten har någon ovillkorlig möjlighet eller rätt att på eget initiativ registrera uppgifter i ett kvalitetsregister. Däremot kan vårdgivare i sina rutiner för att inhämta den information som behövs för kvalitetsutvecklingen av hälso- och sjukvården, tillhandahålla definierade möjligheter för patienten att bidra med viktig information. På samma sätt som att en vårdgivare kan be en patient att fylla i en pappersenkät som sedan manuellt registreras i ett kvalitetsregister, kan en patient tillhandahållas ett elektroniskt formulär som efter vårdgivarens anvisning kan fylls i av patienten och elektroniskt överföras till det aktuella kvalitetsregistret. Samtidigt ska uppmärksammas att det, både ur ett
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
513
kvalitets- och ett integritetsperspektiv, är viktigt att sådana elektroniska formulär som patienter kan fylla i utformas på ett sådant sätt att det så långt möjligt endast är de efterfrågade uppgifterna som kan registreras.
En vårdgivare som ger patienter möjlighet att bidra med uppgifter elektroniskt behöver även vidta säkerhetsåtgärder för att skydda uppgifterna från obehörig åtkomst, t.ex. genom att se till att en överföring över internet är krypterad. Även med hänsyn till behovet av tillförlitliga uppgifter och hög datakvalitet i ett nationellt kvalitetsregister kan vårdgivare ha anledning att vidta särskilda åtgärder. Det kan exempelvis handla om att säkerställa att det är den avsedda patienten som bidrar med information till kvalitetsregistret. Något som kan göras exempelvis genom att patienten identifierar sig med e-legitimation eller motsvarande.
17.4.3 Tydligare bestämmelser om personuppgiftsansvar för nationella kvalitetsregister
Vårt förslag: Bestämmelsen om personuppgiftsansvar ska i
hälso- och sjukvårdsdatalagen delas upp i två olika paragrafer för att tydliggöra personuppgiftsansvaret för inrapporterande vårdgivare och personuppgiftsansvaret för central behandling av personuppgifter. Nuvarande möjlighet för regeringen att besluta om undantag från kravet att endast myndigheter kan vara personuppgiftsansvariga för central behandling av personuppgifter överförs till hälso- och sjukvårdsdatalagen.
Vår bedömning: Förslaget innebär inte några förändringar i sak,
utan förtydligar vad som gäller i dag.
Inledning
När personuppgifter registreras i ett kvalitetsregister innebär det att uppgifterna, såväl i offentlighets- och sekretesslagens (2009:400), förkortad OSL, som i personuppgiftslagens mening, lämnas ut från den inrapporterande vårdgivaren till den mottagande aktören. Personuppgiftsansvaret för den behandling av personuppgifter som föranleds av registrering i nationella kvalitetsregister kan därför sägas vara uppdelad på två nivåer, en lokal och en central
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
514
nivå. För den personuppgiftsbehandling som vårdgivare utför när de samlar in och registrerar uppgifter i ett nationellt kvalitetsregister, eller annars behandlar registrerade personuppgifter, är respektive vårdgivare själv personuppgiftsansvarig. I detta personuppgiftsansvar ingår att personuppgifterna behandlas i enlighet med patientdatalagens och offentlighets- och sekretesslagens krav, exempelvis på att information har tillhandahållits patienten, att patienten inte motsatt sig registrering och att uppgifterna är korrekta m.m.
För den centrala behandlingen av inrapporterande uppgifter från samtliga medverkande vårdgivare ansvarar emellertid en eller flera utpekade personuppgiftsansvariga. Av patientdatalagen följer att endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister. Det har fått till följd att det för varje nationellt kvalitetsregister har utsetts en centralt personuppgiftsansvarig myndighet, i de flesta fall en landstingsstyrelse eller en sjukhusstyrelse om sjukhuset är att betrakta som en egen myndighet. Enligt uppgifter från Sveriges Kommuner och Landsting, SKL, är personuppgiftsansvaret för central behandling av personuppgifter i dagsläget fördelat på 15 olika myndigheter inom 12 landsting och regioner. Dessa myndigheter är således ansvariga för ett eller flera nationella kvalitetsregister.
Till det centrala ansvaret hör exempelvis ansvar för övergripande säkerhetsfrågor, för att felaktiga uppgifter rättas, för att utplåning kan göras på patientens begäran, för att gallring och arkivering görs i enlighet med lagstiftningen m.m. I sammanhanget kan även nämnas att regeringen har en möjlighet att besluta om undantag från kravet att endast en myndighet får vara personuppgiftsansvarig för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister.
Sammantaget föreslår vi att det i hälso- och sjukvårdsdatalagen förs in två olika bestämmelser för att tydliggöra dessa två nivåer av personuppgiftsansvar.
Vårdgivares personuppgiftsansvar
Utredningen föreslår att det i kapitlet om nationella och regionala kvalitetsregister i hälso- och sjukvårdsdatalagen införs en bestämmelse som tydliggör att en vårdgivare är personuppgiftsansvarig för sin
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
515
behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister. Att vårdgivaren är personuppgiftsansvarig följer redan av lagens grundläggande bestämmelse om personuppgiftsansvar, men vi bedömer att det finns skäl att särskilt erinra om detta och uttrycka detta i anslutning till övriga bestämmelser om nationella kvalitetsregister. Datainspektionens tillsyn under 2010 visade att det fanns en okunskap kring vem som var personuppgiftsansvarig för vad i kvalitetsregistersammanhang. Även mot den bakgrunden finns det skäl att tydliggöra författningsregleringen.
Personuppgiftsansvaret omfattar, som i dag, bland annat ett ansvar för vårdgivaren att se till att patienterna får möjlighet att ta del av fullständig information om personuppgiftsbehandlingen, att det är rätt uppgifter om rätt patienter som behandlas, att personuppgifter inte behandlas om patienten har meddelat vårdgivaren att han eller hon motsätter sig medverkan samt att patienter som på grund av sitt hälsotillstånd inte har kunnat ta emot information innan personuppgiftsbehandlingen inleddes får information så fort det är möjligt. Vidare är vårdgivaren personuppgiftsansvarig för den behandling av personuppgifter som görs när vårdgivaren genom direktåtkomst tar del av redan inrapporterade uppgifter, exempelvis för att ta fram underlag för ett lokalt kvalitetssäkrings- och förbättringsarbete. Vårdgivaren är i denna del ansvarig för att det endast är behöriga användare hos vårdgivarens om kan ta del av uppgifter i de aktuella kvalitetsregistren och att uppgifterna endast används för de ändamål som är tillåtna.
Direktåtkomst till nationella kvalitetsregister får endast användas för sådana ändamål för vilka kvalitetsregistren är tillåtna. Det innebär i praktiken att direktåtkomsten får användas för att säkra och utveckla vårdens kvalitet, framställa statistik och lämna ut uppgifter i enlighet med lag eller förordning. Det går inte att uttömmande ange i vilka situationer det är tillåtet för en medarbetare hos en vårdgivare att ha direktåtkomst till uppgifter, men några konkreta exempel är för att:
• registrera uppgifter om patienter,
• för att kontrollera och validera registrerade uppgifter, t.ex. jämföra med patientjournalen,
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
516
• för att arbeta med vårdgivarens kvalitetssäkringsarbete, t.ex. göra sammanställningar och beräkningar som ger underlag för att kunna följa upp och jämföra medicinsk och annan kvalitet,
• för att framställa statistik, t.ex. för att informera allmänheten om vårdgivarens kvalitet och resultat, och
• för att kunna administrera ett lagligt utlämnande av uppgifter.
I sammanhanget kan förtydligas att ovanstående tar sikte på direktåtkomst till själva personuppgifterna. Tillgång till rena statistiska uppgifter och sammanställningar som registret genererar och som presenteras utan att de registrerades identitet röjs, föranleder en annan bedömning. Sådana uppgifter kan i regel tillhandahållas öppet och exempelvis publiceras för att informera allmänheten om verksamheten.
Personuppgiftsansvar för central behandling av personuppgifter
Vi föreslår att nuvarande bestämmelse om personuppgiftsansvar för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister förs över oförändrad till hälso- och sjukvårdsdatalagen. Det innebär även fortsättningsvis får endast myndigheter inom hälso- och sjukvården vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister. Vidare får regeringen besluta om undantag från detta.
I det centrala personuppgiftsansvaret ligger bland annat ett ansvar för den övergripande säkerheten kring det aktuella kvalitetsregistret, för att felaktiga uppgifter rättas och för att patienters begäran om utplånande av uppgifter tillgodoses. Uppgifter i ett nationellt kvalitetsregister ska skyddas på ett flertal olika sätt och generellt gäller samma krav på sekretess och skydd för uppgifter i kvalitetsregister som för uppgifter i patientjournaler. Den myndighet som har personuppgiftsansvar för central behandling av personuppgifter har bland annat ett ansvar för att beakta vad som gäller ifråga om utlämnande av personuppgifter. Inte sällan förekommer önskemål om att använda personuppgifter i kvalitetsregister för forskning inom hälso- och sjukvården. Det ankommer på den centralt ansvariga myndigheten att ha rutiner och arbetssätt som gör att rättsliga frågor om utlämnanden kan bedömas och att
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
517
beslutade utlämnanden kan administreras på ett sätt som överensstämmer med kraven på service i den offentliga förvaltningen.
Den myndighet som är personuppgiftsansvarig för central behandling av personuppgifter har även ansvar för att utlämnande genom direktåtkomst till inrapporterande vårdgivare görs på ett sätt som tillgodoser kraven på säkerhetsåtgärder för att skydda personuppgifterna. I samband med Datainspektionens tillsyn över nationella kvalitetsregister år 2010 uppmärksammades bland annat brister i tillvägagångssättet för utlämnande genom direktåtkomst. I flera nationella kvalitetsregister var det vid denna tidpunkt möjligt att ta del av uppgifter genom direktåtkomst över internet med hjälp av en inloggning med användarnamn och lösenord. Det är en otillräcklig säkerhetsnivå när det gäller åtkomst till känsliga personuppgifter om hälsa.
Bestämmelsen i 31 § personuppgiftslagen innebär enligt praxis från Datainspektionen att känsliga personuppgifter får lämnas ut via internet eller annat öppet nät endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering, exempelvis e-legitimation, engångslösenord eller motsvarande. Vidare följer av 2 kap. 5 § Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvård bl.a. att en vårdgivare som använder öppna nät för att hantera patientuppgifter har ansvar för att det finns rutiner som säkerställer att åtkomst till patientuppgifter föregås av stark autentisering. Innebörden av detta är att myndigheten med centralt personuppgiftsansvar måste se till att användares direktåtkomst till personuppgifter i nationella kvalitetsregister föregås av stark autentisering, exempelvis inloggning med SITHS-kort eller motsvarande.
Efter patientdatalagens ikraftträdande har fråga väckts om hur bestämmelsen som anger att endast myndigheter kan vara ansvariga för central behandling av personuppgifter i ett nationellt kvalitetsregister ska förhålla sig till sådana bolag där kommuner och landsting utövar ett rättsligt bestämmande inflytande. Frågan väcktes bland annat av Södersjukhuset AB i samband med ett tillsynsärende från Datainspektionen. På frågan om Södersjukhuset AB omfattas av begreppet myndighet i 7 kap. 7 § patientdatalagen anförde Datainspektionen bland annat följande.14
14 Datainspektionens beslut 2010-10-11, dnr 1606-2009.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
518
Till ledning för bedömningen kan regeringens följande uttalande i samband med den grundläggande bestämmelsen om personuppgiftsansvar i 2 kap. 6 § patientdatalagen tas (prop. 2007/08:126 Patientdatalag m.m. s. 230). ”Enligt förevarande paragraf är det emellertid inte landstinget eller kommunen som är personuppgiftsansvarig. Istället är det den myndighet, nämnd, som behandlar personuppgifterna som är personuppgiftsansvarig. Sådan myndighet omfattar också sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen (1980:100), d.v.s. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande.”
Den bestämmelse i sekretesslagen som regeringen hänvisar till ovan återfinns nu i 2 kap. 3 § OSL.
Mot ovanstående bakgrund gjorde Datainspektionen sedan följande bedömning i frågan.
Datainspektionen bedömer att Södersjukhuset, för det fall man är ett sådant aktiebolag som avses i 2 kap. 3 § offentlighets- och sekretesslagen, omfattas av begreppet myndighete både i 2 kap. 6 § patientdatalagen och i 7 kap. 7 §. Såvitt Datainspektionen kan bedöma utgör därför 7 kap. 7 § patientdatalagen inget hinder för Södersjukhuset att vara personuppgiftsansvarig för central behandling av personuppgifter i Auricula.
Utredningen ansluter sig till Datainspektionens bedömning. De skäl som regeringen anför till stöd för regleringen att enskilda verksamheter inte får vara personuppgiftsansvariga för central behandling av personuppgifter i nationella kvalitetsregister, gör sig inte gällande på samma sätt med avseende på enskilda verksamheter som bl.a. i sekretesshänseende är att jämställa med myndigheter. I sammanhanget bör dock uppmärksammas att bedömningen gäller just sådana bolag som avses i 2 kap. 3 § OSL, dvs. bolag där kommuner och landsting utövare ett rättsligt bestämmande inflytande genom att de ensamma eller tillsammans
1. äger aktier i ett aktiebolag eller andelar i en ekonomisk förening
med mer än hälften av samtliga röster i bolaget eller föreningen eller på någon annat sätt förfogar över så många röster i bolaget eller föreningen,
2. har rätt att utse eller avsätta mer än hälften av ledamöterna i
styrelsen för ett aktiebolag, en ekonomisk förening eller en stiftelse, eller
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
519
3. utgör samtliga obegränsat ansvariga bolagsmän i ett handels-
bolag.
Vidare ska, vid tillämpning av punkterna 1–3, inflytande som utövas av en juridisk person över vilken en kommun eller ett landsting bestämmer på det sätt som anges i de nämnda punkterna anses utövat av kommunen eller landstinget.
17.4.4 Kvalitetsregister ska få användas för att följa upp vård som ges av flera olika vårdgivare
Vårt förslag: En vårdgivare ska få ha direktåtkomst till de upp-
gifter om en patient som vårdgivaren lämnat och till de uppgifter om patienten som en annan vårdgivare lämnat till samma nationella eller regionala kvalitetsregister. För att möjliggöra utlämnande genom direktåtkomst införs en sekretessbrytande bestämmelse i offentlighets- och sekretesslagen.
Vår bedömning: Förslaget syftar till att möjliggöra att kvali-
teten i vården kan utvecklas och säkras även när patienternas vårdprocesser går över vårdgivargränser.
Inledning
Regelverket för nationella kvalitetsregister ger stöd för en särskild form av verksamhetsuppföljning. Samtidigt kan ifrågasättas om regelverket är utformat på ett ändamålsenligt sätt och medför tillräckliga möjligheter för att säkra och utveckla kvaliteten av patienternas vård oavsett hur den enskilde patientens resa genom hälso- och sjukvården har sett ut. Det har under utredningens arbete framkommit tydliga behov av att analysera om regelverket stödjer kvalitetssäkring av vårdprocesser som stäcker sig över vårdgivargränser.
Om en patient får vård av flera vårdgivare för samma hälsoproblem kommer uppgifter om patienten att rapporteras in till kvalitetsregistret från flera olika vårdgivare. Detta är särskilt vanligt vid sådan vård som utförs inom region- eller rikssjukvård, vilket bl.a. omfattar stora sjukdomsgrupper som t.ex. hjärtsjukvård och cancer. I dessa fall genomförs ofta utredningen och eftervården hos
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
520
en vårdgivare och det operativa ingreppet hos en annan vårdgivare. I dessa situationer finns behov av ett effektivt informationsutbyte för att kvalitetssäkra och kvalitetsutveckla såväl den enskilde patientens vårdprocess som den generella vårdprocessen för denna typ av patienter.
Det finns många ytterligare exempel på situationer när patienternas process går genom olika vårdgivares verksamheter. I kommuner och landsting med stor mångfald av vårdgivare, privata och offentliga, är det snarare regel än undantag. Även den hälso- och sjukvård som bedrivs i samverkan mellan kommuner och landsting, t.ex. rörande äldre, inom psykiatrin eller i missbruks- och beroendevården, visar av naturliga skäl också upp dessa förhållanden.
Regelverket för nationella kvalitetsregister medför dock begränsade möjligheter för de inblandade vårdgivarna att kvalitetssäkra hela patientens process. Bestämmelsen i nuvarande 7 kap. 9 § PDL ger vårdgivare möjlighet att ta del av de uppgifter vårdgivaren själv registrerat om en patient, men inte sådana uppgifter som andra vårdgivare registrerat om samma patient. Resultatet av bestämmelsen blir i praktiken att ingen inblandad vårdgivare har ansvar eller möjlighet att använda nationella kvalitetsregister för att säkra och utveckla resultatet av den sammantagna vård som patienten har fått. Detta är ett exempel på när nuvarande lagstiftning inte utgår ifrån individens perspektiv utan från de organisatoriska förutsättningarna. Begränsningarna har även påverkan på möjligheterna att bidra till jämlik vård över landet eftersom de organisatoriska förutsättningarna skiljer sig åt mellan olika landsting och kommuner (se exempel i avsnitt 13.3).
Att inrapporterande vårdgivare har direktåtkomst till uppgifter i kvalitetsregister är en avgörande förutsättning både för att kunna göra en kvalitetssäker registrering och för att i ett senare skede kunna använda uppgifterna och lägga dem till grund för kvalitetsutveckling och förbättringsarbeten. Vårdgivare behöver kunna använda kvalitetsregister för att följa upp sina egna insatser och utvärdera det sammantagna resultatet av vården, inklusive komplikationer m.m., för såväl enskilda patienter som för patientgruppen i stort. Vi kan även utgå ifrån att det ligger i patienternas intresse att de vårdgivare som tillsammans samverkar för att ge patienterna en god och säker vård har ändamålsenliga förutsättningar att kvalitetssäkra verksamheten.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
521
Det innebär en osäkerhet för en vårdgivare att rapportera in uppgifter om en patient utan att veta vilka data som tidigare har rapporterats in om patienten. Utan att kunna se vad som redan registrerats finns uppenbara risker för felaktig registrering, t.ex. genom att samma uppgifter registreras flera gånger, genom att registreringen inte går att hänföra till redan registrerade uppgifter, eller att genom att uppgifter inte alls registreras.
Nedan följer några praktiska exempel som visar på behovet av en ändrad lagstiftning.
Stentrelaterade kranskärlsingrepp – exempel på problem med dagens lagstiftning
Ett praktiskt exempel på behovet av att, för ändamålet kvalitetssäkring, ha direktåtkomst till uppgifter som registrerats om patienten av andra vårdgivare finns rörande hjärtpatienter som har fått en eller flera stentar inopererade i kranskärlen. Genom att samtliga vårdgivare deltar i kvalitetsregistret kan vi i Sverige få en i det närmaste hundraprocentig uppföljning av alla stentrelaterade kranskärlsingrepp och därigenom t.ex. utvärdera olika fabrikat och typer av stent.
Ett ingrepp med insättning av stentar kan utföras på ett länssjukhus under kontorstid, t.ex. Västmanlands sjukhus i Västerås. I sådant fall registreras viktiga uppgifter om stentens placering, dimensioner, tillverkare m.m. i det nationella kvalitetsregistret Swedeheart. Om patienten vid ett senare skede får en blodpropp eller annat akut problem relaterat till hjärtat eller stentarna under jourtid kommer patienten att transporteras akut till sjukhus i angränsande län. I detta fall ofta till Akademiska sjukhuset i Uppsala. Motsvarande aktualiseras även i alla situationer där patienten, efter att stenten inopererats, flyttat till ett annat län.
När patienten kommer till denne nye vårdgivare behöver vårdgivaren veta hur patientens stentar har registrerats i registret för att informationen om den akuta komplikationen ska kunna hänföras till rätt stent. Denna detaljerade information finns inte att tillgå inom ramen för vårddokumentationen och läkare kan inte heller enbart genom undersökning av patienten veta vilken typ av stent som är inopererad och hur den har placerats i hjärtat (ett stent kan vara osynligt vid kranskärlsröntgen). Risken finns då att läkaren inte får uppgift om stentens lokalisation. Uppgifterna om
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
522
den aktuella komplikationen kan då komma att registreras på fel stent, eller ingen stent alls. Detta innebär även uppenbara svårigheter att bedöma patientens komplikationer och följa upp behandlingsresultaten av specifika stentar. I förlängningen kan det leda till att man inte i tid upptäcker om och i sådant fall vilka stentar som ger upphov till så allvarliga komplikationer att det föranleder omedelbara vårdinsatser, nya riktlinjer m.m. samt vilka stentar som inte ger komplikationer.
Höftproteser – exempel på problem med dagens lagstiftning
Ytterligare exempel på en liknande problematik återfinns i samband med uppföljning av komplikationer, t.ex. vad gäller höftproteser. Både vårdvalet och vårdgarantin har ökat patienternas rörelse över vårdgivargränser inom höftproteskirurgin. Årligen görs omkring 2 200 reoperationer på grund av komplikationer, varav knappt 20 procent beräknas vara utförda av annan vårdgivare än den som gjorde primäroperationen.
För att kunna bedriva ett kvalitetssäkringsarbete måste vårdgivaren som gjort primäroperationen få information om de reoperationer som genomförts hos andra vårdgivare. Genom att direktåtkomst till uppgifterna inte är tillåtet är informationsutbytet i dag omständligt och görs enligt uppgift en gång årligen genom utlämnande av kopior efter sekretessprövning/patientsamtycke. Någon möjlighet för den primäropererande vårdgivaren att själv identifiera reoperationer, t.ex. genom direktåtkomst till vissa uppgifter som andra vårdgivare registrerat, för att löpande kunna följa upp sina komplikationer finns därmed inte. Det motverkar möjligheterna till en effektiv och ständigt pågående förbättringsprocess i situationer när patienten har blivit opererad av flera vårdgivare.
Barnhjärtkirurgi – exempel på problem med dagens lagstiftning
Ett annat exempel utgörs av barnhjärtkirurgin och dess nationella kvalitetsregister Swedcon. Barnhjärtkirurgin är en del av rikssjukvården och får därmed bara finnas på två orter, Lund och Göteborg. Det betyder att majoriteten av barn med medfödda hjärtfel kommer att få vård i ett annat landsting än det där barnet
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
523
diagnosticeras och utreds. Den barnkardiologiska kompetensen för utredning finns dessutom i huvudsak på regionsjukhusen. Nedan illustreras ett exempel på patientfall inom barnhjärtkirurgin.
Ett barn föds på Västerås BB och uppvisar tecken på hjärtmissbildning. En första ultraljudsundersökning visar på ett eventuellt behov av operation, varför barnet skickas till Akademiska sjukhuset i Uppsala för kompletterande utredning. Registrering av patientuppgifter påbörjas av Landstinget Västmanland i Swedcon. Utredningen i Uppsala visar att barnet behöver opereras och barnet skickas vidare till Sahlgrenska Universitetssjukhuset i Göteborg. Registrering av patientuppgifter i Swedcon görs av Landstinget i Uppsala län. Patienten opereras och eftervårdas i Göteborg. Registrering av operation och eftervård i Swedcon görs av Västra Götalandsregionen. Patienten följs inledningsvis upp med återbesök i Uppsala (registrering i Swedcon sker). Till och med vuxen ålder följs sedan patienten upp i Västerås. Uppgifter från återbesöken registreras i Swedcon.
I ovanstående exempel inom barnhjärtkirurgin har patienten, p.g.a. hur hälso- och sjukvården är organiserad, varit föremål för åtminstone tre olika vårdgivares åtgärder i en och samma vårdprocess. För att kunna göra en korrekt registrering i kvalitetsregistret och bedriva ändamålsenlig uppföljning av de olika vårdgivarnas insatser krävs tillgång till respektive vårdgivares inrapporterade uppgifter om just denna patient. Västerås behöver t.ex. tillgång till de uppgifter som registrerats av Uppsala och Västra Götalandsregionen dels för att kunna utvärdera det initiala omhändertagandet och utredningen, dels för att kunna se om deras uppföljning av barn som opererats görs på ett adekvat sätt. Den opererande enheten i Göteborg har i sin tur behov av tillgång till de uppgifter i registret som rör den preoperativa utredningen i Västerås och Uppsala. För att Västra Götalandsregionen ska kunna utreda om de väljer att operera rätt patienter och om deras operationer håller god kvalitet måste de ha tillgång till den information i registret rörande kort- och långtidsresultat som registrerats vid uppföljningarna i Uppsala och Västerås. Att göra detta genom utlämnanden efter sekretessprövning eller samtycke i varje enskilt fall är mycket tidskrävande och främjar inte ett effektivt och säkert kvalitetsarbete.
De negativa konsekvenserna som t.ex. dubbelinmatning (ibland t.o.m. trippelinmatning), felinmatning, avsaknad av information och en ökad administration är påtagliga. Ur integritetsperspektiv är det inte heller lätt att se om något har vunnits. Sannolikt kan
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
524
i stället risken för integritetsintrång öka i och med att en utlämnandeprocess kan behöva involvera fler personer än just de som är inblandade i patientens vård och det kontinuerliga förbättringsarbetet. Vidare innehåller en utlämnandeprocess alltid ett mått av osäkerhet. Om den enskildes samtycke av någon anledning inte kan inhämtas är det i dagsläget oklart om uppgifter över huvud taget kan lämnas ut.
Om den nye vårdgivaren snabbt kan få åtkomst till den information som en tidigare vårdgivare lämnat ut till det nationella kvalitetsregistret ökar möjligheterna till en säker hälso- och sjukvård, både för den enskilde patienten och för patientgruppen som helhet.
När det t.ex. gäller Swedeheart innebär åtkomst till de detaljerade uppgifterna i kvalitetsregistret att behandlande läkare redan i samband med det akuta patientbesöket får reda på var stenten är inopererad och vilken typ av stent det är fråga om (tillverkare, dimension m.m.). Genom tillgång till uppgifterna kan läkaren notera nya förträngningar eller stopp i det tidigare åtgärdade kärlsegmentet och registrera komplikationen. Förutom att läkaren får väsentligt bättre förutsättningar att vidta kvalitetssäkrade åtgärder för den enskilde patienten kan läkaren således redan vid patientmötet hänföra och registrera den akuta komplikationen till rätt stent. Det innebär att säkerheten och kvaliteten i registreringen av uppgifter ökar. Registret är också utformat så att det tvingar fram ett ställningstagande på varje tidigare insatt stent (komplikation; ja eller nej m.m.). Det innebär även att det är möjligt att få en komplett uppföljning av patienter, och stentar, oavsett om patienten varit föremål för ingrepp hos olika vårdgivare.
Närmare om vårt förslag
Som redovisats ovan är det inte tillåtet för vårdgivare att ha direktåtkomst till personuppgifter som andra vårdgivare lämnat ut till ett nationellt kvalitetsregister. Genom att utlämnanden av personuppgifter genom direktåtkomst endast är tillåten i den utsträckning som anges i lag eller förordning kan patienten inte heller genom samtycke förfoga över sättet för informationsutbytet. Ett samtycke från patienten möjliggör dock att den myndighet som är personuppgiftsansvarig för central behandling av personuppgifter i
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
525
kvalitetsregistret kan fatta beslut om att lämna ut personuppgifterna till den efterfrågande vårdgivaren. Ett sådant utlämnande kan ske elektroniskt. Det är dock en tidskrävande process att inhämta samtycke, fatta beslut om utlämnande och sedan lämna ut uppgifterna. En sådan handläggning främjar inte en effektiv informationshantering för patientens och verksamhetens bästa.
En annan aspekt i sammanhanget är att den som ska pröva en sådan utlämnandefråga, dvs. myndigheten med centralt personuppgiftsansvar, sällan har någon relation till den enskilde patienten. Dessa relationer har i stället de inrapporterande vårdgivarna. Även detta förhållande riskerar att leda till en utdragen och osäker utlämnandeprocess. Registreringen av uppgifter kan då sällan göras i samband eller i nära anslutning till patientbesöket. I en tidspressad situation är det dessutom inte alltid möjligt att inhämta samtycke. Om patienten inte kan kommunicera försämras dessutom möjligheterna att över huvud taget få reda på om det tidigare registrerats uppgifter om patienten och vilken vårdgivare som i sådant fall gjort det. Kan samtycke av någon anledning inte inhämtas är det även osäkert om uppgifterna, efter menprövning, kan lämnas ut över huvud taget.
Vi anser, bl.a. mot bakgrund av regelverkets organisatoriska fokus, att konsekvenserna av dagens reglering är olyckliga och inte främjar utvecklingen av hälso- och sjukvården. Regelverket bör i större utsträckning stödja en informationshantering som utgår ifrån patientens process – inte ifrån vilken vårdgivare som har varit inblandad i patientens vård och behandling. Enligt utredningens bedömning är det inte ändamålsenligt att begränsa möjligheten till direktåtkomst till de uppgifter om patienten som vårdgivaren själv registrerat. Möjligheterna att på ett effektivt sätt ta del av relevanta uppgifter för att göra en ändamålsenlig verksamhetsuppföljning beror i dagsläget i allt för hög grad på hur hälso- och sjukvården är organiserad.
För att kunna följa patientens väg genom vården och i nationella kvalitetsregister kunna registrera och hänföra uppgifter till den enskilde patienten krävs således ökade möjligheter till direktåtkomst till uppgifter som andra vårdgivare lämnat ut till kvalitetsregistret. Vi föreslår därför att en vårdgivare inte endast ska få ha direktåtkomst till sådana uppgifter om en patient som vårdgivaren själv registrerat i ett kvalitetsregister utan även till uppgifter om samma patient som andra vårdgivare registrerat i samma register. Förslaget gör det alltså möjligt att ta ansvar för och
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
526
kvalitetssäkra patienternas processer oavsett hur den enskilde patientens resa genom hälso- och sjukvården ser ut.
Det kan innebära risker för den personliga integriteten att ge ökade möjligheter till direktåtkomst. Vår bedömning är emellertid att riskerna i detta fall är små, medan den potentiella nyttan är väldigt stor. Ur ett integritetsperspektiv är det viktigt att erinra om att direktåtkomsten och behovet av denna alltid är beroende av om patienten har eller har haft en relation till en viss vårdgivare i just denna vårdprocess.
Vi föreslår alltså inte någon generell möjlighet för ett okontrollerbart antal vårdgivare att ta del av uppgifter om patienten. Det blir inte frågan om någon egentlig spridning av uppgifter till verksamheter eller användare som inte redan äger kännedom om patienten och dennes aktuella hälsotillstånd. Det handlar enbart om att öka möjligheterna för direktåtkomst till de situationer då patientens väg genom vården gör det påkallat. Även med beaktande av patientens grundläggande rätt till självbestämmande genom möjlighet att motsätta sig medverkan i nationella kvalitetsregister samt till övriga integritetsskyddande bestämmelser om t.ex. behörighetsstyrning och åtkomstkontroll, kan potentiella integritetsförluster betraktas som små.
Vidare vill vi förtydliga att de ökade möjligheterna till direktåtkomst inte innebär att uppgifter i kvalitetsregister får användas på något annat sätt än vad som är fallet i dag. Direktåtkomsten ska endast få ske för sådana ändamål för vilket kvalitetsregistret är tillåtet. Det innebär exempelvis att hälso- och sjukvårdspersonal inte får ta del av uppgifter i ett kvalitetsregister för ändamål som rör den enskilda patientens vård och behandling. För att ta del av och utbyta uppgifter som behövs i och för vården av patienter gäller de grundläggande bestämmelserna och de i det föregående redovisade förslagen om direktåtkomst genom sammanhållen journalföring samt direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för.
Sekretessbrytande bestämmelse
I offentlighets- och sekretesslagen finns i dag en sekretessbrytande bestämmelse som möjliggör själva kvalitetsregisterrapporteringen. Enligt bestämmelsen hindrar inte hälso- och sjukvårdssekretessen i 25 kap. 1 § OSL att uppgifter lämnas till ett nationellt eller
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
527
regionalt kvalitetsregister. Bestämmelsen tar därmed sikte det informationsutbyte som görs när en vårdgivare lämnar ut uppgifter till ett nationellt eller regionalt kvalitetsregister.
För att möjliggöra det utlämnande genom direktåtkomst som här föreslås behövs en motsvarande bestämmelse som gör att uppgifterna kan lämnas från ett nationellt eller regionalt kvalitetsregister. I rättslig mening görs utlämnandet från den myndighet som har personuppgiftsansvar för central behandling av personuppgifter för ett visst nationellt kvalitetsregister, till de vårdgivare som använder registret. Eftersom bestämmelser om direktåtkomst inte i sig har sekretessbrytande verkan, måste vårt förslag om direktåtkomst därför kombineras med en sekretessbrytande bestämmelse.
I sammanhanget kan noteras att utlämnande genom direktåtkomst från kvalitetsregister till inrapporterande vårdgivare redan i dag äger rum. Någon sekretessbrytande regel härom finns däremot inte. I förarbetena till patientdatalagen lämnas, såvitt vi kunnat avgöra, däremot ingen vägledning kring detta. Möjligen gjorde regeringen bedömningen att det för vårdgivares direktåtkomst inte behövdes någon sekretessbrytande bestämmelse, eftersom direktåtkomsten i dag bara får avse just de uppgifter som vårdgivaren själv lämnat till kvalitetsregistret. Formellt sett är det dock även i dag fråga om ett utlämnande när myndigheten som har det centrala ansvaret gör det möjligt för inrapporterande vårdgivare att ta del av uppgifter genom direktåtkomst. Regeringen uttalade bland annat följande i förarbetena.15
Det kan här påpekas att personuppgifterna som finns lagrade i ett kvalitetsregister enligt såväl sekretesslagens som personuppgiftslagens synsätt är utlämnade från den inrapporterande vårdenheten och att ett nytt utlämnande äger rum då vårdenheten ges tillgång till ”sina” patientuppgifter i registret.
Vårt förslag om utökade möjligheter till direktåtkomst innebär, som tidigare redovisats, att vårdgivare under vissa förutsättningar även får ta del av uppgifter som har lämnats till registret av andra vårdgivare. I samband med att vi lägger det förslaget är det viktigt att tydliggöra regleringen i offentlighets- och sekretesslagen, så att vårt förslag om direktåtkomst kan genomföras i praktiken. Vi föreslår således att det i offentlighets- och sekretesslagen tas in en bestämmelse som innebär att hälso- och sjukvårdssekretess enligt
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
528
26 kap. 1 § OSL inte hindrar att uppgifter lämnas från ett nationellt eller regionalt kvalitetsregister enligt vad som föreskrivs om direktåtkomst i 10 kap. hälso- och sjukvårdsdatalagen.
17.4.5 Kvalitetsregister ska kunna användas för patienter med nedsatt beslutsförmåga
Vårt förslag: Det ska vara möjligt för vårdgivare att behandla
personuppgifter i ett nationellt eller regionalt kvalitetsregister även om den enskilde inte endast tillfälligt saknar förmåga att ta ställning till personuppgiftsbehandlingen. Villkoren för sådan personuppgiftsbehandling ska vara att den enskildes inställning till personuppgiftsbehandlingen så långt möjligt klarlagts och att det inte är uppenbart att den enskilde skulle ha motsatt sig sådan personuppgiftsbehandling.
Inledning
Som redovisats ovan har patienter en rätt att motsätta sig registrering i ett nationellt kvalitetsregister. Personuppgifter rörande patienter som, efter att ha fått information om personuppgiftsbehandlingen, väljer att motsätta sig en medverkan får således inte behandlas i nationella och regionala kvalitetsregister. Omvänt innebär detta att vårdgivare får behandla personuppgifter rörande patienter som valt att inte motsätta sig. Som tidigare nämnts har Datainspektionen tolkat patientdatalagen på ett sådant sätt att en person som saknar beslutsförmåga inte kan inkluderas i ett nationellt kvalitetsregister med mindre än att en legal ställföreträdare fått information om registret och därefter inte motsatt sig registreringen. En sådan bedömning leder i praktiken till att den patient som saknar förmåga att ta del av informationen om registret och sedan ta ställning till sin medverkan inte kan inkluderas i kvalitetsregistret. Detta eftersom det i normala fall saknas legala ställföreträdare som i dessa avseenden anses kunna företräda individen.
Sammantaget får det enligt gällande rätt anses oklart om det över huvud taget är möjligt att inkludera vuxna personer som inte endast tillfälligt har nedsatt beslutsförmåga i nationella eller regionala kvalitetsregister. För att kunna tillgodose alla patienters
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
529
behov av en säker och ständigt förbättrad hälso- och sjukvård finns därför skäl av att lägga förslag som gör detta möjligt.
Utredningens delbetänkande SOU 2013:45
Utredningen har i delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga, SOU 2013:45, föreslagit ändringar av patientdatalagen som gör det möjligt för vårdgivare att behandla personuppgifter i nationella kvalitetsregister även för personer med nedsatt beslutsförmåga. Vi föreslår nu att det förslaget i stället tas in i den hälso- och sjukvårdsdatalag som vi föreslår.
I det följande återges centrala delar av vårt förslag, i linje med vad utredningen anförde i det ovan nämnda delbetänkandet. För ytterligare bakgrundsbeskrivning och vägledning hänvisas till delbetänkandet, se särskilt s. 103 f. och 131 f.
Närmare om vårt förslag
Det är enligt utredningen angeläget att det förbättringsarbete som genomförs med hjälp av nationella kvalitetsregister fortsättningsvis kan göras för alla patienter oavsett graden av beslutsförmåga. Det övergripande syftet med de nationella kvalitetsregistren är att säkra och utveckla kvaliteten inom olika områden i den svenska hälso- och sjukvården. Det allmänna intresset av sådan verksamhet kan knappast ifrågasättas. Det kan därför inte råda någon tvekan om att det är av stort allmänt intresse att kvaliteten i vården för de som inte själva kan ge uttryck för sin vilja eller ta ställning till olika alternativ ständigt utvecklas och säkras. Det handlar om bärande värden i samhället och om att tillgodose alla människors behov av trygghet och rätt till bästa möjliga vård och omhändertagande. De professionsdrivna initiativen som kvalitetsregister ofta är måste mot den bakgrunden även fortsättningsvis kunna skapa nytta och bidra till ett bättre resultat både för de som har och de som saknar beslutsförmåga. Det gör det också möjligt att utveckla själva kvalitetsregistren så att de blir ännu bättre verktyg och bidrar till ännu mer kunskap och kunskapsåterföring.
Vi anser att lagstiftaren har ett särskilt ansvar för den grupp som inte själva kan utöva sitt självbestämmande. Enligt vår mening
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
530
handlar ansvaret i detta fall om att göra det möjligt att använda nationella kvalitetsregister även för utvecklingen av vården för personer med nedsatt beslutsförmåga. Det står samtidigt klart att en sådan möjlighet även kan innebära ökade risker för intrång i enskildas personliga integritet.
Vår sammantagna bedömning är att det behov som finns av att utveckla vården och omhändertagandet av personer med nedsatt beslutsförmåga och den nytta som nationella kvalitetsregister kan bidra med, väger tyngre än den ökade risken för integritetsintrång som vårt förslag skulle kunna innebära.
Vidare innebär inte en registrering i ett kvalitetsregister att individens personuppgifter blir exponerade för en ansenlig mängd andra personer. En registrering i ett kvalitetsregister innebär rent formellt att uppgifterna lämnas ut till en myndighet i hälso- och sjukvården, dvs. i princip en myndighet inom ett landsting, där normalt sett endast ett fåtal personer har tillgång till det nationella kvalitetsregistret som helhet. Den mottagande myndigheten är på central nivå personuppgiftsansvarig för den behandling av personuppgifter som görs. I personuppgiftsansvaret ligger bl.a. ett ansvar för de tekniska och organisatoriska åtgärder som krävs för att skydda uppgifterna. Hos myndigheten gäller dessutom sekretess för uppgifterna. Vid en jämförelse med vårddokumentationen, dvs. uppgifter i en patientjournal, innehåller ett kvalitetsregister dessutom ett begränsat antal uppgifter om individen och dennes hälsa. Det är till stor del de verksamheter som själva registrerar uppgifter i ett register – enheter och kliniker på sjukhus, äldreboenden, vårdcentraler, m.fl. – som också sedan använder sina egna registrerade uppgifter för att förbättra sin egen verksamhet och resultatet för nuvarande och kommande patienter.
Mot den bakgrunden föreslår vi att det ska vara möjligt för vårdgivare att behandla personuppgifter i ett nationellt eller regionalt kvalitetsregister även om den enskilde inte endast tillfälligt saknar förmåga att tillgodogöra sig den information som lämnas och ta ställning till registreringen. Även patienter med nedsatt beslutsförmåga ska därmed få dra nytta av och bidra till den kvalitetsutveckling av hälso- och sjukvården som kan ske genom nationella kvalitetsregister.
Av hänsyn till behovet av skydd för den enskildes personliga integritet föreslår vi för det första att personuppgiftsbehandling rörande en person som inte endast tillfälligt saknar förmåga att ta ställning till registreringen endast får ske under förutsättning att
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
531
den enskildes inställning till personuppgiftsbehandlingen så långt möjligt klarlagts. Personuppgiftsbehandlingen får för det andra endast ske om det inte är uppenbart att den enskilde skulle ha motsatt sig personuppgiftsbehandlingen.
För att den föreslagna bestämmelsen över huvud taget ska vara tillämplig krävs således att
1. den enskilde bedöms inte endast tillfälligt sakna förmåga att ta
ställning till personuppgiftsbehandlingen,
2. den enskildes inställning till personuppgiftsbehandlingen så
långt möjligt klarlagts, och
3. det inte är uppenbart att den enskilde skulle ha motsatt sig
personuppgiftsbehandlingen.
Patienter som registrerats tidigare och inte motsatt sig
En särskild fråga är hur vårdgivare ska agera i förhållande till en patient som registrerats vid en tidpunkt när förmåga att ta ställning till personuppgiftsbehandlingen fanns, men som i ett senare skede utvecklar en sjukdom som påverkar beslutsförmågan negativt. Särskilt i vissa kvalitetsregister där uppgifter om patienten registreras över en längre tid, t.ex. register för kroniska sjukdomar och register med särskilt fokus på äldre, torde detta aktualiseras.
I sammanhanget bör därför tydliggöras att en vårdgivare, i relation till en patient som när denne inkluderades i ett kvalitetsregister för första gången fick information och hade förmåga att ta ställning till sin medverkan, kan fortsätta registrera och i övrigt behandla uppgifter om patienten även om denne vid ett senare skede drabbas av nedsatt beslutsförmåga. Det bör därmed inte krävas någon omprövning av patientens inställning ifall denne, när beslutsförmåga i detta avseende fanns, fått information och valt att inte motsätta sig registreringen. För en sådan patient, där laglig grund för registrering förelegat, kan således fortsatt registrering över tid ske.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
532
Närmare om bedömningen av beslutsförmåga och den enskildes inställning till personuppgiftsbehandlingen
I ett första skede ska en bedömning göras av den enskildes förmåga att själv ta ställning till medverkan i ett kvalitetsregister. Sedan har hälso- och sjukvårdspersonalen i ett andra skede att så lång möjligt försöka klarlägga vad den enskilde skulle ha kunnat ha för inställning till en sådan medverkan och den personuppgiftsbehandling det skulle innebära. Om det framstår som uppenbart att den enskilde skulle ha motsatt sig, får en registrering i ett nationellt kvalitetsregister inte ske.
Det är alltså yrkesutövare hos den vårdgivare som vill inkludera en individ och använda ett nationellt kvalitetsregister som också har att bedöma om patienten har beslutsförmåga i det enskilda fallet. Hur denna process för bedömning närmare bör se ut lämnas till vårdgivarna att avgöra. En förutsättning är dock att vårdgivarna tar fram rutiner och riktlinjer som ger hälso- och sjukvårdspersonalen stöd dels i hur en bedömning av beslutsförmågan bör göras, dels i frågor om hur personalen i olika situationer kan försöka klarlägga den enskildes inställning.
Utredningen anser inte att det i lagstiftning bör ställas upp något krav på vem som ska göra bedömningen och hur det ska ske. Sannolikt kommer rutinerna för detta skilja sig åt beroende på i vilken situation och i vilken typ av verksamhet patienten befinner sig i. I den kommunala hälso- och sjukvården bör det exempelvis finnas goda möjligheter att göra bedömningen antingen i samband med vårdplanering vid utskrivning från slutenvården eller vid en ny individuell vårdplanering i hemsjukvården eller i ett särskilt boende. Även ett informationsmöte inför en flytt till särskilt boende kan vara ett bra tillfälle, inte minst om närstående medverkar och kan ge vägledning för bedömningen. På samma sätt borde primärvården ha tillfälle att göra motsvarande bedömning vid en vårdplanering, men annars i samband med sina reguljära kontakter med patienterna. För de register som syftar till att utveckla och säkra kvaliteten i de delar av hälso- och sjukvården som bedrivs i mer akuta situationer borde, som ovan berörts, bedömningen av patientens förmåga att ta ställning till medverkan i kvalitetsregister kunna göras i samband med ett återbesök eller annan uppföljande kontakt.
En annan fråga är hur ofta en bedömning av patientens beslutsförmåga ska göras när det gäller registrering i nationella eller
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
533
regionala kvalitetsregister. Utredningens uppfattning är att vårdgivaren som sådan har en skyldighet att göra denna bedömning i anslutning till att vårdgivaren för första gången inkluderar en patient i ett kvalitetsregister. Det överensstämmer även med vad som redan i dag gäller. Bedömningen behöver därmed inte ske varje gång en och samma vårdgivare registrerar uppgifter i det aktuella kvalitetsregistret. Om patientens beslutsförmåga varierar över tiden är det dock viktigt att hälso- och sjukvårdspersonalen försöker nå fram till patienten vid ett tillfälle när man bedömer att förmågan att ta ställning finns.
Vidare behöver det inte vara den yrkesutövare som gör själva registreringen som även har bedömt den enskildes beslutsförmåga och försökt ta reda på den enskildes inställning enligt nedan. Arbetsuppgiften att registrera uppgifter i ett kvalitetsregister kan därmed vara åtskild från den bedömning som vårt förslag ställer krav på. Inte minst i den kommunala hälso- och sjukvården kan dessa två moment göras vid olika tillfällen och av olika kategorier av yrkesutövare. Själva bedömningen beslutsförmågan och utredningen om den enskildes inställning kanske t.ex. görs av en sjuksköterska vid dennes kontakter med den enskilde och dennes närstående, medan själva registreringen sedan kommer att utföras av undersköterskor, arbetsterapeuter, sjukgymnaster m.fl. som arbetar i verksamheten.
Den som står i begrepp att inkludera en patient som bedömts ha nedsatt beslutsförmåga i detta avseende ska självfallet respektera patientens inställning om det är känt att denne tidigare motsatt sig registrering i nationella kvalitetsregister. Hälso- och sjukvårdspersonalen ska beakta vad en patient tidigare i livet kan ha uttalat i frågan. Även vetskap om att patienten tidigare medverkat i andra kvalitetsregister kan vara sådan information som ger personalen stöd i sitt agerande. En förutsättning för registrering i ett kvalitetsregister ska därför vara att den enskildes inställning så långt möjligt klarlagts och beaktats. Det innebär även att närstående, i förekommande fall, bör tillfrågas om vad de vet om patientens inställning. Välgrundade uppfattningar från närstående ska tas om hand och vara vägledande för hälso- och sjukvårdspersonalens beslut om registrering ska ske eller inte. För flera av de kvalitetsregister som används i vården av de mest sjuka äldre borde möjligheterna att göra närstående delaktiga vara goda. Det kan exempelvis handla om att personalen i samband med att den enskilde får plats i ett särskilt boende även informerar närstående om hur man arbetar
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
534
med kvalitetsutveckling i allmänhet och om de för verksamheten aktuella kvalitetsregistren i synnerhet. Sådan information borde även kunna lämnas inför andra planerade åtgärder, som exempelvis operationer.
Även om närstående tillfrågas bör dock själva beslutet att registrera eller inte registrera uppgifterna alltid fattas av hälso- och sjukvårdspersonalen. Närstående har således ingen formell rätt att bestämma i den enskildes ställe. Registrering i ett kvalitetsregister ska därmed enligt vårt förslag inte heller vara otillåtet om närstående av någon anledning inte kan höras i saken. Ett sådant förbud skulle föra med sig att kvalitetsregister endast skulle kunna användas för de patienter som har en eller flera närstående som kan uttala sig i frågan. Lagstiftaren har redan i dag, genom att inte ställa krav på samtycke, utgått ifrån att de allra flesta personer skulle vilja bidra till den utvecklingen av hälso- och sjukvården som en medverkan i kvalitetsregister kan leda till om de blir tillfrågade. Det vore därför enligt vår uppfattning en olycklig utveckling att utesluta någon från deltagande i ett nationellt kvalitetsregister på grundval av faktorer som egentligen inte är bärande på frågan om vad den enskilde kan tänkas ha för inställning i saken.
Sammantaget bedömer vi att våra förslag gör det möjligt att bedriva ett effektivt arbete för att utveckla och säkra kvaliteten i vården för alla patienter, samtidigt som hänsyn tas till behovet av skydd för den personliga integriteten för dem som själva inte kan ge uttryck för sin inställning. Genom vårt förslag tar lagstiftaren ett särskilt ansvar för att tillhandahålla nödvändiga förutsättningar för att förbättra vården för en svag patientgrupp med ett särskilt behov av skydd. Våra förslag när det gäller personuppgiftsbehandling i nationella kvalitetsregister ökar möjligheterna till en jämlik hälso- och sjukvård av hög kvalitet.
Förslagets förhållande till personuppgiftsbehandling i mer akuta situationer
Redan i dag är det möjligt att inleda en personuppgiftsbehandling i ett nationellt kvalitetsregister innan den enskilde har fått information om registret och haft en möjlighet att ta ställning till sin medverkan. En förutsättning är dock att information ska lämnas så snart som möjligt och att redan registrerade personuppgifter ska tas bort ifall patienten i detta skede motsätter sig registrering. Som
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
535
redovisats ovan föreslår vi att denna möjlighet förs över oförändrad till hälso- och sjukvårdsdatalagen.
I en situation som det här är frågan om och som inte sällan är av mer akut karaktär kan det saknas möjlighet att bedöma om den enskilde endast högst tillfälligt eller mer varaktigt har nedsatt förmåga att ta emot information och ta ställning till medverkan i ett kvalitetsregister. De skäl som ligger bakom den nuvarande regleringen gör sig även lika starkt gällande alldeles oavsett eventuella variationer i patientens beslutsförmåga. Vårt förslag om personuppgiftsbehandling i kvalitetsregister för personer som inte endast tillfälligt saknar beslutsförmåga ska därför inte inskränka de nuvarande möjligheterna att i en mer brådskande situation företa en personuppgiftsbehandling för att i ett senare skede fullgöra informationsplikten m.m. Hälso- och sjukvårdspersonalen ska därför, precis som i dag, i dessa mer brådskande situationer inte behöva bedöma patienternas beslutsförmåga utan i stället kunna göra en registrering med stöd av de i dag befintliga bestämmelserna. Det innebär att personuppgifterna kan registreras i en sådan situation och att verksamheten sedan när patientens hälsotillstånd så medger ska lämna information och ge patienten en möjlighet att ta ställning till sin medverkan. Om det vid denna tidpunkt däremot visar sig att patienten sannolikt inte har återfått, eller inte tidigare haft, förmågan att ta ställning till saken ska vår föreslagna bestämmelse tillämpas. I ett sådant fall får fortsatt registrering således ske om det efter att man försökt klarlägga den enskildes inställning inte är uppenbart att den enskilde skulle ha motsatt sig personuppgiftsbehandlingen.
Detta förfarande kan bli särskilt aktuellt exempelvis i strokevården och i intensivvården. I dessa fall kan därmed bedömningen av patientens beslutsförmåga behöva göras i samband med en uppföljning efter t.ex. en eller tre månader.
17.4.6 Att utvidga ett nationellt kvalitetsregister
Vår bedömning: Nationella kvalitetsregister kan i enlighet med
gällande regelverk utvidgas genom en rad olika tillvägagångssätt, t.ex. genom hopslagning av två eller flera befintliga kvalitetsregister eller att nya variabler tillförs kvalitetsregistret. Beroende på omständigheterna i det enskilda fallet väcks ett antal frågor om sekretess och personuppgiftsbehandling. Några särskilda regler härom bör inte införas i hälso- och sjukvårdsdatalagen.
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
536
Inledning
De nationella kvalitetsregistren har byggts upp under lång tid och successivt etablerats för avgränsade diagnoser, verksamheter eller medicinska specialiteter. I takt med att ny kunskap genereras utvecklas även de enskilda kvalitetsregistren. Det kan exempelvis handla om att nya variabler tillförs registret eller att redan insamlade uppgifter börjar användas för delvis nya ändamål. Efter en tid med många små kvalitetsregister har det, enligt vad utredningen fått veta, även identifierats fördelar med att under vissa förutsättningar slå ihop kvalitetsregister med varandra. Det handlar i dessa fall om två eller fler nationella kvalitetsregister, som om de hade startats i dag sannolikt hade utgjort ett samlat kvalitetsregister.
Gemensamt för de kvalitetsregister som överväger hopslagning är att det finns något centralt som förenar dem och att detta är större eller fler saker än vad som skiljer registren åt. Det kan exempelvis handla om att de följer och utvecklar vården för patienter i samma vårdkedja eller att de följer två patientgrupper där verksamhetens kvalitet bör säkras och utvecklas genom ett gemensamt arbetssätt. Frågor om hopslagning av nationella kvalitetsregister handlar därför inte, enligt utredningens bedömning, om en utveckling mot ett enda gigantiskt kvalitetsregister innehållande personuppgifter om större delen av den svenska befolkningen eller en utveckling mot kvalitetsregister som innehåller uppgifter som inte har något samband med varandra med avseende på frågan om att säkra och utveckla kvaliteten i hälso- och sjukvården.
Utredningen har förståelse för att nationella kvalitetsregister är under ständig utveckling och påverkas såväl av nya landvinningar som av organisatoriska och andra förutsättningar. Exempelvis kan ny kunskap ge anledning att ifrågasätta om befintliga strukturer för kvalitetsutveckling är ändamålsenliga eller om det finns anledning att vidta åtgärder för att åstadkomma ännu bättre förutsättningar för kvalitetssäkring och kvalitetsutveckling. Sådana överväganden kan mycket väl ha beröringspunkter med nationella kvalitetsregister och ge upphov till frågor om hopslagningar eller andra förändringar av befintliga kvalitetsregister. Även organisatoriska förändringar som exempelvis växling av ansvaret för hemsjukvård från landsting till kommuner kan också ge upphov till behov av att se över och eventuellt förändra kvalitetsregisters innehåll, bredd
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
537
och samverkan. I detta kan sannolikt uppstå situationer när två eller fler nationella kvalitetsregister, för att förbättra möjligheterna till kvalitetsutveckling, identifierar ett behov av att genom hopslagning skapa ett gemensamt nationellt kvalitetsregister.
Det är inte möjligt att uttömmande redovisa för samtliga tänkbara alternativa scenarion vid utvidgning av ett nationellt kvalitetsregister. På en övergripande nivå kan en utvidgning antingen ske genom att ett kvalitetsregister helt enkelt tillförs nya variabler som ska registreras eller att två eller fler befintliga kvalitetsregister slås ihop. Hopslagning av två kvalitetsregister torde därmed i rättslig mening betraktas som en utvidgning av ett av de befintliga registren.
En utvidgning av ett nationellt kvalitetsregister behöver, oavsett om det görs genom en hopslagning av befintliga register eller på andra sätt, dock föregås av en analys av de rättsliga förutsättningarna för utvidgningen. Enligt utredningens bedömning kan omständigheterna i det enskilda fallet skilja sig åt på en mängd olika sätt, vilket kan ge upphov till olika rättsliga frågeställningar. Gemensamt är dock att frågor om sekretess och personuppgiftsbehandling särskilt kan behöva analyseras.
Alldeles oavsett hur ett nationellt kvalitetsregister utvidgas ska regelverket för nationella kvalitetsregister följas. Det innebär att personuppgifter som avses inkluderas efter utvidgningen ska behandlas i enlighet med de grundläggande förutsättningarna i lagstiftningen. Det betyder bland annat att kraven på information om registret ska vara uppfyllt, att en myndighet har personuppgiftsansvar för central behandling av personuppgifter samt att patienterna inte har motsatt sig.
Personuppgifter som redan innan utvidgningen behandlades i det nationella kvalitetsregistret får naturligtvis även fortsättningsvis behandlas i registret. Beroende på omständigheterna i det enskilda fallet kan det dock inte uteslutas att en utvidgning medför att de redan inkluderade uppgifterna kommer att behandlas delvis för ett nytt ändamål. Om så är fallet beror på hur utvidgningen förhåller sig till registrets ursprungliga ändamål. I de flesta fall, t.ex. när nya variabler tillförs ett register, torde det emellertid inte innebära någon förändring i ändamålet med registret. I andra fall kan det emellertid vara fråga om en sådan väsentlig utvidgning att det handlar om att ändamålet med registret förändras. I ett sådant fall ska tydlig information om det nya ändamålet lämnas t.ex. på en
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
538
webbplats eller i tidningsannonser. I förarbetena till patientdatalagen anförde regeringen följande i sammanhanget.16
Om ett kvalitetsregister först i ett senare skede avses användas för ett nytt ändamål eller planeras att samköras utan att registrerade patienter blivit informerade om detta vid registreringen är det tillräckligt att tydlig information om det nya ändamålet eller samkörningen lämnas t.ex. på en webbplats eller i tidningsannonser.
Sammantaget anser utredningen att de frågeställningar om behandling av personuppgifter som uppstår, kan hanteras inom ramen för gällande rätt. Vi bedömer således att det inte finns behov av att i hälso- och sjukvårdsdatalagen särskilt reglera frågor om hur nationella kvalitetsregister kan och får utvidgas.
Kan uppgifter från ett annat kvalitetsregister inkluderas?
Om en utvidgning görs genom hopslagning av två eller fler nationella kvalitetsregister uppstår delvis andra frågor. Enligt utredningens synsätt innebär en hopslagning av två kvalitetsregister att ett av dessa register utvidgas, dvs. i den meningen att nya variabler kommer att registreras fortsättningsvis. De personuppgifter som redan finns i kvalitetsregistret får fortsatt behandlas i registret under förutsättningarna som redovisats ovan om nya ändamål m.m.
En central fråga är dock hur uppgifterna i det andra kvalitetsregistret får behandlas, dvs. i registret som i praktiken upphör eller som åtminstone inte kommer att vara föremål för nyregistreringar. Under utredningens arbete har frågan väckts om det är möjligt att till det utvidgade kvalitetsregistret överföra och fortsättningsvis behandla sådana personuppgifter som tidigare behandlades i det kvalitetsregister som nu upphör. Det handlar alltså i praktiken om möjligheterna att överföra historiska uppgifter från detta kvalitetsregister till det utvidgade, delvis nya, kvalitetsregistret.
Inledningsvis kan utredningen konstatera att frågan varken berördes av regeringen eller av patientdatautredningen i samband med förarbetena till patientdatalagen. Det finns därför ringa vägledning att hämta för en bedömning av saken. Samtidigt anser utredningen att det är viktigt att frågan får en närmare granskning. Inte minst eftersom den pågående utvecklingen av nationella
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
539
kvalitetsregister är stor. Vidare kan hopslagning av strukturer för kvalitetsutveckling även ha betydelse för ambitionerna att minska onödig administration i vården och åstadkomma ett effektivare resursutnyttjande. Vid en hopslagning av två befintliga kvalitetsregister är det, såvitt utredningen fått veta, inte heller ovanligt att det i registren finns till stor del samma kategorier av uppgifter om samma patienter. En sådan sammanslagning kan därmed möjligen underlätta för patienten att tillvarata sina rättigheter genom att det blir en myndighet och ett kvalitetsregister som patienten har att förhålla sig till, i stället för två.
Nedan redogörs för våra överväganden i två olika situationer. Det handlar om förutsättningarna dels när samma myndighet ansvarar för de två registren, dels när ansvaret för central personuppgiftsbehandling ligger på olika myndigheter.
Om samma myndighet har ansvar för registren
Förutsättningarna för att i den här aktuella situationen överföra redan registrerade uppgifter till ett annat nationellt kvalitetsregister kan skilja sig åt beroende på omständigheter i det enskilda fallet. Det kan exempelvis i handla om överföring av uppgifter från och till ett register som har samma myndighet som personuppgiftsansvarig för central behandling av personuppgifter. I ett sådant fall görs överföringen utan att en sekretessgräns passeras, vilket innebär att det inte är fråga om utlämnande av uppgifter till en aktör utanför den utlämnande aktörens organisation.
En sådan överföring av uppgifter mellan register som samma myndighet ansvarar för torde därför inte väcka några särskilda frågor kring tillämpningen av offentlighets- och sekretesslagstiftningen. Däremot kan det finnas behov av att analysera frågan ur ett personuppgiftslagsperspektiv.
En överföring av redan registrerade uppgifter, torde exempelvis kunna jämföras med en bestående samkörning av uppgifter. Enligt utredningens bedömning är det därför, på motsvarande sätt som redovisats ovan, viktigt att vid en eventuell inkludering av historiska uppgifter analysera om det kommer att innebära att personuppgifter behandlas för ett nytt ändamål i förhållande till det ursprungliga. Även om det övergripande ändamålet med ett kvalitetsregister är att säkra och utveckla kvaliteten i hälso- och sjukvården har varje nationellt kvalitetsregister mer precisa ändamål just för sin
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
540
personuppgiftsbehandling. Ändamålet med registret är även något som ska framgå i den information som de registrerade ska tillhandahållas innan vårdgivaren registrerar uppgifter i ett nationellt kvalitetsregister. När det gäller situationen att personuppgiftsbehandling i efterhand görs för andra ändamål än de som de registrerade har blivit informerade om, krävs som ovan nämnts att tydlig information om detta lämnas t.ex. på internet eller i tidningsannonser.
Enligt vår bedömning torde således samma resonemang som förs ovan kunna göra sig gällande om redan registrerade uppgifter ska överföras till ett utvidgat (nytt) kvalitetsregister hos samma centralt ansvariga myndighet. Såtillvida att registren inte haft i princip identiska ändamål torde det därmed krävas en informationsinsats från myndighetens sida för att personuppgifterna ska få inkluderas i det utvidgade registret och där fortsättningsvis behandlas för eventuellt nya ändamål.
Ur de registrerades perspektiv är en sådan informationsinsats även viktig för deras kännedom om den eventuella förändring av registrens namn m.m., som denna form av hopslagning kan föra med sig.
Om olika myndigheter ansvarar för registren
I en annan situation kan det aktualiseras ett behov av att överföra uppgifter från ett register med en viss myndighet som centralt personuppgiftsansvarig till det utvidgade registret med en annan myndighet som centralt ansvarig. Samma frågor som redovisas ovan, om eventuella förändringar i ändamålet, gör sig förstås även gällande i dessa situationer. Därutöver aktualiseras frågan om själva utlämnandet är tillåtet i sekretesshänseende.
Det handlar i dessa fall om att uppgifter som omfattas av hälso- och sjukvårdssekretess lämnas ut från en myndighet till en annan. En avgörande fråga är under vilka förutsättningar ett sådant utlämnande får göras. Uppgifter i hälso- och sjukvårdens nationella kvalitetsregister omfattas nämligen av sekretess enligt 25 kap. 1 § OSL, vilket innebär att uppgifterna inte får lämnas ut om det inte står klart att den enskilde eller någon närstående inte lider men av utlämnandet. Ett sådant utlämnande behöver som regel ha stöd antingen i en sekretessbrytande regel eller i patientens samtycke eller i en menprövning.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
541
Utredningen konstaterar att det kan vara fråga om en omfattande överföring av personuppgifter och att personuppgifterna till viss del kan ha inkluderats i registret för flera år sedan. Att i en sådan situation inhämta de registrerades samtycke, låter sig svårligen göras. Inte heller finns det någon sekretessbrytande bestämmelse som är tillämplig i detta fall. För att uppgifterna ska kunna lämnas ut måste det alltså stå klart att uppgifterna kan röjas utan att berörda enskilda, eller närstående till dem, lider men. Huruvida någon individuell menprövning är möjlig torde bero på omständigheterna i det enskilda fallet och bland annat avgöras av antalet patienter som omfattas av registret. Enligt vår bedömning torde det mest sannolika emellertid vara att någon form av generell prövning av sekretessfrågan skulle behöva göras.
Huruvida det är möjligt att göra massutlämnanden baserade på generella sekretessprövningar har varit föremål för diskussion och viss prövning genom åren. Frågan har särskilt aktualiserats i forskningssammanhang. I rättspraxis finns exempel på när ett utlämnande av ett stort antal uppgifter om ett stort antal personer har godtagits om det typiskt sett anses stå klart att uppgifterna kan lämnas ut utan att enskilda eller närstående lider men.17 Hänsyn har då bland annat tagits till vilket slags uppgifter det handlar om, vem som är mottagare och till syftet med utlämnandet och den fortsatta hanteringen av uppgifterna.
Den fråga om utlämnande av uppgifter som det här är fråga om har såvitt utredningen kunnat ta reda på inte varit föremål för rättslig prövning. Även om utredningen inte heller kan lämna något entydigt besked i denna fråga och som tar sikte på alla tänkbara olika situationer som kan uppkomma i dessa sammanhang, anser vi att det finns omständigheter som kan tala för att sådana utlämnanden i vissa fall kan ske i enlighet med gällande rätt och med bibehållet integritetsskydd för de registrerade. Dessa omständigheter utgörs bland annat av att det är samma sekretessbestämmelser som gäller för uppgifterna hos utlämnande och mottagande myndighet, att båda myndigheterna är sådana myndigheter inom hälso- och sjukvården som avses i patientdatalagen, att det även efter utlämnandet handlar om behandling av personuppgifter i nationella kvalitetsregister, att utlämnandet i egentlig mening inte innebär någon ökad spridning av uppgifter och att de registrerades rättigheter inte förändras av ett utlämnande. Vidare kan antas att
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
542
frågan om vilken myndighet som har personuppgiftsansvar för central behandling av personuppgifter i nationella kvalitetsregister inte är en avgörande omständighet för patientens val att medverka eller inte medverka i ett nationellt kvalitetsregister.
Sådana omständigheter kan, åtminstone ur ett mer pragmatiskt perspektiv, anses tala för att det bör vara möjligt att lämna ut personuppgifterna från en myndighet till en annan i kvalitetsregistersammanhang. Ytterst är det emellertid upp till de inblandade myndigheterna att göra en bedömning av de rättsliga förutsättningarna.
Om ett sådant utlämnande görs kan det, enligt utredningens bedömning, finnas skäl för den utlämnande myndigheten att tydligt informera om det. Därutöver behöver den utlämnande myndigheten ha rutiner som säkerställer att patienter som inte nåtts av sådan information och vänder sig till myndigheten med begäran om registerutdrag eller önskemål om att få personuppgifterna utplånade ur registret, blir hänvisade till den myndighet som har övertagit personuppgiftsansvaret för central behandling av personuppgifter.
17.4.7 Förändringar av personuppgiftsansvaret för central behandling av personuppgifter
Vår bedömning: Det bör enligt utredningens bedömning vara
möjligt att inom ramen för gällande rätt förändra fördelningen av personuppgiftsansvar för central behandling av personuppgifter i nationella kvalitetsregister, t.ex. genom att det centrala personuppgiftsansvaret övergår från en myndighet inom hälso- och sjukvården till en annan sådan myndighet.
Inledning
En frågeställning som rent rättsligt väcker till stor del samma frågor som redogjorts för ovan är förutsättningarna för att förändra personuppgiftsansvaret för central behandling av personuppgifter i ett nationellt kvalitetsregister, dvs. att i praktiken flytta personuppgiftsansvaret till en ny myndighet. Även om de bakomliggande orsakerna och effekterna av en sådan åtgärd får anses skilja sig väsentligt åt jämfört med vad som anförts ovan om utvidgning av
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
543
register, finns beröringspunkter vad gäller de grundläggande frågeställningarna.
Enligt utredningens uppfattning har frågan om vem som är personuppgiftsansvarig för central behandling av personuppgifter i nationella kvalitetsregister länge präglats av otydlighet. Den genomgång som gjordes av patientdatautredningen visade att det inte fanns någon entydig bild.18Därutöver har Datainspektionens tillsyn visat på en utbredd osäkerhet och otydlighet i frågan om vilken myndighet som ansvarar för vilket kvalitetsregister. Patientdatalagens bestämmelser om kvalitetsregister har tillsammans med Datainspektionens tillsyn satt ljuset på behovet av att tydliggöra personuppgiftsansvaret för central behandling av personuppgifter. Utredningens erfarenhet är även att hälso- och sjukvårdens aktörer, i kölvattnet av Datainspektionens tillsyn, nu har identifierat och tydliggjort det centrala personuppgiftsansvaret för respektive nationellt kvalitetsregister. Utredningen har bland annat fått information från SKL om att 15 olika myndigheter fördelade på 12 landsting och regioner har personuppgiftsansvar för central behandling av personuppgifter för ett eller flera nationella kvalitetsregister.
Nationella kvalitetsregister är emellertid en nationell angelägenhet som inte endast påverkas och styrs av den myndighet som är personuppgiftsansvarig för central behandling. Det innebär att det inte kan uteslutas att det i framtiden uppstår situationer när det, av olika anledningar, finns behov av att förändra fördelningen av personuppgiftsansvaret på ett sådant sätt att det i praktiken flyttas från en myndighet inom hälso- och sjukvården till en annan sådan myndighet. En möjlig orsak som kan föranleda ett sådant behov av att flytta personuppgiftsansvaret är exempelvis att den befintliga myndighetens verksamhet övergår i privat ägo. Eftersom endast myndigheter får ha personuppgiftansvar för central behandling av personuppgifter saknas därmed förutsättningar för organisationen att i en sådan situation fortsätta ansvara för kvalitetsregistret. Andra tänkbara skäl skulle kunna vara relaterade till praktiska, personella, organisatoriska eller IT-relaterade aspekter av betydelse för möjligheterna att säkra och utveckla kvaliteten i hälso- och sjukvården.
Det saknas i dag uttrycklig vägledning om hur sådana situationer ska hanteras och om vilka rättsliga överväganden som är
Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården SOU 2014:23
544
påkallade. Med hänsyn till att uppgifterna omfattas av sekretess enligt offentlighets- och sekretesslagen samt att det saknas en sekretessbrytande bestämmelse för denna situation, har det såvitt utredningen förstår ansetts osäkert om och i sådant fall hur en sådan omfördelning av personuppgiftsansvaret kan ske. Eftersom kvalitetsregister är en viktig nationell angelägenhet finns samtidigt behov av att belysa frågan och om möjligt tydliggöra förutsättningar som möjliggör för kvalitetsregister att fortleva i situationer där myndigheten med centralt personuppgiftsansvar inte längre kan ta fortsatt ansvar för registret.
Utredningen anser att viss vägledning kan hämtas från regeringens uttalanden i förarbetena till patientdatalagen. Regeringen uttalade att personuppgiftsansvar för behandling av personuppgifter i olika nationella kvalitetsregister är en komplex fråga och att det vid den tidpunkten inte fanns någon entydig bild. Vidare anförde regeringen följande av intresse i sammanhanget.19
Ansvaret för den stora mängden nationella och regionala kvalitetsregister är emellertid i hög grad utspritt inom den praktiserande hälso- och sjukvården. Nya register tillkommer hela tiden och vissa läggs ibland ner. Kvalitetsregistren är dessutom organiserade på olika sätt och har många involverade aktörer som i olika skeden och på olika sätt behandlar de personuppgifter som ingår i eller ska ingå i registren. En detaljreglering av personuppgiftsansvaret ter sig mot den bakgrunden knappast möjlig. En reglering skulle dessutom riskera att låsa fast registerföringen i oflexibla organisationslösningar, som kanske inte passar för alla typer av kvalitetsregister eller som inte visar sig vara ändamålsenliga över tiden.
Mot den bakgrunden föreslog regeringen ingen detaljreglering av personuppgiftsansvaret, utan i stället att personuppgiftsansvaret för den centrala hanteringen av inrapporterade uppgifter skulle vara samlat hos en eller flera myndigheter inom hälso- och sjukvården. Enligt utredningens bedömning visar regeringens uttalanden på en medvetenhet om den komplexa situation och de föränderliga organisatoriska strukturer som kännetecknar nationella kvalitetsregister. En uttalad avsikt med regeringens förslag var därför att inte låsa fast kvalitetsregisterföringen i organisationslösningar som inte är flexibla eller lösningar som inte visar sig vara ändmålsenliga över tiden. Det kan, enligt vår mening, anses tala för att det ska vara möjligt att vid behov överlåta personuppgiftsansvar för central behandling av personuppgifter från en myndighet till en annan.
SOU 2014:23 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården
545
Vidare kan uppmärksammas det faktum att regelverket tillåter flera myndigheter att tillsammans vara personuppgiftsansvariga för central behandling av personuppgifter i nationella kvalitetsregister.
Eftersom uppgifter i ett nationellt kvalitetsregister omfattas av sekretess blir frågor om offentlighets- och sekretesslagens tillämpning aktuella även här. Det innebär att det måste finnas lagligt stöd för ett sådant utlämnande av sekretessbelagda uppgifter som en omfördelning av personuppgiftsansvar för central behandling av personuppgifter innebär. Ur ett rättsligt perspektiv är det i dessa fall fråga om ett utlämnande av uppgifter från en myndighet inom hälso- och sjukvården till en annan sådan myndighet. På motsvarande sätt som redovisats i föregående avsnitt anser utredningen att det finns mycket som talar för att ett sådant utlämnande kan göras utan att enskilda eller närstående lider men. Uppgifterna kommer även efter utlämnandet att omfattas av samma bestämmelser om hälso- och sjukvårdssekretess och även behandlas för samma ändamål som gällde innan utlämnandet. I övrigt är patientens integritetsskyddande rättigheter oförändrade. Det talar tillsammans för att det ur ett integritetsskyddsperspektiv svårligen kan sägas att den enskilde lider men av ett sådant utlämnande som en övergång av personuppgiftsansvaret innebär.
Vidare kan en övergång av personuppgiftsansvar för central behandling av personuppgifter även jämföras med en traditionell verksamhetsövergång där en ny aktör övertar en befintlig verksamhet. Ett kvalitetsregister som är föremål för byte av personuppgiftsansvarig myndighet kan liknas vid en vårdcentral där hela vårdgivarens verksamhet köps upp av en ny aktör. En sådan verksamhetsövergång, där de personuppgifter som behandlas ingår i själva överlåtelsen, har sedan länge bedömts kunna göras utan hinder av bestämmelser om sekretess. Det saknas enligt vår uppfattning anledning att bedöma den här aktuella frågan om kvalitetsregister annorlunda.
Sammantaget anser vi att en tillämpning av gällande rätt ger stöd för en sådan förändrad fördelning av personuppgiftsansvar för central behandling av personuppgifter som har beskrivits i detta avsnitt. Vi bedömer inte att några uttryckliga regler härom bör införas i lagstiftning.
547
18 En socialtjänst i utveckling
18.1 Vad är socialtjänst?
Socialtjänsten har ett mycket brett uppdrag med många olika uppgifter, exempelvis att ge stöd och hjälp till utsatta barn och deras familjer, vård och behandling till missbrukare, daglig vård och omsorg om äldre, stöd och service till personer med psykisk ohälsa och funktionshinder, ekonomiskt bistånd till personer med svårigheter att försörja sig och mottagandet av flyktingar. Med socialtjänst jämställs även verksamhet enligt lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS.
Av 1 kap. 1 § socialtjänstlagen (2001:453), förkortad SoL, följer att socialtjänsten ska främja människornas
ekonomiska och sociala trygghet,
jämlikhet i levnadsvillkor,
aktiva deltagande i arbetslivet.
Socialtjänsten ska under hänsynstagande till människans ansvar för sin och andras sociala situation inriktas på att frigöra och utveckla enskilda och gruppers egna resurser. Verksamheten ska bygga på respekt för människornas självbestämmande och integritet.
I detta avsnitt ges en redovisning av socialtjänstens uppdrag, verksamhet och organisatoriska förutsättningar. En närmare beskrivning av den ökande samverkan mellan socialtjänst och hälso- och sjukvård återfinns i det avsnitt som handlar om informationshantering rörande personer som har behov av insatser både från socialtjänsten och från hälso- och sjukvården. Se vidare avsnitt 31 och 32.
En socialtjänst i utveckling SOU 2014:23
548
Definition av socialtjänst
Det finns i dag ingen enhetlig definition för vad som närmare ska räknas som socialtjänst utan det finns en rad olika uppräkningar i olika lagstiftning. Som vägledning bör dock definitionen i 26 kap. 1 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, kunna tjäna. Av bestämmelsen följer att med socialtjänst förstås
1. verksamhet enligt lagstiftningen om socialtjänst,
2. verksamhet enligt den särskilda lagstiftningen om vård av unga
och missbrukare utan samtycke, och
3. verksamhet som i annat fall enligt lag bedrivs av socialnämnd
eller av Statens institutionsstyrelse.
Till socialtjänst räknas också
1. verksamhet hos annan myndighet som innefattar omprövning av
socialnämnds beslut eller särskild tillsyn över nämndens verksamhet, och
2. verksamhet hos kommunal invandrarbyrå.
Med socialtjänst jämställs
1. ärenden om bistånd åt asylsökande och andra utlänningar,
2. ärenden om tillstånd till parkering för rörelsehindrade
3. ärenden om allmän omvårdnad hos nämnd med uppgift att
bedriva patientnämndsverksamhet, och
4. verksamhet enligt lagstiftningen om stöd och service till vissa
funktionshindrade.
18.2 Kommunernas ansvar för socialtjänsten
Av 2 kap. 1 § SoL följer att varje kommun svarar för socialtjänsten inom sitt område, och har det yttersta ansvaret för att enskilda får det stöd och den hjälp som de behöver. Det handlar exempelvis om försörjningsstöd, vård av barn och unga, vård av personer med missbruksproblem och åtgärder för andra utsatta grupper i samhället. Det innebär dock ingen inskränkning i det ansvar som vilar på andra huvudmän.
SOU 2014:23 En socialtjänst i utveckling
549
Genom bestämmelser i SoL har kommunerna fått möjlighet att sluta avtal med annan om att utföra kommunens uppgifter inom socialtjänsten. Genom ett sådant avtal får en kommun även tillhandahålla tjänster åt en annan kommun. Däremot får uppgifter som innefattar myndighetsutövning inte överlämnas till ett bolag, en förening, en samfällighet, en stiftelse eller en enskild individ.
För äldre finns en värdegrund som gäller för äldreomsorgen i såväl offentlig som privat regi.1Socialtjänstens omsorg om äldre ska inriktas på att äldre personer får leva ett värdigt liv och känna välbefinnande (värdegrund). Värdegrunden omfattar både handläggning av ärenden och utförandet av själva insatsen.
I det följande redogörs kort för ett antal olika områden inom kommunernas socialtjänst. Det bör i sammanhanget noteras att de antalsuppgifter m.m. som presenteras i allmänhet endast innefattar sådana insatser som har föregåtts av en individuell behovsprövning, dvs. att ett biståndsbeslut har fattats. Som utredningen kommer att uppmärksamma i det fortgående har utvecklingen dock kommit att medföra att allt mer av socialtjänstens verksamhet utförs utan att sådana biståndsbeslut fattas, dvs. inom ramen för vad som ofta kallas råd och stöd. För en mer rättvisande bild av socialtjänstens innehåll och omfattning skulle därför även dessa insatser behöva tas med. Någon kvalificerad statistik över det som ges inom ramen för råd och stöd har vi inte funnit.
Hemtjänst
Av 5 kap. 5 § SoL följer att kommunen ska tillhandahålla stöd och hjälp i hemmet till enskilda som behöver detta. Någon enhetlig definition av begreppet hemtjänst finns inte, utan kommunerna benämner det på lite olika sätt och delar ofta även upp begreppet i servicetjänster och personlig omvårdnad. Som servicetjänster räknas vanligtvis sådant som hjälp med inköp, uträtta ärenden, sköta bostaden och att laga eller tillhandahålla mat. Personlig omvårdnad kan sedan beskrivas som de insatser som utöver servicetjänster behövs för att den enskildes behov ska tillgodoses. Det kan handla om hjälp med att sköta den personliga hygienen, hjälp med att förflytta sig, ledsagning och hjälp med att äta och dricka. Även trygghetslarm ingår i hemtjänsten.
En socialtjänst i utveckling SOU 2014:23
550
I sammanhanget kan noteras att den 1 oktober 2012 uppgick antalet äldre med hemtjänst i det egna hemmet, s.k. ordinärt boende, till 220 000 personer.2
Stöd och service till vissa funktionshindrade
Ansvaret för individuella stödinsatser när det gäller olika former av funktionshinder ligger framför allt på kommuner och landsting. Det gäller insatser både enligt socialtjänstlagen och enligt lagen om stöd och service till vissa funktionshindrade. Exempelvis har landstingen ansvaret för insatsen rådgivning och annat personligt stöd enligt LSS. Som exempel på särskilda insatser som kan begäras enligt LSS kan följande nämnas.
• Råd och stöd – rådgivning och annat personligt stöd som ställer krav på särskild kunskap om förutsättningarna för människor med stora och varaktiga funktionshinder.
• Personlig assistans – biträde av personlig assistent eller ekonomiskt stöd till sådan assistans som exempelvis rör hjälp med personlig hygien, måltider, påklädning eller kommunikation med andra.
• Ledsagarservice – service för att underlätta möjligheterna att delta i samhällslivet m.m.
• Kontaktperson – biträde av kontaktperson för att utgöra ett personligt stöd och underlätta ett självständigt liv.
Andra insatser är exempelvis avlösarservice, korttidsvistelse och korttidstillsyn.
För människor med funktionshinder ska kommunen även medverka till att den enskilde får en meningsfull sysselsättning. Enligt 9 § 10 punkten LSS ska kommunen erbjuda daglig verksamhet för personer i yrkesverksam ålder som saknar arbete och som inte utbildar sig. Sådan daglig verksamhet bör innehålla både aktiviteter med habilitering och mer produktionsinriktade uppgifter. Det senare innebär dock inte att det är fråga om något avlönat arbete där syftet är att tillhandahålla tjänster eller producera varor. I sammanhanget kan nämnas att företag som vill erbjuda daglig
2 Äldre och personer med funktionsnedsättning – regiform år 2012, Socialstyrelsen (2013).
SOU 2014:23 En socialtjänst i utveckling
551
verksamhet behöver tillstånd från Inspektionen för vård och omsorg.
Kommunen har även ansvaret för att personer med funktionshinder får bo på ett sätt som är anpassat efter den enskildes behov av särskilt stöd. Kommunen ska även inrätta bostäder med särskild service för dem som till följd av funktionshinder behöver ett sådant boende. Ett av de grundläggande syften med LSS är just att tillförsäkra personer med funktionshinder goda levnadsvillkor och rätten till en bostad som är särskilt anpassad efter en enskildes behov. Boendet kan vara ett gruppboende, serviceboende eller annat särskilt anpassat boende. Betydelsen av ett eget boende med allt vad det innebär i form av trygghet och trivsel har av regeringen i förarbetena till LSS uttryckts enligt följande.3
Ingen annan enskild faktor kan sägas ha så stor betydelse för känslan av den egna identiteten som den egna bostaden. Det är i bostaden man normalt tillgodoser sina mest elementära behov och bostaden är för de flesta människor tillsammans med arbetet den plattform från vilken man skapar relationer med andra människor och deltar i samhällslivet. Många personer med omfattande funktionshinder tillbringar en stor del av sin dag i det egna hemmet. Därför är bostaden många gånger ännu mer betydelsefull för personer med funktionshinder än den är för icke funktionshindrade personer.
Den 1 oktober 2012 hade, enligt en rapport från Socialstyrelsen, 64 200 personer en eller flera insatser enligt LSS (exklusive insatsen råd och stöd).4 Det är en ökning med ungefär 15 procent under en sexårsperiod, dvs. sedan år 2006. Av samma rapport följer att 24 400 av dessa personer hade insatsen bostad med särskild service för vuxna eller annan särskilt anpassad bostad för vuxna.
Vidare följer av SoL att kommunen ska ingå en överenskommelse med landstinget om ett samarbete i fråga om personer med psykisk funktionsnedsättning.
Personer med funktionsnedsättning kan, precis som andra, även ha behov av kommunal hälso- och sjukvård. I statistik från Socialstyrelsen anges att det i oktober 2012 fanns 29 400 personer med funktionsnedsättning under 65 år som fick insatser från den kommunala hälso- och sjukvården. 78 procent av dessa bodde i
3Prop. 1992/93:159 s. 83. 4 Personer med funktionsnedsättning – insatser enligt LSS år 2012, Socialstyrelsen (2013).
En socialtjänst i utveckling SOU 2014:23
552
kommuner som helt eller delvis hade övertagit ansvaret för hemsjukvården i ordinärt boende från landstinget.5
Äldreomsorg i särskilt boende
Kommunen har även ansvaret när det gäller äldreomsorg enligt socialtjänstlagen. Det handlar exempelvis om att kommunen ska verka för att äldre människor får goda bostäder och det stöd och hjälp i hemmet som de behöver. För äldre människor som behöver särskilt stöd ska kommunen inrätta särskilda boendeformer, s.k. särskilt boende, för service och omvårdnad.6
Den 1 oktober 2012 bodde omkring 86 800 personer över 65 år permanent i särskilda boendeformer.7Av dessa var ca 70 300 eller 4 av 5 fyllda 80 år. Enligt rapporten från Socialstyrelsen fanns det 2011 omkring 2 700 särskilda boenden, varav 900 korttidsboenden och 325 servicehus. På ett särskilt boende bor i genomsnitt ungefär 40 personer.
I sammanhanget kan även nämnas att det av den ovan nämnda rapporten från Socialstyrelsen framgår att 161 000 personer över 65 år fick insatser från den kommunala hälso- och sjukvården någon gång under oktober 2012.
Barn och unga
Kommunen har ett omfattande ansvar för barn och ungas levnadssituation. Det handlar både om ett ansvar för förebyggande åtgärder, t.ex. att motverka missbruk och verka för att barn växer upp under trygga förhållanden, och ett ansvar för det särskilda stöd som föranleds när barnet riskerar att utvecklas ogynnsamt.
När det gäller insatser till barn och unga enligt SoL eller lagen (1990:52) om särskilda bestämmelser om vård av unga, förkortad LVU, framgår bland annat följande av statistik från Socialstyrelsen.8Noteras kan att insatser till barn och unga på grund av funktionsnedsättning eller insatser som ges utan biståndsbeslut inte ingår i statistiken.
5 Personer md funktionsnedsättning – vård och omsorg 1 oktober 2012, Socialstyrelsen (2013). 65 kap. 5 § andra stycket SoL. 7 Äldre- vård och omsorg den 1 oktober 2012, Socialstyrelsen (2013). 8 Barn och unga – insatser år 2012, Vissa insatser enligt SoL och LVU, Socialstyrelsen (2013).
SOU 2014:23 En socialtjänst i utveckling
553
• Nästan 29 600 barn och unga hade heldygnsinsats någon gång under år 2012. Med heldygnsinsats avses vård med placering enligt SoL eller LVU eller omedelbart omhändertagande enligt LVU.
• Bland pojkar i åldrarna 13–17 år har andelen som placerats på
Hem för vård eller boende (HVB) femdubblats under en åttaårsperiod, dvs. mellan 2004 och 2012.
• Ungefär 28 200 barn och unga hade en eller flera öppenvårdsinsatser den 1 november 2012. Med öppenvårdsinsatser avses strukturerade öppenvårdsprogram enligt SoL, behovsprövat personligt stöd enligt SoL samt kontaktperson eller kontaktfamilj enligt SoL.
Personer med missbruk och beroende
För personer med missbruksproblem ska kommunen aktivt sörja för att den enskilde får den hjälp och vård som han eller hon behöver för att komma ifrån missbruket. Kommunerna fullgör detta i dag både genom individuellt behovsprövade insatser och sådana insatser som ges utan biståndsbeslut, s.k. råd och stöd.
Av statistik från Socialstyrelsen vad gäller socialtjänstens insatser för vuxna med missbruks- och beroendeproblem år 2012 framgår bland annat följande.9 De insatser som kommunerna ger utan biståndsbeslut ingår inte i statistiken.
• Den 1 november 2012 hade drygt 6 200 personer med missbruks- och beroendeproblem bistånd som avser boende. Bistånd som avser boende omfattade totalt omkring två miljoner boendedygn under 2012. Biståndet fördelades på 15 000 inskrivningar under året, vilket innebär att det genomsnittliga antalet boendedygn per inskrivningar var 133 dygn.
• Vid samma tidpunkt hade cirka 11 200 personer någon typ av individuellt behovsprövad öppen insats, t.ex. rådgivning, motivation och behandling för sitt missbruk och beroende. Under hela året beviljades omkring 27 500 sådana insatser.
9 Insatser år 2012 för vuxna personer med missbruks- och beroendeproblem och för övriga vuxna, Socialstyrelsen (2013).
En socialtjänst i utveckling SOU 2014:23
554
• Under hela 2012 vårdades omkring 7 400 personer med missbruks- och beroendeproblem i frivillig institutionsvård enligt socialtjänstlagen.
Familjerådgivning
Av 5 kap. 3 § SoL följer att kommunerna ska se till att familjerådgivning erbjuds de som begär det. Syftet med familjerådgivningen kan sägas vara att genom samtal medverka till bearbetning av samlevnadsproblem och konflikter m.m. i par- och familjerelationer. Det kan uppmärksammas att familjerådgivningen utgör en i sekretesshänseende självständig verksamhet i socialtjänsten. Antalet ärenden i kommunernas familjerådgivning uppgick till omkring 33 000 under år 2012.10
18.3 Ansvar för Statens institutionsstyrelse (SiS)
Statens institutionsstyrelse (SiS) ansvarar för den statligt bedrivna ungdoms- och missbrukarvården som bedrivs utan individens eget samtycke enligt lagen (1988:870) om vård av missbrukare i vissa fall, förkortad LVM, lagen med särskilda bestämmelser om vård av unga samt lagen (1998:603) om verkställighet av sluten ungdomsvård, förkortad LSU.
SiS ansvarar för själva utförandet och verkställigheten, även om planeringen görs i nära samverkan med den enskildes hemkommun.
18.4 Ansvar för landstingen
Även landstingen har ett ansvar för att avhjälpa sociala problem eller påverka förhållanden som orsakar eller förstärker problemen. Av hälso- och sjukvårdslagen (1982:763), förkortad HSL, följer att landstingen exempelvis har ansvar för habilitering och rehabilitering rörande personer med missbruk och psykiska problem. Vidare har landstinget ett ansvar för funktionshindrades behov av hjälpmedel. Landstingens ansvar omfattar dock inte sådana insatser som en kommun har ansvar för, exempelvis rehabilitering och habilitering för personer i särskilda boenden.
10 Kommunal familjerådgivning under 2012, Socialstyrelsen (2013).
SOU 2014:23 En socialtjänst i utveckling
555
18.5 Samverkan med andra huvudmän
Förutom kommunerna, som har huvudansvaret för den sociala omsorgen, finns det några aktörer med olika uppdrag vad gäller att påverka människors livssituation i en positiv riktning. Ett exempel på en sådan aktör är arbetsförmedlingen och dess ansvar för att underlätta ny- och återinträde på arbetsmarknaden. Detta gäller inte minst bland personer med psykisk ohälsa eller missbruksproblematik. Ytterligare en aktör med en viktig roll i detta sammanhang är Försäkringskassan.
Även skolan har ett ansvar för elever i behov av särskilt stöd och kan ofta behöva samverka med kommunens socialtjänst i olika frågor för att hjälpa barn och unga med sociala utmaningar.
Över huvud taget förekommer mycket samverkan mellan olika aktörer för att stötta de personer som är i behov av insatser av olika karaktär för att kunna förbättra sin livsföring eller öka sina förutsättningar att t.ex. få en sysselsättning. Lagstiftaren har även tagit initiativ för att öka förutsättningarna för samverkan. Av 3 § HSL följer att landstinget får träffa överenskommelse med kommun, Försäkringskassa och Arbetsförmedlingen om att inom ramen för landstingets uppgifter samverka i syfte att uppnå en effektivare användning av tillgängliga resurser. Landstinget ska bidra till finansiering av sådan verksamhet som bedrivs i samverkan. Enligt bestämmelser i lagen (2003:1210) om finansiell samordning av rehabiliteringsinsatser får landstinget delta i finansiell samordning inom rehabiliteringsområdet. Motsvarande bestämmelser finns för kommunens del i 2 kap. 6 § SoL.
För att sådan finansiell samordning ska komma till stånd krävs att Försäkringskassa, Arbetsförmedling, landsting och kommun deltar som samverkande parter. Den finansiella samordningen ska bedrivas genom ett fristående samordningsförbund där parterna är representerade. Målgruppen består av personer som är i behov av samordnade rehabiliteringsinsatser från flera av de samverkande parterna med det primära syftet att uppnå eller förbättra sin förmåga till förvärvsarbete. Ett annat viktigt syfte är att förhindra att människor hamnar mellan stolarna eller blir föremål för en rundgång mellan olika aktörer.
Samordningsförbundet ska, inom ramen för den finansiella samordningen, finansiera samordnade rehabiliteringsinsatser och andra aktiva åtgärder inom de samverkande parternas ansvarsområde. Förbundet ansvarar också för lokal uppföljning och utvärdering.
En socialtjänst i utveckling SOU 2014:23
556
Däremot får samordningsförbundet inte ägna sig åt myndighetsutövning gentemot enskilda personer. Det ansvarar alltså inte får själva rehabiliteringsinsatserna eller andra aktiva åtgärder i enskilda fall. De samverkande parterna behåller sitt nuvarande ansvar för rehabilitering och annat stöd till enskilda personer. Rehabiliteringsinsatser och andra aktiva åtgärder beviljas i de enskilda fallen av respektive samverkande part.
Ett resultat av den finansiella samordningen kan exempelvis vara att parterna finansierar särskilda projekt som syftar till effektiv samverkan för att uppnå målen. Det kan bl.a. handla om att förbundet stöder en integrerad verksamhet med representanter från de olika aktörerna som alla tillsammans arbetar för att öka den enskildes möjligheter till förvärvsarbete. Som ett av flera exempel på detta kan nämnas projektet Columbus i Göteborg. Det är ett initiativ som integrerar personal från landstinget (psykiater), kommunen (psykologer och coacher), Försäkringskassan (coach) och Arbetsförmedlingen (coach). Personalen arbetar i samma lokaler och tar ett gemensamt ansvar för unga vuxna mellan 18–29 år med psykisk ohälsa och svårigheter att komma ut i arbetslivet. Även om personalen har sina grundanställningar hos respektive aktör bedrivs själva verksamheten helt integrerat för att kunna stötta den unge på ett optimalt sätt. Ingen myndighetsutövning förekommer utan det är i stället fråga om att gemensamt och utifrån varje profession utföra de vård-, omsorgs- och stödinsatser som behövs för att öka förutsättningarna för den unge vuxne att få ett arbete.
18.6 Privata utförare i socialtjänsten
Kommunerna har möjligheter att sluta avtal med annan om att utföra kommunens uppgifter inom socialtjänsten. Det finns i dag ett antal tänkbara sätt att göra detta. Ett är att genom ett avtal anlita en extern leverantör som åtar sig att för kommunens räkning varaktigt och självständigt utföra en eller flera tjänster på socialtjänstens område. Ett sådant avtal innebär dock inte att kommunen kan frånhända sig till övergripande ansvar som huvudman för verksamheten. Det innebär exempelvis att kommunen alltid har ett ansvar för den utförda verksamhetens inriktning och kvalitet. Ansvaret omfattar även uppföljning och utvärdering.
En kommun kan även köpa enstaka platser eller tjänster på privata anläggningar. I sådana fall har kommunen inget ansvar för
SOU 2014:23 En socialtjänst i utveckling
557
verksamhetens inriktning, men alltjämt för att de insatser den enskilde får håller god kvalitet.
18.6.1 Valfrihetssystem i socialtjänsten
Många kommuner har även valt att införa valfrihetssystem enligt lagen (2008:962) om valfrihetssystem, förkortad LOV, på socialtjänstens område, vilket innebär att antalet privata utförare har ökat de senast åren. LOV har gjort det möjligt för kommuner som vill konkurrenspröva verksamheter att överlåta valet av utförare av stöd, vård- och omsorgstjänster på socialtjänstområdet till individen. Precis som för hälso- och sjukvården anger kommunen i ett förfrågningsunderlag de villkor som leverantören ska uppfylla för att bli godkänd. LOV förändrar inte det faktum att kommunen är huvudman för verksamheten och har därmed ansvar för att tjänsterna tillhandahålls individen enligt lagstiftningen och att de motsvarar uppställda kvalitetskrav.
Fram till 2011 hade 248 av landets 290 kommuner sökt och beviljats stimulansmedel för att förbereda eller utveckla valfrihetssystem enligt LOV inom äldreomsorg och när det gäller stödinsatser för personer med funktionsnedsättning. Det är vanligast att valfrihetssystemen omfattar en kombination av service och omvårdnadsinsatser inom hemtjänsten, enligt Socialstyrelsens delrapport Stimulansbidrag LOV (2012).
Enligt Sveriges Kommuner och Landsting, SKL, fanns i oktober 2013 valfrihetssystem infört i sammanlagt 144 kommuner. Ytterligare 37 kommuner hade vid detta tillfälle beslutat om att införa valfrihetssystem enligt LOV medan 42 kommuner beslutat att inte göra detta. I 38 av de 67 kommuner som ännu inte tagit ställning utreds frågan om ett införande.
Kommunernas möjligheter att genom upphandling eller införande av valfrihetssystem överlåta utförandet av socialtjänst till privata aktörer har gjort att mångfalden av utförare i dag är betydligt större än vad det har varit tidigare. Under 2010 fanns det t.ex. 687 externa utförare inom kommunernas valfrihetssystem, enligt Konkurrensverkets delrapport Kommunernas valfrihetssystem – så fungerar konkurrensen. Utredningen om framtida valfrihetssystem inom socialtjänsten presenterar i sitt betänkande att siffran i juli 2013 var uppe i 846 unika utförare anslutna till
En socialtjänst i utveckling SOU 2014:23
558
kommunernas valfrihetssystem.11I betänkandet uppmärksammas även att det totalt finns 618 privata utförare anslutna till kommuneras valfrihetssystem rörande hemtjänst. Det kan jämföras med Konkurrensverkets undersökning som visar 499 privata utförare beträffande hemtjänst i slutet av 2011.12 Under perioden, drygt 18 månader, har således 119 privat utförare tillkommit, en ökning med 24 procent.
När det gäller äldreomsorgen framgår av Socialstyrelsens Äldreguide att det 2011 fanns omkring 2700 särskilda boenden i Sverige. Av dessa var 900 kortidsboenden och 325 servicehus. Vidare framgår att 84 procent av dessa drivs i kommunal regi och 16 procent i privat regi. De privata utförarna har i genomsnitt fler äldre personer per enhet, 44 personer jämfört med 33 för kommunala utförare. Det gör att det vid denna tidpunkt var ungefär 20 procent av de äldre som vistades på ett särskilt boende som drivs i privat regi jämfört med 80 procent i kommunala boenden. Variationerna bland landets kommuner är dock väldigt stora.
För att få en ännu mer rättvis bild över andelen privata utförare i socialtjänsten skulle man även behöva ta reda på hur många privata utförare som kommunerna har upphandlat genom lagen (2007:1091) om offentlig upphandling, förkortad LOU. Vi har dock inte fått fram några sådana siffror som vi kan presentera. Konstateras kan dock att mångfalden av utförare har ökat i betydande omfattning i socialtjänsten de senaste åren.
Olika varianter av valfrihetssystem
Bland kommunerna förekommer ett antal olika varianter för valfrihetssystemet. Förutom skillnader i ersättningssystem m.m. finns skillnader i vilka tjänster man väljer ska ingå i valfrihetssystemet, dvs. för vilka tjänster individen själv kan välja utförare. Enligt SKL är det i oktober 2013 156 kommuner som har valfrihet inom hemtjänsten. Av dessa har 127 kommuner valfrihet både för omvårdnads- och servicetjänster, medan 29 kommuner har valfrihet endast för servicetjänster. Noteras kan även att 53 kommuner för hemsjukvården. Endast 10 kommuner har valfrihetssystem för särskilt boende för äldre.
11SOU 2014:2, Framtidens valfrihetssystem – inom socialtjänsten, s. 73. 12 Kommunernas valfrihetssystem, Konkurrensverket, Rapport 2013:1.
SOU 2014:23 En socialtjänst i utveckling
559
När det gäller de kommuner som har infört valfrihetssystem i hemsjukvården föreligger även stora skillnader i utbudet för den enskilde. I 8 av de 53 kommunerna har valfrihetssystem införts i hela hemsjukvården, dvs. för alla insatser som ges med stöd av HSL. I resterande 45 kommuner har valfrihetssystemet endast införts för de hälso- och sjukvårdsinsatser som utförs av personal utan legitimation. I dessa kommuner har alltså ansvaret för insatser av sjuksköterskor, arbetsterapeuter och sjukgymnaster behållits av kommunen själv, medan insatser gjorda av omsorgspersonal utförs av de organisationer som ingår i valfrihetssystemet. Det benämns ibland som delegerad hemsjukvård.
En sådan lösning kräver en tät och tydlig samverkan mellan den kommunala delen av hemsjukvården och den aktör som den enskilde valt för utförandet av omvårdnads- och delegerade insatser. Även med landstinget förekommer en viktig samverkan eftersom landstinget ansvarar för läkarinsatserna inom ramen för hemsjukvården. Insatser som även de kan utföras av privata vårdgivare.
Utredningen om framtida valfrihetssystem inom socialtjänsten
Utredningen om framtida valfrihetssystem inom socialtjänsten har i sitt nyligen överlämnade delbetänkande bland annat beskrivit hur valfrihetssystemen har utvecklats och vilken betydelse de har haft för enskilda.13 Utredningen har gjort en kartläggning av befintliga utförare och jämfört kvalitet, kostnader och effektivitet mellan kommuner som tillämpar respektive inte tillämpar lagen om valfrihetssystem. Utredningen belyser även sambandet mellan vinstutdelning, ersättningssystem och kvalitet samt frågor om kvalitetsäkring och ekonomisk uppföljning.
Utredningens bedömning är att en enskild uppskattar möjligheten att välja utförare av hemtjänst och att möjligheten att välja bör inte vara beroende av i vilken kommun man bor. Mot den bakgrunden föreslås att en ändring i socialtjänstlagen görs som innebär att kommunerna ska vara skyldiga att skapa förutsättningar för enskilda att välja mellan olika utförare inom hemtjänsten. Det ska vara upp till en kommun att själv bestämma i vilken omfattning som ska omfattas av valfrihetslösningen.
För att det ska vara möjligt för en enskild att tillgodogöra sig fördelarna med valfrihet är att de har tillräckliga underlag för att
13SOU 2014:2.
En socialtjänst i utveckling SOU 2014:23
560
göra ett val. Utredningen föreslår därför att Socialstyrelsen får i uppdrag att ta fram en vägledning till stöd för personal i deras arbete med att informera en enskild vid valet av utförare. I uppdraget bör även ingå att Socialstyrelsen ska ta fram en vägledning för hur informationen kan förmedlas och göras tillgänglig för en enskild med nedsatt beslutsförmåga.
I betänkandet uppmärksammas även hur valfrihetssystemet har bidragit till att sätta fokus på frågor om kvalitet och kvalitetssäkring. Följande faktorer lyfts fram som särskilt viktiga för att få till stånd en fungerande uppföljning av kvaliteten i socialtjänsten.14
• Riktlinjer och stöd för hur kommunerna kan genomföra en ändamålsenlig uppföljning.
• Förtydligande av kommunernas ansvar för kvaliteten i upphandlad verksamhet.
• Offentliggörande av resultaten av uppföljningen
18.7 Sammanfattande reflektioner
Socialtjänsten har, i likhet med hälso- och sjukvården, genomgått en omfattande strukturförändring under senare år. Mångfalden av utförare har ökat liksom specialiseringen mellan utförarna. Medborgarna kan i större utsträckning själv välja utförare för hela eller delar av de insatser som beviljats. Samarbetet med andra aktörer har utvecklats och ställs inför nya utmaningar.
Utredningen om framtida valfrihetssystem anför exempelvis följande, som enligt vår uppfattning sammanfattar situationen på ett bra sätt.15
Detta får till följd att antalet aktörer som är delaktiga i vård och omsorg ökar. Valfrihetssystem ställer krav på samarbete i nya former eftersom de aktörer som utför omsorgen av en brukare kan komma att vara fler och variera över tid. Samarbete mellan aktörer och organisationer bygger på relationer mellan människor och ju fler sådana relationer som finns kring en brukare desto högre blir kraven på fungerande rutiner för samverkan.
SOU 2014:23 En socialtjänst i utveckling
561
Vi delar denna beskrivning och kan konstatera att såväl kraven på som behoven av samverkan inom och utom socialtjänsten sannolikt är större än någonsin tidigare. Till skillnad mot tidigare när de stora samverkansbehoven framför allt ansågs finnas mellan kommuner och landsting finns dagens behov av samverkan även inom en och samma kommun och ett och samma landsting, dvs. mellan det stora antal utförare av socialtjänst och vårdgivare i hälso- och sjukvården som har etablerats med offentlig finansiering under de senaste åren.
Enskilda i socialtjänsten och patienter i hälso- och sjukvården rör sig därmed i dag i ett helt annat landskap än förut, när det i princip uteslutande talades om gränsen mellan kommuner och landsting. De gränserna har blivit allt fler i dag. På en övergripande nivå blir det även tydligt att nya samverkansformer utvecklas mellan det offentligas och det privatas intresse- och samarbetsorganisationer.
Sammantaget är bilden i dag mer komplex än tidigare, vilket även innebär att det behöver finnas goda förutsättningar för att samverka på ett ändamålsenligt sätt för att individer ska få bästa möjliga socialtjänst och hälso- och sjukvård. Det är inte minst viktigt att de legala kraven på samverkan backas upp av legala förutsättningar för en sådan samverkan.
Vidare kan konstateras att huvudmännens lagstadgade ansvar för socialtjänst, och för den delen även hälso- och sjukvård, är bestående och påverkas i sig inte av valfrihetsreformernas införande. Däremot är det tydligt att formerna för och kraven på samverkan mellan kommuner och landsting påverkas av att valfrihetssystem blivit obligatoriska inom primärvården och ökat i omfattning inom socialtjänsten. Detta medför bl.a. ökade och delvis nya behov av en samlad kvalitetssäkring och kvalitetsutveckling av socialtjänstens verksamhet. För huvudmannen behöver det därför finnas goda förutsättningar att säkra kvaliteten i den socialtjänst som invånarna får, alldeles oavsett om socialtjänsten drivs av kommunen själv eller av en privat aktör.
Sedan vill vi återigen understryka att socialtjänsten har ett viktigt och diversifierat uppdrag som rör en mängd olika situationer i människors liv. I olika delar av landet och ibland i olika delar av samma kommun föreligger även skillnader i omfattning och förutsättningar för verksamheten. Det kan därför vara något vanskligt att prata om socialtjänst som något allt igenom homogent och enhetligt. Samtidigt är de grundläggande värderingarna och övergripande målen som uttrycks genom socialtjänstlagen samma
En socialtjänst i utveckling SOU 2014:23
562
för all socialtjänst som bedrivs. De grundförutsättningar som lagstiftningen om informationshantering tillhandahåller bör därför så långt möjligt vara såväl robusta, för att exempelvis bidra till en bibehållen rättssäkerhet, som flexibla för att möta de skillnader som finns i organisationsformer, mångfald och andra faktorer.
563
19 Informationshantering inom socialtjänsten
19.1 Bakgrund
Socialtjänstens uppdrag spänner över ett väldigt brett område som innehåller många olika uppgifter och ansvarsområden. Det handlar exempelvis om att ge stöd och hjälp till utsatta barn och deras familjer, att ge vård och behandling till personer med missbruksproblematik, att ge daglig vård och omsorg om äldre samt ge stöd och service till personer med psykisk ohälsa eller funktionshinder. I socialtjänstens uppdrag ingår även att ge ekonomiskt bistånd till personer med svårigheter att försörja sig och att ta emot flyktingar och invandrare på ett ändamålsenligt sätt.
Socialtjänstens breda verksamhetsområde medför att informationshanteringen är mångfacetterad i den meningen att information hanteras för många olika ändamål, i flera olika processer, under olika långa tidsperioder och utbyts av ett antal olika aktörer beroende på vad saken rör.
Som redovisas närmare i avsnitt 18 har kommunen det yttersta ansvaret för socialtjänsten inom sitt område, men i praktiken finns som visats många andra aktörer som tillsammans med och vid sidan av kommunen bidrar till att enskilda får det stöd som lagstiftningen om socialtjänst föreskriver. Informationshanteringen förekommer inte sällan i olika skeden av processen, exempelvis initialt av kommunen i samband med en individuell behovsbedömning (biståndsbedömning) och därefter av en kommunal eller privat utförare i samband med genomförandet av beslutade insatser. Dokumentation kan även ske i sådan verksamhet som erbjuds som råd och service, dvs. verksamhet som enskilda kan vända sig till utan att först ha ansökt och fått insatsen beviljad genom ett biståndsbeslut.
Informationshantering inom socialtjänsten SOU 2014:23
564
19.2 Dokumentation och handläggning för rättssäkerhet, kvalitet och insyn
Både i socialtjänstlagen (2001:453), förkortad SoL, och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, finns bestämmelser om krav på dokumentation. I lagarna uttrycks som en utgångspunkt att handläggning av ärenden som rör enskilda samt genomförande av beslut om stödinsatser, vård och behandling ska dokumenteras. Dokumentationen ska utvisa beslut och åtgärder som vidtas i ärenden samt faktiska omständigheter och händelser av betydelse.
Vidare anges att den enskilde bör hållas underrättad om de journalanteckningar och andra anteckningar som förs om honom eller henne. Genom hänvisningar till förvaltningslagens (1986:223) bestämmelser tydliggörs även att socialtjänsten bland annat har att tillämpa reglerna om remiss, en parts rätt att meddela sig muntligen, en parts rätt att få del av uppgifter, motivering av beslut, underrättelse av beslut m.m.
Ett grundläggande syfte med dokumentationen är att tillgodoses den enskildes rättsäkerhet, dvs. att den enskilde ska få sin sak prövad och avgjord på ett sakligt och opartiskt sätt. Allt som har kommit fram i en utredning om den enskilde och som har avgörande betydelse för en myndighets ställningstagande i ett ärende ska dokumenteras. Dokumentation och den enskildes rätt till insyn i ärenden som rör myndighetsutövning stärker den enskildes skydd mot felaktig eller bristfällig myndighetsutövning. 1Dokumentationen är därför viktig för att den enskilde sak kunna klaga eller begära rättelse och för att förvaltningsdomstolar ska få det underlag som beslutsfattaren har haft för att kunna pröva ett överklagande.
Det individuella tjänstemannaansvaret i socialtjänsten medför att det är den enskilde tjänstemannen som är ansvarig för innehållet i den anteckning som han eller hon gör om varje enskild person. Det är viktigt för personalens rättsliga ställning och ansvar att dokumentera uppgifter som rör det enskilda ärendet och ärendets
1 Myndighetsutövning är beslut eller andra åtgärder som ytterst är ett uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Det behöver inte vara frågan om åtgärder som innebär förpliktelser för enskilda utan kan även vara gynnande beslut t.ex. bistånd. Ärenden som avgörs genom att myndigheten träffar avtal eller överenskommelser i saken med enskild faller utanför tillämpningsområdet för förvaltningslagens särskilda bestämmelser om myndighetsutövning.
SOU 2014:23 Informationshantering inom socialtjänsten
565
handläggning. Dokumentation ska säkerställa god kvalitet i såväl beslutsfattande som genomförande av en insats.
En korrekt och fullständig dokumentation underlättar även en individuell uppföljning av om den enskilde får den insats som han eller hon är berättigad till enligt beslut samt om insatserna ges i enlighet med fastställda kvalitetskriterier och normer. Det är också viktigt för att den enskilde ska få kontinuitet när det gäller beslutade och överenskomna insatser. Det är en skyldighet för ansvarig tjänsteman att dokumentera och detta gäller oberoende av den enskildes inställning till dokumentationen som sådan. (11 kap. 5 § SoL och 21 a § LSS). Den enskilde kan således inte motsätta sig sådan dokumentation som enligt lag ska göras i socialtjänsten.
Ett annat viktigt syfte med dokumentationen är att möjliggöra för kommunen som huvudman att kunna följa upp och utvärdera sin verksamhet samt att planera olika insatser och aktiviteter. En god dokumentation underlättar också för ett systematiskt och fortlöpande arbete med att utveckla och säkra verksamheter så att man kan upprätthålla en god kvalitet.
19.3 Informationshantering i olika skeden
Även om informationshantering inom socialtjänsten förekommer kontinuerligt kan det urskiljas tre eller fyra olika skeden som vart och ett ligger till grund för att uppgifter om enskilda dokumenteras och används. Det första skedet kan utgöras av den förhandsbedömning en socialnämnd gör angående skälen att inleda en utredning enligt 11 kap. SoL. Det kan exempelvis handla om en bedömning om det finns skäl att inleda en utredning för att ta reda på om ett barn är i behov av särskilt skydd.
En stor del av informationshanteringen görs sedan i nästa skede när en individuell behovsbedömning görs. I det skedet dokumenteras och inhämtas uppgifter för att en biståndshandläggare ska kunna fatta beslut om socialtjänstinsatser som den enskilde har ansökt om, t.ex. hemtjänst. När sedan insatserna är beslutade och genomförs av personal inom hemtjänsten görs nästa steg i dokumentationsprocessen. Under genomförandefasen kan såväl kommunala som privata eller idéburna utförare står för insatserna och dokumentationen, i många fall beroende på vilken utförare den enskilde själv har valt. För att de beslutade insatserna ska kunna genomföras på ett ändamålsenligt sätt görs ett informationsutbyte
Informationshantering inom socialtjänsten SOU 2014:23
566
mellan den kommunala verksamhet som fattat beslut om insatsen och den utförare som ska genomföra beslutet.
Som ett fjärde steg i processen hanteras ofta uppgifter om enskilda för att följa upp de insatser som har genomförts. Det kan exempelvis handla om att kommunen som huvudman följer upp att den enskilde får den beviljade insatsen utförd enligt nämndens beslut och gällande författningar.
Under den myndighetsutövande processen socialtjänsten utreder och fattar beslut i ärenden hanteras information i första hand av kommunen som huvudman. I detta skede inhämtas vanligtvis även information från andra källor som bedöms nödvändiga för att driva utredningen framåt och fatta ett beslut på goda grunder. Förutom från den enskilde som omfattas av utredningen förekommer att kommunen inhämtar information exempelvis från anhöriga, hälso- och sjukvården, skolan, polisen m.fl.
I vissa ärenden förekommer även en omfattande informationsinhämtning från andra myndigheter eller andra aktörer som Centrala studiestödsnämnden (CSN), Försäkringskassan, Skatteverket, Arbetsförmedlingen, Pensionsmyndigheten samt arbetslöshetskassorna. Dessa har en uppgiftsskyldighet i förhållande till kommunernas socialnämnder, vilken ger socialnämnden rätt att inhämta omfattande uppgifter om enskilda för sin egen handläggning av exempelvis ärenden om ekonomiskt bistånd. I ett antal olika författningar medges även att socialnämnden har direktåtkomst till de uppgifter som dessa myndigheter ska lämna ut till socialnämnden.2Det innebär att socialnämnden i stor utsträckning på eget initiativ kan bereda sig åtkomst till de uppgifterhos t.ex. CSN som behövs för att socialnämnden ska kunna fatta beslut i ett enskilt ärende. I dagsläget görs socialnämndens informationsinhämtning i viss mån elektroniskt, men till stor del förekommer även en manuell hantering genom brev, fax eller telefon. På uppdrag av E-delegationen driver CSN i samverkan med bl.a. Sveriges Kommuner och Landsting, Försäkringskassan och Arbetsförmedlingen projektet Effektiv informationsförsörjning (EIF). Syftet att minska den manuella hanteringen genom att bygga en tjänst som möjliggör för kommunen att via sitt verksamhetssystem elektroniskt inhämta information från flera myndigheter samt akassornas samorganisation. Förhoppningen är att projektet ska leda
2 Se bl.a. studiestödsdataförordning (2009:321), förordning (2003:766) om behandling av personuppgifter inom socialförsäkringens administration och lag (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten.
SOU 2014:23 Informationshantering inom socialtjänsten
567
till en förenklad och mer säker hantering av informationen samt frigöra arbetstid i kommunens handläggningsprocess.
19.4 Den rättsliga regleringen av dokumentation och personuppgiftsbehandling
Generellt kan sägas att den rättsliga regleringen för informationshantering inom socialtjänsten inte är lika omfattande som den för hälso- och sjukvården. Exempelvis regleras inte dokumentationsfrågorna särskilt utförligt i socialtjänsten, medan det för hälso- och sjukvårdens del finns en lång tradition av detaljerade författningsbestämmelser kring journalföringens innehåll m.m. De regler som styr handläggning och dokumentation i socialtjänsten återfinns framför allt i förvaltningslagen, socialtjänstlagen och de särskilda lagarna om vård av unga, vård av missbrukare samt stöd och service till vissa funktionshindrade. Socialstyrelsen har även utfärdat föreskrifter och allmänna råd (SOSFS 2006:5) om dokumentation vid handläggning av ärenden och genomförande av insatser enligt socialtjänstlagen, lag med särskilda bestämmelser om vård av unga, lag om vård av missbrukare i vissa fall och lag om stöd och service till vissa funktionshindrade.
Socialtjänstens hantering av personuppgifter regleras sedan genom närmare bestämmelser i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL, och förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPULF. Dessutom tillämpas bestämmelserna i personuppgiftslagen (1998:204), förkortad PUL.
Av de grundläggande bestämmelserna i SoL och LSS följer krav på att handläggningen av ärenden som rör enskilda samt genomförande av beslut om stödinsatser, vård och behandling ska dokumenteras. Dokumentationen ska utvisa beslut och åtgärder som vidtas i ärendet samt faktiska omständigheter och händelser av betydelse. Handlingar som rör enskildas personliga förhållanden skall förvaras så att obehöriga inte får tillgång till dem.
Vidare anges att dokumentationen ska utformas med respekt för den enskildes integritet och att den enskilde bör hållas underrättad om de journalanteckningar och andra anteckningar som förs om honom eller henne. Om den enskilde anser att någon uppgift i dokumentationen är oriktig ska detta antecknas
Informationshantering inom socialtjänsten SOU 2014:23
568
19.4.1 Socialstyrelsens föreskrifter SOSFS 2006:5
Socialstyrelsen har bland annat för att komplettera de förhållandevis få bestämmelser i lagstiftningen som rör dokumentation vid själva utförandet av insatser inom socialtjänsten utfärdat föreskrifter och allmänna råd på området3. Genom föreskrifterna tydliggörs kraven på dokumentationens innehåll och utformning, bland annat att handlingar som rör enskilda ska innehålla tillräckliga, väsentliga och ändamålsenliga uppgifter. När det gäller barn finns i vissa fall krav på genomförandeplan (jfr 11 kap. 3 § andra stycket SoL).
När det gäller dokumentationen i samband med genomförande av insatser bör det i en genomförandeplan framgå hur en beslutad insats praktiskt ska genomföras. I allmänna råd framgår att genomförandeplanen bör
• i regel upprättas inom den verksamhet som svarar för det praktiska genomförandet, och
• med utgångspunkt i ett beslut om en insats och målet för insatsen beskriva hur den praktiskt ska genomföras.
Av planen, som bör höra till den enskildes personakt, ska vidare framgå
• om det ingår flera delar i insatsen och i sådant fall vilka,
• vilka mål som gäller för insatsen eller delar av den,
• när och hur insatsen eller delar av den ska genomföras,
• på vilket sätt den enskilde har utövat inflytande över planeringen,
• vilka personer som har deltagit i planeringen,
• när planen har fastställts, och
• när och hur planen ska följas upp.
Vidare följer av föreskrifterna att genomförandet av ett beslut om en insats ska dokumenteras fortlöpande. Om en beslutad insats genomförs av den beslutande nämnden, bör dokumentationen som rör handläggningen av ärendet och genomförandet av insatsen hållas samman i en och samma personakt.
3 SOSFS 2006:5 Socialstyrelsens föreskrifter och allmänna råd om dokumentation vid handläggning av ärenden och genomförande av insatser enligt SoL, LVU, LVM och LSS.
SOU 2014:23 Informationshantering inom socialtjänsten
569
Om en beslutad insats däremot genomförs i privat verksamhet bör dokumentationen under genomförandet hållas samman i en personakt hos den som genomför insatsen.
Av journalen som förs regelbundet bör det bland annat framgå när insatsen har påbörjats, om det inträffat omständigheter som gjort att insatsen inte har kunnat genomföras som planerat, vad som har kommit fram av betydelse i kontakt med den enskilde, hur de enskildes behov har förändrats, när och av vilka skäl insatsen har avslutats m.m.
19.4.2 Lagen om behandling av personuppgifter inom socialtjänsten
Lagen tillämpas vid personuppgiftsbehandling inom socialtjänsten om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt ett eller flera särskilda kriterier. Lagen omfattar både myndigheter och privata verksamheter som hanterar personuppgifter inom socialtjänstens område
Med socialtjänst avses enligt lagen
1. verksamhet enligt lagstiftningen om socialtjänst och den särskilda
lagstiftningen om vård utan samtycke av unga eller missbrukare,
2. verksamhet som i annat fall enligt lag handhas av socialnämnd,
3. verksamhet som i övrigt bedrivs av Statens institutionsstyrelse,
4. verksamhet hos kommunal invandrarbyrå,
5. verksamhet enligt lagstiftningen om stöd och service till vissa
funktionshindrade
6. handläggning av ärenden om bistånd som lämnas av socialnämnd
enligt lagstiftningen om mottagande av asylsökande m.fl.,
7. handläggning av ärenden om introduktionsersättning för flyktingar
och vissa andra utlänningar,
8. handläggning av ärenden om tillstånd till parkering för rörelse-
hindrade, samt
9. verksamhet enligt lagen (2007:606) om utredningar avseende
vissa dödsfall.
Informationshantering inom socialtjänsten SOU 2014:23
570
Med socialtjänst avses även tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamhet som avses i punkterna 1– 9 ovan.
Enligt 6 § SoLPUL får personuppgifter bara behandlas om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska kunna utföras. Någon reglering, likt den i patientdatalagen (2008:355), av för vilka ändamål personuppgifter ska få behandlas innehåller lagen därmed inte.
Lagen ger socialtjänsten stöd för att behandla person- och samordningsnummer, känsliga personuppgifter som avses i 13 § PUL samt även uppgifter om lagöverträdelser, om uppgifterna har lämnats in i ett ärende eller är nödvändiga för verksamheten (7 §). Det sista kan sägas vara ett uttryck för den försiktighetsprincip som socialtjänsten ska iaktta vid behandlingen av personuppgifter4.
Förutom personakter som upprättas i socialtjänstverksamheten görs även olika typer av sammanställningar av uppgifter om individerna. Sammanställningarna kan vara både automatiserade och manuella och sökbara på ett eller flera kriterier. I sådana sammanställningar av personuppgifter i socialtjänsten får det som huvudregel inte tas in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga personliga förhållanden (7 a §). Från huvudregeln finns emellertid undantag för
1. uppgifter om åtgärder som har beslutats inom socialtjänsten
som innebär myndighetsutövning och om den bestämmelse som ett sådant beslut grundar sig på,
2. uppföljning, utvärdering och kvalitetssäkring,
3. tillsynsverksamhet som bedrivs av Socialstyrelsen,
4. administration som bedrivs av Statens institutionsstyrelse centralt
5. verksamhet enligt lagen (2007:606) om utredningar avseende
vissa dödsfall.
I fråga om utlämnande av uppgifter innehåller lagen inga särskilda bestämmelser utan endast hänvisningar till vad som följer av offentlighets- och sekretesslagen (2009:400), förkortad OSL, socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade. Det innebär bl.a. att uppgifter som får lämnas ut kan lämnas ut på medium för automatiserad behandling om person-
4 Jfr prop. 2000/01:80 s. 176.
SOU 2014:23 Informationshantering inom socialtjänsten
571
uppgiftsbehandlingen som sådan är tillåten enligt personuppgiftslagen.
Närmare om sammanställningsregister
Hos socialtjänsten finns personuppgifter om enskilda framförallt i en personakt. En personakt är en akt med handlingar som rör en eller flera enskilda personer. Det blir allt vanligare att en personakt för med hjälp av ADB, så kallad elektronisk akt.5Hur en personakt förs varierar mellan olika kommuner men som regler läggs en akt upp på den person som ärendet gäller eller på en person som har valts till så kallad registerledare. Akterna innehåller en mängd uppgifter om den enskilde och hans eller hennes anhöriga. En akt kan även innehålla löpande anteckningar från samtal som förs med den enskilde i samband med planering och genomförande av insatser. Även tidigare utredningar och läkarintyg m.m. kan finnas i en personakt. En personakt innehåller således handlingar om en eller flera personer som är eller har varit aktuella för utredning eller insats hos socialnämnden.6 Den del av en personakt där anteckningar av betydelse för handläggning av ett ärende och genomförande av en insats görs kontinuerligt och i kronologisk ordningen kallas journal. 7Förutom de personakter som upprättas görs även olika typer av sammanställningar av uppgifter om enskilda inom socialtjänsten. I dag används begreppet sammanställning av personuppgifter.
Begreppet sammanställning av uppgifter i personakt har funnits med sedan införandet av personuppgiftslagen. Med begreppet avses sådana sammanställningar som görs i samband med socialtjänstens administration och planering. Med dessa sammanställningar avses sådant som upprättas inom socialtjänsten för bland annat att underlätta administrationen och vilka utgör ett slags register i mer inskränkt betydelse. Sammanställningarna, eller sammanställningsregister som de ibland kallas, används främst som stöd för handläggning, beslut och i samband med verkställigheten av besluten. När det gäller verkställighet av beslut kan de användas för genomförande av olika insatser eller utbetalningar m.m.
5 Handläggning inom socialtjänsten Clevesköld, Lundgren och Thunved s. 334 f. 6 Socialstyrelsens handledning Dokumentation inom socialtjänsten LVU, LVM, LSS och m.m. 7 Socialstyrelsens handledning Dokumentation inom SoL, LVU, LVM och LSS m.m.
Informationshantering inom socialtjänsten SOU 2014:23
572
Registren används i första hand som stöd för handläggningen av de ärenden där socialtjänsten har en utredningsskyldighet och som stöd för de beslut som utredningen utmynnar i 8. Den används även som administrativt stöd vid handläggningen av arbetsplaner och utbetalningar av ekonomiskt bistånd. Till viss del används de även som underlag för tillsyn, uppföljning och utvärdering av socialtjänstens verksamhet. Registren underlättar också rapporteringen av uppgifter till Socialstyrelsen som under för den offentliga statistiken.
Sammanställningsregister skiljer sig från personakterna på det viset att det är tillgängliga på ett mer omedelbart sätt än som är fallet med personakter. Alltsedan socialtjänstlagens tillkomst har det funnits ett förbud för socialnämnderna att ta in uppgifter om ömtåliga personliga förhållanden i olika typer av sammanställningar av personuppgifter. Om sådana anteckningar behöver göras så är det nödvändigt att lägga upp en personakt och sedan får en hänvisning till personakten göras i sammanställningsregistret.
I sammanställningar av personuppgifter får i dag inte tas in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga personliga förhållanden (jfr 7 a § SoLPUL). Med uppgifter om ömtåliga personliga förhållanden avses förutom känsliga personuppgifter enligt personuppgiftslagen utan även andra uppgifter om personliga förhållanden som kan förekomma inom socialtjänsten och som vars behandling kan anses vara kränkande för den personliga integriteten. Från detta förbud finns undantag för uppgifter om åtgärder som har beslutats inom socialtjänsten som innebär myndighetsutövning och om den bestämmelsen som ett sådant beslut grundar sig på, uppföljning, utvärdering och kvalitetssäkring samt tillsynsverksamhet som bedrivs av Inspektionen för vård och omsorg. Undantaget gäller även för administration och tillsynsverksamhet som bedrivs av Statens institutionsstyrelse centralt. Uppgift som avslöjar medlemskap i fackförening får aldrig tas in i sammanställningarna.
8 Handläggning inom socialtjänsten Clevesköld, Lundgren och Thunved s. 335.
SOU 2014:23 Informationshantering inom socialtjänsten
573
19.4.3 Förordningen om behandling av personuppgifter inom socialtjänsten
Förordningen9 reglerar behandlingen av personuppgifter inom socialtjänsten för Statens institutionsstyrelse, kommunala myndigheter, privat verksamhet och Socialstyrelsen enligt lagen om behandling av personuppgifter inom socialtjänsten.
Förordningen innehåller bland annat bestämmelser om personuppgiftsansvar, tillåtna ändamål för personuppgiftsbehandlingen, direktåtkomst, sökbegrepp och samkörning.
Med privat verksamhet avses yrkesmässig verksamhet som bedrivs av en juridisk eller fysisk person med tillstånd av Socialstyrelsen och sådan privat verksamhet inom socialtjänsten som i övrigt bedrivs enligt avtal med kommunen (5 §).
Statens institutionsstyrelse
I 6 § förordningen anges att Statens institutionsstyrelse (SiS) är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som görs i dess verksamhet. Enligt 7 § får SiS bland annat behandla personuppgifter för platsanvisning och institutionsplacering inom deras verksamhetsområde, dokumentation av vård, behandling och behandlingsresultat samt tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten.
Möjligheterna för SiS att göra samkörningar är begränsade i förordningen. Ett hem som drivs av SiS får inte hämta personuppgifter från ett annat hem som drivs av SiS för samkörning (10 §).
Kommunal myndighet
Av förordningens 11 § framgår att en kommunal myndighet är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som myndigheten utför. Om behandlingen görs gemensamt för flera myndigheter inom kommunen är varje myndighet personuppgiftsansvarig för sin egen behandling.
Vad avser ändamålen för behandling av personuppgifter (12 §) får en kommunal myndighet behandla personuppgifter för
9 Förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten.
Informationshantering inom socialtjänsten SOU 2014:23
574
1. handläggning av ärenden om bistånd och annat stöd samt
genomförande av beslut om bistånd, stödinsatser, vård och behandling samt annan social service som följer av bestämmelserna i socialtjänstlagen och lagen om vissa kommunala befogenheter,
2. faderskapsutredningar, utredning om vårdnad av barn,
adoptionsärenden samt annan verkställighet inom familjerätten,
3. handläggning av ärenden och annan verksamhet som följer av
bestämmelserna i lagen med särskilda bestämmelser om vård av unga och lagen om vård av missbrukare i vissa fall,
4. handläggning av ärenden om insatser och för särskilda uppgifter
som följer av bestämmelserna i lagen om stöd och service till vissa funktionshindrade,
5. handläggning av ärenden om tillstånd till parkering för rörelse-
hindrade,
6. handläggning av ärenden om bistånd som lämnas av social-
nämnd enligt lagstiftning om mottagande av asylsökande m.fl.,
7. handläggning av ärenden om introduktionsersättning för
flyktingar och vissa andra utlänningar,
8. handläggning av ärenden och annan verksamhet inom social-
tjänsten som utförs vid kommunal invandrarbyrå,
9. handläggning av ärenden som följer av bestämmelserna i lagen
med särskilda bestämmelser om unga lagöverträdare och körkortsförordningen, samt 10. tillsyn, uppföljning, utvärdering, kvalitetssäkring och administra-
tion av verksamheten.
Vid handläggning av ärenden och i verksamhet som avses i punkterna 1–9 får en kommunal myndighet endast använda uppgifter om namn eller uppgift om person-, samordnings- eller ärendenummer som sökbegrepp vid sökning efter uppgifter eller i samband med sammanställningar.
SOU 2014:23 Informationshantering inom socialtjänsten
575
Privat verksamhet
Privata utförare av socialtjänst är enligt 17 § i förordningen personuppgiftsansvariga för den behandling av personuppgifter som utförs i dess verksamhet.
I privat verksamhet får personuppgifter behandlas för dokumentation av sådan vård, behandling eller omsorg av enskilda som ges inom verksamheten. Även de personuppgifter som behövs för administrationen av verksamheten får hanteras.
När det gäller samkörning av personuppgifter får ett boende, en öppen verksamhet eller en annan enhet i privat verksamhet inte hämta personuppgifter från annat boende, annan öppen verksamhet eller annan enhet inom privat verksamhet för behandling av uppgifter genom samkörning.
19.4.4 Direktåtkomst och utlämnande på medium för automatiserad behandling
Ifråga om utlämnande av uppgifter i socialtjänsten gäller de begränsningar som finns i offentlighets- och sekretesslagen, socialtjänstlagen samt lagen om stöd och service till vissa funktionshindrade. Dessa författningar tar i detta avseende framför allt sikte på frågan om huruvida uppgifter får lämnas ut, inte hur de i sådant fall får lämnas ut.
Avsaknaden av bestämmelser innebär inte att det är omöjligt att elektroniskt lämna ut uppgifter i socialtjänsten. Utlämnande av uppgifter på medium för automatiserad behandling är en form av behandling av personuppgifter enligt 3 § PUL, som är tillåten om utlämnandet görs i enlighet med de ändamål som är bestämda för personuppgiftsbehandlingen och att kraven på informationssäkerhetsåtgärder iakttas. Dessutom måste utlämnandet ske med beaktande av bestämmelser om sekretess och tystnadsplikt.
Sammanfattningsvis gäller således att uppgifter kan lämnas ut elektroniskt mellan olika verksamheter inom socialtjänsten om personuppgiftsbehandlingen som sådan är tillåten samt sekretessen för uppgifterna bryts, t.ex. genom den enskildes samtycke.
Däremot är direktåtkomst mellan olika verksamheter med sekretessgränser mellan sig inte möjligt i socialtjänsten. Det saknas exempelvis bestämmelser som motsvarar hälso- och sjukvårdens möjligheter att i system för sammanhållen journalföring hålla
Informationshantering inom socialtjänsten SOU 2014:23
576
uppgifter från flera olika vårdgivare tillgängliga för varandra genom direktåtkomst. Olika privata utförare av socialtjänst kan således inte ta del av varandras uppgifter om individen genom direktåtkomst. Inte heller kan en kommunal utförare av socialtjänst med direktåtkomst få tillgång till en privat utförares dokumentation om den enskilde.
19.5 Sekretess på socialtjänstens område
När det gäller den offentligt utförda socialtjänsten finns relevanta bestämmelser i 26 kap. offentlighets- och sekretesslagen. Sekretess gäller inom socialtjänsten för uppgift om enskilds personliga förhållanden om det inte står klart att uppgiften kan röjas utan att den enskilde eller närstående lider men (26 kap. 1 §). Med socialtjänst förstås enligt samma bestämmelse huvudsakligen verksamhet enligt lagstiftningen om socialtjänst och den särskilda lagstiftningen om våra av unga och missbrukare utan samtycke samt verksamhet som i annat fall enligt lag bedrivs av socialnämnd eller av Statens institutionsstyrelse.
Sekretess gäller dessutom även i kommunal familjerådgivning för uppgift som en enskild har lämnat i förtroende eller som har inhämtats i samband med rådgivningen.
För privat verksamhet inom socialtjänsten, t.ex. utförare av hemtjänst, finns bestämmelser om tystnadsplikt i 15 kap. 1 § SoL. Den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet som avser insatser enligt socialtjänstlagen får inte obehörigen röja vad han eller hon i det sammanhanget har fått veta om enskildas personliga förhållanden. Vid tolkningen av detta obehörighetsrekvisit har det ansetts naturligt att söka ledning i sekretesslagens regler.10Den bakomliggande tanken är att den enskilde ska ha samma skydd för sin personliga integritet vare sig han eller hon är föremål för insatser från en privat eller offentlig verksamhet.
I OSL finns några sekretessbrytande bestämmelser på socialtjänstens område. Av 26 kap. 9 § framgår att sekretess inte hindrar att uppgift om en enskild eller någon närstående till denne lämnas från en myndighet inom socialtjänsten till en annan sådan myndighet eller till en myndighet inom hälso- och sjukvården, om det behövs för att ge den enskilde nödvändig vård, behandling eller
10 Bl.a. prop. 2005/06:141 s. 63, prop. 2005/06:161 s. 82 och 93 och prop. 2007/08:126 s. 133.
SOU 2014:23 Informationshantering inom socialtjänsten
577
annat stöd och denne (1) inte har fyllt arton år, (2) fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel, eller (3) vårdas med stöd av lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård. Detsamma gäller uppgift om en gravid kvinna eller någon närstående till henne, om uppgiften behöver lämnas för en nödvändig insats till skydd för det väntade barnet.
Inte heller hindrar sekretess att uppgift i verksamhet som avses i 7 kap. 5 § SoL lämnas till en socialnämnd och uppgift i verksamhet som avses i 23 d § LSS lämnas till en nämnd som avses i 22 § samma lag, om uppgiften behövs för handläggning av ärende eller verkställighet av beslut om stödinsatser, vård eller behandling och det är av synnerlig vikt att uppgiften lämnas. (26 kap. 10 § OSL).
Det saknas dock sekretessbrytande bestämmelser motsvarande de som för hälso- och sjukvården gäller enligt 25 kap. 13 § OSL. Av den bestämmelsen följer att hälso- och sjukvårdssekretess inte hindrar att uppgift om en enskild, som p.g.a. sitt hälsotillstånd eller av andra skäl inte kan samtycka till utlämnandet, lämnas ut för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd. Under de förutsättningarna får en myndighet inom hälso- och sjukvården lämna ut uppgifterna till en annan sådan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en privat vårdgivare eller privat utförare på socialtjänstens område. Bestämmelsen möjliggör således ett uppgiftsutlämnande både inom sjukvården och mellan sjukvården och socialtjänsten. En sådan motsvarande bestämmelse saknas dock på socialtjänstens område, dvs. en myndighet inom socialtjänsten kan inte med motsvarande förutsättningar lämna ut uppgifter till andra myndigheter eller privata utförare inom socialtjänsten eller motsvarande aktörer i hälso- och sjukvården.
Det kan också nämnas att det i dokumentationen kan finnas uppgifter om enskildas hälso- tillstånd eller andra personliga förhållanden som lämnats i anmälan eller annan utsaga från annan person än den enskilde. Även sådana uppgifter kan enligt 26 kap. 5 § OSL omfattas av sekretess i förhållande till den enskilde om det kan antas att fara uppkommer för att den som har lämnat uppgifterna eller dennes närstående utsätts för våld eller allvarligt men om uppgifterna röjs. Bestämmelsen skyddar den som lämnar uppgifter till socialtjänsten om andras förhållanden.
Informationshantering inom socialtjänsten SOU 2014:23
578
19.5.1 Sekretess mellan myndigheter och självständiga verksamhetsgrenar
Av offentlighets- och sekretessregleringen följer att sekretess även gäller mellan myndigheter. Kommuner har en stor frihet att organisera sina olika nämnder som de själva önskar och efter lokala behov och förutsättningar. Det är bl.a. möjligt att dela upp socialtjänstens uppgifter på flera nämnder. Det förekommer exempelvis en geografisk uppdelning på kommundelsnämnder, men det kan även vara en uppdelning på olika kompetensområden eller utifrån ett beställar- och utförarperspektiv. Varje nämnd i en sådan socialtjänstorganisation är att anse som egna myndigheter i offentlighets- och sekretesslagens mening och sekretess gäller då som huvudregel mellan dessa olika nämnder inom samma kommun.
Sekretess kan utöver detta i vissa fall även gälla inom en och samma nämnd, nämligen om det inom nämnden finns verksamhetsgrenar som är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL). Vad som avses med självständiga verksamhetsgrenar inom en myndighet har inte definierats av lagstiftaren och tolkningen av begreppet har vållat svårigheter för den praktiska tillämpningen. Ett vanligt sätt att beskriva det är dock att en självständig verksamhetsgren i förhållande till en annan verksamhet inom en myndighet uppstår om det är fråga om olika verksamhetsgrenar och dessa är självständiga i förhållande till varandra.
Om olika delar av myndighetens verksamhet ska tillämpa helt olika uppsättningar av sekretessbestämmelser kan det vara fråga om olika verksamhetsgrenar. Ifall verksamheterna bedöms vara olika verksamhetsgrenar måste man också bedöma om de har organiserats på ett sådant sätt att de förhåller sig självständiga till varandra. Om dessa både kriterier är uppfyllda finns en sekretessgräns inom myndigheten. Omständigheter av betydelse för bedömningen av självständigheten kan vara att organet självständigt förvaltar viss egendom, har viss handlingsfrihet inom en angiven ekonomisk ram eller i övrigt kan vidta vissa faktiska åtgärder självständigt och på eget ansvar. Andra omständigheter som påverkar bedömningen kan vara att man i vissa frågor beslutar självständigt och i eget namn.
SOU 2014:23 Informationshantering inom socialtjänsten
579
Ett undantag från ovanstående huvudregel har emellertid gjorts genom Ädelreformen11. I de verksamheter som omfattas av Ädelreformen bedöms den kommunala hälso- och sjukvården och socialtjänsten, om de bedrivs inom en och samma nämnd, i sekretesshänseende tillhöra samma verksamhetsområde och inte vara självständiga i förhållande till varandra.
Även när det gäller sekretessen mellan myndigheter inom samma kommun skiljer det sig åt mellan hälso- och sjukvården och socialtjänsten. För hälso- och sjukvårdens del gäller enligt 25 kap. 11 § punkten 1 OSL att sekretessen inte hindrar att uppgift lämnas från en myndighet som bedriver hälso- och sjukvård i en kommun till en annan sådan myndighet i samma kommun. Motsvarande sekretessbrytande bestämmelse finns således inte på socialtjänstens område.
19.5.2 Sekretess i förhållande till privata utförare av socialtjänst
Som tidigare nämnts utförs mycket av socialtjänstinsatserna i dag av privata aktörer som har avtal med kommunen. En sådan utveckling för även med sig konsekvenser i sekretesshänseende. Sekretessregleringen i offentlighets- och sekretesslagen innebär som ovan beskrivits att det finns en sekretessgräns runt en myndighet. Denna gräns gäller i förhållande till alla som är utanför men normalt inte i förhållande till den som uppgiften handlar om. Detta innebär att sekretessgränsen runt en myndighet även gäller i förhållande till en enskild verksamhet (privat driven) inom socialtjänsten. Sekretessgränsen innebär att uppgifter som är omfattas av sekretess hos myndigheten inte får lämnas ut till den privata utföraren om inte den enskilde samtycker till utlämnandet eller en sekretessbrytande bestämmelse eller en menprövning tillåter det. Utredningens bedömning är vidare att motsvarande måste anses gälla för ett uppgiftsutlämnande från en privat utförare till en kommunal myndighet inom socialtjänsten eller till en annan privat utförare av socialtjänst. Eftersom innebörden av bestämmelserna om tystnadsplikt i socialtjänstlagen ska tolkas och tillämpas med ledning av bestämmelserna i offentlighets- och sekretesslagen saknas grund för att göra en annan bedömning än att det finns
11 Ädelreformen 1992, innebar att kommuner fick ett samlat ansvar för vård och omsorg för bland annat äldre.
Informationshantering inom socialtjänsten SOU 2014:23
580
motsvarande tystnadspliktsgräns runt en privat driven socialtjänstverksamhet som det i sekretesshänseende finns runt en myndighet.
I Socialtjänstdatautredningen, SOU 2009:32, gjorde visserligen utredaren bedömningen att tystnadsplikt enligt 15 kap. 1 SoL inte utgör hinder mot att uppgifter om enskild lämnas från enskild verksamhet inom socialtjänsten till myndighet inom socialtjänsten. Som grund för bedömningen anfördes bl.a. att det yttersta ansvaret för en kommuns uppgifter inom socialtjänsten inte kan överlåtas på annan och att nämnden har det direkta ansvaret för att sådant som lagts ut på ett företag kontrolleras och följs upp.
Att det inte skulle finnas någon tystnadspliktsgräns mellan en privat utförd socialtjänst och en kommunal myndighet inom socialtjänsten saknar emellertid enligt vår bedömning stöd i nuvarande sekretessreglering. Vidare kan inte kommunens övergripande ansvar exempelvis för kontroll av utförd verksamhet, med dagens reglering, innebära oinskränkta möjligheter för kommunala myndigheter att ta del av individuppgifter som under genomförandefasen dokumenteras av olika utförare. Det kan dock inte uteslutas att ett utlämnande i enskilda fall, exempelvis från en privat utförare till en kommunal myndighet, kan bedömas vara tillåtet vid en tillämpning av bestämmelserna om tystnadsplikt i 15 kap. 1 § SoL.
Frågan om kommunens skyldigheter att följa upp verksamhet som drivs av annan än kommunen och vilka möjligheter kommunen har att ta del av personuppgifter över sekretessgränser för detta ändamål är komplex. Utredningen om en ny kommunallag för framtiden överlämnade 2013 delbetänkandet Privata utförare – kontroll och insyn (SOU 2013:53). I betänkandet gör utredningen ett försök att i någon mån precisera det kommunala huvudmannaskapet för vissa verksamheter och vilka krav på uppföljning som bör ställas på verksamheter som ingår i huvudmannens ansvarsområde. Någon egentlig analys av vilka uppgifter huvudmannen har rätt att ta del av och hur det kan ske gjordes däremot inte. Det kan därför finnas behov av att ytterligare analysera och överväga behovet av en ökad tydlighet rörande kommunens möjligheter att inhämta och använda uppgifter som dokumenteras hos privata utförare av socialtjänst.
581
20 En ändamålsenlig informationshantering – iakttagelser och reflektioner
20.1 Bakgrund
Vi har inledningsvis i betänkandet redogjort för våra generella iakttagelser och utgångspunkter kring nödvändiga förutsättningar för en ändamålsenlig informationshantering inom hälso- och sjukvården och socialtjänsten. Det inbegriper exempelvis lagstiftning, teknik, informatik, ledarskap, kulturer, arbetssätt m.m. Vi har då kunnat konstatera att alla dessa faktorer måste samspela och tillsammans stödja en utveckling mot en mer sammanhållen och ändamålsenlig informationshantering med individen i centrum. I detta avsnitt redogör vi översiktligt för ett antal faktorer som utredningen bedömer som centrala för möjligheterna att skapa en ännu mer ändamålsenlig och sammanhållen informationshantering inom socialtjänsten. Frågor om informationshantering i integrerade verksamheter mellan socialtjänst och hälso- och sjukvård m.m. berörs primärt inte här utan i avsnitt 31 och 32.
20.2 Informatik och it
Det har under utredningens arbete blivit tydligt att såväl hälso- och sjukvården som socialtjänsten har behov av att utveckla och implementera ett nationellt fackspråk och en mer strukturerad dokumentation. Det är på många sätt en grundläggande förutsättning för ökad kvalitet och säkerhet samt möjligheter till jämförelser. I ett vidare perspektiv påverkar det även möjligheterna till en jämlik socialtjänst för alla, alldeles oavsett vilken kommun medborgaren bor i eller vilken utförare medborgaren väljer för sina beviljade
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
582
insatser. Eftersom en strukturerad dokumentation enligt ett nationellt fackspråk blir kunskapsstyrande och direkt kan påverka arbetssätt och arbetsflöden i socialtjänsten, kan det även med fog hävdas vara en demokrati- och rättvisefråga.
Under arbetet har utredningen kunnat konstatera att den tekniska utvecklingen inte nått lika långt inom socialtjänsten som inom hälso- och sjukvården. Det förekommer exempelvis fortfarande en del manuell informationshantering inom socialtjänsten. Samtidigt är det viktigt att komma ihåg att det inom vissa delar av socialtjänsten inte finns samma behov av att dokumentera som det gör inom andra delar. För genomförandet av vissa insatser kan det handla om att dokumentera att insatsen är utförd eller orsaken till att insatsen inte är utförd. För genomförandet av andra insatser kan det dock finnas behov av att tydligare dokumentera utförandet av insatser för att hela tiden ställa det mot uppställda mål som rör den enskildes utveckling och förmåga att själv vidta hela eller delar av en insats.
Ett positivt exempel som förtjänar att lyftas fram är den utveckling som har skett i Motala kommun. Som en av tre s.k. pilotkommuner har Motala bedrivit ett arbete mot ett mer behovs- och processinriktat arbetssätt med stöd av en strukturerad dokumentation med fastställda klassifikationer (ICF). Både utredning, planering av genomförande och uppföljningen av resultaten görs utifrån den enskilde i centrum samt med hjälp av ett särskilt framtaget it-stöd. Genom utveckla verksamhetens arbetssätt och kombinera det med ett it-system som stödjer det nya arbetssättet och den enskildes process genom socialtjänsten blir informationshanteringen mer ändamålsenlig och arbetet mer kunskapsstyrt.
Utredningens bild är att det finns mycket som generellt fungerar bra i socialtjänsten och att det pågår en hel del utvecklingsarbeten för att förbättra kvaliteten i socialtjänstens olika delar. I sammanhanget kan exempelvis arbetet med evidensbaserad praktik för god kvalitet inom socialtjänsten nämnas. Med stöd av en överenskommelse mellan regeringen och Sveriges Kommuner och Landsting har ett antal utvecklingsarbeten startats runt om i landet. Arbetet mot en evidensbaserad praktik handlar bland annat om involvera brukarna i arbetet, ta tillvara kunskap från professionen och forskningen och att analysera resultatet av sitt arbete. Enligt utredningens mening finns mycket att vinna på att inom ramen för det arbete som nu görs även inkludera frågor om hur informationshanteringen och it-stöden bör utformas för att
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
583
stödja den önskade utvecklingen. En evidensbaserad praktik som bygger på ett systematiskt arbetssätt och uppföljning av resultat kräver bland annat en enhetlig och strukturerad dokumentation samt it-stöd som möjliggör framtagandet av underlag för olika typer av uppföljningar och förbättringsarbeten. Den arena som erbjuds genom de olika satsningarna inom ramen för arbetet med evidensbaserad praktik har förutsättningar att låta verksamhetsutveckling och it-utveckling att gå hand i hand.
20.3 Samtycke till insatser – en utgångspunkt för informationshanteringen
I huvudsak aktualiseras en enskild individ inom socialtjänsten genom en kontakt som kan gälla exempelvis en ansökan eller en anmälan. I sådan verksamhet som drivs som serviceinsatser ser processen av naturliga skäl annorlunda ut eftersom det i dessa verksamheter varken görs sådana utredningar som avses i socialtjänstlagen (2001:453), förkortad SoL, eller fattas några biståndsbeslut. Alldeles oavsett bygger socialtjänstens verksamhet i huvudsak på frivillighet och delaktighet från den enskildes sida. Socialtjänstens arbete ska så långt möjligt utformas och genomföras tillsammans med den enskilde.
Vid en ansökan finns en ständig dialog med den sökande. Det görs exempelvis genom kompletterande information, ställningstaganden till utredningsplanen, dialogen kring inhämtande av information, medverkan i behovsbedömningen och ställningstagande till det beslutsunderlag som kommunicerats. Är beslutet gynnande ska den sökande vara delaktig i valet av utförare och delaktig i en uppdragsdialog där individen är med och utvärderar mot mål och uppdrag. I de flesta fall förekommer informationshantering därför primärt i två olika steg, först i och med behovs- och biståndsbedömningen och sedan i och med verkställigheten av biståndsbeslutet. Utöver detta hanteras information även för ändamål som uppföljning, administration, kontroll, tillsyn etc.
Handläggningsprocessen gör att kommunikation, delaktighet och den enskildes samtycke sedan länge är bärande beståndsdelar inom socialtjänsten. Den enskildes samtycke till insatser i socialtjänsten kan många gånger sägas utgöra själva utgångspunkten för informationshanteringen. Något särskilt samtycke för själva informationshanteringen behöver däremot inte inhämtas. Åtminstone inte
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
584
om det är fråga om sådan verksamhet inom socialtjänsten där det föreligger en dokumentationsskyldighet. I sådant fall kan den enskilde inte heller motsätta sig dokumentation och behandling av personuppgifter.
Även om samtycke inte behöver inhämtas särskilt för att behandla personuppgifter, behövs det ofta för att möjliggöra att uppgifter om den enskilde utbyts mellan olika aktörer inom eller utanför socialtjänstens verksamhet. Vid utredningens kontakter med företrädare för socialtjänsten har framkommit att arbetet med att inhämta samtycke för informationsutbyte är en naturlig del av verksamheten, inte minst eftersom det många gånger förekommer ett samarbete med andra aktörer. Det kan exempelvis handla om samarbete med andra delar av en kommuns socialtjänstverksamhet, skola, hälso- och sjukvård eller centrala myndigheter som Försäkringskassan och Arbetsförmedlingen.
Mycket av den hantering och utbyte av information som i dag förekommer mellan olika verksamheter inom socialtjänsten görs därför med stöd av den enskildes samtycke. Det finns verksamheter och processer i socialtjänsten där det är ändamålsenligt att arbeta med samtycke och utifrån det utforma en informationshantering och ett informationsutbyte. Utredningens erfarenhet är att det fungerar särskilt väl i sådana situationer där informationsutbytet görs förhållandevis enstaka gånger och där det finns tid att invänta samtycket innan information utbyts. I sådana situationer torde även behovet av informationsutbyte kunna tillgodoses genom en manuell hantering, t.ex. att uppgifter lämnas ut muntligt eller på papper.
Under utredningens gång har det framkommit att det samtidigt finns situationer när samtycke inte upplevs ändamålsenligt. Vår erfarenhet är att det framför allt gäller när samtycket ändå inte möjliggör ett effektivt användande av moderna tekniska lösningar, t.ex. direktåtkomst till uppgifter om enskilda mellan olika utförare av socialtjänst. En sådan direktåtkomst till uppgifter över sekretessgränser som efterfrågas är nämligen inte möjlig endast med stöd av ett den enskildes samtycke. Det torde även krävas att sekretessen för uppgifterna bryts genom en särskild sekretessbrytande regel i offentlighets- och sekretesslagen (2009:400).
Att inte kunna utbyta uppgifter genom direktåtkomst fastän den enskilde lämnat sitt samtycke till ett visst informationsutbyte upplevs, enligt utredningens erfarenhet, många gånger som hindrande för en ändamålsenlig verksamhet. Inte minst kommuner som
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
585
organiserat sin egen socialtjänst under olika myndigheter påverkas av detta. Utredningen delar verksamheternas tveksamhet inför regelverkets begränsningar och konstaterar att det sannolikt bidrar till att förhindra en utveckling mot införandet av tekniska lösningar för ett snabbt, säkert och ändamålsenligt informationsutbyte.
20.4 Övergripande nämndstruktur påverkar informationshanteringen
Utvecklingen inom många kommuner innebär att det inte längre bara finns en kommunal nämnd för varje verksamhetsområde. Införandet av den fria kommunala nämndorganisationen har inneburit att en del kommuner kommit att dela upp socialtjänsten på flera sektorer som organisatorisk hör till olika nämnder. Det kan exempelvis handla om att kommunen delar upp verksamheten enligt en beställar- och utförarmodell, där det som tidigare var en socialnämnd splittras och blir en eller flera beställar- och utförarnämnder. Ett annat exempel är att dela upp nämndstrukturen efter ett geografiskt perspektiv, t.ex. i kommundels- eller stadsdelsnämnder. Det förekommer även att den organisatoriska uppdelningen är uppbyggd efter olika ämnesområden inom socialtjänsten, t.ex. ekonomiskt bistånd och missbruk.
Den fria kommunala nämndorganisationen har tillsammans med offentlighets- och sekretessregleringen dock medfört att nya sekretessgränser kan uppstå beroende på hur en kommun väljer att organisera sin verksamhet. Att en organisatorisk utveckling medför att sekretessgränser uppstår i verksamheter som tidigare kunnat utgöra ett enda sekretessområde kan leda till tillämpningsproblem för kommunerna och de individer de har att ansvara för. Sekretessgränserna upplevs sällan som adekvata och bidrar till en tröghet i systemet som kan motverka nya sätt att samverka och samarbeta mellan de olika kommunala nämnderna. Vidare uttrycks en oförståelse för regelverkets konsekvenser eftersom det i de kommuner där man valt att enbart ha en nämnd för verksamheten på socialtjänstens område inte finns någon motvarande sekretessgräns.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
586
20.5 Valfrihet och mångfald påverkar informationshanteringen
Inte endast den fria kommunala nämndorganisationen, utan även valfrihetsreformer och ökat antal privata utförare i socialtjänsten har bland annat medfört att allt fler aktörer är inblandade i verkställigheten av de insatser som beviljas den enskilde. En individ kan exempelvis få hemtjänstinsatser utförda av flera olika utförare. Det kan röra sig om städning, tvättning, inköp, personlig omvårdnad, matlagning, promenadsällskap, ledsagning m.m. Det kan även vara så att en individ får en eller flera hemtjänstinsatser utförda av olika aktörer beroende på vilken tid på dygnet det är.
Dagens regelverk medger inte att olika utförare har direkt tillgång till varandras dokumentation och dokumentationssystem. Ett sätt att lösa behovet av informationsöverföring har därför under lång tid varit att, med stöd av individens samtycke eller åtminstone med individens kännedom, anteckna det viktigaste i en pärm eller dagbok som förvaras hos individen och som de olika utförarna kan läsa och dokumentera i. Ett sådant sätt att överföra information kan visserligen fungera i vissa situationer och för vissa ändamål. Men för att få till stånd en mer kvalitetssäker informationsöverföring skulle ett användande av modern teknik vara ändamålsenligt och effektivt. Ibland kan det även handla om att information om individen behöver nå en utförare redan innan denne exempelvis kommer hem till den enskilde för att utföra en hemtjänstinsats. Att redan innan ett besök kunna ta del av information som kan vara relevant gör att personalen kan förbereda sitt besök och ytterligare anpassa verksamheten efter individens aktuella behov.
Det konstateras att rådande regelverk innebär att möjligheterna till en effektiv och säker informationshantering är mycket beroende av hur kommunen organiserar sig. En kommun med få kommunala nämnder inom socialtjänsten och få privata aktörer bland utförarna har i dag väsentligt bättre förutsättningar till en ändamålsenlig informationshantering än kommuner med många nämnder och privata utförare i den offentligt finansierade verksamheten. De organisatoriska förändringarna påverkar såväl den individinriktade informationshanteringen i samband med beslut och genomförande av insatser i socialtjänsten som den hantering av information som behöver göras i form av uppföljning, kvalitetssäkring, verksamhetsutveckling m.m. Kommunen har som huvudman alltid det yttersta
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
587
ansvaret för att invånarna får det stöd och den hjälp de behöver, oavsett om t.ex. omsorg bedrivs i offentlig eller i privat regi.
20.6 Informationshantering i samband med rådgivning och annat stöd
Inom socialtjänsten har det i dag kommit att bli allt mer vanligt att kontakter förekommer och insatser utförs utan att den enskilde har ansökt om insatsen och sedan fått den biståndsbedömd. Det kan exempelvis handla om olika former av förebyggande insatser vid kontakter med enskilda. Inte sällan utförs rådgivning och andra stödinsatser inom ramen för missbruksvården eller i samband med familjerådgivning utan att ett biståndsbeslut har meddelats.
I förarbeten till ändringar av socialtjänstlagen anförde regeringen att de insatser som ska dokumenteras under genomförande är de individuellt behovsprövade stöd-, vård- och behandlingsinsatserna. Verksamheter som rådgivning och information samt vissa öppna verksamheter bedömdes, som tidigare, inte omfattas av dokumentationsskyldigheten1.
Enligt socialtjänstlagen följer därmed ingen skyldighet att dokumentera rådgivning t.ex. vid alkohol- eller narkotikamottagning samt familjerådgivning. I de fall sådan rådgivning övergår till någon form av behandling som är individuellt anpassad ska dock biståndsbeslut fattas och dokumentation göras. Ett av de främsta skälen till att rådgivnings- och stödverksamheter ligger utanför dokumentationsskyldigheten är att det annars skulle kunna vara avskräckande för personer att kontakta socialtjänsten och få stöd och råd i utsatta situationer. En ytterligare effekt är att socialtjänsten blir mer lättillgänglig eftersom verksamheten genomförs utan att en biståndsbedömning aktualiseras. Den enskilde kan då snabbare få en tid för exempelvis samtal vid en ungdomsmottagning, missbruksenhet eller hos familjerådgivningen.
Under utredningens gång har det visat sig att den verksamhet som bedrivs inom ramen för råd och stöd kan skilja sig väsentligt åt mellan olika kommuner. I en del kommuner erbjuds enskilda ett fåtal besök utan biståndsbeslut medan individer i andra kommuner kan ha väldigt många kontakter med socialtjänsten utan att behovet om bistånd bedöms. I de senare situationerna kan verksamheten
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
588
komma att bedrivas på ett sådant sätt att det i praktiken är svårt att skilja ifrån vad som hade varit fallet om saken blivit individuellt behovsprövad och beslutad.
Behovet av att dokumentera insatser inom socialtjänstens öppna verksamheter är naturligtvis större om verksamheten bedrivs under längre tid och utifrån de sökandes individuella behov. Frågan är hur enskildas behov av rättssäkerhet och god kvalitet ska säkras om verksamheten inte dokumenterar insatserna. Ur ett uppföljningsperspektiv är det även önskvärt att kunna följa utvecklingen av verksamheten i stort, men även utifrån enskilda personers vård- och omsorgskedja.
Vid utredningens kontakter med verksamheter bl.a. inom ungdomshälsa och missbruksvård framkommer en tydlig bild av att verksamheterna själva bedömer att det finns ett behov av att dokumentera, både för det individinriktade arbetet och för verksamhetsuppföljning och kvalitetssäkring. Det förekommer ett antal olika lösningar för att tillgodose dessa behov. Exempelvis görs dokumentation med stöd av den enskildes samtycke under den tid den enskilde är föremål för rådgivning eller annat stöd.
Någon möjlighet att dokumentera och behandla personuppgifter utan samtycke finns troligen inte eftersom verksamheten inte omfattas av de tillåtna ändamålen för personuppgiftsbehandling som anges i förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPULF, (jfr 12 §). Det är även osäkert ifall en personuppgiftsbehandling som inte är tillåten enligt lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL, och SoLPULF över huvud taget kan grunda sig på den enskilde samtycke. Eftersom SoLPULF anger de ändamål för vilka personuppgiftsbehandling får genomföras i socialtjänsten är det oklart om de grundläggande bestämmelserna om samtycke i personuppgiftslagen (1998:204) kan tillämpas. Denna osäkerhet är otillfredsställande såväl för den enskilde som för verksamheterna. Utredningens erfarenhet är nämligen, som nämnts tidigare, att verksamheter inom råd och stöd i dagsläget inhämtar den enskildes samtycke för att behandla personuppgifter och dokumentera det som förekommer vid kontakter med den enskilde. Samtycke för att efter avslutad kontakt behandla personuppgifter för ändamål som uppföljning och kvalitetssäkring verkar, såvitt utredningen kan bedöma, inte förekomma i någon större utsträckning. Däremot uppger några kommuner att de på olika sätt avlägsnar de direkt utpekande personuppgifterna för att sedan låta upp-
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
589
gifterna ligga till grund för verksamhetsuppföljning, statistikframställning m.m.
Våra iakttagelser visar att socialnämnderna har behov av att ytterligare analysera och ta ställning till hur verksamheter inom ramen för råd och stöd ska bedrivas. Det handlar bl.a. om att överväga hur många och hur ingående kontakter med den enskilde som ska kunna förekomma utan att saken ska behovsprövas och beslutas. En annan fråga är var gränsen går för när en insats blir anpassad efter individens behov och när en insats är så generell att den kan sägas rikta sig till hela befolkningen i kommunen. Oavsett var man landar i sådana överväganden är frågan om dokumentation och informationshantering nära sammankopplad med karaktären på verksamheten. Frågor om informationshantering bör därför i första hand vara kopplade till vilka behov för den enskilde och för verksamheten som rent faktiskt föreligger. Situationen blir dessutom än mer komplex i de integrerade verksamheter som finns mellan socialtjänst och hälso- och sjukvård. Här kan verksamhetens karaktär och de olika dokumentationsbestämmelserna göra att en insats blir dokumenterad om individen möter en yrkesverksam inom hälso- och sjukvården, medan samma insats inte alls dokumenteras om den enskilde i stället har kontakt med en yrkesverksam inom socialtjänsten. Exempel på detta finns både i ungdomshälsan, i psykiatrin och i missbruksvården m.m.
20.7 Verksamhetsuppföljning och kvalitetssäkring
Av grundläggande bestämmelser i socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade (1993:387), förkortad LSS, följer att insatser inom socialtjänsten ska vara av god kvalitet och att kvaliteten i verksamheten systematiskt och fortlöpande ska utvecklas och säkras.
Regelverket för verksamhetsuppföljning och kvalitetssäkring är dock inte helt tydligt på socialtjänstens område. Till skillnad från hälso-och sjukvården som har bestämmelser som uttryckligen tillåter samtliga vårdgivare att dels hantera personuppgifter i sin egen verksamhet för kvalitetssäkring m.m., dels registrera uppgifter i nationella kvalitetsregister, saknas i princip motsvarande bestämmelser för socialtjänsten.
Av förordningen om behandling av personuppgifter inom socialtjänsten följer dock att en kommun får behandla personuppgifter
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
590
för tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten. Sådana bestämmelser saknas däremot för juridiska eller fysiska personer som ansvarar för privat verksamhet inom socialtjänsten. Det är därmed otydligt i vilken utsträckning en privat utförare får hantera personuppgifter för att utveckla verksamheten.
Vidare kan noteras att den nationella uppföljningen av socialtjänstens insatser visar upp betydande skillnader jämfört med hälso- och sjukvården. Medan det i hälso- och sjukvården finns omkring ett 100-tal nationella kvalitetsregister som vårdgivarna själv har huvudansvaret för samt därutöver ett antal centrala hälsodataregister där Socialstyrelsen följer utvecklingen på ett antal områden, kan konstateras att motsvarande till stora delar saknas i socialtjänsten. Visserligen samlar Socialstyrelsen in vissa uppgifter från kommunernas socialtjänst inom ramen för lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken. Några verktyg för förbättringsarbete som liknar hälso- och sjukvårdens nationella kvalitetsregister finns däremot inte. Under utredningens gång har väckts frågan om det bör finnas liknande möjligheter till kvalitetsutveckling inom socialtjänsten som regelverket om nationella kvalitetsregister ger för hälso- och sjukvården.
Även om det kan finnas anledning att ifrågasätta regelverkets ändamålsenlighet vad gäller möjligheterna att hantera personuppgifter för att säkra och utveckla kvaliteten i verksamheten, har vi under vårt arbete även mött olika attityder och kulturer inom socialtjänsten. Medan det i vissa verksamheter finns ett stort driv mot kvalitetssäkring och förbättringsarbete har vi även erfarenhet av verksamheter som inte bedriver, eller till och med säger sig behöva bedriva, något systematiskt kvalitetsarbete av detta slag. De senare exemplen har vi i allmänhet mött i verksamheter som bedrivs som råd och service, dvs. inte biståndsbedömda insatser. Särskilt med tanke på utvecklingen inom råd och service i dag, där det många gånger i praktiken torde handla om en sådan kvalificerad och individuellt anpassad insats som traditionellt sett hade blivit biståndsbedömd, är detta bekymmersamt. Även om det självklart i många verksamheter är naturligt att systematiskt arbeta för att förbättra resultatet för individerna bedömer vi att de erfarenheter vi fått av det motsatta inte bör ignoreras. Det är viktigt att all verksamhet som syftar till att förbättra hälsa och livskvalitet för människor i behov av stöd har ett sätt att systematiskt ta reda på
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
591
vad som görs i verksamheten och vilka resultat det medför för individerna.
20.8 SoLPUL och SoLPULF – ett svårtillgängligt regelverk
Lagen om behandling av personuppgifter i socialtjänsten har länge kritiserats för att vara otydlig och svår att tillämpa. Inte minst har relationen till personuppgiftslagen och till förordningen om behandling av personuppgifter i socialtjänsten lyfts fram och sagts vara komplicerad. Bestämmelserna som reglerar för vilka ändamål personuppgifter får behandlas är exempelvis samlade i olika författningar och i nuvarande lag om behandling av personuppgifter inom socialtjänsten finns ingen uppräkning över vilka ändamål som är tillåtna. Dessutom är de ändamålsbestämmelser som trots allt finns i SoLPULF olika utformade beroende på vilken aktör som ska behandla personuppgifterna. Det bidrar till att regelverket blir svårtillgängligt, men kan även påverka förutsättningarna för en jämlik socialtjänst oavsett om en offentlig eller en privat utförare står för insatsernas genomförande.
Sedan patientdatalagen (2008:355) trädde ikraft har det även blivit än mer tydligt att regleringen på socialtjänstens område inte är lika uppdaterad och att de två författningarna har helt olika systematik och struktur. Särskilt med tanke på att hälso- och sjukvård och socialtjänst ligger mycket nära varandra har det framförts behov av att harmonisera lagstiftningen så att de i större utsträckning liknar varandra.
Exempelvis saknas för socialtjänstens del i dag en lagstiftning om behandling av personuppgifter som tydliggör vad syftet är med informationshanteringen eller som närmare reglerar frågor om inre sekretess, t.ex. behörighetsstyrning och åtkomstkontroll. För en ändamålsenlig informationshantering med hjälp av modern teknik är det viktigt att de grundläggande förutsättningarna som styr hur information får hanteras är så tydliga och kända som möjligt. Så är fallet inte i dag, där socialtjänsten måste söka stöd i personuppgiftslagens regler och praxis från Datainspektionen för att få ledning t.ex. i säkerhetsrelaterade frågor.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
592
Socialtjänstdatautredningen2 hade, bl.a. mot bakgrund av några av ovanstående perspektiv, som ett huvuduppdrag att göra en översyn av hur personuppgiftsbehandlingen i socialtjänsten regleras och vid behov lämna förslag för att åstadkomma en mer välfungerande och sammanhållen reglering av området.3 Eftersom betänkandet ännu inte lett till någon lagstiftning återstår fortfarande behovet av en översyn av lagen om behandling av personuppgifter inom socialtjänsten och den därtill hörande förordningen.
20.9 Kunskap, kompetens, ledning och styrning
Utredningen uppfattar att det, på motsvarande sätt som är fallet för hälso- och sjukvården, finns ett behov av ökad kunskap och kompetensutveckling i socialtjänsten när det gäller förutsättningarna för att hantera och utbyta information. Det kan handla om allt ifrån en osäkerhet på vad som är tillåtet i ett enskilt fall till en mer utbredd okunskap om vilka tekniska lösningar för att t.ex. utbyta information mellan olika aktörer som står till buds och är tillåtna enligt lagstiftningen. Inte minst i mindre verksamheter där socialtjänsten arbetar tillsammans med andra aktörer, t.ex. hälso- och sjukvård eller andra myndigheter, har vi kunnat konstatera ett behov av ökat stöd för en mer ändamålsenlig informationshantering.
Mycket av detta handlar ytterst, som vi ser det, om en mer aktiv och målmedveten ledning och styrning i frågorna. Vi bedömer därför att behovet av kompetensutveckling och kunskapsstyrning på detta område finns såväl på den mer verksamhetsnära nivån som på de olika ledningsnivåerna i socialtjänsten. Många gånger handlar det om att i organisationen bygga upp en struktur som på olika sätt stödjer ett ändamålsenligt arbetssätt vad gäller dokumentation och informationshantering. Inte minst behöver det stödet finnas i samband med framtaget och utvecklingen av de verksamhetssystem som ska användas i socialtjänsten.
Utredningen ser även att det ökade antalet utförare i socialtjänsten för med sig behov av att utveckla strukturer för att även stödja dessa. Många gånger är det relativt små företag som etablerar sig i kommunernas valfrihetssystem. Att förutsätta att dessa organisationer ska ha uppbyggd egen kunskap och kompetens i dessa
2SOU 2009:32. 3 Dir. 2007:92.
SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner
593
frågor är inte rimligt. Inte sällan är dessa mindre företag även i praktiken hänvisade att använda de system för informationshantering som kommunen själv använder och tillhandahåller. Det finns därför behov för kommunen som huvudman att ta ett ansvar för att de privata utförarna på något sätt omfattas av de strukturer och regelverk som tas fram i syfte att stödja en ändamålsenlig informationshantering.
Samtidigt som vi ser ett behov av ökad kunskap och en mer aktiv ledning och styrning kan vi även konstatera att det pågår en önskvärd utveckling på olika områden. Som vi nämnt i tidigare avsnitt pågår ett arbete, t.ex. inom ramen för projektet evidensbaserad praktik där även dessa frågor är aktuella. På en mer lokal nivå har vi även kunnat konstatera att det i kommunernas olika samverkansorganisationer drivs många projekt som ökar kunskapen och stöttar enskilda kommuner i utvecklingen mot ökad kvalitet och effektiv informationshantering. Det är viktigt att denna utveckling fortsätter.
Det finns heller ingen anledning att ifrågasätta den insikt som finns i socialtjänsten om att uppgifter många gånger är integritetskänsliga och behöver hanteras varsamt och i enlighet med regler om sekretess och tystnadsplikt. Vi bedömer att detta medvetande är högt och att det är en självklar och naturlig del av verksamhetskulturen att värna den enskildes intressen. Kunskapsbehovet finns snarare i den mer aktiva och verksamhetsnära tillämpningen av lagstiftningen. Inte minst för att verksamheten ska kunna införa ändamålsenliga IT-stöd behövs en ökad kunskap om hur uppgifter om enskilda får hanteras i en verksamhet och utbytas med andra verksamheter.
20.10 Sammanfattande reflektioner
Även om det finns mycket som fungerar bra kan utredningen konstatera att det finns ett antal faktorer som har stor betydelse för målsättningen att skapa en ännu mer ändamålsenlig och sammanhållen informationshantering inom socialtjänsten. Mot bakgrund av ovanstående och vad som tidigare redovisats vill vi sammanfattningsvis lyfta fram följande behov som särskilt viktiga att belysa i det följande. Den gemensamma nämnaren för alla dessa behov är att de i olika utsträckning påverkar kvaliteten i den socialtjänst som enskilda får.
En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23
594
• Behovet av att införa ett nationellt fackspråk och en informationsstruktur som stödjer ett evidensbaserat arbete.
• Behovet av att se över sekretessregleringens konsekvenser för kommunens möjligheter till en ändamålsenlig och sammanhållen informationshantering.
• Behovet av att de rättsliga förutsättningarna för samverkan kring enskilda ligger i linje med de krav på samverkan som finns i lagstiftningen.
• Behovet av att de rättsliga förutsättningar för att säkra och utveckla kvaliteten i socialtjänsten ligger i linje med de krav som finns i lagstiftningen.
• Behovet av ökad kunskap, ledning och styrning ifråga om möjligheterna att hantera och utbyta information.
• Behovet av en modernisering av regleringen av personuppgiftsbehandling i SoLPUL och SoLPULF.
• Behovet av tydliga bestämmelser om inre sekretess, t.ex. behörighetsstyrning och åtkomstkontroll.
• Behovet av ett regelverk som möjliggör direktåtkomst mellan utförare när så behövs.
• Behovet av rättsliga möjligheter för privata utförare att behandla personuppgifter för systematiskt kvalitetsarbete.
• Den ibland långtgående tolkningen av vad som kan erbjudas som serviceinsatser (där dokumentationsskyldighet saknas).
595
21 En mer ändamålsenlig sekretessreglering i socialtjänsten
21.1 Bakgrund
Genom regler i offentlighets- och sekretesslagen (2009:400), förkortad OSL, uppstår sekretess runt olika myndigheter. I en kommunal nämndorganisation ses varje nämnd med underlydande förvaltning som en egen myndighet i sekretesshänseende. För en kommun som, för att t.ex. höja kvaliteten och servicen gentemot invånarna, valt att organisera socialtjänsten i olika nämnder gäller således sekretess mellan nämnderna. Det påverkar kommunens möjligheter att hantera och utbyta information i socialtjänsten, t.ex. med avseende på införandet av ett kommungemensamt itsystem för socialtjänstverksamheten. De sekretessgränser som uppstår medför även att den personal som arbetar i de olika verksamheterna inte kan ha direktåtkomst till varandras information, oavsett om individerna ofta är aktuella i båda verksamheterna och ett tätt samarbete krävs för att individen ska få sina behov tillgodosedda på bästa sätt.
För att en sekretessbelagd uppgift ska få lämnas ut från en verksamhet under den ena nämnden till en verksamhet under en annan nämnd krävs antingen att det finns en sekretessbrytande bestämmelse som tillåter det, att den enskilde samtycker till det eller att man vid en sekretessprövning kommer fram till att uppgifterna kan lämnas ut. Om en uppgift får lämnas ut mellan verksamheter som leds av olika nämnder, t.ex. med stöd av den enskildes samtycke, kan utlämnandet göras på flera olika sätt. Det kan exempelvis göras muntligt, på papper eller genom elektroniskt utlämnande på medium för automatiserad behandling, t.ex. cd, USB-minne eller
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
596
filöverföring. Uppgifterna får dock inte lämnas ut genom direktåtkomst.
Direktåtkomst är ett sätt att lämna ut uppgifter över sekretessgränser utan att det görs en sekretessprövning i varje enskilt fall. Den som formellt ansvarar för utlämnandet gör därmed inte någon manuell aktivitet vid varje överföringstillfälle som kan jämställas med ett beslut om utlämnande och en sekretessprövning. Vid direktåtkomst är det i stället mottagaren som själv direkt bereder sig åtkomst till uppgifter i den utlämnande verksamheten. För att det ska vara tillåtet att lämna ut uppgifter genom direktåtkomst krävs att det finns en sekretessbrytande bestämmelse som tillåter det. Någon sådan bestämmelse finns inte på socialtjänstens område. På hälso- och sjukvårdens område är situationen en annan. Där finns bestämmelser såväl i offentlighets- och sekretesslagen som i patientdatalagen (2008:355) som gör det möjligt för kommunen dels att organisera sin hälso- och sjukvård i olika nämnder utan att sekretess hindrar att uppgifter lämnas mellan nämnderna, dels att utbyta uppgifter genom direktåtkomst.
Det har under utredningens arbete blivit allt tydligare att den fria kommunala nämndorganisationen tillsammans med offentlighets- och sekretessregleringen har medfört att omotiverade sekretessgränser kan uppstå inom socialtjänsten beroende på hur en kommun väljer att organisera sin verksamhet. Att en organisatorisk utveckling medför att sekretessgränser uppstår mellan verksamheter som tidigare kunnat utgöra ett enda sekretessområde kan leda till tillämpningsproblem för kommuner och de invånare en kommun ansvarar för. Det finns därför anledning att överväga om sekretessregleringen bör utformas på ett mer ändamålsenligt sätt både för kommunens möjligheter att organisera sin verksamhet och för individernas behov av sekretess- och integritetsskydd.
Vidare har utredningen i uppdrag att överväga om det finns skäl att för socialtjänstens del införa sekretessbrytande bestämmelser som i relevanta delar motsvarar dem som redan gäller inom hälso- och sjukvården. För hälso- och sjukvårdens del finns exempelvis vissa möjligheter att lämna ut uppgifter till andra myndigheter inom hälso- och sjukvården eller socialtjänsten i fall där den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till utlämnandet.
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
597
21.1.1 Kort om kommunens ansvar och organisation
Kommunen har som huvudman det yttersta ansvaret för att invånarna får det stöd och den hjälp som de behöver, oavsett om t.ex. omsorg sedan bedrivs i offentlig eller i privat regi. Kommunens uppgifter inom socialtjänsten fullgörs enligt 2 kap. 4 § socialtjänstlagen (2001:453), förkortad SoL, av den eller de nämnder som kommunfullmäktige bestämmer. När det gäller kommunens insatser för särskilt stöd och särskild service till funktionshindrade finns motsvarande bestämmelser i 2 och 22 §§ lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS. Det som sägs i socialtjänstlagen eller en annan författning om socialnämnd gäller i förekommande fall den eller de nämnder som kommunfullmäktige har utsett.
Kommunallagen (1991:900), förkortad KL, ger kommunerna stor frihet i fråga om nämndorganisationen och det är möjligt att dela upp socialtjänsten på flera olika facknämnder. Det är således möjligt att ha särskilda äldreomsorgsnämnder eller särskilda äldre- och handikappnämnder som har ansvar både för sociala och medicinska insatser. Det finns även en möjlighet att inrätta så kallade kommundelsnämnder vilket innebär att en nämnd har hand om en eller flera verksamheter för en del av kommunen (3 kap. 4 § punkten 2 KL). Även om det finns en stor frihet för en kommun att utforma sin nämndverksamhet måste målen i socialtjänstlagen kunna uppfyllas.
Kommuner har också möjlighet att samverka genom bestämmelserna om gemensam nämnd i 3 kap. kommunallagen. En gemensam nämnd får fullgöra alla de uppgifter som annars ankommer på en nämnd inom kommunen eller landstinget (3 kap. 3 a § KL). Genom lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet kan landsting och kommuner verka inom en gemensam nämnd inom landstingets hälso- och sjukvård och tandvård, kommunernas hälso- och sjukvård och socialtjänst samt kommunernas och landstingets verksamheter enligt lagen om stöd och service för vissa funktionshindrade och lagen (1998:1656) om patientnämndsverksamhet m.m. Bakgrunden till att denna lag infördes var att stödja en fortsatt kvalitetsutveckling inom aktuella områden. Samverkan i en gemensam nämnd innebär dock inte att sekretess mellan samverkande verksamheter bryts.
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
598
21.1.2 Något om tidigare lagstiftningsarbeten
Det har även i tidigare utredningar ifrågasatts om det är lämpligt att sekretess ska gälla inom socialtjänsten i en kommun beroende på hur kommunen har organiserat verksamheten inom socialtjänsten. Offentlighets- och sekretesskommittén (OSEK) lade i sitt huvudbetänkande, Ny sekretesslag, fram ett förslag som förenklat uttryckt innebar att sekretess inte skulle gälla mellan de olika kommunala nämnder som utgjorde socialnämnder, dvs. nämnder som enligt 2 kap. 4 § SoL fullgjorde uppgifter enligt den lagen.1 Enligt förslaget skulle sekretess inte heller gälla mellan kommunens socialnämnd och den nämnd som svarar för kommunens verksamhet enligt lagen om stöd och service till vissa funktionshindrade. I stället för att sekretess ska gälla mellan olika självständiga verksamhetsgrenar, skulle sekretess inom nämnderna gälla mellan verksamheter som är av olika slag. Med verksamheter av olika slag avsågs verksamheter som rör olika förhållanden eller har olika inriktning.
I och med patientdatalagen infördes nya sekretessbrytande bestämmelser inom hälso- och sjukvården som bland annat innebär att sekretess inte hindrar att en uppgift lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting. Bestämmelsen gör det således möjligt för exempelvis en kommun att organisera och bedriva sin hälso- och sjukvårdsverksamhet genom olika myndigheter, utan att det uppstår sekretessgränser dem emellan. Kommunala företag som avses i 2 kap. 3 § OSL, dvs. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande, är dessutom i detta sammanhang att jämställa med myndigheter. Det gör det exempelvis möjligt att utan hinder av sekretess lämna uppgifter mellan ett kommunalt bolag i vilket en kommun äger mer än 50 procent av aktierna och den nämnd eller de nämnder i kommunen som fullgör uppgifter när det gäller kommunal hälso- och sjukvård.
Socialtjänstdatautredningen föreslog i betänkandet Socialtjänsten Integritet – Effektivitet att en ny sekretessbestämmelse införs med motsvarande regler som inom hälso- och sjukvården där det stadgas att samma sekretessgränser bör gälla inom socialtjänsten oavsett hur en kommun väljer att organisera denna verksamhet.2 Eftersom
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
599
reformen redan hade genomförts inom hälso- och sjukvården ansåg utredningen att det var av central betydelse att motsvarande regler införs inom socialtjänsten. Utredningen ansåg det särskilt viktigt då utredningen även lämnade andra förslag såsom sekretessbrytande bestämmelser för att underlätta utbytet av personuppgifter mellan socialtjänsten och hälso- och sjukvården. Utredningen hänvisade till offentlighets- och sekretesskommitténs skäl samt regeringens skäl i förarbetena till patientdatalagen3 för förslaget. Utredningens förslag har inte lett till någon lagstiftning. Vid remissbehandlingen framförde Justitieombudsmannen bland annat följande.
Enligt det förslag som nu föreligger ska sekretess inte heller gälla mellan de kommunala förvaltningar som bedriver verksamhet om bistånd åt asylsökande, introduktionsersättning åt flyktingar, tillstånd till parkering för rörelsehindrade, patientnämndsverksamhet och LSS. Enligt bestämmelserna i offentlighets- och sekretesslagen är dessa verksamheter visserligen att jämställa med socialtjänst. Verksamheterna är emellertid inte en uppgift för socialnämnden, och de nämnder som svarar för uppgifterna utgör inte heller socialnämnder enligt 2 kap. 4 § socialtjänstlagen. Förslaget om att inskränka sekretessen går således längre än det förslag som Offentlighets- och sekretesskommittén lade fram. I det nu aktuella betänkandet redovisas inte varför sekretess inte ska gälla mellan t.ex. en kommunal nämnd som svarar för introduktionsersättning till flyktingar och en nämnd som handlägger frågor om tillstånd till parkering för rörelsehindrade.
21.2 Våra överväganden och förslag rörande sekretessregleringen i socialtjänsten
21.2.1 Omotiverade konsekvenser av dagens reglering
Utvecklingen inom många kommuner innebär att det inte längre bara finns en kommunal nämnd för varje verksamhetsområde. Införandet av den fria kommunala nämndorganisationen har inneburit att en del kommuner kommit att dela upp socialtjänsten på flera sektorer som organisatorisk hör till olika nämnder. Om kommunfullmäktige utser flera nämnder att fullgöra uppgifter som hör till socialnämndens ansvarsområde uppstår dock enligt 8 kap. 1 § OSL i princip sekretess mellan de nämnderna. Den fria kommunala nämndorganisationen har därför, tillsammans med offentlighets- och sekretessregleringen, medfört att nya sekretess-
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
600
gränser kan uppstå beroende på hur en kommun väljer att organisera sin verksamhet, även om överväganden som ligger till grund för vald organisationsform inte har någon relevans för sekretessfrågan. Val av en organisationsform kan således få till konsekvens att det uppstår sekretessgränser som inte är sakligt motiverade.
Enligt utredningens bedömning har den fria kommunala nämndorganisationen medfört tillämpningsproblem inom kommuner där organisatorisk utveckling fått till följd att sekretessgränser uppstått i verksamheter som tidigare kunna utgöra ett enda sekretessområde. Det innebär otillfredsställande hinder för verksamheter inom kommuner som sakligt sett kan höra samman men som formellt lagts under olika nämnder utifrån helt andra bevekelsegrunder än de som bär upp att socialtjänstsekretess ska gälla även mellan myndigheter. För den enskilde kan det innebära ett tidskrävande och i vissa fall oöverskådlig informationshantering.
Regelverket utgår i stor utsträckning ifrån organisatoriska gränser och medför att möjligheterna till en effektiv och säker informationshantering till stor del är beroende av hur kommunen av olika skäl har valt att organisera sin verksamhet och myndighetsstruktur. Synsättet borde vara mer inriktat mot en informationshantering med individen och individens behov i centrum. Regelverket bör även göra det möjligt att organisera en verksamhet utifrån de grunder som bedöms bäst kunna bidra till rättssäkerhet, god kvalitet och kostnadseffektivitet. De rättsliga förutsättningarna ska även stimulera till organisatorisk samverkan och samarbete för de enskildas bästa. Bland annat mot den bakgrunden anser vi att kommuner ska kunna organisera och bedriva socialtjänstverksamhet genom olika myndigheter, exempelvis stadsdelsnämnder eller beställar- och utförarnämnder, utan att omotiverade sekretessgränser uppstår mellan dessa myndigheter.
Under utredningsarbetet har det framförts att det är otillfredsställande (och att det råder viss osäkerhet) med sekretessgränser mellan olika nämnder på socialtjänstens område. Det kan ibland vara så att olika verksamheter inom socialtjänsten i en kommun, på grund av organisatoriska skäl, hamnar på olika nämnder och då uppstår det sekretess mellan t.ex. ekonomiskt bistånd och missbruk. I en annan kommun där man har valt att enbart ha en nämnd för ovan nämnda verksamheter så finns ingen sådan sekretessgräns.
Ett annat exempel kan vara att en kommun har delat upp verksamheten så att en nämnd fattar beslut i ett ärende gällande exempelvis äldreomsorg men att den verksamhet som genomför
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
601
själva insatsen (utförare) ligger under en annan nämnd. Här uppstår det en sekretessgräns mellan beslutsfattare och utförare, vilket inte hade varit fallet om det hade varit samma nämnd. Ytterligare ett exempel är om en kommun delar upp en tidigare sammanhållen verksamhet på flera stadsdelsnämnder. En kommun kan indela verksamheten i en kommundelsnämnd ”Omsorg öster” och en kommundelsnämnd ”Omsorg väster”. Detta får till konsekvens att om en enskild till exempel får hemtjänst från Omsorg öster så uppstår det en sekretessgräns mot avlastning och korttidsboende som hör under Omsorg väster.
Det är även vanligt att en kommun organiserar sig på så sätt att en arbetsmarknadsnämnd hanterar till exempel insatser till personer som behöver ekonomiskt bistånd medan socialnämnden beslutar om beslutar om ekonomiskt bistånd till enskilda. I dessa fall är det viktigt att nämnderna kan utbyta information om en enskilds deltagande i sådana insatser som organiseras av andra nämnder. Insatser för den enskilde ska enligt 3 kap. 5 § SoL, utformas och genomföras tillsammans med honom eller henne. Det innebär att socialtjänsten under en utredning inte ska eller bör inhämta uppgifter från andra enskilda eller myndigheter utan att den enskilde har lämnat sitt samtycke. (Socialtjänsten har möjlighet att inhämta uppgifter från t.ex. Försäkringskassa och Arbetsförmedlingen [jfr 11 kap. 11–12 § § SoL] när det gäller bl.a. förmåner och ersättningar.) Det bör inte vara någon skillnad i hanteringen av information beroende på hur en kommun väljer att inrätta sin organisation.
Att lagstiftningen ibland reser sekretessgränser utifrån helt andra bevekelsegrunder än de som normalt bär upp att sekretess bör gälla mellan myndigheter uppfattas därför som inadekvat. För den enskilde kan det innebära ineffektiv informationshantering. Samtidigt kan en avsaknad av sekretessgränser inom och mellan myndigheter få negativa konsekvenser för enskilda. Uppgifter som har lämnats till en myndighet för ett visst ändamål kan senare komma att användas inom myndigheten för ett annat ändamål. För att enskilda ska kunna känna förtroende för myndigheter är det angeläget att lagstiftningen i så stor utsträckning som möjligt ger skydd mot detta. Samtidigt är det viktigt att komma ihåg att varje sekretessgräns inom en myndighet skapar merarbete inom myndigheten. Det måste därför finnas en balans mellan skyddet för den
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
602
enskildes integritet och myndigheternas möjligheter att arbeta så effektivt som möjligt.4
Ibland framförs även att verksamheten inom socialtjänsten är väldigt bred och innehåller många olika delar, som inte alltid har en nära koppling till varandra ur ett individperspektiv. Precis som Justitieombudsmannen anförde i det tidigare nämnda remissyttrandet kan det handla om allt ifrån bistånd till asylsökande till parkeringstillstånd för rörelsehindrade. Motsvarande förhållande finns även inom hälso- och sjukvården, som innehåller verksamhet på vitt skilda områden som exempelvis barnhälsovård, geriatrik, kvinnofridsmottagning, arbetsmedicin m.m. På hälso- och sjukvårdens område har lagstiftaren dock valt att göra det möjligt för kommuner och landsting att fritt organisera sin verksamhet utan att behöva ta hänsyn bestämmelserna i offentlighets- och sekretesslagen. Vi anser att kommunerna bör ha en motsvarande möjlighet även på socialtjänstens område.
Det är i sammanhanget även viktigt att komma ihåg att nuvarande regelverk innebär att det inte finns någon sekretessgräns på socialtjänstens område i de kommuner som har valt att lägga all verksamhet under en nämnd. Självklart kan det samtidigt uppstå sekretess inom olika delar av en sådan bred myndighet, om verksamhetsgrenarna är självständiga i förhållande till varandra på ett sådant sätt som avses i 8 kap. 2 § OSL.
21.2.2 Alternativa lösningar
För att komma till rätta med hinder mot en mer ändamålsenlig och sammanhållen informationshantering inom socialtjänsten som dagens regleringar av sekretess och tystnadsplikt reser behövs sannolikt ett flertal åtgärder vidtas. En situation där en ökad tydlighet är angelägen är det informationsutbyte som är nödvändigt mellan en kommun och de privata utförare av socialtjänst som kommunen bedriver socialtjänst igenom. Dessa frågor behandlas i avsnitt 27.
Den andra situationen, som är aktuell i detta sammanhang, är frågan om sekretess inom och mellan olika nämnder som bedriver socialtjänst i samma kommun. Förmodligen finns ett antal olika alternativa lösningar för att skapa en reglering som på ett bättre sätt än i dag bidrar till att skapa likartade förutsättningar för social-
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
603
tjänsten oavsett hur enskilda kommuner har valt att närmare utforma sin nämndorganisation.
En lösning skulle kunna vara att slopa sekretessgränserna i socialtjänsten helt och hållet. Vår bedömning är att ett sådant alternativ inte är förenligt med enskilda individers berättigade behov av ett starkt integritetsskydd. Vidare är det svårt att överblicka konsekvenserna av en sådan åtgärd.
En annan lösning skulle möjligen kunna vara att förändra sekretessregleringen på ett sådant sätt att ett rakt skaderekvisit ska gälla mellan myndigheter inom socialtjänsten. Det kan dock, precis som bland annat OSEK och patientdatautredningen tidigare påpekat, ifrågasättas i vad mån möjligheterna till uppgiftsutbyte verkligen skulle öka med ett rakt skaderekvisit i stället för dagens omvända rekvisit. Patientdatautredningen framförde exempelvis följande när motsvarande fråga analyserades för hälso- och sjukvårdens del.5
Redan i dag kan uppgifter som inte är av alltför känslig natur i allmänhet utbytas mellan myndigheter inom hälso- och sjukvården och även socialtjänstens omsorg, om inte den enskilde motsatt sig det. I sådana fall står det nämligen ofta klart att utbytet kan ske utan men för den enskilde. Ömtåligare uppgifter torde inte bli lättare att lämna ut med ett rakt skaderekvisit. Menbegreppet är ju detsamma vare sig det är ett rakt eller omvänt skaderekvisit (SOU 2003:99 s. 298). Vi tror vidare att det skulle innebära tillämpningsproblem för den praktiserande hälso- och sjukvården att ha olika skaderekvisit för olika slags mottagare. Skulle man vidare inskränka det raka skaderekvisitet att bara gälla för ett visst ändamål, vårdsyfte, torde tillämpningsproblemen bli än större. Sammantaget finner vi inte skäl att föreslå några genomgripande och generella lättnader i hälso- och sjukvårdssekretessen utöver den vi föreslagit i samband med den sammanhållna journalföringen.
Vi ansluter oss i stora drag till flera av de skäl som patientdatautredningen anför ovan. Inte heller på socialtjänstens område bedömer vi att förändringar av skaderekvisitet skulle leda till en mer ändamålsenlig reglering och enhetlig tillämpning.
Ett tredje alternativ är att införa sekretessbrytande bestämmelser som i praktiken undanröjer socialtjänstsekretessen mellan olika myndigheter på socialtjänstens område i en och samma kommun. Det skulle bland annat kunna innebära att de i dag omotiverade sekretessgränser som uppstått inom kommuner där
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
604
organisatoriska förändringar ofrivilligt medfört att nya sekretessgränser uppstått i verksamheter som tidigare varit ett enda sekretessområde. En sekretessbrytande bestämmelse av ett sådant slag skulle inte innebära någon generell lättnad av socialtjänstsekretessen eller någon förändring av det i OSL grundläggande synsättet att det gäller sekretess mellan olika myndigheter. Vi bedömer därför att detta alternativ bäst balanserar de olika behov och skyddsintressen som finns. Dessutom överensstämmer alternativet med vad som redan i dag gäller för kommunen på hälso- och sjukvårdens område. En likartad reglering mellan socialtjänst och hälso- och sjukvård är av flera anledningar att föredra, inte minst med avseende på sådana verksamheter som rör sig i gränslandet mellan hälso- och sjukvården och socialtjänsten.
21.2.3 Förslag till en mer ändamålsenlig sekretessreglering i socialtjänsten
Vårt förslag: Ett sekretessbrytande undantag från socialtjänst-
sekretess ska införas i offentlighets- och sekretesslagen. Undantaget innebär att socialtjänstsekretess inte hindrar att uppgift lämnas från en myndighet inom socialtjänsten i en kommun till en annan sådan myndighet i samma kommun.
Vår bedömning: Förslaget gör det möjligt för en kommun att
organisera och bedriva socialtjänstverksamhet genom olika myndigheter, exempelvis stadsdelsnämnder eller beställar- och utförarnämnder, utan att omotiverade sekretessgränser uppstår mellan myndigheterna. Utredningens förslag ska läsas i ljuset av förslagen om tydligare reglering av inre sekretess i socialtjänstdatalagen, bland annat krav på behörighetsstyrning, åtkomstkontroll m.m.
Det är i dag inte ändamålsenligt att effekterna av sekretessregleringen är beroende på hur enskilda kommuner har organiserat sin verksamhet. Det uppstår tillämpningsproblem och i ett större perspektiv motverka det en över landet jämlik socialtjänst. Ur ett medborgarperspektiv är detta svårt att motivera. Därför är det angeläget att lagstiftaren inte bidrar till att skapa sådana omotiverade skillnader i människors förutsättningar att få stöd,
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
605
service, vård och behandling som gällande regelverk ger upphov till. En informationshantering som i större utsträckning utgår från den enskildes behov av hälso- och sjukvård och socialtjänst stärker förutsättningar för den enskildes möjlighet till en hög kvalitet i omsorgen.
Utredningen föreslår därför en sekretessbrytande bestämmelse inom socialtjänsten som bidrar till en mer ändamålsenlig reglering och tillämpning av sekretesslagstiftningen. Syftet är att komma till rätta med dagens omotiverade sekretessgränser som ger upphov till svårigheter för informationsutbyte och samverkan inom socialtjänsten. Med vårt förslag kommer offentlighets- och sekretesslagstiftningen inte längre att medföra olika förutsättningar att bedriva socialtjänst och hantera och utbyta information beroende på hur enskilda kommuner har valt att organisera sin verksamhet. Det bidrar till ökade möjligheter till en jämlik och god socialtjänst för alla.
Förslaget ger ökade möjligheter för kommunerna att organisera verksamheten och informationshanteringen med medborgaren i centrum och utifrån grundläggande värden som rättsäkerhet, god kvalitet och effektivitet. För den enskilde möjliggörs i större utsträckning en informationshantering utifrån hans eller hennes behov av bistånd, stödinsatser, vård och behandling. Därför föreslår vi att det införs en ny bestämmelse i offentlighets- och sekretesslagen som innebär att socialtjänstsekretess inte hindrar att uppgift lämnas från en myndighet som bedriver sådan verksamhet i en kommun till en annan sådan myndighet i samma kommun.
Förslaget innebär inte någon generell lättnad av socialtjänstsekretessen. Enskildas berättigade behov av skydd finns kvar. Bestämmelsen om socialtjänstsekretess ska fortfarande gälla. Inte heller innebär förslaget någon förändring av det i offentlighets- och sekretesslagen grundläggande synsättet att det gäller sekretess mellan olika myndigheter.
Även om utredningens förslag i praktiken undanröjer de sekretesshinder som i dag finns mellan olika myndigheter på socialtjänstens område i samma kommun, ska enskildas inställning fortfarande tillmätas betydelse. Det följer bland annat av den grundläggande bestämmelsen i 1 kap. 1 § SoL om att verksamheten ska bygga på respekt för människornas självbestämmande och integritet. Motsvarande bestämmelse finns i 6 § LSS. I linje med detta ska en enskilds uttryckliga önskemål om att uppgifter om honom eller henne inte fritt ska lämnas från en myndighet till en
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
606
annan inom kommunen normalt sett respekteras även om den föreslagna sekretessbrytande bestämmelsen införs.
Att införa en sådan bestämmelse som föreslås innebär heller ingen egentlig praktiskt förändring av sekretessen i jämförelse med de kommuner som i dag har organiserat sig på så sätt att en och samma nämnd ansvarar för socialtjänsten. I många små och medelstora kommuner är ansvaret för socialtjänstens olika verksamheter inte uppdelad på flera olika nämnder, utan hålls vanligtvis ihop under en socialnämnd och en socialförvaltning. Utredningens bedömning är dock att våra förslag om en socialtjänstdatalag med bland annat uttryckliga krav på behörighetsstyrning och åtkomstkontroll m.m. kommer att stärka integritetsskyddet i dessa kommuner jämfört med vad som är fallet i dag.
Frågan om sekretess bör enligt vår mening inte avgöras utifrån val av organisationsstruktur, utan från det grundläggande behovet av integritetsskydd. Det är naturligtvis så att alla verksamheter som faller under definitionen av socialtjänst, eller för den delen hälso- och sjukvård, inte alltid har behov av att utbyta uppgifter med varandra. Därför vill vi tydliggöra och stärka individens integritetsskydd i socialtjänsten. Vårt förslag om sekretessbrytande bestämmelse ska därför bedömas i ljuset av de förslag om reglering av den inre sekretessen som finns i förslaget till socialtjänstdatalag. För att ytterligare stärka individens behov av integritetsskydd föreslår vi därför att författningsbestämmelser om inre sekretess, behörighetsstyrning och åtkomstkontroll införs i den nya socialtjänstdatalagen (se avsnitt 24). Sådana bestämmelser saknas i dag och skulle enligt vår mening bidra till att stärka integritetsskyddet och upprätthålla förtroendet för informationshanteringen inom socialtjänsten. Den grundläggande bestämmelsen om inre sekretess som vi föreslår anger att den som arbetar inom socialtjänsten får ta del av dokumenterade uppgifter om en enskild endast om han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten. De föreslagna kraven på behörighetsstyrning innebär vidare att den som arbetar i socialtjänsten inte ska ha möjlighet att bereda sig elektronisk åtkomst till sådana uppgifter om individer som inte motsvarar det behov som finns för att arbetet ska kunna utföras. Den faktiska tillgången till uppgifter ska därmed så långt möjligt anpassas och begränsas till vad som är påkallat med hänsyn till varje anställds, eller motsvarande, behov.
Med regler om inre sekretess tydliggörs att det aldrig kan vara fråga om ett okontrollerat och fritt flöde av uppgifter inom och
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
607
mellan kommunala nämnder. Detta sätt att reglera sekretess- och dataskyddslagstiftningen skulle då även komma att likna vad som redan i dag gäller för hälso- och sjukvården.
21.2.4 Frågan om sekretess mellan LSS och övrig socialtjänstverksamhet
Vår bedömning: Verksamhet enligt LSS och verksamhet enligt
SoL är i dag mycket nära sammankopplade och kompletterar varandra. Det kan svårligen hävdas att sekretess gäller mellan verksamheter enligt LSS och verksamheter enligt SoL, om verksamheterna ligger under samma nämnd. Vi bedömer även att de skäl som vanligtvis motiverar sekretess saknas i sådana fall.
Under utredningens gång har det blivit allt tydligare att frågan om sekretess mellan verksamhet enligt lagen om stöd och service till vissa funktionshindrade och övrig socialtjänstverksamhet behöver tydliggöras. Såväl kommuner som myndigheter utredningen har haft kontakt med har vittnat om en osäkerhet kring vad som gäller i dag och en önskan om ett tydligare rättsläge framöver.
Frågan om verksamhet enligt LSS ska behandlas som en självständig verksamhet i förhållande till socialtjänsten i de fall då båda verksamheterna sorterar under samma nämnd har behandlats i bland annat JO 1995/96 s. 431. Av JO:s beslut framgår bland annat följande. När det gäller verksamhet enligt LSS kan man hävda att förhållandet framstår närmast som det motsatta i förhållande till Ädelreformen. I stället för att integrera verksamheten med socialtjänsten har man valt att behålla den skiljelinje som sedan länge funnits mellan omsorgsområdet och socialtjänsten även om man i förarbetena konstaterat att verksamhet enligt LSS står socialtjänsten nära. Också den omständigheten att lagstiftaren rent tekniskt valt att jämställa verksamhet enligt LSS med socialtjänst – och detta enbart vad gäller tillämplig sekretessbestämmelse – i stället för att uttryckligen ange att verksamheten ska bedrivas av socialnämnden eller på annat sätt göra verksamheten till en del av socialtjänsten i sekretesslagens mening, talar i samma riktning. Vad som ändå med viss styrka enligt JO ansågs tala för att sekretess inte gäller mellan verksamheterna, när det ligger under samma nämnd, är att verksamhet enligt LSS och socialtjänst står varandra nära och
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
608
att verksamheterna i vissa hänseenden kan anses utgöra komplement till varandra. Härtill kom enligt JO att det kan ifrågasättas om en verksamhetsgren för att vara självständig inte borde ha större självbestämmanderätt än vad som är förenligt med att olika verksamheter bedrivs av samma nämnd. JO fann slutligen att rättsläget måste betecknas som oklart.
När det gäller om verksamhet enligt lagen om stöd och service till vissa funktionshindrade ska förstås som socialtjänst har OSEK ansett att de fortsättningsvis i sekretesslagens mening bör anses som en och samma verksamhet.6Detta eftersom verksamheterna står varandra nära och i vissa hänseenden kan anses utgöra komplement till varandra. OSEK har även uttalat att skälet till att det inte uppstår sekretess i en nämnd mellan integrerad verksamhet som omfattas av Ädelreformen snarare är att hälso- och sjukvårdsverksamheten och socialtjänstverksamheten i sådana situationer inte är självständiga i förhållande till varandra än att det skulle vara fråga om verksamhet av samma slag. Detta reser enligt kommittén i sin tur frågan hur det förhåller sig med andra verksamheter där hälso- och sjukvård och socialtjänst integreras och hanteras av samma nämnd.7Frågan får troligen avgöras efter en bedömning av verksamheternas organisering utifrån det självständighetsrekvisit som uppställs i 8 kap. 2 § OSL.8
Utredningens bedömning är att verksamhet enligt LSS och verksamhet enligt SoL ligger mycket nära och kompletterar varandra. Det gäller oavsett hur en enskild kommun valt att organisera sin verksamhet. Vi anser att det i dag svårligen kan hävdas att sekretess gäller mellan verksamhet enligt LSS och verksamhet enligt SoL om verksamheterna ligger under samma nämnd. De skäl som vanligtvis motiverar varför sekretess ska gälla i en viss situation och mellan vissa verksamheter saknas även.
Vårt förslag till sekretessbrytande regel i socialtjänsten tar dock inte sikte på frågan om det gäller sekretess mellan olika delar i en och samma nämnd. Frågan om sekretess mellan verksamhet enlig LSS och övrig socialtjänstverksamhet inom samma nämnd är därför inte riktigt relevant i sammanhanget. Samtidigt kan vi konstatera att bedömningen av sekretess mellan LSS och övrig verksamhet enligt vad som beskrivits ovan är viktig i relation till gällande rätt i dag. I den delen gör vi således bedömningen att det i regel inte
6SOU 2003:99 s. 274. 7SOU 2003:99 s. 257. 8 Lenberg, Geijer och Tansjö, Offentlighets- och sekretesslagen – En kommentar, s. 26:1:9.
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
609
kan anses gälla sekretess mellan LSS och annan socialtjänstverksamhet som bedrivs under samma nämnd. Verksamheterna är i dessa fall att betrakta som av samma slag och komplement till varandra samt i övrigt inte självständiga på ett sådant sätt som avses i 8 kap. 2 § OSL.
Inte heller innebär vårt förslag att sekretessen som sådan upphävs mellan olika nämnder på socialtjänstens område. Vårt förslag innebär att det ska införas ett sekretessbrytande undantag från socialtjänstsekretessen mellan myndigheter inom socialtjänsten i samma kommun. Den sekretessbrytande bestämmelsen kommer i praktiken att undanröja socialtjänstsekretessen mellan verksamhet enligt LSS och övrig socialtjänstverksamhet, även om verksamheterna ligger under olika nämnder. Det innebär däremot inte att det blir fråga om en okontrollerad spridning av uppgifter. Den individ som uttrycker önskemål om att uppgifter om honom eller henne inte fritt ska lämnas från en myndighet till en annan myndighet ska normalt sett respekteras. Dessutom ska utredningens förslag ses i ljuset av de särskilt integritetsskyddande förslagen i den föreslagna socialtjänstdatalagen. Se bland annat avsnitt 24.2.1 om förslag på bestämmelser för att reglera den inre sekretessen i socialtjänsten, t.ex. med avseende på krav på behörighetsstyrning och åtkomstkontroll.
21.2.5 Frågan om sekretess mellan LSS och den kommunala hälso- och sjukvården i boenden med särskild service
Vår bedömning: Sekretess bedöms inte föreligga mellan LSS
och kommunal hälso- och sjukvård i boenden med särskild service, när verksamheterna bedrivs under samma nämnd. På motsvarande sätt som anses gälla i verksamheter som omfattas av Ädelreformen, bör hälso- och sjukvården och verksamheten enligt LSS i detta fall inte betraktas som självständiga i förhållande till varandra.
Som tidigare har nämnts integrerades den kommunala hälso- och sjukvården och socialtjänsten genom den s.k. Ädelreformen. I förarbetena till de lagändringar som gjordes i samband med reformen kan utläsas att socialtjänsten och den kommunala hälso- och sjuk-
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
610
vården genom reformen inte kan betraktas som självständiga i förhållande till varandra utan att de tillhör samma verksamhetsområde i sekretesshänseende.9 Det har däremot inte uttalats att den kommunala hälso- och sjukvården och LSS ska tillhöra samma verksamhetsområde.
Kommunens ansvar för hälso- och sjukvård enligt 18 § hälso- och sjukvårdslagen (1982:763), förkortad HSL, anses även gälla de personer som bor i bostad med särskild service för vuxna enligt 9 § 9 LSS, men en lagreglering om detta saknas (jfr 18 § HSL). Enligt förarbetena till LSS ska bostad med särskild service enligt socialtjänstlagen och motsvarande boende enligt LSS jämställas i detta sammanhang.10
Socialstyrelsen har tolkat att undantaget gällande att hälso- och sjukvård och socialtjänst inte är självständiga verksamhetsgrenar bara har gällt den hälso- och sjukvård som kommunerna tog över ansvaret för i särskilda boendeformer enligt Ädelreformen. Däremot råder en osäkerhet om detsamma gäller områdena hälso- och sjukvård och bostad med särskild service för vuxna enligt 9 § 9 LSS. Detta innebär i praktiken att om man kommer fram till att det är fråga om två skilda verksamhetsgrenar så måste samtycke inhämtas från den enskilde om information lämnas mellan dessa båda verksamhetsgrenar. Socialstyrelsen har bland annat i en skrivelse till regeringen uppmärksammat denna oklarhet och skillnad jämfört med vad som uttalades i samband med Ädelreformen.11
Utredningen kan konstatera att det finns oklarheter när det gäller sekretessen mellan verksamhet enligt LSS i bostad med särskild service och den kommunala hälso- och sjukvården som kommunen har ansvar för i en sådan boendeform.
Den verksamhet som bedrivs i de särskilda boendena enligt 9 § 9 LSS bedrivs integrerat och i nära samarbete såväl med den kommunala hälso- och sjukvården som med de läkarinsatser som landstinget ansvarar för. Ett vanligt behov av stöd och omvårdnad är t.ex. att få hjälp med att ta sina, av läkare ordinerade, läkemedel. För vissa räcker det med att bli påmind om att ta medicinen medan andra behöver mer omfattande och personlig hjälp sin läkemedelsbehandling. Den som förskriver läkemedel kan vid förskrivningstillfället behöva ta ställning till om patienten klarar av att själv hantera sina läkemedel. Om förskrivaren bedömer att patienten
9Prop. 1990/91:14 s. 85. 10Prop. 1992/93:159 s. 182. 11 Socialstyrelsens skrivelse till regeringen 2003-02-17, dnr 72-1219/2003.
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
611
inte klarar det, bör ställningstagandet dokumenteras i patientjournalen.
Alla hälso- och sjukvårdsuppgifter behöver inte utföras av en sjuksköterska utan en del av dessa kan delegeras. Personal som arbetar i bostad med särskild service kan alltså även utföra hälso- och sjukvårdsuppgifter på delegation exempelvis från en legitimerad sjuksköterska.12Den som utför arbetsuppgifter på delegation tillhör hälso- och sjukvårdspersonalen vid utförandet av dessa. Detta innebär bl.a. att personal på ett särskilt boende enligt LSS utför både hälso- och sjukvårdsinsatser och socialtjänstinsatser.
Den verksamhet som bedrivs inom ett sådant särskilt boende som avses i LSS kan därmed ha stora likheter med den verksamhet som bedrivs i särskilda boenden enligt socialtjänstlagen. För den senare verksamheten uttalades i samband med Ädelreformen att den kommunala hälso- och sjukvården och socialtjänsten i detta fall inte blir att betrakta som självständiga i förhållande till varandra, eftersom det inte är fråga om verksamheter av skilda slag.13Utredningen finner inga skäl till att en annan bedömning skulle göras endast på den grunden att den enskilde har fått stödet och servicen beviljad genom en tillämpning av LSS.
Vår bedömning är således att verksamheterna i dessa fall, om de bedrivs under samma nämnd, kan betraktas som av samma slag och komplettera varandra samt i övrigt inte anses självständiga på ett sådant sätt som avses i 8 kap. 2 § OSL.14
21.2.6 Frågan om sekretess mellan hemtjänst och kommunal hemsjukvård
Vår bedömning: Verksamhet avseende hemtjänst enligt social-
tjänstlagen och kommunal hemsjukvård är i dag mycket nära sammankopplade och kompletterar varandra. Det kan svårligen hävdas att sekretess gäller mellan dessa verksamheter när de ligger under samma nämnd. Vi bedömer att de skäl som vanligtvis motiverar sekretess saknas i sådana fall.
12 Socialstyrelsen Bostad med särskild service för vuxna enligt LSS – Stöd för rättstillämpning och handläggning 2007 s. 51 f. 13Prop. 1990/91:14 s. 85. 14 Jfr även SOU 2003:99 s. 257–258.
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
612
Under utredningens arbete har även frågan om hur man ska se på sekretessfrågorna i den kommunala hemtjänsten nu när kommunerna även har tagit över ansvaret för hemsjukvården. Socialstyrelsen har framfört att den nuvarande tolkningen när det gäller undantaget att hälso- och sjukvård och socialtjänst inte är självständiga verksamhetsgrenar bara har gällt den hälso- och sjukvård som kommunerna tog över ansvaret för i särskilda boendeformer i samband med Ädelreformen. Socialstyrelsen anser att det inte är helt klart att uttalanden i samband med Ädelreformen angående självständiga verksamhetsgrenar kan utsträckas till att även avse sådan kommunal hälso- och sjukvård i ordinärt boende som kommunen har ansvar för efter avtal med landstinget.
Det finns således en tveksamhet ute i verksamheterna om detta även kan gälla den hälso- och sjukvård som kommunerna har tagit över från landstingen. Samtidigt kan konstateras att en stor del av de som i dag får både hemtjänst och kommunal hemsjukvård är personer som skulle kunna få en plats på ett särskilt boende enligt socialtjänstlagen. En stor andel äldre vill dock bo kvar hemma och där få insatser enligt socialtjänstlagen och även få den hälso- och sjukvård som kommunen har ansvaret för. Naturligtvis handlar det i vissa fall även om att det kan saknas platser i särskilda boenden och att enskilda därför kan få sina behov tillgodosedda i ordinärt boende i stället.
Vidare har framför allt den medicinska utvecklingen de senaste årtiondena fört med sig att allt mer hälso- och sjukvård kan utföras i enskildas hem. Sådan hälso- och sjukvård som tidigare krävde intagning i slutenvård eller vistelse i ett särskilt boende kan i dag i större utsträckning erbjudas i ordinärt boende. En konsekvens av detta kan sägas vara att delar av den verksamhet som kommunerna tog över i samband med Ädelreformen i dag i praktiken utförs inom ramen för hemsjukvården och hemtjänsten.
Bland annat mot den bakgrunden saknas det enligt utredningens bedömning skäl att i den här aktuella situationen göra en annan bedömning av sekretessfrågan än vad som gjordes i samband med Ädelreformen. Om den kommunala hemsjukvården och hemtjänsten bedrivs i samma nämnd bör inte dessa verksamheter, lika lite som om de hade bedrivits i ett särskilt boende, anses vara självständiga i förhållande till varandra i den mening som avses i offentlighets- och sekretesslagen. Det avgörande kan rimligen inte heller vara om hälso- och sjukvården och hemtjänsten utförs i ett av kommunen anvisat särskilt boende eller i den enskildes egna
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
613
hem. Vår bedömning är således att verksamheterna i dessa fall, om de bedrivs under samma nämnd, kan betraktas som av samma slag och komplettera varandra samt i övrigt inte anses självständiga på ett sådant sätt som avses i 8 kap. 2 § OSL.
21.2.7 Frågan om en sekretessbrytande regel i förhållande till hälso- och sjukvården m.m.
Av utredningsdirektiven framgår bland annat att utredningen ska undersöka om det finns skäl att i 26 kap. OSL införa sekretessbrytande bestämmelser som i relevanta delar motsvarar dem som redan gäller inom hälso- och sjukvården. Bestämmelser som bryter sekretessen gör det möjligt att i vissa situationer lämna ut uppgifter om enskilda utan att en menprövning görs eller den enskildes samtycke inhämtas.
I hälso- och sjukvården gäller att om en enskild på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar inte sekretess att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvård till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område (25 kap. 13 § OSL). Frågan är om det finns skäl att införa motsvarande sekretessbrytande bestämmelse för socialtjänsten.
Något om tidigare lagstiftningsarbeten
Offentlighets- och sekretesskommittén (OSEK) föreslog när det gäller uppgiftsutbyte mellan och inom vård- och omsorgsområdena en begränsning av sekretessen som innebär en utvidgning av bestämmelserna som bryter sekretess avseende underåriga, missbrukare och gravida (dåvarande 14 kap. 2 § sjätte stycket sekretesslagen
[1980:100])
.15I stället för att rikta sig till dessa utpekade grupper skulle bestämmelsen kunna inkludera alla som är i behov av nödvändig vård, omsorg, behandling eller annat stöd. Enligt OSEK:s förslag ska sekretess således inte hindra att uppgifter om en enskild som behövs för att han eller hon ska få nödvändig vård,
15SOU 2003:99.
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
614
omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården eller socialtjänsten till en annan sådan myndighet eller till enskild vårdgivare eller enskild verksamhet på socialtjänstens område. Som skäl anfördes bl.a. att det av patientsäkerhetsskäl är väsentligt att nödvändiga uppgifter om en patient finns tillgängliga vid ett vårdtillfälle även då patientens samtycke inte kan inhämtas eller patienten motsätter sig att uppgifter lämnas ut. Enligt OSEK var förslaget ett undantag från det sekretesskydd som den enskilde har enligt sekretesslagstiftningen som måste användas med urskillning och varsamhet.
OSEK:s förslag i de delar som avsåg hälso- och sjukvården togs upp av patientdatautredningen som i sitt betänkande föreslog att om den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att en uppgift lämnas ut, hindrar inte hälso- och sjukvårdssekretessen inte att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område.16 Utredningen ansåg att det fanns skäl att göra ett förtydligande så att det av lagtexten skulle framgå att bestämmelsen ska användas när den enskilde kan antas motsätta sig ett utlämnande eller att saken brådskar så att tid inte finnas att inhämta samtycke (jfr OSEK:s förslag ovan). Detta mot bakgrund av att det i remisshanteringen av OSEK:s betänkande uttalades viss kritik mot att det av lagtexten inte framgick att bestämmelsen var tänkt att användas på detta sätt. Patientdatautredningen begränsade sig till den del som enbart rör uppgiftsflödet inom hälso- och sjukvården eller från hälso- och sjukvården till socialtjänsten. Utredningen anförde att hur socialtjänsten ska få hantera sin information i individinriktad faktisk verksamhet låg klart utanför direktiven och krävde särskilda överväganden.
Vid införandet av ovan nämnda sekretessbrytande bestämmelse som gäller inom hälso- och sjukvården(25 kap. 13 § OSL) anförde regeringen bland annat följande.17
Mot bakgrund av de patientsäkerhetsaspekter som gör sig gällande när vårduppgifter om en enskild i allt större utsträckning sprids på allt fler vårdgivare och de brister i omhändertagandet som finns i integrerade verksamheter, därför att information om den enskilde på grund av
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
615
sekretessen inte alltid kan förmedlas mellan de olika verksamheterna i tillräcklig utsträckning, har såväl offentlighets- och sekretesskommittén som patientdatautredningen föreslagit att det bör införas ytterligare en sekretessbrytande bestämmelse. Förslaget innebär att sekretess inte ska hindra att uppgift om en enskild som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område. Patientdatautredningen har därutöver föreslagit att det av lagtexten ska framgå att sekretessgenombrottet bara gäller om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att uppgifter lämnas ut. Förslaget tar med detta tillägg i huvudsak sikte på patienter som på grund av hälsorelaterat skäl inte kan samtycka eller som annars inte har beslutsförmåga. Viljan hos den patienten som klart och utan inflytande av allvarlig psykisk störning eller liknande motsätter sig ett uppgiftsutlämnande ska däremot respekteras. Detta överensstämmer med bestämmelserna i 2 a § HSL om att hälso- och sjukvård ska bygga på respekt för patientens självbestämmande och integritet samt att vårdens behandling så långt möjligt ska utformas och genomföras i samråd med patienten.
Socialtjänstdatautredningen har i sitt betänkande Socialtjänsten Integritet – Effektivitet enbart föreslagit en ny bestämmelse om sekretessbrytande regler när det gäller att genomföra gemensam individbaserad verksamhetsuppföljning mellan socialtjänsten och hälso- och sjukvården.18 Förslaget har inte lett till någon lagstiftning.
I betänkandet av utredningen om skyddsåtgärder inom vård och omsorg för personer med nedsatt beslutsförmåga föreslogs att socialtjänstsekretess inte ska hindra att uppgifter om enskild som behövs för ställningstagande i frågor gällande tvångsåtgärder enligt förslagen till lag om tvångs- och begränsningsåtgärder inom socialtjänsten i vissa fall och lag om tvångs-och begränsningsåtgärder vid medicinsk behandling i vissa fall lämnas från myndighet inom hälso- och sjukvården och socialtjänsten till annan sådan myndighet eller till enskild vårdgivare eller enskild verksamhet på socialtjänstens område.19Som bakgrund till förslaget anfördes bland annat att uppgifter om enskilda inom såväl den offentliga hälso- och sjukvården som socialtjänsten är sekretessreglerade med ett omvänt skaderekvisit. Båda områdena är också undantagna från den s.k. generalklausulens tillämpningsområde. Detta innebär att det
18SOU 2009:32. 19SOU 2006:110.
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
616
inte finns något generellt undantag från huvudregeln om att uppgiften inte får lämnas ut om det inte står klart att den kan röjas utan att den enskilde eller någon honom närstående lider men. Det kan dock finnas andra begränsningar i sekretess i form av uppgiftsskyldighet eller andra undantag från sekretessen. Någon bestämmelse med ett sådant innehåll som är tillämplig inom detta område finns dock inte. För dessa verksamheter blir ett uppgiftslämnande i princip därför beroende av den enskildes samtycke. När det gäller den personkrets som uppdraget omfattar kommer således problem att uppstå eftersom samtycket normalt inte kan inhämtas, trots att den myndighet som efterfrågar uppgiften har behov av den för att kunna ta ställning till om tvång enligt de föreslagna lagstiftningarna ska få användas.
21.2.8 Förslag till en sekretessbrytande regel när den enskilde inte kan samtycka
Vårt förslag: Ett sekretessbrytande undantag från socialtjänst-
sekretessen ska införas i offentlighets- och sekretesslagen. Innebörden av bestämmelsen är följande.
Om en enskild på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att en uppgift lämnas ut, hindrar socialtjänstsekretessen enligt 26 kap. offentlighets- och sekretesslagen inte att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom socialtjänsten till en annan myndighet inom socialtjänsten eller hälso- och sjukvården eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område.
Bestämmelsen ska införas i 26 kap. 9 a § OSL och motsvarar den bestämmelse i 25 kap. 13 § samma lag som gäller inom hälso- och sjukvården.
Vår bedömning: Bestämmelsen syftar till att underlätta sam-
arbetet i den individinriktade verksamheten inom och mellan socialtjänsten och hälso- och sjukvården.
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
617
Utredningen har funnit att det behövs en liknande sekretessbrytande regel vad gäller socialtjänsten så att den s.k. socialtjänstsekretessen i 26 kap. 1 § OSL inte hindrar att uppgifter om enskild som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom socialtjänsten till en annan myndighet inom socialtjänsten eller hälso- och sjukvården eller till enskilda verksamheter på socialtjänstens område eller till enskilda vårdgivare. Våra närmare överväganden framgår i det följande.
I de fall då den enskilde av någon anledning inte kan samtycka till att en uppgift inhämtas är det är svårt att motivera varför uppgifter får lämnas ut från hälso- och sjukvården till bland annat socialtjänsten men att det inte är möjligt att lämna uppgifter från socialtjänsten till annan verksamhet inom socialtjänsten eller till hälso- och sjukvården. Det finns inte några argument för att det är någon skillnad på uppgiftens beskaffenhet som gör att det ena är mer lämpligt än det andra.
Den information som hälso- och sjukvården behöver från socialtjänsten är framför allt uppgifter om vilka insatser som den enskilde har från socialtjänstens sida. Det är uppgifter som kan vara direkt nödvändiga för att den behandlande personalen ska kunna utföra och ge en bra vård. Det gör sig inte minst gällande i integrerade verksamheter där socialtjänst och hälso- och sjukvård arbetar tillsammans för att stödja den enskilde eller i situationer av mer akut eller annars brådskande karaktär.
Hälso- och sjukvården har behov av information som rör insatser från socialtjänsten, främst i områdena äldre, psykiatri, missbruks- och beroendevård samt för personer med funktionsnedsättning. Behovet av informationsutbyte varierar och kan dels vara begränsat till själva uppgiften om den enskilde är föremål för en viss socialtjänstinsats eller inte, dels handla om mer specifik information om den enskildes hälsa och funktionsnivåer.
Även mellan olika myndigheter inom socialtjänsten eller enskilda verksamheter på socialtjänstens område finns naturligtvis behov av att kunna utbyta information exempelvis för att den enskilde ska få det stöd som är nödvändigt i en viss situation. Behov av uppgiftsutbyte kan således uppkomma såväl mellan olika myndigheter inom socialtjänsten respektive hälso- och sjukvården som i alla fall där hälso- och sjukvården samverkar med socialtjänsten kring insatser inom hälso- och sjukvården och socialtjänsten. Detta gäller även gentemot privatpraktiserande läkare m.m. när det är en enskild som
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
618
söker vård. Oavsett vem som ska ge en enskild vård, omsorg, behandling eller annat stöd är det för den enskildes bästa väsentligt att nödvändiga uppgifter finns tillgängliga när och på den plats de behövs, även om den enskilde vid tillfället inte kan samtycka till informationsutbytet.
Under utredningens arbete har det blivit tydligt att det finns problem med gränsdragningen mellan vilken information som ska hänföras till och dokumenteras inom hälso- och sjukvård respektive inom socialtjänst, främst vad gäller omvårdnad. Viss information, som exempelvis uppgifter om olika funktionsnivåer, kan primär- och slutenvård eventuellt få från den kommunala hälso- och sjukvårdens patientjournal, men uppgifterna skulle lika gärna kunna finnas i socialtjänstens (omvårdnads)dokumentation. En väg att förbättra tillgången till behövlig information är således att införa en sekretessbrytande bestämmelse som utredningen föreslår. Det har då, med avseende på utlämnandefrågan, ingen avgörande betydelse var en viss uppgift kan finnas (hälso- och sjukvård eller socialtjänst). I linje med vad som måste anses ligga i den enskildes intresse blir det därmed inte avgörande var en uppgift är dokumenterad, utan i stället i vilken vård- och omsorgssituation uppgiften behövs.
Bakgrunden till förslaget är således att värna den enskildes bästa i situationer där förmågan att själv besluta saknas. Utgångspunkten är den enskildes berättigade krav att få en god och säker hälso- och sjukvård och socialtjänst. Viktiga vård- och omsorgsuppgifter om en enskild sprids i dag på allt fler omsorgs- och vårdgivare. Det uppstår även brister i omhändertagandet om den enskilde i integrerade verksamheter eftersom informationen om den enskilde på grund av sekretess inte alltid kan förmedlas mellan de olika verksamheterna i tillräcklig omfattning. Den föreslagna sekretessbrytande regeln förenklar ett utlämnande när utbytet görs fysiskt med papperskopior (till exempel med fax) eller genom ett medium för automatiserad behandling (till exempel med ett USB-minne) eller filöverföring. Bestämmelsen gör det däremot inte möjligt att lämna ut uppgifterna genom direktåtkomst.
Förslaget innebär förvisso att sekretesskyddade uppgifter kan lämnas ut och kan spridas utanför det område som socialtjänstsekretessen omfattar i det enskilda fallet. Den risken uppvägs dock av nödvändigheten vid dessa speciella tillfällen att få tillgång till uppgifter som kan vara direkt nödvändiga för att den behandlande personalen ska kunna utföra och ge den enskilde bra insatser inom
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
619
hälso- och sjukvården och socialtjänsten. Ett utlämnande som inte kan göras på ett effektivt sätt riskerar att medföra att viktig information inte är tillgänglig när den behövs. Det kan innebära en fara för en patients säkerhet eller för en enskildes säkerhet i en behandlings- eller omsorgssituation. Vid en avvägning mellan integritetsaspekter av behovet av sekretessgenombrott väger behovet av uppgiftsutlämnandet enligt utredningens bedömning tyngre. Förslaget leder till bättre möjligheter att ge nödvändig hälso- och sjukvård och socialtjänst till en enskild vid varje vårdtillfälle för att tillgodose vård och omsorg som baseras på bästa möjliga informationsutbyte. Att avstå att ta del av informationen i aktuellt fall kan inte anses försvarbart eftersom det är grundläggande för all vård och omsorg att rätt information finns tillgänglig vid rätt tillfälle.
Informationshanteringen måste så långt möjligt ta hänsyn till en individs behov av skydd för den personliga integriteten. Vi anser att förslaget väl tillgodoser detta intresse. Det är behovet av att ge god och säker vård och omsorg som motiverar den föreslagna regeln om att bryta sekretessen. Intresset av att bryta sekretessen för aktuella uppgifter väger tyngre än det intresse sekretessen avser att skydda. De situationer som är aktuella är också klart avgränsade. Det är dock viktigt att framhålla att det är fråga om undantagsfall där informationen behövs i ett enskilt fall för att den enskilde eller patienten behöver få nödvändig vård, omsorg eller behandling.
Vi föreslår därför att det införs en bestämmelse om undantag från socialtjänstsekretessen i 26 kap. 1 § OSL som innebär att sekretess inte hindrar att en uppgift om en enskild som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom socialtjänsten till en annan myndighet inom socialtjänsten eller hälso- och sjukvården eller till en enskild verksamhet på socialtjänstens område eller en enskild vårdgivare. Bestämmelsen kompletterar de övriga förslagen om bland annat direktåtkomst inom socialtjänsten(se avsnitt 27).
Förslaget i förhållande till enskild verksamhet i socialtjänsten
Offentlighets- och sekretesslagen gäller inte utanför den offentliga verksamheten. När det gäller den enskilda socialtjänsten finns bestämmelser om tystnadsplikt i 15 kap. 1 § SoL och 29 § LSS. Den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet som avser insatser enligt SoL eller LSS får inte
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
620
obehörigen röja vad han eller hon i detta sammanhang har fått veta om enskildas personliga förhållanden.
Som obehörigt röjande anses till att börja med inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Tystnadsplikt enligt 15 kap. 1 § SoL och 29 § LSS bedöms inte utgöra hinder mot att uppgifter om enskild lämnas från enskild verksamhet inom socialtjänsten till myndighet inom socialtjänsten. Det yttersta ansvaret för kommunens uppgifter inom socialtjänsten kan inte överlåtas på annan. Av kommunallagen följer bl.a. att nämnden har det direkta ansvaret för att sådant som lagts ut på ett företag kontrolleras och följs upp (3 kap. 19 § och 6 kap. 7 § KL). Vidare får socialnämnd som beslutat om en insats som genomförs i en enskild verksamhet träffa avtal med den som bedriver verksamheten om att handlingar ska överlämnas till nämnden när gallringsskyldighet inträder (7 kap. 3 § SoL och 23 a § LSS).
Vid tolkningen av obehörighetsrekvisitet har det vidare ansetts naturligt att söka ledning i OSL:s regler.20 Ståndpunkten är att den enskilde ska ha samma skydd för sin personliga integritet vare sig han eller hon behandlas av en offentlig eller enskild vårdgivare. Tystnadsplikten enligt SoL och LSS utgör inte, enligt utredningens bedömning, något hinder för enskild verksamhet på socialtjänstens område att i motsvarande utsträckning som myndigheter inom socialtjänsten lämna uppgifter om enskilda i den utsträckning som behövs när fråga om sådana insatser uppkommer. Sådant utlämnande som, genom den föreslagna bestämmelsen om sekretessgenombrott när individen inte kan lämna samtycke, är tillåtet för myndigheter ska därmed även vara tillåtet för utlämnanden från enskild verksamhet.
Närmare om hur bestämmelsen ska tillämpas
Ett utlämnande med stöd av den sekretessbrytande bestämmelsen som föreslås måste alltid föregås av en prövning i det enskilda fallet. Prövningen görs av den som ansvarar för uppgiften. En lättnad i sekretessen måste även vägas mot den enskildes krav på ett starkt integritetsskydd. I det avseendet ansluter vi oss till den bedömning som har gjorts vid införandet av motsvarande sekretessbrytande bestämmelse för hälso- och sjukvården. Det innebär
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
621
bl.a. att den enskildes samtycke i första hand ska utverkas av den som ansvarar för frågan om utlämnande.
Vidare ska bestämmelsen användas med urskillning och varsamhet då det framstår som direkt påkallat att bistå en enskild och den enskilde inte kan samtycka eller kan antas motsätta sig ett utlämnande eller att saken brådskar så att tid inte finns att inhämta samtycke (jfr SOU 2003:99 s. 299 och 453). Detta innebär att det av bestämmelsen ska framgå att sekretessgenombrottet bara ska gälla om den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att uppgifter lämnas ut. Förslaget tar i första hand sikte på enskilda som på grund av hälsorelaterat skäl inte kan samtycka eller som annars inte har beslutsförmåga. Viljan hos den individ som klart och utan inflytande av en allvarlig psykisk störning eller liknande motsätter sig ett uppgiftsutlämnande ska däremot respekteras. Det ligger helt i linje med de grundläggande kraven i socialtjänstlagstiftningen på att verksamheten ska bygga på respekt för den enskildes självbestämmanderätt och integritet.
Det är den utlämnande myndigheten som ska göra en prövning av om en uppgift ska lämnas ut. I första hand är det handläggaren som ska pröva frågan om utlämnande av en allmän handling. Det är således den person som enligt arbetsordning eller ett särskilt beslut svarar för vården av en handling som har att pröva ett utlämnande (6 kap. 3 § OSL). I tveksamma fall ska den anställde låta myndigheten göra prövningen om det kan göras utan onödigt dröjsmål (6 kap. 3 § andra stycket OSL). Om det är så att den person som ansvarar för vården av en handling anser att det är tveksamt eller föreligger hinder för att lämna ut handlingen ska denne upplysa om rätten att begära att myndigheten ska pröva saken och även se till att en sådan begäran kommer till rätt instans inom myndigheten. Vem som prövar ett utlämnande är beroende på vad som framgår av arbetsordning eller särskilt beslut.
Om den myndighet som begär uppgifterna påstår att uppgifterna behövs för att den enskilde ska få nödvändig vård kan det vara svårt för den som ska lämna ut uppgifterna att bilda sig en reell uppfattning om detta. Det ankommer dock på den presumtive uppgiftslämnaren att bedöma förutsättningarna för ett utlämnande.21Är det fråga om nödvändig vård finns förutsättningar för ett sekretessgenombrott och uppgifterna ska då lämnas ut när uppgiften begärs från annan myndighet.
21 JO 1992/93 s. 517.
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
622
21.3 Våra överväganden och förslag om kommunens möjligheter att följa upp socialtjänst i enskild verksamhet
Vi har tidigare uppmärksammat att mycket av socialtjänstinsatserna i dag utförs av privata aktörer som har avtal med kommunen och att denna utveckling har medfört en osäkerhet vad gäller kommunens möjlighet att inhämta uppgifter från de privata utförarna för att följa upp och kvalitetssäkra socialtjänsten.
I Socialtjänstdatautredningen gjorde visserligen utredaren bedömningen att tystnadsplikt enligt 15 kap. 1 SoL inte utgör hinder mot att uppgifter om enskild lämnas från enskild verksamhet inom socialtjänsten till myndighet inom socialtjänsten.22
Att det inte skulle finnas någon tystnadspliktsgräns mellan en privat utförd socialtjänst och en kommunal myndighet inom socialtjänsten saknar dock enligt vår bedömning stöd i nuvarande sekretessreglering. Men det kan inte uteslutas att ett utlämnande i enskilda fall, exempelvis från en privat utförare till en kommunal myndighet, kan bedömas vara tillåtet vid en tillämpning av bestämmelserna om tystnadsplikt i 15 kap. 1 § SoL.
Frågan om kommunens skyldigheter att följa upp verksamhet som drivs av annan än kommunen och vilka möjligheter kommunen har att ta del av personuppgifter över sekretessgränser för detta ändamål är komplex. Utredningen om en ny kommunallag berörde i delbetänkandet Privata utförare – kontroll och insyn frågorna på en mer övergripande nivå.23Däremot finns fortfarande anledning att ytterligare analysera och överväga behovet av en ökad tydlighet rörande kommunens möjligheter att inhämta och använda uppgifter som dokumenteras hos privata utförare av socialtjänst. Dessa frågor sätter även ljuset på innebörden av kommunens roll som huvudman för socialtjänsten.
22SOU 2009:32. 23SOU 2013:53.
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
623
21.3.1 Det kommunala huvudmannaansvaret
Vår bedömning: När en kommun överlåter åt en privat utförare
att utföra kommunens uppgifter inom socialtjänsten behåller kommunen sitt huvudmannaansvar för verksamheten. Det innebär bland annat att kommunen, precis som för verksamhet som bedrivs i egen regi, har det övergripande ansvaret för att den enskilda verksamheten bedrivs på ett tillfredsställande sätt och att detta följs upp.
I 2 kap. 4 § SoL anges att en kommuns uppgift inom socialtjänsten ska fullgöras av den eller de nämnder som kommunfullmäktige bestämmer. Vidare får kommunen enligt 2 kap. 5 § SoL sluta avtal med annan om att utföra kommunens uppgifter inom socialtjänsten. Genom ett sådant avtal får en kommun tillhandahålla tjänster åt en annan kommun. Uppgifter som innefattar myndighetsutövning får dock inte med stöd av denna bestämmelse överlämnas till ett bolag, en förening, en samfällighet, en stiftelse eller en enskild individ. Med annan avses inte bara privata utförare utan även t.ex. kommunala företag.
Även när det gäller LSS är kommunen huvudman för samtliga former av stöd och service enligt den lagen, med undantag för rådgivning och annat personligt stöd som är en uppgift för landstinget (2 § LSS). En kommun får med bibehållet ansvar sluta avtal med någon annan om att tillhandahålla insatser enligt denna lag (17 § LSS).
När en kommun sluter avtal med annan om att utföra kommunens uppgifter inom socialtjänsten innebär det inte någon förändring vad gäller huvudmannaskapet. Kommunen är huvudman även om verksamheten utförs av t.ex. en privat utförare. Detta framgår indirekt av 6 kap. 7 § KL i vilken det anges att de kommunala nämnderna har ett ansvar att kontrollera att verksamheten bedrivs på ett tillfredställande sätt, även när en kommunal angelägenhet har lämnats över till någon annan.24Av kommunallagen följer således att nämnden har det direkta ansvaret för att sådant som lagts ut på ett företag kontrolleras och följs upp (3 kap. 19 § och 6 kap. 7 § KL). Vidare får socialnämnd som beslutat om en insats som genomförs i en enskild verksamhet träffa avtal med den som bedriver verk-
24 Privata utförare-Kontroll och insyn, SOU 2013:53 s. 99.
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
624
samheten om att handlingar ska överlämnas till nämnden när gallringsskyldighet inträder (7 kap. 3 § SoL).
Oavsett hur en verksamhet utformas har kommunen alltjämt ett ansvar för att den omsorg och de stödinsatser som de enskilde inom kommunen erhåller bedrivs med god kvalitet.
I vissa delar kvarstår även det kommunala ansvaret för uppföljning, utvärdering och eventuella kompletterande insatser, trots att en extern leverantör åtagit sig att utföra vissa tjänster för kommunens räkning inom socialtjänsten. Det gäller i de fall en kommun anlitar en extern leverantör som genom avtal åtar sig att för kommunens räkning utföra tjänster inom socialtjänstens område. När en kommun köper enstaka platser eller tjänster på en privat institution eller anläggning har kommunen inget inflytande över verksamhetens utformning men har fortfarande ansvar för att de omsorgs- och stödinsatser som den enskilde får håller god kvalitet.
I dag regleras ofta i avtal mellan kommunen och den enskilda verksamheten hur uppgiftsskyldigheten ska gå till. Om kommunen inte har denna möjlighet till information får kommunen svårighet att planera och utvärdera arbetet.
Bör begreppet huvudman definieras i socialtjänstdatalagen?
När det gäller hälso- och sjukvården så har vi i hälso- och sjukvårdsdatalagen föreslagit en bestämmelse som definierar kommunen som huvudman. Argumenten för detta är att det underlättar tillämpningen av hälso- och sjukvårdslagstiftningen i allmänhet att skilja mellan landstingens och kommunernas ansvar i egenskap av huvudmän och deras ansvar i egenskap av vårdgivare. När det gäller personuppgifter i hälso- och sjukvården förekommer sådan behandling både för kommuner och för landsting som huvudmän och som vårdgivare och det är därför relevant att kunna använda båda begreppen vid tillämpningen av den föreslagna hälso- och sjukvårdsdatalagen. Teoretiskt sett kan ett landsting eller en kommun även upphöra att vara vårdgivare, i den meningen att landstinget eller kommunen inte längre bedriver någon individinriktad hälso- och sjukvård i egen regi. Rollen och ansvaret som huvudman kvarstår dock. Även när det gäller förslaget till förbättrat informationsutbyte mellan vårdgivare inom en huvudmans ansvarsområde är begreppet nödvändigt för att beskriva de förutsättningar som
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
625
gäller. Utredningen har övervägt om det behövs en liknande bestämmelse om definition av huvudman i socialtjänstdatalagen.
När det gäller socialtjänsten så har kommunen det yttersta ansvaret för att ge invånarna en bra och säker socialtjänst. I 2 kap. 1 § SoL framgår att varje kommun svarar för socialtjänsten inom sitt område och har det yttersta ansvaret för att enskilda får det stöd och den hjälp som de behöver. Av bestämmelser i bl.a. hälso- och sjukvårdslagen och socialtjänstlagen framgår att kommuner och landsting genom avtal får lämna över viss uppgift till privata utförare.
En kommun kan inte lämna över uppgifter som avser myndighetsutövning till ett privaträttsligt subjekt om det inte finns lagstöd för det.25Något sådant lagstöd finns inte när det gäller socialtjänsten vilket innebär att en kommun alltid har kvar uppgifter som innefattar myndighetsutövning. Med detta avses hela handläggningen av är ett ärende som leder fram till ett beslut. En kommun kan dock lämna över bland annat själva utförandet av en beslutad insats till en annan utförare. Detta innebär således att en kommun alltid fattar beslut om insatser i ärenden rörande individer. Till skillnad mot i hälso- och sjukvården där ett landsting eller en kommun är oförhindrade att låta all individinriktad patientvård bedrivas av privata vårdgivare och därigenom inte längre själv bedriva hälso- och sjukvård, kommer kommunen alltid att bedriva en individinriktad socialtjänstverksamhet. Bland annat mot den bakgrunden är vår bedömning att det inte finns behov av en motsvarande bestämmelse som definierar huvudmannen i socialtjänsten. Kommunen kommer alltid att omfattas av den definition som föreslås i socialtjänstdatalagen, dvs. vara den som bedriver
verksamhet inom socialtjänsten.
21.3.2 Förslag om uppgiftsskyldighet från enskilda verksamheter till kommunen
Vårt förslag: En tystnadspliktsbrytande uppgiftsskyldighet ska
införas i socialtjänstlagen och i lagen om stöd och service till vissa funktionshindrade.
Uppgiftsskyldigheten ska gälla enskilda verksamheter i förhållande till den kommunal myndighet som har huvudmannaansvar för verksamheten. En sådan enskild verksamhet ska lämna ut de personuppgifter som den kommunala myndigheten behöver för ändamål som anges i 2 kap. 5 § socialtjänstdatalagen.
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
626
Inledning
Offentlighets- och sekretesslagen gäller inte för enskilda verksamheter enligt socialtjänstlagen och lagen med stöd och service till vissa funktionshindrade. I stället finns bestämmelser om tystnadsplikt (15 kap. SoL och 29 § LSS). Enligt dessa bestämmelser får den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet inte obehörigen röja vad man har fått veta om enskildas personliga förhållanden. Det kan beskrivas på det sättet att uppgifter inte obehörigen får spridas utanför för den enskilt bedrivna verksamheten. Det finns inga direkta bestämmelser som anger vad ett obehörigt röjande är. En viss ledning kan dock hämtas från den menprövning som ska göras enligt offentlighets- och sekretesslagen.26Även andra bestämmelser i offentlighets- och sekretesslagen kan vara till ledning, till exempel de som reglerar när sekretessen kan brytas.
Enligt förarbetena till bestämmelserna om tystnadsplikt ska det vara en nära överenstämmelse mellan tystnadsplikten för den offentliga och tystnadsplikten för socialtjänstpersonal i enskild verksamhet. Vid tolkningen av obehörighetsrekvisitet har det vidare ansetts naturligt att söka ledning i offentlighet- och sekretesslagens regler.27Grunden är att den enskilde ska ha samma skydd för sin personliga integritet vare sig han eller hon får insatser av en offentlig eller enskild verksamhet. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning.
Under utredningens arbete har det framkommit att det finns en osäkerhet från företrädare för enskilda verksamheter om när man kan lämna ut information och vilken information man kan lämna ut. Även från kommunernas sida finns det en osäkerhet om vilken information man kan begära in. Den fråga som uppstår är då om det är en lyckad lösning att det för ett sådant regelbundet informationsutbyte som det är frågan om här ha den nuvarande situationen där det kan uppstå en viss tveksamhet.
Som vi tidigare redovisat delar vi den osäkerhet som verksamheterna ger uttryck för. Enligt utredningens uppfattning står det i dag inte klart att enskilda verksamheter kan lämna ut uppgifter till den kommunala nämnden som ansvarar för verksamheten utan hinder av tystnadsplikt. Det finns därför ett behov av att tydliggöra
26Prop. 1980/81:28, prop. 1981/82:186, prop. 2007/08:126 och prop. 2005/06:161. 27Prop. 2005/06:141 s. 63, prop. 2005/06:161 s. 82 och 93 och prop. 2007/08:126 s. 133.
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
627
rättsläget och skapa reella förutsättningar för huvudmannen att följa upp och ta sitt ansvar för att alla medborgare får en socialtjänst av god kvalitet.
Kommunallagen ställer krav på att en kommun som överlåtit till privata utförare att utföra viss socialtjänst ska följa upp och kontrollera den verksamhet som bedrivs. Oavsett hur kommunerna sköter den här uppföljningen bör det vara tydligt vad en kommun kan begära in och vilka uppgifter den privata utföraren ska lämna ut till den kommunala huvudmannen.
I dag regleras ofta i avtal mellan kommunen och den enskilda verksamheten hur uppgiftsskyldigheten ska gå till. Om kommunen inte har denna möjlighet till information får kommunen svårighet att planera och utvärdera arbetet.
Utredningen om en kommunallag för framtiden har föreslagit att bland annat kommunernas ansvar att systematiskt följa upp och kontrollera privata utförares verksamhet bör förtydligas i kommunallagen.28 Utredningen konstaterar att de utvärderingar som gjorts visar på en splittrad bild av hur bra kommuner är på att följa upp verksamhet som bedrivs av privata utförare. Utredningen anger att vissa ligger långt framme med ambitiösa uppföljningssystem medan det finns brister i andras kontrollsystem. Ett omfattande utvecklingsarbete pågår på detta område inom Sveriges Kommuner och Landsting och hos bland annat Kammarkollegiets upphandlingsstöd och Socialstyrelsen.
Vidare pekar utredningen på att det i framtiden kan bli nödvändigt att de flesta kommuner har en genomtänkt strategi för hur de i förfrågningsunderlag och avtal tillförsäkrar sig metoder för att aktivt följa upp verksamheten och också har en organisation för detta.
Oavsett hur en kommun arbetar med att följa upp verksamhet med privata utförare, så kan vi se att det finns ett behov av att klarlägga när och vilka uppgifter en enskild verksamhet ska lämna till en kommunal huvudman för uppföljning.
En bestämmelse om uppgiftsskyldighet bör införas
Utredningens generella utgångspunkt är att det kommunala huvudmannaansvaret innebär ett ansvar för uppföljning och kvalitetssäkring av den socialtjänstverksamhet som erbjuds invånarana.
28 SOU2013:53.
En mer ändamålsenlig sekretessreglering i socialtjänsten SOU 2014:23
628
Vidare ska de rättsliga möjligheterna att vidta en sådan kvalitetssäkring inte bero på organisatoriska förutsättningar. Kommunen har i dag möjligheter att följa upp kvaliteten av sådana insatser som görs av kommunala utförare på socialtjänstens område. Samma möjligheter bör rimligen finnas även för sådana insatser som kommunen ansvarar för men som genomförs av en enskild verksamhet etablerad t.ex. enligt lagen (2008:962) om valfrihetssystem eller lagen (2007:1091) om offentlig upphandling. I annat fall riskerar förutsättningarna för en jämlik socialtjänst av god kvalitet att bli beroende av organisatoriska faktorer.
Det yttersta ansvaret för kommunens uppgifter inom socialtjänsten kan inte överlåtas på annan. Socialnämnden har det direkta ansvaret för att sådant som lagts ut på ett företag kontrolleras och följs upp. Regelverket bör därför tydligt tillhandahålla förutsättningar för en ändamålsenlig uppföljning av all socialtjänst en kommun ansvarar för.
Även om socialtjänstdatautredningen gjorde bedömningen att bestämmelserna om tystnadsplikt inte hindrade ett uppgiftsutlämnande från en enskild verksamhet till den kommunala myndigheten som ansvarar för verksamheten, anser vi alltjämt att frågan behöver få en ökad tydlighet. Därutöver är vi tveksamma till att den bedömningen socialtjänstdatautredningen gjorde kan läggas till grund för det omfattande och regelmässiga informationsutbyte som det här skulle vara fråga om.
För att tydliggöra och för att underlätta för både den kommunala huvudmannen och den enskilda verksamheten anser utredningen att det bör införas en bestämmelse som reglerar skyldighet att lämna ut information när det gäller uppföljning och kontroll av kommunen som huvudman. Förslaget innebär dock ingen inskränkning i den enskilda verksamhetens eget ansvar för att bedriva ett systematiskt kvalitetsarbete.
Förslaget till uppgiftsskyldighet innebär att det inte gäller någon tystnadsplikt gentemot kommunen som huvudman avseende de uppgifter som kommunen behöver för sådana ändamål som är tillåtna enligt socialtjänstdatalagen.
Vi har redan tidigare avsnitt lämnat förslag till en mer ändamålsenlig sekretessreglering inom kommunens egen verksamhet. Det förslaget innebär att myndigheter inom socialtjänsten i samma kommun ska kunna utbyta uppgifter utan att hindras av sekretess. Genom det nu aktuella förslaget om uppgiftsskyldighet uppnås i
SOU 2014:23 En mer ändamålsenlig sekretessreglering i socialtjänsten
629
praktiken motsvarande effekt i förhållande till enskilda verksamheter på socialtjänstens område.
Kommunallagen ställer krav på att en kommun som överlåtit till privata utförare att utföra viss socialtjänst ska följa upp och kontrollera den verksamhet som bedrivs. Även om kommunernas uppföljning kan se olika ut i landet bör det vara tydligt vad en kommun kan begära in och vilka uppgifter den privata utföraren ska lämna ut till den kommunala huvudmannen. Enligt utredningens bedömning är det olyckligt att det råder en osäkerhet när det gäller uppföljning av hur en verksamhet bedrivs. Speciellt mot bakgrund av de långtgående krav som lagstiftaren ändå har lagt på kommunen som huvudman och att öka möjligheterna att lämna över verksamhet till privata utförare för att uppmuntra valfrihet och nytänkande.29
Genom att föreslå tydliga bestämmelser kan den osäkerhet om informationsutbytet som finns i verksamheterna tas bort. Att införa bestämmelser när det är tillåtet att lämna ut information och vad man kan begära in från en huvudmans sida från en enskild verksamhet bidrar till att öka en säker informationshantering. Även om det vid tolkningen av vad som är obehörigt att lämna går att ledas av offentlighets- och sekretesslagens bestämmelser så är det enligt utredningens bedömning nödvändigt att det finns klara bestämmelser om vad som gäller. Eftersom socialtjänstverksamhet omfattas av sträng sekretess och det finns bestämmelser om tystnadsplikt i både SoL och LSS för den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet som avser insatser enligt socialtjänstlagen och LSS så kan det uppstå problem i informationsutbytet.
Föreskrifter om förhållandet mellan enskilda och det allmänna som gäller åligganden för enskilda ska meddelas genom lag (8 kap. 2 § regeringsformen). En bestämmelse om uppgiftsskyldighet när det gäller enskild verksamhet ska således tas in i en lagbestämmelse.
29 Jfr bland annat SOU 2013:53 s. 114.
631
22 En ny lag: socialtjänstdatalag
22.1 Bakgrund
Den nuvarande regleringen av personuppgiftsbehandlingen i socialtjänsten finns i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL, och förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPULF. Dessutom gäller i vissa delar bestämmelserna i personuppgiftslagen (1998:204), förkortad PUL. Det finns även regler som rör dokumentation och skyddet av den enskildes integritet på socialtjänstens område i den materiella lagstiftningen såsom socialtjänstlagen (2001: 453), förkortad SoL, och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS. Det kan därmed konstateras att de bestämmelser som reglerar vilka personuppgifter som får hanteras i socialtjänsten och hur det ska göras är utspridda på en mängd olika författningar.
Genom åren har även ett antal olika utredningar haft i uppdrag att analysera delar av dessa regelverk. Senast var det Socialtjänstdatautredningen som hade i uppdrag att göra en översyn av hur personuppgiftsbehandlingen i socialtjänsten regleras och vid behov lämna förslag för att åstadkomma en mer välfungerande och sammanhållen reglering av området.1Eftersom betänkandet ännu inte lett till någon lagstiftning återstår fortfarande behovet av en översyn av lagen om behandling av personuppgifter inom socialtjänsten och den därtill hörande förordningen.
1 Dir. 2007:92.
En ny lag: socialtjänstdatalag SOU 2014:23
632
Vårt uppdrag m.m.
I utredningens uppdrag ingår bland annat att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom socialtjänsten. I direktiven framgår även att utredaren har möjlighet att ta upp frågor som inte nämns i direktiven men som enligt utredaren behöver analyseras eller regleras för att uppdraget ska utföras på ett tillfredställande sätt.2I uppdraget har utredningen sett att det finns ett behov av se över hur en mer samlad hantering av personuppgifter kan möjliggöras inom socialtjänsten mot bakgrund av de övriga förslag som läggs fram i betänkandet. Vi har i avsnitt 20 redogjort översiktligt för några av de brister vi upplever att den nu gällande regleringen har. Bristerna utgörs, enligt utredningens bedömning, bland annat av följande.
• Det är generellt ett svåröverskådligt regelverk.
• Otydligt förhållande mellan SoLPUL, SoLPULF och PUL.
• Olika regler för olika aktörer på socialtjänstens område.
• Avsaknad av bestämmelser som tydliggör krav på de informationssystem som innehåller personuppgifter.
• Avsaknad av bestämmelser som tydliggör när någon som arbetar i socialtjänsten får ta del av uppgifter.
• Avsaknad av uttryckliga krav på behörighetsstyrning och åtkomstkontroll.
• Avsaknad av tydlig vägledning för vad som gäller ifråga om utlämnande av personuppgifter på medium för automatiserad behandling och direkåtkomst.
• Bristande harmonisering med motsvarande reglering på hälso- och sjukvårdens område, dvs. patientdatalagen (2008:355).
• Avsaknad av ett regelverk för ett ändamålsenligt utbyte av uppgifter mellan socialtjänst och hälso- och sjukvård.
Sammantaget har utredningen mot denna bakgrund funnit övervägande skäl för att föreslå en helt ny reglering för personuppgiftsbehandlingen på socialtjänstens område. Våra förslag redovisas
2 Dir. 2011:111 Förbättrad tillgång till personuppgifter inom och mellan hälso- och sjukvården och socialtjänsten m.m.
SOU 2014:23 En ny lag: socialtjänstdatalag
633
i följande avsnitt. Förutom att vi bedömer att det är nödvändigt för att ge socialtjänsten stöd att utveckla en mer ändmålsenlig informationshantering skulle det bidra till att öka medvetenheten om denna lagstiftnings existens och innehåll.
22.1.1 Kort om våra utgångspunkter för denna typ av lagstiftning
I de regelverk som styr hur personuppgifter får användas och utbytas finns ett antal olika intressen som behöver balanseras och så långt möjligt tillgodoses. Vår generella utgångspunkt är att regelverket ska ha som målsättning att öka förutsättningarna för ännu bättre resultat för de individer som är i behov av socialtjänstens stöd. Det handlar om att tillförsäkra den enskilde en rättssäker handläggning, men även om att se till att informationshanteringen i sig bidrar till en mer jämlik socialtjänst samt ökad kvalitet och bättre resultat.
Både för individens del och för verksamheten är det alldeles nödvändigt att personuppgifter används och i övrigt hanteras på ett sådant sätt att behovet av personlig integritet tillgodoses. Det handlar många gånger om grundläggande och självklara förutsättningar som att uppgifter skyddas och inte kan kommas åt av obehöriga, att det bara är den personal som behöver använda uppgifterna i sitt arbete som tar del av dem, att det finns ett systematiskt arbetssätt för att upptäcka och beivra obehörig åtkomst, att uppgifter om enskilda inte kan användas på ett otillbörligt sätt, att uppgifter inte kan hanteras på omotiverat sätt med hänsyn till den risk för integritetsintrång och den nytta som den aktuella hanteringen för med sig. En grundläggande utgångspunkt är därför att en lagstiftning av detta slag ska ge uttryck för en balans och en proportionalitetsbedömning där risken för personuppgiftsbehandlingen alltid vägs mot nyttan med densamma.
Generellt bedömer vi att enskildas intresse av en god socialtjänst och ett välfungerande integritetsskydd inte står i motsats till motsvarande intressen om kvalitet, tillgänglighet, förtroende och effektivitet m.m. som kan finnas i verksamheten och i samhället i övrigt. På en övergripande nivå anser vi därför att ett starkt integritetsskydd är en förutsättning för en ändamålsenlig informationshantering inom socialtjänsten. Det är på många sätt en farlig utveckling om enskilda känner en sådan otrygghet i hur uppgifter hanteras att enskilda väljer att hålla inne med information
En ny lag: socialtjänstdatalag SOU 2014:23
634
som kan vara viktig för möjligheterna att tillgodose den enskildes behov på bästa sätt. Med det sagt vill vi samtidigt understryka att vi inte upplever att det finns något tillitsproblem visavi socialtjänstens informationshantering. Tvärtom har våra kontakter med både enskilda, anhörigorganisationer och verksamheterna själva stärkt bilden av att förtroendet för socialtjänsten och det sätt information hanteras på är högt.
För att återkoppla till inledningen i detta avsnitt vill vi tydliggöra att vår utgångspunkt är att lagstiftningen på detta område på ett tydligt sätt ska stödja en informationshantering som främjar god kvalitet, effektivitet och ett starkt integritetsskydd. Det ställer inte endast krav på hur intentionerna bakom lagstiftningen motiveras, utan även hur enskilda paragrafer utformas och formuleras. Det senare har vi inte minst haft anledning att reflektera över i samband med vår analys av tillämpningen och konsekvenserna av patientdatalagen på hälso- och sjukvårdens område. Där är det tydligt att inte minst många yrkesutövare på olika nivåer har svårt att läsa lagens bestämmelser och genom det se den avvägning mellan olika intressen som ligger bakom bestämmelsen. Vi har försökt dra lärdom av detta när vi har utformat vårt förslag till en ny socialtjänstdatalag.
Samtidigt är det viktigt att understryka att en registerlagstiftning, som detta är fråga om, delvis behöver anpassas och förhålla sig till vad som gäller enligt andra författningar. Inte minst personuppgiftslagen och dess definitioner och terminologi är styrande även för motsvarande begrepp används och formuleras i socialtjänstdatalagen. Det innebär att språket i vissa delar är mer byråkratiskt och svårtillgängligt än vad som egentligen är önskvärt i en lagstiftning som i stor utsträckning ska tillämpas av dem som inte primärt är skolade i personuppgiftslagstiftning. Vi bedömer av att det är viktigt att denna typ av lagstiftning åtföljs av ett mer konkret och verksamhetsnära tillämpningsstöd.
SOU 2014:23 En ny lag: socialtjänstdatalag
635
22.2 Våra överväganden och förslag
22.2.1 En samlad reglering i en ny lag
Vårt förslag: Den i dag gällande lagen om behandling av person-
uppgifter inom socialtjänsten ska upphöra att gälla och ersätts med en ny lag om behandlingen av personuppgifter inom socialtjänsten med namnet socialtjänstdatalag. Bestämmelser i lagen och förordningen om behandling av personuppgifter inom socialtjänsten ska sammanföras till socialtjänstdatalagen.
En särskild registerlagstiftning innebär i många fall en bättre garanti för utformningen av integritetsskyddet vad gäller särskilt känsliga register. Myndighetsregister med ett stort antal registrerade personer och med ett särskilt integritetskänsligt innehåll bör vara reglerade i lag.3 Den behandling av personuppgifter som förekommer inom socialtjänsten är av sådan karaktär och omfattning att de grundläggande principerna för behandlingen ska finnas i en lag. Riksdag och regeringen har i flera sammanhang uttalat att ett myndighetsregister som behandlar känsliga uppgifter om ett stort antal personer bör regleras i lag4.
Som redovisats ovan och i tidigare avsnitt har den nuvarande lagen, dvs. SoLPUL, vissa brister. Lagens förhållande till bland annat personuppgiftslagen och till förordningen om behandling av personuppgifter inom socialtjänsten, är komplicerad. Särskilt lagens förhållande till förordningen bidrar enligt utredningen till en mer splittrad reglering än vad som är ändamålsenligt för en socialtjänst av i dag. För att få till stånd en mer sammanhållen reglering bör, enligt utredningens uppfattning, utgångspunkten vara att samtliga bestämmelser i den nuvarande lagen och förordningen ska föras över till den nya lagen i den mån bestämmelserna ska finnas kvar.
Lagen saknar en uppräkning för vilka ändamål personuppgifter får behandlas inom socialtjänsten. Inte heller är lagen harmoniserad med patientdatalagen, med avseende på struktur och systematik. Särskilt med tanke på att hälso- och sjukvård och socialtjänst ligger mycket nära varandra har det framförts behov av att harmonisera lagstiftningen så att de i större utsträckning liknar varandra.
3 Prop. 1990/91 s. 56 ff, prop. 1997/98:44 s. 41 och prop. 2009/10:80. 4 Bet. 1990/91:KU11 s. 11, bet. 1997/98:KU18 s. 43, prop. 1990/91:60 s. 58, prop. 1997/98:44 s. 40 och rskr. 1997/98:180.
En ny lag: socialtjänstdatalag SOU 2014:23
636
Utredningen har av de redovisade skälen kommit fram till att en ny lag om behandling av personuppgifter inom socialtjänsten ska införas, med namnet socialtjänstdatalag.
Utredningens bedömning är att författningsstrukturen och det materiella innehållet bör överensstämma i stort med den författningsreglering angående behandling av personuppgifter som föreslås för hälso- och sjukvården. När man ser på socialtjänstens mål, syften och organisation kan vi konstatera att socialtjänstverksamheten och hälso- och sjukvården ligger mycket nära varandra. En stor del av utredningens uppdrag gäller just ett utökat utbyte av uppgifter mellan socialtjänsten och hälso- och sjukvården (se avsnitt 32). Utredningen har därför gjort bedömningen att den reglering som föreslås för behandling av personuppgifter inom hälso- och sjukvården och en ny lag om behandling av personuppgifter inom socialtjänsten så långt möjligt bör harmoniseras.
För att den nya lagen ska bli överblickbar föreslår vi att den delas in i ett flertal olika kapitel. I ett inledande kapitel bör lagens tillämpningsområde och vissa grundläggande begrepp definieras. Ett kapitel bör innehålla grundläggande bestämmelser om personuppgiftsbehandling, t.ex. ifråga om ändamål och personuppgiftsansvar. Ett annat kapitel bör innehålla bestämmelser om en säker och ändamålsenlig hantering av personuppgifter. Lagen bör också innehålla särskilda kapitel med bestämmelser om utlämnande av uppgifter, direktåtkomst mellan olika utförare av socialtjänst, rättigheter för enskilda samt informationshantering i verksamheter som rör enskilda med sammansatta behov av insatser från socialtjänsten och hälso- och sjukvården.
22.2.2 Bestämmelser om handläggning och dokumentation ligger kvar i befintlig lagstiftning
Vår bedömning: Bestämmelser om handläggning och doku-
mentation m.m. bör lämnas oförändrade och ligga kvar i befintlig lagstiftning, som exempelvis socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade.
Vårt förslag: I socialtjänstdatalagen ska det finnas en hänvisning
till bestämmelserna om handläggning och dokumentation i socialtjänstlagen och i lagen om stöd och service till vissa funktionshindrade.
SOU 2014:23 En ny lag: socialtjänstdatalag
637
Utredningen har övervägt om bestämmelser om handläggning och dokumentation bör återfinnas samlat i socialtjänstdatalagen eller om dessa bestämmelser bör ligga kvar i befintlig lagstiftning. Bestämmelser om handläggning och dokumentation är viktiga för att garantera den enskildes rättsäkerhet. Bestämmelser som reglerar handläggning och dokumentation finns i förvaltningslagen (1986:223) och i socialtjänstlagen och i lagen om stöd och service till vissa funktionshindrade. Även i lagen (1988:870) om vård av missbrukare i vissa fall, förkortad LVM, och i lagen (1990:52) med särskilda bestämmelser om vård av unga, förkortad LVU, finns bestämmelser om handläggning och dokumentation i dessa speciella situationer. Socialstyrelsen har i sina föreskrifter och allmänna råd (SOSFS 2006:5) kompletterande bestämmelser när det gäller bl.a. dokumentation. Bestämmelserna är väl inarbetade i respektive lagstiftning. Om bestämmelser om dokumentation ska tas med i den nya socialtjänstdatalagen bör även bestämmelser om gallring m.m. finnas där. Mot bakgrund av att det ändå inte skulle vara möjligt att samla alla bestämmelser om handläggning och dokumentation i socialtjänstdatalagen är utredningens bedömning att dessa bestämmelser bör ligga kvar i socialtjänstlagen och i lagen om stöd och service till vissa funktionshindrade. Vår bedömning är att det annars kan finnas en risk att det upplevs som splittrat eftersom vissa handläggningsbestämmelser fortfarande måste finnas kvar i den materiella lagstiftingen.
Vi har därför stannat för att bestämmelser om dokumentation ska ligga kvar i befintliga författningar men att en hänvisning ska finnas i den nya lagen.
22.2.3 Lagens tillämpningsområde
Vårt förslag: Socialtjänstdatalagen ska gälla vid behandling av
personuppgifter inom socialtjänsten för kommunala myndigheter, enskilda verksamheter och Statens institutionsstyrelse (den som bedriver socialtjänst).
Med kommunal myndighet avses socialnämnd eller motsvarande kommunal nämnd i fråga om sådan socialtjänst som kommunen har ansvar för och bedriver enligt socialtjänstlagen, lagen med särskilda bestämmelser om vård av unga, eller lagen om vård av missbrukare i vissa fall. Vidare omfattar det kommunal nämnd ifråga om sådan verksamhet som
En ny lag: socialtjänstdatalag SOU 2014:23
638
kommunen har ansvar för och bedriver enligt lagen om stöd och service till vissa funktionshindrade.
Med enskild verksamhet avses yrkesmässig verksamhet som bedrivs av en juridisk eller fysisk person med tillstånd enligt socialtjänstlagen eller enligt lagen om stöd och service till vissa funktionshindrade och sådan enskild verksamhet inom socialtjänsten som i övrigt bedrivs enligt avtal med kommunen.
Tillämpningsområdet omfattar all helt eller delvis automatiserad behandling av personuppgifter samt manuell behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. I tillämpliga delar gäller lagen även för behandling av uppgifter om avlidna.
Vår bedömning: Även hos den som bedriver socialtjänst och
omfattas av lagens tillämpningsområde förekommer personuppgiftsbehandling som bör falla utanför den nya socialtjänstdatalagens tillämpningsområde. Det kan exempelvis vara sådan personuppgiftsbehandling som görs i den interna administrativa verksamheten, t.ex. rörande anställda eller leverantörer av varor eller tjänster.
Sådan särskild personuppgiftsbehandling som görs för forskningsändamål eller utbildningsändamål bör också falla också utanför lagens tillämpningsområde.
Utredningen gör bedömningen att de föreslagna bestämmelserna i socialtjänstdatalagen ska tillämpas av sådana myndigheter och enskilda verksamheter som agerar på socialtjänstens område när det gäller individinriktad verksamhet. Det handlar om personuppgiftsbehandlingen hos dem som i egentlig mening har ansvar för eller bedriver socialtjänst. Hos dessa är det dessutom själva kärnverksamheten som regleras. Det innebär exempelvis att personuppgifter som behandlas för helt andra ändamål, t.ex. intern personaladministration, faller utanför lagens tillämpningsområde.
Genom utredningens förslag avgränsas tillämpningsområdet även i förhållande till sådana andra aktörer som på olika sätt agerar i anslutning till socialtjänstsektorn, t.ex. myndigheter som Socialstyrelsen och Inspektionen för vård och omsorg. Även verksamheter som olika frivilligorganisationer utför faller utanför lagens tillämpningsområde,
SOU 2014:23 En ny lag: socialtjänstdatalag
639
åtminstone till den del organisationen inte faller inom ramen för definitionen av enskild verksamhet nedan.
Kärnverksamheten i socialtjänsten ska regleras
Vår utgångspunkt är att den nya lagen endast ska rikta in sig på behandlingen av personuppgifter hos kommunala myndigheter, enskild verksamhet och Statens institutionsstyrelse. Det handlar därmed om de aktörer som i egentlig mening har ansvar för och bedriver socialtjänst enligt socialtjänstlagstiftningen, t.ex. sådan ärendehandläggning och faktiskt handlande som görs med stöd av socialtjänstlagen eller lagen om stöd och service till vissa funktionshindrade. Det är således den individinriktade verksamheten i socialtjänsten och den informationshantering som förekommer i denna verksamhet som i första hand ska regleras.
Detta är en skillnad jämfört med dagens reglering i SoLPUL och SoLPULF som i viss utsträckning även reglerar personuppgiftsbehandling hos Socialstyrelsen och Inspektionen för vård och omsorg. Vi anser att personuppgiftsbehandlingen hos dessa myndigheter med fördel regleras utanför kommunernas, de enskilda verksamheternas och Statens institutionsstyrelses behandling av personuppgifter. Det legala stödet för Socialstyrelsens och Inspektionen för vård och omsorgs hantering av personuppgifter får sökas i PUL. När det gäller sådan hantering av personuppgifter som i dag gäller för Socialstyrelsens verksamhet som avses i lagen (2007:606) om utredningar avseende vissa dödsfall, föreslår utredningen i avsnitt 30 att detta överförs till en särskild lag.
Kommunal myndighet
Med kommunal myndighet avses kommunala nämnder och underlydande förvaltning på socialtjänstens område. Begreppet omfattar socialnämnd eller motsvarande kommunal nämnd i fråga om sådan socialtjänst som kommunen har ansvar för och bedriver enligt socialtjänstlagen, lagen med särskilda bestämmelser om vård av unga eller lagen om vård av missbrukare i vissa fall. Vidare omfattar det kommunal nämnd ifråga om sådan verksamhet som kommunen har ansvar för och bedriver enligt lagen om stöd och service till vissa funktionshindrade.
En ny lag: socialtjänstdatalag SOU 2014:23
640
Detta innebär att det är personuppgiftsbehandlingen hos den nämnd eller annan myndighet som utövar ledningen av eller utför den faktiska socialtjänsten som regleras av lagen. Härmed avses exempelvis både beställar- och utförarnämnder med underlydande förvaltningar och verksamheter. Lagen reglerar därmed både sådan behandling av personuppgifter som utförs i kommunens myndighetsutövande verksamhet och i sådan verksamhet kommunen själv bedriver för att genomföra beslut om insatser, vård, stöd eller annan behandling. Det innebär vidare att lagen ska tillämpas av sådana verksamheter som kommunen bedriver inom ramen för råd och service.
Statens institutionsstyrelse
Socialtjänstdatalagen ska omfatta den behandling av personuppgifter på socialtjänstens område som görs av Statens institutionsstyrelse. Det innebär att myndigheten ska tillämpa lagen i dess verksamhet enligt lagen om vård av missbrukare i vissa fall, lagen med särskilda bestämmelser om vård av unga samt lagen (1998:603) om verkställighet av sluten ungdomsvård.
Enskilda verksamheter
Begreppet enskild verksamhet inom socialtjänsten ska enligt utredningens mening definieras på samma sätt som i dag. Definitionen finns i förordningen om behandling av personuppgifter i socialtjänsten. Det saknas enligt vår mening anledning att förändra detta begrepp.
Med enskild verksamhet avses alltså yrkesmässig verksamhet som bedrivs av en juridisk eller fysisk person med tillstånd enligt socialtjänstlagen eller enligt lagen om stöd och service till vissa funktionshindrade. Vidare så avses med enskild verksamhet även sådan verksamhet inom socialtjänsten som i övrigt bedrivs enligt avtal med kommunen.
Definitionen gäller oavsett om den enskilda verksamheten är etablerad genom exempelvis lagen (2007:1091) om offentlig upphandling eller lagen (2008:962) om valfrihetssystem. Även sådan enskild verksamhet som anlitar underleverantörer omfattas av definitionen.
SOU 2014:23 En ny lag: socialtjänstdatalag
641
Forskning och utbildning
Även om det inom ramen för socialtjänsten förekommer forskning och utbildning är det verksamheter som enligt utredningens bedömning inte bör regleras av socialtjänstdatalagen. Som anförts ovan är det framför allt socialtjänstens individinriktade kärnverksamhet och den personuppgiftsbehandling som förandleds av denna som ska regleras. Sådan särskilt personuppgiftsbehandling som föranleds av enskilda forskningsprojekt bör därför, precis som i dag, även fortsättningsvis regleras av personuppgiftslagen (1998:204). Det gäller oavsett om forskningen bedrivs av kommunen som forskningshuvudman eller om den exempelvis bedrivs av ett universitet. Förutom personuppgiftslagen gäller naturligtvis även lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Enligt etikprövningslagen ska bl.a. all forskning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL etikprövas.
Motsvarande bör gälla även för sådan utbildning som kan förekomma inom socialtjänstens område. Det har inte varit möjligt för utredningen att närmare granska förutsättningarna för att använda uppgifter om enskilda i teoretisk eller praktisk utbildning av studeranden. I den utsträckning en studerande, t.ex. på praktik, rent faktiskt deltar i ärendehandläggning eller genomförande av insatser, omfattas den studerande naturligtvis av socialtjänstdatalagens tillämpningsområde. Det innebär att den studerande i sådant fall får ta del av och dokumentera uppgifter om enskilda i den utsträckning som är nödvändig för arbetets utförande och i övrigt följer de rutiner och riktlinjer som finns hos den som bedriver verksamheten.
Den slags personuppgiftsbehandling som regleras
Inom socialtjänsten förekommer en omfattande personuppgiftsbehandling i en oöverblickbar mängd elektroniska system. Det förekommer dessutom såväl rent manuell hantering som sådan elektronisk hantering som inte har systematiserats på ett sätt som gör att man kan tala om register. Precis som på hälso- och sjukvårdens område är it-strukturen så komplex att frågan om personuppgiftsbehandlingen görs i särskilda register eller databaser blir oväsentlig. Det avgörande är i stället att uppgifterna hanteras
En ny lag: socialtjänstdatalag SOU 2014:23
642
elektroniskt och samlas in för uttryckligt angivna ändamål. Mot den bakgrunden bör socialtjänstdatalagen, precis som annan modern registerlagstiftning, omfatta all helt eller delvis automatiserad behandling av personuppgifter i socialtjänstens kärnverksamhet.
Utredningens förslag innebär att vissa grundläggande bestämmelser om personuppgiftsbehandling – bestämmelser om den enskildes inställning till personuppgiftsbehandling, ändamål för personuppgiftsbehandlingen, personuppgiftsansvar, personuppgifter som får behandlas och sökbegrepp – alltid ska tillämpas vid sådan behandling av personuppgifter som är helt eller delvis automatiserad. Bestämmelserna ska i enlighet med vad som anförts ovan inte bara tillämpas på personuppgiftsbehandling i särskilda register eller databaser utan ska omfatta all helt eller delvis automatiserad behandling av personuppgifter som förekommer inom socialtjänsten. Utöver detta ska bestämmelserna tillämpas på viss manuell hantering i register, nämligen om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Detta innebär att manuell behandling av personuppgifter som inte ingår eller är avsedda att ingå i register inte omfattas av de grundläggande bestämmelserna om behandling av personuppgifter. Däremot kan andra bestämmelser komma att tillämpas på sådan personuppgiftsbehandling. Det gäller exempelvis bestämmelserna om när den som arbetar i socialtjänsten får ta del av dokumenterade uppgifter om en enskild.
I socialtjänstens verksamhet förekommer även en mängd uppgifter om avlidna. Uppgifter om avlidna omfattas dock inte i dag av personuppgiftslagens bestämmelser. Vi anser att uppgifter om avlidna kan vara integritetskänsliga och att sådana uppgifter behöver omfattas av en reglering som tillvaratar det behov av integritetsskydd som finns i förhållande till den avlidna och de efterlevande. Eftersom utredningens utgångspunkt är att socialtjänstdatalagen ska innehålla de bestämmelser som behövs och så lång möjligt omfatta den informationshantering som förekommer i verksamheten, bedömer vi att lagen i tillämpliga delar även bör omfatta behandling av uppgifter rörande avlidna. Det gäller exempelvis för vilka ändamål uppgifter om avlidna får användas eller vilken elektronisk åtkomst som får förekomma till uppgifterna.
SOU 2014:23 En ny lag: socialtjänstdatalag
643
22.2.4 Definition av socialtjänst
Vårt förslag: Den definition av begreppet socialtjänst som i dag
återfinns i lagen om behandling av personuppgifter inom socialtjänsten ska, med ett undantag, alltjämt vara gällande. Undantaget innebär att det med socialtjänst enligt socialtjänstdatalagen inte ska avses verksamhet enligt lagen om utredningar av vissa dödsfall.
Vi har i tidigare avsnitt konstaterat att det inte finns någon enhetlig definition av socialtjänst utan att det finns en rad uppräkningar i olika lagstiftningar. Socialtjänstdatautredningen framhöll i sitt betänkande att det inte var en enkel uppgift att försöka avgränsa vad som i detta sammanhang bör avses med socialtjänst och att situationen kompliceras ytterligare genom att socialnämnderna i kommunerna (som är de som främst hanterar socialtjänsten) i sin tur kan se olika ut från kommun till kommun beroende på kommunens storlek, folkmängd, organisation och politiska struktur m.m.5
Vi har under vårt arbete utgått från den nuvarande definitionen av socialtjänst i offentlighet- och sekretesslagen (jfr 26 kap. 1 § ). Den definition av socialtjänsten som finns i sekretesslagstiftningen har även stått som förebild för den nuvarande definitionen i lagen om behandling av personuppgifter inom socialtjänsten.
Det är helt nödvändigt att definiera det område som en ny lag om behandling av personuppgifter inom socialtjänsten ska reglera. Utredningen har inte sett behov av att föreslå någon ny definition utan anser att den som förekommer i dag kan kvarstå. Den definition av begreppet socialtjänst som i dag förekommer i lagen om behandling av personuppgifter inom socialtjänsten ska således i stort sett fortsätta att gälla. Ett undantag bör dock göras. Verksamhet enligt lag om utredningar avseende vissa dödsfall ska i stället överföras till en särskild lag om Socialstyrelsens behandling av personuppgifter i verksamhet avseende utredningar av vissa dödsfall.
5 Socialtjänsten Integritet – Effektivitet, SOU 2009:32 s. 279.
En ny lag: socialtjänstdatalag SOU 2014:23
644
Närmare om vad som ska avses med socialtjänst
Handläggning av ärenden och faktiskt handlande enligt socialtjänstlagen är att hänföra till socialtjänst. Det kan röra socialnämndens ansvar för omsorg, service, upplysningar, råd, stöd, vård, ekonomiskt bistånd m.m. Även verksamhet enligt lagen om vård av missbrukare i vissa fall och lagen med särskilda bestämmelser om vård av unga omfattas av begreppet socialtjänst. Servicetjänster åt äldre (jfr 2 kap. 7 § lagen [2009:47]om vissa kommunala befogenheter) ingår i definitionen socialtjänst. Kommunens uppgifter inom socialtjänsten fullgörs av den eller de nämnder som kommunfullmäktige bestämmer. Särskilda bestämmelser om gemensam nämnd finns i lagen (2009:192) om gemensam nämnd inom vård- och omsorgsområdet(jfr 2 kap. 4 § SoL).
Med socialtjänst ska avses även övrig verksamhet som enligt lag eller förordning bedrivs av socialnämnd. Det inbegriper bl.a. de uppgifter socialnämnden har inom det familjerättsliga området. I föräldrabalken finns t.ex. regler om nämndens medverkan vid fastställande av faderskap, adoption m.m. Vidare ska nämnden enligt andra författningar komma in med yttranden till myndigheter eller ta emot underrättelser eller vidta åtgärder. Sådana bestämmelser finns t.ex. i lagen (1964:167) om särskilda bestämmelser om unga lagöverträdare, namnlagen (1982:670), körkortsförordningen (1998:980), lagen (1991:2041) om särskild personutredning i brottmål m.m., lagen (1991:1137) om rättspsykiatrisk undersökning och lagen (2007:606) om utredningar av vissa dödsfall.
Den verksamhet som bedrivs av Statens institutionsstyrelse (SiS) är socialtjänst. SiS ansvar för särskilda ungdomshem enligt 12 § LVU och LVM-hem enligt 22 och 23 §§ LVM. Ytterligare uppgifter följer av förordningen (2007:1132) med instruktion för SiS. Även sådan verksamhet som bedrivs i enlighet med förordningen är att anse som socialtjänst vid tillämpningen av denna lag. SiS ansvarar även för verkställigheten av sluten ungdomsvård enligt 32 kap. 5 § brottsbalken som ska bedrivas vid sådana särskilda ungdomshem som avses i 12 § LVU (1 § lagen om verkställighet av sluten ungdomsvård).
Verksamhet vid kommunal invandrarbyrå är att betrakta som socialtjänst. En invandrarbyrå är en frivillig kommunal serviceinrättning med uppgift att hjälpa invandrare till rätta i samhället och informera olika kommunala förvaltningar och kommun-
SOU 2014:23 En ny lag: socialtjänstdatalag
645
invånare om invandrarnas bakgrund. Det är dock osäkert hur många kommuner som i dag bedriver verksamhet i form av kommunal invandrarbyrå. I de kommuner som inte har en särskild invandrarbyrå, handläggs frågor som rör invandrare inom ramen för socialtjänsten.
Socialtjänst omfattar också handläggning av ärenden om bistånd som lämnas av socialnämnd åt asylsökande och andra utlänningar. I lagen (1994:137) om mottagande av asylsökande m.fl., förkortad LMA, finns bestämmelser om sysselsättning för och bistånd till vissa utlänningar. En socialnämnds verksamhet enligt LMA ska därmed anses som socialtjänst enligt denna lag.
Med socialtjänst avses verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade. Med detta inbegrips även de åtgärder som åläggs kommunen och som regleras i 51 kap. socialförsäkringsbalken angående assistansersättning.
Slutligen som omfattas handläggning av ärenden om tillstånd till parkering för rörelsehindrade av begreppet socialtjänst.
22.2.5 Syftet med lagen
Vårt förslag: En bestämmelse om syftet med lagen införs där
det anges att informationshanteringen i socialtjänsten ska vara organiserad så att den tillgodoser god kvalitet, rättssäkerhet, och kostnadseffektivitet inom socialtjänsten. Vidare ska lagen särskilt främja att
1. den som arbetar i socialtjänsten säkert, snabbt och enkelt får
tillgång till de personuppgifter som han eller hon behöver för att kunna utföra sitt arbete, och
2. personuppgifter utformas och i övrigt behandlas så att
individers personliga integritet respekteras.
Målet för socialtjänsten är att den på demokratins och solidaritetens grund ska främja människors ekonomiska och sociala trygghet, jämlikhet i levnadsvillkor och aktiva deltagande i samhällslivet. Socialtjänsten ska under hänsynstagande till människans ansvar för sin och andra sociala situation inriktas på att frigöra och utveckla enskildas och gruppers egna resurser. Verksamheten ska bygga på respekt för människors självbestämmanderätt och integritet
En ny lag: socialtjänstdatalag SOU 2014:23
646
(jfr 1 kap. 1 § SoL). I den nuvarande lagen om behandling av personuppgifter saknas en syftesbestämmelse. Utredningen har kommit fram till att det borde finnas en portalbestämmelse som talar om vad lagen ska åstadkomma. Vi anser att det tydligt ska framgå av en syftesbestämmelse att lagens bestämmelser ska leda till att social omsorg ska vara ska vara organiserad så att den tillgodoser god kvalitet, rättsäkerhet och kostnadseffektivitet.
Det grundläggande syftet med anteckningar m.m. inom socialtjänsten är att tillgodose en för de enskilda rättssäker och god kvalitet i insatser inom socialtjänsten. Det är även av stor vikt att informationen om de enskilda inte hanteras på ett sätt som äventyrar den enskildes integritet. En reglering bör vara enkel och anpassad till såväl nuvarande och framtida förhållanden.
All behandling av personuppgifter ska utföras på ett sätt som respekterar de registrerades integritet. Det gäller oavsett för vilka ändamål personuppgifter utformas och behandlas. Integritetsfrågan är lika viktig när det gäller andra personer som det kan finnas uppgifter om i socialtjänstens verksamhet, t.ex. anhöriga. Därför ska det framgå att syftet gäller till förmån för samtliga personer som det kan finnas uppgifter om.
Ett grundläggande syfte med hanteringen av personuppgifter inom socialtjänsten är att den som arbetar inom socialtjänsten snabbt och enkelt ska få tillgång till de uppgifter som han eller hon behöver för att kunna utföra sitt arbete. Det gäller i ärendehantering men framförallt i genomförandeledet. Den som arbetar inom socialtjänsten måste ha nödvändig information för att kunna utföra sitt arbete. Att snabbt och enkelt ha tillgång till rätt information möjliggör att den enskilde får de insatser och den omsorg som man har behov av.
Informationshanteringen inom socialtjänsten kommer således att ha betydelse för den enskilde men även för underlag vid verksamhetsuppföljning, kontroll och tillsyn eller i rättsliga sammanhang. Även som källmaterial vid forskning och kvalitetssäkring kan personuppgifter inom socialtjänsten få betydelse. Det är därför enligt utredningens bedömning av vikt att en bestämmelse om syftet med lagen ska införas.
SOU 2014:23 En ny lag: socialtjänstdatalag
647
22.2.6 Förhållandet till personuppgiftslagen
Vårt förslag: Förhållandet till personuppgiftslagen ska uttryckas
på ett sådant sätt att personuppgiftslagen ska gälla om inget annat sägs i socialtjänstdatalagen eller i föreskrifter som meddelas med stöd av lagen. Socialtjänstdatalagen innehåller således de särbestämmelser och förtydliganden i förhållande till personuppgiftslagen som det bedömts finnas ett behov av.
Personuppgiftslagen är generellt tillämplig på all behandling av personuppgifter och gäller därför för socialtjänstens personuppgiftsbehandling om det inte finns avvikande bestämmelser i lag eller förordning. Utredningen föreslår att en särskild registerlag införs när det gäller behandling av personuppgifter i socialtjänsten. Lagen ska vara generellt tillämplig på all behandling av uppgifter, oavsett om behandlingen av uppgifter görs av en enskild tjänsteman eller i ett register eller en databas där uppgifter och handlingar är gemensamt tillgängliga i verksamheten. Lagens bestämmelser ska tillämpas på all behandling av uppgifter inom socialtjänsten, oavsett om det gäller e-posthantering, enkel ordbehandling eller förfarandet av omfattande gemensamma personregister.
Det framtagna förslaget har utgått ifrån vad som har legat till grund för motsvarande reglering i nu gällande patientdatalag. Det innebär att personuppgiftslagens regler gäller om inte annat följer av det framtagna förslaget. Eftersom socialtjänsten och hälso- och sjukvården i många delar ligger nära varandra och inom vissa områden, såsom när det gäller äldreomsorgen, ibland är integrerade så finns det skäl att beakta regleringen i patientdatalagen. Utredningen har därför haft som utgångspunkt att regleringen av behandling av personuppgifter i socialtjänsten och i hälso- och sjukvården bör, i den utsträckning som bedöms lämpligt, vara likartade vad gäller systematik och övergripande innehåll.
Utredningen föreslår att socialtjänstdatalagen endast innehåller de särbestämmelser och förtydliganden som det har bedömts finnas ett behov av. I övrigt ska personuppgiftslagen tillämpas. Det innebär exempelvis att begrepp som exempelvis ”behandling” av personuppgifter och ”personuppgifter” har samma innebörd i socialtjänstdatalgen som begreppen har i personuppgiftslagen. Socialtjänstdatalagen ska dock i tillämpliga delar även gälla i förhållande till avlidna. Vid tillämpningen av lagen gäller även 8 §
En ny lag: socialtjänstdatalag SOU 2014:23
648
första stycket PUL om utlämnande av personuppgifter enligt 2 kap. tryckfrihetsförordningen (TF). Ett uttryckligt förtydligande om detta ska tas in i socialtjänstdatalagen.
Även de grundläggande kraven enligt 9 § PUL ska gälla vid behandling av personuppgifter enligt socialtjänstdatalagen, dock med de begränsningar som kan följa av t.ex. särskilda bestämmelser om bevarande och gallring. Finalitetsprincipen i 9 § första stycket
d) PUL gäller inte heller vid behandling av personuppgifter enligt socialtjänstdatalagen.6 Inte heller gäller 9 § andra stycket om att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte generellt ska anses som oförenligt med de ändamål för vilka uppgifterna samlades in. Att dessa bestämmelser inte gäller vid tillämpningen av socialtjänstdatalagen följer av den uttömmande ändamålsbestämmelsen som tas i lagens andra kapitel, se avsnitt 23.
Socialtjänstdatalagen anger således uttömmande för vilka ändamål som uppgifter får behandlas inom socialtjänsten. En sådan ordning stärker integritetsskyddet och bidrar till en bättre förutsebarhet för den enskilde registrerade. För att inte låsa utvecklingen föreslår vi samtidigt att personuppgiftsbehandling som är otillåten enligt denna lag ändå får utföras med stöd av den enskildes samtycke, se avsnitt 23.
När det gäller behandling av uppgifter om personnummer (jfr 22 § PUL) kommer enligt socialtjänstdatalagen personnummer att få behandlas om det behövs för ett sådant ändamål som är tillåtet enligt ändamålsbestämmelserna eller i övrigt med stöd av förslaget om verkan av den enskildes samtycke. Vi återkommer i det följande vilka ytterligare bestämmelser i personuppgiftslagen som ska tillämpas vid behandling av personuppgifters om regleras i socialtjänstdatalagen.
Närmare om vilka bestämmelser i personuppgiftslagen som är tillämpliga
Även personuppgiftslagens bestämmelser (33–35 §§) om överföring av personuppgifter till tredje land ska som huvudregel gälla vid behandling av personuppgifter inom socialtjänsten. När det gäller ärenden om fastställande av faderskap, vårdnad om barn och
6 Finalitetsprincipen innebär att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket de samlades in.
SOU 2014:23 En ny lag: socialtjänstdatalag
649
om internationella adoptioner ska särskilda bestämmelser finnas i socialtjänstdatalagen. En kommunal myndighet får lämna ut uppgifter till tredje land i ärenden om fastställande av faderskap, vårdnad om barn och om internationella adoptioner. Detta regleras i dag i 16 § förordningen om behandling av personuppgifter inom socialtjänsten och en motsvarande bestämmelse ska införas i socialtjänstdatalagen. Bestämmelsen ska således med avseende på dessa ärenden (dvs. fastställande av faderskap, vårdnad om barn och om internationella adoptioner) tillämpas i stället för bestämmelserna om överföring av personuppgifter till tredje land i 33– 35 §§ PUL.
I den utsträckning som den som är personuppgiftsansvarig har utsett ett personuppgiftsombud blir bestämmelserna i personuppgiftslagen om sådana ombud även tillämpliga på socialtjänstdatalagens område.
Eftersom socialtjänstdatalagen saknar särskilda bestämmelser om upplysningar till allmänheten om behandlingar som inte har anmälts (42 § PUL) och om befogenheter för tillsynsmyndigheten vid tillsyn över behandling av personuppgifter (43–47 §§) gäller också dessa på socialtjänstdatalagens område.
Bestämmelserna i 48 § PUL om att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat ska tillämpas på motsvarande sätt vid behandling av personuppgifter i socialtjänsten.
Bestämmelsen i 49 § PUL om ansvar för överträdelser gäller endast vid överträdelser av de paragrafer i personuppgiftslagen som ska gälla och är straffsanktionerade. I praktiken blir bestämmelsen därför tillämplig endast i ett fåtal fall på socialtjänstens område, t.ex. vid uppsåtligt eller grovt oaktsamt lämnande av osann uppgift i ett registerutdrag eller vid uppsåtlig eller grovt oaktsam överföring av personuppgifter till tredjeland i strid med 33–35 §§ PUL.
Även bestämmelserna i 51 § första stycket, 52 § första stycket och 53 § PUL om överklagande ska tillämpas vid behandling av personuppgifter i socialtjänsten.
651
23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
23.1 Bakgrund
Utredningens utgångspunkt är som tidigare nämnts att en lagstiftning på detta område bör utformas på ett sätt som bidrar till att stödja utvecklingen mot en ändamålsenlig informationshantering i socialtjänsten. Det handlar bland annat om att tillförsäkra den enskilde en rättssäker handläggning, men även om att se till att informationshanteringen i sig bidrar till en mer jämlik socialtjänst samt ökad kvalitet och bättre resultat.
Både för den enskilde och för socialtjänstens verksamheter behöver de grundläggande förutsättningarna för informationshantering och personuppgiftsbehandling vara tydliga. Det innebär bl.a. att socialtjänstdatalagen ska kunna ge svar på vilka personuppgifter som får dokumenteras och vad de får användas till. I en sådan komplex verksamhet som socialtjänsten är det dock inte möjligt att i detalj förutse och reglera varje form av personuppgiftsbehandling. Däremot bedömer vi att det finns goda förutsättningar att utforma socialtjänstdatalagen som en ramlagstiftning, som i princip anger den yttersta ramen för det tillåtna när det gäller behandling av personuppgifter inom socialtjänsten. I detta avsnitt redogörs för ett antal av dessa mer grundläggande och övergripande frågeställningar som avses gälla generellt inom socialtjänstdatalagens tillämpningsområde.
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
652
23.2 Våra överväganden och förslag
Utredningen föreslår ett antal grundläggande bestämmelser om behandling av personuppgifter i 2 kap. socialtjänstdatalagen. Kapitlet innehåller bestämmelser om personuppgiftsansvar, tillåtna ändamål för behandling av personuppgifter, vilka personuppgifter som får behandlas inom socialtjänsten, vilken betydelse individens inställning till personuppgiftsbehandling har och vilka sökbegrepp som får användas i socialtjänsten.
23.2.1 Tillåtna ändamål för behandlingen av personuppgifter
Vårt förslag: I socialtjänstdatalagen ska uttömmande anges de
ändamål för vilka personuppgifter får samlas in och i övrigt behandlas inom socialtjänsten. Ändamålen ska vara följande
1. att handlägga ärenden som rör enskilda och för att doku-
mentera genomförande av beslut om stödinsatser, vård och behandling,
2. att upprätta eller inhämta annan dokumentation som följer av
lag, förordning eller annan författning,
3. att systematiskt och fortlöpande utveckla och säkra kvali-
teten i verksamheten,
4. administration, planering, uppföljning, utvärdering och till-
syn av verksamheten, eller
5. att framställa statistik.
Personuppgifter som behandlas för ändamål 1–5 får även behandlas för att fullgöra uppgiftslämnande som görs i överensstämmelse med lag eller förordning.
Bestämmelser om för vilka ändamål personuppgifter får behandlas har en central roll i registerförfattningar. Genom att ange ändamål och reglera vilka uppgifter som får behandlas avgränsas och tydliggörs förutsättningarna för behandling av personuppgifter. Genom att ange ändamål uppfylls det grundläggande kravet att personuppgifter endast får samlas in för särskilda, uttryckligt angivna
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
653
berättigade ändamål och fortsättningsvis behandlas på sätt som inte är oförenligt med de ändamål för vilka uppgifterna samlades in.1
Reflektioner kring nuvarande reglering m.m.
I dag är de tillåtna ändamålen för behandling av personuppgifter i socialtjänsten olika beroende på vilken aktör som bedriver socialtjänsten. I lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL, finns ingen ändamålsuppräkning utan i lagen anges endast som en grundläggande förutsättning att personuppgifter får behandlas bara om det är nödvändigt för att arbetsuppgifter inom socialtjänsten ska kunna utföras. De närmare ändamålen för tillåten behandling framgår sedan av förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPULF. Enligt förordningen får exempelvis en kommunal myndighet behandla personuppgifter vid handläggning av ärenden, genomförande av beslut, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten. För en enskilt driven socialtjänst är de tillåtna ändamålen betydligt mer begränsade. Exempelvis får en sådan verksamhet inte behandla personuppgifter för uppföljning, utvärdering och kvalitetssäkring av verksamheten, utan endast för dokumentation av vård, behandling eller omsorg samt administration.
Utredningen anser att den nuvarande regleringen av flera skäl inte är ändamålsenlig för att socialtjänsten ska kunna utföra sin verksamhet på ett tillfredsställande sätt. En brist är att de tillåtna ändamålen inte framgår direkt av lagen utan får sökas i förordningen. Det gör regelverket svåröverskådligt och bidrar i övrigt till ett komplicerat förhållande till den grundläggande bestämmelsen i SoLPUL om att personuppgifter får behandlas om det är nödvändigt för att arbetsuppgifter i socialtjänsten ska kunna utföras. Ett annat centralt problem är att förutsättningarna för behandling av personuppgifter regleras olika beroende på vilken aktör som bedriver socialtjänst. Enligt utredningens bedömning är detta olyckligt och inverkar negativt på enskilda individers möjligheter att få en jämlik och högkvalitativ socialtjänst oberoende av vilken aktör som står för genomförandet av insatser. Utredningen kan
1 Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) och personuppgiftslagen (1998:204).
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
654
exempelvis inte se att behoven av att behandla personuppgifter för att säkra och utveckla kvaliteten i verksamheten skiljer sig åt mellan en kommunal och en privat eller idéburen utförare av socialtjänst. Det berättigade intresset från medborgarna bör vara att verksamheter som utför likartade insatser har samma möjligheter att bedriva ett ständigt förbättringsarbete genom en systematisk kvalitetssäkring.
En uttömmande ändamålsbestämmelse som är generellt tillämplig för alla som bedriver socialtjänst
Mot bakgrund av vad som redovisats ovan anser utredningen att det i socialtjänstdatalagen bör tas in en ändamålsbestämmelse som gäller för alla som bedriver socialtjänst, vare sig det handlar om personuppgiftsbehandling inom kommunens myndighetsutövande del eller under genomförandet av insatser hos Statens institutionsstyrelse eller kommunal eller privat utförare. För vilka ändamål personuppgiftsbehandling kommer att förekomma bör rimligen avgöras av verksamhetens karaktär och behoven i det enskilda fallet. Av hänsyn till de befogade integritetsintressen som finns, anser utredningen att det bör finnas bestämmelser som preciserar när en behandling är tillåten. Det underlättar för de som ska behandla uppgifterna om det är tydligt när behandling av personuppgifter inom socialtjänsten är tillåten. I bestämmelsen anges därför en uppräkning över de ändamål som generellt är tillåtna vid behandling av personuppgifter i socialtjänsten. Uppräkningen kan därför sägas utgöra en yttersta ram för när och för vilka syften den som bedriver socialtjänst får behandla personuppgifter.
Vidare anser utredningen att ändamålsbestämmelsen ska vara uttömmande i den meningen att personuppgifter inte ska få behandlas för andra syften än de som framgår av bestämmelsen. Här har utredningen övervägt om det i stället skulle vara lämpligt med en ordning som gör det möjligt för socialtjänsten att behandla personuppgifter även för andra ändamål som eventuellt i ett senare skede kan bli aktuella i verksamheten. Samtidigt bör hänsyn tas till att den föreslagna lagen kommer att gälla uppgifter som typiskt sett är av integritetskänslig natur. Generellt i en sådan lagstiftning bör, som en försiktighetsprincip, en ändamålsbestämmelse vara uttömmande om inte särskilda skäl talar för det motstående. Stöd för det senare kan exempelvis föreligga om det är svårt att förutse för
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
655
vilka ändamål personuppgifter kommer att behöva behandlas och risken för oönskade konsekvenser, t.ex. med hänsyn till individers eller allmänna intressen, är uppenbar. Med tanke på socialtjänstens karaktär, uppgifternas känslighet och enskilda individers behov av förutsebarhet och skydd för den personliga integriteten bedömer utredningen dock att ändamålsbestämmelsen bör vara uttömmande. Denna bedömning gjordes även av Socialtjänstdatautredningen i Betänkandet Socialtjänsten Integritet – Effektivitet.2
Detta är även i linje med flertalet övriga registerförfattningar som reglerar behandling av särskilt integritetskänsliga uppgifter. En innebörd av utredningens förslag är att personuppgiftslagens finalitetsprincip inte kommer att gälla vid behandling av personuppgifter enligt socialtjänstdatalagen. Finalitetsprincipen i 9 § 1 stycket d personuppgiftslagen (1998:204), förkortad PUL, innebär, som tidigare nämnts, att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Även om vårt förslag kan sägas medföra en viss inskränkning av flexibiliteten att behandla personuppgifter för andra ändamål än de insamlade, kan ifrågasättas hur stort utrymme finalitetsprincipen i praktiken har på socialtjänstens område. Socialdatautredningen uttalade bl.a. följande om den prövning av de nya ändamålen jämfört med de ursprungliga som skulle behöva göras.3
Enligt utredningens uppfattning bör man vid denna ”oförenlighetsprövning”, hypotetiskt utgå från hur en registrerad typiskt sett (inte den registrerade i det enskilda fallet) skulle se på saken. Kommer man vid en sådan bedömning fram till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får behandlas för det nya ändamålet, kan det nya ändamålet inte anses vara oförenligt med det ursprungliga ändamålet. Detta är, menar utredningen, en rimlig utgångspunkt med tanke på syftet bakom EG-direktivet, dvs. att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatlivet, i samband med behandling av personuppgifter. Vid ett sådant förhållande blir det fråga om en restriktiv tillämpning av bestämmelsen i 9 § första stycket d personuppgiftslagen och utrymmet för att behandla redan insamlade uppgifter för andra ändamål blir följaktligen litet.
Den omständigheten att utrymmet för att tillämpa finalitetsprincipen bedöms vara litet kan i och för sig motivera att principen bör få genomslag även på socialtjänstens område. Av skäl som
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
656
redovisats ovan är utredningens bedömning dock att en uttömmande bestämmelse är att föredra. Om en sådan bestämmelse dessutom utformas på ett tämligen generellt sätt anser vi att behovet av en sund balans mellan tydlighet och flexibilitet kan uppnås. Eftersom verksamheten inom socialtjänsten är omfattande och mångskiftande är det därför viktigt att de föreslagna ändamålen är generellt utformade så att inte socialtjänstens verksamhet begränsas på ett oavsiktligt sätt. Denna avvägning gör enligt utredningen att de skäl som å ena sidan talar för en uttömmande bestämmelse och de intressen som å andra sidan finns av att tillhandahålla ett ändamålsenligt regelverk som ger goda förutsättningar för lång tid framöver båda tillgodoses och förenas.
Däremot, och som ett undantag från vad som ovan sägs, anser utredningen att det finns skäl att tillåta personuppgiftsbehandling som i och för sig saknar stöd i den föreslagna lagens ändamålsbestämmelse men som den enskilde individen samtycker till. Det kommer därmed att vara tillåtet att behandla personuppgifter för andra ändamål än de uppräknade om individen har lämnat sitt samtycke. För ytterligare om betydelsen av individens inställning se avsnitt 23.2.4.
Nedan följer en redogörelse för utredningens närmare överväganden och förslag om tillåtna ändamål för personuppgiftsbehandlingen.
Handlägga ärenden och dokumentera genomförande av beslut
Den största delen av behandling av personuppgifter inom socialtjänsten är förstås den som behövs för att handlägga ärenden som rör enskilda. Det kan till exempel handla om den personuppgiftsbehandling som utförs när beslut om individuellt behovsprövade insatser fattas. Även dokumentationen för att genomföra verkställigheten av beslut om stödinsatser, vård och behandling utgör en stor del av den dokumentation som utförs inom socialtjänsten. Sådan dokumentation ska således omfattas av det aktuella ändamålet. Det innebär att ändamålet ska omfatta sådan behandling av personuppgifter som utförs inom ramen för verkställigheten, exempelvis när omsorg ges på ett särskilt boende eller olika hemtjänstinsatser genomförs. Det aktuella ändamålet tar sikte på dokumentation av verkställighet av beslut och därmed omfattas inte sådan rådgivning eller sådant stöd som inte är biståndsbedömt av
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
657
detta ändamål. Därmed görs en tydlig koppling mellan dokumentationsskyldigheten och möjligheterna att behandla personuppgifter utan att den enskilde kan motsätta sig det. Sådan personuppgiftsbehandling som det kan finnas behov av i verksamhet som inte omfattas av dokumentationsskyldighet kan dock göras med stöd av den enskildes samtycke, se vidare avsnitt 23.2.4.
Socialstyrelsen har i sin handbok om handläggning och dokumentation inom socialtjänsten förklarat ordet handläggning som ett förfarande som börjar med att ett ärende väcks och efter utredning utmynnar i ett beslut.4Till handläggning av ett ärende avses här även att följa upp en insats så länge insatsen pågår, att göra en omprövning och att handlägga ett överklagande.
Begreppet ärende ska i bestämmelsen ges en vidare innebörd än vad som avses i förvaltningslagen (1986:223) och 11 kap. 1 § socialtjänstlagen (2001:453), förkortad SoL. Även när en socialnämnd ännu inte beslutat att inleda en utredning enligt 11 kap. 1 § SoL ska personuppgifter få behandlas. Det innebär exempelvis att socialnämnden får behandla personuppgifter inom ramen för den förhandsbedömning som görs innan nämnden fattat beslut om att inleda eller inte inleda en utredning.
När det gäller barn och unga regleras i 11 kap. 1 a § SoL att socialnämnden vid anmälan genast ska göra en bedömning av om barnet eller det unge är i behov av omedelbart skydd och att en sådan bedömning ska dokumenteras. I andra stycket framgår att beslut att inleda eller inte inleda utredning ska, om det inte finns synnerliga skäl, fattas inom fjorton dagar efter att anmälan kommit in och att ett sådant beslut inte behöver fattas om det redan pågår en utredning om det barn eller den unge som anmälan avser. I förarbetena5 framgår att några remissinstanser anser att det är oklart om ställningstagandet att inleda eller inte inleda utredning är ett egentligt beslut. Regeringen föreslog mot den bakgrunden att det i lagen tydligt anges att det är ett formellt beslut som dokumenteras på sedvanligt sätt.
4 Socialstyrelsen Handläggning och dokumentation inom socialtjänsten. 5Prop. 2012/13:10 s. 59.
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
658
Upprätta eller inhämta dokumentation som följer av lag eller annan författning
I andra fall än vad som avses när det gäller ändamålen att handlägga ärende kan det finnas en skyldighet för socialtjänsten att lämna ifrån sig uppgifter. Denna skyldighet kan finnas i lag, förordningen eller annan författning. För att kunna fullgöra den skyldigheten måste socialtjänsten göra en särskild personuppgiftsbehandling. I allmänhet bör det vara fråga om utlämnande av sådana uppgifter som uppkommer i ett ärende. I viss mindre utsträckning kan det dock vara nödvändigt med en särskild personuppgiftsbehandling där dokumentationen i stället utformas utifrån hur uppgiftsskyldigheten ska fullgöras. Det behövs därför ett särskilt ändamål som reglerar den här uppgiften.
Det kan till exempel vara sådan personuppgiftsbehandling som görs i samband med att socialnämnden lämnar ut uppgifter enligt 12 kap. 5–10 §§ SoL eller uppgift som lämnas ut till åklagare om ungdomsvård eller ungdomstjänst som någon dömts till och som inte fungerar.
Att säkra och utveckla kvaliteten i verksamheten
Av 3 kap. 3 § SoL framgår att insatser inom socialtjänsten ska vara av god kvalitet. Kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras. Det innebär bland annat att verksamheter inom socialtjänsten ska utveckla metoder för att noga följa och analysera utvecklingen vad gäller kvalitet.
Motsvarande bestämmelser finns i 6 § lagen (2003:387) om stöd och service till vissa funktionshindrade, förkortad LSS, som säger bland annat att en sådan verksamhet ska vara av god kvalitet och bedrivas i samarbete med andra berörda samhällsorgan och myndigheter. Enligt LSS föreskrivs även att verksamheten ska bygga på respekt för den enskildes självbestämmanderätt och integritet och att kvaliteten ska systematiskt och fortlöpande utvecklas och säkras. Det ska även finnas personal som behövs för att ett gott stöd och en god service och omvårdnad ska kunna ges.
Vad som avses med god kvalitet är svårt att fastställa på ett objektivt sätt eftersom olika behov och förväntningar påverkar förställningarna av vad som är god kvalitet. God kvalitet i socialtjänstens verksamhet har beskrivits som att tjänsterna ska motsvara
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
659
målen i gällande lagstiftning.6 Under de senaste åren har arbete med att ta fram så kallade kvalitetsindikatorer på påbörjats för att kunna belysa flera av aspekter av de sociala tjänsternas kvalitet. Socialstyrelsen har beslutat om föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete. Föreskrifterna och allmänna råden ska tillämpas i verksamhet enligt socialtjänstlagen och LSS m.fl. De områden som särskilt har lyfts fram är kvalitetssäkring av bland annat sociala tjänster och handläggning och dokumentation.
Mot bakgrund av det allmänna intresset och den stora betydelsen av att kvaliteten i socialtjänsten hela tiden utvecklas är det centralt att personuppgifter får behandlas för ändamålet. Med utredningens förslag blir det tydligt att även juridiska eller fysiska personer som ansvarar för privat verksamhet inom socialtjänsten får hantera personuppgifter för att utveckla verksamheten och för att säkra kvaliteten i verksamheten.
Kvalitetssäkringsarbete kan göras enlig olika metoder och i olika former. I allmänhet behöver dock arbetet inbegripa någon form av personuppgiftsbehandling. Många gånger handlar det om att uppgifter som redan är dokumenterade i den mer individinriktade verksamheten för att fatta eller genomföra beslut om stödinsatser, vård eller behandling, senare återanvänds i det systematiska kvalitetsarbetet. Men det kan i vissa fall även handla om att personuppgifter samlas in särskilt för kvalitetssäkringsändamål. Som exempel på det kan nämnas olika former av enkäter där enskildas upplevelser av verksamheten och insatsernas resultat efterfrågas och analyseras. Ibland kan det sannolikt även uppstå svårigheter att i praktiken avgöra vad som är det övergripande syftet med en viss behandling av personuppgifter, t.ex. om den görs för genomförandet av insatserna eller för det systematiska kvalitetsarbetet. Enligt utredningens uppfattning är det helt naturligt att ändamålen ibland överlappar varandra. Det är heller inget problem så länge den som bedriver verksamheten själv är klar över för vilka ändamål som personuppgifter samlas in och behandlas i verksamheten. Detta ska självklart även återspeglas i den information om personuppgiftsbehandling som enskilda har rätt att få.
Utredningens förslag till ändamålsbestämmelse tydliggör att personuppgifter får behandlas inom socialtjänsten för ett systematiskt kvalitetsarbete. Med stöd av bestämmelsen kan därför t.ex.
6 God kvalitet i socialtjänsten – om ledningssystem för kvalitet i verksamhet enligt SoL, LSS, LVU, LVM, Socialstyrelsen 2008.
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
660
en kommun eller en privat utförare behandla personuppgifter i sin egen verksamhet för att mäta kvaliteten och få underlag till förbättringsarbeten. Bestämmelsen tar dock inte sikte på eventuella möjligheter för olika aktörer att behandla personuppgifter för en gemensam kvalitetssäkring, t.ex. genom att personuppgifter samlas in från flera aktörer för en samlad behandling och analys. Ett sådant informationsutbyte är även beroende av vad som bedöms möjligt med hänsyn till bestämmelser om sekretess och tystnadsplikt. Här kommer utredningens förslag om en mer ändamålsenlig sekretessreglering i socialtjänsten att föra med sig nya och tydliga möjligheter för den kommun som har det yttersta ansvaret för kvaliteten i socialtjänsten att samla in personuppgifter från olika verksamheter och låta dem ligga till grund för kvalitetsarbetet.
Inom hälso- och sjukvården finns så kallade nationella och regionala kvalitetsregister som syftar till att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Inom socialtjänsten finns inte något motsvarande. Utredningen lämnar inte något förslag när det gäller frågan om kvalitetsutveckling med hjälp av nationella kvalitetsregister inom socialtjänsten. Se vidare avsnitt 28.
Administration, planering, uppföljning och utvärdering av verksamheten
Med administration och planering avses på ett mer övergripande plan, till exempel att planera och dimensionera antalet omsorgsplatser, fördela anslag m.m.
Det är av vikt att den som är verksam inom socialtjänsten kontinuerligt eller vid särskilda tillfällen kan behandla personuppgifter för att administrera, planera, följa upp och utvärdera verksamheten. Det kan röra sig om allt ifrån att planera och dimensionera olika verksamheter till att fördela anslag inom det geografiska ansvarsområdet. Den administration och planering som avses i bestämmelsen genomförs därmed på en mer övergripande nivå än vad som avses med ändamålet att handlägga ärenden.
Det är även viktigt att göra det möjligt att använda individuppgifter för att följa upp och utvärdera verksamheten. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av verksamheten i förhållande till de mål som bestämts för densamma. Inom socialtjänsten upprättas personakter men det görs även olika typer av sammanställningar av uppgifter om enskilda
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
661
(från personakt). I nuvarande bestämmelser anges begreppet sammanställning av personuppgifter som ett ändamål (se avsnitt 23.2.2). Med det avses sådana sammanställningar som görs i samband med socialtjänstens administration och planering. Med sådana sammanställningar avses således sådana som upprättas inom socialtjänsten bl.a. för att underlätta administrationen och som utgör register i en mer inskränkt bemärkelse. Sammanställningarna används främst som stöd för handläggning, beslut och i samband med verkställigheten av besluten. En sådan sammanställning får anses ingå i ändamålet administration och därför anser utredningen att begreppet sammanställning inte behöver anges i lagen.
Med tillsyn avses den interna tillsynen som den som bedriver verksamhet inom socialtjänsten har att göra i sin egen verksamhet. Det kan vara kontroll i individärenden och enskilda verksamheter.
Statistik
För närvarande får en socialnämnd stödja sig på bestämmelserna i personuppgiftslagen om nämnden vill göra sammanställningar av personuppgifter för framställning av statistik.7 Till socialtjänstens uppgifter hör enligt 3 kap. SoL att bland annat göra sig väl förtrogen med levnadsförhållandena i kommunen och att informera om socialtjänsten i kommunen. Vidare ska socialtjänsten genom uppsökande verksamhet och på annat sätt främja förutsättningarna för goda levnadsförhållanden. I den uppsökande verksamheten ska socialnämnden upplysa om socialtjänsten och erbjuda grupper och enskilda sin hjälp. När det är lämpligt ska socialnämnden samverka med andra samhällsorgan och med organisationer och andra föreningar.
Enligt utredningens bedömning är det av vikt att det klart och tydligt framgår av ändamålsbestämmelsen att den som bedriver socialtjänst får behandla personuppgifter även för framställning av statistik. Därför föreslås att personuppgifter ska få behandlas för statistikändamål. Det kan exempelvis vara sådan statistik som kommunen tar fram för att informera invånarna om socialtjänstens olika verksamheter. Men det kan även handla om att privata utförare av socialtjänst sammanställer statistik för att underlätta för enskilda som ska välja utförare.
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
662
Även om det är tillåtet för den som bedriver socialtjänst att behandla personuppgifter för framställning av statistik gäller samtidigt det grundläggande kravet på att endast de personuppgifter som behövs för ändamålet får användas. Verksamheten behöver därför göra en noggrann värdering av vilka personuppgifter som är relevanta för ändamålet. Det bör även övervägas om de som har till uppgift att ta fram statistik behöver ha tillgång till direkt utpekande personuppgifter som namn och personnummer eller om det räcker med sådana uppgifter som endast indirekt pekar ut den enskilde. Naturligtvis gäller även att presentation och publicering av statistik från socialtjänsten ska göras på ett sådant sätt att enskilda individer inte röjs.
Vidare ska tydliggöras att detta ändamåls inte tar sikte på sådan behandling som omfattas av lagen (2001:99) om den officiella statistiken vid behandling av personuppgifter vid framställning av officiell statistik.
Uppgiftsutlämnande som görs i överensstämmelse med lag eller förordning
Personuppgifter som behandlas i socialtjänsten lämnas i olika sammanhang ut till enskilda eller till myndigheter och andra organisationer. Om utlämnandet görs för syften som gäller den utlämnande verksamheten, omfattas personuppgiftsbehandlingen av något av de ändamål som har angetts ovan. I själva verket görs dock många utlämnanden för mottagarens räkning. Det kan exempelvis handla om sådant informationsutbyte som behövs i samband med handläggning av ärenden eller genomförandet av beslut. Men det kan även handla om att uppgifter lämnas ut till enskilda eller någon denne närstående. Eftersom ett utlämnande i rättslig mening är en personuppgiftsbehandling i sig, behöver den även ha stöd i lag.
För sådan socialtjänst som bedrivs av kommuner och av Statens institutionsstyrelse gäller att utlämnande av allmänna handlingar i enlighet med tryckfrihetsförordningen alltid kan göras utan att sådant utlämnande behöver anges som ett särskilt ändamål för vilket personuppgiftsbehandling är tillåten. Det följer av grundlags företräde framför vanlig lag och av 8 § PUL, som också gäller vid behandling av personuppgifter enligt socialtjänstdatalagen. Eftersom sekretess normalt gäller för uppgifter om enskilda i socialtjänsten, krävs även att sekretessen inte hindrar ett utlämnande.
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
663
Samtidigt finns i offentlighets- och sekretesslagen (2009:400), förkortad OSL, bestämmelser som tillåter eller medger att uppgifter lämnas ut utan hinder av sekretess. En sådan bestämmelse är bl.a. den sekretessbrytande bestämmelse vi föreslår för vissa situationer när den enskilde inte kan samtycka till utlämnandet. Offentlighets- och sekretesslagen innehåller även bestämmelser om att uppgifter utan hinder av sekretess får lämnas till en enskild.
Gemensamt för det uppgiftsutlämnande som det är fråga om i detta fall är att det görs med stöd av författningar som påbjuder eller tillåter ett utlämnande, dvs. ett annat slags uppgiftsutlämnande än det som grundar sig på en uppgiftsskyldighet. För att undanröja några som helst tveksamheter om vad som gäller bör det därför uttryckligen införas en ändamålsbestämmelse som medger att personuppgifter som behandlas med stöd av något eller några av de i tidigare nämnda ändamålen, också får behandlas för sådant uppgiftsutlämnande som görs i överensstämmelse med lag eller förordning. Socialtjänstdatalagen gör det därmed möjligt att behandla personuppgifter för att kunna administrera ett utlämnande som är lagligt.
23.2.2 Sammanställningar av personuppgifter
Vår bedömning: De nuvarande reglerna om sammanställning av
personuppgifter i SoLPUL bör utgå och inte föras över till socialtjänstdatalagen.
Vårt förslag: Som en konsekvens av detta ska utgångspunkten
för att beräkna gallringsfrist för sådana sammanställningar, enligt vad som i dag framgår av socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade, utgå. Den gemensamma utgångspunkt för att beräkna gallringsfristen blir när den sista anteckningen om den enskilde har gjorts i en personakt.
Hos socialtjänsten finns personuppgifter om enskilda framförallt i en personakt. En personakt är en akt med handlingar som rör en eller flera enskilda personer och innehåller handlingar om en eller flera personer som är eller har varit aktuella för utredning eller insats hos socialnämnden. En akt kan innehålla löpande anteckningar från samtal som förs med den enskilde i samband med
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
664
planering och genomförande av insatser. Även tidigare utredningar och läkarintyg m.m. kan finnas i en personakt.8Den del av en personakt där anteckningar av betydelse för handläggning av ett ärende och genomförande av en insats görs kontinuerligt och i kronologisk ordningen kallas journal.9I dag är det vanligt att personakter förs elektroniskt i ett verksamhetssystem.
Förutom de personakter som upprättas görs även olika typer av sammanställningar av uppgifter om enskilda inom socialtjänsten. I dag används begreppet sammanställning av personuppgifter i SoLPUL. Begreppet sammanställning av uppgifter i personakt har funnits med sedan införandet av personuppgiftslagen. Med begreppet avses sådana sammanställningar som görs i samband med socialtjänstens administration och planering. Registren används i första hand som stöd för handläggningen av de ärenden där socialtjänsten har en utredningsskyldighet och som stöd för de beslut som utredningen utmynnar i.10 Det används även som administrativt stöd vid handläggningen av arbetsplaner och utbetalningar av ekonomiskt bistånd. Till viss del används de även som underlag för tillsyn, uppföljning och utvärdering av socialtjänstens verksamhet. Registren underlättar också rapporteringen av uppgifter till Socialstyrelsen som under för den offentliga statistiken.
Sammanställningsregister har traditionellt även ansetts skilja sig från personakterna på det viset att de är tillgängliga på ett mer omedelbart sätt än som är fallet med personakter. Sammanställningarna kan mot den bakgrunden framstå som mer integritetskänsliga eftersom de är tillgängliga för ett större antal tjänstemän och lämnar ut uppgifter om den enskilde utan att den nödvändigtvis samtidigt ges en objektiv beskrivning av den enskildes förhållanden. Alltsedan socialtjänstlagens tillkomst har det funnits ett förbud för socialnämnderna att ta in uppgifter om ömtåliga personliga förhållanden i olika typer av sammanställningar av personuppgifter. Om sådana anteckningar behöver göras så är det nödvändigt att lägga upp en personakt och sedan får en hänvisning till personakten göras i sammanställningsregistret.
I sammanställningar av personuppgifter får i dag inte tas in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga personliga förhållanden (jfr 7 a § SoLPUL). Med uppgifter om ömtåliga personliga förhållanden avses förutom känsliga person-
8 Socialstyrelsens handbok Handläggning och dokumentation inom socialtjänsten. 9 Socialstyrelsens handbok Handläggning och dokumentation inom socialtjänsten. 10 Handläggning inom socialtjänsten Clevesköld, Lundgren och Thunved s. 335.
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
665
uppgifter enligt personuppgiftslagen även andra uppgifter om personliga förhållanden som kan förekomma inom socialtjänsten och vars behandling kan anses vara kränkande för den personliga integriteten. Det kan till exempel vara uppgifter om försörjningsförmåga och familjeförhållanden.11
Från detta förbud finns undantag för uppgifter om åtgärder som har beslutats inom socialtjänsten som innebär myndighetsutövning och för uppgifter om den bestämmelsen som ett sådant beslut grundar sig på. Vidare undantas uppföljning, utvärdering och kvalitetssäkring samt tillsynsverksamhet som bedrivs av Inspektionen för vård och omsorg. Undantaget gäller även för administration och tillsynsverksamhet som bedrivs av Statens institutionsstyrelse centralt. Uppgift som avslöjar medlemskap i fackförening får aldrig tas in i sammanställningarna.
Med beaktande av den preciserade uppräkning av de ändamål som personuppgifter får behandlas för, behöver utredningen överväga om sammanställning av personuppgifter i personakt, behöver nämnas som ett särskilt ändamål. Sådana sammanställningar används för administration, för stöd vid handläggning av enskilda ärenden samt för uppföljning, utvärdering och kvalitetssäkring. I vissa fall även som underlag till Socialstyrelsen för den offentliga statistiken. Enligt utredningens bedömning behöver begreppet sammanställning av personuppgifter i personakt inte särskilt nämnas i ändamålsbestämmelsen eftersom det ryms i de punkter som nyss har räknats upp.
Utredningen föreslår vidare att förbudet mot att i sammanställningsregister ta in känsliga personuppgifter inte ska finnas kvar. Det bör inte föras över till socialtjänstdatalagen. I dag finns bestämmelser om undantag från förbudet när det gäller uppgifter om åtgärder som har beslutats inom socialtjänsten och uppgifter om den bestämmelse som ett sådant beslut grundar sig på. Vidare finns undantag för uppföljning, utvärdering och kvalitetssäkring. Skälen till att de sistnämnda ska omfattas av undantaget är att det är fråga om tillfälliga sammanställningar som förstörs efter en viss tid och att de enbart blir tillgängliga för ett begränsat antal personer. Undantag finns även för tillsynsverksamhet och för administration som bedrivs av Statens institutionsstyrelse centralt.
Det är enligt utredningens bedömning inte nödvändigt att i den särskilda registerlagstiftning för socialtjänsten som nu föreslås
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
666
reglera en viss sort av sammanställning. De grundläggande reglerna om när det är tillåtet att behandla de personuppgifter som behövs för ett av de särskilt uppräknade ändamålen gäller alltid. Detta innebär att det ändå inte är fritt fram att göra vilka typer av sammanställningar man vill. De grundläggande bestämmelserna om ändamålen och bestämmelserna om ansvar för den som arbetar i socialtjänsten begränsar möjligheterna att behandla personuppgifter. Den som arbetar inom socialtjänsten får bara ta del av dokumenterade uppgifter om en enskild om han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten och uppgifterna ska användas för något av de ändamål som den föreslagna lagen anger. Därmed upprätthålls den enskildes integritetsskydd samtidigt som behovet av att ta del av uppgifter om enskilda kan tillgodoses. I socialtjänstdatalagen kommer det även att finnas bestämmelser som inskränker möjligheten att göra sökningar. Det innebär i princip att de känsliga personuppgifter som avses i 13 § personuppgiftslagen inte får användas som sökbegrepp.
Även vid en jämförelse med den reglering som finns inom hälso- och sjukvårdens område framgår att det för hälso- och sjukvårdens del inte finns några uttryckliga begränsningar i fråga om sammanställningar, utan de grundläggande reglerna i patientdatalagen anger ramen för det som är tillåtet. Utredningens uppfattning är att det inte är konsekvent eller ändamålsenligt att ha skilda regler för socialtjänsten och hälso- och sjukvården när det gäller sammanställningar.
Det framgår visserligen av förarbetena att när regeringen övervägde en viss utökning av undantaget från förbudet avseende uppföljning, utvärdering och kvalitetssäkring så ansåg inte regeringen att det fanns fog för att vare sig göra ett generellt undantag eller ta bort förbudet.12
Regeringen uttalade att mot bakgrund av att bestämmelsen om förbud mot s.k. sammanställningsregister i socialtjänstlagen infördes för snart tjugo år sedan fanns det skäl att fråga om bestämmelsen har spelat ut sin roll. Den moderna tekniken att söka information som finns lagrad i datorer är nämligen sådan att informationen, även om den inte finns i ett register, kan tas fram sekundsnabbt med de sökmotorer som numera finns. Regeringen uttalade att det bör, om förbudet i något avseende ska lättas upp, kunna presentera ett starkt behov därav; ett behov som får anses väga tyngre än behovet av att skydda den enskildes integritet. Det kan därför inte rent allmänt hävdas att bestämmelsen inte länger fyller någon funktion. Den moderna tekniken och
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
667
dess sökmöjligheter kan t.o.m. medföra att behovet av en sådan bestämmelse är större i dag än tidigare då sådana sökmotorer möjliggör att ett sådant sammanställningsregister kan skapas på ett ögonblick. Naturligtvis får bestämmelsen inte – om det inte finns starka integritetsskäl som talar i den andra riktningen – hindra att personuppgifter kan behandlas inom socialtjänsten på ett modernt, effektivt och rationellt sätt.
Den tekniska utvecklingen gör att det i dag förs fler personakter elektroniskt än tidigare. Att fler personakter förs elektroniskt innebär att uppgifter är sökbara på ett annat sätt än tidigare. Mot bakgrund av denna utveckling och mot bakgrund av att utredningen föreslår en särskild socialtjänstdatalag som reglerar när och hur personuppgifter inom socialtjänsten får användas, anser utredningen att det inte längre är ändamålsenligt med ett förbud mot känsliga personuppgifter i s.k. sammanställningsregister. Syftet med det nuvarande förbudet mot att socialtjänsten i sammanställningsregister får ta in känsliga personuppgifter, kan tillgodoses genom tillämpning av de grundläggande bestämmelserna i socialtjänstdatalagen. Det är av vikt att socialtjänsten tillåts kunna utföra sitt uppdrag på ett modernt och effektivt sätt.
Utredningen föreslår därtill (avsnitt 24) tydliga regler om inre sekretess och om vilken personal som får ha tillgång till personuppgifter samt även bestämmelser om åtkomst- och behörighetskontroll m.m. Den som bedriver verksamhet inom socialtjänsten bestämmer villkoren för tilldelning av behörighet för åtkomst och även begränsningar av behörighet till vad som behövs för att personal ska kunna utföra sina arbetsuppgifter. Med dessa bestämmelser säkerställs ett grundläggande skydd för den enskildes integritet.
Närmare om utgångspunkt för gallringsfrist enligt SoL och LSS
Vårt förslag innebär att det inte behövs särskilda bestämmelser när det gäller informationshanteringen för just dessa sammanställningar. Ändamålsbestämmelsen i socialtjänstdatalagen ska vara heltäckande för den personuppgiftsbehandling som utförs inom socialtjänsten och ska även rymma hanteringen av personuppgifter som gäller aktuella sammanställningar. I både socialtjänstlagen och i LSS finns dock bestämmelser om bevarande och gallring av sådana
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
668
uppgifter som tillhör en sådan sammanställning av uppgifter som avses i SoLPUL.13
Utgångspunkten för gallringsbestämmelserna är att socialnämnden inte bör arkivera mer material än som är nödvändigt för den egna verksamheten. Enligt 12 kap. 1 § första stycket SoL innebär gallringsplikten beträffande personakter att dessa ska gallras ut sedan i aktuellt fall fem år förflutit från den sista kontakten med socialtjänsten. Datum för sista anteckning i akten bildar utgångspunkt för beräknande av fristen. För register som utgör sammanställningar av uppgifter, dvs. register i egentlig mening, bestäms enligt andra stycket samma paragraf utgångspunkten för gallringsfristen av den tidpunkt då de förhållanden som den antecknade uppgiften avser har upphört, t.ex. avslutande av en kontakt med socialtjänsten. Först då får personakten gallras, om dessutom i aktuellt fall fem år gått från sista anteckningen i personakten. Motsvarande bestämmelser finns för den enskilt bedrivna socialtjänsten (jfr 7 kap. 3 § SoL) samt i verksamhet som avser LSS (jfr 21 c § och 23 a § LSS), med den skillnaden att gallringstiden i enskild verksamhet är satt till två år i stället för fem.
Datum för sista anteckningen bildar således utgångspunkt för tidsberäkningen. För register som utgör sammanställningar av personuppgifter, dvs. register i egentlig mening, bestäms däremot utgångspunkten för gallringsfristen av den tidpunkt då de förhållanden som den antecknade uppgifter avser har upphört.
De nuvarande bestämmelserna innebär att en uppgift i en sammanställning om t.ex. en placering i särskilt boende, inte ska gallras förrän två respektive fem år efter det att placeringen har upphört. Först då får personakten gallras, om dessutom två respektive fem år har gått från sista anteckningen i personakten (jfr 12 kap. 1 § SoL).
Vid införandet av den nya socialtjänstlagen från 2001 fördes diskussioner om beräkningen av gallringsfristen och de skillnader som kunde uppstå. Av förarbetena framgår bl.a. följande.14
Vid beräkningen av gallringsfristen för en personakt är det enligt 60 § socialtjänstlagen tidpunkten för den sista anteckningen i akten som är bestämmande. För register som utgör sammanställningar av uppgifter, dvs. register i egentlig mening, bestäms däremot utgångspunkten för gallringsfristen av den tidpunkt, då de förhållanden som den antecknade uppgiften avser har upphört. Om en socialnämnd beslutar om en fortgående åtgärd, t.ex. placering i familjehem, kan vid oförändrade
13 7 kap. 3 § och 12 kap. 1 § SoL, 21 c § och 23 a § LSS. 14Prop. 1989/90:72 s. 94.
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
669
regler två olika gallringsfrister komma att tillämpas: akten gallras fem år efter beslutet om ingen anteckning görs efter fattat beslut, medan registeruppgiften gallras först fem år efter det att placeringen upphör. Därmed kan följande situation uppstå. En åtgärd fortgår (eller är nyligen avslutad) och socialnämnden håller reda på detta genom sitt register men är, i avsaknad av den redan gallrade akten, okunnig om bakgrunden till åtgärden. En tänkbar lösning på detta problem, vilken föreslås av socialdatautredningen, är att akter alltid tillförs anteckning om fortgående förhållanden. Så torde för övrigt oftast ske. För att undvika eventuella missförstånd och otydligheter vill jag dock i enlighet med utredningens ställningstagande föreslå en mindre ändring i 60 § socialtjänstlagen. Där bör anges att akten inte får gallras tidigare än en eventuell registeruppgift om ett bestående förhållande.
Som vi tidigare har nämnt ska den föreslagna ändamålsbestämmelsen vara heltäckande för det som utförs inom socialtjänsten och ska även rymma hanteringen av personuppgifter som gäller aktuella sammanställningar. Enligt vår bedömning finns då inte heller några skäl för att ha skilda utgångspunkter för att beräkna gallringsfristerna. Vid bestående åtgärder inom socialtjänsten behövs oftast löpande anteckningar i personakten. Det är utredningens bedömning att reglerna om utgångspunkt för gallringsfrist då har begränsad betydelse.
Om vi tar exemplet ovan t.ex. placering familjehem görs fortlöpande anteckningar i en personakt. Bestämmelser om socialnämndens ansvar för att den unge får god vård finns i socialtjänstlagen och där regleras även att sådan vård ska bedrivas i samråd med socialnämnden (jfr 6 kap. 1 och 4 §§). Det har även införts bestämmelser i socialtjänstlagen som tydliggör det ansvar för uppföljning som socialnämnden har (t.ex. 6 kap. 7 b §). Det är svårt att se att sådana uppgifter inte skulle antecknas i en personakt. Många personakter förs i dag elektroniskt. Det kan inte vara vanligt att det finns uppgifter i en sammanställning av personuppgifter som inte finns i en personakt.
Även i andra sammanställningar, t.ex. uppgifter om kontaktperson etc. borde uppgift behövas i den enskildes dokumentation. Utredningens bedömning är att det i dag inte finns underlag för att det ska vara en skillnad mellan utgångspunkten när den sista anteckningen gjordes i en personakt eller när de förhållanden som den antecknade uppgiften avser har upphört. Enligt utredningens bedömning finns inte skäl för att ha olika utgångspunkter för att beräkna gallringsfristen. Utredningen föreslår att hänvisningen till SoLPUL både i socialtjänstlagen och i LSS utgår och att den särskilda utgångspunkten för att beräkna gallringsfristen när det gäller sammanställningar tas bort.
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
670
23.2.3 Personuppgifter som får behandlas i socialtjänsten
Vårt förslag: Endast sådana personuppgifter som behövs för det
ändamål för vilket personuppgiftsbehandlingen utförs, får behandlas enligt socialtjänstdatalagen. Känsliga personuppgifter som avses i 13 § PUL och uppgifter om lagöverträdelser m.m. får endast behandlas om det är nödvändigt för de ändamål som anges i socialtjänstdatalagen.
Även den som bedriver verksamhet inom socialtjänsten och som inte är myndighet får under dessa förutsättningar behandla uppgifter om lagöverträdelser m.m.
Känsliga personuppgifter och uppgifter om lagöverträdelser m.m. får även behandlas om de förekommer i en ansökan, anmälan eller handling som kommer in till socialtjänsten.
Vid handläggning av ärenden som rör parkeringstillstånd m.m. får inte andra känsliga personuppgifter som avses i 13 § PUL än uppgifter som rör hälsa behandlas.
Det är från integritetssynpunkt viktigt att inte andra personuppgifter behandlas inom socialtjänsten än vad som är befogat utifrån verksamhetens behov och krav. Som vi tidigare har redogjort för behandlas ett stort antal personuppgifter av olika slag inom socialtjänsten. Det är inte möjligt att närmare specificera vilka personuppgifter som generellt får behandlas i verksamheten inom socialtjänsten eftersom behov skiftar och det kan avse en mängd olika förhållanden.
Av den nuvarande regleringen i SoLPUL följer att socialtjänsten i princip får behandla de personuppgifter som är nödvändiga för verksamheten. Utredningen anser att denna princip alltjämt bör vara gällande och föreslår därför inte några konkreta bestämmelser som anger vilka personuppgifter som får behandlas. Vi föreslår i stället att det är ändamålen som får styra över vilka personuppgifter som får eller inte får behandlas enligt socialtjänstdatalagen. De personuppgifter som samlas in för tillåtna ändamål får sedan användas för och vidarebehandlas för dessa ändamål. Enligt socialtjänstdatalagen ska därför, som en grundläggande förutsättning, alla personuppgifter som behövs för det ändamål för vilket en behandling utförs få behandlas. Det grundläggande kravet på att personuppgifterna ska behövas för att få behandlas innebär att endast
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
671
sådana uppgifter som behövs för att uppfylla de aktuella ändamålen med personuppgiftsbehandlingen får behandlas.
När det gäller känsliga personuppgifter enligt 13 § PUL och uppgifter om lagöverträdelser m.m. enligt 21 § samma lag, finns dock skäl att överväga att erinra om en försiktighet.
Känsliga personuppgifter och uppgifter om lagöverträdelser
Vid behandling av personuppgifter så anses känsliga personuppgifter enligt 13 § PUL ha en särställning. Enligt denna bestämmelse är det i princip förbjudet att behandla känsliga personuppgifter utan enskildas samtycken. Vad som avses med känsliga personuppgifter är uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening samt uppgifter som rös hälsa eller sexualliv. I 14–20 §§ PUL anges vissa generella undantag från förbudet mot att behandla känsliga personuppgifter.
Socialtjänstdatautredningen15 föreslog att det inte skulle införas några begränsningar när det gäller vilka kategorier av personuppgifter som får behandlas inom socialtjänsten. För att socialtjänsten ska kunna klara sina uppgifter finns ett behov av att behandla även personuppgifter som är känsliga i personuppgiftslagens mening. Det finns otvivelaktigt ett allmänt intresse av att socialtjänsten ska kunna utföra sina arbetsuppgifter på ett tillfredställande sätt. Personuppgifterna inom socialtjänsten omgärdas därtill av en mycket sträng sekretess. Enligt utredningens bedömning finns det därmed inte ur integritetssynpunkt något hinder mot att känsliga personuppgifter får behandlas. För att socialtjänsten ska kunna klara sina uppgifter finns ett behov av att behandla även personuppgifter som känsliga i personuppgiftslagens mening. 16
Inom socialtjänstens verksamhet finns, enligt utredningens bedömning, ett behov av att behandla ett stort antal olika personuppgifter med olika grad av känslighet. Det är därför viktigt att det framgår att socialtjänsten, för att kunna utföra sina uppgifter på ett tillfredsställande sätt, får behandla integritetskänsliga uppgifter när det bedöms vara nödvändigt för verksamheten.
I personuppgiftslagen regleras även särskilt vad som gäller för behandling av personuppgifter om lagöverträdelser. Av 21 § följer
15SOU 2009:32. 16Prop. 2000/01:80 s. 144 ff.
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
672
att det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Det råder ingen tvekan om att verksamheter inom socialtjänsten ibland behöver behandla personuppgifter om lagöverträdelser.
Av nuvarande reglering i SoLPUL följer att socialtjänsten får behandla känsliga personuppgifter som avses i 13 § PUL och uppgifter om lagöverträdelser om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten. Utredningen har inte funnit något skäl för att ändra detta. Känsliga personuppgifter och uppgifter om lagöverträdelser måste därför också enligt socialtjänstdatalagen få behandlas om det är nödvändigt för ett sådant ändamål som avses i lagen. Att uttryckligen lyfta fram att personuppgiftsbehandlingen ska vara nödvändig är ett uttryck för den försiktighetsprincip som bör gälla vid behandling av så integritetskänsliga personuppgifter som det här är fråga om. Därutöver gäller dessutom alltid de grundläggande kraven på att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen samt att inte fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen får behandlas.
En utgångspunkt för utredningen är att förutsättningarna för att behandla personuppgifter så lång möjligt bör vara samma oavsett i vilken driftsform socialtjänsten bedrivs. När det gäller en sådan välfärdstjänst som socialtjänsten, skulle olika spelregler för olika aktörer kunna medföra negativa konsekvenser för den enskilde och påverka förutsättningarna för en jämlik och högkvalitativ socialtjänst för alla. Inte minst eftersom många individer i dag ges möjlighet att själv välja utförare av biståndsbedömda insatser, är det viktigt att ge samma möjligheter till alla. Om det inte finns starka skäl mot detta, bör därför enskild verksamhet inom socialtjänsten få behandla personuppgifter under samma förutsättningar som myndighet som bedriver sådan verksamhet. Det kan inte uteslutas att även privata och idéburna aktörer som bedriver socialtjänst kan ha behov av att behandla uppgifter om lagöverträdelser, exempelvis vid genomförandet av insatser för enskilda. Eftersom behandling av uppgifter om lagöverträdelser enligt personuppgiftslagen endast får göras av myndigheter behöver socialtjänstdatalagen uttryckligen ange att även enskilda verksamheter får behandla dessa personuppgifter. Utredningen föreslår därför en bestämmelse som tydliggör att enskild verksamhet får behandla uppgifter om lagöverträdelser om det är nödvändigt för ett av de i socialtjänstdatalagen tillåtna ändamålen.
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
673
Uppgifter som kommer in i verksamheten
Av SoLPUL följer bl.a. att känsliga personuppgifter och uppgifter om lagöverträdelser får behandlas om uppgifterna har lämnats i ett ärende. Syftet med bestämmelsen är att uttrycka att sådana uppgifter som kommer in till verksamheten får behandlas, även om de i och för sig inte skulle vara nödvändiga för verksamheten. Utredningen bedömer att denna princip bör vara gällande även vid behandling av personuppgifter enligt socialtjänstdatalagen, dock med språkliga förändringar. Utredningen föreslår således en bestämmelse som generellt tydliggör att samtliga personuppgifter som förekommer i en ansökan, anmälan eller handling som kommer in i verksamheten alltid får behandlas. Detta undantag gäller inte om uppgifter kommit till socialtjänstens kännedom på något annat sätt, t.ex. genom egna iakttagelser. Undantaget gäller inte heller om uppgifterna inkommer på socialtjänstens egen begäran. I sådana fall gäller dels den grundläggande förutsättningen att personuppgifterna får behandlas endast om det behövs för ett tillåtet ändamål, dels att känsliga personuppgifter och uppgifter om lagöverträdelser endast får behandlas om det är nödvändigt för sådant ändamål.
Handläggning av parkeringstillstånd m.m.
Av SoLPULF följer att det vid handläggning av ärenden om tillstånd till parkering för rörelsehindrade och som följer av bestämmelserna i körkortsförordningen inte är tillåtet att behandla andra känsliga personuppgifter än uppgifter som rör hälsa. Utredningen bedömer att detta tillgodoser det behov av behandling av personuppgifter som behövs vid hantering av aktuella ärenden och föreslår därför att bestämmelsen överförs till socialtjänstdatalagen.
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
674
23.2.4 Den enskildes inställning till personuppgiftsbehandlingen
Vårt förslag: Behandling av personuppgifter enligt socialtjänst-
datalagen får göras även om den enskilde motsätter sig personuppgiftsbehandlingen. Undantag från denna huvudregel kan gälla enligt lag eller förordning. Vissa undantag följer av socialtjänstdatalagen.
Vidare föreskrivs att även sådan personuppgiftsbehandling som går utöver vad socialtjänstdatalagen tillåter får utföras, om den enskilde lämnat ett uttryckligt samtycke till behandlingen och inte annat följer av andra bestämmelser i lagen eller av annan lag eller förordning. Dessutom föreslås regeringen få meddela ytterligare undantag.
I personuppgiftslagen tillmäts den enskildes inställning till personuppgiftsbehandlingen som huvudregel en avgörande betydelse. Behandling av personuppgifter är enligt personuppgiftslagen exempelvis tillåten, om den enskilde har lämnat sitt samtycke till behandlingen enligt 10 § PUL. Från detta finns dock ett antal undantag. I de fall personuppgiftslagen tillåter personuppgiftsbehandling utan den registrerades samtycke, har den registrerade ingen rätt att med rättslig verkan motsätta sig personuppgiftsbehandlingen. Det följer av 12 § andra stycket PUL. Det gäller till exempel om behandlingen är nödvändig för att (10 § punkten b) att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet eller (punkten d) för att en arbetsuppgift av allmänt intresse ska kunna utföras.
Enligt nuvarande bestämmelser i SoLPUL har en enskild inte rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten enligt lagen. Vid införandet av bestämmelsen anfördes bland annat följande.17I vissa fall får personuppgifter behandlas enligt personuppgiftslagen trots att samtycke från registrerade saknas. En förutsättning i samtliga fall är att behandlingen är nödvändig för ändamålen.18 Det finns ett allmänt intresse att socialtjänstens verksamhet bedrivs effektivt och säkert. Även med beaktande av den enskildes krav på integritet bör personuppgifter få behandlas i verksamheten utan att den som uppgifterna avser har gett sitt
17Prop. 2000/01:80 Ny socialtjänstlag m.m. 18Prop. 2000/01: 80 avsnitt 13.4.
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
675
samtycke. Behandlingen av personuppgifter inom socialtjänstens område är integritetskänsliga i de flesta fall. Behandlingen kommer därutöver att omfatta även särskilt känsliga uppgifter, t.ex. lagöverträdelser och frihetsberövanden. För att behålla förtroendet för en sådan behandling är det viktigt att grundläggande krav ställs på behandlingen och att den tillgodoser den enskildes integritetsskydd.
Vår bedömning är att denna princip alltjämt ska vara gällande på socialtjänstens område. Den enskilde ska därmed inte kunna motsätta sig sådan personuppgiftsbehandling som är tillåten enligt socialtjänstdatalagen.
Samtidigt kommer vi i det följande att föreslå ett krav på samtycke för viss personuppgiftsbehandling. Detta bör framgå redan av socialtjänstdatalagens grundläggande bestämmelser. Se vidare avsnitt 27 om direktåtkomst till personuppgifter mellan olika utförare av socialtjänst.
Regleringen av socialtjänstens verksamhet är omfattande och komplex. Det kan därför inte uteslutas att bestämmelser i annan lag eller förordning ger enskilda rätt att motsätta sig viss personuppgiftsbehandling som i och för sig regleras av socialtjänstdatalagen. Av det skälet bör det av socialtjänstdatalagen framgå att det kan finnas sådana bestämmelser i annan lag eller förordning.
Vad ska gälla om den enskilde samtycker till en personuppgiftsbehandling?
En relevant fråga är i vilken mån en personuppgiftsbehandling, som inte har stöd i socialtjänstdatalagens bestämmelser, ändå ska få utföras om den enskilde lämnat sitt uttryckliga samtycke till den.
Ett samtycke gör i princip alltid personuppgiftsbehandling tillåten enligt personuppgiftslagen. I förarbetena till lagen berördes frågan om artikel 8.2 i dataskyddsdirektivet och möjligheterna att i lagstiftning bestämma att förbudet mot behandling av känsliga personuppgifter inte kan upphävas genom den registrerades samtycke. Regeringen var dock inte av den åsikten utan hade uppfattningen att det, när någon har lämnat ett samtycke till en viss personuppgiftsbehandling, inte finns något integritetsskyddsintresse som gör det befogat att förbjuda den behandling som den registrerade och den personuppgiftsansvarige är överens om.19
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
676
Vår bedömning är att regeringens resonemang har principiell karaktär och bör vara vägledande även på socialtjänstens område. Därför finns det skäl att tillåta även sådan personuppgiftsbehandling som avviker från socialtjänstdatalagens bestämmelser, om den enskilde lämnar sitt uttryckliga samtycke till behandlingen. Med ett uttryckligt samtycke kan personuppgifter exempelvis samlas in och behandlas för ett ändamål som inte anges i socialtjänstdatalagens ändamålsbestämning. Som vi redovisar i det följande kan principen även ha betydelse för socialtjänstens behandling av personuppgifter i verksamhet som ges i form av råd och service, dvs. sådant som inte är individuellt behovsbedömt.
Mot utredningens förslag kan anföras att en enskild kan befinna sig i ett utsatt läge eller annars i en svag position i sina kontakter med socialtjänsten. Det skulle därför kunna finnas en risk för att han eller hon skulle kunna känna sig tvingad till att samtycka till en personuppgiftsbehandling eller till att godta den utan att kunna överblicka konsekvenserna. Utredningen gör dock bedömningen att denna möjlighet inte skulle missbrukas av den som bedriver verksamhet inom socialtjänsten. Som vi redogjort för i det tidigare bygger socialtjänsten på den enskildes frivilliga val och verksamheten ska bygga på respekt för den enskildes självbestämmande och integritet. Vi föreslår därför att även sådan personuppgiftsbehandling som går utöver vad socialtjänstdatalagen tillåter får utföras, om den enskilde uttryckligen samtycker till det.
Utredningen föreslår vidare att det från den huvudregeln ska finnas ett undantag, som innebär att samtycket har rättslig verkan endast om inte annat följer av annan lag eller förordning. Dessutom föreslår vi att regeringen får meddela föreskrifter om att en behandling av personuppgifter som inte är tillåten enligt socialtjänstdatalagen inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen. Utgångspunkten för att meddela sådana föreskrifter bör vara att skydda enskilda från integritetskränkningar.
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
677
23.2.5 Behandling av personuppgifter vid råd och service
Vår bedömning: Behandling av personuppgifter i samband med
genomförandet av sådan verksamhet som inte är individuellt behovsbedömd, t.ex. råd och service, får som en konsekvens av utredningens förslag om tillåtna ändamål, utföras om den enskilde har lämnat ett uttryckligt samtycke till behandlingen.
Utredningen föreslår att behandling av personuppgifter som inte är tillåten enligt socialtjänstdatalagen ändå ska få utföras om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det ska gälla om inte annat framgår av lag eller förordning. Bestämmelsen bedöms bl.a. ha betydelse för sådan personuppgiftsbehandling som utförs inom ramen för råd och service, dvs. i verksamhet som inte omfattas av dokumentationsskyldighet enligt socialtjänstlagen och inte heller är individuellt behovsbedömd.
För tydlighets skull ska nämnas att särskilt stöd och särskild service som behovsprövas enligt LSS omfattas av ändamålen i 2 kap. 5 § i den föreslagna lagen.
Inom socialtjänsten har det i dag kommit att bli allt mer vanligt att kontakter förekommer och insatser utförs utan att den enskilde har ansökt om insatsen och sedan fått den biståndsbedömd. Det kan exempelvis handla om olika former av förebyggande insatser. Det förekommer att rådgivning och andra stödinsatser utförs inom ramen för missbruksvården eller i samband med familjerådgivning utan att ett biståndsbeslut har meddelats. Enligt socialtjänstlagen följer ingen skyldighet att dokumentera rådgivning t.ex. vid alkohol- eller narkotikamottagning samt familjerådgivning. Ett av de främsta skälen till att rådgivnings- och stödverksamheter ligger utanför dokumentationsskyldigheten är att det annars skulle kunna avhålla personer från att kontakta socialtjänsten och få stöd i utsatta situationer. Det faktum att en biståndsbedömning inte krävs innebär vidare att socialtjänsten blir mer lättillgänglig för den enskilde som är i behov av råd eller stöd. Det finns stora skillnader i hur olika kommuner bedriver verksamhet inom ramen för råd och stöd. I en del kommuner erbjuds enskilda ett fåtal besök utan biståndsbeslut medan individer i andra kommuner kan ha många kontakter med socialtjänsten utan behovet om bistånd bedöms. Det kan konstateras att det finns olika tolkningar vilket utrymme dagens bestämmelser ger för att dokumentera i aktuell verksamhet.
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
678
Det kan dock finnas behov av att på individnivå dokumentera insatser inom de öppna verksamheterna som inte är individuellt behovsprövade. Dokumentationsbehovet kan finnas både för ändamål i den individinriktade verksamheten och för att kunna utvärdera, kvalitetssäkra och följa upp den icke biståndsbedömda verksamheten.
Enligt vårt förslag till ändamålsbestämmelse får personuppgifter bl.a. behandlas för att handlägga ärenden som rör enskilda och för att dokumentera genomförande av beslut om bistånd, stödinsatser, vård och behandling. Verksamhet inom råd och service faller utanför detta eftersom det vare sig handlar om ärendehandläggning rörande enskilda eller genomförandet av sådana beslut som avses. Inte heller finns någon annan föreslagen ändamålsbestämmelse som tar sikte på den aktuella personuppgiftsbehandlingen. Eftersom bestämmelsen med tillåtna ändamål är uttömmande är således personuppgiftsbehandling inom råd och service som huvudregel otillåten. Samtidigt bedömer utredningen att det inte kan uteslutas att det kan finnas ett behov av att behandla personuppgifter även i sådan service, råd och stöd som inte är individuellt behovsbedömd.
Utredningen föreslår dock att personuppgifter kan samlas in och behandlas för ett ändamål som inte anges i lagens ändamålsbestämning, om den enskilde har lämnat ett uttryckligt samtycke till detta. Det finns inga formkrav för ett sådant samtycke, vilket t.ex. innebär att det inte behöver vara skriftligt. Det är ett uttryck för principen att en enskilds uttryckliga samtycke till en viss personuppgiftsbehandling normalt ska respekteras. Bestämmelsen ger exempelvis den som är verksam inom socialtjänsten en
möjlighet att behandla personuppgifter i sådan verksamhet som inte
är biståndsbedömd, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Med stöd av den enskildes samtycke kan således en personuppgiftsbehandling göras även exempelvis inom ramen för sådan familjerådgivning, ungdomsmottagning, missbruks- och beroendevård m.m. som inte är biståndsbedömd. Vid sådan behandling gäller självklart de grundläggande bestämmelserna i den föreslagna lagen vilket innebär att personuppgifter ska utformas och behandlas så att enskilda individers personliga integritet respekteras. Vidare gäller de grundläggande kraven i personuppgiftslagen om att endast de personuppgifter som behövs med hänsyn till ändamålet får behandlas.
Utredningens förslag ger således socialtjänsten en möjlighet att i enskilda fall behandla personuppgifter utan att det för den skull
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
679
bidrar till att avhålla enskilda från att i utsatta situationer vända sig till socialtjänsten. Personuppgiftsbehandling kan dock aldrig vara en förutsättning för att en enskild ska få tillgång till en insats inom ramen för råd och stöd, utan det ska helt och hållet bygga på den enskildes fria vilja. Om socialtjänsten bedömer att en viss insats eller åtgärd inom ramen för det som i dag betraktas som råd och stöd inte kan genomföras utan att personuppgifter behandlas, får socialtjänsten i stället tillhandahålla insatsen eller åtgärden med stöd av ett biståndsbeslut efter en individuell behovsbedömning.
Vårt förslag innebär endast att den som bedriver socialtjänst får en möjlighet att behandla personuppgifter med stöd av den enskildes samtycke. När det kommer till dokumentationens utformning m.m. får de allmänna förvaltningsrättsliga principerna gälla. I socialtjänstdatalagen ska inte finnas några bestämmelser om handläggning och dokumentation, utan detta ska även fortsättningsvis regleras i de nu befintliga lagstiftningarna som t.ex. SoL, LSS och förvaltningslagen.
23.2.6 Personuppgiftsansvar
Vårt förslag: Den som bedriver socialtjänstverksamhet är
personuppgiftsansvarig för den behandling av personuppgifter som den utför.
Av 3 § PUL följer att med personuppgiftsansvar avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter. I registerförfattningar är det vanligt att på ett tydligt sätt peka ut vem som är ansvarig för den behandling som regleras i de särskilda författningarna. Utredningen anser att det är lämpligt att göra så även i den nu föreslagna lagen.
Utredningen föreslår en grundläggande bestämmelse om personuppgiftsansvar. Motsvarande bestämmelse i nu gällande patientdatalag har tjänat som förebild. Den som bedriver verksamhet inom socialtjänsten är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som utförs i dess verksamhet.
Det är inte kommunen som sådan som är personuppgiftsansvarig utan i en kommun är varje myndighet eller sådana kom-
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
680
munala bolag som avses i 2 kap. 3 § OSL som bedriver socialtjänst personuppgiftsansvarig för den behandling av personuppgifter som myndigheten eller bolaget utför. Personuppgiftsansvaret i enskilda verksamheter ligger på den juridiska eller fysiska person som yrkesmässigt bedriver och ansvarar för socialtjänstverksamheten.
Personuppgiftsansvaret omfattar även sådan behandling av personuppgifter som görs när den som bedriver verksamhet inom socialtjänsten genom direktåtkomst lämnar ut eller tar del av personuppgifter, se vidare avsnitt 27.2.5.
23.2.7 Sökbegrepp
Vårt förslag: Uppgifter som avslöjar ras, etniskt ursprung,
religiös eller filosofisk övertygelse, medlemskap i fackförening eller rör sexualliv får inte användas som sökbegrepp.
Regeringen får meddela föreskrifter om att en kommunal myndighet får använda uppgifter om etniskt ursprung som sökbegrepp för att vissa slags sammanställningar.
Med sökbegrepp avses i så kallade registerförfattningar vanligtvis begrepp som används som urvalskriterier för att söka fram handlingar eller för att med begreppet som utgångspunkt göra sammanställningar av olika slag. Vilka sök- och sammanställningsmöjligheter som finns har även betydelse för frågan om vilka handlingar som kan anses förvarade hos en myndighet och vad som därmed kan bli tillgängligt för allmänheten i enlighet med 2 kap. tryckfrihetsförordningen.
En grundläggande fråga när det gäller integritetsskydd är på vilket sätt personuppgifter kan sammanställas. Med fler möjligheter att sammanställa uppgifter om enskilda blir risken större för ett otillbörligt intrång i den personliga integriteten. Det är framför allt när det gäller känsliga personuppgifter enligt 13 § PUL som det av integritetsskäl finns anledning att ha begränsningar för vilka uppgifter som får användas vid sökning efter personuppgifter.
Den nu gällande regleringen av känsliga personuppgifter som sökbegrepp finns i 7 a § SoLPUL angående sammanställning av personuppgifter. Av bestämmelsen framgår att det i sammanställningar av personuppgifter inte får tas in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga förhållanden. Undantag och
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
681
därmed möjlighet att göra sökningar m.m. gäller dock i vissa i bestämmelsen angivna situationer. Det anges uttryckligen att uppgifter som avslöjar medlemskap i fackförening inte får tas in.
Vidare finns i SoLPULF bestämmelser om vilka sökbegrepp som får användas vid sökning efter uppgifter eller i samband med sammanställningar. Bestämmelserna är olika utformade beroende på om det är en kommunal myndighet, Statens institutionsstyrelse eller en privat verksamhet som ska utföra personuppgiftsbehandlingen. För kommunala myndigheter finns inga som helst begränsningar av vilka personuppgifter som får användas som sökbegrepp i samband med uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten. Vid handläggning av ärenden och i samband med genomförandet av beslut får dock endast uppgift om namn eller person-, samordnings- eller ärendenummer användas.
Detta kan jämföras med hälso- och sjukvården, där patientdatalagen anger ett förbud mot att behandla sådana känsliga personuppgifter som anges i 13 § PUL som sökbegrepp. Till förbudet finns även ett undantag som innebär att uppgift om hälsa och uppgift om att någon varit föremål för vissa tvångsingripanden ändå får användas som sökbegrepp.
Det är enligt utredningen av allmänt intresse att socialtjänstens verksamhet kan utföras på ett tillfredställande sätt. Informationshantering och behandlingar av personuppgifter är en av de grundläggande uppgifterna i socialtjänstens verksamhet. Det finns inom socialtjänsten behov av att kunna göra sammanställningar vid verksamhetsuppföljning, kvalitetssäkring, planering av verksamheten m.m. Till exempel inom det individinriktade arbetet är det väsentligt att vid verksamhetsuppföljningar kunna göra sammanställningar utifrån sökkriterier såsom insatser och vissa fall sjukdomar och andra mer hälsorelaterade uppgifter. Samtidigt är det viktigt att sökbegrepp övervägs noga så att otillbörliga integritetsintrång kan förhindras.
I dag kan man använda vilket sökbegrepp som helst för ändamålen tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av kommunal verksamhet och hos Statens Institutionsstyrelse. När det gäller enskild verksamhet får däremot bara sökbegreppen namn, personnummer eller ärendenummer användas. Vi föreslår att bestämmelserna om sökbegrepp både ska begränsas och utvidgas i jämförelse med vad som gäller i dag. Den bestämmelse om sökbegrepp som vi föreslår, ska gälla för alla som bedriver socialtjänst, vare sig det är en kommunal myndighet eller en enskild
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
682
verksamhet. Den nya socialtjänstdatalagen ska gälla även för uppgifter som hanteras manuellt. Detta innebär att lagen även omfattar personuppgifter som finns i kronologiska pärmar. Om de är sökbara på mer än ett kriterium, omfattas registren av socialtjänstdatalagen.
Utredningen har valt att reglera vilka begrepp som inte får användas som sökbegrepp. Det innebär att det inte ska vara tillåtet att göra sådana sökningar. Vissa känsliga personuppgifter, ska som huvudregel, inte få användas som sökbegrepp. Det gäller fram för allt uppgifter som avslöjar ras, etniskt ursprung, religiös eller filosofisk övertygelse, medlemskap i fackförening eller sexualliv. Vi har inte heller sett att det finns ett behov av att använda dessa uppgifter som sökbegrepp.
Sammanfattningsvis föreslår utredningen att uppgifter som avslöjar ras, etniskt ursprung, religiös eller filosofisk övertygelse, medlemskap i fackförening eller rör sexualliv inte får användas som sökbegrepp. Samtidigt ges regeringen möjlighet att meddela föreskrifter om att en kommunal myndighet får använda uppgifter om etniskt ursprung som sökbegrepp för att vissa slags sammanställningar.
Nedan redogörs närmare för användandet av vissa uppgifter som sökbegrepp.
Närmare om hälsa som sökbegrepp
När det gäller sökbegreppet hälsa kan detta behöva användas som sökbegrepp för att man snabbt och effektivt ska kunna finna relevanta journalanteckningar från en enskilds tidigare aktualitet inom socialtjänsten. Det kan således finnas behov att använda hälsa som sökbegrepp i det individinriktade arbetet. Men det kan även finnas behov av att använda hälsa som ett sökkriterium vid verksamhetsuppföljningar m.m. Socialtjänsten har ett brett uppdrag och ska medverka i samhällsplaneringen och informera om socialtjänstens verksamhet (jfr 3 kap. 1 § SoL). Ett syfte med socialtjänstens uppsökande verksamhet, förutom att ge information om vad socialtjänsten kan erbjuda för de som behöver hjälp, är ska skaffa en god kännedom om människors situation i kommunen så att väsentliga behov kan tillgodoses. För att kunna fullgöra dessa uppgifter kan det vara nödvändigt att använda sökbegrepp som rör hälsa vid verksamhetsplaneringen. Det kan t.ex. behövas när socialtjänsten
SOU 2014:23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten
683
ska bevaka att åtgärder vidtas för att skapa en god samhällsmiljö och goda förhållanden för barn och ungdom, för äldre och för andra grupper som har behov av samhällets särskilda stöd (jfr 3 kap. 2 § SoL).
Närmare om politiska åsikter som sökbegrepp
En fråga som särskilt har behandlats vid tidigare lagstiftningsarbeten är om politiska åsikter ska få behandlas i socialtjänstens verksamhet.20 Regeringen har bl.a. i förarbetena till SoLPUL uttalat att det är ett viktigt allmänt intresse att socialtjänsten ska kunna utföra sina arbetsuppgifter på ett tillfredställande sätt. I nämnda arbete ansåg såväl Lagrådet som regeringen att det var klart motiverat att socialtjänsten skulle få behandla personuppgifter som avslöjar politiska åsikter. Det framhölls att behandlingen kan gälla ungdomar som på grund av sina politiska åsikter ägnar sig åt kriminalitet eller annat beteende som föranleder att en socialnämnd behöver veta vilken gruppering en viss individ tillhör för att undvika att enskilda placeras tillsammans med politiska motståndare och riskerar att råka illa ut.
Utredningen ansluter sig till de avvägningar som har gjorts i tidigare lagstiftningsarbeten och anser att det finns starka skäl för att behandla personuppgifter av sådan karaktär i socialtjänsten. Utredningen föreslår därför att politiska åsikter ska kunna användas som sökbegrepp. Det innebär självklart inte att det ska göras slentrianmässigt. Sådana uppgifter ska i första hand behandlas i de fall det har särskild betydelse för att garantera framför allt ungdomar nödvändig vård eller behandling.
Närmare om lagöverträdelser som sökbegrepp
Vidare kan uppmärksammas att bestämmelsen inte gör något undantag vad gäller möjligheterna att inom socialtjänsten använda uppgifter om lagöverträdelser m.m. som avses i 21 § PUL som sökbegrepp. Anledningen till detta är att det inom socialtjänsten finns ett generellt behov av att behandla uppgifter om lagöverträdelser och om administrativa frihetsberövanden som t.ex. tvångsingripande enligt lagen (1990:52) med särskilda bestäm-
20 Jfr prop. 2000/01:80 s. 144 f och SOU 2009:32.
Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten SOU 2014:23
684
melser om vård av unga, förkortad LVU, lagen (1988:870) om vård av missbrukare i vissa fall, förkortad LVM, lagen (1991:1128) om psykiatrisk tvångsvård, förkortad LPT, och lagen (1991:1129) om rättspsykiatrisk vård, förkortad LRV. Såväl myndigheter som enskilda verksamheter inom socialtjänsten kan ha behov av att kunna söka efter uppgifter om lagöverträdelser.
I förarbetena till nuvarande lag om behandling av personuppgifter inom socialtjänsten21anförs att det finns ett behov inom socialtjänsten för såväl myndigheter som andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden och att lagen bör tillåta även sådana uppgifter får behandlas inom socialtjänsten. När det gäller administrativa frihetsberövanden kan nämnas tvångsingripanden enligt LVU och LVM.
I patientdatalagen har det tagits in bestämmelser om att uppgifter om att någon har varit föremål för tvångsingripanden enligt LPT eller LRV får användas som sökbegrepp.
Närmare om etnicitet som sökbegrepp
Bakgrunden till att etnicitet, efter beslut från regeringen, ska kunna få användas som sökbegrepp är att en kommunal myndighet kan behöva planera, utföra och följa upp socialtjänstverksamheten utifrån invånarnas etniska ursprung. Med beaktande av de integritetsskyddsintressen som finns vid behandling av sådana personuppgifter bör det dock inte införas en generell möjlighet för kommunala myndigheter att använda etnicitet som sökbegrepp.
Om det visar sig att det för kommunerna finns ett väsentligt behov av att använda etnicitet som sökbegrepp innebär den här lösningen att regeringen kan meddela föreskrifter som tillåter det. Det ger en bra balans mellan enskildas behov av skydd för den personliga integriteten och socialtjänstens behov av behandla relevanta personuppgifter för att kunna planera och utföra verksamheten på ett tillfredställande sätt. Därför föreslås att regeringen ska kunna meddela föreskrifter om att en kommunal myndighet får använda etnicitet som sökbegrepp.
685
24 Säker och ändamålsenlig hantering av personuppgifter
24.1 Bakgrund
Dokumentationen i socialtjänsten är i allmänhet av mer integritetskänslig karaktär än information i många andra sammanhang. Informationen rör inte sällan enskildas privata förhållanden om sådant som exempelvis hälsa och sociala och ekonomiska förhållanden. Av hänsyn till behovet av skydd för den personliga integriteten är det därför nödvändigt att de uppgifter om enskilda som dokumenteras i socialtjänsten hanteras på ett säkert och ändamålsenligt sätt. Det handlar även om att inte äventyra enskildas förtroende för socialtjänstens informationshantering. Samtidigt behöver uppgifter kunna användas på ett ändamålsenligt sätt som leder till att den enskilde får sina behov tillgodosedda. Dokumenterade personuppgifter behöver därför hanteras på ett sätt som gör att behovet av integritetsskydd kan tillgodoses samtidigt som verksamheten ges förutsättningar att skapa bästa möjliga resultat för enskilda individer.
Grundläggande förutsättningar för en ändamålsenlig informationshantering är bland annat att uppgifter finns tillgängliga när de behövs för att utreda, fatta beslut eller genomföra insatser för enskilda. En annan förutsättning är att de uppgifter som dokumenteras om enskilda förvaras och hanteras på ett sådant sätt att behoven av integritetsskydd tillvaratas. Det handlar exempelvis om att se till att obehöriga inte kan komma åt uppgifter om enskilda, att uppgifter inte sprids utanför verksamheten, att de informationssystem som används i verksamheten är utformade på ett sådant sätt att integritetsskyddet tillgodoses, att en användares behörighet till uppgifter anpassas och begränsas till de behov som användaren har samt att åtkomsten till uppgifterna loggas och kontrolleras m.m.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
686
Inom socialtjänstens område saknas i dag uttryckliga författningsbestämmelser om detta som ibland kallas för inre sekretess. Visserligen finns i socialtjänstlagen (2001:453), förkortad SoL, och i lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, bestämmelser om att handlingar som rör enskildas personliga förhållanden ska förvaras så att obehöriga inte får tillgång till dem. Däremot innehåller varken lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL eller förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPULF, uttryckliga bestämmelser om de närmare kraven på hur personuppgifter i enlighet med detta ska hanteras och skyddas. Ledning på detta område får i stället sökas i personuppgiftslagens (1998:204), förkortad PUL, bestämmelser, t.ex. i 31 § om säkerhetsåtgärder, och i praxis från Datainspektionen.
Detta kan jämföras med hälso- och sjukvården som såväl i patientdatalagen (2008:355) som i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården har ett antal bestämmelser som just tar sikte på en säker och ändamålsenlig hantering av personuppgifter.
24.2 Våra överväganden och förslag
Vår bedömning: Socialtjänstdatalagen bör innehålla ett kapitel
om en säker och ändamålsenlig hantering av personuppgifter där bestämmelser om inre sekretess samlas med bestämmelser om ansvaret för att uppgifter finns tillgängliga när det behövs för att arbetet i socialtjänsten ska kunna utföras på ett sätt som tillgodoser enskildas behov m.m.
Förtroendet för integritetsskyddet i informationshanteringen har relevans inte bara när det gäller den yttre sekretessen gentemot utomstående och vid överföring av personuppgifter inom socialtjänsten. Det är även viktigt att det i en verksamhet inom socialtjänsten finns ett integritetsskydd avseende hanteringen av uppgifter om enskilda. I det följande används begreppet inre
sekretess vid överväganden om hur känsliga uppgifter om t.ex.
enskildas personliga förhållanden bör hanteras inom en verksamhet för att motverka intrång i den personliga integriteten.
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
687
För att tydliggöra vikten av att uppgifter endast är tillgängliga när det behövs för dem som behöver det och i övrigt hanteras på ett säkert sätt bör socialtjänstdatalagen innehålla grundläggande bestämmelser om detta. Vi föreslår därför ett särskilt kapitel som samlar dessa bestämmelser och tydliggör vilket ansvar som ligger dels på den som arbetar i socialtjänsten, dels på den som bedriver själva verksamheten.
En uttrycklig reglering av den inre sekretessen är även en förutsättning för våra förslag exempelvis om förändrade sekretessgränser mellan kommunala myndigheter inom socialtjänstens område. Med regler om inre sekretess, behörighetsstyrning och åtkomstkontroll tydliggörs att det aldrig kan vara fråga om ett okontrollerat flöde av uppgifter inom socialtjänsten. Detta sätt att reglera sekretess- och dataskyddet skulle då även komma att likna vad som redan i dag gäller för hälso- och sjukvården.
Den som bedriver verksamhet inom socialtjänsten har det övergripande ansvaret för informationssäkerheten i verksamheten. Informationssäkerhet handlar i detta avseende om betydelsen av att de system som innehåller personuppgifter är lätta att använda och i övrigt ändamålsenliga samt att systemen utformas på ett sätt som tillgodoser de enskildas behov av integritetsskydd. Tillgång till personuppgifter inom socialtjänsten vid rätt tillfälle är en förutsättning för att en enskild ska få säkra insatser av hög kvalitet. Mot den bakgrunden anser vi att socialtjänstdatalagen även ska uttrycka den övergripande skyldigheten för den som bedriver verksamheten att se till att personalen har tillgång till de uppgifter som behövs för att utföra sina arbetsuppgifter på ett för verksamheten och de enskilda, tillfredsställande sätt. Balansen mellan behovet av uppgifter och den enskildes intresse av en integritetsskyddande hantering kan sammanfattas i devisen ”rätt information på rätt plats i rätt tid”. I ett kapitel om en säker och ändamålsenlig hantering bör dessa intressen förenas och tillsammans stödja en utveckling mot en ändamålsenlig informationshantering i socialtjänsten.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
688
24.2.1 Ansvar för den som arbetar i socialtjänsten – inre sekretess
Vårt förslag: I socialtjänstdatalagen ska det finnas bestämmelser
som tydliggör när den som arbetar hos någon som bedriver verksamhet inom socialtjänsten får ta del av dokumenterade uppgifter om enskilda. Det är tillåtet endast när han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten och uppgifterna ska användas för något av de ändamål som är tillåtna enligt socialtjänstdatalagen.
I nuvarande lagstiftning finns ett antal bestämmelser som har direkt eller indirekt betydelse för informationshanteringen inom den egna verksamheten, exempelvis inom den verksamhet som en enskild eller offentlig utförare av socialtjänst bedriver. Av grundläggande betydelse är framför allt bestämmelserna i 1 kap. 1 § SoL och i 6 § LSS om att verksamheten ska vara grundad på respekt för den enskildes självbestämmande och integritet.
Vidare följer av 11 kap. 5 § 2 st. SoL och 21 a § LSS att handlingar som rör enskildas personliga förhållanden ska förvaras så att inte obehöriga får tillgång till dem. Handlingar får enligt bestämmelserna inte vara fritt tillgängliga inom den egna verksamheten. Något förenklat kan bestämmelserna sägas innebära att den som inte har behov av handlingarna för att kunna utföra sitt arbete inte heller ska ha tillgång till dem. De är att betrakta som obehöriga i bestämmelsens mening. Dessa regler slår därmed fast en s.k. inre sekretess som kompletterar det integritetsskydd som följer av bestämmelser om sekretess i offentlighets- och sekretesslagen (2009:400), förkortad OSL, och om tystnadsplikt i SoL och LSS.
I nuvarande lagstiftning om behandling av personuppgifter inom socialtjänsten saknas dock bestämmelser som uttrycker de närmare kraven på hur detta ska tillgodoses vid användandet av elektroniska verksamhets- och journalsystem. Utredningens bedömning är att kraven på inre sekretess bör konkretiseras genom bestämmelser som riktar sig till den personuppgiftsansvarige, men även genom bestämmelser som uttryckligen reglerar när den som arbetar inom socialtjänsten får ta del av uppgifter om enskilda som finns inom den egna verksamheten. Det innebär inte att vi ifrågasätter den medvetenhet i frågor om sekretess och tystnadsplikt som vi har upplevt vid våra kontakter med företrädare från
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
689
socialtjänsten. Däremot anser vi att elektronisk utveckling med en potentiell tillgång till uppgifter som generellt är större än vid en helt manuell hantering, ger upphov till nya och delvis ökade risker för integritetsintrång. En integritetsskyddslagstiftning som den föreslagna socialtjänstdatalagen bör därför, enligt vår bedömning, innehålla bestämmelser som särskilt syftar till att motverka sådana otillbörliga integritetsintrång som en otillåten åtkomst till uppgifter ger upphov till. Vi tror också att det är till fördel, inte minst ur pedagogisk synvinkel, att det klargörs när personal inom socialtjänsten får ta del av uppgifter om enskilda. Inte minst med tanke på de straffbestämmelser som finns om s.k. dataintrång, är det viktigt att det för personalens del så långt möjligt är tydligt vad som är lagligt och vad som inte är det i fråga om åtkomst till personuppgifter.
Mot bakgrund av detta föreslår utredningen att det införs en grundläggande bestämmelse om inre sekretess som gäller oavsett om uppgifter hanteras manuellt eller elektroniskt. Bestämmelsen ska ange att den som arbetar hos någon som bedriver verksamhet inom socialtjänsten får ta del av dokumenterade uppgifter om en enskild endast om han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten. Som en ytterligare förutsättning ska uppgifterna behövas för något av de ändamål som är tillåtna enligt lagen.
Den som arbetar inom socialtjänsten, vare sig det är i en kommunal myndighet eller i en enskild verksamhet eller på Statens institutionsstyrelse, får alltså ta del av dokumenterade uppgifter om en enskild endast om han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten och uppgifterna ska användas för något av de tillåtna ändamålen. Detta ska gälla all personal eller motsvarande oavsett var han eller hon arbetar och oavsett för vilka syften uppgifterna behövs. Det är endast när en anställd eller en uppdragstagare behöver uppgifter för att kunna utföra sina arbetsuppgifter som denne får ta del av uppgifter om enskilda individer. Av bestämmelsen följer vidare att den anställde eller motsvarande endast får ta del av just de uppgifter som i det enskilda fallet behövs.
Bestämmelsen om inre sekretess tydliggör att den som arbetar i socialtjänsten exempelvis får ta del av de uppgifter i verksamheten som behövs för att handlägga ärenden om enskilda eller i nästa skede, de uppgifter som behövs för att genomföra beslut om stödinsatser, vård eller behandling. På motsvarande sätt får den som
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
690
arbetar i socialtjänsten ta del av de uppgifter som behövs för det systematiska kvalitetsarbetet, för administration och planering av verksamheten etc. En grundläggande förutsättning är naturligtvis att den anställde eller motsvarande har i uppdrag att utföra sådana arbetsuppgifter.
Syftet med bestämmelsen är att bidra till att stärka integritetsskyddet och upprätthålla förtroendet för informationshanteringen i socialtjänsten samt göra det tydligt för den som arbetar i socialtjänsten när man får bereda sig åtkomst till uppgifter i verksamheten. Bestämmelsen kompletteras även av regler om den personuppgiftsansvariges ansvar för tilldelning av behörighet för elektronisk åtkomst till uppgifter om enskilda och om ansvar för kontroll av den åtkomst som har förekommit till uppgifter i verksamheten. Se mer om de förslagen i det följande.
Av betydelse för gällande rätt om inre sekretess är vidare att olovligt intrång och olovligt efterforskande i elektroniska informationssystem kan vara straffbart enligt straffbestämmelser om dataintrång. Den som olovligen bereder sig tillgång till upptagning för automatisk databehandling eller olovligen ändrar eller utplånar eller i register för in sådan upptagning kan enligt 4 kap. 9 § brottsbalken dömas för dataintrång till böter eller fängelse i högst två år. Bestämmelsen är tillämplig då någon använder sig av sin behörighet till åtkomst till ett elektroniskt journalsystem för att läsa uppgifter om en enskilde utan detta behövs från arbetssynpunkt, t.ex. på grund av nyfikenhet.1
24.2.2 Ansvar för att uppgifter är tillgängliga när de behövs
Vårt förslag: I socialtjänstdatalagen ska anges att den som bedriver
verksamhet inom socialtjänsten ska se till att dokumenterade personuppgifter är tillgängliga för den som arbetar i verksamheten när uppgifterna behövs för arbetets utförande.
Själva syftet med att dokumentera handläggningen av ärenden och genomförandet av beslut i socialtjänsten går förlorad om uppgifterna inte finns tillgängliga när det behövs. Därför måste den som bedriver verksamheten vara medveten om detta ansvar och
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
691
arbeta systematiskt med att säkerställa att personuppgifterna finns tillgängliga i verksamheten. Det behöver t.ex. finnas väl utarbetade skydd mot avbrott i systemen, reservplaner och robusta rutiner för tilldelning av behörigheter mm.
Ytterst är det fråga om rättsäkerhet för den enskilde att personal inom socialtjänsten som till exempel fattar beslut eller genomför insatser har tillgängliga och aktuella uppgifter för att kunna utföra insatser inom socialtjänst av god kvalitet. Att ha tillgång till uppdaterade uppgifter om en enskild och övrigt underlag är en förutsättning för att personal ska kunna leva upp till socialtjänstlagens grundläggande krav på att insatserna inom socialtjänsten ska vara av god kvalitet.
Mot denna bakgrund föreslår vi en bestämmelse som uttrycker ansvaret för att rätt information faktiskt finns tillgängliga för rätt personer inom socialtjänsten så att kraven på god kvalitet och rättssäkerhet kan tillgodoses. Utredningen gör bedömningen att det av tydlighetsskäl är nödvändigt att inte enbart uttrycka kraven på integritetsskyddande åtgärder i lagen. Det är viktigt att betona även tillgänglighetsaspekten.
24.2.3 Ansvar för att skydda uppgifterna vid överföring via internet m.m.
Vårt förslag: I socialtjänstdatalagen ska tas in bestämmelser om
att den som bedriver verksamhet inom socialtjänsten ska se till att dokumenterade personuppgifter hanteras och förvaras så att inte obehöriga får tillgång till dem. Om internet eller andra jämförliga nät används för att överföra personuppgifter som behandlas enligt socialtjänstdatalagen, ska den som bedriver verksamhet inom socialtjänsten se till att överföringen görs så att ingen obehörig kan ta del av uppgifterna.
Vi föreslår att det i socialtjänstdatalagen tydligt uttrycks ett ansvar för att inte obehöriga kan ta del av uppgifter om enskilda. Visserligen anges såväl i socialtjänstlagen som i lagen om stöd och service till vissa funktionshindrade krav på att handlingar som rör enskildas personliga förhållanden ska förvaras så att inte obehöriga
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
692
får tillgång till dem.2Vi menar dock att denna princip är så central i en integritetsskyddslagstiftning att den även bör komma till uttryck i socialtjänstdatalagen. Den är även något annorlunda formulerad eftersom bestämmelsen ska tydliggöra ansvaret inte bara för förvaringen av uppgifterna, utan för att uppgifter rent generellt hanteras så att obehöriga inte kan få tillgång till dem.
Ansvaret innebär bl.a. att den som bedriver verksamhet inom socialtjänsten måste se till att de informationssystem som används i verksamheten är skyddade mot obehörig åtkomst och att det finns bra system för tilldelning av behörighet och för åtkomstkontroll. Bestämmelsen syftar till att skydda uppgifterna från otillåten spridning såväl inom som utom verksamheten. Även om uppgifterna finns tillgängliga inom verksamheten så innebär det inte att uppgifterna får användas eller spridas obefogat inom detta område. I linje med det ska den som bedriver verksamhet inom socialtjänsten ge tydliga anvisningar om vilka förväntningar som ställs på personalens hantering av personuppgifter. Det ska vara tydligt för den anställde eller motsvarande vad som ingår i dennes arbetsuppgifter och vilken information som han eller hon förväntas ta del av för att sköta sitt arbete.
Överföring av personuppgifter över internet eller andra jämförliga nät
I dag kommuniceras personuppgifter allt mer över internet eller andra jämförliga nät. Det kan handla både om sådan mer intern informationsöverföring som görs mellan olika kommunala verksamheter inom socialtjänsten och om sådan överföring som görs till mottagare utanför den egna organisationen. Som exempel på det senare kan nämnas sådant informationsutbyte som kan komma att göras mellan kommunens beslutande nämnd och en utförare i enskild verksamhet eller utbyte av information med stöd av de regler om direktåtkomst som föreslås längre fram. Ett annat exempel kan vara överföring av uppgifter om den enskilde till den enskilde själv.
Internet är ett exempel på vad som i allmänhet brukar betraktas som ett öppet nät. Som ett annat sådant exempel anges ofta även Sjunet, vilket är ett nät med många anslutna kunder som exempelvis samtliga landsting, ett antal kommuner, ett antal privata
211 kap. 5 § SoL och 21 a § LSS.
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
693
vårdgivare samt Skatteverket, Apoteket och ett antal leverantörer. Av utredningens förslag följer särskilda krav på säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät. Med andra jämförliga nät avser utredningen sådana öppna nät som kan jämföras med internet. Det finns dock ingen legaldefinition av öppet nät. Datainspektionen har dock i ett ärende uttalat följande av intresse i sammanhanget.3
Avgörande för frågan om ert intranät är ett öppet nät är hur det är konfigurerat, vilka och hur många som trafikerar nätet och kan ta del av resurser anslutna till nätet samt hur god säkerheten i övrigt är för nätverket. Ett öppet nät kan karaktäriseras av att fler än den personuppgiftsansvarige kan ta del av uppgifter som kommuniceras i nätet eller nå resurser som är tillgängliga via det.
Det är enligt vår bedömning inte möjligt att i socialtjänstdatalagen definiera öppna nät eller närmare precisera vad som avses med andra jämförliga nät. Vi bedömer dock att vägledning för tillämpningen kan hämtas ur Datainspektionens uttalande ovan. Den som bedriver verksamhet inom socialtjänsten behöver därför göra en bedömning av om de nät, utöver internet, som används för överföring av personuppgifter är sådana som, exempelvis beroende på hur de är konfigurerade och om flera personuppgiftsansvariga kan ta del av uppgifter som kommuniceras i nätet, är att betrakta som sådana andra jämförliga nät som avses i den föreslagna bestämmelsen.
I jämförelse med helt verksamhetsintern informationshantering, t.ex. på interna nätverk som inte är exponerade mot internet och där inga andra personuppgiftsansvariga använder samma nät, kan särskilda risker uppstå när uppgifter överförs över internet. Av den anledningen är det nödvändigt att vidta särskilda säkerhetsåtgärder för att skydda uppgifterna och minska risken för att obehöriga personer kan få tillgång till informationen. Vid en bedömning av vilka åtgärder som bör vidtas och karaktären på dessa ska bland annat hänsyn tas till hur pass känsliga personuppgifter det rör sig om. Enligt personuppgiftslagen gäller särskilda begränsningar för behandling av s.k. känsliga personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Om sådana personuppgifter överförs via internet
3 Datainspektionen, dnr. 1409-2012.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
694
eller andra jämförliga nät måste den personuppgiftsansvarige vidta särskilda åtgärder för att skydda uppgifterna.
Även andra personuppgifter, som i och för sig inte omfattas av uppräkningen av de s.k. känsliga personuppgifterna i 13 § PUL, kan naturligtvis också vara så integritetskänsliga att även de kräver mer omfattande säkerhetsåtgärder, till exempel uppgifter om lagöverträdelser enligt 21 § PUL. Omständigheter som kan peka på att uppgifterna är mer integritetskänsliga är exempelvis om uppgifterna omfattas av tystnadsplikt eller sekretess, om behandlingen omfattas av en särskild registerlagstiftning eller om uppgifterna rör enskildas personliga förhållanden. Ekonomisk hjälp eller vård inom socialtjänsten är, enligt allmänna råd från Datainspektionen, exempel på personuppgifter som normalt sett är att anse som känsliga.4
Mot bakgrunden av ovanstående kan konstateras att uppgifter inom socialtjänsten många gånger är att betrakta som känsliga enligt 13 § PUL, exempelvis om de rör enskildas hälsa. Vidare konstateras att uppgifter i socialtjänsten, för det fall uppgifterna inte är att betrakta som känsliga i personuppgiftslagens mening, åtminstone är av sådan integritetskänslig karaktär att de ska omfattas av särskilda säkerhetsåtgärder vid överföring över internet eller andra jämförliga nät. Utredningens bedömning är således att personuppgifter som behandlas enligt socialtjänstdatalagen är så pass integritetskänsliga att de, med avseende på säkerhetsåtgärder vid kommunikation över internet, bör skyddas på samma sätt alldeles oavsett om personuppgifterna är sådana som avses i 13 § PUL eller inte.
När det gäller de närmare kraven på säkerhetsåtgärder har Datainspektionen i sin tillämpning av 31 § PUL sedan länge slagit fast att känsliga personuppgifter får lämnas ut via öppna nät (t.ex. internet) endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering (t.ex. e-legitimation), engångslösenord eller motsvarande. I praxis har även termen stark autentisering använts för att beskriva detta. Dessutom ska, enligt samma praxis, känsliga personuppgifter vara krypterade vid överföring.
För socialtjänstens del finns i dag ingen särskild bestämmelse om säkerhet vid behandling av personuppgifter, vilket innebär att
4 Datainspektionens allmänna råd, Säkerhet för personuppgifter (2008), s. 18.
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
695
det är bestämmelserna i personuppgiftslagen som gäller. Av dessa bestämmelser framgår inte uttryckligen vilka säkerhetsåtgärder eller vilken säkerhetsnivå som ska uppnås i olika situationer, utan det framgår i allt väsentligt av Datainspektionens praxis. Utredningen bedömer att detta är en inte helt tillfredsställande lösning med avseende på den omfattande behandlingen av integritetskänsliga personuppgifter som görs inom socialtjänsten. Vidare är utredningens utgångspunkt att socialtjänstdatalagen ska vara så uttömmande som möjligt ifråga om de integritetsskydds-bestämmelser som det bedöms finnas särskilt behov av för socialtjänstens del. Därför anser vi att det i socialtjänstdatalagen bör tas in en grundläggande bestämmelse som tydliggör kravet på särskilda säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät.
I sammanhanget kan noteras att det för hälso- och sjukvårdens del finns motsvarande bestämmelser i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring. Av 2 kap. 5 § nämnda föreskrifter följer att vårdgivare som använder öppna nät för att hantera patientuppgifter ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att överföringen av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna och att åtkomst till patientuppgifter föregås av stark autentisering.
Sammantaget föreslår utredningen således att det i socialtjänstdatalagen ska tas in en bestämmelse som tydliggör kraven på säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät. Om den som bedriver verksamhet inom socialtjänsten använder internet eller andra jämförliga nät för att överföra personuppgifter som behandlas enligt socialtjänstdatalagen, ska denne se till att överföringen görs så att ingen obehörig kan ta del av uppgifterna. Det innebär i praktiken att uppgifterna måste överföras genom en krypterad förbindelse eller genom att uppgifterna i sig krypteras.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
696
24.2.4 Ansvar för informationssystemens utformning
Vårt förslag: I socialtjänstdatalagen ska anges att den som
bedriver verksamhet inom socialtjänsten ska se till att de informationssystem som innehåller personuppgifter är lätta att använda, stödjer arbete i socialtjänsten, underlättar arbetet med kvalitetsutveckling, underlättar samverkan och utbyte av uppgifter samt är utformade på sådant sätt att de enskildas integritetsskydd tillgodoses.
Den som bedriver verksamhet inom socialtjänsten har ett yttersta ansvar för informationshanteringen och för verksamheten som helhet. Enligt 3 kap. 3 § SoL ska insatser inom socialtjänsten vara av god kvalitet och för utförande av uppgifter inom socialtjänsten ska det finnas personal med lämplig utbildning och erfarenhet. Kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras (tredje stycket ovan nämnda paragraf). Motsvarande bestämmelser finns även i 6 § LSS.
Den som bedriver verksamhet inom socialtjänsten är således skyldig att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. I Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete finns bestämmelser om hur detta kvalitetsarbete ska bedrivas. Tanken är att det som bedriver verksamhet inom socialtjänsten med hjälp av processer och rutiner samt ett systematiskt förbättringsarbete ska uppnå kvalitet i verksamheten. Det systematiska förbättringsarbetet ska bestå av riskanalys, egenkontroll och hantering av avvikelser.
Som utredningen tidigare har konstaterat har den tekniska utvecklingen i vissa delar inte kommit lika långt inom socialtjänsten som inom hälso- och sjukvården och att det fortfarande förekommer en del manuell informationshantering inom socialtjänsten. Utredningens bedömning är dock att det pågår en hel del utvecklingsarbeten för att förbättra informationshanteringen. I många kommuner och hos enskilda utövare av socialtjänst finns ett it-stöd för den dokumentation som görs inom verksamheten. Ett informationssystem bör stödja yrkesutövaren i arbetssituationen. Systemet bör t.ex. underlätta för yrkesutövaren att göra rätt och förhindra att fel görs både i systemet och vid utförandet av insatserna inom socialtjänsten. Ett användarvänligt informationssystem
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
697
kan öka kvaliteten för enskilda och för personal samt minska kostnaderna för den som bedriver verksamhet inom socialtjänsten.
Vi föreslår en bestämmelse som konkretiserar några av de grundläggande krav som måste ställas på ett informationssystem som innehåller personuppgifter och som ska användas inom socialtjänsten. Den som bedriver verksamhet inom socialtjänsten ansvarar för att insatser inom socialtjänsten är av god kvalitet och för hanteringen av personuppgifter i verksamheten. I detta ligger även ett ansvar för att ställa krav på och i förekommande fall upphandla informationssystem som är ändamålsenliga, säkra och kan användas som stöd i arbetet.
Vi föreslår att bestämmelsen ställer ett uttryckligt krav på att den som bedriver verksamhet inom socialtjänsten ska se till att de informationssystem som innehåller personuppgifter är lätta att använda och är ett stöd i det dagliga arbetet. Detta krav finns även uttryckt som ett av målen för Nationell Ehälsa.5
Vård- och omsorgspersonal ska ha tillgång till välfungerande och samverkande elektroniska beslutsstöd som säkerställer en hög kvalitet och säkerhet samtidigt som det underlättar deras dagliga arbete. Nödvändig och strukturerad information ska finnas tillgänglig som underlag för beslut om insatser och behandlingar.
Vi föreslår också att bestämmelsen ska omfatta krav på den som bedriver verksamhet inom socialtjänsten att se till att informationssystemen underlättar kvalitetetsarbetet. Att ta del av personuppgifter för att säkra och följa upp resultatet av insatser inom socialtjänsten är endast en av många saker som görs inom ramen för det systematiska kvalitetsarbetet. I avsnitt 28 ger vi en samlad bild av hur våra förslag sammantaget ökar möjligheterna att bedriva ett ändamålsenligt kvalitetsarbete. En av flera förutsättningar för att kunna ta tillvara de möjligheterna handlar om informationssystemens utformning. Enligt utredningens bedömning bör informationssystemen bland annat vara uppbyggda så att det är möjligt att använda personuppgifter för att fortlöpande och systematiskt utveckla och säkra kvaliteten i verksamheten. Vi vill i sammanhanget även poängtera vikten av att informationssystemen utformas på ett sådant sätt att den enskildes behov av integritetsskydd tas tillvara vid kvalitetsarbetet. Bland annat måste den som
5 Nationell eHälsa 2010 – strategin för tillgänglig och säker information inom vård och omsorg.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
698
bedriver verksamhet inom socialtjänsten verka för att inte fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet används vid kvalitetsarbetet. Informationssystemen kan därför, bland annat, behöva utformas så att användaren inte exponeras för fler personuppgifter än vad som är nödvändigt och att sammanställningar och andra underlag som tas fram vid kvalitetsarbetet inte innehåller personuppgifter som är direkt hänförliga till enskilda individer.
Vi föreslår även att den som bedriver verksamhet inom socialtjänsten ska ansvara för att systemen möjliggör samverkan med andra enheter och verksamheter och andra som bedriver verksamhet inom socialtjänsten samt möjliggör utbyte av uppgifter. För att lyckas med detta måste den som bedriver verksamhet inom socialtjänsten arbeta med informationssystemens struktur och innehåll. Stöd i detta arbete kan exempelvis hämtas från Socialstyrelsens arbete med en nationell informationsstruktur och ett nationellt fackspråk.
Vidare innebär det övergripande ansvaret för de informationssystem som innehåller personuppgifter, enligt utredningens förslag, ett krav på att utforma systemen på ett sådant sätt att integritetsskyddet tillgodoses. Att direkt i verksamhetssystemen bygga in integritetsskyddande funktioner som för personalen gör det lätt att göra rätt och svårt att göra fel, har stora fördelar. Att implementera integritetsskydd i teknik ger ökade förutsättningar för ett starkt integritetsskydd. Bestämmelsen uttrycker ett samlat ansvar för den som bedriver verksamhet inom socialtjänsten för flera aspekter av informationssäkerhet vid behandlingen av personuppgifter i socialtjänsten. Det är alltså ett ansvar för att lagens intentioner kan genomföras.
24.2.5 Ansvar för behörighetstilldelning
Vårt förslag: I socialtjänstdatalagen ska anges att den som bedriver
verksamhet inom socialtjänsten ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till personuppgifter. Behörigheten ska anpassas och begränsas till vad som behövs för att den som arbetar i socialtjänsten ska kunna fullgöra sina arbetsuppgifter. Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om tilldelning av behörigheter.
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
699
På socialtjänstens område saknas i dag uttryckliga bestämmelser om krav på styrning av behörighet och kontroll av åtkomst till uppgifter. Enligt utredningens bedömning är det en brist, inte minst mot bakgrund av att socialtjänsten är en verksamhet med en omfattande hantering av integritetskänsliga personuppgifter.
Behörighetsstyrning av elektronisk åtkomst till personuppgifter inom socialtjänsten regleras för närvarande av säkerhetsbestämmelserna i 31 § PUL. Den bestämmelsen anger dock endast de generella och övergripande kraven på säkerhetsåtgärder. Vad som gäller för behörighetsstyrning anges inte heller uttryckligen i personuppgiftslagen, utan detta område har framför allt fått sin tydlighet genom praxis och vägledande uttalanden från Datainspektionen. Tilldelade behörigheter ska enligt etablerad praxis motsvara befattningshavarens aktuella arbetsuppgifter. Det behövs därför väl avpassade rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter. 6
För att ytterligare stärka individens behov av integritetsskydd anser utredningen att starka skäl talar för att införa författningsbestämmelser för behörighetsstyrning och åtkomstkontroll i den nya socialtjänstdatalagen. Sådana bestämmelser saknas i dag och skulle bidra till att tydliggöra kraven och därigenom stärka integritetsskyddet samt upprätthålla förtroendet för informationshanteringen i socialtjänsten.
Behörighet för åtkomst är en användares faktiska möjligheter att ta del av uppgifter exempelvis i socialtjänstens verksamhetssystem. Behörighetsstyrningen är de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete. Den som arbetar inom socialtjänsten ska tilldelas en individuell behörighet för åtkomst till uppgifter om enskilda. Behörigheten för åtkomst till uppgifter ska vara anpassad efter den anställdes behov av uppgifter för att kunna utföra sitt arbete. Det innebär exempelvis att olika personalkategorier m.m. behöver ha olika behörigheter för elektronisk åtkomst till uppgifter om enskilda. Sådana uppgifter som en anställd eller motsvarande över huvud taget inte har behov av att ta del av för att kunna utföra sitt arbete ska i normala fall inte heller vara elektroniskt tillgängliga för den anställde. Behörigheten
6 Datainspektionens beslut den 7 december 2011, dnr 876-2010.
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
700
handlar därmed om den tekniska möjlighet en anställd har att ta del av uppgifter. Den föreslagna bestämmelsen kompletterar bestämmelsen om inre sekretess, som utredningen också föreslår.
I verksamheter som hanterar en stor mängd mycket integritetskänsliga uppgifter, som socialtjänsten, ställs stora krav på en ändamålsenlig behörighetsstyrning. Även om det vid behörighetsstyrning kan vara svårt att vid varje givet tillfälle uppnå ett exakt förhållande mellan en användares behov och en användares tekniska möjligheter att ta del av uppgifter, måste ambitionen hos den som bedriver verksamheten vara att komma så nära som möjligt. Samtidigt är det viktigt att inte behörigheten blir för snäv och på så sätt bidrar till att uppgifter inte är tillgängliga för användaren när det behövs. Behörighetsstyrningen behöver därför innehålla moment av både risk- och behovsanalys.
Det är inte endast användarens behörighet för åtkomst till uppgifter som avgör vad som är tillåtet i enskilda fall. Behörigheten anger generellt endast vad användaren kan göra, dvs. vilka tekniska möjligheter användaren har att ta del av uppgifter. För att en användare ska få ta del av uppgifter krävs dessutom att han eller hon har behov av de aktuella uppgifterna för att kunna utföra sitt arbete. Ju vidare användarnas behörigheter är, desto större blir skillnaden mellan vad användarna kan göra och vad de får göra. En sådan situation ställer stora krav på olika former av integritetsskyddande åtgärder som verkar både preventivt och reaktivt. Det handlar exempelvis om kontinuerlig information till användarna om vilka förväntningar ledningen har på hur uppgifter ska användas i verksamheten, om vad som är tillåtet och inte m.m. Ytterligare en viktig åtgärd är det som föreslås i det följande, dvs. systematiska och fortlöpande kontroller av användarna åtkomst till uppgifter om enskilda.
Vidare bedömer utredningen att närmare föreskrifter om behörighetsstyrning med fördel ska meddelas på myndighetsnivå. Utredningen förutsätter att det är Socialstyrelsen som meddelar dessa föreskrifter efter samråd med Datainspektionen.
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
701
24.2.6 Ansvar för kontroll av elektronisk åtkomst
Vårt förslag: I lagen ska det anges att den som bedriver verk-
samhet inom socialtjänsten ska se till att åtkomst till uppgifter om enskilda som förs helt eller delvis automatiserat dokumenteras och att systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna utförs. Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om dokumentation och kontroll av åtkomst.
Precis som när det gäller frågan om behörighetsstyrning, saknas i dagsläget uttryckliga bestämmelser inom socialtjänstens område som tydliggör kravet på kontroll av den åtkomst till uppgifter som förekommit i verksamheten. Samtidigt får det av Datainspektionens praxis vid tillämpningen av 31 § PUL redan i dag anses följa ett krav på den som bedriver verksamhet inom socialtjänsten att logga åtkomsten till uppgifter och att kontrollera om obehörig åtkomst har ägt rum.
Utredningen bedömer dock att det inte är en helt tillfredsställande lösning att kraven på spårbarhet och åtkomstkontroll för socialtjänstens del endast framgår av Datainspektionens praxis. Dessa krav är enligt vår bedömning så pass grundläggande att de bör regleras uttryckligen i den föreslagna socialtjänstdatalagen. I lagen bör därför införas bestämmelser som ställer krav på att de anställdas åtkomst till uppgifter om enskilda dokumenteras (loggas). Det som bedriver verksamhet inom socialtjänsten ska även säkerställa att det görs systematiska och återkommande kontroller av om obehörig åtkomst har förekommit. Vidare ska regeringen eller den myndighet regeringen bestämmer få meddela närmare föreskrifter om dokumentation och kontroll av åtkomst. Som jämförelse kan nämnas att det i patientdatalagen finns motsvarande reglering för hälso- och sjukvårdens del.
Dokumentation av åtkomsten (behandlingshistorik)
En förutsättning för att över huvud taget kunna kontrollera om någon obehörig har tagit del av uppgifter om enskilda är att åtkomsten till uppgifter dokumenteras, dvs. loggas. Loggen bildar därmed den behandlingshistorisk som behövs för att kunna ta ställning till om en otillåten åtkomst har ägt rum. Av behandlingshistoriken måste det
Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23
702
därför gå att utläsa den information som behövs för att historiken ska kunna ligga till grund för den systematiska och återkommande kontrollen av obehörig åtkomst.
Enligt vår uppfattning är det inte lämpligt att i lag slå fast exakt vad som ska loggas för att kontrollen ska kunna bedrivas på ett ändamålsenligt sätt. Normalt brukar anföras att en logg åtminstone ska kunna svara på vilken användare som tagit del av uppgifter, vilken individs uppgifter det rör, vilka åtgärder som vidtogs med uppgifterna samt vid vilken tidpunkt uppgifterna användes. Utredningen bedömer dock att närmare föreskrifter om dokumentation av åtkomst och åtkomstkontroll med fördel meddelas på myndighetsnivå och att det ska vara Socialstyrelsen som meddelar dessa föreskrifter efter samråd med Datainspektionen. För hälso- och sjukvårdens del återfinns bestämmelser om detta exempelvis i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.
Åtkomstkontroll
Enligt utredningens förslag ska den som bedriver verksamhet inom socialtjänsten genomföra systematiska och återkommande kontroller av om någon obehörigen kommit åt uppgifter om enskilda. Det räcker därmed inte att göra kontroller vid särskilda fall när obehörig åtkomst misstänkts, utan kontrollerna ska göras systematiskt och återkommande. Genom att införa en bestämmelse i socialtjänstdatalagen tydliggörs detta ansvar.
För hälso- och sjukvårdens del har kraven på åtkomstkontroll delvis gett upphov till en osäkerhet kring vad en vårdgivare bör tänka på när denne utformar sina närmare riktlinjer för den systematiska logguppföljningen. Bland annat av den anledningen har Datainspektionen tagit fram en checklista som sammanfattar ett antal grundläggande principer som kan vara vägledande för den systematiska uppföljningen. Utredningen bedömer att checklistan, i tillämpliga delar, med fördel även kan användas av den som bedriver verksamhet inom socialtjänsten. Av checklistan framgår bland annat följande.7
7 Datainspektionen, Checklista för hälso- och sjukvården, Systematisk logguppföljning.
SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter
703
• Informera personalen om att logguppföljning görs. Det har en preventiv effekt. Personalen behöver informeras om det egna ansvaret, det vill säga under vilka omständigheter de får ta del av uppgifter och om följderna av att olovligen ta del av uppgifter.
• Gå igenom de krav som ställs på loggarna och kontrollera att de tekniska förutsättningarna för åtkomstkontroll finns.
• Bestäm urval och omfattning och utforma en verkningsfull rutin.
• Följ rutinen och dokumentera resultatet av granskningen.
• Utvärdera och utveckla rutinen.
I checklistan förmedlar Datainspektionen även det viktiga budskapet att det inte endast är antalet loggkontroller som avgör hur verkningsfullt arbetet med åtkomstkontroll är. I linje med Datainspektionens uttalande nedan anser utredningen att även socialtjänstens aktörer behöver analysera de närmare förutsättningarna för verksamheten och utforma en rutin för logguppföljning som bedöms verkningsfull för den enskilda verksamheten. I dag finns även tekniska hjälpmedel i form av olika logganalysverktyg som kan underlätta åtkomstkontrollen.
Bestäm med vilken omfattning (antal och tidsintervall) logguppföljningen ska ske. Eftersom det inte enbart är antalet loggposter vid logguppföljningen som avgör om kontrollen blir verkningsfull, finns det inget generellt svar på hur många loggposter som bör granskas vid varje tillfälle. Varje vårdgivare måste ta hänsyn till verksamhetens omfattning (antalet patienter och personal med behörighet) samt vilket urval och vilken systematik som används vid uppföljningen.
Utöver ovanstående bedömer utredningen att den enskildes tillgång till loggar, t.ex. via internet, om den åtkomst som har förekommit till uppgifter om den enskilde själv, kan vara ett komplement till den personuppgiftsansvariges arbete med åtkomstkontroller. Sådan tillgång för den enskilde förändrar dock inte det rättsliga ansvar för åtkomstkontrollen som följer av utredningens förslag.
705
25 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
25.1 Bakgrund
Dagens utveckling med ökad mångfald av aktörer i socialtjänst och hälso- och sjukvård, ökade krav på samverkan och ökad patient- och brukarrörlighet har medfört nya behov av att samarbeta i frågor som innefattar behandling av personuppgifter. Vårdgivare i hälso- och sjukvården och utförare i socialtjänsten kan inte på samma sätt som tidigare arrangera sin personuppgiftsbehandling utan att reflektera över eventuella behov av samverkan för att kunna leverera en jämlik hälso- och sjukvård och socialtjänst m.m.
För socialtjänstens del har utvecklingen bland annat medfört konkreta samarbeten och gemensamma utvecklingsprojekt på lokal, regional och nationell nivå. Inte sällan handlar det om att gemensamt använda system och tekniska lösningar som tagits fram tillsammans eller av en aktör, som sedan låter övriga använda den framtagna lösningen. Det kan vara fråga både om personuppgiftsbehandling som görs i socialtjänstens kärnverksamhet, t.ex. vid genomförandet av insatser, eller sådan personuppgiftsbehandling som görs i kontakter med invånare.
Ett ytterligare exempel på gemensamma lösningar är framväxten av regionala och nationella tjänsteplattformar för att kunna hantera och utbyta information. En tjänsteplattform förenklar, säkrar och effektiviserar integrationen mellan olika it-system inom socialtjänsten. Varje tjänst som vill ansluta sig till en viss tjänsteplattform följer så kallade tjänstekontrakt som specificerar regelverket för hur informationsöverföringen ska gå till mellan de olika systemen och tjänsterna. När ett system försöker kontakta ett annat går denna kommunikation inte direkt mellan systemen utan i stället
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
706
genom tjänsteplattformen, som sin tur dirigerar meddelandet vidare till rätt tjänst hos exempelvis den som bedriver verksamhet inom socialtjänsten. Något förenklat kan plattformen sägas utgöra navet mellan olika tjänster och system och vara en förutsättning för att möta de skiftande behov av informationsöverföring som finns. Ett syfte med en tjänsteplattform är att förhindra den komplexitet som en s.k. punkt-till-punktintegration av system medför.
Ett annat exempel som kan nämnas är projektet Effektiv informationsförsörjning, EIF. Projektet drivs av Centrala studiestödsnämnden på uppdrag av E-delegationen och genomförs i samverkan mellan Sveriges Kommuner och Landsting, Försäkringskassan, Arbetsförmedlingen, Centrala studiestödsnämnden, Skatteverket, Pensionsmyndigheten och Arbetslöshetskassornas samarbetsorganisation. Syftet är att bygga en tjänst som möjliggör för kommuner att via sina verksamhetssystem elektroniskt inhämta information från flera myndigheter samt Arbetslöshetskassornas samarbetsorganisation. Det kan därmed liknas vid en tjänsteplattform med ett gemensamt regelverk som gör att samtliga kommuner kan inhämta information från dessa olika myndigheter och organisationer på ett strukturerat och likartat sätt.
På den nationella arenan finns alltså flera olika aktörerer som på många olika sätt deltar i utvecklingsarbeten som inbegriper behandling av personuppgifter. Dessa aktörer kan vara kommuner, landsting, myndigheter, leverantörer, intresseorganisationer, samverkansorgan m.fl. Sammantaget utkristalliseras en komplex bild där det inte alltid är enkelt att bedöma vem som ansvarar för vad eller vem som har befogenhet eller faktiska möjligheter att vidta åtgärder i fråga om personuppgiftsbehandling. De samarbeten rörande informationshantering som i dag finns och kontinuerligt utvecklas inom ramen för regionala och nationella utvecklingsarbeten väcker därför nya frågor relaterat till ansvaret för behandlingen av de personuppgifter som hanteras i de gemensamma lösningarna. Genom att gemensamma lösningar skapas uppkommer ett behov av att identifiera ansvaret för funktioner och åtgärder som utgör själva basen för den gemensamma personuppgiftsbehandlingen och som alla inblandade är beroende av och behöver rätta sig efter.
Frågor om hur personuppgiftsansvaret fördelas vid samverkan mellan olika aktörer är ingalunda ny, även om den har en helt annan aktualitet i dag jämfört med tidigare. Nu står vi för en utveckling där hundratals och kanske så småningom tusentals aktörer inom
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
707
socialtjänsten kan komma att samverka kring gemensamma lösningar för att ta del av personuppgifter hos centrala myndigheter eller för att utbyta uppgifter med varandra eller för att göra uppgifter från socialtjänsten tillgängliga över internet för invånare. Det kan inte heller uteslutas att en rad nya områden och utvecklingsarbeten initieras där frågor om personuppgiftsansvarets fördelning blir aktuella.
Förutom nya utmaningar vad gäller att fastställa omfattning och innebörd av personuppgiftsansvar i olika delar, uppstår vid många samarbeten även ett grundläggande behov av att gemensamt fastställa hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Det kan handla om sådant som att komma överens om vilka säkerhetslösningar som ska användas för att obehöriga inte kan komma åt personuppgifter eller hur incidenter och avvikelser ska hanteras. Vidare uppstår ett behov av att fastställa krav och nivåer för grundläggande informationssäkerhetsaspekter som tillgänglighet, riktighet, konfidentialitet och spårbarhet. Ytterst handlar det om att vidta gemensamma åtgärder för att skydda personuppgifterna och försäkra sig om att rätt uppgifter finns på rätt plats i rätt tid.
25.1.1 Vårt uppdrag m.m.
I utredningens uppdrag ingår att utreda hur personuppgiftsansvaret bör regleras i framtiden samt vid behov lämna förslag på sådan reglering. Tidigare har vi redovisat för vårt förslag att i socialtjänstdatalagen införa bestämmelser om personuppgiftsansvar. Enligt den grundläggande bestämmelse som föreslås ska den som bedriver verksamhet inom socialtjänsten vara personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som utförs i dess verksamhet. Av bestämmelsen följer vidare att i en kommun är varje myndighet som bedriver socialtjänst personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Det kan utöver detta finnas anledning att ytterligare överväga frågor om personuppgiftsansvar och skydd för personuppgifter i en ny tid när allt fler aktörer samverkar kring behandling av personuppgifter i socialtjänsten. En central fråga är om det i vissa samarbeten kan, vid en analys av de faktiska omständigheterna, fastställas att en av de samverkande aktörerna har ett personuppgifts-
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
708
ansvar för övergripande frågor om tekniska och organisatoriska säkerhetåtgärder.
Vi har på hälso- och sjukvårdens område lämnat en närmare och mer omfattande redogörelse för frågor om personuppgiftsansvar och skydd för personuppgifter vid samverkan mellan flera personuppgiftsansvariga. I avsnitt 10 finns redovisningar av gällande rätt, vägledningar från tidigare utredningar och exempel från Datainspektionens tillsyn. De beskrivningar som ges i det avsnittet har även grundläggande relevans för våra bedömningar i samma fråga på socialtjänstens område. I stället för att i detta sammanhang upprepa bakgrunds- och problembeskrivningen m.m. hänvisar vi i stället till vad som anges i det avsnittet.
25.2 Våra överväganden och förslag
25.2.1 Krav på risk- och sårbarhetsanalys, överenskommelse och tydliggörande av personuppgiftsansvar
Vårt förslag: I socialtjänstdatalagen ska anges att den som
bedriver verksamhet inom socialtjänst och som medger andra som bedriver sådan verksamhet direktåtkomst eller på annat sätt samarbetar vid behandling av personuppgifter, ska göra en risk- och sårbarhetsanalys och komma överens med de andra om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Detta ska göras innan samarbetet inleds. Av överenskommelsen ska även framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.
Krav på risk- och sårbarhetsanalys och överenskommelse avseende informationssäkerhet och skyddet för personuppgifterna
När flera personuppgiftsansvariga samverkar vid behandling av personuppgifter uppstår ett behov av att gemensamt komma överens om de närmare villkoren för samarbetet. Ett sådant behov finns inte minst med avseende på skyddet för personuppgifterna. Tidigare har vi bland annat redogjort för vårt förslag om möjligheter till direktåtkomst mellan olika utförare i socialtjänsten samt motsvarande möjligheter för myndigheter inom socialtjänsten i
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
709
samma kommun. Inte minst vid sådana samarbeten där personuppgifter lämnas ut genom direktåtkomst är det nödvändigt att vidta åtgärder för att säkra skyddet av personuppgifterna.
Utförare i socialtjänsten som exempelvis lämnar ut personuppgifter genom direktåtkomst har ett självklart intresse av att skyddet för personuppgifterna garanteras hos mottagande utförare och att denne har förutsättningar för att behandla personuppgifter på ett sätt som stämmer överens med integritetsskyddsbestämmelserna.
För samverkande aktörer inom socialtjänst handlar det bland annat om att se till att informationssäkerheten anpassas till legala krav i socialtjänstdatalagen, men även till exempelvis offentlighets- och sekretesslagen (2009:400), arkivlagen (1990:782) och socialtjänstlagen (2001:453). Den nuvarande lagstiftningen ställer inga uttryckliga krav på de samverkande personuppgiftsansvariga att genom avtal eller annan överenskommelse ange de närmare villkoren för samarbetet och hur de legala kraven ska tillgodoses.
Enligt vår bedömning riskerar avsaknaden av krav på överenskommelse att medföra att personuppgiftsansvariga inte säkerställer hur samarbetet ska bedrivas för att informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Mot den bakgrunden föreslår vi att socialtjänstdatalagen ska innehålla uttryckliga krav på överenskommelser i dessa avseenden. Personuppgiftsansvarig som medger andra direktåtkomst eller på annat sätt samarbetar vid behandling av personuppgifter ska därför komma överens med andra personuppgiftsansvariga hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Som exempel på andra situationer än direktåtkomst, där samarbetet kan sägas innebära ett gemensamt tillvägagångssätt för behandling av personuppgifter, avses exempelvis de utvecklingsarbeten som bedrivs inom nationell e-hälsa. I det föregående har exempelvis nämnts sådan personuppgiftsbehandling som utförs inom ramen för utlämnanden genom direktåtkomst till enskilda eller grundläggande funktioner som regionala eller nationella tjänsteplattformar.
Överenskommelsen mellan de personuppgiftsansvariga ska, enligt utredningens förslag, föregås av en risk- och sårbarhetsanalys rörande de samverkande aktörernas organisatoriska och tekniska förutsättningar att skydda personuppgifterna. Risk- och sårbarhetsanalysen ska därmed utgöra en grund för överenskommelsens innehåll och omfattning. Därutöver kan risk- och sårbarhetsanalysen även resultera i att en av aktörerna, eller de samverkande
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
710
aktörerna tillsammans, kan behöva vidta åtgärder innan uppgifter lämnas ut genom direktåtkomst eller innan annat samarbete avseende behandling av personuppgifter inleds. Om risk- och sårbarhetsanalysen exempelvis visar att någon av de samverkande aktörerna saknar väsentliga förutsättningar att skydda personuppgifterna i enlighet med de krav på informationssäkerhet och integritetsskydd som ställs vid behandling av så pass känsliga personuppgifter det här är fråga om, ska dessa brister avhjälpas innan exempelvis utlämnande genom direktåtkomst får medges. I risk- och sårbarhetsanalysen bör bland annat ingå frågor om de samverkande aktörernas förutsättningar att leva upp till socialtjänstdatalagens krav på behörighetsstyrning och åtkomstkontroll. Den som bedriver verksamhet inom socialtjänsten ska göra risk- och sårbarhetsanalysen och överenskommelsen innan samarbetet med de andra aktörerna inleds.
Hur överenskommelsen ska tecknas är upp till parterna att avgöra. Allt för detaljerade anvisningar från lagstiftarens sida riskerar att låsa in socialtjänstens aktörer i lösningar som inte är tillräckligt flexibla med hänsyn till den komplexa situation och de olika slags samarbeten som det kan vara fråga om. Det finns inget som hindrar att överenskommelsen utgörs av en kombination av flera olika åtgärder, t.ex. ett anslutningsavtal som i vissa delar kompletteras av att parterna ansluter sig till ett eller flera utpekade regelverk för informationssäkerhet. Begreppet överenskommelse ska därmed ges en vidsträckt innebörd. Det handlar enligt vår bedömning inte i första hand om hur överenskommelsen rent formellt konstrueras utan fokus bör i stället sättas på frågorna i sak, dvs. hur en tillfredsställande informationssäkerhet och hur skyddet för personuppgifterna ska tillgodoses.
I sammanhanget kan nämnas att Myndigheten för samhällsskydd och beredskap, MSB, tillsammans med några andra myndigheter har formulerat en strategi för ökad informationssäkerhet i vård och omsorg. Syftet med strategin är att skapa förutsättningar för att vård och omsorg ska kunna bedrivas med rätt nivå av informationssäkerhet för att kunna tillgodose medborgare, patienters och samhällets behov av insyn, delaktighet, patientsäkerhet och personlig integritet. Strategin ska ge stöd för att hantera de nya risker som inte enbart kan åtgärdas av de enskilda sjukvårdshuvudmännen.1Om den strategin så småningom utmynnar i ett
1 Myndigheten för samhällsskydd och beredskap, 2012-06-20, Strategi för stärkt informationssäkerhet inom vård och omsorg.
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
711
förslag till ett mer detaljerat regelverk skulle det kunna vara ett exempel på ett sådant gemensamt regelverk som de som bedriver socialtjänst och andra aktörer kan ansluta sig till.
Det är i detta sammanhang inte möjligt att uttömmande ange vad en överenskommelse enligt vårt förslag ska innehålla, eftersom de samarbeten som här avses kan visa upp betydande skillnader i omfattning och innebörd. Syftet är att överenskommelsen ska omfatta samtliga områden som behövs för att skydda personuppgifterna och de olika former av resurser som används för att behandla personuppgifter samt det som behövs för att se till att personuppgiftsbehandlingen kan bedrivas på ett sätt som upprätthåller en god och säker vård. På en övergripande nivå berör det grundläggande informationssäkerhetsaspekter som tillgänglighet, riktighet, konfidentialitet och spårbarhet.
Den överenskommelse som här avses kan, för det fall det är lämpligt, även innefatta hur vissa av de registrerades rättigheter ska kunna tillgodoses i praktiken. Det kan exempelvis handla om sådant som var den enskilde vänder sig för att, om det är tillämpligt, få ett loggutdrag över den åtkomst som har förekommit till patientens uppgifter. I stället för att den enskilde exempelvis ska behöva vända sig flera av de inblandade utförarna i socialtjänsten kan det finnas skäl för dessa att komma överens om och praktiskt arrangera det på sådant sätt att den enskilde endast behöver vända sig till en aktör för att få loggutdraget. En sådan insats behöver naturligtvis inte administreras av de inblandade aktörerna, utan kan mycket väl skötas ett personuppgiftsbiträde. Vidare kan överenskommelsen även reglera hur och till vem de registrerade ska vända sig med frågor, synpunkter eller klagomål. En enskilds möjligheter att ta till vara sina rättigheter underlättas om det är tydligt vem han eller hon ska vända sig till med krav eller klagomål, t.ex. för det fall bristfällig information lämnats om vem som är personuppgiftsansvarig för behandling av personuppgifter som avser honom eller henne.
Att i lagen ställa krav på överenskommelse mellan de som bedriver verksamhet inom socialtjänst bidrar enligt vår bedömning till en förstärkning av integritetsskyddet och till en uppmärksamhet kring grundläggande informationssäkerhetsfrågor. För ett sådant samhällsviktigt område som socialtjänsten är informationssäkerheten en grundläggande förutsättning för att kärnverksamheten ska kunna fungera optimalt och på ett sätt som reducerar säkerhetsrisker som kan medföra negativa konsekvenser
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
712
för enskilda. Medborgare ska kunna känna trygghet och förtroende för att informationshanteringen utformas på ett sådant sätt att behovet av integritetsskydd förenas med möjligheterna att ge en rättssäker socialtjänst av god kvalitet, oavsett vilken av de inblandade aktörerna som den enskilde möter.
Kravet på överenskommelse innebär att samverkande aktörer, innan det faktiska samarbetet avseende behandlingen av personuppgifter inleds, behöver arbeta aktivt tillsammans för att identifiera vad överenskommelsen behöver innehålla för att informationssäkerheten och skyddet för den personliga integriteten ska kunna tillgodoses. För tillsynsmyndigheten blir det förhoppningsvis även, till skillnad från i dag, ett underlag för att mer effektivt kunna bedöma reella integritetsskyddsrisker och vidtagna åtgärder i sådana samarbeten inom socialtjänsten. Det bidrar även till att upprätthålla förtroendet för socialtjänstens informationshantering och reducera riskerna för sådana omotiverade och ofrivilliga integritetsförluster som annars kan uppstå om ett gemensamt grepp över dessa frågor saknas.
Ett tydligt tillämpningsområde för den föreslagna bestämmelsen är de samarbeten som förekommer på lokal och regional nivå när olika utförare utbyter personuppgifter genom direktåtkomst. De som bedriver socialtjänst har därför ett ansvar för att inte lämna ut uppgifter genom direktåtkomst till varandra om inte en sådan överenskommelse finns.
Ett tydliggörande av personuppgiftsansvaret
Generellt bedömer vi att det för skyddet av den enskildes personliga integritet finns starka skäl för att tydliggöra ansvaret för övergripande tekniska och organisatoriska åtgärder i sådana samarbeten där flera aktörer använder samma lösningar för att bland annat behandla personuppgifter. Förutom att det blir tydligt för den enskilde vilken aktör som den enskilde ska vända sig till i övergripande frågor, blir ansvaret även tydligt för de inblandade aktörerna själva. I dag kan detta ansvar ibland vara höljt i dunkel. Inte minst i sådana samarbeten där hundratals aktörer samverkar. Ett tydliggörande av personuppgiftsansvarets fördelning kan bland annat leda till att det fastställs att samtliga inblandade tillsammans har personuppgiftsansvar för övergripande säkerhetsåtgärder, men det kan även innebära att en eller ett fåtal av aktörerna anses ha
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
713
detta ansvar. Enligt utredningens uppfattning borde det senare, mot bakgrund av de faktiska omständigheterna inte vara en alltför ovanlig situation i de samarbeten som det kan vara fråga om.
I dessa samarbeten ingår aktörer som har vitt skilda förutsättningar att agera i frågor som rör de närmare villkoren för övergripande frågor. Det kan exempelvis ifrågasättas vilka reella möjligheter en privat utförare av socialtjänst har att utföra åtgärder för att påverka övergripande säkerhetsfrågor i system som utvecklats av en eller flera stora kommuner tillsammans. Inte sällan kan dessutom den privata utföraren vara mer eller mindre hänvisad till att använda en viss teknisk funktion eller ett visst system för den aktuella personuppgiftsbehandlingen. Motsvarade frågor aktualiseras även på en högre nivå, där det på samma sätt kan finnas skäl att analysera vilka faktiska möjligheter en mindre kommun har att påverka i frågor om t.ex. säkerhetsåtgärder relaterat till gemensamma lösningar för det som utvecklas inom ramen för projektet Effektiv informationsförsörjning.
Att vid behov tydligt peka ut en aktör som ansvarig för de övergripande åtgärderna skulle synliggöra ansvaret för de övergripande säkerhetsåtgärderna och bättre överensstämma med de faktiska förutsättningarna. Vi bedömer att detta behov, i takt med en mer gemensam utveckling, kommer att bli större än tidigare. Utvecklingen i socialtjänsten går, liksom i hela den offentliga e-förvaltningen, mot att många behöver samarbeta för att åstadkomma en informationshantering som är kostnadseffektiv, säker och ger en bra service till medborgarna. Inte sällan är dessa samarbeten i praktiken även en förutsättning för jämlika förhållanden för medborgare i olika delar av landet.
För att inte enskilda ska riskera att lida omotiverade integritetsförluster på grund av att personuppgiftsansvaret är oklart eller odefinierat till sitt innehåll anser utredningen att det finns skäl att i större utsträckning än vad som förekommit hittills tydliggöra personuppgiftsansvaret för övergripande säkerhetsåtgärder. Vår utgångspunkt är att frågor om personuppgiftsansvar i första hand bör hanteras av den eller de personuppgiftsansvariga själva. Det är de inblandade som har bäst kännedom om de bakomliggande faktorerna och de faktiska omständigheterna. Av den anledningen finns det skäl att stimulera de inblandade aktörerna att själva aktivt analysera och ta ställning till frågan om någon eller några anses ha ett personuppgiftsansvar för övergripande säkerhetsåtgärder. Det skulle i allt väsentligt vara en positiv utveckling ur ett integritets-
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
714
skyddsperspektiv. Därför föreslår vi en grundläggande bestämmelse som anger att flera som bedriver socialtjänst och som utbyter uppgifter genom direktåtkomst, eller på annat sätt samverkar vid behandling av personuppgifter, genom överenskommelse ska tydliggöra hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder. Syftet med bestämmelsen är att stimulera de inblandade aktörerna att analysera det närmare samarbetet och tydliggöra personuppgiftsansvaret utifrån de faktiska omständigheterna. Resultatet av överenskommelsen kan således vara att samtliga aktörer tillsammans anses ha personuppgiftsansvar för övergripande säkerhetsåtgärder, eller att en eller ett fåtal av de samverkande anses ha detta ansvar.
Enligt vår bedömning behövs ingen särskild författningsreglering som tydliggör att en av de inblandade aktörerna kan ha ett personuppgiftsansvar för övergripande frågor. Det följer redan av personuppgiftslagens (1998:204) principer och definitionen av personuppgiftsansvar. Inte heller hindrar bestämmelserna i förslaget till socialtjänstdatalag detta. Den grundläggande regleringen i socialtjänstdatalagen handlar närmast om på vilken organisatorisk nivå personuppgiftsansvaret ska ligga, snarare än att göra ett avsteg från den grundläggande principen om att personuppgiftsansvaret utgår ifrån de faktiska omständigheterna. Det faktum att den som bedriver socialtjänst är personuppgiftsansvar för den behandling av personuppgifter som utförs i dess verksamhet utesluter därför enligt vår bedömning inte att det kan finnas någon annan som också har ett personuppgiftsansvar i fråga om delar av den kedja av personuppgiftsbehandlingar som aktualiseras i samarbeten mellan utförare som bedriver socialtjänst m.fl.
Det är enligt vår bedömning inte möjligt att i lag fastslå vad ett ansvar för de övergripande säkerhetsåtgärderna innebär. Som tidigare påpekats handlar det om samarbeten av vitt skilda slag, av olika omfattning och för olika syften. Organisation, samarbetsformer och övriga faktiska omständigheter blir således avgörande för vad som mer specifikt kan anses ingå i ett sådant ansvar. Utgångspunkten bör dock vara ett personuppgiftsansvar för övergripande säkerhetsåtgärder exempelvis i förhållande till sådana funktioner och förutsättningar som utgör basen för den gemensamma personuppgiftsbehandlingen och som samtliga inblandade aktörer är beroende av och måste rätta sig efter. Som exempel på
SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga
715
sådana åtgärder som i olika utsträckning kan tänkas ingå i ett övergripande ansvar kan följande nämnas.
• Organisatoriska och administrativa åtgärder som risk- och sårbarhetsanalyser och kontinuerlig övervakning av de centrala tjänsterna.
• Kontroll över att de ingående aktörernas följer de gemensamma rutiner, regelverk och villkor som gäller för samarbetet.
• Ansvar för att förvalta och utveckla de centrala funktioner och tjänster som används för att skydda personuppgifterna.
• Kontinuerliga tester för att analysera att informationssäkerhetskraven uppfylls.
• Kontroll av personuppgiftsbiträden och underleverantörer.
• Ansvar för att personuppgiftsbiträdesavtal och instruktioner finns med förekommande externa leverantörer som behandlar personuppgifter för sådana ändamål som har att göra med de övergripande frågorna.
Utredningen anser således att frågan om fördelningen av personuppgiftsansvar för övergripande säkerhetsåtgärder ska avgöras med hänsyn till de faktiska omständigheterna i det enskilda fallet. Det är således upp till de samverkande personuppgiftsansvariga att analysera situationen och tydliggöra hur personuppgiftsansvaret är fördelat. Vi har i avsnitt 10 belyst frågan om hur ett övergripande personuppgiftsansvar kan identifieras utifrån de faktiska omständigheterna. I stället för att i detta sammanhang upprepa detta, hänvisar vi till det avsnittet. Samtidigt finns skäl att även här ge exempel på några konkreta omständigheter som enligt vår bedömning kan tyda på att en, eller ett fåtal, av de inblandade aktörerna har ett särskilt ansvar för övergripande säkerhetsåtgärder.
• Om en aktör dikterat villkoren för övrigas medverkan.
• Om en aktör har faktiska möjligheter och befogenheter att vidta åtgärder med avseende på den övergripande säkerheten för personuppgiftsbehandlingen.
• Om en aktör ansvarar för kravställning, utveckling, driftsättning och förvaltning av sådant som avser den övergripande säkerheten för personuppgiftsbehandlingen.
Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23
716
• Om det av avtal mellan de samverkande aktörerna framgår att en av dem har en dominerande och självständig ställning i frågor som rör övergripande säkerhetsåtgärder.
Samtidigt råder i många samarbeten naturligtvis helt andra förutsättningar än de som räknas upp ovan. Exemplen ska endast betraktas som vägledande just för frågan om någon av de inblandade kan anses ha ett ensamt personuppgiftsansvar för de övergripande säkerhetsåtgärderna. Oavsett om de inblandades bedömning resulterar i att personuppgiftsansvaret för frågor om organisatoriska och tekniska säkerhetsåtgärder är gemensamt eller om det ligger på en av aktörerna, ska det enligt vårt förslag framgå av överenskommelsen hur personuppgiftsansvaret är fördelat.
717
26 Elektroniskt utlämnande av personuppgifter
26.1 Bakgrund
Utredningen har i tidigare avsnitt redogjort för vilka ändamål personuppgifter ska få behandlas hos den som bedriver verksamhet inom socialtjänsten. Inom ramen för dessa ändamål kan det många gånger bli att aktuellt att behandla personuppgifter i form av att lämna ut uppgifter till någon utanför den egna verksamheten. Utlämnande kan t.ex. avse personuppgifter som begärs utifrån av en annan som bedriver verksamhet inom socialtjänsten eller föranledas av en särskilt reglerad uppgiftsskyldighet. Det kan t.ex. också avse sådana uppgifter som ska lämnas ut för att den egna verksamheten ska kunna fullgöra sina uppgifter, t.ex. i samband med samverkan mellan socialtjänsten och hälso- och sjukvården.
Personuppgifter kan lämnas ut på olika sätt. Ett sätt är via pappersutskrifter från en dator som postas eller sänds per telefax. Utlämnande kan också göras i elektronisk form t.ex. på medium för automatiserad behandling eller genom direktåtkomst. Den elektroniska formen inrymmer i sig ett stort antal variationer, t.ex. användning av e-post, lagring på diskett eller cd-rom, direkt överföring till ett datorsystem till ett annat via telenätet eller att en mottagare ges elektroniskt tillgång till det utlämnande organets datorsystem (direktåtkomst). Alla dessa olika varianter utgör behandling av personuppgifter enligt det begrepp som definieras i 3 § personuppgiftslagen (1998:204), förkortad PUL.
Personuppgiftslagen och dataskyddsdirektivet saknar bestämmelser som reglerar om eller under vilka förutsättningar uppgifter får lämnas ut i elektronisk form.1I lagen om behandling av person-
1Personuppgiftslagen (1998:204) och Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).
Elektroniskt utlämnande av personuppgifter SOU 2014:23
718
uppgifter inom socialtjänsten (2001:454), förkortad SoLPUL, anges inte heller några närmare förutsättningar för tillvägagångssättet vid utlämnanden. Däremot anges i lagens 8 § att det vid utlämnande gäller de begränsningar som följer av offentlighets- och sekretesslagen (2009:400), förkortad OSL, socialtjänstlagen (2001:453), förkortad SoL, och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS. För vissa utlämnanden av uppgifter till tredje land finns en bestämmelse i förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPULF.
Enligt utredningens bedömning innebär den särskilda tekniken för utlämnande i elektronisk form att det kan uppstå risk för ett otillbörligt intrång i integriteten. Normalt innebär nämligen just den elektroniska formen att mottagaren efter utlämnandet har större möjligheter att bearbeta informationen än om utlämnandet görs på papper. Utlämnande genom direktåtkomst innebär t.ex. att en mottagare har elektronisk tillgång till någon annans informationssystem eller databas och på egen hand kan söka efter information.
Grundläggande bestämmelser om utlämnande bör införas i den nya socialtjänstdatalagen för att upprätthålla höga krav på att ett utlämnande görs under säkerhetsmässigt godtagbara former.
26.2 Våra överväganden och förslag
26.2.1 Utlämnande på medium för automatiserad behandling
Vårt förslag:
I socialtjänstdatalagen ska anges att en personupp-
gift som får lämnas ut, kan lämnas ut på medium för automatiserad behandling. Regeringen eller den myndighet som regeringen bestämmer, får föreskriva de krav på säkerhetsåtgärder som ska gälla vid sådant utlämnande.
Vår utgångspunkt är att personuppgifter ska kunna lämnas ut på medium för automatiserad behandling om de får lämnas ut. Den nuvarande regleringen i SoLPUL medför inga hinder för socialtjänsten att lämna ut personuppgifter elektroniskt på detta sätt, under förutsättning att utlämnandet kan göras utan att sekretessen hindrar det och om personuppgiftsbehandlingen som sådan är laglig. Om uppgifter överhuvudtaget får lämnas ut bestäms av
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
719
bestämmelserna i offentlighets- och sekretesslagen samt av bestämmelserna om tystnadsplikt. Inom socialtjänsten råder en sträng sekretess och tystnadsplikt, vilket innebär att det alltid måste prövas om ett utlämnande över huvud taget kan göras eller inte. För att tydliggöra att personuppgifter får behandlas för ändamålet utlämnande har vi lämnat förslag på en uttrycklig bestämmelse i socialtjänstdatalagen. Bestämmelsen innebär att personuppgifter, som behandlas för ett tillåtet ändamål, också får behandlas för att fullgöra ett uppgiftslämnande som är lagligt.
Det finns enligt vår bedömning inget skäl att begränsa sådan användning av modern teknik som i dag finns i hela samhället. Utredningen har inte uppfattat något hinder mot att uppgifter kan lämnas ut från socialtjänsten på medium för automatiserad behandling. Ett sådant utlämnande kan exempelvis göras genom olika former av filöverföring eller på USB-minne. Det är upp till den som bedriver verksamhet inom socialtjänsten att efter en lämplighetsprövning ta ställning till valet mellan en automatiserad överföring och annan överföring.
Under utredningens arbete har det blivit tydligt att det både i socialtjänsten och i hälso- och sjukvården finns behov av att utveckla och implementera it-stöd som gör det möjligt att administrera elektroniska utlämnanden på ett ändamålsenligt och säkert sätt. Det skulle kunna förenkla och effektivisera sådana utlämnanden som görs mellan olika verksamheter inom socialtjänsten, exempelvis i kommunikationen mellan den beslutande nämnden och den utförare som den enskilde väljer. Andra användningsområden kan vara sådana utlämnanden som görs till enskilda eller som görs för forskningsändamål. Som ett exempel på ett område där utlämnanden på medium för automatiserad behandling regelmässigt görs kan den samordnade vårdplaneringen nämnas. De flesta kommuner och landsting har i dag möjlighet att kommunicera elektroniskt vid sådan samordnad vårdplanering som vid vissa tillfällen ska genomföras när patienter skrivs ut från slutenvården och är i behov av insatser från socialtjänsten och den kommunala hälso- och sjukvården.
Vid elektroniska utlämnanden är det viktigt att överföringen av uppgifter görs under former som garanterar en hög säkerhetsnivå. Utlämnande av personuppgifter på medium för automatiserad behandling är en form av behandling som omfattas av den föreslagna regleringen men även av personuppgiftslagen. Det innebär bl.a. att den personuppgiftsbehandling som utlämnandet innebär
Elektroniskt utlämnande av personuppgifter SOU 2014:23
720
måste vara tillåten enligt de ändamålsbestämmelser och de informationssäkerhetskrav som finns i den föreslagna lagen. Det innebär till exempel att utlämnande av känsliga personuppgifter över öppet nät, t.ex. internet, får göras om det endast är den avsedda mottagaren som kan ta del av uppgifterna och om uppgifterna är krypterade vid en eventuell överföring. Enligt utredningens bedömning bör det finnas närmare krav på säkerhetsåtgärder vid utlämnande i föreskrifter. Mot den bakgrunden föreslår vi att regeringen eller den myndighet som regeringen föreslår får meddela föreskrifter om krav på säkerhetsåtgärder vid utlämnanden på medium för automatiserad behandling. Enligt vår uppfattning bör vara Socialstyrelsen som, efter samråd med Datainspektionen, meddelar föreskrifter i ämnet.
26.2.2 Utlämnande genom direktåtkomst
Vårt förslag: I socialtjänstdatalagen ska anges att utlämnande
genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. I socialtjänstdatalagen regleras vissa fall av tillåten direktåtkomst.
Vår bedömning: Med direktåtkomst avses i socialtjänstdata-
lagen en form av elektroniskt utlämnande av personuppgifter till mottagare utanför den som bedriver verksamhet inom socialtjänstens organisation.
Det är i dag svårt att finna ett entydigt svar på frågan om vad som är skillnaden mellan direktåtkomst respektive utlämnande på medium för automatiserad behandling. Frågan är föremål för en översyn av Informationshanteringsutredningen (Ju 2011:11), som enligt sina direktiv ska överväga om det finns skäl att i registerförfattningar behålla åtskillnaden mellan olika former av elektroniskt utlämnande. Uppdraget ska redovisas 1 december 2014 och av direktiven framgår bland annat följande.2
Den tekniska utvecklingen har inneburit att det numera finns betydligt fler sätt att överföra uppgifter elektroniskt än tidigare och nya åtkomstmetoder tillkommer alltjämt. Detta har medfört att det uppfattas som oklart hur begreppen direktåtkomst och utlämnande på
2 Dir. 2011:86 s. 19.
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
721
medium för automatiserad behandling ska tillämpas på modernare metoder för informationsutbyte. Gränsdragningsproblematiken illustreras bl.a. i en rapport som har tagits fram av E-delegationens expertgrupp för rättsliga frågor (Vägledning för direktåtkomst och utlämnande på medium för automatiserad behandling). De aktuella begreppen används inte heller på ett enhetligt sätt i de olika registerförfattningarna och utöver nu nämnda begrepp förekommer andra begrepp, t.ex. ”elektronisk åtkomst” (SOU 2010:4 s. 364 f.). Mot den angivna bakgrunden ska utredaren analysera vilka effektivitetsvinster och integritetsrisker som är förknippade med olika former av elektroniskt informationsutbyte samt ta ställning till om det finns skäl att i registerförfattningarna upprätthålla en skillnad mellan direktåtkomst och andra former av elektroniskt utlämnande eller om denna åtskillnad bör utmönstras. Om utredaren anser att en åtskillnad mellan olika former av elektroniskt utlämnande även i fortsättningen bör upprätthållas, ska denne lämna förslag på vilka begrepp som bör användas samt hur dessa bör definieras.
Även om frågor om direktåtkomst är under översyn finns ett behov för socialtjänstens del att i detta sammanhang så långt möjligt beskriva vad dessa begrepp innebär och vad som skiljer olika former av utlämnanden åt. Eftersom vi föreslår ett antal bestämmelser om direktåtkomst i socialtjänstlagen är det därför nödvändigt att tydliggöra vad vi avser med direktåtkomst.
Det finns inte någon legaldefinition av begreppet direktåtkomst. En vedertagen uppfattning får dock anses vara att det innebär att en mottagare har elektronisk tillgång till någon annans informationssystem eller databas, t.ex. via internet, och på egen hand kan söka efter och ta del av information. Vanligtvis innebär direktåtkomst ingen möjlighet för mottagaren att kunna bearbeta eller på annat sätt påverka innehållet i det system, register eller databas som åtkomsten avser.3 Ibland kan mottagaren dock ha en möjlighet att kopiera eller på olika sätt ladda ner och hämta hem informationen till sitt eget system för fortsatt personuppgiftsbehandling.4
Frågan om vad som bör anses som direktåtkomst berördes bland annat av patientdatautredningen och i denna del ansluter vi oss till den utredningens resonemang. Inte minst eftersom det finns behov av ett harmoniserat regelverk mellan hälso- och sjukvården och socialtjänsten är det viktigt att detta begrepp inte skiljer sig åt för de olika verksamheterna. Patientdatautredningen anförde bland annat följande.5
3Prop. 2000/01:33 s. 110 f. 4 Se t.ex. Prop. 2001:02:144 s. 35 eller SOU 2001:100 s. 149. 5SOU 2006:82 s. 217.
Elektroniskt utlämnande av personuppgifter SOU 2014:23
722
I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Det innebär t.ex. att om vårdgivare A har direktåtkomst till samtliga uppgifter i ett register eller en databas hos vårdgivare B, så kan A själv välja vilka uppgifter den vill ta del av vid ett visst tillfälle, utan att B, d.v.s. den som är ansvarig för registret eller databasen, först fattar ett beslut om att just dessa uppgifter ska överföras till A. Beslutet om varje överföring fattas i stället av mottagaren. Direktåtkomst innebär att någon egentlig sekretessprövning hos B inte sker varje gång någon hos A använder direktåtkomsten för att ta del av en uppgift. Sekretessprövningen sker istället då B bestämmer vilka uppgifter som skall vara möjliga för A att ta fram via direktåtkomsten. Direktåtkomst kan därvid avse all information som finns samlad i ett datasystem eller endast en på förhand bestämd del av denna.
Regeringen uttalar även i förarbetena till patientdatalagen att det med direktåtkomst avses ett sätt att bereda sig automatisk tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation, men utan möjlighet att kunna bearbeta eller annars påverka uppgifternas innehåll.6
Mot denna bakgrund anser utredningen att med direktåtkomst ska i socialtjänstdatalagen avses en speciell form av elektroniskt utlämnande av personuppgifter till en mottagare utanför den organisation som bedriver verksamhet inom socialtjänsten. Direktåtkomst skiljer sig från andra typer av elektroniska utlämnanden genom att det är mottagaren av uppgifterna som bereder sig tillgång till informationen utan att den som lämnar ut informationen vidtar någon åtgärd med informationen vid överföringstillfället, till exempel en sekretessprövning. I de här fallen är det fråga om ett helt automatiskt utlämnande.
Sammantaget kan konstateras att direktåtkomst medför helt andra risker för integritetsskyddet än andra former av utlämnande som t.ex. innebär att beslut om utlämnande fattas vid varje givet överföringstillfälle. Därför bör det i socialtjänstdatalagen framgå att
utlämnande genom direktåtkomst endast är tillåten i den utsträck-
ning som anges i lag eller förordning. I linje med detta finns även skäl att här tydliggöra att bestämmelser om direktåtkomst inte anses ha en sekretessbrytande effekt enligt offentlighets- och sekretesslagen. Bestämmelser om direktåtkomst har en annan funktion än sekretessbrytande regler. Medan sekretessbrytande
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
723
regler anger i vilken mån sekretessbelagda uppgifter över huvud taget får lämnas från en myndighet till en annan, tar bestämmelser om direktåtkomst sikte på själva formerna för utlämnandet. Om en myndighet ska få ha direktåtkomst till uppgifter som omfattas av sekretess hos en annan myndighet måste bestämmelser om direktåtkomst därför kompletteras med en sekretessbrytande bestämmelse. I anslutning till våra resonemang om möjligheter till direktåtkomst inom socialtjänsten och mellan hälso- och sjukvården och socialtjänsten berörs denna fråga ytterligare.
Vidare kan konstateras att det i dag finns ett antal lagar som medger tillgång till uppgifter genom direktåtkomst för socialnämndens räkning. Som exempel kan nämnas att en socialnämnd under vissa förutsättningar har rätt att ta del av vissa uppgifter hos Centrala studiestödsnämnden, Försäkringskassan och arbetsförmedlingen genom direktåtkomst. I dessa fall är det dock registerförfattningarna för de respektive myndigheterna som reglerar förutsättningarna för den utlämnande myndigheten att medge direktåtkomst för socialnämnden. Det regleras således inte av socialtjänstdatalagen.
Genom vårt förslag får den som bedriver verksamhet inom socialtjänsten lämna ut personuppgifter genom direktåtkomst endast i den utsträckning som anges i lag eller förordning. I socialtjänstdatalagen ska vissa typer av tillåten direktåtkomst regleras, t.ex. mellan olika verksamheter som samtidigt genomför insatser rörande den enskilde eller i integrerade verksamheter för personer med sammansatta behov av hälso- och sjukvård och socialtjänst. Vidare föreslår vi att den som bedriver socialtjänst ska få medge en enskild direktåtkomst till personuppgifter om sig själv. Förslaget behandlas i avsnitt 33, tillsammans med ett antal övriga frågor som rör kommunikationen mellan socialtjänsten och enskilda.
26.2.3 Utlämnande av uppgifter till tredje land
Vårt förslag: Nuvarande bestämmelse i SoLPULF om överföring
av uppgifter till tredje land i ett ärende om fastställande av faderskap och om internationella adoptioner överförs till socialtjänstdatalagen. Även bestämmelsen i SoLPUL om regeringens möjligheter att meddela föreskrifter om när personuppgifter får föras över till tredje land överförs till socialtjänstdatalagen.
Elektroniskt utlämnande av personuppgifter SOU 2014:23
724
I personuppgiftslagen finns en bestämmelse om förbud mot överföring av personuppgifter till tredje land (33–35 §§). Med tredje land förstås en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet. Förbudet är inte undantagslöst utan i PUL finns en uppräkning av i vilka fall det är tillåtet att föra över personuppgifter till tredje land.
I SoLPUL finns en bestämmelse som föreskriver att regeringen får meddela föreskrifter om när personuppgifter får föras över till tredje land. Regeringen har i SoLPULF sedan föreskrivit att en kommunal myndighet får föra över uppgifter till tredje land i ett ärende om fastställande av faderskap och om internationella adoptioner (16 §). Möjligheterna att kunna överföra uppgifter i nämnda ärenden om faderskap och internationella adoptioner till tredje land är fortfarande aktuella och bör enligt utredningens bedömning tas in i den föreslagna socialtjänstdatalagen.
Vi föreslår även att bestämmelsen i SoLPUL om regeringens möjlighet att meddela föreskrifter om när personuppgifter får föras över till tredje land överförs till socialtjänstdatalagen.
26.2.4 Vissa bestämmelser om utlämnande från Statens institutionsstyrelse
Vårt förslag: Nuvarande bestämmelser i 10 a § SoLPULF om
vissa utlämnanden från Statens institutionsstyrelse till Försäkringskassan, Pensionsmyndigheten och Rikspolisstyrelsen förs över till lag (1998:603) om verkställighet av sluten ungdomsvård.
I nuvarande 10 a § SoLPULF finns bestämmelser om uppgiftsskyldighet för Statens institutionsstyrelse att lämna ut uppgifter till Försäkringskassan, Pensionsmyndigheten och Rikspolisstyrelsen. Det gäller personer som är intagna i särskilt ungdomshem med stöd av lagen (1998:603) om verkställighet av sluten ungdomsvård. Statens institutionsstyrelse ska fortlöpande lämna uppgifter om dagen för verkställighetens början och slut samt eventuell ändrad slutdag. Uppgifter ska även lämnas till Rikspolisstyrelsen, om dagen för verkställighetens början om den sammanlagda vårdtiden är minst ett år. Det finns även bestämmelser om skyldighet att i
SOU 2014:23 Elektroniskt utlämnande av personuppgifter
725
andra fall lämna uppgifter till Rikspolisstyrelsen i 34 § förordningen (1999:1134) om belastningsregister. Den uppgiftsskyldighet som är i fråga i aktuella fall hör ihop med bestämmelserna i lagen (1998:603) om verkställighet av sluten ungdomsvård och ska därför flyttas över till den lagen.
727
27 Nya möjligheter till informationsutbyte i socialtjänsten
27.1 Bakgrund
Vi har tidigare redogjort för de senaste årens strukturförändring inom socialtjänstens område. Antalet aktörer som bedriver socialtjänst har ökat väsentligt och enskilda har fått en ökad valfrihet att välja utförare för olika insatser. Utvecklingen medför behov av nya samarbeten och nya samarbetsformer på olika nivåer. För att samverkan ska bli ändamålenlig och bidra till en rättsäker socialtjänst av god kvalitet behöver informationshanteringen i den individinriktade verksamheten arrangeras på sätt som möjliggör detta. Det krävs naturligtvis insatser på en rad olika områden för att åstadkomma en ändamålsenlig och sammanhållen informationshantering i socialtjänsten. Det handlar bland annat om faktorer som ledning och styrning, arbetssätt, it-utveckling och olika former av kunskaps- och komptensstödjande insatser. Informatiken, dvs. frågor om gemensamt fackspråk och informationsstruktur är ytterligare ett exempel på ett nödvändigt utvecklingsområde.
Utöver detta är det naturligtvis även angeläget att socialtjänsten har legala förutsättningar som stimulerar och möjliggör en ändamålsenlig samverkan och informationshantering i den individinriktade verksamheten. Olika utförare som sida vid sida arbetar tillsammans för att ge den enskilde insatser av god kvalitet kan behöva utbyta uppgifter på ett effektivt och säkert sätt. För socialtjänstens del saknas dock lagstiftning som möjliggör informationsutbyte genom direktåtkomst exempelvis mellan olika utförare av socialtjänst eller mellan olika myndigheter på socialtjänstens områden inom samma kommun. Socialtjänsten har således inte
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
728
några möjligheter att utbyta information på ett sätt som motsvarar de möjligheter olika vårdgivare inom hälso- och sjukvården har att dela information i system för sammanhållen journalföring.
Vårt uppdrag i denna del handlar om hur lagstiftningen om personuppgiftbehandling i socialtjänsten kan utformas för att möta individens behov av rättssäkerhet och god kvalitet i en tid som präglas av valfrihet, mångfald och samverkan. Ur ett samhällsperspektiv handlar det även om frågan hur lagstiftningen kan bidra till att informationshanteringen i socialtjänsten kan arrangeras mer kostnadseffektivt, t.ex. genom att uppgifter kan behandlas och utbytas med moderna tekniska lösningar.
27.2 Våra överväganden och förslag
27.2.1 Direktåtkomst mellan myndigheter i samma kommun
Vårt förslag: En bestämmelse ska införas i socialtjänstdatalagen
som anger att om en kommun bedriver socialtjänst genom flera myndigheter eller sådana kommunala bolag som avses i 2 kap. 3 § offentlighet- och sekretesslagen (2009:400), förkortad OSL, får en sådan myndighet eller bolag ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet eller bolag i samma kommun.
Utredningen har i avsnittet om en mer ändamålsenlig sekretessreglering i socialtjänsten föreslagit en sekretessbrytande bestämmelse om att socialtjänstsekretess inte ska hindra att en uppgift lämnas ut från en myndighet inom socialtjänsten i en kommun till en annan sådan myndighet i samma kommun. För att förslaget i praktiken ska få avsedd effekt krävs att det kompletteras med en särskild bestämmelse som tillåter nämnderna och bolagen att ha direktåtkomst till varandras personuppgifter. Detta behövs eftersom det enligt förslaget till socialtjänstdatalag endast ska vara tillåtet med direktåtkomst i den utsträckning det framgår av lag eller förordning. En sådan bestämmelse är i konsekvens med motiven till sekretessgenombrottet och innebär att socialtjänstdatalagen inte samtidigt med förslaget i sekretessdelen uppställer nya hinder för uppgiftsutbytet inom kommuner som valt eller som överväger att dela upp socialtjänstverksamheten på olika nämnder. Stora tillämpningsproblem skulle i så fall kunna uppstå i frågor om
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
729
informationshanteringen. Därutöver riskerar sådana regler att låsa fast nämndstrukturerna i kommunen.
Utredningen föreslår därför att det införs bestämmelser som möjliggör för en kommun som bedriver socialtjänst genom flera myndigheter eller sådana kommunal bolag som avses i 2 kap. 3 § OSL, att ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet eller bolag i samma kommun. Det innebär att en kommun som väljer att organisera socialtjänsten på flera olika nämnder och bolag kan lämna ut personuppgifter mellan nämnderna och bolagen genom direktåtkomst.
Motsvarande förutsättningar finns redan i dag inom hälso- och sjukvårdens område, både för kommunala och landstingskommunala nämnder. Som motivering till förslaget om att kommunala nämnder som bedriver hälso- och sjukvård ska kunna utbyta uppgifter genom direktåtkomst anfördes bland annat följande av patientdatautredningen.1
En sådan bestämmelse är i konsekvens med motiven till sekretessgenombrottet och innebär att patientdatalagen inte parallellt med förslaget i sekretessdelen uppställer nya hinder för uppgiftsutbytet inom sådana landsting eller kommuner som valt att dela upp hälso- och sjukvårdsverksamheten mellan olika nämnder. Stora tillämpningsproblem torde i annat fall kunna uppstå. Då skulle uppgiftsflöde genom direktåtkomst mellan nämnderna i ett sådant landsting eller kommun enbart få ske med stöd av våra förslag om sammanhållen journalföring. Vad skulle då gälla när ett landsting, som satsar på att införa ett journalsystem under en nämnd, av organisatoriska eller politiska skäl senare väljer att dela upp verksamheten i flera nämnder? Sannolikt skulle det kräva en reglering för sådana fall av huruvida all befintlig vårddokumentation skall presumeras vara spärrad mellan nämnderna tills varje patients inställning klargjorts eller huruvida presumtionen ska vara omvänd. Man kan fråga sig om en reglering med sådana konsekvenser inte låser fast nämndstrukturerna i landsting och kommuner på ett olyckligt sätt. Våra förslag innebär att det i praktiken inte kommer att vara någon väsentlig skillnad i patientdatahanteringen om ett landsting eller en kommun bedriver hälso- och sjukvård genom en eller flera myndigheter.
Vår bedömning är att patientdatautredningens motivering, som regeringen sedan anslöt sig till i propositionen till patientdatalagen (2008:355), även gör sig gällande inom socialtjänstens område. Vi anser att det finns skäl att tillåta direktåtkomst mellan nämnder inom socialtjänsten i samma kommun. I annat fall skulle reglerna i
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
730
socialtjänstdatalagen ställa upp hinder som förslagen i sekretessdelen syftar till att undanröja.
Att medge direktåtkomst mellan kommunala nämnder innebär en ändamålsenlig flexibilitet och att de organisatoriska förutsättningarna inte tillåts styra flödet av information. I sammanhanget kan även konstateras att de kommuner som i dag i allt väsentligt har organiserat socialtjänsten i en och samma nämnd, redan har stora möjligheter till ett sådant ändamålsenligt och effektivt informationsutbyte som förslaget om direktåtkomst syftar till att möjliggöra för alla kommuner. Även denna fråga handlar, som vi ser det, ytterst om att öka förutsättningarna för en jämlik socialtjänst av hög kvalitet för alla, oavsett hur myndighetsstrukturen i olika kommuner ser ut.
Det är inte i fråga om att tillåta någon okontrollerad spridning av uppgifter. Den grundläggande bestämmelsen om inre sekretess, dvs. att den som arbetar i socialtjänsten endast får ta del av de uppgifter som behövs för arbetets utförande, gäller alltid. Vi har tidigare redogjort för ett antal andra förslag som bl.a. syftar till att stärka integritetsskyddet i socialtjänsten jämfört med vad som är fallet i dag. Våra förslag om sekretessbrytande regler och tillåten direktåtkomst ska därför även läsas i ljuset av förslagen som förtydligar det ansvar för en säker hantering av personuppgifter som den som bedriver verksamhet inom socialtjänsten har, liksom i ljuset av bestämmelserna om inre sekretess, behörighetsstyrning, åtkomstkontroll m.m. Exempelvis ska den som ansvarar för verksamheten i socialtjänsten genom behörighetsstyrning se till att behörig personal får tillgång till de uppgifter som behövs för att utföra arbete och samtidigt se till att begränsa behörigheten just efter detta behov. Socialtjänstdatalagen ska även tydliggöra ansvaret för fortlöpande och systematiska kontroller av åtkomsten till uppgifter om enskilda. Vidare har den som bedriver verksamhet i socialtjänsten alltid ett grundläggande ansvar för att se till att dokumenterade uppgifter hanteras och förvaras så att obehöriga inte får tillgång till dem. Dessutom innebär det övergripande ansvaret för de system som innehåller personuppgifter ett krav på att utforma systemen på ett sådant sätt att integritetsskyddet tillgodoses. Att direkt i verksamhetssystemen bygga in integritetsskyddande funktioner som för personalen gör det lätt att göra rätt och svårt att göra fel, har stora fördelar. Att implementera integritetsskydd genom teknik ger ökade förutsättningar för ett starkt integritetsskydd.
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
731
Utredningens sammantagna bedömning är att de integritetsskyddande bestämmelserna tillsammans med dessa nya möjligheter till informationsutbyte ger en bra balans mellan de olika intressen som behöver värnas.
Med vårt förslag får alla kommuner – oavsett hur den interna myndighetsstrukturen ser ut – samma grundläggande möjlighet att ordna informationshanteringen på ett sätt som ser till att individens behov av rättssäkerhet och god kvalitet tillgodoses. Vidare kan informationshanteringen bli mer kostnadseffektiv eftersom uppgifter, under vissa förutsättningar, tillåts utbytas på ett sätt som minskar de administrativa insatserna som exempelvis sekretessprövningar och utlämnanden på medium för automatiserad behandling ger upphov till. Direktåtkomst innebär även att behovet av dubbeldokumentation, dvs. att samma uppgift behöver dokumenteras flera gånger på flera ställen, minskar. Detta eftersom uppgifterna så fort de har dokumenterats kan hållas potentiellt tillgängliga för de behöriga användare som i enskilda situationer har ett behov av uppgifterna för att kunna utföra sitt arbete. Genom förslaget kan sådana verksamheter inom socialtjänsten som kommunen driver i egen regi utbyta viktig information om enskilda utan fördröjning. Inte minst för enskilda som på grund av sitt hälsotillstånd växelvis kan få insatser tillgodosedda t.ex. i hemmet, på korttidsboende eller i särskilt boende medför reglerna om direktåtkomst att insatserna alltid kan utföras med stöd av korrekt och aktuell information.
Genom att tillgången till uppgifter blir tillåten utifrån det behov som föreligger, snarare än utifrån vilken organisatorisk del i kommunens socialtjänstverksamhet som uppgifterna dokumenterats i, får kommunen även väsentligt förbättrade möjligheter att bedriva ett systematiskt kvalitetsarbete och att planera och följa upp verksamheten. Exempelvis kan med vårt förslag uppgifter sambearbetas oavsett om uppgifterna finns utspridda i olika system i kommunens verksamhet och oavsett om uppgifterna finns hos ett kommunalt bolag eller myndighet inom socialtjänsten. Det sagda gäller förstås under förutsättning att socialtjänstdatalagens och personuppgiftslagens (1998:204), förkortad PUL, övriga bestämmelser följs. Det innebär t.ex. att uppgifter som kan härledas till en enskild bara får användas om det verkligen behövs för att t.ex. göra uppföljningen ändamålsenlig. Vidare kan det många gånger vara lämpligt att bygga in integritetsskyddande funktioner i ITsystemen som exempelvis gör att personuppgifter kan behandlas på
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
732
systemnivå utan att några direkt utpekande personuppgifter exponeras i sammanställningar eller underlag som ska användas för exempelvis kvalitetsarbete eller annan uppföljning av verksamheten.
27.2.2 Direktåtkomst mellan olika utförare i socialtjänsten
Vårt förslag: I socialtjänstdatalagen införs en reglering som
innebär att olika utförare som bedriver verksamhet inom socialtjänst – under vissa förutsättningar – kan få direktåtkomst till personuppgifter hos varandra. Direktåtkomsten ska begränsas till personuppgifter som behandlas för dokumentation av genomförande av beslut om bistånd, stödinsatser, vård eller behandling. Som ytterligare förutsättningar ska gälla att uppgifterna rör en enskild som är föremål för genomförande av insatser hos både utlämnande och mottagande verksamhet inom socialtjänsten. Dessutom ska krävas att den enskilde samtycker till utlämnandet genom direktåtkomst.
Utlämnande genom direktåtkomst på detta sätt ska endast få göras så länge den enskilde är föremål för genomförande av insatser hos den utlämnande verksamheten.
Ifråga om överenskommelser för att fastställa hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses vid utlämnande genom direktåtkomst, se vidare avsnitt 25.
Inledning
På hälso- och sjukvårdens område har det sedan år 2008 varit möjligt för olika vårdgivare att under vissa förutsättningar utbyta vårddokumentation genom direktåtkomst, s.k. sammanhållen journalföring. För socialtjänstens del saknas motsvarande möjligheter. I dag är det inte tillåtet för olika utförare inom socialtjänsten att ha direktåtkomst till varandras personuppgifter. Behov kan t.ex. finnas när den enskilde har insatser från en utförare på dagen och en annan på kvällen eller när flera olika utförare samtidigt står för olika insatser som den enskilde har rätt till.
Vi har i tidigare avsnitt redogjort för den kraftfulla ökningen av antalet aktörer inom socialtjänstens område som har ägt rum under de senaste åren. Även den ökade valfriheten för enskilda att välja
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
733
utförare för olika insatser har medfört behov av nya samarbeten och samarbeten på nya nivåer. Det är därför angeläget att socialtjänsten också har legala förutsättningar som möjliggör en ändamålsenlig samverkan i den individinriktade verksamheten. Olika utförare som sida vid sida arbetar tillsammans för att ge den enskilde insatser av god kvalitet kan behöva utbyta uppgifter på ett effektivt och säkert sätt. Det handlar om ett behov av en mer sömlös informationshantering som ser till att uppgifter finns tillgängliga när de behövs, där de behövs utan omotiverad tidsfördröjning. Inte minst för den enskildes behov av kontinuitet och säkerhet kan tillgång till rätt information i rätt tid vara avgörande.
Mot denna bakgrund föreslår vi en reglering som innebär att olika utförare som bedriver socialtjänst kan – under vissa förutsättningar – få direktåtkomst till personuppgifter hos varandra. Det rör sig således om en möjlighet att på frivillig väg utbyta information om enskilda. Vidare bör regleringen utformas på ett sätt som både motsvarar verksamheternas behov och möjligheter att utbyta uppgifter samt enskildas behov av skydd för den personliga integriteten.
Några utgångspunkter
Det finns en mängd olika tänkbara alternativ för att reglera en sådan direktåtkomst som det är fråga om här. Vi ställer oss dock tveksamma till motsvarande lösning som finns inom hälso- och sjukvården eftersom behoven i socialtjänsten är delvis annorlunda. Inom hälso- och sjukvården behöver uppgifter ofta färdas före patienterna. Detta beror bland annat på att patienterna är rörliga och när som helst kan vända sig till vilken vårdgivare som helst med sitt hälsoproblem. I praktiken behöver uppgifter därför finnas potentiellt tillgängliga på den plats behovet av uppgifter kan komma att uppstå, redan innan detta behov rent faktiskt infinner sig. Det kan vara en fråga om liv eller död att uppgifterna finns snabbt tillgängliga.
Någon sådant omedelbart behov av uppgifter är det oftast inte fråga om inom socialtjänsten. Inom socialtjänsten initieras normalt ett ärende efter en kontakt med den enskilde. En behovsbedömning görs och ett biståndsbeslut fattas. Därefter väljer den enskilde utförare eller blir tilldelad en eller flera utförare. Det finns
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
734
i socialtjänsten helt andra förutsättningar att i samband med handläggningsprocessen och den enskildes val av utförare planera och ordna det informationsutbyte som behövs när väl behovet uppstår. Enligt vår bedömning finns därför inte något behov av att generellt låta uppgifter vara potentiellt tillgängliga för ett ospecificerat antal utförare.
Mot bakgrund av detta är utredningens utgångspunkt att direktåtkomsten, dvs. den potentiella tillgången till uppgifter om enskilda, ska vara begränsad till att avse endast de enskilda som faktiskt och för tillfället är föremål för insatser hos både utlämnande och mottagande utförare. Det innebär vidare att direktåtkomsten endast ska omfatta det informationsutbyte som behövs i samband med genomförandefasen i socialtjänsten. Vi har under arbetets gång övervägt om det även skulle vara tillåtet med direktåtkomst mellan en utförande privat verksamhet och kommunens myndighetsutövande del. Vi har dock inte funnit övervägande skäl som talar för en sådan direktåtkomst. Även om det naturligtvis i vissa situationer finns ett behov av informationsutbyte mellan t.ex. den biståndshandläggande verksamheten och en privat utförare, betraktar vi behovet som mer avgränsat och tillfälligt än vad som är fallet i genomförandefasen.
I sammanhanget ska även nämnas att den uppgiftsskyldighet som vi föreslår för enskilda verksamheter i förhållande till kommunen som huvudman, kommer att ge nya möjligheter jämfört med vad som gäller i dag. Kommunen får med vårt förslag bättre möjligheter att använda personuppgifter som dokumenterats i enskilda verksamheter för att fullgöra huvudmannens ansvar för kvaliteten i socialtjänsten. Ett sådant uppgiftsutbyte kan även göras elektroniskt på medium för automatiserad behandling, t.ex. genom filöverföring. Sammantaget anser vi därför att de förslag som vi lägger i andra delar motsvarar de behov som kommunens myndighetsutövande del har av uppgifter från enskilda utförare.
Genom att införa en bestämmelse som tillåter direktåtkomst görs det exempelvis möjligt för olika verksamheter, kommunala som enskilda, att vid behov ha direktåtkomst till uppgifter rörande en enskild som är föremål för insatser av de olika verksamheterna. Det kan exempelvis handla om att företaget A som står för hemtjänstinsatser dagtid och företaget B som står för motsvarande insatser under kvällstid, kan medge varandra direktåtkomst till uppgifter om den enskilde brukaren som dokumenteras i respektive
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
735
organisation. Det kan göras oavsett om insatser utförs till förmån för en enskild i ordinärt eller i särskilt boende.
För att medge direktåtkomst enligt bestämmelsen ställs ett antal grundläggande krav för att skydda den enskildes personliga integritet. Bestämmelsen kan på inget sätt ge stöd för ett okontrollerat flöde av uppgifter mellan verksamheter som saknar eller har vaga behov av tillgång till uppgifterna. Tillämpningsområdet handlar snarast om de verksamheter som redan i dag kan utbyta uppgifter mellan varandra när bestämmelserna om sekretess och tystnadsplikt ger stöd för det, dvs. när utlämnandet bedöms kunna göras utan att den enskilde lider men av det. I sådana fall ska, med vårt förslag, även modern, säker och effektiv teknik kunna användas.
Vidare riktar sig bestämmelsen till alla som bedriver verksamhet inom socialtjänsten, dvs. både kommunala myndigheter, enskilda verksamheter och Statens institutionsstyrelse.
Bestämmelser om direktåtkomst är inte sekretessbrytande. Av den anledningen föreslår utredningen att det, som en konsekvens av förslaget om direktåtkomst mellan olika utförare, införs en sekretessbrytande bestämmelse som gör detta möjligt. Se vidare avsnitt 27.2.7.
Den enskilde ska vara aktuell i båda verksamheterna
Enligt utredningens förslag får direktåtkomst endast medges till uppgifter som i den utlämnande verksamheten behandlas för dokumentation av genomförande av beslut om bistånd, stödinsatser, vård eller behandling. Vidare krävs att uppgifterna rör en enskild som är föremål för genomförande av sådana insatser hos både utlämnande och mottagande verksamhet inom socialtjänsten. Genom detta krav tydliggörs att direktåtkomst aldrig får medges till uppgifter rörande enskilda som vid utlämnandetillfället inte är föremål för insatser i respektive verksamhet. Den som bedriver verksamhet inom socialtjänsten får därmed inte genom direktåtkomst ha potentiell tillgång till uppgifter om individer som inte är aktuella i den egna verksamheten.
Till skillnad mot vad som gäller för hälso- och sjukvården enligt reglerna om sammanhållen journalföring får olika verksamheter inom socialtjänsten inte genom direktåtkomst hålla personuppgifter rörande individer som möjligen kan bli aktuella i verksamheten tillgängliga för varandra. Mot bakgrund av socialtjänstens
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
736
karaktär saknas det behovet i princip helt. I socialtjänsten finns tid att i samband med biståndshandläggning och val av utförare hantera frågor om behov av informationsöverföring mellan olika verksamheter.
Vår bedömning är att detta krav innebär att behovet av en ändamålsenlig informationshantering balanseras mot behovet av skydd för den personliga integriteten. En enskild som samtycker till denna typ av direktåtkomst ska känna trygghet inför att uppgifterna endast kan nås av den utförare som faktiskt utför insatser för individens räkning. Någon potentiell tillgång, dvs. teknisk möjlighet, att ta del av uppgifterna för andra utförare är således inte tillåtet.
Den enskildes samtycke är en förutsättning
Eftersom de uppgifter som hanteras i socialtjänsten ofta är av integritetskänslig natur är det rimligt att ge den enskilde en rätt att själv ta ställning till frågan om direktåtkomst mellan olika utförare. Det ligger även i linje med den grundläggande principen om frivillighet inom socialtjänsten. Vidare finns, som redovisats ovan, i socialtjänsten inte motsvarande brådskande skäl att hålla personuppgifter tillgängliga som det ofta kan vara fråga om i hälso- och sjukvården. I socialtjänsten är det i allmänhet tillräckligt och fullt möjligt att inhämta ett samtycke under handläggningsprocessen och inför att genomförandet av beslutade insatser startas. Den enskildes delaktighet gör tillsammans med processen i socialtjänsten att det finns goda förutsättningar, t.ex. i form av tid och kontakter, att även låta samtycket ligga till grund för den direktåtkomst som föreslås.
Mot den bakgrunden föreslår vi att en förutsättning för direktåtkomst mellan utförare i socialtjänsten är att den enskilde har lämnat sitt samtycke till detta. Redan i dag inhämtas samtycke i många situationer i socialtjänsten, vilket gör att det bör finnas förutsättningar att inhämta även detta samtycke inom ramen för de befintliga rutinerna.
Det ett sådant samtycke som följer av personuppgiftslagen som avses i vårt förslag. Det innebär att samtycket ska vara frivilligt, särskilt och informerat. Kravet på att samtycket ska vara särskilt innebär att ett helt generellt samtycke till behandling av personuppgifter inte godtas. Det bör egentligen vara oproblematiskt i
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
737
detta fall eftersom det här handlar om den specifika och särskilda situationen när uppgifter behandlas genom att lämnas ut genom direktåtkomst. Dessutom är den tillåtna behandlingen begränsad till den tid när den enskilde får insatser utförda av den som lämnar ut uppgifterna. När insatserna upphör ska inte utlämnande genom direktåtkomst längre få förekomma.
Den som bedriver socialtjänst ska informera den enskilde om vilka slags uppgifter det är fråga om och vilket som är ändamålet med att lämna ut uppgifterna genom direktåtkomst. Först när information har lämnats och den enskilde gett sitt samtycke får personuppgiftsbehandlingen inledas (informerat samtycke). Innan dess får uppgifterna inte göras potentiellt tillgängliga för en annan utförare. Samtycket ska således inhämtas av den personuppgiftsansvarige som står i begrepp att lämna ut personuppgifterna genom direktåtkomst. Många gånger kan det dock finnas behov för två utförare att ömsesidigt lämna ut personuppgifter till varandra genom direktåtkomst. Det finns i sådana fall inget hinder mot att utförarna samarbetar i fråga om rutiner, tillvägagångssätt och praktiskt genomförande för att inhämta samtycke. Många gånger kan det ur den enskildes perspektiv även vara lämpligt. Som redovisats ovan kan det även vara möjligt att ordna samtyckeshanteringen på sådant sätt att det kan göras redan i samband med eller i anslutning till att biståndsbeslutet beviljas och den enskilde väljer utförare av insatserna. Samtycket kan också inhämtas först när den enskilde möter och har kontakt med utförarna av insatserna, t.ex. i samband med hemtjänst i ordinärt eller särskilt boende.
Det krävs inte att samtycket är skriftligt, men vid en eventuell tvist har den personuppgiftsansvarige bevisbördan för att ett giltigt samtycke har inhämtas. Det är således upp till parterna att avgöra om situationen är sådan att ett skriftligt samtycke är att föredra eller inte. Oavsett om den enskilde lämnar samtycke muntligt eller skriftligt, kan det finnas skäl att den personuppgiftsanvarige dokumenterar att samtycke har inhämtats.
Tiden för direktåtkomst är begränsad
För att säkerställa den enskildes integritet föreslår utredningen att den som lämnar ut uppgifter om en enskild genom direktåtkomst får göra det så länge den enskilde är föremål för genomförande av
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
738
bistånd, stödinsatser, vård eller behandling hos den utlämnande verksamheten. När den enskilde inte längre är aktuell i verksamheten ska således utlämnandet genom direktåtkomst upphöra. Syftet med bestämmelsen är att åstadkomma en situation som innebär att personuppgifter inte behandlas för utlämnande genom direktåtkomst längre än vad som behövs med hänsyn till ändamålet med behandlingen. Bestämmelsen förhindrar därmed att olika verksamheter har direktåtkomst till uppgifter i varandras system om enskilda som inte längre är föremål för de olika verksamheternas insatser. Den potentiella tillgången till uppgifter ska därmed vid varje given tidpunkt inte vara större än vad som är motiverat för individens och verksamhetens behov.
27.2.3 Personer med nedsatt beslutsförmåga
Vårt förslag: Den som bedriver verksamhet inom socialtjänsten
får medge en annan sådan verksamhet direktåtkomst till personuppgifter som behandlas för att dokumentera genomförandet av beslut om bistånd, stödinsatser, vård eller behandling om en enskild som inte endast tillfälligt saknar förmåga att lämna samtycke om
1. den enskilde är föremål för genomförande av insatser hos både utlämnande och mottagande verksamhet inom socialtjänsten, och
2. uppgifterna kan antas ha betydelse för att genomföra de insatser som är nödvändiga med hänsyn till den enskildes behov.
Även personer med nedsatt beslutsförmåga, som inte kan samtycka till att information utbyts genom direktåtkomst, har behov av att nödvändig information finns tillgänglig vid en insats. Behovet av tillgång till aktuell information vid rätt tillfälle kan väga tyngre än den enskildes behov av ett sådant skydd för den personliga integriteten som ett exkluderande från dessa möjligheter skulle kunna innebära.
Utredningen har under sitt arbete uppfattat att många enskilda redan i dag förutsätter att viktig information finns tillgänglig vid själva utförande av insatsen. Enligt utredningens bedömning ska det avgörande inte vara i vilken organisation uppgifterna är dokumenterade utan i vilken vård- eller omsorgssituation uppgifterna
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
739
behövs. Detta är än mer nödvändigt när den enskilde inte själv kan redogöra för viktiga detaljer kring sitt tillstånd.
I den föreslagna socialtjänstdatalagen finns antal krav som särskilt syftar till att tillförsäkra den enskilde ett starkt integritetsskydd. Därutöver omfattas den som arbetar i socialtjänsten av bestämmelser om sekretess och tystnadsplikt. Den som bedriver socialtjänst har ett tydligt ansvar för att vidta tekniska och organisatoriska åtgärder för att tillgodose behovet av skydd för den personliga integriteten. Detta kommer bl.a. till utryck genom de bestämmelser om inre sekretess, behörighetsstyrning, åtkomstkontroll m.m. som utredningen föreslår. Det grundläggande integritetsskyddet ska vara starkt för alla som är i behov av socialtjänstens stöd.
Frågan om hur lagstiftaren ska hantera personer som saknar förmåga att ta ställning till en viss personuppgiftsbehandling är komplex och ger upphov till svåra avvägningar. Samtidigt anser vi att lagstiftaren har ett särskilt ansvar för att se till att den grupp människor som kanske har allra mest att vinna på ett smidigt och ändamålsenligt informationsutbyte mellan olika utförare, också omfattas av de möjligheter som gäller för de personer som själva kan föra information vidare och ta ställning i dessa frågor.
Utredningen anser att det finns skäl att möjliggöra direktåtkomst även om den enskilde saknar förmåga att ta ställning till det, men att det samtidigt måste ställas krav på en aktiv bedömning av om det finns något behov av ett sådant informationsutbyte. I det följande redovisas de närmare förutsättningarna enligt vårt förslag.
Om enskild inte endast tillfälligt saknar förmåga att samtycka får, enligt vårt förslag, den som bedriver verksamhet inom socialtjänsten medge en annan sådan verksamhet direktåtkomst till personuppgifter som behandlas för att dokumentera genomförandet av beslut om bistånd, stödinsatser, vård eller behandling för personer som inte endast tillfälligt saknar förmåga att samtycka. Även denna bestämmelse uppställer krav på att uppgifterna rör en enskild som är föremål för genomförande av sådana insatser hos både den utlämnande och mottagande verksamheten inom socialtjänsten.
Enligt utredningens bedömning ska vidare krävas att uppgifterna som omfattas av utlämnande genom direktåtkomst måste bedömas nödvändiga med hänsyn till den enskildes omsorgsbehov eller hälsotillstånd. Det handlar om att de uppgifter som lämnas ut ska bedömas vara nödvändiga med beaktande av den enskildes
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
740
behov och för att uppnå god kvalitet i de insatser som utförs. Detta ställer krav på att den som bedriver verksamhet inom socialtjänsten vid olika situationer dels tar ställning till vilken typ av uppgifter som är nödvändiga att utbyta genom direktåtkomst, dels skapar tekniska förutsättningar för att lämna ut just den för ändamålet relevanta informationen. Bestämmelsen kan därför sägas ge uttryck för målsättningen att se till att rätt information finns på rätt plats, varken mer eller mindre.
Enligt utredningens bedömning är det viktigt att en enskild som inte endast tillfälligt saknar beslutsförmåga ska kunna omfattas av bestämmelserna om direktåtkomst. Behovet av att nödvändiga uppgifter finns tillgängliga i samband med insatser för denna grupp individer går inte att ifrågasätta och väger tyngre än det intrång i den enskildes integritet som dessa bestämmelser kan innebära. Utredningen anser att det inte skulle vara försvarbart att ställa denna grupp av enskilda utanför denna möjlighet till ändamålsenlig informationshantering. Det skulle inte heller vara förenligt med de grundläggande målen i socialtjänstlagen (2001:453), förkortad SoL, om att främja människors sociala trygghet och jämlikhet i levnadsvillkor. Genom kravet på att det för sådan direktåtkomst krävs att uppgifterna behövs för insatser som är nödvändig med hänsyn till den enskildes behov, säkerställs att direktåtkomsten bara är tillåtet i vissa speciella situationer. För att den som arbetar inom socialtjänsten sedan ska få ta del av uppgifterna i ett aktuellt fall krävs att uppgifterna behövs för att kunna genomföra beslut om bistånd, stödinsatser, vård eller behandling. Bestämmelserna om behörighetstilldelning och åtkomstkontroll innebär ett ytterligare skydd för den enskildes integritet.
27.2.4 Tillåtna ändamål vid direktåtkomst till uppgifter hos annan verksamhet
Vårt förslag: I socialtjänstdatalagen ska anges att den som
bedriver verksamhet inom socialtjänsten får ta del av uppgifter om en enskild som har gjorts tillgängliga genom direktåtkomst, endast om uppgifterna behövs för att genomföra beslut om bistånd, stödinsatser, vård eller behandling eller för att systematiskt och fortlöpande utveckla och säkra kvaliteten av sådana insatser, vård eller behandling som har genomförts. I paragrafen ska även tas in en påminnelse om att bestämmelserna om
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
741
behörighetstilldelning och åtkomstkontroll även gäller vid direktåtkomst till uppgifter hos en annan verksamhet.
Vår bedömning: I praktiken tydliggörs genom bestämmelsen
att den som arbetar inom socialtjänsten får ta del av sådana uppgifter om en enskild som gjorts tillgängliga genom direktåtkomst endast om uppgifterna behövs för att genomföra beslut om bistånd, stödinsatser, vård eller behandling eller för att säkra och utveckla kvaliteten av sådan verksamhet.
Tillåtna ändamål
I avsnittet ovan har vi redogjort för när direktåtkomst överhuvudtaget får göras möjligt. För att motsvara de högt ställda kraven för att tillvarata den enskildes integritet anser utredningen att dessa bestämmelser måste kompletteras med en bestämmelse om vad direktåtkomsten får användas till, dvs. för vilka ändamål den som bedriver verksamhet inom socialtjänst får ta del av uppgifter hos annan som bedriver sådan verksamhet. Bestämmelsen riktar sig till den som ansvarar för verksamheten, men ska också ge närmare vägledning för de som arbetar i socialtjänsten och tydliggöra för vilka skäl de kan ta del av uppgifter genom direktåtkomst.
Syftet med bestämmelserna om direktåtkomst är att förbättra omhändertagandet om den enskilde genom att de som arbetar inom socialtjänsten får tillgång till rätt information på ett snabbt och tekniksäkert sätt. Den som arbetar hos någon som bedriver verksamhet inom socialtjänsten ska därför få ta del av sådana uppgifter om en enskild som gjorts tillgängliga genom direktåtkomst, om uppgifterna behövs för att genomföra beslut om bistånd, stödinsatser, vård eller behandling. Bestämmelsen bygger på socialtjänstdatalagens grundläggande ändamålsbestämmelse, där ett tillåtet ändamål är personuppgiftsbehandling för genomförande av beslut om bistånd, stödinsatser, vård eller behandling.
Vidare anser utredningen att verksamheter som har ett nära samarbete kring en enskild också måste kunna utvecklas och förbättras. Behoven av att kvalitetssäkra och utveckla socialtjänsten är inte mindre i dessa situationer jämfört med situationer där individens alla insatser tillgodoses av en och samma aktör. För att inte förutsättningarna för att kvalitetssäkra den socialtjänst
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
742
enskilda får i dessa fall ska vara sämre än motsvarande förutsättningar i den egna verksamheten, krävs att reglerna om informationshantering inte sätter upp hinder för detta. Mångfalden av utförare och ökade möjligheter för enskilda att fritt välja utförare gör också att allt fler aktörer är involverade i de insatser som enskilda blivit beviljade. För att enskilda ska tillförsäkras en socialtjänst av hög kvalitet behöver det finnas goda legala möjligheter att bedriva ett effektivt kvalitetssäkringsarbete vid sådana samarbeten.
Mot den bakgrunden föreslår utredningen att direktåtkomst också ska få användas för att systematiskt och fortlöpande utveckla och säkra kvaliteten av sådana insatser, vård och behandling som enskilda har fått. Det handlar därmed om att kvalitetssäkra den egna verksamheten i relation till enskilda som är föremål för flera olika aktörers insatser och samverkan.
Utredningens förslag innebär således en begränsning av för vilka ändamål den som bedriver verksamhet inom socialtjänsten genom direktåtkomst får ta del av uppgifter hos annan som bedriver sådan verksamhet, jämfört med vad som gäller för personuppgiftsbehandling i den egna verksamheten.
I övrigt ska dock enskilda yrkesutövare göra samma bedömning som gäller när yrkesutövaren tar del av uppgifter i den egna verksamheten. Det betyder att den grundläggande bestämmelsen om inre sekretess även gäller vid sådan direktåtkomst som de här är fråga om. Det är således endast den som har behov av uppgifterna för att kunna genomföra beslut om bistånd, stödinsatser, vård eller behandling eller för att säkra och utveckla kvaliteten av sådana insatser m.m. som har en laglig rätt att ta del av dem.
Behörighetsstyrning och åtkomstkontroll
Det är viktigt att framhålla att de grundläggande bestämmelserna om behörighetsstyrning och åtkomstkontroll gäller för personalens åtkomst till uppgifter som annan verksamhet gjort tillgängliga genom direktåtkomst. Det innebär exempelvis att den som bedriver verksamhet inom socialtjänsten måste analysera vilka anställda som behöver tillgång till vilka uppgifter som gjorts tillgängliga av andra verksamheter och därefter utforma och tilldela behörigheter som är begränsade till den respektive anställdes behov av uppgifter.
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
743
Det uppställs även krav på dokumentation av åtkomst och kontroll av åtkomst när personal genom direktåtkomst tar del av uppgifter som en annan verksamhet gjort tillgängliga.
Utredningen föreslår att en påminnelse om att socialtjänstdatalagens bestämmelser om behörighetstilldelning och åtkomstkontroll även gäller vid direktåtkomst till uppgifter hos en annan verksamhet, tas in i den här aktuella paragrafen om direktåtkomst.
27.2.5 Personuppgiftsansvar
Vårt förslag: Den som bedriver verksamhet inom socialtjänsten
är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som utförs i dess verksamhet. Det omfattar även sådan behandling av personuppgifter som görs när den som bedriver verksamhet inom socialtjänsten genom direktåtkomst lämnar ut eller tar del av personuppgifter.
Enligt den grundläggande bestämmelsen i socialtjänstdatalagen om personuppgiftsansvar gäller att den som bedriver verksamhet inom socialtjänsten är personuppgiftsansvarig för den behandling av personuppgifter som utförs i dess verksamhet. Utredningens bedömning är att motsvarande bestämmelse ska gälla även vid sådan personuppgiftsbehandling som utförs när den som bedriver verksamhet inom socialtjänsten genom direktåtkomst som nu är aktuell lämnar ut personuppgifter eller genom direktåtkomst tar del av personuppgifter som annan sådan verksamhet gjort tillgängliga.
Detta innebär att bl.a. att den som gör en personuppgift tillgänglig genom direktåtkomst har personuppgiftsansvar för att det görs i enlighet med de grundläggande bestämmelserna. Vilket innebär att det ska avse genomförande av beslut om bistånd, stödinsatser, vård eller behandling om det avser en enskild som är föremål för genomförande av sådana insatser hos både utlämnande och mottagande verksamhet. Den enskilde ska även samtycka till det. På motsvarande sätt är den som bedriver verksamhet inom socialtjänsten och som genom direktåtkomst tar del av personuppgifter som gjorts tillgängliga, personuppgiftsansvarig för den personuppgiftsbehandling som detta innebär. Det personuppgiftsansvaret omfattar således ett ansvar för att de grundläggande
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
744
förutsättningarna för att få använda direktåtkomsten är uppfyllda. Ansvaret omfattar även att säkerställa att kraven på behörighetstilldelning och åtkomstkontroll tillgodoses.
27.2.6 Bevarande och gallring
Vårt förslag: När personuppgifter genom direktåtkomst är
tillgängliga för flera som bedriver verksamhet inom socialtjänsten gäller skyldigheten att bevara uppgifterna endast den som ansvarar för uppgiften. Om en uppgift är tillgänglig för en kommunal myndighet och Statens institutionsstyrelse bara genom direktåtkomst och myndigheten inte ansvarar för uppgiften, får myndigheten gallra den från sitt arkiv.
Grundläggande bestämmelser om bevarande och gallring av uppgifter i socialtjänsten finns i socialtjänstlagen och i lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS. Dessutom gäller bestämmelserna i arkivlagen (1990:782) för bevarande och gallring av allmänna handlingar. När direktåtkomst nu föreslås behöver det klargöras vem som har skyldighet att bevara uppgifterna. När personuppgifter är tillgängliga genom direktåtkomst för flera som bedriver verksamhet inom socialtjänsten så ska skyldigheten att bevara uppgifterna endast gälla den som ansvarar för uppgifterna. Detta ansvar har alltså inte den som endast har potentiell tillgång till dessa uppgifter. Det innebär i princip att det för respektive uppgift som görs tillgänglig genom direktåtkomst endast är en verksamhet som har ansvaret för att uppgiften bevaras, arkiveras och gallras.
Om en uppgift bara är tillgänglig för en kommunal myndighet och Statens institutionsstyrelse genom direktåtkomst och myndigheten inte ansvarar för uppgiften ska myndigheten få gallra den från sitt arkiv. Den här gallringsregeln behövs bland annat för att inte någon av de deltagande myndigheterna ska bli arkivansvariga för enskilda verksamheters uppgifter som myndigheten har potentiell tillgång till.
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
745
27.2.7 Sekretessbrytande regel
Vårt förslag: En bestämmelse ska införas i 26 kap. OSL och
ange att sekretess enligt 26 kap. 1 § inte hindrar att uppgift lämnas till en myndighet som bedriver verksamhet socialtjänst eller till en enskild verksamhet på socialtjänstens område enligt vad som föreskrivs om direktåtkomst i 5 kap. socialtjänstdatalagen.
Vår bedömning: Bestämmelsen syftar till att möjliggöra den
direktåtkomst mellan olika verksamheter i socialtjänsten som föreslås i socialtjänstdatalagen. Någon motsvarande bestämmelse som bryter tystnadsplikten i privat verksamhet bedöms inte behövas. Inte heller behövs någon bestämmelse om absolut sekretess som liknar den som i dag gäller vid direktåtkomst mellan vårdgivare i hälso- och sjukvården (25 kap. 2 § OSL).
Utredningen har föreslagit bestämmelser i socialtjänstdatalagen som möjliggör att en kommun, som bedriver socialtjänst genom flera myndigheter eller sådana kommunala bolag som avser i 2 kap. 3 § OSL, ska kunna ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet eller bolag i samma kommun (se avsnitt 27.2.1). Direktåtkomst ska även vara möjligt för olika utförare inom socialtjänsten att lämna ut personuppgifter genom direktåtkomst till annan som bedriver verksamhet inom socialtjänsten (avsnitt 27.2.2).
Utredningen har även konstaterat att förslagen om sekretessgenombrott (avsnitt 27.2.1) inte upphäver sekretessgränser mellan en myndighet inom socialtjänsten i en kommun till en annan sådan myndighet i samma kommun. Det innebär bland annat att det fortfarande är fråga om ett utlämnande enligt tryckfrihetsförordningens och offentlighets- och sekretesslagens mening när uppgifter utbyts mellan nämnderna och att det krävs en särskild bestämmelse som tillåter nämnderna att ha direktåtkomst till varandras uppgifter.
Vid direktåtkomst blir personuppgifter potentiellt tillgängliga för myndigheter eller andra som bedriver verksamhet inom socialtjänst och det görs ett utlämnande i tryckfrihetsförordningens och offentlighets- och sekretesslagens mening. Redan i detta skede måste en myndighet göra en prövning av om det finns
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
746
något hinder enligt offentlighets- och sekretesslagen mot att uppgifterna lämnas ut till samtliga mottagare som har tillgång till uppgifterna.
Socialtjänstsekretessen har ett omvänt rekvisit som förutsätter en prövning i varje enskilt fall av om socialtjänstdokumentation kan lämnas ut utan men för den enskilde eller någon närstående till honom eller henne.2Det är inte möjligt att använda de sekretessbrytande undantagen som i övrigt finns i offentlighets- och sekretesslagen när det är fråga om direktåtkomst eftersom grunden är att uppgifterna ska finnas potentiellt tillgängliga under de förutsättningar som anges i socialtjänstdatalagen. Den så kallade generalklausulen i 10 kap. 27 § OSL, som inskränker i vissa delar sekretesskyddet, omfattar inte socialtjänstsekretess. Bestämmelsen i 10 kap. 2 § OSL som säger att sekretess inte utgör hinder mot att en uppgift lämnas ut till en enskild eller till en annan myndighet om det är nödvändigt för att den myndighet som lämnar ut uppgiften ska kunna göra fullgöra sin egen verksamhet kan inte användas. Inte heller finns det någon uppgiftsskyldighet som avses i 10 kap. 28 § samma lag som skulle möjliggöra nu aktuellt utlämnade.
Bestämmelserna om direktåtkomst enligt 5 kap. socialtjänstdatalagen innebär att den enskilde ska vara föremål för genomförande av beslutade insatser både hos utlämnande och mottagande verksamhet inom socialtjänsten och att den enskilde ska samtycka till direktåtkomsten. Den enskildes samtycke innebär bara att direktåtkomst får användas men innebär inte ett samtycke i varje enskilt fall, vilket krävs för att ett utlämnande ska få göras med stöd av samtycke enligt offentlighets- och sekretesslagen.3
Socialtjänstsekretessen utgör därmed ett hinder mot att möjliggöra direktåtkomst, om det inte införs en sekretessbrytande regel. Det krävs alltså ändringar i offentlighets- och sekretesslagen för att föreslaget om direktåtkomst ska kunna tillämpas. Utredningen föreslår därför att en sekretessbrytande regel tas in i offentlighets- och sekretesslagen för att möjliggöra föreslagen om direktåtkomst.
Utredningens bedömning är att det inte finns några skäl ur integritetssynpunkt som talar emot förslaget om sekretessbrytande regel när det gäller direktåtkomst, eftersom förslaget ska ses tillsammans med övriga förslag till integritetskyddande regler i socialtjänstdatalagen. Som framgår av avsnitt 27.2.4 ska direktåt-
226 kap. 1 § offentlighets- och sekretesslagen (2009:400). 3 Jfr 12 kap. 2 § offentlighets- och sekretesslagen.
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
747
komst bara vara möjligt då den enskilde är föremål för genomförande av beslutade insatser hos både utlämnande och mottagande verksamhet inom socialtjänsten och när den enskilde samtycker till direktåtkomsten. Det införs även bestämmelser om att det ska göras en risk- och sårbarhetsanalys och en överenskommelse om informationssäkerhet m.m. innan direktåtkomst möjliggörs samt om att direktåtkomsten ska begränsas i tid. I de fall den enskilde inte kan samtycka på grund av att denne inte endast tillfälligt saknar beslutsförmåga, får direktåtkomst medges bara om uppgifterna kan antas ha betydelse för att genomföra de insatser som är nödvändiga med hänsyn till den enskildes behov.
För att ytterligare stärka individens behov av integritetsskydd har utredningen även föreslagit att författningsbestämmelser om inre sekretess, behörighetsstyrning och åtkomstkontroll införs i den nya socialtjänstdatalagen (se avsnitt 24). Bestämmelserna saknas i dag och bidrar enligt utredningens bedömning till att stärka integritetsskyddet och upprätthålla förtroendet för informationshanteringen i socialtjänsten. I socialtjänstdatalagen föreslås också bestämmelser om en enskilds rätt att kontrollera vilken åtkomst som faktiskt har förekommit till dokumentationen. Utredningens bedömning är att de bestämmelser som föreslås i socialtjänstdatalagen sammantaget ger ett gott integritetsskydd som klart uppväger den föreslagna lättnaden sekretessen.
Tystnadsplikten i enskild verksamhet
Offentlighets- och sekretesslagen gäller bara för den allmänna socialtjänsten. För personal inom den enskilda verksamheten inom socialtjänsten gäller tystnadsplikt enligt 15 kap. 1 § SoL och 29 § LSS. Tystnadsplikten innebär att den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet som avser insatser enligt socialtjänstlagen och lagen om stöd och service till viss funktionshindrade inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskildas personliga förhållande.
Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Vid tolkningen av detta obehörighetsrekvisit har det ansetts naturligt att söka ledning i offentlighets- och sekretesslagens regler.4
4 Jfr prop. 2005/06:141 s. 63 och prop. 2005/06:161 s. 82 och 93.
Nya möjligheter till informationsutbyte i socialtjänsten SOU 2014:23
748
Mot bakgrund av att en sekretessbrytande regel införs i offentlighets- och sekretesslagen och med hänsyn till att det i socialtjänstdatalagen anges förutsättningarna för när direktåtkomst kan medges gör utredningen bedömningen att tystnadsplikten i den yrkesmässigt bedrivna enskilda verksamheten inte utgör något hinder mot den direktåtkomst som föreslås.
Bestämmelse om absolut sekretess behövs inte
För myndigheters del innebär en potentiell tillgång till uppgifter genom direktåtkomst att uppgifterna anses som en förvarad och inkommen allmän handling, i enlighet med tryckfrihetsförordningens bestämmelser, hos varje myndighet som är ansluten till systemet med direktåtkomst. Därför uppkommer vissa särskilda frågor om sekretess. Även uppgifter som genom direktåtkomst görs tillgängliga för myndigheter av enskilda, privata, verksamheter blir redan vid tillgängliggörandet inkomna allmänna handlingar hos samtliga myndigheter som tekniskt kan bereda sig tillgång till uppgifterna.
En konsekvens av detta är att en begäran om att få del av allmänna handlingar ur systemet för direktåtkomst kan riktas till vem som helst av de anslutna myndigheterna. För hälso- och sjukvårdens del finns därför en bestämmelse om absolut sekretess i 25 kap. 2 § OSL. Bestämmelsen har bedömts nödvändig eftersom hälso- och sjukvårdssekretessen inte är absolut. Vid avsaknaden av bestämmelser om absolut sekretess skulle därför en vårdgivare som är ansluten till ett system för sammanhållen journalföring, om någon begär att uppgifter i systemet lämnas ut, vara tvungen att ta del av uppgifterna för att kunna pröva om de kan lämnas ut, oavsett om vårdgivaren har någon patientrelation till den aktuella patienten. För att förhindra sådan omotiverad åtkomst till uppgifter endast för att kunna ta ställning till frågan om utlämnande finns därför en bestämmelse om absolut sekretess. Bestämmelsen innebär att absolut sekretess gäller hos en vårdgivande myndighet för uppgifter som en annan vårdgivare har gjort tillgänglig för myndigheten i ett system för sammanhållen journalföring i sådana situationer då de förutsättningar för behandling av uppgifterna som anges i 6 kap. patientdatalagen inte är uppfyllda. När myndigheten saknar befogenhet enligt patientdatalagen att behandla uppgifterna ska uppgifterna således omfattas av absolut sekretess och
SOU 2014:23 Nya möjligheter till informationsutbyte i socialtjänsten
749
myndigheten skulle då inte behöva ta del av de närmare uppgifterna om personen för att kunna konstatera att så är fallet.
Även vårt förslag om direktåtkomst mellan de som bedriver socialtjänst innebär att uppgifter som är tillgängliga genom direktåtkomst är att anse som allmänna handlingar enligt tryckfrihetsförordningen. Vi har därför övervägt om det även för socialtjänstens del behövs en motsvarande bestämmelse om absolut sekretess. I denna del har vi dock kommit fram till att det, på grund av konstruktionen av förslaget om direktåtkomst i socialtjänstdatalagen, inte är motiverat. Till skillnad mot vad som gäller i system för sammanhållen journalföring får de som bedriver socialtjänst endast ha direktåtkomst, dvs. teknisk möjlighet att ta del av uppgifter, avseende enskilda som är föremål för genomförandeinsatser i verksamheten. Någon potentiell tillgång till uppgifter rörande enskilda som inte är aktuell i verksamheten är det därför inte fråga om. Mot den bakgrunden bedömer vi att det inte är motiverat med bestämmelser om absolut sekretess för direktåtkomst mellan utförare i socialtjänsten.
751
28 Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten
28.1 Bakgrund
Verksamhet inom socialtjänsten ska enligt grundläggande bestämmelser i 3 kap. 3 § i socialtjänstlagen (2001:453), förkortad SoL, vara av god kvalitet. Av bestämmelsen följer även att det för utförandet av arbetsuppgifter i socialtjänsten ska finnas personal med lämplig utbildning och erfarenhet. Vidare anges att krav på att kvaliteten i verksamheten systematiskt och fortlöpande utvecklas och säkras. Motsvarande krav ställs även i lagen (1993:387) om stöd och service till vissa funktionshindrade.
Socialstyrelsen har sedan i föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete närmare preciserat kraven på socialtjänsten. Bland annat ska den som bedriver socialtjänst ha ett ledningssystem som ska användas för att systematiskt och fortlöpande utveckla och säkra verksamhetens kvalitet. Den som bedriver verksamheten ska med stöd av ledningssystemet planera, leda, kontrollera, följa upp, utvärdera och förbättra verksamheten. Ledningssystemet ska vidare ge stöd åt ett fortlöpande systematiskt förbättringsarbete, där vikt läggs vid förebyggande åtgärder som riskanalyser för att kunna hindra att enskilda tar skada eller att missförhållanden eller andra avvikelser inträffar. I föreskrifterna definieras kvalitet som att en verksamhet uppfyller de krav och de mål som gäller för verksamheten enligt lagar och andra föreskrifter om socialtjänst och stöd och service till vissa funktionshindrade och beslut som har meddelats med stöd av sådana föreskrifter.
Lagstiftningen och Socialstyrelsens föreskrifter innebär att socialtjänsten måste arbeta systematiskt med att utveckla och säkra
Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten SOU 2014:23
752
kvaliteten i alla nivåer av verksamheten. Kvalitetsbegreppet omfattar därmed socialtjänstens strukturinriktade, allmänt inriktade och individinriktade verksamhet. Vidare gäller kraven på god kvalitet för alla som bedriver socialtjänst, offentliga som enskilda verksamheter.
Utredningen har under arbetets gång kunnat konstatera att det pågår flera olika utvecklingsprojekt, både lokal, regionalt och nationellt, för att stödja kvalitetsutvecklingen inom socialtjänsten. I detta sammanhang kan exempelvis nämnas de olika satsningar som görs inom ramen för regeringens och Sveriges Kommuner och Landstings, SKL, överenskommelse om evidensbaserad praktik. Regeringen och SKL ingick 2010 en överenskommelse om en plattform för arbete med att utveckla en evidensbaserad praktik inom socialtjänsten. Målet är att enskilda ska få ta del av insatser som bygger på bästa tillgängliga kunskap. Med evidensbaserad praktik innebär, enligt överenskommelsen från 2013, en medveten och systematisk användning av flera kunskapskällor för beslut om insatser. Tanken är att den enskilde och yrkesutövarna utifrån bästa tillgängliga kunskap, den enskildes erfarenheter och professionernas expertis fattar beslut om lämpliga insatser. Evidensbaserad praktik beskrivs även som ett förhållningssätt för ett ständigt och systematiskt lärande. Som ett exempel kan nämnas programmet Leda för Resultat, som arbetar för att öka kunskapen om hur ledningen i socialtjänsten kan arbeta strategiskt med resultatstyrning för att öka kvaliteten och utveckla verksamheten. Ett annat exempel är satsningarna som görs för att initiera, genomföra och utveckla en systematisk uppföljning inom de verksamhetsområden som riktar sig till personer med funktionshinder. Satsningen är inriktad på uppföljning både på individ-, verksamhets- och systemnivå. Ett tredje exempel är satsningen för att påskynda och underlätta utvecklingen av eHälsa i socialtjänsten, dels genom statliga stimulansmedel till kommunerna och regionala samordnare, dels genom nationella stödinsatser.
Insatserna för att främja en evidensbaserad praktik och utvecklingen av eHälsa har flera gemensamma nämnare. För båda områdena är frågor om informationshantering centrala. De handlar båda om ett strategiskt utvecklingsarbete som enskilda kommuner kan ha svårt att genomföra helt på egen hand. Utvecklingen av en enhetlig och strukturerad dokumentation är en del av arbetet med ehälsa, och är också en förutsättning för en evidensbaserad praktik
SOU 2014:23 Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten
753
baserad på ett systematiskt lärarande och uppföljning av resultat och arbetssätt.
Vidare behövs en nationell informationsstruktur för att information ska kunna återanvändas i olika verksamheter, av olika användare och för olika ändamål. I överenskommelsen pekas därför särskilt på sambandet mellan evidensbaserad praktik och eHälsa.1
Verksamhetsuppföljning och kvalitetsarbete kan bedrivas på en mängd olika sätt, i olika skeden och på olika nivåer i verksamheten. För att följa upp och säkra kvaliteten i verksamheten samt skapa bättre resultat för individerna i socialtjänsten finns därför ofta ett behov av att låta dokumenterade uppgifter om enskilda och om genomförandet av insatser samt resultaten av dessa ligga till grund för ett ständigt förbättringsarbete. Personuppgiftbehandlingen behöver utföras i olika skeden av ett systematiskt kvalitetsarbete. Det är nödvändigt för att ge underlag för att kunna mäta och värdera resultatet av verksamhetens insatser, identifiera förbättringsområden, kartlägga processer och följa upp effekter av olika arbetssätt. Dagens socialtjänst med valfrihet för individer och ökad mångfald av utförare ställer även delvis nya krav på kvalitetssäkringen. I egenskap av huvudman har kommunen ett ansvar för socialtjänsten, oavsett om den bedrivs i egen regi eller av enskilda utförare. Det finns behov av att hålla ihop kvalitetsarbetet så att medborgare tillförsäkras en god kvalitet i socialtjänsten oavsett vilken aktör som står för genomförandet av insatsen. Mot den bakgrunden behöver även informationshanteringen för att utveckla kvaliteten i socialtjänsten i större utsträckning än tidigare ta sin utgångspunkt i och följa individernas processer och deras möten med kommunala eller privata utförare av socialtjänst.
Vårt uppdrag
Personuppgiftsbehandling för verksamhetsuppföljning och kvalitetssäkring kan göras på många olika sätt och på olika nivåer i socialtjänsten. På verksamhetsnivå, t.ex. inom en utförares verksamhet, används ofta personuppgifter för utförarens lokala kvalitetsarbete. Vid sidan om detta finns även behov för kommunen i egenskap av huvudman för socialtjänsten att kunna behandla personuppgifter som dokumenterats hos olika utförare för att i sin
1 Stöd till en evidensbaserad praktik för god kvalitet inom socialtjänsten, Överenskommelser för år 2013 mellan staten och Sveriges Kommuner och Landsting.
Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten SOU 2014:23
754
tur kunna arbeta med den övergripande kvalitetssäkringen av socialtjänsten i kommunen. Därutöver kan viss personuppgiftsbehandling aktualiseras vid uppföljning, analyser och jämförelser av kvaliteten i socialtjänsten i olika delar av landet.
I utredningens direktiv anför regeringen att personal och beslutsfattare bör få använda uppgifter i olika slags stödsystem för att löpande kvalitetssäkra och förbättra insatserna som vänder sig direkt till enskilda och att relevant lagstiftning bör främja en effektiv och ständigt pågående förbättringsprocess inom socialtjänsten.2
Vidare har under utredningens arbete i olika sammanhang frågan väckts om socialtjänsten har behov av en motsvarande reglering som finns för hälso- och sjukvårdens del i form av regelverket för nationella och regionala kvalitetsregister.
28.2 Våra överväganden
Vår bedömning: Våra förslag i tidigare avsnitt innebär förbätt-
rade möjligheter till verksamhetsuppföljning och kvalitetssäkring inom socialtjänsten. Vi har inte funnit övervägande skäl som talar för att en motsvarighet till regleringen av nationella kvalitetsregister i hälso- och sjukvården bör införas på socialtjänstens område. Vi bedömer att socialtjänsten med våra förslag får förutsättningar att bedriva ett systematiskt kvalitetsarbete som i praktiken kan jämföras med hälso- och sjukvårdens möjligheter.
Vi har i tidigare avsnitt redogjort för ett antal förslag som på olika sätt förbättrar möjligheterna till kvalitetssäkring och verksamhetsuppföljning på socialtjänstens område. Våra förslag ger ökade möjligheter såväl för ett lokalt kvalitetsarbete exempelvis hos enskilda utförare av socialtjänst, som för ett mer övergripande kvalitetsarbete hos den ansvariga kommunen. I praktiken innebär våra förslag, som vi ser det, även bättre förutsättningar att implementera system för kvalitetssäkring och uppföljning som möjliggör uppföljning och jämförelser av socialtjänstens verksamhet i olika delar av landet.
2 Dir. 2011:11.
SOU 2014:23 Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten
755
Förslagen är dock i viss utsträckning utspridda på ett antal olika avsnitt i detta betänkande. Det kan därför finnas anledning att här lämna en korfattad, men mer samlad bild såväl av de enskilda förslagens påverkan på möjligheter till kvalitetssäkring och verksamhetsuppföljning som av förslagens samlade effekt.
Ändamålsbestämmelser som inkluderar kvalitetsarbete och verksamhetsuppföljning för alla som bedriver socialtjänst
Av vårt förslag till ändamålsbestämmelse i socialtjänstdatalagen framgår att personuppgifter ska få användas även för verksamhetsuppföljning och kvalitetssäkring. I många fall torde det vara fråga om uppgifter som primärt samlats in därför att de behövs i den individinriktade verksamheten, vid handläggning av ärenden eller vid genomförandet av insatser, och som sedan återanvänds för uppföljning och kvalitetssäkring. Samtidigt kan det även vara fråga om att samla in personuppgifter särskilt för något av dessa ändamål, t.ex. genom att be enskilda fylla i enkäter kring upplevelserna av socialtjänstens verksamhet.
För kommunala myndigheter är detta möjligt redan i dag, men med vårt förslag görs personuppgiftsbehandling för dessa ändamål även möjliga för enskilda verksamheter inom socialtjänstens område. Vi har tidigare pekat på att begränsningarna för enskilda verksamheter att behandla personuppgifter för kvalitetssäkring inverkar negativt på enskilda individers möjligheter att få en jämlik och högkvalitativ socialtjänst oberoende av vilken aktör som står för genomförandet av insatser. Med vårt förslag ges verksamheter som utför likartade insatser samma möjligheter att bedriva ett ständigt förbättringsarbete genom en systematisk kvalitetssäkring.
De möjligheter som tillhandahålls innebär att personuppgifter får behandlas om det behövs för kvalitetssäkring och verksamhetsutveckling, men förslaget innebär naturligtvis inte att det blir tilllåtet att utan inskränkning eller behovsbedömning behandla personuppgifter. Den grundläggande begränsningen i personuppgiftslagen (1998:204) om att inte fler personuppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, måste alltid beaktas. Det gäller oavsett vilka syften personuppgifter behandlas för och innebär att den personuppgiftsansvarige alltid har att bedöma vilka personuppgifter som behöver användas för olika ändamål. Särskilt vid sådan personuppgiftsbehandling som
Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten SOU 2014:23
756
inte direkt syftar till att öka nyttan för den individ vars personuppgifter behandlas, finns skäl att vara särskilt noggrann vid bedömningen av vilka uppgifter som behöver behandlas och i vilken utsträckning det exempelvis räcker att behandla personuppgifter som endast indirekt pekar ut den enskilde. Samtidigt bedömer utredningen att den tekniska utvecklingen har medfört att personuppgiftsbehandling för ändamål som exempelvis kvalitetssäkring och verksamhetsuppföljning i delar av bearbetningen borde kunna göras utan att personuppgifter som direkt identifierar enskilda exponeras. I regel saknas det exempelvis behov av direkt utpekande personuppgifter i sådana resultatsammanställningar som tas fram. Se vidare avsnitt 23 om ändamålsbestämmelsen.
Ny sekretessreglering, uppgiftsskyldighet och nya möjligheter till direktåtkomst ger bättre förutsättningar för kvalitetsarbete och verksamhetsutveckling
I sammanhanget kan förtydligas att uppföljning av socialtjänst på ett övergripande plan inom en myndighet inte är att betrakta som en egen verksamhetsgren som är självständig i förhållande till den individinriktade verksamheten inom samma myndighet på sätt som avses i 8 kap. 2 § offentlighets- och sekretesslagen (2009:400). Motsvarande bedömningar har bland annat gjorts på hälso- och sjukvårdens område i samband med patientdatareformen.3 I förarbetena till lagen (2005:787) om behandling av personuppgifter i Tullverkets verksamhet framhöll regeringen, med anledning av lagrådets påpekande, att planering, uppföljning och utvärdering av verksamheten i fråga måste anses vara en så integrerad del av själva verksamheten att den inte kan ses som en fristående aktivitet.4Detta innebär att det inte finns någon formell gräns mellan verksamhetsuppföljning på ett övergripande plan och den individinriktade socialtjänstverksamheten. Så länge det bedrivs inom samma myndighet finns det således ingen sekretessgräns mellan dessa verksamheter.
Däremot finns det i dag en sekretessgräns mellan olika myndigheter som bedriver socialtjänst inom samma kommun, dvs. mellan olika nämnder som delats upp efter sakområden, geografiska områden eller på annat sätt. För att kvalitetsarbete och verksam-
3SOU 2006:82 s. 418. 4Prop. 2004:05:164 s. 66.
SOU 2014:23 Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten
757
hetsuppföljning ska kunna göras på central nivå i kommunen, krävs i dagsläget således att en sekretessprövning leder till att uppgifterna kan lämnas ut till den kommunala myndighet som är tänkt att genomföra verksamhetsuppföljningen eller kvalitetssäkringsarbetet. Enligt utredningens bedömning kan sekretessregleringen därmed begränsa möjligheterna till gemensam och individbaserad uppföljning avseende kommunens totala socialtjänstverksamhet.
Vi har, bland annat mot bakgrund av ovanstående, i avsnitt 21 lämnat förslag till en mer ändamålsenlig sekretessreglering i socialtjänsten. Vårt förslag om slopade sekretessgränser mellan nämnder och kommunala bolag i en kommun, har inte bara betydelse för den informationshantering som förekommer i den individinriktade verksamheten utan omfattar också utbyte av uppgifter för uppföljning och kvalitetssäkring. Ett sådant uppgiftsutbyte kommer enligt vårt förslag att kunna göras utan hinder av sekretess. I praktiken innebär det att kommunen, med hjälp av att behandla personuppgifter, kan genomföra en mer samlad verksamhetsuppföljning än vad som är fallet om uppgifter inte hade fått sambearbetas mellan de olika kommunala myndigheterna på socialtjänstens område. Vårt förslag innebär att alla kommuner, alldeles oavsett hur de har valt att organisera sin myndighetsstruktur inom socialtjänsten, får samma legala möjligheter att följa upp, säkra och utveckla kvaliteten i verksamheten.
Därutöver har vi i avsnitt 27 lämnat förslag till nya möjligheter till direktåtkomst till personuppgifter som behandlas enligt socialtjänstdatalagen. Utredningens förslag till direktåtkomst mellan myndigheter och kommunala bolag på socialtjänstens område i samma kommun innebär ökade möjligheter att arrangera personuppgiftsbehandlingen på ett ändamålsenligt och effektivt sätt, även för behov som finns för verksamhetens uppföljning. Sammantaget kommer det att vara möjligt för en kommun att, med stöd av moderna tekniska lösningar, behandla personuppgifter för kvalitetssäkring och uppföljning även om uppgifterna är utspridda i olika system hos olika kommunala myndigheter inom socialtjänsten.
Vidare är utredningens generella utgångspunkt att det kommunala huvudmannaskapet innebär ett ansvar för uppföljning och kvalitetssäkring av all socialtjänstverksamhet som erbjuds invånarna. Det innebär att kommunen bör ha motsvarande möjligheter att följa upp kvaliteten av insatser som utförs av sådana enskilda verksamheter som kommunen har huvudmannaansvar för. Det har i tidigare utredningar bedömts att reglerna om tystnads-
Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten SOU 2014:23
758
plikt inte hindrar ett utlämnande från en enskild verksamhet till den kommunala myndighet som ansvarar för verksamheten.5 Det saknas dock uttryckligt lagstöd för en sådan bedömning. Mot den bakgrunden har vi i avsnitt 21.3.2 lämnat förslag om uppgiftsskyldighet som tydliggör att ett sådant utlämnande kan göras utan hinder av tystnadsplikt. Vårt förslag innebär att det är tillåtet för enskilda verksamheter inom socialtjänsten att lämna ut de uppgifter som den beslutande kommunala nämnden behöver t.ex. för kvalitetssäkring och verksamhetsuppföljning. Förslaget innebär ingen inskränkning i den enskilda verksamhetens eget ansvar för att bedriva ett systematiskt kvalitetsarbete, men det gör det möjligt för kommunen att genomföra en samlad uppföljning av all socialtjänstverksamhet som kommunen ansvarar för gentemot invånarna. I sammanhanget ska samtidigt erinras om att kommunen alltid har att göra en bedömning av vilka personuppgifter som är nödvändiga att behandla för att följa upp och säkra kvaliteten i verksamheten. Att slentrianmässigt begära uppgifter från enskilda verksamheter utan att ha gjort en närmare analys av uppgifterna är nödvändiga med hänsyn till ändamålet kommer inte att vara tillåtet.
När det gäller tillvägagångssättet för utlämnande av uppgifter från enskilda verksamheter till den ansvariga kommunala myndigheten innebär vårt förslag att uppgifterna kan lämnas ut på medium för automatiserad behandling, dvs. elektroniskt. Vi föreslår däremot inte att utlämnandet ska kunna göras genom direktåtkomst. Något sådant behov för den kommunala nämnden att på eget initiativ och utan att den enskilda verksamheten vet vilka uppgifter kommunen tar del av eller när det görs, har vi inte funnit. Vi bedömer snarare att kommunen har ett behov av att arbeta aktivt med frågan om vilka typer av uppgifter som behövs för ändamål som rör verksamhetens uppföljning och utifrån det tillhandahålla tekniska lösningar som gör att uppgifterna kan utbytas elektroniskt på ett smidigt sätt. Genom att det kommer att vara tillåtet med utlämnanden på medium för automatiserad behandling har kommunen och de enskilda verksamheterna möjlighet att utveckla ändamålsenliga tekniska lösningar som gör att kommunen kontinuerligt vid behov får tillgång till de uppgifter som behövs för verksamhetsuppföljning och kvalitetssäkring.
Sammanfattningsvis innebär således socialtjänstdatalagen i förening med förslagen om att undanröja sekretesshinder mellan
SOU 2014:23 Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten
759
socialtjänstverksamhet i en kommun samt förslaget om uppgiftsskyldighet för enskilda verksamheter, att kommunen får avsevärt förbättrade rättsliga möjligheter att bedriva verksamhetsuppföljning och kvalitetssäkring jämfört med vad som följer av gällande rätt.
Möjligheterna till regional och nationell kvalitetssäkring och kvalitetsutveckling
Ytterligare en fråga som har ställts till utredningen under arbetets gång är om socialtjänsten bör ha motsvarande rättsliga möjligheter att bedriva kvalitetssäkring över organisatoriska gränser som hälso- och sjukvården har genom regleringen för nationella och regionala kvalitetsregister. Det ska framhållas att utredningen inte har fått del av något egentligt underlag om behovet av detta, vilka risker som kan vara förknippade med detta eller hur en sådan reglering närmare skulle kunna se ut för att vara anpassad just till förutsättningarna i socialtjänsten. Utredningen har inte fått del av någon närmare precisering av vad socialtjänsten – om samma möjligheter som finns i hälso- och sjukvården gavs – skulle göra, för vilka syften och med vilka personuppgifter. Det kan jämföras med hälso- och sjukvårdens nationella kvalitetsregister där lagstiftaren har reglerat ett område som har varit etablerat sedan över 30 år tillbaka i tiden. Det fanns således tydliga förebilder och omfattande underlag för en sådan reglering.
Även om det finns stora likheter mellan kvalitetsarbete i socialtjänsten och kvalitetsarbete i hälso- och sjukvården finns det, enligt vår bedömning, även vissa stora skillnader. Sådana skillnader finns bland annat just vad gäller de närmare förutsättningarna som kännetecknar de nationella kvalitetsregistren. Hälso- och sjukvårdens nationella kvalitetsregister är exempelvis uteslutande initierade av de olika professionerna. Utvecklingsarbetet har drivits av olika professionella sammanslutningar som inom sina respektive områden har sett ett behov av att mäta vad som görs, jämföra kvaliteten och inspirera till lokalt förbättringsarbete. För att möjliggöra utvecklingen av nationella kvalitetsregister har även en organisatorisk utveckling ägt rum på den regionala och nationella nivån. I dag kännetecknas nationella kvalitetsregister av en omfattande och komplex organisatorisk samverkan, där professionernas engagemang fortfarande är centralt men där det i dag backas upp av
Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten SOU 2014:23
760
nya finansiella förutsättningar och nationella organisatoriska överbyggnader samt regionala stödstrukturer i form av registercentra.
Naturligtvis finns det vissa områden inom socialtjänsten som i viss mån kan visa upp liknande strukturer, men på det stora hela finns ingen motsvarighet till en sådan etablerad och kraftfull inomprofessionell rörelse och nationell samt regional stödstruktur. Det behöver nödvändigtvis inte vara eftersträvansvärt för socialtjänsten att gå i exakt samma spår som hälso- och sjukvården. Det kan finnas viktiga skillnader mellan hälso- och sjukvården och socialtjänsten vad gäller behov och förutsättningar för det systematiska kvalitetsarbetet. Skillnaderna har sannolikt även historisk betydelse, vilket kan innebära att socialtjänsten i dagsläget har möjlighet att ta andra vägar för att uppnå motsvarande målsättningar som hälso- och sjukvårdens kvalitetsregister ställde upp för länge sedan.
Vidare bedömer utredningen även att det kan ifrågasättas om en reglering överensstämmande med vad som gäller för hälso- och sjukvården, av andra skäl, är lämplig för socialtjänstens del. Exempelvis innebär en registrering i ett nationellt kvalitetsregister att en vårdgivare formellt sett lämnar ut personuppgifter till den mottagande myndigheten som har det centrala ansvaret för kvalitetsregistret. Det är vanligtvis en landstingsstyrelse eller motsvarande i ett annat landsting som har det centrala ansvaret för registret. Vid våra kontakter med företrädare från kommuner har vi mötts av viss tveksamhet inför en sådan motsvarighet på socialtjänstens område, där samtliga kommuner således i formell mening då skulle lämna ut personuppgifter från sin socialtjänstverksamhet till en myndighet i en annan kommun.
Därutöver får det enligt vår bedömning anses tveksamt om det vore lämpligt att grunda en registrering i ett nationellt register över viss socialtjänstverksamhet på individens tysta samtycke, vilket är fallet i hälso- och sjukvården. För personuppgiftsbehandling i hälso- och sjukvårdens nationella kvalitetsregister krävs nämligen inget samtycke från individen, utan den legala konstruktionen innebär i stället att individen har en rätt att motsätta sig medverkan. Den enskilde har således ett ansvar för att aktivt säga nej. Vi bedömer att det för socialtjänstens del finns mycket som talar för att en registrering i ett nationellt register ska kräva den enskildes samtycke. Det skulle inte minst vara naturligt för behandling av sådana personuppgifter som i första skedet har dokumenterats med stöd av den enskildes samtycke, t.ex. i verk-
SOU 2014:23 Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten
761
samhet som bedrivs som råd och stöd utan individuell behovsprövning.
En ytterligare omständighet som kan visa på att det i viss utsträckning finns olika behov i hälso- och sjukvården och i socialtjänsten är att hälso- och sjukvårdens patientrörlighet generellt får bedömas som större än socialtjänstens. Även om enskilda naturligtvis rör sig inom socialtjänstens område, förekommer den rörligheten typiskt sett inte inom ramen för genomförandet av en och samma insats. I hälso- och sjukvården bedrivs däremot i olika delar ett omfattande samarbete i den individinriktade patientvården. Enskilda som exempelvis har behov av mer högspecialiserad vård, som t.ex. viss cancersjukvård, får inte sällan sitt behov av hälso- och sjukvård tillgodosett genom insatser från flera olika vårdgivare i flera olika landsting. Även för patienter som har behov av rikssjukvård är det en realitet att flera vårdgivare deltar i en och samma övergripande vårdprocess. Akutsjukvården är ett annat exempel där enskilda, inte minst om de är bosatta i gränsområden mellan två olika landsting, kan behöva få hälso- och sjukvård av vårdgivare i olika landsting. Sedan är naturligtvis hälso- och sjukvården för äldre ett tydligt exempel på när flera vårdgivare, både från landstingssidan som från kommunsidan, är involverade i vården av den äldre. Sammantaget ger en sådan patientrörlighet och ett sådant samband mellan vårdgivare ett behov av att kunna bedriva en gemensam kvalitetssäkring av patienternas processer. Regelverket för nationella kvalitetsregister, där personuppgifter från flera olika vårdgivare samlas på ett och samma ställe, ger därför möjligheter att vid behov genomföra en organisationsöverskridande kvalitetssäkring. Behoven av att göra kommunöverskridande uppföljningar får generellt bedömas som mindre på socialtjänstens område.
Sammanfattningsvis bedömer vi således att det saknas övervägande skäl som talar för att socialtjänsten bör ha ett regelverk som motsvarar regelverket för hälso- och sjukvårdens nationella kvalitetsregister. Vi vill understryka att utredningens sammantagna bedömning är att de förslag vi lämnar ger socialtjänsten möjligheter som i praktiken hamnar mycket nära de som finns i hälso- och sjukvården. Vi bedömer även att de förslag vi lägger är anpassade efter de förutsättningar och de behov som finns på socialtjänstens område. Vi har i det föregående redogjort för den praktiska betydelsen av våra förslag till nya ändamålsbestämmelser, ny sekretessreglering, uppgiftsskyldighet för enskilda verksamheter samt vissa
Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten SOU 2014:23
762
möjligheter till elektroniska utlämnanden av uppgifter genom direktåtkomst eller på medium för automatiserad behandling. Med våra förslag kommer kommunernas socialtjänst att få väsentligt bättre förutsättningar att säkra och utveckla kvaliteten i verksamheten jämfört med vad som följer av gällande rätt.
I praktiken kan socialtjänsten behandla personuppgifter som gör att det systematiska kvalitetsarbetet kan uppnå motsvarande effekter som hälso- och sjukvården kan genom att använda nationella kvalitetsregister. Det finns med våra förslag exempelvis inget som hindrar att socialtjänsten, likt hälso- och sjukvårdens nationella kvalitetsregister, samarbetar på ett sådant sätt att verksamheter i hela landet enas kring vad som ska mätas, hur det ska dokumenteras och hur resultaten ska framställas. Inte heller finns det något som hindrar framtagandet av särskilda it-stöd som i praktiken gör det möjligt för verksamheter i socialtjänsten att arbeta med kvalitetssäkring på ett sådant sätt som man enats om. En sådan utveckling skulle enligt vår bedömning innebära att socialtjänsten arbetar med kvalitetssäkring på ett sätt som ligger mycket nära hälso- och sjukvårdens nationella kvalitetsregister. Genom att alla skulle dokumentera på samma standardiserade sätt skapas goda möjligheter för jämförelser av kvalitet och resultat mellan olika utförare av socialtjänst eller mellan olika delar av landet. Den stora rättsliga skillnaden jämfört med de nationella kvalitetsregistren skulle då i princip endast vara att respektive kommun eller enskild verksamhet inte formellt lämnar ut uppgifter till någon utomstående myndighet. Var och en som använder ett sådant framtaget IT-stöd för t.ex. beslutsstöd eller uppföljande kvalitetssäkring skulle precis som i dag vara ansvarig för sin egen behandling av personuppgifter. Sammantaget skulle detta, som vi ser det, ge socialtjänsten möjligheter att kvalitetssäkra sin verksamhet och få underlag för jämförelser över landet utan att det skapas stora nationella register med integritetskänsliga uppgifter.
763
29 Allmänna frågor om enskildas rättigheter m.m.
29.1 Bakgrund
När det gäller behandling av personuppgifter är den enskildes rättigheter av central betydelse för skyddet av den registrerades personliga integritet. För att otillbörliga intrång i den personliga integriteten i största möjliga mån ska undvikas har det ansetts nödvändigt att enskilda har särskilda rättigheter. I personuppgiftslagen (1998:204), förkortad PUL, finns därför bestämmelser om bland annat information, rättelse och skadestånd. Bestämmelserna ger enskilda möjligheter till insyn i vad som finns registrerat om dem i register av betydelse för att de ska kunna kräva rättelse av felaktiga uppgifter. När personuppgiftsansvariga behandlar uppgifter i strid med gällande regler finns möjligheter för enskilda att kunna få ersättning för skada och kränkning av den personliga integriteten.
Även för den omfattande personuppgiftsbehandling som socialtjänsten utför med stöd av bestämmelserna i den föreslagna socialtjänstdatalagen är det viktigt att det tydligt framgår vad som ska gälla i form av rättigheter för enskilda. Eftersom socialtjänstdatalagen så långt möjligt ska vara heltäckande för personuppgiftsbehandlingen inom socialtjänsten finns även skäl att direkt i lagen ta in de bestämmelser om enskildas rättigheter som bedöms relevanta. En sådan ordning bidrar till en ökad tydlighet både för dem som har att tillämpa lagen och för de enskilda registrerade.
Allmänna frågor om enskildas rättigheter m.m. SOU 2014:23
764
29.2 Våra överväganden och förslag
29.2.1 Enskildas rätt att ta del av uppgifter
Vårt förslag: I socialtjänstdatalagen ska hänvisas till enskildas
rätt att ta del av uppgifter enligt tryckfrihetsförordningen, förvaltningslagen (1986:223), offentlighets- och sekretesslagen (2009:400), socialtjänstlagen (2001:453) och lagen (1993:387) om stöd och service till vissa funktionshindrade.
En enskild rätt att ta del av uppgifter framgår av tryckfrihetsförordningen och offentlighet- och sekretesslagen. När det gäller ärenden hos en socialnämnd som rör myndighetsutövning gäller även förvaltningslagens bestämmelser om parts rätt att ta del av uppgifter i den utsträckning inte annat följer av socialtjänstlagen förkortad SoL, och offentlighets- och sekretesslagen. En påminnelse om detta bör tas in i socialtjänstdatalagen.
29.2.2 Information om personuppgiftsbehandlingen
Vårt förslag: Den som bedriver verksamhet inom socialtjänsten
ska enligt socialtjänstdatalagen se till att den registrerade får information om personuppgiftsbehandlingen. Informationen ska innehålla upplysningar om
1. vem som är personuppgiftsansvarig,
2. ändamålet med behandlingen,
3. vilka kategorier av uppgifter som behandlas,
4. den uppgiftsskyldighet som följer av lag eller förordning,
5. de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,
6. rätten att få information om åtkomst,
7. rätten att ta del av uppgifter enligt 26 § PUL
8. rätten till rättelse och underrättelse av tredje man enligt 28 § PUL,
9. rätten till skadestånd vid behandling av uppgifter i strid med socialtjänstdatalagen,
10. vad som gäller ifråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,
11. vad som gäller ifråga om bevarande och gallring, samt 12. ifall personuppgiftsbehandlingen är frivillig eller inte.
SOU 2014:23 Allmänna frågor om enskildas rättigheter m.m.
765
Personuppgiftslagen innehåller särskilda bestämmelser om den personuppgiftsansvariges skyldighet att lämna information om behandling av personuppgifter till den registrerade. Utredningens förslag innebär att personuppgiftsbehandling enligt socialtjänstdatalagen som huvudregel ska få genomföras även om den enskilde motsätter sig behandlingen. Därmed är det viktigt från integritetssynpunkt att de registrerade får utförlig information om behandlingen av personuppgifter. Informationen behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med personuppgiftsbehandlingen. Den är även viktig för att skapa en grund för allmänhetens förtroende för behandlingen. I socialtjänstdatalagen görs därför hänvisningar till relevanta bestämmelser i personuppgiftslagen. Exempelvis gäller bestämmelserna i 26 § PUL om tillgång till uppgifter genom registerutdrag och även bestämmelsen i 27 § om undantag från informationsskyldighet även vid personuppgiftsbehandling enligt socialtjänstdatalagen.
I 25 § PUL anges vilken information som den personuppgiftsansvarige självmant ska lämna till den registrerade. Denna informationsskyldighet bör preciseras i den föreslagna socialtjänstdatalagen eftersom det då blir tydligare för både den personuppgiftsansvarige som den enskilde vilken information som ska lämnas. Mot den bakgrunden föreslår utredningen att det i socialtjänstdatalagen förs in en särskild bestämmelse om vilken information som den personuppgiftsansvarige ska lämna.
Den information som den personuppgiftsansvarige ska lämna innefattar bland annat upplysningar om den uppgiftsskyldighet som innebär att uppgifter får lämnas ut.
Den allmänna informationen som den personuppgiftsansvarige ska lämna omfattar även information om att den enskilde har rätt att få information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter om honom eller henne.
När det gäller upplysningar om rätten till rättelse av oriktiga eller missvisande uppgifter och om rätten till skadestånd görs hänvisningar till relevanta bestämmelser i personuppgiftslagen.
Hur informationen ska ges bör överlåtas till varje personuppgiftsansvarig att bestämma. Något rättsligt krav på att informationen ska ges i viss form, muntlig eller skriftlig, föreslås inte. Det är dock viktigt att den personuppgiftsansvarige skapar rutiner för hur informationsskyldigheten ska fullgöras. Att det finns säkra rutiner ligger i den personuppgiftsansvariges intresse, då denne har bevisbördan för att den obligatoriska informationen som krävs
Allmänna frågor om enskildas rättigheter m.m. SOU 2014:23
766
faktiskt har lämnats till den enskilde. Informationsskyldigheten bör kunna fullgöras genom att till exempel broschyrer och anslag finns i lokalerna hos den som bedriver verksamhet inom socialtjänsten. Det åligger även den personuppgiftsansvarige att se till att information är utformad på ett sätt som kan förstås av den registrerade. Det kan till exempel innebära att information finns tillgänglig på informationsblanketter på flera språk.
Det kan i vissa fall vara så att en enskilds omsorgsbehov omöjliggör att information kan lämnas till honom eller henne om aktuell personuppgiftsbehandling. Det kan till exempel bero på att den enskilde är alltför fysiskt eller psykiskt medtagen för att kunna tillgodogöra sig information som det nu är frågan om. Många gånger saknar dessa personer legala ställföreträdare, t.ex. god man eller förvaltare, som i stället skulle kunna få informationen. Informationen bör i dessa fall, i jämförelse med vad som görs i hälso- och sjukvården, kunna lämnas till någon närstående. I sådana fall bör den enskilde så fort det är möjligt informeras om personuppgiftsbehandlingen. Att beakta i sammanhanget är att en närstående till en vuxen person inte kan samtycka till en personuppgiftsbehandling. Som framgår i våra förslag innebär en personuppgiftsbehandling enligt socialtjänstdatalagen som huvudregel att sådan får utföras även om den enskilde motsätter sig behandlingen.
I övrigt ska personuppgiftslagens bestämmelser om information gälla. Detta behöver inte särskilt anges i socialtjänstdatalagen, eftersom personuppgiftslagens bestämmelser gäller om inte annat sägs.
29.2.3 Information om åtkomst till den enskildes uppgifter
Vårt förslag: I den nya lagen ska det anges att den enskilde på
begäran har rätt att få information om den åtkomst till den enskildes uppgifter som har förekommit i verksamheten. Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om den information om åtkomst som ska lämnas.
En viktig del av integritetsskyddet är enskildas möjligheter att själva bilda sig en uppfattning om hur uppgifter hanteras och vem
SOU 2014:23 Allmänna frågor om enskildas rättigheter m.m.
767
som tar del av dem. I hälso- och sjukvården finns exempelvis en rättighet för patienter att få information om vilken åtkomst som har förekommit till uppgifter om honom eller henne i elektroniska patientjournalsystem. Vi anser att denna rättighet även bör gälla för enskilda i förhållande till en behandling av personuppgifter som utförs hos de som bedriver verksamhet inom socialtjänsten.
Utredningens bedömning är att allmänhetens förtroende för socialtjänstens informationshantering blir ännu större, om den enskilde får information om vilken åtkomst som har förekommit till uppgifter om honom eller henne. Bara vetskapen om att man som enskild har den möjligheten skulle troligen innebära en trygghet för flertalet ifråga om att deras personliga integritet skyddas i verksamheten. Liksom när det gäller förslaget om att åtkomstkontroller ska göras systematiskt och fortlöpande borde vetskapen om patientens rätt att själv kontrollera åtkomsten ha en starkt avhållande verkan för obehörig personal att ta del av uppgifter om enskilda.
Den bestämmelse utredningen föreslår ska tillämpas av alla som bedriver verksamhet inom socialtjänsten, dvs. både offentliga och privata aktörer. Vi vill dock poängtera att detta är en informationsbestämmelse. Rätten av få information med stöd av denna bestämmelse är inte jämförlig med rätten att begära ut en allmän handling hos myndigheter.
Exakt vad informationen ska innehålla och hur eller hur ofta den ska lämnas bör inte regleras i lag utan av regeringen eller, efter vidarebemyndigande, av Socialstyrelsen i samråd med Datainspektionen. En rimlig utgångspunkt är dock att den information som lämnas ska kunna förstås av den enskilde och även ge vägledning för bedömningen om en åtkomst varit befogad eller inte. Samtidigt kan det inte uteslutas att det i vissa situationer är svårt för den enskilde själv att göra denna bedömning, t.ex. när uppgifter har använts av personal som den enskilde inte har varit i kontakt med. För socialtjänstens del kan det i dessa fall handla om åtkomst som förekommit till uppgifter för mer sekundära ändamål, som kvalitetssäkring, statistik, administration och liknande.
I sammanhanget kan även uppmärksammas den utveckling som i dag sker på hälso- och sjukvårdens område, där patienter över internet själva och när som helst de önskar kan ta del av uppgifter om åtkomsten till uppgifter i journalsystemen. Ifall den utvecklingen även kommer att göra sig gällande på socialtjänstens område återstår dock att se. De bestämmelser utredningen föreslår om
Allmänna frågor om enskildas rättigheter m.m. SOU 2014:23
768
direktåtkomst för enskilda och rätt till information om åtkomst gör i vart fall en sådan utveckling möjlig.
Som redovisats ovan är denna bestämmelse en informationsbestämmelse och inte en bestämmelse om rätten att ta del av allmänna handlingar hos myndigheter. Det innebär att den bestämmelse som utredningen föreslår gäller utöver eventuella möjligheter enskilda har att begära information om åtkomst med stöd av tryckfrihetsförordningens bestämmelser om rätten att ta del av allmänna handlingar.
29.2.4 Rättelse
Vårt förslag:Personuppgiftslagens bestämmelser om rättelse
ska gälla vid sådan behandling av personuppgifter som helt eller delvis automatiserad eller där uppgifterna ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som görs enligt socialtjänstdatalagen. I socialtjänstdatalagen ska en hänvisning göras till personuppgiftslagens regler om rättelse.
Av 28 § PUL följer en skyldighet för den personuppgiftsansvarige att på begäran av den enskilde snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. Att en uppgift rättas innebär att den ersätts eller kompletteras med korrekta uppgifter. Blockering definieras i 3 § PUL som ”en åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen”. Att en uppgift utplånas innebär att den förstörs så att den inte längre kan återskapas. Det är upp till den personuppgiftsansvarige att själv välja vilken av dessa korrigeringsmetoder som ska användas.
Personuppgiftslagens regler om rättelse av personuppgifter är dock endast tillämpliga när uppgifter behandlas i strid med den lagen eller föreskrifter som har meddelats med stöd av den lagen. Har personuppgifter behandlats på något sätt som endast står i
SOU 2014:23 Allmänna frågor om enskildas rättigheter m.m.
769
strid med annan författning kan alltså inte rättelse göras med stöd av personuppgiftslagens bestämmelser. Av den anledningen föreslår vi att det i socialtjänstdatalagen ska anges att personuppgiftslagens bestämmelser om rättelse ska gälla även då personuppgifter behandlats i strid mot socialtjänstdatalagen. Det gör att den enskilde har samma möjligheter att få personuppgifter rättade vid behandling av personuppgifter i strid mot socialtjänstdatalagen som vid behandling i strid mot personuppgiftslagen.
29.2.5 Skadestånd
Vårt förslag:Personuppgiftslagens bestämmelser om skade-
stånd ska gälla vid sådan behandling av personuppgifter som helt eller delvis automatiserad eller där uppgifterna ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som har utförts i strid mot socialtjänstdatalagen. I socialtjänstdatalagen ska en hänvisning göras till personuppgiftslagens regler om skadestånd.
Personuppgiftslagens bestämmelser om skadestånd gäller endast vid överträdelser av den lagen. Genom denna paragraf görs bestämmelserna tillämpliga även då uppgifter behandlas i strid med socialtjänstdatalagen. Enligt 48 § PUL ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. Således är det den personuppgiftsansvarige som även enligt socialtjänstdatalagen har det skadeståndsrättsliga ansvaret för en behandling av personuppgifter som stått i strid med lagen. Enligt vårt förslag till socialtjänstdatalag är det i kommuner en myndighet som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Talan om eventuellt skadestånd ska dock väckas mot den juridiska personen, dvs. kommunen.
771
30 Socialstyrelsens behandling av personuppgifter
30.1 Bakgrund
I dag reglerar lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL, och förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPULF, viss behandling av personuppgifter hos Socialstyrelsen. Det handlar om sådan verksamhet som Socialstyrelsen utför i dess verksamhet enligt lagen (2007:606) om utredningar avseende vissa dödsfall och förordningen (2007:748) om utredningar avseende vissa dödsfall.
Eftersom vi bedömer att socialtjänstdatalagen, till skillnad från dagens reglering i SoLPUL och SoLPULF, uteslutande bör rikta sig till den egentliga kärnverksamheten hos dem som bedriver socialtjänst finns behov av en ny och fristående reglering av Socialstyrelsens behandling av personuppgifter.
30.2 Våra överväganden och förslag
30.2.1 Ny lag om Socialstyrelsens behandling av personuppgifter i verksamhet avseende utredningar av vissa dödsfall
Vårt förslag: En ny lag om Socialstyrelsens behandling av
personuppgifter i verksamhet avseende utredningar av vissa dödsfall ska införas. Bestämmelser från SoLPUL och SoLPULF ska överföras till den nya lagen.
Utredningens bedömning är att socialtjänstdatalagen ska tillämpas i den kärnverksamhet som bedrivs inom socialtjänsten hos kommunala
Socialstyrelsens behandling av personuppgifter SOU 2014:23
772
myndigheter, Statens institutionsstyrelse och enskilda verksamheter. Socialtjänstdatalagen ska således inte tillämpas av Socialstyrelsen eller andra myndigheter. De bestämmelser i SoLPUL och SoLPULF som i dag är tillämpliga på Socialstyrelsens behandling av personuppgifter i verksamhet om utredningar avseende vissa dödsfall ska således överföras till en ny lag. Vi bedömer inte att det finns behov av några förändringar jämfört med vad som gäller i dag, utan relevanta bestämmelser överförs till den nya lagen efter viss språklig justering.
Den nya lagen bör i likhet med många andra registerlagstiftningar reglera frågor om tillämpningsområdet, personuppgiftsansvaret, förhållandet till personuppgiftslagen (1998:204), när behandling av personuppgifter är tillåten, vilka personuppgifter som får behandlas, vad som gäller ifråga om den enskildes inställning och ifall uppgifter får lämnas ut genom direktåtkomst.
30.2.2 Lagens tillämpningsområde
Vårt förslag: Lagen ska tillämpas av Socialstyrelsen i dess verk-
samhet enligt lagen (2007:606) om utredningar avseende vissa dödsfall, om behandlingen av personuppgifter är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Personuppgiftslagen ska gälla om inte annat följer av lagen.
Vi föreslår att lagen, precis som är fallet i dag, ska gälla för behandling av personuppgifter som är helt eller delvis automatiserad. Lagen bör även gälla för manuell behandling av personuppgifter som ingår i eller är avseedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Regleringen är således inte begränsad till särskilda datoriserade register, databaser eller elektroniska uppgiftssamlingar.
Vi bedömer även att den nya lagen ska komplettera personuppgiftslagen på ett sådant sätt att lagen ska gälla utöver personuppgiftslagen. När en reglering saknas i den nya lagen ska därför reglerna i personuppgiftslagen tillämpas. Detta gör att den nya
SOU 2014:23 Socialstyrelsens behandling av personuppgifter
773
lagen endast bör innehålla de särbestämmelser och förtydliganden i förhållande till personuppgiftslagen som det finns behov av.
30.2.3 Personuppgiftsansvar
Vårt förslag: Socialstyrelsen ska vara personuppgiftsansvarig för
behandling av personuppgifter.
Vi föreslår att Socialstyrelsen, i enlighet med vad som i dag anges i SoLPULF, ska vara personuppgiftsansvarig för behandling av personuppgifter enligt den nya lagen.
30.2.4 Tillåten personuppgiftsbehandling
Vårt förslag: I lagen ska anges att Socialstyrelsen endast får
behandla de personuppgifter som är nödvändiga för att ge underlag till förslag om åtgärder som avser att förebygga att
1. barn far illa, eller
2. kvinnor och män utsätts för våld eller andra övergrepp av närstående eller tidigare närstående personer.
Personuppgifter som behandlas för sådana ändamål får också behandlas för att fullgöra uppgiftsutlämnande som görs i överensstämmelse med lag eller förordning.
Behandling av personuppgifter som är tillåten enligt lagen får utföras även om den enskilde motsätter sig den.
Socialstyrelsen får använda de sökbegrepp vid sökning efter uppgifter eller i samband med sammanställningar som behövs för utredningsverksamheten.
Socialstyrelsen får inte medge andra myndigheter eller enskilda direktåtkomst till personuppgifter som behandlas med stöd av lagen.
Vi föreslår att de bestämmelser som i dag reglerar en tillåten personuppgiftsbehandling, med vissa språkliga justeringar, ska överföras från SoLPUL och SoLPULF.
775
31 Behov av en mer sammanhållen informationshantering
31.1 Bakgrund
I vårt uppdrag ingår att kartlägga vilket behov hälso- och sjukvården och socialtjänsten har av att ta del av uppgifter från respektive verksamhet och vilka uppgifter som då behöver dokumenteras för att möjliggöra samverkan mellan socialtjänsten och hälso- och sjukvården.1
Vidare ska utredningen identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten samt vilka hinder (juridiska eller tekniska) som finns i dag för en sådan informationshantering och i förekommande fall i vilka lagar dessa hinder finns. Om det finns behov ska utredningen föreslå sådana lagstiftningsåtgärder som medger att behörig personal och beslutsfattare inom hälso- och sjukvården och socialtjänsten får ha tillgång till nödvändiga uppgifter inom eller över organisatoriska gränser. En avvägning ska göras mellan behoven och den enskildes intresse av integritet för att fastställa vilka uppgifter som bedöms vara nödvändiga att behandlas genom t.ex. utlämnande genom direktåtkomst.
31.1.1 Individens behov som utgångspunkt
Även om utredningens direktiv ger uttryck för det, har vår primära utgångspunkt inte varit att analysera behovet för olika organisationer att dokumentera och utbyta uppgifter om individer. Ur vårt perspektiv är organisationernas behov sekundära. Vi anser att det är vårt uppdrag att så långt möjligt utgå ifrån individens behov i stället
1 Direktiv 2011:111.
Behov av en mer sammanhållen informationshantering SOU 2014:23
776
för de organisatoriska förutsättningarna. Den grundläggande frågan blir då vilket behov individer med sammansatta behov av vård, omsorg och annat stöd har för att nå ökad hälsa och livskvalitet. De behoven bör sedan vara styrande för hur lagstiftning, teknik, informatik, arbetssätt, ledning och styrning m.m. utformas för att stödja en ändamålsenlig informationshantering.
För individens del är det av mindre vikt om information är dokumenterad i en verksamhet som lagstiftaren benämnt hälso- och sjukvård eller i en verksamhet som betraktas som socialtjänst. Det kan även antas att individen inte heller fäster någon avgörande vikt vid om den personal individen möter i vård och omsorg representerar ett flertal olika vårdgivare eller utförare. Vi utgår ifrån att det berättigade intresset hos enskilda och deras närstående är att den information som behövs för att bidra till bästa möjliga resultat för individen finns tillhands för den personal, på den plats och vid den tid behovet uppstår – alldeles oavsett organisatoriska förutsättningar. Det avgörande bör inte vara i vilken organisation uppgifter om den enskilde är dokumenterade utan i vilken vård- och omsorgssituation uppgifterna behövs.
Samtidigt är det tydligt att det i dag krävs en omfattande samverkan över organisationsgränser för att den enskilde i praktiken ska få sina behov tillgodosedda. Det kan med fog hävdas att det är få verksamheter som i grunden är organiserade för att tillgodose de behov som just människor med sammansatta behov av hälso- och sjukvård och socialtjänst har. Äldreomsorgen är ett sådant exempel där man organisatoriskt delat in verksamheten i hälso- och sjukvård och socialtjänst, trots att den enskilde ofta har så sammansatta behov att det i praktiken ofta inte går att avgöra om de insatser som han eller hon behöver ska hänföras till hälso- och sjukvård eller socialtjänst. Dessutom är den hälso- och sjukvård som den äldre behöver också uppdelad mellan olika huvudmän eftersom ansvaret för läkarinsatserna ligger på landstinget medan kommunen ansvarar för övrig sjukvård. Det saknas alltså en aktör som har helhetsansvar och som är organiserad på ett ändamålsenligt sätt för att tillmötesgå den äldres totala behov.
Även regelverket för informationshantering bidrar till splittringen genom att ställa krav på personalen att avgöra vad som ska dokumenteras i hälso- och sjukvårdens patientjournal och vad som ska antecknas i den sociala dokumentationen. Det ställningstagandet medför sedan konsekvenser för vem som får tillgång till
SOU 2014:23 Behov av en mer sammanhållen informationshantering
777
uppgifterna, på vilket sätt informationsutbytet ska gå till, hur länge uppgifterna ska bevaras m.m.
Motsvarande situation gäller i samband med vård och omsorg av personer med missbruk eller beroendeproblem samt av personer med psykisk sjukdom eller funktionsnedsättning.
En konsekvens av den organisatoriska ansvarsfördelningen och den ökade mångfalden av aktörer har blivit att samverkan mellan olika aktörer, såväl i frågor om utförandet av själva vård- och omsorgsinsatserna som kring informationshanteringen, är avgörande för att människor med sammansatta behov ska få en vård och omsorg av god kvalitet och säkerhet.
31.1.2 Det delade ansvaret för hälso- och sjukvård och socialtjänst
Den svenska hälso- och sjukvården och socialtjänsten karaktäriseras bl.a. av en stark decentralisering. Förutom att staten ansvarar för den övergripande vård- och omsorgspolitiken har de 21 landstingen/regionerna samt de drygt 290 kommunerna tillsammans ansvaret för hälso- och sjukvården och socialtjänsten i landet. För att förstå vilket behov av samverkan mellan olika aktörer som finns när det gäller människor med sammansatta behov av hälso- och sjukvård och socialtjänst är det viktigt att kort nämna något om dels de centrala reformer som genomförts på området, dels den ansvarsfördelning som råder mellan landstingen och kommunerna. I sammanhanget bör även uppmärksammas det ökade antalet vårdgivare i hälso- och sjukvården och utförare i socialtjänsten som i dag är delaktiga i individens vård och omsorg.
Kort om centrala reformer på vård- och omsorgsområdet
Socialtjänsten och hälso- och sjukvården utgör väsentliga delar av samhällets totala välfärdssystem. Båda verksamheterna har en helhetssyn som en grundläggande princip. Det är den enskildes totala situation och den enskildes omgivning som ska beaktas. Under 1990-talet genomfördes flera stora huvudmannaskapsreformer.
Den så kallade Ädelreformen genomfördes 1992 för att uppgiftsfördelningen mellan medicinska och sociala insatser inte ansågs
Behov av en mer sammanhållen informationshantering SOU 2014:23
778
ändamålsenlig. Lagstiftaren ansåg att det var viktigt att den sociala och medicinska kompetensen integrerades genom att yrkesroller och arbetsorganisation inom socialtjänsten och delar av hälso- och sjukvården samordnades.2 Genom denna reform fick kommunerna skyldighet att inrätta särskilda boendeformer för service och omvårdnad för äldre och att inrätta bostäder med särskild service för funktionshindrade. Parallellt med detta fick kommunerna också ansvaret för att tillhandahålla hälso- och sjukvård åt dem som bor i särskilda boendeformer och bostäder eller som vistas i dagverksamhet. Kommunerna fick också möjlighet att erbjuda hälso- och sjukvård till dem som bor hemma (hemsjukvård). Ingen kommunal hälso- och sjukvård på detta område får dock omfatta läkarvård. Ädelreformen innebär även att kommunerna fick ett betalningsansvar för personer som blivit medicinskt färdigbehandlande i sluten vård eller med ett annat ord utskrivningsklara patienter.
Före Ädelreformen hade gränszoner mellan sociala och medicinska insatser förorsakat en rad olägenheter. Genom att en huvudman – kommunen – fick ansvaret för människors skiftande behov, såväl medicinska som sociala, var avsikten att situationen skulle förbättras. Efter Ädelreformen har ytterligare reformer genomförts som har haft betydelse för vård- och omsorgsområdet.
Lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, infördes 1994. Denna lag är en del av det som kallas för handikappreformen. Lagen innebar att bland annat kommunerna övertog ett betydande verksamhetsansvar från landstingen. Syftet med denna reform var att tydligare slå fast den enskildes rätt till hjälp och att stärka funktionshindrades personers inflytande över vilka hjälpinsatser som de vill ha.
Psykiatrireformen år 1995 gav kommunerna ett ökat ansvar för
insatser till långvarigt psykiskt sjuka. Genom reformen ålades kommunerna att erbjuda lämpliga boendeformer och stöd i hemmet för personer med omfattande psykiska funktionshinder. Kommunerna fick även överta betalningsansvaret för personer som efter vård inom landstingets psykiatriska vård bedöms som färdigbehandlade. En tanke med reformen var även att bättre samordna insatserna mellan huvudmännen för den berörda gruppen.
Syftena med reformerna har varit att skapa ett bättre och mer samlat omhändertagande av äldre och andra personer med sammansatta behov av både medicinska och sociala insatser.
SOU 2014:23 Behov av en mer sammanhållen informationshantering
779
Kort om landstingens ansvar för hälso- och sjukvård
Landstingen har enligt hälso- och sjukvårdslagen (1982:763), förkortad HSL, ett omfattande ansvar och ska på ett övergripande plan erbjuda en god hälso- och sjukvård åt dem som är bosatta inom landstinget samt verka för en god hälsa hos hela befolkningen. Vidare ska de som är bosatta i landstinget erbjudas en vårdgaranti som försäkrar att den enskilde inom viss tid får kontakt med primärvården, besöka läkare inom primärvården, besöka den specialiserade vården och planerad vård. I landstingens planeringsansvar ingår att planera sin hälso- och sjukvård med utgångspunkt i befolkningens behov av sådan vård. Planeringen ska även avse den hälso- och sjukvård som bedrivs av privata och andra vårdgivare.
Andra grundläggande krav på landstingen är att det ska finnas sjukhus för sådan hälso- och sjukvård som kräver intagning i vårdinrättning, s.k. sluten vård. Annan hälso- och sjukvård benämns öppen vård. Primärvården ska som en del av den öppna vården utan avgränsning vad gäller sjukdomar, ålder eller patientgrupper svara för befolkningens behov av sådan grundläggande medicinsk behandling, omvårdnad, förebyggande arbete och rehabilitering som inte kräver sjukhusens medicinska och tekniska resurser eller annan särskild kompetens. Dessutom ska landstingen, enligt 5 § HSL, organisera primärvården så att alla som är bosatta inom landstingen kan välja utförare av hälso- och sjukvårdstjänster samt få tillgång till och välja en fast läkarkontakt (vårdvalssystem).
Landstingen har ett särskilt ansvar för läkarinsatser, som ställer stora krav på samverkan med kommuner och privata utförare av såväl hälso- och sjukvård som socialtjänst. Av hälso- och sjukvårdslagen följer att landstingen till kommunerna inom landstinget ska avsätta de läkarresurser som behövs för att invånare som bor i särskilt boende eller deltar i dagverksamhet enligt 3 kap. 6 § socialtjänstlagen (2001:453), förkortad SoL, får en god hälso- och sjukvård. Samma krav på läkarinsatser gäller även för hemsjukvården. Även om kommunen tagit över ansvaret för hälso- och sjukvårdsinsatser för de som bor kvar i hemmet har landstinget ansvar för de läkarinsatser som den enskilde är i behov av.
I Sverige har vi i dag nio regionsjukhus, omkring 20 länssjukhus och 40 länsdelssjukhus. Inom slutenvården finns cirka 20 000 vårdplatser. För primärvården finns drygt 1 000 vårdcentraler.
Behov av en mer sammanhållen informationshantering SOU 2014:23
780
Kort om kommunernas ansvar för hälso- och sjukvård och socialtjänst
Av socialtjänstlagen följer att kommunen svarar för socialtjänsten inom sitt område och har det yttersta ansvaret för att enskilda får det stöd och den hjälp som de behöver. Det innebär bl.a. ett ansvar för omsorgen av barn och unga, äldre, människor med funktionshinder och missbrukare. Kommunen ska exempelvis
sörja för att den enskilde missbrukaren får den hjälp och vård som hon eller han behöver för att komma ifrån missbruket,
verka för att människor med fysiska eller psykiska funktionshinder får möjlighet att leva som andra,
inrätta bostäder med särskild service till människor med fysiska eller psykiska funktionshinder,
verka för att äldre människor får en möjlighet att leva och bo självständigt under trygga förhållanden, och
inrätta särskilda boendeformer för service och omvårdnad för äldre i behov av särskilt stöd.
Kommunen ansvarar även för insatser för särskilt stöd och service åt personer med utvecklingsstörning, autism, bestående begåvningsmässiga funktionshinder, andra varaktiga fysiska eller psykiska funktionshinder. Det kan exempelvis handla om personlig assistans, korttidsvistelser utanför egna hemmet, boende i familjehem eller bostad med särskild service för vuxna.
Vidare ska varje kommun erbjuda en god hälso- och sjukvård åt de äldre eller funktionshindrade som efter beslut av kommunen bor i särskilt boende. Även i sådan dagverksamhet som avses i 3 kap. 6 § SoL ska kommunen ansvara för hälso- och sjukvård åt dem som vistas i verksamheten.
När det gäller hälso- och sjukvård i hemmet (hemsjukvård) ligger det primära ansvaret på landstingen även om kommunerna i 18 § HSL har befogenheter att erbjuda dem som vistas i kommunen hemsjukvård. Landstingen har även möjlighet att, genom en överenskommelse med en kommun, överlåta skyldigheten att erbjuda hemsjukvård. Den möjligheten har använts i stor utsträckning och i dag har drygt tio län kommunaliserat hemsjukvården. Hemsjukvård är avsedd för personer som behöver långvariga insatser från både hälso- och sjukvården och socialtjänsten. Insatser av mera tillfällig karaktär som hälso- och sjukvårdspersonal utför i
SOU 2014:23 Behov av en mer sammanhållen informationshantering
781
hemmet har inte räknats som hemsjukvård.3 Enligt statistik från Socialstyrelsen var det i december 2009 168 000 personer som fick hemsjukvård.
Som det har nämnts ovan är det inte möjligt att inom ramen för en överenskommelse om hemsjukvården överlåta sådan hälso- och sjukvård som bedrivs av läkare. Det innebär att landstinget, även efter en kommunalisering av hemsjukvården, står för de läkarinsatser som den enskilde behöver. Den kommunala hemsjukvården samarbetar då med läkare på vårdcentraler, mottagningar och sjukhus för att den enskilde ska få de insatser som behövs.
Kort om privata vårdgivare och utförare av socialtjänst
Fram till mitten på 1990-talet var det huvudsakligen landstingen och kommunerna som själva både ansvarade för och utförde hälso- och sjukvården och socialtjänsten i landet. Även om landsting och kommuner alltjämt ansvarar för hälso- och sjukvård och socialtjänst har utvecklingen gjort att det blivit vanligare att de offentliga aktörerna anlitar privata aktörer som utförare. Bland de privata aktörerna finns allt ifrån vinstdrivande bolag till ideella och idéburna aktörer.
Inom hälso- och sjukvården finns det ökade antalet privata vårdgivare framför allt inom primärvården, men även sjukhus som S:t Görans sjukhus, Lundby sjukhus och sjukhuset i Simrishamn drivs av privata aktörer. Det förekommer även att flera olika privata vårdgivare i samverkan, t.ex. inom ramen för en mottagning eller ett mindre sjukhus, erbjuder hälso- och sjukvård. Av det totala antalet vårdcentraler drivs nästan hälften av privata utförare i dag. Den största utvecklingen har skett efter 2009. Siffror från Myndigheten för tillväxtpolitiska utvärderingar och analyser visar att antalet vårdcentraler innan vårdvalet infördes var 1022 och av dem drevs 288 i privat regi. År 2011 finns det 1213 vårdcentraler i landet och av dem drivs nu 602 i privat regi. Privatiseringen av primärvården har därmed gått i en snabb takt mellan 2009 och 2011. Även i den kommunala hälso- och sjukvården ökar antalet privata utförare av den sjukvård som exempelvis bedrivs i särskilt boende eller i hemsjukvården.
Fortfarande är det dock landstingen och kommunerna som finansierar verksamheten, men med andra aktörer som utförare. De
Behov av en mer sammanhållen informationshantering SOU 2014:23
782
offentliga aktörerna är som beställare ansvariga för uppföljning och kontroll av de privata vårdgivarnas offentligfinansierade verksamheter. Hälso- och sjukvård kan även bedrivas helt i privat regi utan att något avtal föreligger med landstinget eller kommunen och utan inslag av offentlig finansiering. I dessa fall ansvarar följaktligen inte heller landstinget eller kommunen i egenskap av huvudman för verksamheten.
Precis som inom hälso- och sjukvården har kommuner möjligheter att sluta avtal med annan om att utföra kommunens uppgifter inom socialtjänsten. Det finns i dag ett antal tänkbara sätt att göra detta. Ett är att genom ett avtal anlita en extern leverantör som åtar sig att för kommunens räkning varaktigt och självständigt utföra en eller flera tjänster på socialtjänstens område. Ett sådant avtal innebär dock inte att kommunen kan frånhända sig till övergripande ansvar som huvudman för verksamheten. Det innebär exempelvis att kommunen alltid har ett ansvar för den utförda verksamhetens inriktning och kvalitet. Ansvaret omfattar även uppföljning och utvärdering. En kommun kan även köpa enstaka platser eller tjänster på privata anläggningar. I sådana fall har kommunen inget ansvar för verksamhetens inriktning, men alltjämt för att de insatser den enskilde får håller god kvalitet.
Många kommuner har även valt att införa valfrihetssystem enligt lagen (2008:962) om valfrihetssystem, förkortad LOV, på socialtjänstens område, vilket innebär att antalet privata utförare har ökat de senast åren. LOV har gjort det möjligt för kommuner som vill konkurrenspröva verksamheter att överlåta valet av utförare av stöd, vård- och omsorgstjänster på socialtjänstområdet till individen. Precis som för hälso- och sjukvården anger kommunen i ett förfrågningsunderlag de villkor som leverantören ska uppfylla för att bli godkänd. LOV förändrar inte det faktum att kommunen är huvudman för verksamheten och har därmed ansvar för att tjänsterna tillhandahålls individen enligt lagstiftningen och att de motsvarar uppställda kvalitetskrav.
Fram till 2011 hade 248 av landets 290 kommuner sökt och beviljats stimulansmedel för att förbereda eller utveckla valfrihetssystem enligt LOV inom äldreomsorg och när det gäller stödinsatser för personer med funktionsnedsättning. Det är vanligast att valfrihetssystemen omfattar en kombination av service och omvårdnadsinsatser inom hemtjänsten, enligt Socialstyrelsens delrapport Stimulansbidrag LOV (2012).
SOU 2014:23 Behov av en mer sammanhållen informationshantering
783
Enligt Sveriges Kommuner och Landsting, SKL, fanns i oktober 2013 valfrihetssystem infört i sammanlagt 144 kommuner. Ytterligare 37 kommuner hade vid detta tillfälle beslutat om att införa valfrihetssystem enligt LOV medan 42 kommuner beslutat att inte göra detta. I 38 av de 67 kommuner som ännu inte tagit ställning utreds frågan om ett införande.
Kommunernas möjligheter att genom upphandling eller införande av valfrihetssystem överlåta utförandet av socialtjänst till privata aktörer har gjort att mångfalden av utförare i dag är betydligt större än vad det har varit tidigare. Under 2010 fanns det t.ex. 687 externa utförare inom kommunernas valfrihetssystem, enligt Konkurrensverkets delrapport Kommunernas valfrihetssystem – så fungerar konkurrensen. Utredningen om framtida valfrihetssystem inom socialtjänsten presenterar i sitt betänkande att siffran i juli 2013 var uppe i 846 unika utförare anslutna till kommunernas valfrihetssystem.4 I betänkandet uppmärksammas även att det totalt finns 618 privata utförare anslutna till kommunernas valfrihetssystem rörande hemtjänst. Det kan jämföras med Konkurrensverkets undersökning som visar 499 privata utförare beträffande hemtjänst i slutet av 2011.5 Under perioden, drygt 18 månader, har således 119 privat utförare tillkommit, en ökning med 24 procent.
31.1.3 Stora krav på informationsöverföringen
Utredningen kan konstatera att frågan om informationsutbyte mellan olika aktörer har kommit att bli central för att individens behov ska kunna tillgodoses. Såväl i hälso- och sjukvården som i socialtjänsten har antalet aktörer ökat markant under den senaste tioårsperioden. Ur ett informationshanteringsperspektiv har det bland annat medfört att den information som tidigare hölls samman i en eller ett fåtal organisationer nu hanteras av ett flertal aktörer.
Behov av informationsöverföring mellan hälso- och sjukvården och socialtjänsten kan uppstå i en mängd olika situationer och i flera olika typer av verksamheter. Det kan exempelvis handla om sådana integrerade verksamheter där en eller flera vårdgivare arbetar tätt tillsammans med en eller flera utförare av socialtjänst.
4SOU 2014:2, Framtidens valfrihetssystem – inom socialtjänsten, s. 73. 5 Kommunernas valfrihetssystem, Konkurrensverket, Rapport 2013:1.
Behov av en mer sammanhållen informationshantering SOU 2014:23
784
Den vård och omsorg om äldre som bedrivs inom ramen för särskilda boenden är ett tydligt exempel på en sådan verksamhet där kommunalt finansierad hälso- och sjukvård och socialtjänst respektive landstingsfinansierade läkarinsatser arbetar integrerat. Motsvarande exempel finns även inom psykiatrin och missbruks- och beroendevården.
Under utredningens arbete har vi även sett bredare verksamheter där exempelvis socialtjänst, hälso- och sjukvård, Försäkringskassa och Arbetsförmedling arbetat integrerat i samma lokaler och enligt sådana arbetssätt och principer som om de vore en enda organisation. Sådan samverkan har vi även sett mellan socialtjänst, hälso- och sjukvård och Kriminalvård. Även utanför en sådan mer integrerad verksamhet kan finnas stora behov av att ta del av uppgifter antingen från socialtjänsten eller från hälso- och sjukvården. Det kan exempelvis röra slutenvården eller den öppna specialiserade vården som möter individer med sammansatta behov av vård och omsorg.
Ordet integrera betyder att förena, sammanföra, samordna och fullständiga genom införlivning. Utredningen använder uttrycket för att beskriva de verksamheter där flera aktörer, både offentliga och privata vårdgivare och utförare i socialtjänst m.fl., är inblandade och samverkar för att ett en enskild ska få den vård och omsorg som man har rätt att kräva. Oavsett grad av integration handlar det i dessa verksamheter om ett grundläggande behov att med individens bästa för ögonen samverka över organisatoriska gränser för att möjliggöra en så bra vård och ett så bra omhändertagande som möjligt. En förutsättning för det är att behörig personal har tillgång till den information som behövs i varje enskilt fall.
31.2 Rättsliga krav på samverkan mellan huvudmän
Behovet av att samverka mellan olika huvudmän och de vårdgivare och utförare som finansieras av huvudmännen är stort och behöver ständigt utvecklas. För att stimulera och förmå olika organisationer att samverka kring enskilda finns ett antal bestämmelser i lag och föreskrifter som ställer krav på vård- och omsorgssektorns aktörer. I det följande nämns några.
SOU 2014:23 Behov av en mer sammanhållen informationshantering
785
31.2.1 Samverkan på övergripande nivå
Samverkan regleras på olika sätt mellan olika huvudmän och kan avse avtal mellan huvudmän men även bedrivas genom kommunalförbund eller gemensam nämnd. En allmän bestämmelse om samverkan mellan myndigheter finns i förvaltningslagen (1986:223) där det ställs krav på att varje myndighet ska lämna andra myndigheter hjälp inom ramen för den egna verksamheten (6 §). Kommuner och landsting har möjlighet att samverka genom t.ex. kommunalförbund eller gemensamma nämnder (t.ex. 3 kap. 3 a § kommunallagen [1991:900]).
Socialtjänsten ska medverka i samhällsplanering och ska i samarbete med andra samhällsorgan, organisationer, föreningar och enskilda främja goda miljöer i kommunen (3 kap. 1 § SoL). En kommun får sluta avtal med ett landsting, försäkringskassa och arbetsförmedling om att samverka i gemensamma projekt inom ramen för socialtjänstens uppgifter, (jfr 2 kap. 6 § SoL). Bakgrunden till bestämmelsen är att effektivare utnyttja samhället resurser för att bättre kunna tillgodose människors behov av olika stödåtgärder. För att kunna uppnå en bra rehabilitering för den enskilde måste utveckling av samverkansformer hela tiden utvecklas och förbättras. En bra samverkan mellan olika aktörer ger möjlighet till individuella lösningar och ett bättre omhändertagande. Motsvarande bestämmelse finns för landstinget del i 3 § HSL.
Vidare ska landstinget ingå en överenskommelse med kommunen om ett samarbete i fråga om personer med psykisk funktionsnedsättning (8 a § HSL och 5 kap. 8 a § SoL). Det ställs således krav på kommuner och landsting att ingå formaliserade, övergripande överenskommelser.
Motsvarande krav har nyligen även tillkommit med avseende på missbruksvården. Här åläggs landstinget enligt 8 b § HSL att ingå en överenskommelse med kommunen om ett samarbete i fråga om personer som missbrukar alkohol, narkotika, andra beroendeframkallande medel, läkemedel eller dopningsmedel. För kommunens del regleras motsvarande samverkansskyldighet i 5 kap. 9 a § SoL. Motivet med de nya kraven är att stärka samverkan mellan landsting och kommuner för att bättre tillgodose behovet av vård, stöd och behandling.6 I propositionen framgår även att rege-
Behov av en mer sammanhållen informationshantering SOU 2014:23
786
ringen avser att följa upp huvudmännens överenskommelser med fokus på tillgänglighet, samordning och kvalitet i insatser.
31.2.2 Samverkan på individuell nivå
Det finns i lagstiftningen flera exempel på när hälso- och sjukvården och socialtjänsten ska samverka på en individuell nivå, dvs. i och för vården och omsorgen om enskilda personer. För att sådan samverkan ska fungera och för att resultatet ska bli ändamålsenligt för individen måste de olika aktörerna utbyta information.
Av 4 kap. 5 § Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete anges särskilt att den som bedriver socialtjänst ska identifiera
de processer där samverkan behövs för att säkra kvaliteten på de
insatser som ges i verksamheten. På motsvarande sätt ska vårdgivare enligt 4 kap. 6 § identifiera de processer som behövs för att förebygga att patienter drabbas av vårdskada. Det ska framgå av processerna och rutinerna hur samverkan ska bedrivas i den egna verksamheten. Exempel på sådan samverkan är t.ex. informationsöverföring mellan olika yrkesgrupper, exempelvis biståndshandläggare, sjuksköterskor och omvårdnadspersonal eller mellan olika arbetsskift. Men det kan också avse en samordnad planering avseende vården och omsorgen. Utöver detta ska verksamhetens processer och rutiner säkerställa att det blir möjligt att samverka med andra verksamheter och myndigheter kring vård och omsorg.7
Nedan nämns kortfattat några av de områden där hälso- och sjukvård och socialtjänst har ett särskilt ansvar för samverkan på individuell nivå.
Individuell plan för den som är i behov av insatser från både socialtjänst och hälso- och sjukvård
När en enskild har behov av insatser från både socialtjänsten och från hälso- och sjukvården ska kommunen tillsammans med landstinget upprätta en individuell plan (2 kap. 7 § SoL). För landstingen del regleras detta i 3 f § HSL. Planen ska bland annat innehålla vilka
7 Inspektionen för vård och omsorg, Nationell tillsyn av vård och omsorg om äldre – slutrapport 2013, s. 46.
SOU 2014:23 Behov av en mer sammanhållen informationshantering
787
insatser som behövs, vilka insatser respektive huvudman ska svara för och vilka åtgärder som vidtas av någon annan än landstinget eller kommunen. Kravet på individuella planer förtydligar det ansvar som kommuner och landsting har och behövs för att planera hur en enskilds samlade behov av socialtjänst och hälso- och sjukvård ska kunna tillgodoses.8 Avsikten med dessa bestämmelser är att förbättra samverkan mellan kommun och landsting för personer med till exempel psykisk sjukdom, missbruk eller andra personer som behöver insatser både från hälso- och sjukvård och socialtjänst.
Samordnad vårdplanering vid utskrivning från slutenvården
Av lagen (1990:1404) om kommunernas betalningsansvar för viss hälso- och sjukvård samt Socialstyrelsens föreskrifter (SOSFS 2005:27) om samverkan vid in- och utskrivning av patienter i sluten vård följer ytterligare krav. Det innebär bl.a. att landsting och kommuner i samråd ska utarbeta rutiner för samordnad vårdplanering inför utskrivning av patienter och för överföring av information, som t.ex. befintliga planer, mellan vård- och omsorgsgivare i samband med in- och utskrivning av patienter från sluten vård till öppen vård och socialtjänst. Information om patientens behov av hälso- och sjukvård och socialtjänst ska, om det inte finns hinder för detta i sekretesslagstiftningen överföras mellan berörda enheter inom den slutna vården och den öppna vården samt socialtjänsten. Information om patientens behov av hälso- och sjukvård och socialtjänst ska senast samma dag som patientens skrivs ut överföras från den slutna vården till berörda enheter inom den öppna vården och socialtjänsten. Informationen ska innehålla vårdplanen och övriga väsentliga uppgifter.
Samordning för rehabilitering och habilitering
Vidare är Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2007:10) om samordning för habilitering och rehabilitering tillämpliga när insatser för enskildas rehabilitering och habilitering inom hälso- och sjukvården planeras och samordnas med omsorgsinsatser för äldre och personer med funktionshinder. Även här ska samordningen dokumenteras i en plan.
Behov av en mer sammanhållen informationshantering SOU 2014:23
788
Genomförandeplan för barn och unga i hem för vård eller boende
För barn och unga som vårdas i ett hem för vård eller boende eller i ett familjehem ska en plan upprättas över hur vården ska genomföras (genomförandeplan) och denna ska även uppta åtgärder och insatser som andra huvudmän har ansvar för (jfr 11 kap. 3 § SoL). När det gäller barn och ungdomar är socialtjänsten generellt skyldig att samverka med samhällsorgan, organisationer och andra som berörs i frågor som rör barn som far illa eller riskerar att fara illa. Socialtjänsten ska aktivt verka för att samverkan kommer till stånd (5 kap. 1 § SoL). Det finns även bestämmelser i skollagen (2010:800) om samverkan i frågor som rör barn som far illa eller riskerar att fara illa. Av 3 kap. 8 § skollagen framgår att rektor ansvarar för att se till att elevens behov av särskilt stöd utreds skyndsamt och för att samråd genomförs med elevhälsan om det inte är uppenbart obehövligt.
Individuell plan enligt LSS
Enligt 6 § LSS ska verksamheten bedrivas i samarbete med andra berörda samhällsorgan och myndigheter. När en insats beviljas enligt lagen om stöd och service till vissa funktionshindrade ska den enskilde erbjudas att en individuell plan upprättas. Landsting och kommunen ska underrätta varandra om upprättade planer (10 § LSS).
31.3 Utredningens iakttagelser och reflektioner när det gäller integrerade verksamheter
Inom hälso- och sjukvården och socialtjänsten finns ett växande behov av att samverka i olika former. Detta är särskilt viktigt mot bakgrund av att ett bra och samlat omhändertagande ofta är beroende av stöd och insatser av både landsting och kommun samt privata vårdgivare eller privat utförare av socialtjänst. Det gäller både för äldreomsorgen, psykiatrin, missbruks- och beroendevården och verksamheter för funktionshindrade. Även arbetet med barn och unga ställer stora krav på samverkan mellan hälso- och sjukvård och socialtjänst. Till detta kommer inte heller sällan
SOU 2014:23 Behov av en mer sammanhållen informationshantering
789
ytterligare behov av stöd från andra aktörer som exempelvis skola, polis, kriminalvård, Försäkringskassa, Arbetsförmedling m.fl.
Trots de tidigare reformerna finns det fortfarande samordningsproblem och brister i omhändertagandet. En av bristerna som har påtalats är svårigheter i informationsutbytet mellan vård och omsorg. Under utredningens arbete har vi deltagit i ett stort antal möten, studiebesök, konferenser och seminarier m.m. för att identifiera och kartlägga vilka hinder och utmaningar som finns för en mer sammanhållen informationshantering mellan hälso- och sjukvård och socialtjänst. I det följande anges ett antal av utredningens centrala iakttagelser och reflektioner utifrån nämnda aktiviteter och annan kunskapsinhämtning.
31.3.1 Vård och omsorg om äldre i särskilt boende och i hemmet
Många äldre som i dag drabbas både av olika typer av sjukdomar och fysiska eller kognitiva funktionsnedsättningar är beroende av att insatserna från socialtjänsten och hälso- och sjukvården fungerar. I dag får äldre dessa behov tillgodosedda antingen inom ramen för särskilt boende eller genom hemsjukvård, rehabilitering och hemtjänstinsatser. Utvecklingen har gått mot att fler äldre med omfattande och komplexa behov av vård och omsorg bor kvar i sina hem. I en rapport från Socialstyrelsen framkommer exempelvis att antalet äldre som bor i särskilt boende har minskat, samtidigt som omfattningen av hemtjänst- och dagverksamheter ökat så att fler äldre kan bo hemma. Ungefär 30 procent av individer i gruppen mest sjuka äldre bor i särskilt boende, medan de övriga bor i ordinärt boende och oftast har stöd från socialtjänsten.9
Som redovisats ovan har utvecklingen samtidigt gått mot att allt fler aktörer och personal är inblandade i vården och omsorgen om de äldre. För att öka patientsäkerheten, höja kvaliteten, behålla kontinuiteten och skapa en helhetsbild av den enskildes behov av vård och omsorg ställs stora krav på informationsöverföring mellan de inblandade aktörerna. Det handlar i detta avseende inte bara om den personal som i vardagen står för insatserna utan även om de aktörer som möter den äldre när något särskilt inträffar, t.ex. när behovet av sjukhusvård uppstår. Siffror från Socialstyrelsen visar
9 Socialstyrelsen, Tillståndet och utvecklingen inom hälso- och sjukvård och socialtjänst, lägesrapport 2013.
Behov av en mer sammanhållen informationshantering SOU 2014:23
790
exempelvis att omkring 40 procent av de mest sjuka äldre har insatser både från socialtjänsten och öppen och sluten specialistläkarvård. Andelen mest sjuka äldre som även har sjukvårdsinsatser från primärvård eller hemsjukvård är gissningsvis ännu större, men eftersom primärvården inte ingår i patientregistret har det inte gått att mäta.10
För att förbättra säkerhet och kvalitet för äldre är det i dag nödvändigt att relevant information kan överföras mellan den slutna vården, landstingsfinansierad primärvård och övrig öppenvård, kommunal hälso- och sjukvård samt socialtjänst. I samtliga dessa delar kan dessutom organisatoriska gränser förekomma, t.ex. mellan vårdgivare och olika utförare av socialtjänst.
Utredningens generella reflektion är att det regelverk som styr hur information får hanteras inom och mellan inblandade vårdgivare och utförare i större utsträckning än vad som är fallet i dag måste stödja en sammanhållen informationshantering. För de aktörer som arbetar tillsammans eller i någon typ av samverkan runt den äldre finns det ett stort behov av en gemensam bild av den enskildes hälsosituation. Vid våra kontakter med verksamhetsföreträdare har framkommit att information inte hålls ihop på ett sådant sätt att det bidrar till ökad kvalitet och säkerhet. Vidare anförs inte sällan att närstående många gånger får agera budbärare och hålla de olika aktörerna i vårdkedjan uppdaterade med viktig information.
I en rapport från stiftelsen Leading Healthcare framkommer en tydlig bild av den enskilde och närstående som administratörer och förmedlare av information, kontakter och instruktioner i en situation med många inblandade aktörer kring multisjuka personer.11För att illustrera de utmaningar som finns refereras här till en situation som beskrivs i den nämnda rapporten. Det handlar om en 79 årig man med 9 diagnoser, omkring 15 läkemedel, viss hjälp från hemtjänsten, heldygnsinsats från maka, 149 dagar i slutenvården senaste 18 månaderna, 53 olika kontakter med ett antal olika läkare i öppenvård, 142 hembesök från 16 olika distriktssköterskor, 54 hembesök från ett antal olika arbetsterapeuter och sjukgymnaster. Under 18 månader framgår bl.a. följande om mannens kontakter med vård och omsorg.
Mannen har vårdats inom sluten sjukhusvård sju olika gånger. Han har haft 26 kontakter med läkare inom fem olika specialistområden inom
10 Socialstyrelsen, Registeranalyser av de mest sjuka äldres vård och omsorg, 2013. 11 Leading Healthcare, Icke värdeskapande episoder i äldres vårdkedjor, 2012.
SOU 2014:23 Behov av en mer sammanhållen informationshantering
791
den öppna vården. Fyra gånger har han åkt in till sjukhusets akut med ambulans. Journalen från hälsocentralen består av 128 sidor med 399 notat. Sex olika läkare samt 20 olika distriktssköterskor och två undersköterskor har dokumenterat i läkar- respektive omvårdnadsjournalen. Över 142 hembesök har genomförts av 16 olika distriktssköterskor. Fem olika sjukgymnaster har genomfört 27 hembesök. Lika många hembesök har genomförts av nio olika arbetsterapeuter. I övrigt fanns fyra olika besök dokumenterade om kontakter nattetid med primärvårdens jourverksamhet. I dokumentationen från kommunens biståndshandläggare framgår att tre vårdplaneringar har genomförts på sjukhuset i samband med utskrivning därifrån. Vid den första vårdplaneringen får mannen ett egenvårdsintyg vilket ger honom rätt till bistånd från kommunen och hjälp med insatsen ”handräckning till egenvård”. Detta innebär att hemtjänstpersonal kan ge stöd till dialys för att avlasta anhörig maka. Vid en andra vårdplanering dokumenteras att maka sköter mathållning och övrig service i hemmet. Det stöd som behövs är hjälp med dialys två gånger dagligen och dialyssköterska på sjukhuset utbildar den hemtjänstpersonal som ska ge insatsen. Vid den tredje vårdplaneringen i slutet av perioden tar maka och parets barn upp behovet av korttidsvård eftersom vårdbehoven i hemmet blivit alltför omfattande och tar på anhörigas krafter. Anhöriga anhåller dock inte skriftligt om korttidsvård och någon sådan kommer inte till stånd. Vid några tillfällen finns notat om att personal från sjukhuset tagit kontakt med vårdcentralen eftersom de varit missnöjda med sårvården så som den skötts i hemmet. Från sjukhuset erbjuds utbildning till hemtjänstens personal. Hela undersökningsperioden beskrivs oklarheter och osäkerheter kring såromläggningar, injektioner, läkemedel och hjälpmedel. Anhörig maka fungerar som budbärare av information mellan sjukhus, vårdcentral, apotek och hemtjänst. Anhörig ger själv injektioner och delar läkemedel. Läkemedel förskrivs från olika kliniker på sjukhuset samt från vårdcentralens olika läkare. Vid de oklarheter som ofta uppstår tar anhörig kontakt med vårdcentralen som ber henne söka information från sjukhusets olika kliniker och specialister som har kontakt med mannen.
Exemplet ovan visar på ett flertal olika utmaningar och brister när det gäller vården och omhändertagandet av svårt sjuka äldre. Utöver dessa utmaningar framkommer dessutom att många personer från flera olika organisationer har ett behov av en samlad information om den äldres aktuella hälsa och livssituation.
Även Inspektionen för vård och omsorg, IVO, konstaterar i en rapport att överföringen mellan slutenvård, öppenvård och socialtjänst inte fungerar tillräckligt bra i samband med de övergångar i
Behov av en mer sammanhållen informationshantering SOU 2014:23
792
vårdkedjan som uppstår när äldre skrivs ut från slutenvården. 12IVO pekar bl.a. på att rutiner inte tillämpas, att IT-systemen inte fungerar fullt ut, att uppgifter om omvårdnadsbehov och läkemedelsordinationer riskerar att inte följa med från en instans i kedjan till nästa. Hela tre fjärdedelar av de chefer och den personal i kommuner och primärvård som tillfrågats i myndighetens tillsyn ansåg att aktuell ordinationshandling för läkemedel ofta saknades vid utskrivning. När personal sedan försöker lösa informationsöverföringen på andra sätt kan det finnas en risk för att det stjäl tid från själva vården om den äldre. I rapporten framkommer även bl.a. följande.13
I övrigt framkom det av intervjuerna att informationsöverföringen kunde utebli eller försvåras när den äldre sökte sjukhusvård själv, utan att först ha kontaktat hemtjänsten eller hemsjukvården. Den äldre har naturligtvis rätt att göra detta, men följden kan bli att överenskomna rutiner inte fungerar. Den äldre kan ha svårt att förklara sitt hälsotillstånd eller vilka insatser som annars ges och av vem. Sjukhuspersonal, vanligtvis på akutmottagningar, får därmed inte tillräckligt med information om exempelvis vilka läkemedel den äldre redan är ordinerad. Det kan uppstå svårigheter att veta vilken verksamhet inom hemtjänsten eller hemsjukvården som ska informeras när den äldre skrivs in.
Även om erfarenheterna från ovan nämnda tillsyn delvis pekar på andra brister än just det legala regelverket, dvs. att rutiner inte tillämpas eller att IT-stöd inte fungerar optimalt, kan samtidigt konstateras att regelverket i större utsträckning än i dag hade kunnat bidra till att reducera några av de uppmärksammade riskerna och bristerna. Om det exempelvis fanns rättsliga förutsättningar för den som är i behov av viss information att själv ta del av informationen i ett IT-system, dvs. genom direktåtkomst och oavsett om informationen dokumenterats i hälso- och sjukvården eller i socialtjänsten, skulle sannolikt vissa av dessa utmaningar bli mindre.
12 Inspektionen för vård och omsorg, Nationell tillsyn av vård och omsorg om äldre – slutrapport 2013, s. 6. 13 Inspektionen för vård och omsorg, Nationell tillsyn av vård och omsorg om äldre – slutrapport 2013, s. 19.
SOU 2014:23 Behov av en mer sammanhållen informationshantering
793
En gemensam bild av individens hälsosituation saknas
Under utredningens arbete har vi kunnat konstatera att de äldres sammansatta behov och dokumentationsreglernas organisationsmässiga uppdelning har medfört problem. I en så pass integrerad verksamhet som äldreomsorgen är det ett problem att dokumentationen styrs av olika regelverk, dvs. patientdatalagen (2008:355), förkortad PDL, för hälso- och sjukvårdsinsatserna och socialtjänstlagen m.fl. för de sociala insatserna. Det är inte alltid så enkelt för personalen att i enskilda fall veta vilken information som ska dokumenteras enligt vilket regelverk. Det är inte självklart var information om den äldres humör, aktiviteter, sömn, funktionsnivåer, kosthållning och liknande ska dokumenteras. Om sådana uppgifter dokumenteras i den sociala dokumentationen är den inte tillgänglig exempelvis för primärvårdsläkaren när denne möter den äldre för att utvärdera effekterna av den senaste läkemedelsordinationen.
IVO anför i den tidigare nämnda rapporten att vård- och omsorgspersonal ofta inte vet hur de ska dokumentera på ett korrekt sätt. Samtidigt konstaterar myndigheten att hälso- och sjukvårdsinsatser och sociala insatser ofta flyter ihop för äldre som bor på särskilt boende. Detta kan enligt IVO vara en förklaring till att en dryg tredjedel av korttids- och demensboendena förde anteckningar enligt socialtjänstlagen och patientdatalagen i samma dokument.14
Även utredningens erfarenheter är att vissa verksamheter dokumenterar i samma journal oavsett vilka insatser det handlar om. Det har även i olika sammanhang förts fram önskemål om att det borde vara möjligt att vid behov dokumentera i en gemensam vård- och omsorgsjournal. Samverkansutredningen behandlade just denna fråga men fann betydande lagtekniska svårigheter med ett gemensamt dokumentationssystem för patientjournalföring och sociala anteckningar. Något förslag i frågan lämnades därför inte. Enligt samverkansutredningen fanns dock goda förutsättningar att, i samråd med den enskilde, praktiskt hantera båda slagen av information i t.ex. gemensamma pärmar på äldreboenden.15
Vår uppfattning är att manuell hantering i pärmar inte kan övervägas som ett ändamålsenligt alternativ i dag. För att höja säkerheten och kvaliteten i vård och omsorg behöver informations-
14 Inspektionen för vård och omsorg, Nationell tillsyn av vård och omsorg om äldre – slutrapport 2013, s. 27. 15 Samverkansutredningens betänkande; Samverkan – om gemensamma nämnder på vård och omsorgsområdet, SOU 2000:114 s. 256 ff.
Behov av en mer sammanhållen informationshantering SOU 2014:23
794
hanteringen snarare vara mer elektronisk än vad som är fallet i dag. En manuell hantering saknar dessutom alla möjligheter att svara upp mot det omfattande behov av informationsöverföring som finns mellan de vårdgivare och utförare som möter äldre med sammansatta behov. Det bör därför övervägas hur svårigheterna med att särskilja socialtjänstens omvårdnadsdokumentation från vad som ska betraktas som hälso- och sjukvårdsinformation kan överbryggas. Förutom att det för personalen måste bli lättare att göra rätt, bör olika åtgärder övervägas som förbättrar möjligheterna för de inblandade aktörerna att arbeta tillsammans med stöd av gemensam information om individens hälsosituation.
Frågan om någon form av gemensam dokumentation har inte endast uppstått i relationen mellan hälso- och sjukvård och socialtjänst. Även mellan olika aktörer som i olika former av integrerade verksamheter står antingen för hälso- och sjukvårdsinsatser eller socialtjänstinsatser kan finnas behov av en mer sammanhållen informationshantering. Som exempel kan nämnas de olika vårdgivare som tillsammans står för hälso- och sjukvårdsinsatserna i särskilt boende och i hemsjukvården. Det förekommer exempelvis att privata vårdgivare (med kommunal finansiering) står för hälso- och sjukvårdsinsatserna under dagtid på vardagar, medan kommunens egen hälso- och sjukvårdspersonal har ansvar för samma individer under kvällar, nätter och helger. Inte sällan har patienterna ett flertal diagnoser, ett omfattande omvårdnadsbehov och behov av medicinska insatser stora delar av dygnet. För en verksamhet som är organiserad på ett sådant sätt uppstår i dag svårigheter ur ett informationshanteringsperspektiv. I stället för att ha ett gemensamt system och i det dokumentera tillsammans i en och samma patientjournal ställer regelverket krav på att de inblandade vårdgivarna ska föra sin egen journal.
Det är visserligen möjligt att genom direktåtkomst visa upp information för varandra (sammanhållen journalföring), men det kan ifrågasättas om de möjligheterna är tillräckliga för en verksamhet som är så pass integrerad. Ett exempel utredningen tagit del avsåg en patient som får smärtor vid 16-tiden och då får läkemedel av sjuksköterskan som arbetar för den privata vårdgivaren. När kommunens sjuksköterska kl. 17:30 tar över ansvaret för patienten följs läkemedelsadministrationen upp och ställningstagande till fortsatta åtgärder görs. Liknande exempel uppstår i en mängd situationer, t.ex. när en person i ett flertal dygn vårdas i livets slutskede och dokumentationen bör vara samlad i patientens journal
SOU 2014:23 Behov av en mer sammanhållen informationshantering
795
oavsett om vården utförs av olika vårdgivare olika tider på dygnet. Motsvarande exempel finns även när det gäller dokumentation mellan olika utförare av socialtjänstinsatser, när ansvaret är uppdelat på olika tider av dygnet eller på olika insatser.
Utredningens generella reflektioner
Utredningen anser att regelverket när det gäller integrerade verksamheter inte på bästa möjliga sätt tillgodoser den enskilde patientens och verksamhetens behov av en sammanhållen informationshantering. Detta är särskilt tydligt för den som bor i särskilt boende och för den som bor i ordinärt boende med insatser från hemsjukvården och socialtjänsten. I sådana verksamheter arbetar all inblandad personal, oavsett organisatorisk tillhörighet, med den enskildes totala hälso- och livssituation.
De gränsdragningsproblem mellan kommuner och landsting som lagstiftaren ville komma till rätta med genom Ädelreformen, upprätthålls alltjämt av de skilda dokumentations- och registerförfattningarna för hälso- och sjukvården och socialtjänsten. Trots att det inte föreligger någon sekretess mellan den hälso- och sjukvård och den socialtjänst som erbjuds inom ramen för sådan verksamhet som kommunen står för enligt Ädelreformen medför dokumentationsbestämmelserna att gränsdragningsproblemen i stor omfattning kvarstår. Situationen har förstås blivit ännu mer komplex nu när det inte längre alltid är samma kommunala nämnd som står för hälso- och sjukvårds- respektive socialtjänstinsatserna. Sekretessgränser som tidigare inte har funnits, har nu kommit att uppstå i verksamheter där olika organisationer, vårdgivare i sjukvård och utförare i socialtjänst, samverkar i äldreomsorgen. I stället för en kvalitetssäker och samlad information om den enskildes vård- och omsorgssituation visar verksamheterna upp en splittrad, oöverskådlig och tidskrävande informationshantering med uppenbara risker för den enskilde.
Regelverket medför även att det inte är alldeles enkelt att hantera de verksamhetsövergångar som ofta uppstår. I fall där det är flera olika utförare av insatserna finns behov av att information om den enskilde på ett effektivt sätt kan föras över till nästa utförare. Detta gäller särskilt i äldreomsorgen där såväl insatser från hälso- och sjukvården som från socialtjänsten behövs över en längre tid.
Behov av en mer sammanhållen informationshantering SOU 2014:23
796
31.3.2 Vård och omsorg om personer med psykisk sjukdom och funktionshinder
För personer med psykisk sjukdom och funktionshinder som är i behov av insatser från både hälso- och sjukvården och socialtjänsten finns flera likheter med det som redovisats om äldreomsorgen ovan. Även inom psykiatrin finns exempel på integrerade verksamheter där samverkan och informationsöverföring är centrala för de behov den enskilde har.
Socialstyrelsen konstaterar i en vägledning för arbetet med psykisk ohälsa hos äldre att flera kommuner och landsting har startat särskilda team med inriktning på äldres psykiska ohälsa.16Teamen tillhör ibland antingen den kommunala verksamheten eller landstinget, men i några fall är teamen en gemensam angelägenhet för båda huvudmännen. Teamens uppdrag, upplägg och sammansättning varierar men många är tvärprofessionella i den bemärkelsen att de medverkande har olika roller och professioner. Det är exempelvis vanligt att teamen består av läkare, sjuksköterska, arbetsterapeut, sjukgymnast, skötare, undersköterska, boendestödjare och någon som har en samordnande funktion. För sådana tvärprofessionella verksamheter blir frågor om hur information får hanteras och utbytas mellan de ingående organisationerna och personalkategorierna en avgörande faktor för att nå de önskade resultaten.
Det finns även flera exempel på samverkan mellan huvudmännen genom olika varianter av samordnade resurser, dvs. att den enskilde får en sammanhållande kontaktperson. Kontaktpersonen kan t.ex. vara vårdbiträden, undersköterskor, boendestödjare eller samordningssjuksköterska. Det kan även erbjudas i form av en care manager eller case manager. En vidare form av samverkan utgörs av ett resursgruppsarbete enligt ACT-modell. En sådan samverkan kan bestå i att alla viktiga personer runt den enskilde med psykisk ohälsa, exempelvis närstående, kontaktperson, sjuksköterska m.fl., samlas i en grupp där alla bidrar med sin del för att tillsammans kunna arbeta utifrån ett helhetsperspektiv. Socialstyrelsen har exempelvis rekommenderat detta vid insatser för personer med schizofreni och liknande tillstånd.
Utredningen har varit i kontakt med verksamheter bestående av tvärprofessionella team som arbetar i samma lokaler för att till-
16 Socialstyrelsen, Att arbeta med äldres psykiska ohälsa – vägledning för socialtjänsten och den kommunala hälso- och sjukvården, 2013.
SOU 2014:23 Behov av en mer sammanhållen informationshantering
797
sammans ge den enskilde det stöd och den vård som behövs. De huvudmän som representeras kan vara både kommunens socialtjänst, landstingets hälso- och sjukvård, kommunens hälso- och sjukvård samt statliga myndigheter som Kriminalvården, Försäkringskassan och Arbetsförmedlingen. Om verksamheten omfattar insatser för barn och unga kan även skolan ha en viktig roll.
Nedan återges några exempel från sådana integrerade verksamheter som utredningen har haft kontakt med för att försöka kartlägga och identifiera hinder och utmaningar för en mer sammanhållen informationshantering.
Stödverksamhet för unga vuxna
Utredningen har tagit del av erfarenheter från ett samverkansteam som arbetar för att unga vuxna 18–29 år med psykiska besvär ska kunna komma ut i arbetslivet. Teamet har som uppdrag att arbeta tvärprofessionellt med coachning och insatser av psykolog och psykiatriker i syfte att minska psykisk ohälsa och öka aktivitets- och sysselsättningsgrad. Verksamheten samfinansieras av landsting, kommun, Arbetsförmedlingen och Försäkringskassa. Kommunen har ansvar för samordnad ledning och organisatoriskt stöd.
Teammedlemmarna har olika grundanställningar, men verksamheten är integrerad och genomförs i gemensamma lokaler och med gemensam verksamhetsledning. Fyra psykologer är anställda i kommunen, en psykiatriker är anställd i landstinget, en coach är kommunanställd, en coach är anställd av Försäkringskassan och en coach av Arbetsförmedlingen. Den unge vuxne söker sig dit självständigt, men har ofta även andra kontakter med landstinget, Arbetsförmedlingen, Försäkringskassan eller socialtjänst. Samverkan utövas med samtycke från den unge vuxne och i den omfattning som behövs. Deltagandetiden är ett år.
När den unge börjar i verksamheten inhämtas alltid ett skriftligt samtycke för teamarbetet, för den gemensamma dokumentationen av behandlingsinsatsen, och för att vid behov samverka med befintliga vårdgivare och handläggare. Samtycket gäller i tre år och kan återkallas. I praktiken har det aldrig hänt att någon har återkallat ett samtycke.
Behandlingsinsatsen från teamet består av psykologisk behandling, psykiaterkonsult och sociala eller arbetsinriktade insatser från coacher. Teamets uppbyggnad är mycket likt ett psykiatriskt team
Behov av en mer sammanhållen informationshantering SOU 2014:23
798
som har regelbundna möten. All inskrivning i verksamhet samt alla förändringar i behandling eller deltagande går via teambeslut, eftersom teamet gemensamt ansvarar för planering och upplägg.
Alla insatser bygger på tät samverkan mellan teamets medlemmar. Det är därför nödvändigt att all väsentlig information kan delas i teamet, vilket görs muntligt på möten. För att kunna säkerställa god vård vill verksamheten ha ett dokumentationssystem som uppfyller krav på ett journalföringssystem där samtliga inkopplade på samma ärende kan följa andra teammedlemmars insatser. Alla som arbetar runt individen behöver ha samma helhetsbild av den enskildes hälsa och utveckling.
Södertäljemodellen – samverkan mellan kommun och landsting
I Södertälje har det alltsedan psykiatrireformen 1995 funnits ett samarbete mellan landsting och kommun när det gäller psykiatri,
Södertäljemodellen. Modellen har sedan utökats att gälla även
personer med beroendeproblem. Målgruppen är personer med långvarig och allvarlig psykisk sjukdom som medför varaktiga funktionsnedsättningar (exv. psykossjukdomar). Det finns två huvudmän för verksamheten; landstinget som ansvarar för den psykiatriska behandlingen och kommunerna som har ansvaret för boendestöd, sysselsättning och övergripande planering. Det övergripande ansvaret för samordning och ledning av det gemensamma arbetet har en gemensam styrgrupp. Det finns två särskilda projektledare, en från varje huvudman.
Parterna samarbetar i öppenvården på gemensamma rehabiliteringsenheter. På varje enhet erbjuds social gemenskap, sysselsättning, psykiatrisk behandling och boendestöd. Genom det delade huvudmannaskapet på enheterna finns kontakterna med både psykiatrins heldygnsvård och olika kommunala verksamheter kvar. På de fyra enheterna (gårdarna) samverkar personal från kommunen med personal från landstinget. Verksamheten leds gemensamt av två chefer, en från respektive huvudman.
Varje individ får två samordnare, en från kommunen och en från landstinget, som har samordningsansvar för stöd och behandling. Att vara samordnare (Case Manager) är en speciell arbetsuppgift, som ligger utanför de specifika yrkesrollerna. Samordnarna har ansvaret för att planeringen för klienten blir genomförd. På varje enhet finns personal i form av läkare, sjuksköterskor, mental-
SOU 2014:23 Behov av en mer sammanhållen informationshantering
799
skötare, arbetsterapeut, psykolog, socialsekreterare, boendestödjare, rehabiliteringsassistent, receptionist och lokalvårdare.
Personalen har önskemål om att det ska finnas ett gemensamt system för dokumentation eftersom det skulle underlätta deras arbete och i större utsträckning tillgodose den enskildes behov och ge en nödvändig helhetsbild av den aktuella situationen. I dag inhämtas samtycke från den enskilde om att få dela personuppgifter. Detta upplevs i och för sig inte som ett problem. Däremot bedöms inte förutsättningarna för ett effektivt utbyte av information vara tillräckligt goda, vare sig ur rättslig eller ur teknisk synvinkel. Även om personalen har en faktisk möjlighet att utbyta information med stöd av samtycket skulle det vara mycket mer effektivt om informationsutbytet fick göras genom sådan direktåtkomst där man kan ta del av informationen direkt i varandras system. I dag görs det ett dubbel- eller trippelarbete genom att relevant information dokumenteras både i kommunens hälso- och sjukvård och i socialtjänsten samt i landstingets hälso- och sjukvård. I praktiken finns i dag tre olika system, kommunen har två (ett för socialtjänst och ett för LSS) och landstinget har ett system. De privata verksamheter som anlitas har i sin tur sina egna system för dokumentation av insatsernas genomförande. Verksamheten vittnar även om att informationsöverföringen i viss omfattning är beroende av samordnarens goda minne, dvs. att information finns i huvudet på ett antal centrala aktörer i verksamheten. Ett annat alternativ som framförs och som man anser skulle tillgodose verksamhetens och de enskildas behov skulle vara en gemensam dokumentation över verksamhets- och huvudmannagränserna.
Behov av ett stödjande regelverk för informationshantering
Precis som inom äldreomsorgen har personer med psykisk sjukdom och funktionshinder behov av att alla de möter har tillgång till relevant och aktuell information som ger en rättvisande bild av individens totala situation. Framväxten av integrerade verksamheter bestående av tvärprofessionella team som tillsammans arbetar för att förbättra hälsa och livskvalitet för personer med komplexa och sammansatta behov är positiv. Det är en utveckling som lagstiftaren på många olika sätt vill stödja. Därför anser utredningen att det bör övervägas nya möjligheter för att samtliga inblandade, oavsett organisationstillhörighet, ska få tillgång till den information
Behov av en mer sammanhållen informationshantering SOU 2014:23
800
som behövs för att på bästa möjliga sätt kunna stötta individen och vara en del i ett samverkande team. Det handlar i första hand om att överväga nya möjligheter för informationsutbyte mellan vårdgivare i hälso- och sjukvården och utförare i socialtjänsten. Men det handlar dessutom om möjligheterna för övriga inblandade aktörer att med stöd av den enskildes samtycke ha tillgång till den information som behövs för att kunna vara en effektiv resurs i en integrerad verksamhet. Det kan som nämnts tidigare handla om Försäkringskassa, Arbetsförmedling, Kriminalvård m.fl.
31.3.3 Vård och omsorg om personer med missbruk och beroendeproblem
Utredningen har haft kontakt med ett antal olika verksamheter som är inriktade på att stödja personer med missbruk och beroenden. I stort visar dessa verksamheter upp motsvarande problematik som finns i äldreomsorgen eller inom psykiatrin. Även personer med missbruksproblem är ofta i behov av insatser både från landstingsfinansierad hälso- och sjukvård, kommunal hälso- och sjukvård samt socialtjänst. Inte sällan har individer med missbruks- och beroendeproblem dessutom samtidigt psykisk ohälsa, vilket gör den enskildes behov än mer komplexa.
I dag tillgodoses behoven av samverkan mellan de olika aktörerna på olika sätt i olika städer, kommuner och delar av landet. Även verksamheterna har olika behov av att kunna utbyta information på annat sätt än vad som är möjligt i dag, vilket beror på hur sammansatta problem de enskilda som berörs av verksamheten har. Utredningen har både besökt verksamheter som på det stora hela upplever att informationsöverföringen fungerar tillfredsställande och även verksamheter där man har stora behov av bättre legala och tekniska förutsättningar m.m.
Samverkan rörande individer med komplex problematik
Utredningen har bland annat fått ta del av erfarenheter från en mottagning där tre huvudmän, Kriminalvården (Frivården), kommunen (socialtjänst) och landstinget (beroendekliniken) arbetar i en integrerad teamverksamhet för att på bästa möjliga sätt tillgodose individernas behov. Teamet består i dag av frivårdsinspektörer,
SOU 2014:23 Behov av en mer sammanhållen informationshantering
801
socialsekreterare, psykolog, teamsekreterare, sjuksköterska, psykiater samt en sektionsledare. Verksamheten vänder sig till vuxna personer med komplex problematik av missbruk/beroende och psykisk ohälsa och som under kortare eller längre perioder har ett behov av extra tät samverkan mellan olika aktörer. De individer som verksamheten försöker nå har ofta problem inom många områden. De behöver ofta ta itu med missbruk, med sociala problem, med kriminalitet och med aggressionsproblem på samma gång. I dagsläget omfattas omkring 75 personer av teamets insatser. Många av dessa har svårt att upprätthålla en kontinuitet i kontakten. Behandlingen avbryts ofta för inneliggande sjukhusvård, fängelsevistelse, LVM-vård, eller vård på behandlingshem m.m. Teamets förhållningssätt är att arbeta långsiktigt, vilket bl.a. kan innebära att behandlingen vid sådana avbrott inte avslutas även om det blir ett uppehåll.
När en individ börjar i verksamheten inhämtas ett samtycke som innebär att information får utbytas inom teamet, det vill säga mellan de tre huvudmännen. En individ i behandling har alltid en bas i sin samtalskontakt i teamet, som kan vara antingen en frivårdsinspektör, socialsekreterare, psykolog eller sjuksköterska. Utöver det har individen åtminstone kontakt med en sjuksköterska för medicinering samt psykiater vid behov. Majoriteten av personerna har även en kontakt med myndighetsutövande socialtjänst, över hälften har en pågående kriminalvårdspåföljd och omkring 60– 70 procent har en neuropsykiatrisk diagnos utöver sitt missbruk. Sammantaget har individerna stora svårigheter och omfattande behov av stöd från olika organisationer som kan arbeta tillsammans och utbyta information för att tillgodose de komplexa behoven.
Verksamheten vittnar om att informationshanteringen i dag inte stödjer det täta teambaserade arbetet. De iblandade aktörerna dokumenterar alla i sina dokumentationssystem vilket leder till att den gemensamma bilden av individens behov saknas. Även om det finns samtycke från individen saknas förutsättningar att effektivt ta del av den information som är dokumenterad av respektive aktör genom direktåtkomst. Socialsekreterarna kan exempelvis inte ta del av sådan information landstingets representanter dokumenterar i patientjournalen. Behov finns dock att kunna se t.ex. vilket läkemedel som ordinerats, resultat av drogtester, andra kontakter som individen har och om han eller hon är inlagd i slutenvården m.m. Verksamheten är i dag i stor utsträckning hänvisad till att uppdaterar varandra muntligen. När det gäller arbetet i teamet uppger
Behov av en mer sammanhållen informationshantering SOU 2014:23
802
verksamheten dock att det är viktig att vara uppdaterad avseende vad som är aktuellt för den enskilde. Det är viktigt att såväl kunna ta del av den vård som individerna får vid akutsjukvård som att dokumentera de behandlingsinsatser och de bedömningar som alla behandlare står för på mottagningen.
Behov av sammanhållen informationshantering
Exemplet ovan tydliggör återigen behovet för vissa typer av integrerade verksamheter att ha en sammanhållen individinformation över organisatoriska gränser så att personalen snabbt kan fatta beslut som ligger i linje med tidigare beslutade insatser för individens tillfrisknande eller rehabilitering. I dag arbetar man uteslutande med att inhämta samtycke från den enskilde för att kunna dela nödvändig information. Information om vad som är aktuellt avseende den enskildes hälsotillstånd kan därför inte utbytas tillräckligt effektivt mellan de olika yrkeskategorierna eftersom dokumentationen görs i olika system och inte heller kan nås genom direktåtkomst.
För den enskilde medför personalens brist på information och effektiva möjligheter till informationsöverföring risker. Om de inblandade aktörerna inte har relevant bakgrundsinformation eller dagsaktuell information om nuläget riskerar den enskilde att få en vård och omsorg på osäkra villkor. Inte minst för individer med komplex problematik och samsjuklighet är det nödvändigt att den personal individen möter i vården och omsorgen har tillgång till aktuell information. Dessa verksamheter bygger i grunden på den enskildes fria vilja att delta. Han eller hon har gett sitt samtycke till informationsutbyte över organisatoriska gränser och har därför även rätt att förutsätta att rätt information finns på rätt plats i rätt tid.
Förutsättningarna för att effektivt bidra till bästa möjliga resultat för individen påverkas av vilka möjligheter till informationshantering som finns. Utredningen anser att det bör vara möjligt för verksamheter att använda modern teknik för att hålla en aktuell och kvalitetssäkrad information om individen tillgänglig för personal som över organisatoriska gränser arbetar tillsammans för individens bästa. Utan en sammanhållen informationshantering och gemensam bild av individens hälsosituation motverkas även själva syftet med en tät samverkan mellan hälso- och sjukvård, socialtjänst och andra aktörer.
SOU 2014:23 Behov av en mer sammanhållen informationshantering
803
31.3.4 Vård och omsorg om barn och unga
Kommuner och landsting har under de senaste decennierna ålagts att stärka sin samverkan när individens behov kräver det. När det gäller barn och unga är samverkan en viktig nationell angelägenhet som omfattar staten, kommuner och landsting och deras intresseorganisation Sveriges kommuner och landsting (SKL) m.fl. Även myndigheter som Försäkringskassa, Migrationsverket och Polisen kan vara inblandade i samverkan kring ett barn. Andra viktiga samverkansparter på lokal och regional nivå är privat och idéburna aktörer. Samverkan görs på lokal, regional och nationell nivå.17
Under utredningens arbete har kontakter förekommit med flera olika typer av verksamheter som rör barn och unga. Exempelvis kan de så kallade Barnahusen nämnas, som bl.a. vänder sig till barn som utsatts för sexuella övergrepp. I dessa verksamheter förekommer en omfattande samverkan framför allt mellan landstingsfinansierad hälso- och sjukvård, socialtjänst och polis.
Vidare har utredningen haft kontakt med och tagit del av erfarenheter från det så kallade Modellområdesprojektet där SKL och 14 områden ingick (landsting/en region tillsammans med en eller flera kommuner). Projektet pågick under åren 2009–2011 och syftade till att synkronisera insatserna för barns och ungdomars psykiska hälsa. I juni 2011 enades regeringen och SKL om en ny överenskommelse för barn och ungas psykiska hälsa. Arbetet drivs inom ramen för Psynkprojektet (Psykisk hälsa, barn och unga – synkronisering av insatser) och har som fortsatt ambition att synkronisera samhällets alla insatser för barn och unga som har eller riskerar att utveckla psykisk ohälsa. Det handlar bl.a. om att samverka över organisatoriska gränser och behandla psykiska problem i ett tidigt skede. Barn och unga ska ges stöd i sin närmiljö och på ett lättillgängligt sätt. I modellområdesprojektets slutrapport framfördes bl.a. följande angående vilka hinder som det i dag bedöms finnas för ett mer framgångsrikt arbete i första linjen.
Den skisserade modellen möter i dagsläget ett antal utmaningar i förhållande till lagstiftning, kompetenser och uppdrag. Sekretesslagstiftningen, personuppgiftslagstiftningen och vissa specifika lagar och riktlinjer för dokumentation i socialtjänst utgör de mest framträdande hindren för att skapa den samlade lägesbild kring barn, unga och familjer som skulle behövas för ett framgångsrikt systemövergripande systematiskt kvalitetsarbete. Därutöver har erfarenheten i Modell-
17 Socialstyrelsens vägledning Samverka för barns bästa – en vägledning om bans behov av insatser från flera aktörer.
Behov av en mer sammanhållen informationshantering SOU 2014:23
804
områdesprojektet visat att det trots begränsningarna i lagstiftningen ändå finns vissa möjligheter att utveckla gemensamma kvalitetssystem, men kompetensen att driva en sådan utveckling i kommuner och landsting utgör en ytterligare utmaning.
Även om rapporten visar på behov av insatser på fler områden än lagstiftning framkommer det tydligt att det är en helhetsbild av individens och målgruppens situation som eftersträvas. I en verklighet med många inblandade aktörer och olika lagstiftning, kompetenser och uppdrag saknas i dag den samlade lägesbild som önskas för att arbeta systematiskt med psykisk ohälsa hos barn och unga.
Ungdomsmottagning
Ett annat exempel där kommuner och landsting samverkar är i ungdomsmottagningarna. En ungdomsmottagning vänder sig typiskt sett till unga människor mellan 12 och 22 år. På mottagningarna arbetar vanligtvis barnmorskor, kuratorer och gynekologer. På vissa mottagningar finns även undersköterskor och psykologer. Verksamheten möter ungdomar bl.a. i frågor som rör kroppen, sexualitet, preventivmedel, graviditet och olika typer av samtal och rådgivning för att tillgodose unga människors behov.
En fungerande ungdomsmottagning ställer stora krav på samverkan på olika nivåer mellan kommuner och landsting. För den enskilde som vänder sig till en ungdomsmottagning upplevs det sannolikt som en enda verksamhet med uppdraget att särskilt stödja ungdomar. Men när det gäller förutsättningarna att dokumentera och dela information om individerna träder en annan bild fram. Det kan exempelvis konstateras att de olika personalkategorierna delvis omfattas av olika dokumentationsbestämmelser. Den landstingsanställda legitimerade personalen har journalföringsplikt och ska i övrigt följa bestämmelserna bl.a. i patientdatalagen. För de kommunala yrkeskategorierna med tillhörighet i socialtjänsten gäller framför allt socialtjänstlagens regler för dokumentation. Detta kan, beroende på hur verksamheten i övrigt är organiserad, bland annat leda till att en ungdoms kontakt med mottagningen blir dokumenterad i en patientjournal för det fall att han eller hon möter landstingets hälso- och sjukvårdspersonal. Om den unge har motsvarande kontakt med exempelvis kuratorn från kommunens socialtjänst är det inte säkert att någon
SOU 2014:23 Behov av en mer sammanhållen informationshantering
805
dokumentation över huvud taget görs. För det fall en sådan kontakt förekommer inom ramen för råd och stöd, dvs. utan biståndsbedömning, finns nämligen ingen dokumentationsskyldighet.
En annan faktor i sammanhanget är att informationsutbytet mellan de olika aktörerna inte kan göras genom så kallad direktåtkomst. Detta på grund av att lagstiftaren inte har gjort det tillåtet med direktåtkomst mellan hälso- och sjukvården och socialtjänsten.
Särskilda mottagningar för alkohol och drogproblematik
MiniMaria är exempel på mottagningar där Stockholms läns landsting och kommuner i länet i samverkan arbetar med att hjälpa ungdomar och deras familjer med problem som är kopplade till alkohol, droger och psykisk ohälsa. I verksamheten finns även kompetens för att behandla ungdomar med neuropsykologiska funktionshinder. I verksamheten som finns på 23 olika lokala mottagningar i länet arbetar t.ex. kuratorer, sjuksköterskor och läkare med rådgivning, samtal, behandling, drogtester, familjesamtal, anhörigsamtal m.m.
MiniMoa är ett exempel på en motsvarande verksamhet som drivs av Landstinget i Östergötland och socialtjänsten i Norrköpings kommun. Till verksamheten kan ungdomar vända sig för kostnadsfria drogtest, stödsamtal, telefonrådgivning m.m.
Gemensamt för dessa verksamheter är precis som för ungdomsmottagningarna att de har ett stort behov av samverka både mellan organisationerna och mellan personalen i verksamheten och i relation till övriga delar av socialtjänsten.
807
32 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
32.1 Bakgrund
Det finns särskilt stora behov av att hålla ihop informationen när det handlar om personer med sammansatta behov av både hälso- och sjukvård och socialtjänst. Det är utredningens uppdrag att lämna förslag som leder till att den informationshanteringen kan bli mer ändamålsenlig. Ansvarsfördelningen mellan de olika huvudmännen, det stora antalet vårdgivare i sjukvården och utförare i socialtjänsten samt de regelverk som styr informationshanteringen ligger bakom de utmaningar som finns för att kunna skapa en mer ändamålsenlig och sammanhållen informationshantering. Omfattande utmaningar finns även inom områden som teknisk utveckling, ledning och styrning, informatik, arbetssätt m.m. Samtliga faktorer behöver beaktas för att analysera problemen och stödja utveckling mot en informationshantering med individen och individens behov i centrum.
För kvaliteten i integrerade verksamheter är det utan tvekan centralt att all inblandad personal får den information som behövs för att ge den enskilde bästa möjliga vård och omsorg. De exempel som utredningen har redovisat i förra kapitlet visar att informationshanteringen måste förbättras och underlättas genom en moderniserad lagstiftning. Idag förekommer viss manuell hantering med papperskopior, muntliga informationsöverlämnanden och dubbeldokumentation i integrerade verksamheter. Det förekommer även att vissa personalkategorier, beroende på organisatorisk tillhörighet, på ett omotiverat sätt blir utestängda från en
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
808
mer effektiv informationshantering. Den enskilde individen som har lämnat sitt samtycke till att alla inblandade får ta del av den information som behövs har ett behov och ett intresse av att informationsöverföringen görs effektivt och på ett kvalitetssäkert och integritetsskyddande sätt. Här har lagstiftningen en viktig funktion att fylla.
Utredningen konstaterar att de olika reglerna för dokumentation i hälso- och sjukvården respektive socialtjänsten ger upphov till problem i sådana integrerade verksamheter där det i praktiken är svårt att avgöra vilka bedömningar och insatser som ska betraktas som socialtjänst och vilka som kan anses utgöra hälso- och sjukvård. Vi anser att sådana gränsdragningsproblem svårligen kan sägas ligga i enskilda individers intresse. Äldre människor som har så omfattande och sammansatta behov att de behöver bo i särskilt boende för att få vård- och omsorgsbehovet tillgodosett är sannolikt mer intresserade av att inblandad personal har en gemensam helhetsbild av hans eller hennes aktuella hälsosituation än av att informationen är splittrad och svåröverskådlig.
Mot bakgrund av de iakttagelser utredningen gjort kan sammanfattningsvis konstateras att regelverket i större utsträckning än vad som är fallet idag behöver stödja utvecklingen mot en mer ändamålsenlig och sammanhållen informationshantering. Det bör därför övervägas hur regelverket kan utformas för att bättre möjliggöra en informationshantering som bidrar till bättre resultat för individer med sammansatta behov.
32.2 Vilka förändringar behövs?
För att avgöra vilka förändringar i lagstiftning som behövs är det i ett första skede nödvändigt att ta ställning till hur långt det går att nå med nuvarande regelverk och de förslag som utredningen lämnat i andra delar. Vi kommer därför att i detta avsnitt gå igenom gällande rätt och vad som fattas i lagstiftningen för att uppnå ett ändamålsenligt informationsutbyte mellan hälso- och sjukvård och socialtjänst.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
809
32.2.1 Kort om nuvarande regelverk
Nuvarande reglering möjliggör en form direktåtkomst, sammanhållen journalföring, inom hälso- och sjukvården. Sammanhållen journalföring kan alltså bara användas när det är fråga om hälso- och sjukvård. Direktåtkomst mellan hälso- och sjukvården och socialtjänsten är i dagsläget inte tillåtet.
Direktåtkomst är inte heller tillåten mellan olika aktörer inom socialtjänsten. För socialtjänstens del finns det således ingen motsvarighet till sammanhållen journalföring i hälso- och sjukvården. Det är inte heller möjligt för den enskilde att genom samtycke tillåta att direktåtkomst kan användas. Därför inhämtas patientens samtycke till att dela information på traditionellt sätt genom papperskopior eller muntligt eller genom elektroniska utlämnanden.
Vidare kan uppgifter lämnas från hälso- och sjukvården till socialtjänsten för att en enskild, som själv inte kan samtycka till utlämnandet, ska få nödvändig vård och omsorg och behandling (25 kap. 13 § offentlighets- och sekretesslagen [2009:400], förkortad [OSL]). Bestämmelsen innebär dock inte uppgifterna kan tillhandahållas genom direktåtkomst utan kan bara tillämpas vid traditionellt utlämnande av uppgifter.
Vidare saknas idag möjligheter för olika aktörer som deltar i vården och omsorgen om en enskild att föra en gemensam patientjournal eller en gemensam social dokumentation. Det finns inte heller möjligheter för vårdgivare i hälso- och sjukvården och utförare i socialtjänsten att dokumentera i en gränsöverskridande vård- och omsorgsjournal eller liknande.
32.2.2 Kort om utredningens förslag i övriga delar
Våra förslag i tidigare avsnitt gällande hälso- sjukvård och socialtjänst innebär i korthet följande.
Vi föreslår vissa sekretesslättnader inom den offentligfinansierade vården inom ett landsting eller en kommun. Detta innebär att det under vissa förutsättningar inte ska vara sekretess mellan vårdgivares myndigheter och de privata utförare som landstinget eller kommunen anlitat. Detta för att landsting och kommun ska fritt kunna välja vilken myndighetsorganisation och vilka etableringsformer som passar huvudmannen bäst utan att det får negativa konsekvenser för hälso- och sjukvården.
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
810
Det ska även vara tillåtet med direktåtkomst till personuppgifter
mellan vårdgivare som finansieras av samma landstingskommunala eller kommunala huvudman. För att den ovan föreslagna lättnaden i
sekretessen ska få önskvärd effekt anser vi att det måste vara möjligt med direktåtkomst mellan de olika vårdgivarna och myndigheterna som bedriver hälso- och sjukvård i samma landsting eller kommun. Syftet med ändringen är att det ska vara lika enkelt att utbyta nödvändig information oavsett om vården bedrivs direkt i vårdgivarens regi eller genom en privat utförare. Förslaget innebär däremot inte lättnader jämfört med vad som är fallet idag när det gäller informationsutbytet mellan landstingsfinansierad och kommunalt finansierad hälso- och sjukvård. Det informationsutbyte som behövs mellan exempelvis kommunal hälso- och sjukvård i särskilt boende eller hemsjukvård och den landstingsfinansierade primärvården kommer med vårt förslag alltjämt få göras i enlighet med reglerna om sammanhållen journalföring.
När det gäller socialtjänsten har vi lämnat förslag till att det inte
ska finnas några sekretessgränser mellan olika nämnder i kommunen.
Detta för att göra det möjligt för en kommun att organisera och bedriva socialtjänstverksamhet genom olika myndigheter till exempel stadsdelsnämnder eller beställarnämnder utan att sekretessgränser uppstår mellan myndigheterna.
För att möjliggöra att de verksamheter som bedriver socialtjänst ska kunna utföra sitt arbete på ett ändamålsenligt och säkert sätt föreslås att det ska vara tillåtet med direktåtkomst mellan verksam-
heter inom socialtjänsten. Direktåtkomsten, dvs. den potentiella
tillgången till uppgifter om individer, ska endast kunna avse individer som faktiskt och för tillfället är föremål för insatser enligt socialtjänstlagen (2001:453), förkortad SoL, m.m.
Vidare har vi föreslagit ett undantag från socialtjänstsekretess för
att den enskilde ska få nödvändig vård och omsorg och behandling.
Denna sekretessbrytande regel gör det tillåtet att i situationer där samtycke inte kan inhämtas lämna ut uppgifter som behövs för att den enskilde ska få nödvändig vård, behandling eller annat stöd till andra myndigheter som bedriver socialtjänst och till myndigheter inom hälso- och sjukvården.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
811
32.2.3 Vad behövs ytterligare?
Sammanfattningsvis innebär utredningens förslag att informationshanteringen förbättras när det gäller tillgången inom både hälso- och sjukvården och socialtjänsten. Dessa förslag har dock ingen direkt påverkan på möjligheterna till en mer sammanhållen informationshantering i verksamheter där den enskilde är i behov av både hälso- och sjukvård och socialtjänst. Visserligen föreslår vi en sekretessbrytande regel som innebär att information kan lämnas ut i sådana fall där den enskilde inte kan samtycka och informationen behövs för att den enskilde ska få nödvändig vård och stöd. Det är dock en bestämmelse som ska tillämpas med varsamhet i enskilda fall och som inte möjliggör ett mer regelmässigt och automatiserat informationsutbyte mellan olika aktörer i integrerade verksamheter.
Vi kan mot bakgrund av den kartläggning som redovisats ovan konstatera att det finns behov av att modernisera regelverket så att det på ett bättre sätt kan möta de behov som människor med sammansatta behov av vård och omsorg har. För de aktörer som arbetar tillsammans för en ökad hälsa och livskvalitet för enskilda individer bör det bli lättare att skapa en gemensam bild av individens hälsosituation oavsett i vilken organisation grunduppgifterna är dokumenterade.
32.3 Våra överväganden och förslag
32.3.1 Inledande utgångspunkter
Vår utgångspunkt är att den information om individen som behövs för att individen ska få bästa möjliga vård och omsorg ska finnas tillhands för den personal som behöver den, oavsett organisatorisk tillhörighet eller verksamhetsområde. För olika former av integrerade verksamheter innebär detta att det skulle behövas en ömsesidig tillgång till information över vårdgivargränser, utförargränser och huvudmannagränser.
De hinder för en mer sammanhållen informationshantering som idag finns på grund av sekretessbestämmelser och olika dokumentationsbestämmelser för olika verksamhetsområden bör överbryggas. Vidare anser vi att regelverket bör ge uttryck för en sådan flexibilitet som krävs för att det ska finnas förutsättningar för en informationshantering som utgår ifrån individens behov. Samtidigt
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
812
behövs en robusthet som ser till att integriteten, säkerheten och kvaliteten garanteras för samtliga individer.
Mot denna bakgrund bör därför analyseras vilka alternativa lösningar som står till buds för att ge samtliga inblandade oavsett organisatorisk tillhörighet en samlad gemensam information om individens hälsosituation. Vår utgångspunkt är att modern, effektiv och säker teknik bör användas för att skapa den gemensamma bilden.
Vi anser dessutom att ett framtida regelverk ska minska konsekvenserna av att olika informationsmängder är dokumenterade i patientjournalen respektive den sociala dokumentationen. Regelverket bör även möjliggöra att kvaliteten i integrerade verksamheter kan följas upp, utvecklas och säkras. Slutligen vill utredningen understryka att individens behov av integritetsskydd måste tillvaratas och säkras vid utformningen av det nya regelverket.
32.3.2 Två alternativa möjligheter bör tillhandahållas
Vår bedömning: För att tillgodose behoven i en sådan komplex
verksamhet som vård och omsorg för personer med behov av både hälso- och sjukvård och socialtjänst, bör regelverket tillhandahålla flera olika möjligheter till en mer effektiv, ändamålsenlig och sammanhållen informationshantering. Därför bör verksamheterna få välja den form av informationshantering som är bäst lämpad för den verksamhet som bedrivs; antingen direktåtkomst mellan hälso- och sjukvård och socialtjänst eller en gemensam vård- och omsorgsjournal.
En utgångspunkt för utredningen är att regelverket om informationshantering bör ge verksamheterna möjlighet att arbeta integrerat fullt ut för att så långt som möjligt kunna använda den gemensamma kompetensen för att ge god och säker vård och omsorg. Organisationsgränser och olika regelverk bör så lite som möjligt hindra det informationsutbyte som behövs i detta syfte. Samtidigt har utredningen under arbetets gång kunnat konstatera att de integrerade verksamheterna är utformade på olika sätt, är integrerade i olika omfattning och har olika behov av informationsutbyte. Mot den bakgrunden har utredningen övervägt ett antal olika alternativa lösningar för att öka förutsättningarna för en mer
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
813
sammanhållen informationshantering mellan hälso- och sjukvården och socialtjänsten. Området är både komplext och svårnavigerat. Det är svårt att förutse vilka konsekvenser olika alternativa lösningar kan få eftersom beroendena är många till grundläggande regelverk om sekretess, hantering av allmänna handlingar, arkivfrågor och ansvar för dokumentationen.
Vi har under arbetets gång identifierat två alternativa lösningar. Vi bedömer att båda motsvarar de behov som finns i olika typer av integrerade verksamheter. Det ena alternativet handlar om att tillåta direktåtkomst mellan vårdgivare i hälso- och sjukvården och utförare i socialtjänsten. Det skulle exempelvis möjliggöra en mer sammanhållen bild av den enskildes hälsosituation än vad som idag är möjligt. Lite slarvigt uttryck liknar denna lösning en slags sammanhållen journalföring mellan aktörer i de olika verksamhetsområdena. Var och en av de inblandade aktörerna skulle med denna lösning precis som idag ansvara för egen dokumentation och se till att den lever upp till kraven i de nya lagarna; hälso- och sjukvårdsdatalagen och socialtjänstdatalagen m.m. Men de skulle också få en möjlighet att på ett samlat sätt visa upp information för varandra. Det skulle kunna göras såväl i lokala system och gränssnitt anpassat för den egna verksamheten, men även i lösningar som den Nationella Patientöversikten m.fl.
Det andra alternativet som vi har övervägt handlar om att göra det tillåtet för vårdgivare och de som bedriver verksamhet inom socialtjänsten att föra en gemensam vård- och omsorgsjournal. En integrerad verksamhet skulle med detta förslag kunna skapa en samlad informationsbärare som både utgör en patientjournal och en social dokumentation. I jämförelse med alternativet direktåtkomst är denna lösning förknippad med fler komplicerade juridiska frågor som handlar om ansvaret för vård- och omsorgsjournalen, hantering av allmänna handlingar och arkivering m.m.
I arbetet med att skapa bättre förutsättningar för dessa verksamheter bör vi vara öppna för att behoven i olika typer av verksamheter inte är desamma. Vissa verksamheter arbetar så pass integrerat att inte något annat än en gemensam dokumentation är tillräckligt bra. Behovet av en gemensam vård- och omsorgsjournal är sannolikt störst i tätt integrerade verksamheter där det finns ett mer eller mindre dagligt behov av att dokumentera och utbyta information mellan de inblandade vårdgivarna och utförarna. För andra verksamheter kommer det att vara tillräckligt att kunna skapa en gemensam bild av den enskildes behov genom att erbjuda
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
814
varandra direktåtkomst till nödvändiga uppgifter. Utredningen gör därför bedömningen att de skiftande behoven inte kan tillgodoses med enbart en typ av informationsutbyte.
Det finns förmodligen också verksamheter som på grund av sina tekniska förutsättningar har fördel av att välja den ena eller andra formen för informationsutbyte. Båda alternativa är frivilliga möjligheter för verksamheterna, som enbart får användas under vissa villkor. Det är t.ex. nödvändigt att kunna erbjuda tillräcklig säker hantering av personuppgifterna. Av dessa skäl kan det också finnas verksamheter som måste genomföra en hel del utvecklingsarbete innan man kommer igång med den ena eller andra formen för informationsutbyte.
Utredningens bedömning är således att de integrerade verksamheterna bör få möjlighet att välja den form av informationshantering som är mest ändamålsenlig; ömsesidig direktåtkomst eller gemensam dokumentation.
32.3.3 Särskilda kapitel i lagstiftningen
Vårt förslag: I hälso- och sjukvårdsdatalagen respektive social-
tjänstdatalagen ska införas ett särskilt kapitel om informationshantering avseende personer med behov av insatser från både hälso- och sjukvård och socialtjänst. Kapitlet ska inledas med en kort innehållsbeskrivning.
Det informationsutbyte som utredningen föreslår ska bli möjligt mellan hälso- och sjukvården och socialtjänsten är en ny företeelse jämfört med vad som gäller idag. I syfte att göra regleringen mer överskådlig och pedagogisk föreslår vi därför att både hälso- och sjukvårdsdatalagen och socialtjänstdatalagen förses med ett särskilt kapitel som ska reglera vissa frågor om informationshantering rörande enskilda som har behov av både hälso- och sjukvård och socialtjänst. Kapitlen ska inledas med bestämmelser om vad kapitlet reglerar. Av en inledande bestämmelse i respektive lag bör därför framgå att kapitlet innehåller bestämmelser om utlämnande av personuppgifter genom direktåtkomst och om en gemensam vård- och omsorgsjournal. I en sådan bestämmelse ska även lämnas en hänvisning till att vårdgivares möjligheter att lämna ut personuppgifter till den som bedriver verksamhet inom socialtjänsten
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
815
framgår av bestämmelser i hälso- och sjukvårdsdatalagen. På motsvarande sätt ska anges möjligheterna för den som bedriver verksamhet inom socialtjänsten att lämna ut personuppgifter genom direktåtkomst till vårdgivare framgår av bestämmelser i socialtjänstdatalagen.
32.3.4 Utlämnande genom direktåtkomst mellan hälso- och sjukvård och socialtjänst ska vara möjligt
Vårt förslag: Den som bedriver verksamhet inom socialtjänsten
ska få medge vårdgivare i hälso- och sjukvården direktåtkomst till personuppgifter som behandlas för genomförande av beslut om bistånd, stödinsatser, vård eller behandling om den enskilde har behov av både socialtjänst och hälso- och sjukvård.
Den som bedriver verksamhet inom socialtjänst får även medge sådan direktåtkomst till personuppgifter som behandlas för dokumentation av genomförande av insatser i form av råd och stöd om den enskilde samtyckt till att personuppgifter behandlas.
På motsvarande sätt ska en vårdgivare få medge den som bedriver verksamhet inom socialtjänsten direktåtkomst till uppgifter som dokumenterats för ändamålet vårddokumentation, om patienten har behov av både socialtjänst och hälso- och sjukvård.
Grundläggande villkor för denna form av direktåtkomst som anges ovan ska vara att uppgifterna som lämnas ut genom direktåtkomst kan antas ha betydelse för att genomföra beslut om bistånd, stödinsats, vård eller behandling eller för att förebygga, utreda eller behandla sjukdomar och skador, samt att den enskilde ger sitt samtycke till direktåtkomsten. Bestämmelser om detta ska tas in i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen.
Inledning
När det gäller användningen av it-system som stöd i den dagliga verksamheten och för utveckling har både landsting och kommuner kommit långt. Stora investeringar har gjorts för att skapa förutsättningar för en mer ändamålsenlig informationshantering.
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
816
Den tekniska utvecklingen har varit omfattande och skapar många nya möjligheter. Insatser inom socialtjänsten och den vård som både landsting och kommun ger kräver fortlöpande samarbete i dagliga vård- och omsorgssituationer. För att möjliggöra en gemensam och samlad bild med relevant information om enskilda som har sammansatta behov av vård och omsorg kan direktåtkomst vara ett alternativ. Det skulle innebära ett förenklat informationsutbyte och förhoppningsvis gynna den enskilde genom att bättre resultat i vård och omsorg kan nås. Rätt information vid rätt tillfälle ger bättre förutsättningar för inblandade aktörer i integrerade verksamheter att erbjuda hälso- och sjukvård och sociala insatser av rätt kvalitet.
Direktåtkomst är idag exempelvis tillåtet inom hälso- och sjukvården enligt regelverket för sammanhållen journalföring Genom den sammanhållna journalföringen i hälso- och sjukvården ges en tillgänglighet till uppgifter om patienter som kan medföra att informationen följer patienten i olika vårdkedjor och vårdprocesser. För att ytterligare förbättra möjligheterna till en sammanhållen informationshantering lämnar utredningen i betänkandet även förslag på ökade möjligheter till direktåtkomst mellan vårdgivare inom ett landstings eller inom en kommuns ansvarsområde. Därutöver föreslår vi att utförare i socialtjänsten under vissa förutsättningar ska få utbyta uppgifter om enskilde genom direktåtkomst.
Några regler som möjliggör direktåtkomst mellan hälso- och sjukvården och socialtjänsten finns dock inte idag. Vid införandet av patientdatalagen (2008:355), förkortad PDL, konstaterade regeringen att när det gäller överföring av uppgifter från kommunal hälso- och sjukvård till socialtjänst att det många gånger finns behov att socialtjänstpersonal får del av vårddokumentation om patienter i den vardagliga vården och omsorgen om äldre eller funktionshindrade som också inbegriper stöd och eller andra insatser inom socialtjänsten.1 Regeringen föreslog då inte bestämmelser om gränsöverskridande direktåtkomst för utlämnande av uppgifter från hälso- och sjukvård till socialtjänst eftersom utlämnande genom direktåtkomst är en särskilt integritetskänslig form av utlämnande.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
817
Dokumentationsosäkerhet och dubbeldokumentation
Enligt utredningens erfarenhet finns det idag dels en osäkerhet om vad som ska dokumenteras i hälso- och sjukvården respektive i socialtjänsten, dels ibland en dubbeldokumentation till följd av denna osäkerhet. Äldreomsorgen är ett tydligt exempel på ett verksamhetsområde som idag har vissa möjligheter att dela information mellan socialtjänsten och hälso- och sjukvården eftersom personalen utför både socialtjänst och hälso- och sjukvård. En undersköterska på ett särskilt boende dokumenterar både i en hälso- och sjukvårdsjournal och i en social dokumentation. Många gånger är det dock, enligt utredningens uppfattning, inte helt klart för undersköterskan vad som ska dokumenteras var. När det gäller sådan dokumentation i integrerade verksamheter finns sannolikt behov av ytterligare riktlinjer från ledningen och annat kunskapsstöd från t.ex. Socialstyrelsen, som tydligare beskriver vilken information om enskilda som ska dokumenteras i de olika delarna av verksamheten. Undersköterskor står idag med ett ben i hälso- och sjukvården och ett annat i socialtjänsten och ska utifrån denna position försöka avgöra vilka uppgifter som ska dokumenteras var.
Vi tror att en direktåtkomst mellan hälso- och sjukvården och socialtjänsten skulle kunna vara en av flera faktorer som skulle kunna råda bot på den rådande osäkerheten och bidra till en mer effektiv informationshantering med större nytta för den enskilde individen. Om behoven för den enskilde är så sammansatta att det knappt går att skilja på vad som är hälso- och sjukvård och vad som är socialtjänst anser vi att inte att det är helt ändamålsenligt att fokusera på var en viss informationsmängd är dokumenterad. Det viktiga bör istället vara att informationen är tillgänglig för den som i konkreta situationer behöver den för att utföra så bra vård- och omsorgsinsatser som möjligt.
Utredningen anser även att utvecklingsarbeten inom områden som informatik och teknik i stor utsträckning skulle kunna bidra till att minska svårigheterna att avgöra vad som ska dokumenteras var. I arbetet med att ta fram gemensamma termer och begrepp och med att införa en strukturerad vård- och omsorgsdokumentation kan lämpligen även tekniska lösningar införas, som så långt möjligt är förinställda för att kunna hänföra och koppla vissa informationsmängder till hälso- och sjukvården och andra till socialtjänsten. Det skulle då inte vara upp till den enskilde yrkesutövaren att alltid behöva ta ställning till saken. Som exempel på en sådan
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
818
utveckling kan Motala kommuns arbete med strukturerad dokumentation i socialtjänsten nämnas.
Att tillhandahålla legala möjligheter till direktåtkomst skulle i vissa verksamheter även kunna innebära att yrkesutövaren kan ta del av all relevant information i ett och samma gränssnitt. En möjlig effekt av det skulle vara att behovet av att hänföra viss information till hälso- och sjukvården och viss till socialtjänsten skulle minska. En sådan utveckling skulle även leda till att tillsynen på området kunde bli mer inriktad på att granska helheten när det gäller dokumentationen i verksamheten. Tillsynen på området skulle då kunna inrikta sig på att granska om uppgifterna finns tillgängliga för dem som har behov av det, istället för att kontrollera var en uppgift har dokumenterats.
Vad bör vara grunden för ett utlämnande genom direktåtkomst?
Utredningen anser att direktåtkomst mellan hälso- och sjukvård och socialtjänst i integrerade verksamheter är ett fullt möjligt alternativ. Men möjligheten till sådan direktåtkomst måste enligt vår mening vara förenade med tydliga krav som tillgodoser behovet av skydd för den personliga integriteten.
Den grundläggande utgångspunkten i både hälso- och sjukvården och socialtjänsten är frivillighet. Det är den enskilde som ska bestämma om han eller hon vill ta emot ett erbjudande om till exempel en viss social tjänst eller inte. Det behov av informationsutbyte som vi har beskrivit i ovan nämnda verksamheter är visserligen omfattande, men å andra sidan behöver information oftast inte färdas före individen. Det uppstår inte sådana behov av snabb tillgång till information som vid akuta hälso- och sjukvårdsinsatser eller vid annan oplanerad vård. Det finns därför inte skäl att låta information om individen finnas potentiellt tillgänglig innan han eller hon är aktuell i en viss integrerad verksamhet, t.ex. inflyttning i särskilt boende, beviljande av hemsjukvård, behandlingsstart i en integrerad verksamhet för personer med missbruk och psykisk ohälsa.
Ett krav på att samtycke från den enskilde ska inhämtas innan direktåtkomst får medges skulle kunna innebära en bra balans mellan den enskildes behov av förutsebarhet m.m. samtidigt som intresset av förbättrad informationshantering i aktuella fall tillgodoses. Utredningen bedömer att det i många fall skulle vara
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
819
tillräckligt att inhämta samtycke från den enskilde när en insats har beslutats eller påbörjats för att behovet av rätt information vid rätt tillfälle ska tillgodoses. Att införa ett krav på samtycke väcker dock frågor om hur informationshanteringen avseende personer som saknar förmåga att samtycka till personuppgiftsbehandling ska hanteras.
Några utmaningar att överväga
När bestämmelser om direktåtkomst övervägs aktualiseras flera frågor av rättslig karaktär. Lagtekniskt behöver exempelvis bestämmelser om direktåtkomst förenas med sekretessbrytande bestäm-
melser, som gör det möjligt för aktörerna att ta del av uppgifter
genom direktåtkomst utan hänsyn till sekretess.
Av förarbeten till patientdatalagen framgår vidare att uppgifter som är tillgängliga genom direktåtkomst hos en myndighet utgör
allmänna handlingar hos den myndigheten.2Regeringen anför att
om uppgifter görs tillgängliga för andra myndigheter som deltar i ett för system för sammanhållen journalföring, blir uppgiften enligt huvudregeln i 2 kap. 3 § andra stycket första meningen tryckfrihetsförordningen att anses som en förvarad och inkommen allmän handling hos varje ansluten annan myndighet redan genom den tekniska och potentiella möjlighet som dessa har att ta fram uppgiften. Även journalhandlingar och andra uppgifter som görs tillgängliga för myndigheter av privata vårdgivare, blir redan vid tillgängliggörandet inkomna allmänna handlingar hos alla anslutna myndigheter som tekniskt kan bereda sig tillgång till uppgifterna.
Utredningen gör bedömningen att motsvarande resonemang skulle bli tillämpligt om uppgifter görs tillgängliga för andra myndigheter genom direktåtkomst också mellan hälso- och sjukvård och socialtjänst. En konsekvens av att sådana uppgifter utgör allmänna handlingar hos alla anslutna myndigheter, oavsett vem som infört uppgifterna i systemet, är att en begäran att få del av sådana uppgifter kan göras hos vem som helst av de anslutna myndigheterna. Vid införandet av bestämmelser om direktåtkomst kan därför även behöva övervägas om det finns behov av bestämmelser om absolut sekretess, som förhindrar en större spridning av uppgifter än vad som är motiverat med hänsyn till det grundläggande behovet för uppgiftsutbytet.
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
820
Direktåtkomst mellan hälso- och sjukvården och socialtjänsten ska göras möjlig
I hälso- och sjukvårdsdatalagens mening är direktåtkomst en speciell form av elektroniskt utlämnande av personuppgifter till en mottagare utanför vårdgivarens organisation. Direktåtkomst skiljer sig från andra typer av elektroniska utlämnanden genom att det är mottagaren av uppgifterna som bereder sig tillgång till informationen utan att den som lämnar ut informationen vidtar någon åtgärd med informationen vid överföringstillfället, till exempel en sekretessprövning. I de här fallen är det fråga om ett helt automatiskt utlämnande. Mot bakgrund av grundläggande bestämmelser om den enskildes självbestämmande brukar utlämnande genom direktåtkomst anses vara en särskilt integritetskänslig form av utlämnande. I kapitel 11 och 26 går utredningen igenom vad som avses med utlämnande genom direktåtkomst.
När det gäller insatser för äldre och psykiskt sjuka är samverkan mellan hälso- och sjukvård och socialtjänsten är nödvändigt. En bra samverkan mellan olika huvudmän och utförare utgör grunden till att den enskilde får en så god och säker vård och omsorg som han eller hon har rätt att förvänta sig. När det gäller missbruksproblem är det två huvudmän som har ansvaret för vården. Båda huvudmännens insatser måste i många fall samordnas för att individens behov ska kunna tillgodoses utifrån ett helhetsperspektiv. Utredningen har noterat att man idag löser frågan om informationshanteringen genom att inhämta samtycke från den enskilde. Samtycke och delaktighet med den enskilde individen är grunden och målet med insatserna inom både vård och omsorg. En viktig utgångspunkt är att den enskilde ska medverka och aktivt ta ansvar för vilka insatser som man vill ha.
I ovan nämnda verksamheter handlar det om ett informationsutbyte som behövs kontinuerligt och som gäller både uppgifter om vård och omsorg. När det gäller integrerade verksamheter med vård- och omsorgsinsatser över en längre tid är verksamheterna och insatserna många gånger så sammankopplade att det inte går att urskilja var eventuella gränser går. En förutsättning för en bra vård och ett bra omhändertagande i dessa verksamheter är att alla inblandade har tillgång till rätt information – oavsett om uppgifterna dokumenterats i en patientjournal eller i den sociala dokumentationen.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
821
Vi anser att det skulle kunna förbättra såväl de medicinska som sociala insatserna att tillåta direktåtkomst mellan socialtjänsten och hälso- och sjukvården när det gäller uppgifter om enskilda som har behov av insatser både från hälso- och sjukvården och från socialtjänsten. Det skulle även kunna höja kvaliteten på dokumentationen och minska riskerna för att viktig information inte når rätt mottagare, t.ex. läkaren i hemsjukvården, bara för att uppgifterna råkar vara dokumenterade i den sociala dokumentationen istället för i patientjournalen. Direktåtkomsten skulle ge bättre förutsättningar för primärvårdsläkaren att ta emot, utreda och behandla den äldre personen med sammansatta behov av vård-och omsorgsinsatser. Vidare skulle det bli möjligt att skapa en röd tråd i dokumentationen. En direktåtkomst möjliggör utvecklingen av ett gränssnitt som presenterar information från olika utförare sida vid sida på ett sådant sätt att mottagaren får den överblick som krävs för att effektivt och säkert kunna fatta bra beslut om vård- och omsorgsinsatserna. Det krävs därför omfattande utveckling i frågor som rör informatik och teknik för att kunna realisera de nyttoeffekter som en direktåtkomst till uppgifter i integrerade verksamheter skulle kunna ha.
Även om varje inblandad vårdgivare och utförare dokumenterar i sina system behöver således ett gränssnitt utvecklas som gör att innehållet i dessa olika system kan presenteras på ett överskådligt och ändamålsenligt sätt. Det skulle kunna göras i lokala och mer verksamhetsanpassade lösningar och gränssnitt, men även genom att använda regionalt eller nationellt framtagna lösningar som exempelvis den Nationella Patientöversikten (NPÖ).
När det gäller informationsutbytet inom den kommunala hälsooch sjukvården gäller att uppgifter får utbytas genom direktåtkomst i de fall kommunen bedriver hälso- och sjukvård genom flera myndigheter, exempelvis geografiskt avgränsade nämnder som alla står för hälso-och sjukvården inom sitt geografiska område. Det är helt naturligt att olika myndigheter inom en kommun som alla bedriver hälso- och sjukvård ska kunna ha direktåtkomst till varandras uppgifter. Vi kan inte blunda för att behovet av ett sådant informationsutbyte är lika stort, om inte ännu större, mellan den hälso- och sjukvård och den socialtjänst som bedrivs i de särskilda boendeformerna.
Även vid direktåtkomst skulle förvisso gränsdragningsfrågor om vad som är att betrakta som hälso- och sjukvårdsinformation
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
822
och socialtjänstinformation finnas kvar, men konsekvenserna av en sådan uppdelning skulle bli avsevärt mindre än idag.
Utredningen vill hävda att utlämnande genom direktåtkomst mellan aktörer i integrerade verksamheter medför goda förutsättningar att förverkliga det grundläggande syftet med Ädelreformen; att kunna ge personer med behov av långvariga insatser från både hälso- och sjukvård och socialtjänst samordnade insatser. Sammantaget talar övervägande skäl för att det ska vara möjligt för hälso- och sjukvården och socialtjänsten att, under vissa förutsättningar, utbyta uppgifter genom direktåtkomst.
Närmare förutsättningar för utlämnandet genom direktåtkomst
Mot bakgrund av vad som redovisats föreslår utredningen att det ska bli tillåtet för vårdgivare och för de som bedriver verksamhet inom socialtjänsten att medge varandra direktåtkomst till vårddokumentation respektive uppgifter som behandlas för dokumentation av genomförande av beslut om bistånd, stödinsatser, vård eller behandling, om uppgifterna rör en enskild med behov av både socialtjänst och hälso- och sjukvård. Detta under förutsättning att uppgifterna behövs för vården och insatserna och att den enskilde samtycker till det. Bestämmelser som reglerar detta ska finnas för respektive verksamhet i hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen.
De uppgifter som den som bedriver verksamhet inom socialtjänst ska få medge vårdgivare direktåtkomst till är personuppgifter som behandlas för att genomföra beslut om bistånd, stödinsatser, vård eller behandling. Direktåtkomst ska även få medges till personuppgifter för att genomföra insatser i form råd och stöd om den enskilde samtyckt till personuppgiftsbehandlingen. Uppgifterna som får omfattas av direktåtkomst är alltså uppgifter i samband med genomförande av insatser. Direktåtkomst ska alltså inte vara tillåten avseende uppgifter om handläggning inför beslut om bistånd.
Vårdgivare får medge den som bedriver verksamhet inom socialtjänst direktåtkomst till vårddokumentation avseende den enskilde som är föremål för socialtjänstens insatser. Med vårddokumentation avses personuppgifter som behandlas för ändamål som avses i 2 kap. 5 § 2 och 3 i vårt förslag till hälso- och sjukvårdsdatalag. Det är uppgifter som behövs för att fullgöra
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
823
journalföringsplikten och upprätta annan dokumentation som behövs i och för vården av patienter samt för administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall. Definitionen av begreppet vårddokumentation finns angiven i utredningens förslag till hälso- och sjukvårdsdatalag.
Vårdgivare och de som bedriver verksamhet inom socialtjänsten får bara medge varandra direktåtkomst om uppgifterna rör en enskild med behov av både hälso- och sjukvård och socialtjänst. Det är således individens behov av samverkan mellan hälso- och sjukvård och socialtjänst i frågor om informationshantering som ska vara vägledande. För att ömsesidig åtkomst ska bli aktuell krävs att den enskilde får insatser enligt socialtjänstlagen. Insatserna för den som har behov av både vård och omsorg ska grunda sig på beslut om bistånd eller genomföras som råd och stöd. Förutsättningarna för direktåtkomst är således i praktiken knutna till genomförande av insatser enligt socialtjänstlagen antingen med stöd av beslut om insats eller med stöd av att den enskilde har samtyckt till att få insatser i form av råd och stöd och samtyckt till att dessa uppgifter behandlas.
För att den som bedriver verksamhet inom socialtjänsten ska få medge vårdgivare inom hälso- och sjukvården direktåtkomst till personuppgifter krävs att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador inom hälso- och sjukvården. På motsvarande sätt krävs att uppgifterna kan antas ha betydelse för att genomföra beslut om bistånd, stödinsatser, vård eller behandling för att en vårdgivare ska få medge direktåtkomst till den som bedriver verksamhet inom socialtjänsten.
Det som utredningen vill uppnå är att det ska vara möjligt att, med den enskildes behov och bästa för ögonen, genomföra insatser i de integrerade verksamheterna med bästa möjliga informationsunderlag. Direktåtkomsten ska av den anledningen endast vara tillåten under den tid som den enskilde har behov av både hälso- och sjukvård och socialtjänst, dvs. får de planerade insatserna, se vidare avsnitt 32.3.6.
Utredningen föreslår också, som ett grundläggande villkor för att vårdgivaren och den som bedriver verksamhet inom socialtjänsten ska få medge varandra direktåtkomst, att den enskilde samtycker till det. Redan idag bygger de integrerade verksamheternas informationsutbyte på att den enskilde har brutit sekre-
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
824
tessen mellan de olika verksamheterna genom att lämna sitt samtycke. För att de integrerade verksamheterna ska kunna ge den enskilde god vård och omsorg är den enskildes delaktighet ofta i hög grad nödvändig. Det är därför naturligt att den enskilde också får ta ställning till formen för informationsutbyte – om det utbyte av uppgifter som behövs för insatserna ska få göras genom direktåtkomst. För att ytterligare tillgodose den enskildes behov av integritetsskydd tydliggörs genom utredningens förslag att utlämnandet genom direktåtkomst ska begränsas till den tid när ett sådant behov av informationsutbyte föreligger för individen. Längre fram redogörs för vårt förslag om att utlämnande genom direktåtkomst endast får äga rum så länge den enskildes insatser inom socialtjänsten pågår. Genom författningskonstruktionen tydliggörs även att det aldrig kan vara fråga om en större potentiell tillgång till uppgifter om individer än vad som motsvaras av de konkreta behoven i varje enskild situation.
För vissa former av integrerade verksamheter kan behovet tillgodogöras såväl enklast och bäst genom ömsesidig direktåtkomst mellan hälso- och sjukvårds och socialtjänst. Sådana verksamheter kan då välja detta alternativ. Ett system för direktåtkomst kan utformas på ett sådant sätt att det för användarna i det närmaste framstår som en gemensam dokumentation. En ändamålsenlig teknisk implementering kan således möjliggöra att de som arbetar tillsammans för att tillgodose individens behov av hälso- och sjukvård och socialtjänst får en gemensam bild av individens hälsosituation och behov. Ett exempel på en sådan teknisk lösning som syftar till att skapa en sådan översiktsbild om en individ är hälso- och sjukvårdens Nationella patientöversikt, NPÖ.
Det finns naturligtvis en mängd andra sätt att arrangerar informationsutbytet genom direktåtkomst på, där ett exempel helt enkelt är att de olika verksamheterna ges direktåtkomst till de delar av varandras system där de aktuella individernas personuppgifter behandlas. En sådan lösning innebär att hälso- och sjukvården och socialtjänsten kan hitta och titta i varandras system, utan att en gemensam bild eller översikt skapas. Vid en sådan direktåtkomst är det nödvändigt att vårdgivaren och den som bedriver verksamhet i socialtjänsten ser till att endast uppgifter rörande enskilda som har lämnat sitt samtycke är tekniskt åtkomliga genom direktåtkomst. En vårdgivare eller den som bedriver verksamhet inom socialtjänsten får således inte medges en större potentiell tillgång till
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
825
personuppgifter än vad som är lagligt med hänsyn till bestämmelserna i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen.
Vidare finns en mängd olika tänkbara scenarion för vilka aktörer som kan samarbeta i frågor om direktåtkomst enligt utredningens förslag. Det kan exempelvis handla om att en vårdgivare inom kommunal hälso- och sjukvård på särskilt boende eller i hemsjukvården utbyter uppgifter genom direktåtkomst med den eller de utförare av socialtjänst som står för insatser till den enskilde. Det kan även handla om att vårdgivare i den landstingsfinansierade delen av hälso- och sjukvården lämnar ut uppgifter genom direktåtkomst till den enskildes utförare av socialtjänst. Även det omvända omfattas naturligtvis också av utredningens förslag, dvs. att socialtjänsten lämnar ut uppgifter till en landstingsfinansierad vårdgivare. På ett sådant sätt kan exempelvis en primärvårdsläkare ges möjlighet att ta del av aktuella och relevanta uppgifter som dokumenterats inom ramen för socialtjänsten.
32.3.5 Direktåtkomst avseende vuxna med inte endast tillfälligt nedsatt beslutsförmåga
Vårt förslag: Om den enskilde inte endast tillfälligt saknar för-
måga att samtycka till direktåtkomsten får den som bedriver verksamhet inom socialtjänsten medge vårdgivare direktåtkomst till personuppgifter som behandlas för genomförande av beslut om bistånd, stödinsatser, vård eller behandling. Detta under förutsättning att uppgifterna kan antas ha betydelse för den vård eller behandling som är nödvändig med hänsyn till den enskildes hälsotillstånd. På motsvarande sätt får vårdgivare genom direktåtkomst lämna ut uppgifter till den som bedriver socialtjänst om uppgifterna kan antas ha betydelse för att genomföra insatser som är nödvändiga med hänsyn till den enskildes behov. I båda fallen är en grundförutsättning att den enskilde har behov av insatser både från hälso- och sjukvård och socialtjänst. Bestämmelser som reglerar detta ska finnas i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen.
Utredningen föreslår bestämmelser i hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen för att möjliggöra att även vuxna med en inte endast tillfälligt nedsatt beslutsförmåga ska kunna dra nytta av
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
826
möjligheten till direktåtkomst i integrerade verksamheter. Det är nödvändigt för att på bästa sätt kunna tillgodogöra den enskildes behov av vård och omsorg.
Vi anser att det inte skulle vara acceptabelt att de som inte har samma möjligheter att värdera information och lämna samtycken till informationsutbytet skulle ställas utanför möjligheterna till integrerad vård och omsorg med ändamålsenlig informationshantering. Dessa personer som kan ha svårt att själva vara informationsbärare har sannolikt ett större behov av fungerande informationsöverföring än andra individer. Samtidigt måste både insatserna och informationshanteringen genomföras med respekt för den enskildes självbestämmande och integritet. Förutsättningarna för att hantera uppgifter om den enskilde måste därför vara rimliga med hänsyn till de olika intressen som gör sig gällande.
Den som saknar förmåga att samtycka till vård eller sociala insatser och den informationshantering som föranleds av vården och omsorgen har ett alldeles särskilt behov av lagstiftning som ger ökad trygghet och skydd. Därför lägger vi förslag som möjliggör ett säkert och effektivt informationsutbyte även avseende personer med inte enbart tillfälligt nedsatt beslutsförmåga.
En vårdgivare som deltar i en integrerad verksamhet och avser att göra uppgifter tillgängliga genom direktåtkomst för den som bedriver verksamhet inom socialtjänsten måste bedöma om patienten har förmåga att lämna ett samtycke till direktåtkomsten. Beslutsförmågan bör bedömas i relation till förmågan hos personen att tillgodogöra sig information om den aktuella personuppgiftsbehandlingen och självständigt överväga och ta ställning till åtgärden. Utredningens uppfattning är att en persons förmåga att i det aktuella avseendet ge uttryck för sin inställning måste bedömas i det enskilda fallet och som utgångspunkt vara neutral i förhållande till funktionshinder, diagnoser m.m. Utgångspunkten ska alltid vara att så långt möjligt låta den enskilde själv ta ställning.
Villkoren för att direktåtkomst ska kunna användas för utbyte av vård och omsorgsdokumentation i integrerade verksamheter när den enskilde själv inte kan ge sitt samtycke är att den enskilde har behov av insatser både från hälso- och sjukvården och från socialtjänsten och att uppgifterna kan antas ha betydelse för att han eller hon ska få de insatser som han eller hon behöver. De grundläggande förutsättningarna motsvarar således de som gäller för individer som kan ta ställning till informationsutbytet.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
827
När en patient inte kan samtycka till att ta emot hälso- och sjukvårdsinsatser är praxis, så som vi uppfattar det, att personalen ger patienten den vård man bedömer vara det bästa för patienten. Om patienten inte kan samtycka ges vården således utifrån en bedömning av vad som är bäst för patienten i det enskilda fallet.
Bland annat mot bakgrund av vad som får anses utgöra praxis vid ställningstagande till hälso- och sjukvårdsinsatser för personer som inte kan samtycka till vården gör utredningen bedömningen att det även i integrerade verksamheter bör göras en samlad bedömning av vilken vård och vilka insatser som är bäst för den enskilde i det enskilda fallet och vilken information som då är nödvändig att ta del av. Om personalen, i förekommande fall med stöd av närstående, bedömt vilken insats som är bäst för individen i det enskilda fallet bör personalen även få dela den information som är nödvändig för att vård- och omsorgsinsatserna ska kunna utföras i rätt tid och med hög kvalitet och säkerhet.
När det gäller utlämnande av uppgifter på annat sätt än genom direktåtkomst finns redan idag ett undantag från sekretess avseende den som saknar beslutsförmåga. I hälso- och sjukvården gäller att om en enskild på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut hindrar inte sekretess att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvård till en annan vårdgivare eller till den som bedriver verksamhet inom socialtjänsten (25 kap. 13 § OSL). Utredningen har föreslagit att motsvarande lättnad i sekretessen ska gälla för uppgifter inom socialtjänsten, se kapitel 21.
Vi anser att utlämnande av uppgifter genom direktåtkomst för att erbjuda insatser i en integrerad verksamhet till den som inte själv kan lämna sitt samtycke ska kunna göras under samma villkor som gäller vid andra typer av utlämnande. Om uppgifterna behövs för att den enskilde ska få nödvändiga insatser i den integrerade verksamheten ska uppgifterna få utbytas med hjälp av direktåtkomst mellan de deltagande aktörerna.
Utredningen anser att även den som har nedsatt beslutsförmåga måste få dra nytta av ett mer ändamålsenligt informationsutbyte mellan hälso- och sjukvård och socialtjänst. Med ett bättre informationsutbyte följer bättre förutsättningar för att erbjuda en god vård och omsorg.
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
828
Vidare anser utredningen att behovet av skydd för den enskildes personliga integritet tillgodoses på flera olika sätt. En sådan omständighet är att den direktåtkomst som föreslås endast får förekomma när den enskilde har behov av insatser både från socialtjänsten och från hälso- och sjukvården. Någon potentiell tillgång till uppgifter om individer ifall dessa konkreta behov inte föreligger ska således inte få förekomma. Vidare föreslår vi i det följande, för att ytterligare anpassa möjligheten till direktåtkomst efter den enskildes behov av ett sådant informationsutbyte, att direktåtkomst endast får vara tillåten så länge den enskilde har insatser från socialtjänsten. Därutöver gäller de olika lagstiftningarnas grundläggande regler om behörighetsstyrning och åtkomstkontroll m.m. även vid den direktåtkomst det här är fråga om.
32.3.6 Direktåtkomst är tillåten endast så länge det konkreta behovet finns
Vårt förslag: Den som bedriver verksamhet inom socialtjänsten
får medge vårdgivare inom hälso- och sjukvården direktåtkomst endast under den tid den enskilde är föremål för genomförande av bistånd, stödinsatser, vård eller behandling hos den som bedriver verksamhet inom socialtjänsten.
En vårdgivare får medge den som bedriver verksamhet inom socialtjänst direktåtkomst endast under den tid den enskilde är föremål för genomförande av beslut av bistånd, stödinsatser, vård eller behandling hos den som bedriver socialtjänst.
Vi föreslår att det tydligt regleras under vilken tid ömsesidig direktåtkomst är tillåten. Syftet med möjlighet till direktåtkomst är att den insats som den enskilde ska få ska kunna genomföras med bästa möjliga informationsunderlag. Detta underlag består av dokumentation från såväl hälso- och sjukvården och socialtjänsten. När den planerade insatsen är genomförd ska direktåtkomsten upphöra. Uppgifterna får inte finnas potentiellt tillgängliga efter det att insatsen för den enskilde är slutförd.
För vårdgivarens del begränsas tiden under vilken direktåtkomst får medges av att vårdgivaren enbart får medge den som bedriver socialtjänst direktåtkomst till uppgifter som avser en patient med behov av både hälso- och sjukvård och socialtjänst, och som är
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
829
föremål för genomförande av bistånd, stödinsatser, vård eller behandling hos denne.
Den som bedriver verksamhet inom socialtjänst begränsas förstås av samma villkor när det gäller den tid under vilken utlämnande genom direktåtkomst är tillåten. Förutsättningarna för direktåtkomst är knuten till genomförande av insatser enligt socialtjänstlagen antingen med stöd av beslut om insats eller med stöd av att den enskilde samtyckt får insatser i form av råd och stöd och samtyckt till att dessa behandlas. Direktåtkomsten ska därför enbart vara tillåten under den tid som den enskilde får de planerade insatserna.
32.3.7 Direktåtkomst ska föregås av risk- och sårbarhetsanalys och överenskommelse om skyddet för uppgifterna
Vårt förslag: Innan direktåtkomst får medges ska en vårdgivare
och den som bedriver verksamhet inom socialtjänst genomföra en risk- och sårbarhetsanalys och komma överens om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses
Av överenskommelsen ska framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.
Vårt förslag om möjlighet till direktåtkomst mellan hälso- och sjukvård och socialtjänst i integrerade verksamheter innebär en ny form av informationsutbyte. Syftet är att rätt information ska finnas tillgänglig för rätt personer. Sådana möjligheter att använda ny teknik för ändamålsenligt informationsutbyte får bara användas under säkra former. Såväl den som bedriver verksamhet inom socialtjänsten som vårdgivaren är ytterst ansvariga i sina verksamheter för en säker behandling av personuppgifter i verksamheten. Detta ansvar innebär t.ex. att personuppgifter ska behandlas på ett sådant sätt att obehöriga inte kan ta del av dem. I detta ansvar för personuppgifterna som behandlas i verksamheten ingår också att utlämnande av uppgifter måste göras på ett säkert sätt.
Mot den bakgrunden ska vårdgivare och den som bedriver socialtjänst vara skyldiga att göra en risk- och sårbarhetsanalys och komma överens om hur informationssäkerheten och skyddet för
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
830
personuppgifterna ska tillgodoses. Risk- och sårbarhetsanalysen ska därmed utgöra en grund för överenskommelsens innehåll och omfattning. Därutöver kan risk- och sårbarhetsanalysen även resultera i att en av aktörerna, eller aktörerna tillsammans, kan behöva vidta åtgärder innan uppgifter lämnas ut genom direktåtkomst. Om risk- och sårbarhetsanalysen exempelvis visar att någon av de samverkande aktörerna saknar väsentliga förutsättningar att skydda personuppgifterna i enlighet med de krav på informationssäkerhet och integritetsskydd som ställs vid behandling av så pass känsliga personuppgifter det här är fråga om, ska dessa brister avhjälpas innan exempelvis utlämnande genom direktåtkomst medges. I risk- och sårbarhetsanalysen bör bland annat ingå frågor om de samverkande aktörernas förutsättningar att leva upp till hälso- och sjukvårdsdatalagens och socialtjänstdatalagens krav på behörighetsstyrning och åtkomstkontroll.
Vidare föreslår utredningen att det av överenskommelsen ska framgår hur personuppgiftsansvaret är fördelat avseende på frågor om tekniska och organisatoriska säkerhetsåtgärder.
Hur överenskommelsen ska tecknas är upp till parterna att avgöra. Det kan exempelvis vara fråga om en kombination av flera åtgärder, t.ex. ett avtal som i vissa delar kompletteras av att parterna ansluter sig till ett eller flera utpekade regelverk för informationssäkerhet. Se vidare kapitel 10 och 26 där utredningen mer utförligt behandlat kravet på risk- och sårbarhetsanalys samt överenskommelse.
32.3.8 Bevarande och gallring vid direktåtkomst
Vårt förslag: När handlingar är tillgängliga för en vårdgivare
och den som bedriver socialtjänst genom direktåtkomst gäller skyldigheten att bevara handlingen endast den som ansvarar för handlingen. Övriga myndigheter får gallra handlingen. Bestämmelser om detta överförs från patientdatalagen till hälso- och sjukvårdsdatalagen och nya bestämmelser tas in i socialtjänstdatalagen.
Utredningen föreslår att den nuvarande bestämmelsen i 6 kap. 8 § patientdatalagen om bevarande och gallring vid sammanhållen journalföring överförs till hälso- och sjukvårdsdatalagen. Bestäm-
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
831
melsen är även tillämplig för sådan direktåtkomst mellan hälso- och sjukvård och socialtjänst som omfattas av utredningens förslag och har därför i allt väsentligt redovisats tidigare i detta betänkande. Se avsnitt 13.4.7.
I socialtjänstdatalagen införs en ny, motsvarande bestämmelse. Se avsnitt 27.2.6.
32.3.9 Fråga om absolut sekretess
Vår bedömning: På grund av den rättsliga konstruktionen för
direktåtkomst mellan hälso- och sjukvård och socialtjänst kommer den potentiella tillgången till uppgifter inte att vara större än vad som omfattas av det konkreta behovet. Några bestämmelser om absolut sekretess som motsvarar vad som idag gäller vid samarbete genom sammanhållen journalföring i hälso- och sjukvården bedöms därför inte behövas.
Villkoren för att få medge en sådan direktåtkomst som utredningen har föreslagit är att den enskilde har behov av insatser från både hälso- och sjukvård och socialtjänst och att uppgifterna kan ha betydelse för att genomföra bistånd, stödinsats eller vård och behandling och att patienten samtycker till det.
I ett samarbete som innefattar direktåtkomst enligt dessa regler kommer det därför inte att finnas potentiellt tillgängliga uppgifter om enskilda som inte är aktuella hos en myndighet som får en förfrågan om utlämnande av allmän handling. De handlingar om enskilda som en myndighet har tillgång till genom denna form av direktåtkomst är handlingar som berör enskilda som är aktuella hos myndigheten. Handlingarna får endast finnas tillgängliga genom direktåtkomst under den tid som den enskilda är föremål för insatser hos den som bedriver socialtjänst. Utredningen gör därför bedömningen att det inte behövs någon bestämmelse om absolut sekretess för uppgifter som är tillgängliga genom denna typ av direktåtkomst. Det behövs – till skillnad mot vad som gäller vid sammanhållen journalföring – ingen sådan regel om absolut sekretess för att förhindra åtkomst till uppgifter som en myndighet inte har rätt att ta del av. Direktåtkomst genom sammanhållen journalföring innebär ju en potentiell tillgång även till uppgifter som myndighet inte har rätt att ta del av, vilket inte är fallet när det
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
832
gäller sådan direktåtkomst i integrerade verksamheter som vi föreslår.
En begäran att få ta del av en allmän handling ska alltså prövas av den eller de myndigheter hos vilken begäran görs, se 2 kap. 14 § tryckfrihetsförordningen. Vid prövningen hos den aktuella myndigheten bör vanlig hälso- och sjukvårds- eller socialtjänstsekretess gälla för sådana uppgifter med samma styrka som vanligt, dvs. med ett omvänt skaderekvisit. Det innebär att möjligheterna för allmänheten att med stöd av tryckfrihetsförordningens bestämmelser få ta del av allmänna handlingar hos de deltagande myndigheterna är mycket små.
32.3.10 Gemensam vård- och omsorgsjournal för personer med behov av både socialtjänst och hälso- och sjukvård
Vårt förslag: Det ska, under vissa förutsättningar, vara möjligt
för vårdgivare och för de som bedriver verksamhet inom socialtjänsten att föra en gemensam vård- och omsorgsjournal. En förutsättning är att den enskilde har behov av både hälso- och sjukvård och socialtjänst samt att uppgifterna kan antas ha betydelse för att genomföra beslut om bistånd, stödinsats, vård eller behandling och för att förebygga, utreda, eller behandla sjukdomar och skador inom hälso- och sjukvården.
Grunden för samarbetet ska vara en överenskommelse mellan en eller flera vårdgivare och den eller de som bedriver verksamhet inom socialtjänsten.
Vård- och omsorgsjournalen ska få föras för att behandla personuppgifter som behandlas för ändamålet vårddokumentation tillsammans med de personuppgifter som behövs för att genomföra beslut om bistånd, stödinsatser, vård eller behandling inom socialtjänsten. Bestämmelserna som medger detta ska finnas i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen.
Inledning
En grundläggande förutsättning för att samverkan ska fungera genom hela vårdkedjan är att den information som behövs för att planera den enskildes vård och omsorg finns tillgänglig och kan
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
833
överföras mellan olika vård- och omsorgsgivare. Sådan samverkan försvåras i integrerade verksamheter av den omständigheten att dokumentationen i princip måste föras på flera olika ställen. Inom äldreomsorgen kan det handla om att dokumentation om en individ hanteras i en patientjournal hos primärvården där läkaren gör sina anteckningar, i en patientjournal hos den kommunala hälso- och sjukvården och – när det gäller de sociala insatserna – i en socialtjänstakt. De två sistnämnda dokumentationskategorierna – patientjournalen i kommunal hälso- och sjukvård och socialtjänstakten – förs ofta inom ramen för en och samma myndighetsorganisation i en integrerad verksamhet. Därutöver tillkommer inte sällan dokumentation om den äldre i sluten- och specialistsjukvården.
Motsvarande exempel finns även på flera andra områden, t.ex. inom ramen för ungdomsmottagningarnas verksamhet, inom psykiatrin, i vården och omsorgen om personer med funktionshinder eller i missbruks- och beroendevården. I princip kan det röra alla områden där en enskild har behov av samordnade insatser från både hälso- och sjukvård och socialtjänst.
Bestämmelserna om dokumentation inom hälso- och sjukvården respektive socialtjänsten har till viss del olika syften och utgångspunkter. Skillnaderna kan sägas återspegla den grundläggande skillnaden mellan hälso- och sjukvårdslagstiftningen och socialtjänstlagstiftningen. Medan beslut om insatser enligt socialtjänstlagen regelmässigt utgör myndighetsutövning mot enskild efter att beslut fattats av socialnämnden, eller av tjänstemän på delegation av nämnden, bygger regleringen av hälso- och sjukvården i högre grad på ett professionellt ansvar från den enskilde yrkesutövaren.
Genom åren har det ofta diskuterats om det borde vara tillåtet med en gemensam dokumentation när det till exempel gäller vård och omsorg av äldre. I de verksamheter där det inte finns sekretessgränser finns dessutom alltjämt svårigheter med att avgöra vilken dokumentation som ska hänföras till sjukvård respektive socialtjänst. Denna uppdelning mellan olika journalsystem är svår att motivera i integrerade verksamheter, t.ex. i särskilda boende.
Socialstyrelsen har i rapporten Nationell tillsyn av vård och omsorg om äldre (delrapport 2012) konstaterat att dokumentationen i samband med vård och omsorg om äldre behöver utvecklas. Av rapporten framgår bland annat att det finns behov av utveckling i verksamheterna avseende hanteringen av dokumentationen, främst enligt socialtjänstlagen men även enligt patient-
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
834
datalagen. Många planer för genomförande av insatserna är knapphändiga, följs inte upp och i sämsta fall saknas sådana planer. Den äldre personens delaktighet i upprättandet av planen framgår inte av dokumentationen. Löpande journalföring enligt socialtjänstlagen och patientdatalagen blandas samman.
Lagtekniska utmaningar
Samverkansutredningen undersökte bland annat om det var möjligt med en gemensam dokumentation i den kommunala vård och omsorgen av äldre i de särskilda boendena.3Den utredningen konstaterade att de lagtekniska svårigheterna att åstadkomma en möjlighet till gemensam dokumentation var betydande och skulle förutsätta ändringar i en rad olika bestämmelser.
Samverkansutredningen analyserade alternativet att avskaffa kravet på dokumentation i socialtjänsten när det gäller löpande anteckningar i äldreomsorgen under förutsättning att dokumentationen istället gjordes inom hälso- och sjukvården (i patientjournalen). En sådan möjlighet sågs dock inte som lämplig mot bakgrund av de principiella skillnader som finns mellan hälso- och sjukvården och socialtjänsten och de olika syften som dokumentationen på respektive område ska tjäna. De sociala anteckningarna ska även kunna användas som instrument för uppföljning och utvärderingen inom socialtjänsten och skulle med en sådan lösning ”medikaliseras” i sådan grad att de inte längre skulle tjäna sitt huvudsyfte att vara ett arbetsinstrument inom socialtjänsten. Vi delar denna bedömning. En gemensam journal bör enligt vår mening kunna uppfylla både de syften som gäller för dokumentation inom socialtjänsten och också de som gäller för patientjournalen.
Samverkansutredningen anförde vidare att under förutsättning av att man iakttar gällande bestämmelser om sekretess och s.k. inre
sekretess finns det i princip inte något som hindrar att man i en
integrerad verksamhet håller nödvändig dokumentation om den enskilde samlad. Utredningen konstaterade att frågan många gånger kan lösas praktiskt i samråd med den enskilde. Mot bakgrund av att de lagtekniska svårigheterna att åstadkomma en möjlighet till gemensam dokumentation var betydande och att
3 Samverkan – Om gemensamma nämnder på vård och omsorgsområdet, SOU 2001:114.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
835
tillgången till information redan fanns föreslog inte utredningen någon förändring när det gäller en samlad dokumentation.
Vi anser att nödvändig information måste kunna hållas samlad med hjälp av modern teknik. Vi vill därför utmana svårigheterna att hitta lagtekniska lösningar för en gemensam vård- och omsorgsjournal. Om lagstiftaren vill ha en lösning på de dokumentations- och informationsförsörjningsproblem som finns i vården och omsorgen av personer som har behov av både hälso- och sjukvård och socialtjänst så måste lagstiftaren också ta ansvar för att lösa de lagtekniska problemen.
När det gäller frågan om sekretess mellan de olika vårdgivare och utförare av socialtjänst som deltar i vården och omsorgen av personer med behov av gemensamma insatser från dessa aktörer så förutsätter själva samarbetet mellan aktörerna att sekretessen måste brytas på något sätt. Det är inte möjligt att genomföra integrerade insatser utan att utbyta nödvändig information. Detta löser man idag genom att den enskilde som vill ha och behöver de aktuella insatserna samtycker till att få vård och omsorg i denna form och till det informationsutbyte som det förutsätter.
Andra tveksamheter med gemensam dokumentation över huvudmannaskapsgränser som Samverkansutredningen tog upp hänger samman med tryckfrihetsförordningens bestämmelser om all-
männa handlingar. Bedömningen av frågan om en handling ska
anses allmän utgår – när det gäller handlingar som en myndighet producerar själv – från begreppen upprättad och förvaras. Utgångspunkten i dessa bestämmelser är att det är myndigheten själv – eller något organ som är knutet till myndigheten – som upprättat handlingen; om någon annan upprättat handlingen blir den i stället att anse som inkommen när den anländer till myndigheten.
Frågan är om det överhuvudtaget går att förena med dessa regler att en myndighetsperson från en självständig myndighet (t.ex. i landstinget) i den myndighetens verksamhet upprättar handlingar hos en annan myndighet (t.ex. i kommunen). I vilken myndighets verksamhet är då handlingen upprättad och var ska den anses förvarad? Blir handlingen att anse som upprättad hos den första myndigheten och inkommen till den senare? I så fall måste handlingen också bevaras av den första myndigheten. På grund av denna komplexitet analyserade inte Samverkansutredningen någon möjlighet till gemensam journal över huvudmannagränserna utan nöjde sig med att analyser möjligheten till gemensam journal för
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
836
olika verksamheter inom samma myndighet, dvs. enbart för kommunens hälso- och sjukvård och socialtjänst.
Frågan om konsekvenserna av tryckfrihetsförordningens regler är onekligen komplex. Om lagstiftaren vill lösa denna fråga är det sannolikt nödvändigt att se på utmaningen konstruktivt och pragmatiskt. Vilka värden är det som reglerna om allmänna handlingar vill skydda? Hur får vi offentlighetsprincipen att fungera även vid ett samarbete om en gemensam vård- och omsorgsjournal?
När det gäller den gemensamma journalens status som allmän handling i offentlig hälso- och sjukvård eller socialtjänst så utgår utredningen från att en gemensam journal skulle ha status som handling som är upprättad och förvarad hos alla de inblandade myndigheterna. En jämförelse kan göras med sammanhållen journalföring när det gäller dessa handlingars status.4 Handlingar som framställs i en myndighets egen verksamhet är upprättade hos den myndigheten. Om en befattningshavare som för in en uppgift i en journalhandling tillhör en myndighet, blir upptagningen en
förvarad och upprättad allmän handling hos den egna myndigheten.
Om det är befattningshavare från flera myndigheter som för in uppgifter i en gemensam journal får handlingen enligt vår mening anses som allmän handling hos samtliga deltagande myndigheter. En person som vänder sig till någon av myndigheterna för att begära ut en handling ska få frågan prövad av den myndigheten.
Vår utgångspunkt är att den gemensamma journalen ska uppfylla de krav på dokumentation som gäller i såväl hälso- och sjukvården som socialtjänsten. Så länge som den gemensamma journalen används bör den därför vara gemensam i de flesta bemärkelser. Den ska t.ex. uppfylla de syften motiverar att uppgifterna dokumenteras inom socialtjänsten. Därför måste den som utför socialtjänst och få betrakta handlingen som upprättad och förvarad i den egna verksamheten. Detta bör enligt vår mening inte hindra att en vårdgivare samtidigt betraktar samma journal som en allmän handling i den egna verksamheten. Ett sådant synsätt bör enligt vår mening kunna tillgodose de rättighets- och skyddsaspekter som finns när det gäller förvarande och utlämnande av allmänna handlingar. Med tanke på den stränga sekretess som råder för uppgifterna såväl i hälso- och sjukvården som socialtjänsten är dock möjligheterna för allmänheten att med stöd av tryckfrihetsförordningens bestämmelser få del av allmänna handl-
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
837
ingar hos myndigheter inom hälso- och sjukvården eller socialtjänsten mycket små.
Uppgifter, som hos offentliga vårdgivare eller offentliga utförare av socialtjänst utgör allmän handling, utgör inte allmän handling hos privata vårdgivare eller utförare, som har tillgång till uppgifterna i den gemensamma journalen. Frågan om samma journaluppgifts utlämnande kommer därför att regleras på olika sätt, beroende på om begäran görs hos en offentlig eller hos en privat vårdgivare eller utförare. Hantering av sådana förfrågningar regleras i patientsäkerhetslagen (2010:659) och i socialtjänstlagen.
Sammanfattningsvis bedömer utredningen att 2 kap. tryckfrihetsförordningen inte utgör hinder mot att flera vårdgivare, och flera som bedriver verksamhet inom socialtjänsten, offentliga eller privata, för gemensam journal.
Tillämpningsområdet för de lagar som ska reglera möjligheten till
en gemensam vård- och omsorgsjournal är enligt utredningens bedömning redan formulerade så att behandling av personuppgifter i integrerade verksamheter omfattas. När det gäller tillämpningsområdet för den föreslagna hälso- och sjukvårdsdatalagen så ska lagen tillämpas på vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Enligt socialtjänstdatalagen ska lagen tillämpas vid behandling av personuppgifter inom socialtjänsten för kommunala myndigheter, enskilda verksamheter och Statens institutionsstyrelse.
Personuppgiftsbehandling m.m.
Frågan om för vilka ändamål uppgifter i en gemensam vård- och
omsorgsjournal får behandlas kan behöva analyseras. I vårt förslag
till hälso- och sjukvårdsdatalag liksom i vårt förslag till socialtjänstdatalag kommer det att finnas bestämmelser som reglerar för vilka ändamål som det är tillåtet för vårdgivare respektive utförare av socialtjänst att behandla uppgifter. En vårdgivare får t.ex. behandla personuppgifter inom hälso- och sjukvården enligt vårt förslag till förtydligad ändamålsbestämmelse om det behövs för att förebygga, utreda eller behandla sjukdomar och skador hos patienter. Utredningen anser att de uppgifter som behövs för vården av patienten också omfattar sådana uppgifter som behöver behandlas i en integrerad verksamhet. På motsvarande sätt kan de tillåtna ändamålen inom socialtjänsten tolkas.
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
838
Syftet med att föra patientjournal är enligt nuvarande lagstiftning
i första hand att bidra till en god och säker vård av patienten. Utredningen gör bedömningen att denna bestämmelse inte behöver ändras för att stämma överens med syftena att föra patientjournal i en gemensam vård- och omsorgsjournal. Även dokumentationen av socialtjänstinsatser i en integrerad verksamhet har betydelse för den medicinska vården. Det kan allmänt sett vara av värde för den medicinska personalen att ha en helhetsbild av patienten för att kunna erbjuda denne en god och säker vård.
I gällande rätt och vårt förslag till hälso- och sjukvårdsdatalag finns bestämmelser om patientens rätt att få uppgifter i en patient-
journal förstörda. Någon motsvarande bestämmelse finns inte vad
gäller uppgifter i en dokumentation inom socialtjänsten. När det gäller tiden för bevarande och för arkivering behöver vidare övervägas om de regler som avser dokumentation i hälso- och sjukvården ska gälla för den gemensamma journalen. Det innebär i sådant fall en längre bevarandetid för uppgifter som härrör från socialtjänsten i en gemensam journal än vad som annars gäller.
Det finns idag viss skillnad i de regler som gäller möjligheten för
den enskilde att få ta del av sin dokumentation inom hälso- och
sjukvården och socialtjänsten. Normalt gäller inte sekretess till skydd för en enskild i förhållande till den enskilde själv. I hälso- och sjukvården finns dock i gällande rätt bestämmelser i offentlighets- och sekretesslagen samt patientsäkerhetslagen som i vissa fall medför att sekretess kan bedömas föreligga även gentemot den enskilde själv. Någon sådan motsvarande begränsning finns inte för uppgifter inom socialtjänsten. Utredningen kommer att lämna förslag om att reglerna om sekretess mot patientens själv avseende uppgifter om honom eller henne tas bort (se avsnitt 33.5.2). Skillnaden vad som gäller den enskildes möjlighet att ta del av handlingar kommer därför inte att bestå om utredningens förslag blir verklighet. Utredningen kommer även lämna förslag som gör det tillåtet för vårdgivare och den som bedriver verksamhet inom socialtjänsten att komma överens om att medge individen direkt-
åtkomst till den gemensamma journal som förs om honom eller henne.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
839
Tillsyn
Samverkansutredningen tyngsta argument för att inte föreslå en gemensam journal var svårigheterna att kunna dela upp dokumentationen i samband med tillsyn. När denna utredning lämnade sitt betänkande var fortfarande tillsynen över vård och omsorg uppdelad på olika myndigheter. Denna utmaning vad gäller en gemensam vård- och omsorgsjournalen är inte längre aktuell. Idag har Inspektionen för vård och omsorg ett uppdrag som täcker båda verksamheterna. Vi kan därför tvärtom hävda att den integrerade tillsynen är ett argument för en gemensam journal. En verksamhet som bedrivs integrerat ska förstås inspekteras integrerat. Tillsynsmyndigheten får sannolikt en bättre uppfattning om verksamheten och hur den bedrivs för att tillgodose den enskildes behov om det finns en integrerad och gemensam dokumentation.
Utredningens förslag
Det har under utredningens arbete blivit uppenbart att en gemensam dokumentation skulle kunna underlätta arbetet och bidra till en högre kvalitet i verksamheter där samverkan mellan olika aktörer och mellan hälso- och sjukvård och socialtjänst är ingående och omfattande. Exempel på sådana verksamheter finns kanske särskilt i äldreomsorgen, där såväl särskilda boenden som hemsjukvård och hemtjänst är verksamheter som kännetecknas av en djup integration. Genom Inspektionen för vård och omsorgs och tidigare Socialstyrelsens tillsyn har inte heller sällan framkommit att vissa verksamheter dokumenterar hälso- och sjukvårdsåtgärderna och socialtjänstinsatserna i samma journal. Det kan om inte annat visa på att det föreligger ett sådant behov för att kunna ge den enskilde en så bra vård och ett så bra omhändertagande som möjligt. I viss utsträckning kan därför inte uteslutas att nya rättsliga möjligheter att dokumentera i en gemensam vård- och omsorgsjournal skulle medföra att vissa saker som i och för sig redan förekommer idag blir lagliga.
Det finns även andra verksamheter inom både psykiatrin och missbruks- och beroendevården som skulle kunna dra nytta av möjligheterna till en gemensam vård- och omsorgsjournal. Det kan heller inte uteslutas att möjligheter till en gemensam vård- och omsorgsjournal innebär ett viktigt signalvärde och kan stimulera
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
840
till ökad samverkan genom att det i praktiken leder till en mycket djup integration av verksamheterna.
Utredningens uppfattning är att behovet av en gemensam vård- och omsorgsjournal framför allt finns i tätt integrerade verksamheter där det finns ett mer eller mindre dagligt behov av att dokumentera och utbyta information mellan de inblandade vårdgivarna och utförarna. Ett tydligt exempel är, som tidigare nämnts, den hälso- och sjukvård och socialtjänst som idag ges till personer på särskilda boenden. Inom områdena psykiatri och missbruksvård behövs för en bra vård och omsorg att uppgifter från både hälso- och sjukvården och socialtjänsten görs tillgängliga på ett bra sätt för att den enskilde ska kunna få optimalt stöd och hjälp. Allmänt framstår dock inte behovet av en gemensam journal lika tydligt i dessa verksamheter eftersom behovet av information inte uppstår lika ofta och är inte bestående över tid. Här utgörs behovet snarare av att tillgång till relevant information måste finnas vid rätt tillfälle. Det behöver alltså inte vara optimalt att sträva efter en gemensam vård- och omsorgsjournal inom alla verksamheter.
Utredningen föreslår, mot bakgrund av de behov som redovisats i det föregående, att det under vissa förutsättningar ska vara möjligt för vårdgivare och de som bedriver verksamhet inom socialtjänsten att föra en gemensam vård- och omsorgsjournal. Vi föreslår att denna möjlighet till gemensam vård- och omsorgsjournal ska vara en valfri form av vårddokumentation för de integrerade verksamheter som erbjuder vård och omsorg åt personer med behov av både hälso- och sjukvård och socialtjänst. Bestämmelser om vård- och omsorgsjournal ska finnas i våra förslag till hälso- och sjukvårdsdatalag respektive socialtjänstdatalag. Särskilda förutsättningar ska gälla för den gemensamma vård- och omsorgsjournalen, exempelvis vad gäller innehåll, bevarande och gallring. Se mer om detta i det följande.
Den gemensamma vård- och omsorgsjournalen innebär att vårdgivare och de som bedriver verksamhet inom socialtjänsten får behandla de personuppgifter som för socialtjänstens del behandlas för genomförande av beslut om bistånd, stödinsatser, vård eller behandling tillsammans med de uppgifter en vårdgivare behandlar för ändamålet vårddokumentation. Med vårddokumentation avses personuppgifter som behandlas för ändamål som avses i 2 kap. 5 § 2 och 3 i vårt förslag till hälso- och sjukvårdsdatalag. Det är uppgifter som behövs för att fullgöra journalföringsplikten och upprätta annan dokumentation som behövs i och för vården av patienter
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
841
samt för administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall. Definitionen av vårddokumentation finns angiven förslaget till hälso- och sjukvårdsdatalag.
Förutom att den enskilde ska ha behov av insatser från både hälso- och sjukvård och socialtjänst ska en ytterligare förutsättning för en gemensam vård- och omsorgsjournal vara att uppgifterna kan antas ha betydelse för att genomföra beslut om bistånd, stödinsats, vård eller behandling och för att förebygga, utreda, eller behandla sjukdomar och skador inom hälso- och sjukvården. Genom detta understryks ytterligare kravet på uppgifternas betydelse både för den hälso- och sjukvård och för den socialtjänst som individen har behov av. Det är därmed individen och individens behov som är det centrala för att verksamheter ska få använda sig av möjligheten med gemensam vård- och omsorgsjournal.
När det gäller vård och omsorg av enskilda med sammansatta behov är det inte sällan en teoretisk fråga i vilken dokumentation som t.ex. olika iakttagelser avseende den enskildes behov och tillstånd ska antecknas. Med utredningens förslag blir denna teoretiska gräns mellan dokumentation enligt hälso- och sjukvårdslagstiftningen och socialtjänstlagstiftningen onödig att ägna tid åt. Istället kommer journalföringen att kunna bli mer ändamålsenlig genom att samma företeelse inte behöver dokumenteras i två olika journaler. En gemensam vård- och omsorgsjournal gör det möjligt för integrerade verksamheter att fullt ut ta till vara fördelarna med ett samordnat arbetssätt. De hinder mot samverkan som uppställs genom det nuvarande regelverket om informationshantering ska inte finnas kvar. Utredningen gör bedömningen att den enskilde individen på så sätt kan få insatser av bättre kvalitet. En vård- och omsorgsjournal ersätter i verksamheten således det som idag betraktas som en patientjournal och det som betraktas som en social journal eller dokumentation. Det innebär att den gemensamma vård- och omsorgsjournalen måste kunna användas på motsvarand sätt och för samma ändamål som hittills har gällt för de två olika formerna av dokumentation. Personuppgiftsbehandlingen ska således kunna göras för att exempelvis planera och genomföra de gemensamma insatserna, men även för uppföljning, kvalitetssäkring m.m.
För att det ska vara tillåtet att börja föra en sådan vård- och omsorgsjournal ska vårdgivare och de som bedriver socialtjänst göra en överenskommelse om detta. I överenskommelsen ska ingå
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
842
hur ansvaret för att tillgodose den enskildes rättigheter ska fördelas, se vidare i det följande. Hur denna överenskommelse ska slutas och vad som närmare ska ingå i en sådan går, enligt vår bedömning, inte att reglera i detalj. Det kan finnas anledning för kommunen att, i egenskap av huvudman för den integrerade verksamhet som utförs i äldreomsorgen, överväga om detta sätt att dokumentera och hantera information kan bidra till en god vård och omsorg och en högre effektivitet i verksamheten.
32.3.11 Innehållet i en gemensam vård- och omsorgsjournal m.m.
Vi föreslår: En gemensam vård- och omsorgsjournal ska inne-
hålla de uppgifter som för en vårdgivares del ska dokumenteras i en patientjournal enligt vårt förslag till hälso- och sjukvårdsdatalag samt de uppgifter som den som bedriver verksamhet inom socialtjänsten ska dokumentera enligt socialtjänstlagen och lagen (1993:387) om stöd och service till vissa funktionshindrade.
Bestämmelser som reglerar innehållet i den gemensamma journalen ska finnas i såväl hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen.
Bestämmelsen om journalförstöring ska vara tillämplig även på uppgifter i en gemensam vård- och omsorgsjournal.
Bestämmelsen om utplåning av uppgifter i en patientjournal ska inte tillämpas avseende uppgifter i en vård- och omsorgsjournal enligt 9 kap. hälso- och sjukvårdsdatalagen.
Utredningens förslag till gemensam vård- och omsorgsjournal innebär ingen förändring av dokumentationsplikten inom hälso- och sjukvården och socialtjänsten. När en integrerad verksamhet väljer att använda sig av möjligheten till en gemensam vård- och omsorgsjournal ska såväl de regler som gäller för dokumentation inom socialtjänsten som hälso- och sjukvården följas. Dokumentationen ska alltså uppfylla kraven i båda regelverken. I den meningen bör verksamheten ha kunskap om vad som krävs för att uppfylla dessa krav – även om vårt förslag till gemensam journal inte gör det nödvändigt att klassificera viss information som antingen hörande till vårddokumentation eller socialtjänst-
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
843
dokumentation. Det viktiga är att det totala innehållet uppfyller krav som kan ställas i något av regelverken.
Syftet med en integrerad verksamhet kan bäst uppnås genom att den gemensamma dokumentationen i verksamheten uppfyller samtliga krav som gäller för de deltagande aktörerna. Bakgrunden till att man valt att arbeta samordnat bör vara att det finns fördelar med att ta tillvara den gemensamma kompetensen. Detta bör enligt utredningens mening återspeglas i den gemensamma journalen.
När det gäller innehållet i en patientjournal har patienten eller någon annan som omnämns i journalen rätt att få journalen helt eller delvis förstörd. Någon motsvarande bestämmelse finns inte vad gäller uppgifter i en dokumentation inom socialtjänsten. Utredningens förslag om gemensam vård- och omsorgsjournal innefattar förslag om att den ska försvaras i minst 10 år efter att sista anteckningen förts in. Det är samma bevarandetid som gäller för en patientjournal. Rätten för patienten att ansöka om journalförstöring ingår som en del i skyddet av hans eller hennes integritet.5 Mot denna bakgrund anser utredningen att även uppgifter i en gemensam vård- och omsorgsjournal ska omfattas av möjligheten att ansöka om journalförstöring. En enskild som anser att det finns uppgifter i den gemensamma journalen som är kränkande eller felaktiga ska få ansöka om journalförstöring oavsett om uppgiften kan hänföras till hälso- och sjukvården eller socialtjänsten.
Däremot föreslår vi inte att den nya bestämmelsen om vårdgivarens möjlighet att utplåna uppgifter i en patientjournal ska vara tillämplig på den gemensamma vård- och omsorgsjournalen. Denna undantagsbestämmelse ska tillämpas restriktivt. Innan en sådan möjlighet kan bli aktuellt avseende den gemensamma journalen måste tillämpningen få visa att det finns ett behov av denna form av utplåning av uppgifter.
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
844
32.3.12 Överenskommelse om gemensam vård- och omsorgsjournal
Vårt förslag: En överenskommelse om gemensam vård- och
omsorgsjournal ska fastslå vem av parterna som ska ansvara för att tillgodose den enskildes rättigheter enligt personuppgiftslagen (1998:204), hälso- och sjukvårdsdatalagen och socialtjänstdatalagen.
Överenskommelsen får omfatta att den enskilde ska medges direktåtkomst till uppgifter om sig själv enligt bestämmelserna i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen och ska fastställa hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Bestämmelser om överenskommelsens innehåll ska finnas i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen.
Utredningens förslag om möjlighet till direktåtkomst mellan hälso- och sjukvård och socialtjänst i integrerade verksamheter innebär en ny form av informationsutbyte. Även vårt förslag om en gemensam vård- och omsorgsjournal innebär en ny form av informationsutbyte mellan de inblandade verksamheterna. Syftet är att rätt information ska finnas tillgänglig för rätt personer, på rätt plats och i rätt tid. Sådan användning av ny teknik för dokumentation och för ändamålsenligt informationsutbyte får bara förekomma under säkra former. Såväl den som bedriver verksamhet inom socialtjänsten som vårdgivaren är ytterst ansvariga för en säker behandling av personuppgifter i sina verksamheter. Detta ansvar innebär t.ex. att personuppgifter ska behandlas på ett sådant sätt att obehöriga inte kan ta del av dem.
I detta ansvar för personuppgifterna som behandlas i verksamheten ingår att utlämnande av uppgifter måste göras på ett säkert sätt. För att det inte ska vara oklart vem som ska ansvara för att tillgodose den enskildes rättigheter enligt de lagar som reglerar hanteringen av personuppgifterna i hälso- och sjukvården och socialtjänsten, måste parterna komma överens om vem eller vilka som ska tillgodose den enskildes rättigheter. En sådan överenskommelse mellan vårdgivare och den eller de som bedriver verksamhet inom socialtjänsten ska göras inför det att ett samarbete genom en gemensam vård- och omsorgsjournal realiseras.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
845
Överenskommelsen som här avses kan innefatta hur vissa av de registrerades rättigheter ska kunna tillgodoses i praktiken. Det kan exempelvis handla om sådant som var den enskilde vänder sig för att få ett loggutdrag över den åtkomst som har förekommit till patientens uppgifter. Istället för att den enskilde exempelvis ska behöva vända sig till flera av de inblandade aktörerna kan det finnas skäl för dem att komma överens om och praktiskt arrangera det på sådant sätt att den enskilde endast behöver vända sig till en aktör för att få loggutdraget. En sådan aktör kan mycket väl vara ett personuppgiftsbiträde åt de inblandade aktörerna. Vidare kan överenskommelsen även reglera hur och till vem de registrerade ska vända sig med frågor, synpunkter eller klagomål. En enskilds möjligheter att ta till vara sina rättigheter underlättas om det är tydligt vem han eller hon ska vända sig till med krav eller klagomål, t.ex. för det fall bristfällig information lämnats om vem som är personuppgiftsansvarig för behandling av personuppgifter som avser honom eller henne.
En vårdgivare och den som bedriver verksamhet inom socialtjänsten får också enligt bestämmelsen komma överens om att medge en enskild direktåtkomst till uppgifter i en gemensam vård- och omsorgsjournal. Den enskilde får under samma förutsättningar medges direktåtkomst till sådan dokumentation (loggar). Direktåtkomsten ska utformas så att den följer bestämmelserna i 5 kap. hälso- och sjukvårdsdatalagen och 4 kap. socialtjänstdatalagen. I en sådan överenskommelse ska aktörerna även komma överens om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses.
32.3.13 Att ta del av uppgifter genom direktåtkomst eller i en gemensam vård- och omsorgsjournal
Vårt förslag: Vårdgivare får ta del av personuppgifter, som den
som bedriver verksamhet inom socialtjänsten har lämnat ut genom direktåtkomst, endast för ändamålen vård och behandling av patienten, kvalitetssäkring och kvalitetsutveckling av sådan vård och behandling samt intygsutfärdande. Den som bedriver verksamhet inom socialtjänsten får ta del av personuppgifter, som vårdgivare har lämnat ut genom direktåtkomst, endast för ändamålen att genomföra beslut om bistånd, stödinsatser, vård eller behandling eller för att säkra och utveckla kvaliteten av sådana insatser, vård eller behandling.
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
846
Vårdgivare och den som bedriver verksamhet inom socialtjänsten får behandla personuppgifter i en gemensam vård- och omsorgsjournal för de ändamål som för vårdgivarens del är tillåtna enligt hälso- och sjukvårdsdatalagen och för socialtjänsten del i socialtjänstdatalagen. Bestämmelser om detta ska tas in i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen.
Bestämmelserna om behörighetstilldelning och åtkomstkontroll i de respektive lagarna ska gälla även för behandling av personuppgifter i integrerade verksamheter.
Att ta del av uppgifter som gjorts tillgängliga genom direktåtkomst
Utlämnande av uppgifter genom direktåtkomst från en vårdgivare till den som bedriver verksamhet inom socialtjänsten är, enligt utredningens förslag, villkorat av att uppgifterna kan antas ha betydelse för att genomföra beslut om bistånd, stödinsatser, vård eller behandling. På motsvarande sätt får den som bedriver socialtjänst lämna ut uppgifter genom direktåtkomst till vårdgivare om uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador inom hälso- och sjukvården.
De grundläggande förutsättningarna för att få lämna ut uppgifter bör sedan, enligt utredningens bedömning, även vara avgörande för vilka syften uppgifterna sedan ska få användas i den mottagande verksamheten. Med en sådan lösning anpassas de tillåtna ändamålen för personuppgiftsbehandling till de konkreta behov som ligger bakom förslaget att ge hälso- och sjukvården och socialtjänsten nya möjligheter att utbyta uppgifter genom direktåtkomst. Det innebär att vårdgivare och den som bedriver verksamhet inom socialtjänsten endast ska kunna ta del av uppgifter som lämnats ut genom direktåtkomst för vissa begränsade ändamål.
Förutom för ändamål som rör den enskildes insatser, vård eller behandling anser utredningen att direktåtkomst även ska får användas för att säkra och utveckla kvaliteten av sådan verksamhet. Verksamheter inom hälso- och sjukvården och socialtjänsten som har ett nära samarbete kring en enskild måste också kunna utvecklas och säkras. Behoven av att kvalitetssäkra dessa situationer är inte mindre än vad behoven är i situationer där den enskilde bara har insatser från socialtjänsten eller bara är föremål för hälso- och sjukvård. Vårdgivare och de som bedriver socialtjänst och som samarbetar i frågor som rör enskildas hälsa och livskvalitet behöver
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
847
ha goda förutsättningar att vid behov behandla personuppgifter för kvalitetssäkring och utveckling. Reglerna om informationshantering bör enligt utredningens uppfattning inte uppställa hinder för ett sådant kvalitetsarbete.
Mot bakgrund av detta föreslår utredningen att vårdgivare får ta del av personuppgifter, som den som bedriver verksamhet inom socialtjänsten har lämnat ut genom direktåtkomst, endast för ändamålen vård och behandling av patienten, kvalitetssäkring och kvalitetsutveckling av sådan vård och behandling samt intygsutfärdande. Den som bedriver verksamhet inom socialtjänsten får i sin tur ta del av personuppgifter, som vårdgivare har lämnat ut genom direktåtkomst, endast för ändamålen att genomföra beslut om bistånd, stödinsatser, vård eller behandling eller för att säkra och utveckla kvaliteten av sådana insatser, vård eller behandling. Bestämmelser om detta bör tas in i hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen.
Att ta del av uppgifter i en gemensam vård- och omsorgsjournal
Det grundläggande syftet med utredningens förslag om gemensam vård- och omsorgsjournal är att öka förutsättningarna för en ändamålsenlig informationshantering avseende personer med behov av både hälso- och sjukvård och socialtjänst. Det handlar om att se till att rätt information kan finnas på rätt plats i rätt tid för att den enskilde ska säkerställas en god vård och omsorg. En sådan informationshantering med individen och individens behov i centrum kräver att de inblandade aktörerna får behandla personuppgifterna för de ändamål som krävs för att tillgodose detta behov.
När det gäller den gemensamma vård- och omsorgsjournalen ersätter den det som verksamheterna idag betraktar som en patientjournal och det som betraktas som en social journal eller social dokumentation. Det innebär att vård- och omsorgsjournalen måste kunna användas på motsvarande sätt och för samma ändamål som hittills har gällt för de två olika formerna av dokumentation. Det saknas därför, enligt utredningens bedömning, anledning att begränsa de tillåtna ändamålen för personuppgiftsbehandling. En sådan begränsning skulle även kunna motverka den djupare integration och det mer ändamålsenliga samarbete som utredningens förslag kan medföra.
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
848
Personuppgiftsbehandlingen ska således kunna göras för att exempelvis planera och genomföra de gemensamma insatserna, men även för uppföljning, kvalitetssäkring m.m. Annars riskerar fördelarna med en gemensam vård- och omsorgsjournal att kraftigt begränsas.
Vårdgivare och den som bedriver verksamhet inom socialtjänsten ska därför, enligt utredningens förslag, få behandla personuppgifter i en gemensam vård- och omsorgsjournal för de ändamål som för vårdgivarens del är tillåtna enligt hälso-och sjukvårdsdatalagen och för socialtjänsten del i socialtjänstdatalagen. Det innebär att vårdgivare får behandla personuppgifter i enlighet med den grundläggande ändamålsbestämmelsen i 2 kap. 5 och 6 §§ hälso- och sjukvårdsdatalagen. Den som bedriver verksamhet inom socialtjänsten får behandla personuppgifter i enlighet med ändamålsbestämmelsen i 2 kap. 5 och 6 §§ socialtjänstdatalagen. Bestämmelser om detta ska tas in i båda dessa lagar.
Behörighetsstyrning och åtkomstkontroll
Vidare föreslår utredningen att de grundläggande bestämmelserna om vårdgivarens ansvar för behörighetstilldelning och åtkomstkontroll ska gälla när en vårdgivare deltar i en integrerad verksamhet som har valt att använda direktåtkomst för utbyte av personuppgifter. Vårdgivaren ska även ha ansvar för behörighetstilldelning och åtkomstkontroll när det gäller de personer som arbetar åt vårdgivaren om vårdgivaren deltar i ett samarbete om gemensam vård- och omsorgsjournal. Motsvarande ansvar ska gälla för den som bedriver verksamhet inom socialtjänsten. Bestämmelser om detta ska tas in i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen.
Utredningens förslag om krav på behörighetstilldelning och åtkomstkontroll i hälso- och sjukvården och socialtjänsten finns i respektive avsnitt. Här erinras endast om att dessa bestämmelser även gäller vid personuppgiftsbehandling i integrerade verksamheter.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
849
32.3.14 Bevarande och arkivering av gemensam vård och omsorgsjournal
Vårt förslag: En handling i en gemensam vård- och omsorgs-
journal ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. För allmänna handlingar gäller därutöver arkivlagen och de bestämmelser som meddelats med stöd av arkivlagen gälla.
När insatser från både hälso- och sjukvård och socialtjänst har slutat att ges till de enskilde ska den gemensamma vård- och omsorgsjournalen överlämnas till den kommun som ansvarat för socialtjänstinsatserna.
För att en gemensam vård- och omsorgsjournal ska kunna uppfylla alla de syften som en social journal och en patientjournal ska uppfylla måste vi även lämna förslag på hur en sådan dokumentation ska arkiveras.
När det gäller bevarande, gallring och arkivering av uppgifter inom socialtjänst respektive hälso- och sjukvård så är det olika regler som gäller. En journalhandling ska bevaras i minst 10 år. Fram till dess får uppgifterna i journalen endast utplånas med stöd av bestämmelserna om journalförstöring. Utredningen har även lagt ett förslag som gör det möjligt för en vårdgivare att under vissa omständigheter utplåna vissa uppgifter (se kapitel 12). När det gäller socialtjänsten ska enligt huvudregeln anteckningar och andra uppgifter i en personakt hos socialnämnden gallras fem år efter det att sista anteckningen gjordes i akten. Detta följer av bestämmelser i 12 kap. 1 § SoL första stycket.
En gemensam vård- och omsorgsjournal är en ny typ av handling. Utredningen anser att denna dokumentation så långt möjligt ska avspegla och tillgodose behoven i en verksamhet som bedrivs integrerat. Den bör så långt som möjligt leva upp till de regelverk som gäller såväl inom socialtjänsten som inom hälso- och sjukvården. Men när det gäller bevarande och gallring kräver hänsynen till ordning och reda vid hantering av allmänna handlingar och till arkivvården att det finns ett tydligt regelverk som gäller just denna nya typ av handling.
Utredningen anser att de längre bevarandetiderna som gäller inom hälso- och sjukvården bättre tillvaratar de gemensamma behoven av att handlingar sparas och arkiveras. Det finns möjligen
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
850
även argument som kan tala för en lösning som mer liknar den för bevarande av handlingar inom socialtjänsten. Det kan t.ex. finnas skäl att av hänsyn till den registrerades integritet välja en lösning som innebär en kortare bevarandetid. Mot bakgrund av de patientsäkerhetsskäl som motiverar de längre bevarandetiderna som gäller inom hälso- och sjukvården väljer utredningen dock att föreslå att de längre tiderna också ska gälla för den gemensamma dokumentationen i en integrerad verksamhet.
När det gäller arkivering handlar det om att välja en lösning så att det blir tydligt vad som ska gälla för den nya typen av handling. Den grundläggande förutsättningen för att det ska få föras en gemensam vård- och omsorgsjournal är att uppgifterna som ska dokumenteras rör en person med behov av vård och omsorg som är föremål för insatser inom socialtjänsten. Eftersom uppgifterna måste röra en person som befunnits har rätt till kommunala insatser i socialtjänsten framstår det som naturligt att det är den kommun som ansvarat för och finansierat socialtjänstinsatserna som ska ta hand om arkiveringen av den gemensamma vård- och omsorgsjournalen. Utredningen gör dock bedömningen att när det gäller arkivfrågan kan det även finnas andra lämpliga alternativ. Det väsentliga är att det finns tydliga regler vad som gäller för handlingarna så att dessa lätt kan återfinnas. Mot den bakgrunden och i detta skede anser utredningen att det mest ändamålsenliga är att handlingar i en gemensam journal ska arkiveras i den kommun som har ansvarat för de beslutade insatser som varit förutsättningar för den enskildes deltagande i den integrerade verksamheten. Det kan framstå som logiskt för den som vill leta reda på en sådan journal att vända sig till den kommunen.
32.3.15 Sekretessbrytande bestämmelser för att möjliggöra förslagen
Vårt förslag: Hälso- och sjukvårdssekretess ska inte hindra att
en uppgift om en enskild lämnas från en myndighet inom hälso- och sjukvården till en myndighet inom socialtjänsten eller till enskild utförare av socialtjänst enligt vad som föreskrivs om direktåtkomst i integrerade verksamheter i vårt förslag till hälso- och sjukvårdsdatalag.
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
851
Socialtjänstsekretess ska inte heller hindra att uppgift om en enskild lämnas från en myndighet inom socialtjänsten till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om direktåtkomst i integrerade verksamheter i vårt förslag till socialtjänstdatalag.
Sekretess ska inte heller hindra det informationsutbyte som en gemensam vård och omsorgsjournal för med sig.
Utredningens förslag om direktåtkomst mellan vårdgivare och den som bedriver verksamhet inom socialtjänst innebär att dessa aktörer under vissa förutsättningar kan få direktåtkomst till varandras personuppgifter. För att den vårdgivare som gör uppgifter tillgängliga inte ska behöva göra en sekretessprövning i varje enskilt fall, föreslås ett undantag från hälso- och sjukvårdssekretessen. Vi föreslår även motsvarande undantag från socialtjänstsekretessen. Undantaget innebär att sekretessen inte hindrar att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare eller till den som bedriver verksamhet inom socialtjänsten enligt vad som föreskrivs om denna typ av direktåtkomst i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen. Skyddet för den enskildes personliga integritet vid direktåtkomsten är tillgodosett genom de villkor som gäller för att direktåtkomsten ska vara tillåten.
På grund av de bestämmelser om undantag från sekretess som vi föreslår behövs ingen särskild reglering för att en enskild vårdgivare eller en enskild utförare ska kunna lämna ut uppgifter till en annan aktör genom direktåtkomst. Ett sådant utlämnande kan inte anses som obehörigt i den mening som avses i patientsäkerhetslagen eller socialtjänstlagen och innebär därmed inget brott mot tystnadsplikten. Det är samma konstruktion för lättnad i tystnadsplikten som gäller vid sammanhållen journalföring.
Vi föreslår även motsvarande lättnader i sekretessen för uppgifter inom hälso- och sjukvård och socialtjänsten för det utbyte av uppgifter som den gemensamma vård- och omsorgsjournalen för med sig.
Det råder alltså normalt sekretess mellan hälso- och sjukvården och socialtjänsten. Därför behöver vi föreslå ändringar i offentlighets- och sekretesslagen som bryter sekretessen när ett utbyte av uppgifter görs med stöd av de bestämmelserna om direktåtkomst mellan hälso- och sjukvård och socialtjänst eller genom att verksamheterna använder en gemensam vård- och omsorgsjournal.
En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst SOU 2014:23
852
32.3.16 Gemensam vård- och omsorgsjournal och sammanhållen journalföring
Vårt förslag: En vårdgivare får göra uppgifter i en gemensam
vård- och omsorgsjournal tillgängliga i system för sammanhållen journalföring under de förutsättningar som anges för detta i hälso- och sjukvårdsdatalagen. En påminnelse om detta ska tas in i anslutning till bestämmelserna om gemensam vård- och omsorgsjournal i hälso- och sjukvårdsdatalagen.
En gemensam vård- och omsorgsjournal innebär att vårdgivare och de som bedriver verksamhet inom socialtjänsten kan hålla information om en individ samlad så att den kan användas på ett ändamålsenligt sätt för att ge individen den vård och det stöd som han eller hon behöver. Vi föreställer oss att denna möjlighet till gemensam dokumentation framförallt kommer att användas i verksamheter som är djupt integrerade, t.ex. på särskilda boenden. Även om informationen i den gemensamma vård- och omsorgsjournalen kommer att tillgodose en stor del av det behov som finns av att utbyta uppgifter om den enskilde kommer det ändå att finnas behov av att utbyta information med aktörer utanför den integrerade verksamheten. Det behovet kan komma att vara olika stort beroende på vilka aktörer som deltar i samarbetet om en gemensam journal. Utredningen antar att det kanske inte kommer vara så vanligt att t.ex. landstingets läkarinsatser deltar i samarbetet. Sammanhållen journalföring kommer därför sannolikt att även fortsättningsvis behövas som ett sätt för t.ex. ett särskilt boende att utbyta information med primärvården.
Utredningen bedömer därför att en vårdgivare ska få göra uppgifter i en gemensam vård- och omsorgsjournal tillgängliga för andra vårdgivare med stöd av regelverket för sammanhållen journalföring. Det innebär t.ex. att sådana uppgifter kan göras tillgängliga i den nationella patientöversikten (NPÖ). En distriktsköterska eller hälso- och sjukvårdspersonal inom akutsjukvården kan i sitt omhändertagande genom att ta del av uppgifter i NPÖ beakta viktiga omständigheter i den enskildes hälsotillstånd. En vårdgivare som deltar i den integrerade verksamheten och som samtidigt deltar i ett system för sammanhållen journalföring kan å sin sida ta del av uppgifter om den enskilde i den sammanhållna journalföringen genom att tillämpa de regler som gäller för det. Det
SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst
853
är t.ex. viktigt för en kommunal vårdgivare att kunna ta del av uppgifter om vilka läkemedel som förskrivits till den enskilde av primärvården eller den slutna vården. Den gemensamma vård- och omsorgsjournalen får inte blir ett nytt sätt att låsa in information. Utredningen anser därför att det är nödvändigt att en vårdgivare som deltar i ett sådant arbete också kan utbyta uppgifter genom sammanhållen journalföring. En bestämmelse som erinrar och uttryckligen tillåter detta ska därför tas in i hälso- och sjukvårdsdatalagen.
855
33 Kommunikation mellan vård- och omsorgsaktörer och medborgare
33.1 Bakgrund
Internet har i dag kommit att bli en primär källa för medborgare i jakt på information relaterad till hälso- och sjukvården och socialtjänsten. Invånare söker efter information om hälsa och sjukdomar exempelvis på 1177 Vårdguiden, apoteksaktörernas hemsidor och på Google. På motsvarande sätt används enskilda kommuners hemsidor för att ta reda på information om enskildas rättigheter inom socialtjänsten och vilket utbud olika kommuner har.
Samtidigt har internet även blivit en viktig kommunikationskanal mellan medborgarna och vårdgivarna och mellan medborgarna och de som bedriver socialtjänst. I dag finns exempelvis möjligheter att via nätet ta del av uppgifter i patientjournaler, boka tider hos sjukvården, förnya recept, ställa frågor till läkare, beställa självtester m.m. Även för sådan information som vårdgivarna behöver från patienterna utvecklas nu funktioner för att kommunicera det över nätet. Som exempel kan nämnas funktioner som möjliggör för patienter att rapportera in olika mätvärden, att svara på enkäter om upplevd livskvalitet efter t.ex. en operation, att fylla i och skicka in hälsodeklarationer eller liknande inför ett kommande läkarbesök m.m.
På motsvarande sätt sker en utveckling inom socialtjänsten för att ta fram e-tjänster där invånare kan ansöka om bistånd, informera sig om och välja olika utförare, låta närstående ta del av omsorgsinformation från äldreomsorgen m.m.
I strategin för Nationell eHälsa anges bland annat följande.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
856
Individen i sin roll som invånare, patient, brukare och anhörig ska ha tillgång till lättillgänglig och kvalitetssäkrad information om hälsa, vård och omsorg samt åtkomst till dokumentation från sina tidigare insatser och behandlingar. Hon eller han ska erbjudas individuellt anpassad service och interaktiva e-tjänster för att kunna utöva delaktighet och självbestämmande utifrån sina egna förutsättningar.
33.1.1 Vårt uppdrag
Av utredningsdirektivet framgår bland annat att utvecklingen de senaste åren har varit sådan att den enskilde på flera sätt fått en starkare ställning i förhållande till hälso- och sjukvården. Den enskilde har i många fall behov av att kunna registrera uppgifter för att exempelvis komplettera eller förbereda ett läkarbesök. Den enskilde bör också som huvudregel kunna ha tillgång till sina egna uppgifter.
Vidare anför regeringen att det i nuvarande lagstiftning är svårt att identifiera gränsen mellan patientens egen personuppgiftsbehandling och vårdgivarens behandling av personuppgifter enligt dennes personuppgiftsansvar. För att patienten ska kunna vara en medproducent av information inom hälso- och sjukvården och rapportera in information som exempelvis patientrapporterade utfallsmått måste denna gräns tydliggöras i lagstiftningen. Mot denna bakgrund är vårt uppdrag följande.
• Analysera och lämna förslag som juridiskt tydliggör gränsen mellan patientens egen personuppgiftsbehandling och vårdgivarens personuppgiftsbehandling enligt dennes personuppgiftsansvar för sådana känsliga uppgifter som den enskilde rapporterar in till hälso- och sjukvården eller socialtjänsten,
• överväga behovet av lagreglering av personuppgiftsansvar för säkerhetsåtgärder vid it-kommunikation med enskilda individer.
Vidare har vi genom tilläggsdirektiv övertagit frågor på detta område, som ursprungligen hanterades av Patientmaktsutredningen.1 Vårt uppdrag är därför att ta ett helhetsgrepp om de rättsliga frågorna vid en ökad kommunikation mellan hälso- och sjukvårdens aktörer och medborgarna. Vi ska i detta sammanhang bland annat beakta sekretessfrågor, frågor om direktåtkomst och frågor om hantering av allmänna handlingar.
1 Dir. 2012:23.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
857
Utvidgning av uppdraget
I utredningsdirektivet talas, med något undantag, i princip endast om patienters kommunikation med hälso- och sjukvården. Eftersom vi ser att behovet av klarläggande även finns för liknande kommunikation mellan medborgare och socialtjänstens aktörer, har vi valt att vidga vårt uppdrag till att omfatta även de rättsliga frågor som gör sig aktuella i de situationerna. Vår bedömning är även att det ligger i linje med den grundläggande tanken i utredningsdirektivet om att utgå ifrån individen och individens behov oavsett hur individens resa genom hälso- och sjukvården och socialtjänsten ser ut.
Sammanfattningsvis är vårt uppdrag således att analysera de rättsliga förutsättningarna och vid behov lämna nödvändiga författningsförslag kring den ökade kommunikation som vi ser växa fram i dag mellan å ena sidan medborgarna och å andra sidan hälso- och sjukvårdens och socialtjänstens aktörer.
33.1.2 En utveckling med flera mål
Utvecklingen inom hälso- och sjukvård och socialtjänst går allt mer mot att patienter och närstående betraktas som samarbetspartners och resurser i arbetet. För att kunna vara den resursen krävs att individer får del av det kunskapsunderlag som skapas genom den dokumentation som skapas av vård- och omsorgsaktörerna. Många individer betraktar i dag det även som självklart att kunna ta del av personlig information om sin hälsa via nätet på samma sätt som man kan hantera sin ekonomi på internetbanken eller utföra ärenden på olika myndigheters webbplatser.
Många av de insatser som görs på detta område bottnar i övertygelsen om att e-tjänster på olika sätt kan bidra till att stödja, engagera, motivera och underlätta för individen i vardagen. Tjänster som gör det möjligt för individen att stärka sin ställning, öka sin delaktighet och få en fördjupad kunskap om sin hälsosituation. Information och smarta e-tjänster som tillsammans på ett enkelt och överskådligt sätt kan ge den enskilde just det beslutsstöd som behövs för att i större utsträckning kunna fatta rätt beslut om sin egen hälsosituation, vare sig det handlar om en individ med en kronisk sjukdom eller någon med ett mer tillfälligt hälsoproblem. Att ge tillgång till vårddokumentation handlar därför inte om att
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
858
göra individen till någon slags journalrevisor, utan istället om att ge individen bättre förutsättningar än tidigare för att kunna bli sin egen hälsocoach. Även om grundtanken och ambitionen har funnits sedan många årtionden tillbaka, genom att patienten länge haft en rätt att ta del av sin egen dokumentation, är det först nu som möjligheterna finns att göra det ännu bättre än tidigare. Med ny teknik ges möjligheter att hantera de omfattande och komplexa informationsmängder om individer på ett bättre och mer effektivt sätt än vad som är möjligt vid en manuell pappershantering.
Vidare finns en förhoppning om att en stärkt ställning för individen i sin tur ökar möjligheterna för en mer jämlik och tillgänglig vård och omsorg av hög kvalitet. Det förutsätter i sin tur att de nya möjligheterna för delaktighet och kommunikation möts upp av nödvändiga förändringar av vård- och omsorgsproducenternas verksamheter, arbetssätt, processer, organisations- och professionskulturer samt rutiner.
Parterna bakom strategin för Nationell eHälsa anför bl.a. att en ökad tillgänglighet till hälso- och sjukvården och socialtjänsten förutsätter en enkel och målgruppsanpassad tillgång till användarvänlig information. Det ger förutsättningar för egenmakt och självbestämmande samt stärker individens upplevda nytta, delaktighet och insyn i de insatser som berör en själv.
Genom att utveckla personliga e-tjänster vill man ge individen möjlighet att själv dokumentera uppgifter om sin egen hälsosituation. Det kan exempelvis handla om motionsvanor, kost, vilka receptfria läkemedel man tar, hur man mår från tid till annan osv. Det kan även handla om utveckling av e-tjänster med ett tydligt fokus på prevention och folkhälsofrämjande aspekter.
Ytterligare sådana tjänster som lyfts fram som centrala för individen är till exempel en samlad lista över de läkemedel individen står på, en samlad bild av de vaccinationer individen tagit, en möjlighet att kunna följa sin remiss från det att den skickats till att den mottagits och åtgärdats, en möjlighet att få provsvar levererade via nätet och att själv kunna rapportera in mätvärden och olika former av självskattningar.
I strategin för Nationell eHälsa anges att följande områden och tjänster är av särskild vikt för det fortsatta arbetet.
• Alla invånare ska kunna använda säkra personliga e-tjänster för åtkomst till information om egna vård- och omsorgsinsatser.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
859
• Tjänster där individen själv kan dokumentera och dela uppgifter om sin egen hälsa ska utvecklas som en resurs för både personal och individen själv.
• Information om kvalitet, tillgänglighet och bemötande ska presenteras på ett målgruppsanpassat och användarvänligt sätt för att möjliggöra fria och informerade val.
33.2 Några utvecklingsarbeten inom området
Sedan många år tillbaka har ett antal olika utvecklingsprojekt bedrivits för användningen av internet som kommunikationskanal mellan medborgarna och vård- och omsorgsaktörerna. I det följande nämns några av dessa projekt översiktligt, i syfte att ge en bild över vad som har gjorts och vilken utveckling som fortfarande är på gång.
33.2.1 E-tjänster och erfarenheter från landstinget i Uppsala
I Landstinget i Uppsala län har man alltsedan 1997 arbetat med att elektroniskt lämna ut journaluppgifter till patienter. Projektet Sustains (Support Users To Access Information and Services) har under många år bedrivits på en utvald vårdcentral där de listade patienterna, om de har velat, har haft möjlighet att läsa delar av sin journal på nätet. Inledningsvis var det en översikt över patienternas vårdkontakter och diagnoser.
Projektet har nu utvecklats och erbjuder sedan 8 oktober 2012 samtliga länsinvånare att ta del av sin patientjournal genom direktåtkomst över internet (Min journal på nätet). För att kunna ta del av sina uppgifter krävs bl.a. inloggning, med e-legitimation eller engångslösenord via sms, i Mina vårdkontakter.
Under arbetet med att tillhandahålla patientinformation över nätet har landstinget identifierat ett antal viktiga frågeställningar. En av dessa är hur vårdnadshavares tillgång till sina barns patientjournaler ska få gå till. Med tanke på att barn i takt med stigande ålder och mognad ska tillmätas egen förmåga att hantera sitt behov av sekretess och integritetsskydd, även gentemot föräldrar, har landstinget för närvarande valt att inte alls tillhandahålla journaluppgifter genom direktåtkomst för barn mellan 13–17 år. För
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
860
yngre barn har vårdnadshavare dock möjlighet att ta del av barnets journal över nätet.
Vidare har landstinget i detta skede valt att undanta patientinformation från vissa verksamheter från direktåtkomsten, bl.a. för att minimera riskerna för patienter i utsatta positioner. Det rör exempelvis enheten för kvinnofrid vid Akademiska sjukhuset.
Ytterligare en frågeställning som aktualiserats är hur sekretessbestämmelsen i 25 kap. 6 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, ska tillämpas. Enligt den bestämmelsen gäller sekretess även i förhållande till patienten själv, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne. En följd av bestämmelsen är att någon form av sekretessprövning behöver göras även när journaluppgifter ska lämnas ut till individen själv. För att kunna automatisera utlämnandeprocessen har landstinget valt att genom policybeslut slå fast vilka informationsmängder som alltid ska lämnas ut och vilka som ska kräva en mer manuell prövning i det enskilda fallet.
Intressant i sammanhanget är landstingets egen uppskattning över hur ofta den aktuella sekretessbestämmelsen tillämpas. Utredningen har vid kontakter med landstinget fått informationen att bland de 11 000 patientjournalerna som uppskattningsvis lämnades ut under 2011 har endast fem journaler gått för särskild bedömning enligt ovan. Av dessa fem är det sedan bara en journal som inte har lämnats ut.
Under projektet Sustains har flera olika e-tjänster introducerats för landstingets invånare. Det har bland annat handlat om möjligheter att betala sjukvårdsavgift och uppdatera patienters och närståendes kontaktuppgifter. Nedan följer en kortfattad redovisning av ytterligare några e-tjänster.
Min journal på nätet
Genom tjänsten får patienter tillgång till sin patientjournal. Sedan lanseringen av tjänsten 3 december 2012 har antalet nya användare ökat med omkring 100 per dag och den 12 december 2013 hade tjänsten använts av 42 081 unika patienter.2
2 Landstinget i Uppsala, Rapport om införande av e-hälsotjänster i Uppsala (2014) s. 22.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
861
Läsa logglistan
Patienter har fått möjlighet att direkt över internet ta del av uppgifter om vilka som har tagit del av patientens journal, dvs. logglistan. Genom funktionen får patienten en översikt över åtkomsterna och kan upptäcka om någon anmärkningsvärd åtkomst har förekommit och därefter initiera en utredning om det. Enligt uppgifter från landstinget har tjänsten, under perioden 11 april 2013 till 6 december 2013, använts av 12 274 unika patienter 67 168 gånger.3
Delegering av läsrättighet
Tjänsten innebär att patienten kan medge att en annan person får läsrättighet till patientens journal, dvs. själv kan ta del av den via internet. En tanke med tjänsten är att exempelvis göra det möjligt för närstående att följa med och vara delaktiga i familjemedlemmars kontakter med hälso- och sjukvården.
Spåra remiss
Det har gjorts möjligt för patienterna att själva läsa status på sin remiss, dvs. om och när den är skickad, mottagen och besvarad samt om och när svaret är läst av remittenten. Patienten får tillgång till e-tjänsten vid en inloggning på Min journal via nätet.
33.2.2 Mina vårdkontakter
Stockholms läns landsting har inom ramen för Vårdguiden, numera 1177 Vårdguiden, sedan 2003 utvecklat medborgartjänsten Mina vårdkontakter. Ett av syftena med tjänsten var att öka tillgängligheten och göra det enklare för medborgare att kontakta vården på sina egna villkor. I dag är samtliga landsting anslutna till Mina vårdkontakter och kan där välja vilka olika tjänster medborgarna ska kunna använda. Exempel på tjänster som kan tillhandahållas medborgarna är beställning av tider, av- och ombokning av tider, förnya recept, be mottagningen ta kontakt. Det är
3 Landstinget i Uppsala, Rapport om införande av e-hälsotjänster i Uppsala (2014) s. 11.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
862
även möjligt för individen att själv lägga in anteckningar om inbokade läkarbesök, vaccinationer m.m. i en kalender.
För att kunna använda Mina vårdkontakter måste individen registrera sig och skapa ett användarkonto. För att ingen ska kunna ta del av information om andra individer krävs det även att alla identifierar sig med stark autentisering vid inloggningen. I dag är det möjligt att logga in med e-legitimation eller med engångslösenord som distribueras via sms.
Mina vårdkontakter är under ständig utveckling och från och med 12 december 2012 är det möjligt att använda tjänsten även i en mobiltelefon eller på en surfplatta. Allt för att underlätta för individerna att kontakta vården och utföra tjänster.
PER – patientens egen registrering
PER är en tjänst som i dag nås via Mina vårdkontakter och som riktar sig till personer med en reumatisk sjukdom. Tjänsten gör det möjligt för individen att inför ett kommande besök hos sin behandlande läkare registrera uppgifter om sitt hälsotillstånd. Patienten registrerar sådant som rör det vardagliga livet och vad man klarar av i det, men även sådant som om lederna är ömma och svullna. Förutom att det ökar patientens flexibilitet att kunna registrera uppgifter hemifrån vid en tidpunkt som passar patienten bäst medför tjänsten också att uppgifterna finns tillgängliga för läkaren redan när patientbesöket startar. Vid besöket har läkare och patient därmed redan tillgång till samma information och kan utifrån den diskutera behandlingsåtgärder m.m.
Mina hälsotjänster
Stockholms läns landsting har på uppdrag av CeHis, Center för ehälsa i samverkan, drivit projektet Mina hälsotjänster. Målsättningen har varit att projektet ska bidra till utvecklingen av nya e-tjänster som samordnar och stödjer patienternas vårdprocesser och tillhandahålla en teknisk plattform som möjliggör tjänsterna samt leverera processbeskrivningar, affärsmodeller och riktlinjer som effektiviserar och kvalitetssäkrar utvecklingen av e-tjänster. Genom att vidareutveckla Mina vårdkontakter har projektet bidragit till att invånare bl.a. kan nå Mina vård-
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
863
kontakter via mobil och surfplatta, se sin remisstatus, boka provtagning och få svar samt lämna självskattningar som tillförs patientjournalen.
33.2.3 Omsorgsdagboken
Stockholms stad har utvecklat Omsorgsdagboken, där äldre personer och deras närstående kan följa hur omsorgen bedrivs dag för dag. Syftet med Omsorgsdagboken är att de äldre och deras närstående ska få en ökad insikt och delaktighet i hur omsorgen om den äldre bedrivs.
Via tjänsten kan användaren exempelvis ta del av beslut, journalanteckningar gjorda enligt socialtjänstlagen (2001:453), förkortad SoL, händelser av vikt, avvikelser, genomförandeplanen, rapporterade utförartillfällen, kontaktuppgifter och vad som kontinuerligt händer från den ena dagen till den andra. Den innehåller även information om hur samtycke ges, avbryts och ändras samt vilka personer som har fått samtycke att ta del av den äldres omsorgsdagbok.
För att ta del av innehåll i Omsorgsdagboken krävs inloggning med e-legitimation samt för en närstående, att den äldre lämnat ett skriftligt samtycke till att en närstående får ta del av informationen.
33.2.4 Mina vårdflöden
Mina vårdflöden är ett utvecklingsprojekt som leds av Stockholms läns landsting med som genomförs bland annat med Västra Götalandsregionen, Region Skåne, Karolinska Institutet, Lunds Universitet, Jönköping Business School m.fl. Projektet finansieras delvis av innovationsmyndigheten Vinnova.
Det övergripande syftet med projektet är att stimulera till att nya kunskapsbaserade e-tjänster utvecklas. Målet är dels att skapa nya invånartjänster för en mobil nationell plattform som gör det möjliggör för patienten att själv följa, äga och förvalta sina vårdflöden avseende stroke, lungcancer, höftoperationer och hjärtsjukdomar. En tanke är således att förse patienten med ett verktyg för att följa sin resa genom olika processer i vården och även kunna kommunicera direkt med exempelvis behandlande läkare. Patienten ska kunna följa sin remiss på samma sätt som det i dag t.ex. är
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
864
möjligt att följa leveransprocessen vid en bokbeställning på nätet, dvs. kunna se att remissen är skickad, mottagen, bokad samt att åtgärd är genomförd.
33.2.5 Din journal på nätet – förstudien
På uppdrag av CeHis har Inera AB genomfört en förstudie kring de etiska och rättsliga aspekterna för att ge patienten tillgång till sin journal över internet.4Förstudien består av två delrapporter och en slutrapport.
Förstudien har bland annat haft som mål att belysa vilka möjligheter som finns för att tillgängliggöra journalinformation via Internet till invånare och vilka juridiska, etiska och medicinska konsekvenser det kan få. En utgångspunkt i projektet har varit strategin för Nationell eHälsa, som bland annat strävar efter att alla invånare enkelt ska kunna ta del av information som rör den egna personen och kunna kommunicera och interagera med hälso- och sjukvård och socialtjänst på olika sätt.
Förstudien bygger dels på erfarenheter från projekt i Sverige och andra länder där man redan testat att göra journalinformation tillgänglig på internet, dels på egen, ny insamlad kunskap. Inom ramen för studien har man hållit seminarium, genomfört enkätundersökning bland invånare, gjort målgruppsanalyser med djupintervjuer av invånare och tagit fram en forskningsöversikt över publicerade vetenskapliga artiklar inom området.
Invånarnas behov och önskemål
Resultatet av förstudiens undersökningar bland invånare visar att de flesta har önskemål om att få ta del av sin journalinformation via internet, men att behoven kan se olika ut beroende på vilka vårdkontakter de enskilda individerna har.
De önskemål som i djupintervjuer framkom bland huvudsakligen friska personer med glesa vårdkontakter var främst att kunna överblicka sina vaccinationer, men också att kunna läsa i journalen efter ett läkarbesök för att bekräfta vad läkaren sa, både för en patient själv och ibland som närstående till exempelvis en äldre patient som har svårt att minnas och redogöra för samtalet.
4 Din journal på nätet – förstudien (Inera, 2011).
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
865
Bland gruppen med kroniska sjukdomar fanns behov av att ta del av uppgifter under vissa omständigheter. Exempelvis framkom behov av att kunna kontrollera uppgifter, att använda dem för en second opinion eller som grund för att anmäla upplevda fel eller missförhållanden.
Av förstudien framkommer även många andra möjliga behov, exempelvis att
• förstå och känna till sin diagnos och den utredning som är gjord,
• få direkt och snabbare information än i dag,
• kunna vara informationsbärare av sin egen sjukdomshistoria,
• kunna vara journalrevisor och bidra till ökad säkerhet och kvalitet, en medskapare,
• få en pedagogisk förstärkning av ett budskap via journalanteckningar,
• överblicka och förstå kommande vårdinsatser,
• kunna planera sitt liv bättre efter förväntade utredningar och vårdinsatser,
• att kunna se mönster, få en överblick, samt
• att kunna bli mer delaktig i och kunna påverka sin vård, till exempel genom att själv kunna tillföra information om exempelvis mätvärden och egenvårdsinsatser.
Sammanfattningsvis rör det första och största behovet specifika etjänster där journalinformation är en integrerad del av tjänsten tillsammans med exempelvis information från vårdens administrativa system. Det handlar bland annat om att få en samlad bild av sina läkemedel, vaccinationer, provsvar eller möjlighet att följa sina remisser.
Ytterligare ett önskemål gäller möjligheten till en allmän översikt över alla sina vårdkontakter och den relaterande journalinformationen. Här har förstudien funnit att invånare vill se både aktuella och historiska uppgifter för att själv kunna söka fram de uppgifter man vill ta del av. Att enbart visa upp patientjournalen som den ser ut i dag utan att utveckla varken presentationen av innehållet eller kommunikationen kring innehållet anses som mindre värdefullt.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
866
Förstudien visar även att invånare, över internet, vill kunna ta del av loggar över vilka som läst den egna vårddokumentationen.
I den allmänna diskussionen uttrycks ofta en oro för att patienter ska bli oroliga av att läsa sina journaler på nätet. Dels kan det handla om att språket är så svårtillgängligt att det skapar missförstånd, dels om risken för att journalinformationen beskriver något oroväckande som patienten inte känner till och som inte är lämpligt att få veta via internet utan att ha direkt tillgång till vårdpersonalens stöd och råd.
I förstudien framkommer att invånare till viss del har insikt om att informationen som skapas i vården kan vara svårtolkad, men att oron för feltolkningar och obehagliga insikter om hälsan inte verkar vara lika utbredd bland invånare som debatten ibland har gett uttryck för. Det som däremot oroar patienter är att vården skulle börja hålla viss information hemlig om journalen blev tillgänglig på Internet, dvs. att viss information skulle dokumenteras på ett annat ställe. Viss oro finns även för att själva informationen ska bli mer luddig och diffus om vårdpersonal inte vågar uttrycka sig i klartext.
Utöver transparens i informationen är frågor om personlig integritet och sekretess också områden där invånare uttrycker en viss oro över hur journalinformation över nätet kommer att hanteras.
Reflektioner från hälso- och sjukvårdens medarbetare
I förstudien har man även belyst frågorna vårdens perspektiv. Vårdens medarbetare ser både potentiella för- och nackdelar med att patienten får ta del av sin journalinformation över internet. Fördelarna beskrivs som att samarbetet med patienten kan bli mer jämlikt och individanpassat och att informationen kan ge ökad följsamhet och leda till bättre kvalitet på både informationen och på vården.
Som tänkbara nackdelar uppges att patienten kan få tillgång till känslig, och kanske inte helt verifierad information, exempelvis vid provsvar eller röntgenbilder. Oron för detta skulle i sin tur kunna leda till att vårdens medarbetare undviker att anteckna vissa arbetshypoteser, vilket skulle försämra patientsäkerheten.
Andra utmaningar som vårdpersonal ser med att göra journalinformation mer tillgänglig är till exempel att informationen inte är
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
867
pedagogiskt formulerad och därför svårbegriplig för patienten. Vidare har lyfts fram att journalsystemen inte är uppbyggda kring vårdprocesser och uppföljning utan består av en stor mängd uppgifter i kronologisk ordning, som kan vara svårt att ta till sig.
De farhågor som vården framför kring att preliminära uppgifter och arbetshypoteser kan bli synliga för patienten vid fel tillfälle och riskerar att skapa onödig oro har bland annat diskuterats av Sveriges Läkarförbund. Läkarförbundet har föreslagit ett system för rådrum avseende sådana uppgifter, vilket innebär en funktion för att märka vissa informationsmängder så att de inte utlämnas direkt, utan först då ansvarig läkare hunnit bekräfta uppgifterna och haft möjlighet att kommunicera med patienten. Senast efter 14 dagar föreslås rådrummet upphöra och informationen då göras tillgänglig för patienten, om inte ansvarig läkare manuellt har gjort den tillgänglig innan dess.
Några slutsatser från förstudien
Förstudiens slutsats är att patienter och vårdgivare i grunden vill samma sak, dvs. att bidra till och ta del av en så god vård som möjligt. Vården har en insikt om att patienterna vill ta del av den dokumentation som berör dem själva, men vill av olika skäl kunna erbjuda detta under bra och ordnade former. Patienterna har i sin tur en förståelse för vårdens behov av bra arbetsverktyg att dokumentera i, samt att vårdarbetet redan kräver en stor mängd administration som inte bör öka på grund av e-hälsotjänster på området.
I förstudien pekas även på det faktum att en individ sällan är enbart en patient inom hälso- och sjukvården utan samma person har ofta behov av kontakter med andra aktörer som skola, socialtjänst, försäkringskassa, arbetsförmedling, patientföreningar m.fl. De olika aktörerna har ibland behov av att få samlad information om, och kommunicera med varandra och med individen, exempelvis inom ett hälsoärende som innefattar både landstingets vård och kommunal omsorg. Förstudiens bedömning är att individens egna incitament att vara den som äger och ”förmedlar” informationen är starka och kan underlätta informationsöverföringen i vissa situationer.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
868
33.2.6 Hälsa för mig – ett personligt hälskonto
Regeringen har uttalat att patienter och medborgare bör få elektronisk tillgång till sin vårdinformation och ett verktyg som underlättar för den enskilde att engagera sig i sin egen hälsa och hälsoutveckling. Därför har regeringen under 2012 tagit initiativ till att utveckla och erbjuda samtliga invånare i Sverige ett personligt hälsokonto på internet, kallat Hälsa för mig. Det ska ge den enskilde en samlad tillgång till information och andra tjänster som rör deras hälsa. Syftena är bland andra att stimulera till ökat engagemang i den egna hälsan, stärka patientmedverkan i vården, öka patientsäkerheten och skapa förutsättningar för ny innovation på e-tjänsteområdet.
Regeringen skriver i ett informationsblad från den 18 oktober 2012 att ett personligt hälsokonto bedöms vara ett effektivt stöd för den enskilde vid planering, genomförande och uppföljning av livsstilsrelaterade förändringar liksom vid hälso- och sjukvårdsrelaterade händelser. Det personliga hälsokontot kan innehålla listor över förskrivna läkemedel, medicinsk information av olika slag eller information om genomförda vaccinationer. Det kan även innehålla en hälsodagbok där den enskilde kan föra in information om friskvård, egenvård, kostvanor etc. Hälsokontot ska således göra det möjligt för den enskilde att dokumentera och följa sin hälsoutveckling.
En ambition är att den enskilde ska kunna utbyta information med både vårdgivare som personen besökt eller behandlats hos, offentliga organisationer och myndigheter samt marknadens aktörer inom hälsosektorn för friskvårdsinformation som har uppgifter som berör den enskildes hälsa och hälsotillstånd och som kan vara av värde för denna.
Bland annat mot denna bakgrund har regeringen tagit initiativ till ett utvecklingsprojekt som syftar till att etablera en teknisk grundplattform för att utveckla hälsokontot. I det ingår att skapa förutsättningar för offentliga vårdgivare, privata utförare och andra entreprenörer att kunna erbjuda nya interaktiva tjänster.
Hälsa för mig ska kunna användas av alla invånare med bedöms av regeringen bli särskilt viktigt för dem som har stora vård- och omsorgsbehov och deras närstående.
Som en grundläggande förutsättning anger regeringen att den enskilde själv bestämmer vilken information som ska laddas ner och lagras i Hälsa för mig samt även vilken information som man
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
869
eventuellt vill dela med sin vårdgivare eller sina närstående. Hälsa för mig är även tänkt att ge en möjlighet att lämna frivillig information till vården om hälsa och biverkningar samt omdömen som kan användas i kvalitetsregister och i uppföljning och kvalitetssäkring av vården.
Uppdraget att driva utvecklingsprojektet Hälsa för mig har regeringen gett åt eHälsomyndigheten. I myndighetens instruktion anges bland annat att myndigheten ska ”tillhandahålla en elektronisk tjänst som ger enskilda personer möjlighet att i ett personligt hälsokonto kostnadsfritt lagra uppgifter om sin hälsa”.5
33.2.7 Internationell utblick
Även i andra länder har ett antal olika initiativ tagits för att göra patientinformation tillgänglig på Internet och/eller skapa nya vägar för att kommunicera med hälso- och sjukvården. Här ska endast kort nämnas några av de initiativen och vilka erfarenheter de visar.
Min e-journal i Danmark
I Danmark har Min e-journal funnits på nätet för patienter sedan 2007 och användningen har gradvis ökat vartefter att allt fler vårdgivare har anslutit sig. Den danska lösningen bygger på att vårdgivarna och patienterna har tillgång till samma system. Under det första kvartalet 2011 har mellan 50 000 och 60 000 patienter har loggat in på e-journal per månad. Utöver ett antal journaluppgifter kan patienten även ta del av loggar över vilka som har tagit del av journalinformationen.
I den danska lösningen har således både patienter och hälso- och sjukvårdspersonal åtkomst till patientens uppgifter i e-journalen. På sådant sätt liknar det en form av sammanhållen journal som patienten kan läsa och ta del av. Någon möjlighet för patienten att dokumentera uppgifter om sin hälsa finns inte.
Journalinformation som skapas av de hälso- och sjukvårdsaktörer som är anslutna till e-journal publiceras där med 14 dagars fördröjning. Det görs för att göra det möjligt för personal i vården att kontakta en patient om det visar sig att något är allvarligt.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
870
För barn och unga gäller att journalinformation överförs till ejournalen, men att informationen först kan ses när den unge fyller 15 år. Det är inte möjligt för vårdnadshavare att få del av sina barns e-journal. Inte heller är det möjligt för en anhörig till en patient att få tillgång till dennes e-journal.
De danska invånarna når sin e-journal på nätet via webbsidan sundhed.dk, som är en organisation som leds av staten, regionerna och kommunerna. Ansvaret för de informationsmängder som invånarna kan ta del av i e-journalen ligger på respektive region.
Förutom Min e-journal finns andra tjänster på sundhed.dk, som exempelvis ”Mit medicinkort” som ger en överblick över de mediciner den enskilde står på eller ”Mina konsultationer” som ger en överblick över besök hos läkare och annan hälso- och sjukvårdspersonal.
Kaiser Permanente (USA), My Health Manager
Utredningen har besökt Kaiser Permanente för att bland annat få en bild av organisationens informationshantering, vilken i många sammanhang lyfts fram som en förebild på området. Kaiser Permanente är den största icke-vinstdrivande sjukvårdsorganisationen i USA med omkring 9 miljoner medlemmar (patienter). Deras medlemmar har möjlighet att skapa ett konto i tjänsten My Health Manager och där ta del av olika e-tjänster. Inom ramen för My Health Manager kan patienterna välja vårdgivare, använda s.k. säker e-post för att ställa frågor och få svar från sin läkare, förnya recept, se utdrag ur sin patientjournal, se provsvar, läkemedelslista, vaccinationer m.m.
Det är även möjligt att ta del av uppgifter och utföra ärenden åt en anhörig, t.ex. en äldre förälder. För att få en sådan rättighet krävs ett samtycke från den anhörige.
För My Health Manager finns en fastställd administrativ process där den som vill öppna ett konto måste identifiera sig, ta del av information om vad som erbjuds och vad individen kan förvänta sig, godkänna användarvillkor m.m.
Kaiser Permanente kan hittills visa på en rad positiva effekter som möjligheterna i My Health Manager ger. En farhåga hade innan varit att medlemmarna skulle börja ställa en massa frågor via den säkra e-posten och därmed öka belastningen på personalen, men den farhågan har än så länge inte visat sig vara reell. Däremot
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
871
har Kaiser Permanente kunnat visa resultat på minskat antal besök i primärvården samt förbättrat blodtryck och andra värden hos de patienter som använder kontot.
En ytterligare intressant aspekt i sammanhanget är att Kaiser Permanente, trots ett digert utbud av e-tjänster inom My Health Manager, för tillfället inte erbjuder medlemmarna någon form av tjänst för personlig dokumentation.
33.3 Några reflektioner kring informationsflöden och aktörer
Genomgången ovan av olika initiativ och utvecklingsprojekt inom området visar tydligt på att det finns många olika ändamål, aktörer och kommunikationsvägar. Generellt befinner sig individen på olika sätt i navet av informationshanteringen, men personuppgiftsbehandlingen görs av en mängd olika aktörer och för en mängd olika syften.
Vidare kan konstateras att denna typ av invånartjänster som det här är fråga om ger upphov till ett antal olika informationsflöden. Vissa tjänster handlar endast om att göra information tillgänglig, medan andra tjänster även syftar till att inbjuda till kommunikation eller ge individen en möjlighet att självständigt kunna hantera och förfoga över utlämnade uppgifter.
Beroende på vilka aktörer som är inblandade och vilka typer av informationsflöden det är fråga om väcks olika rättsliga frågeställningar, t.ex. om gränser för personuppgiftsansvar eller i frågor om sekretess och hantering av allmänna handlingar. Nedan exemplifieras några av de informationsflöden som det kan handla om i den ökade kommunikationen mellan medborgare och vårdgivare eller mellan medborgare och de som bedriver socialtjänst.
Informationsflöden där individen delges information
En vårdgivare eller den som bedriver socialtjänst kan tillhandahålla information till individen genom elektroniska utlämnanden över internet. Följande exempel kan nämnas.
• Utlämnande av vårddokumentation som exempelvis ordinerade läkemedel, provsvar, diagnoser, journalanteckningar etc.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
872
• Utlämnande av beslut eller anteckningar om de insatser som utförts inom ramen för socialtjänsten.
• Utlämnande av s.k. registerutdrag.
• Utlämnande av logglistor, dvs. dokumentation om den åtkomst som förekommit till individens journaluppgifter.
Ett annat exempel på när individen delges information är när eHälsomyndigheten lämnar ut uppgifter om uthämtade läkemedel ur den s.k. läkemedelsförteckningen. I dag görs sådant utlämnande exempelvis genom en e-tjänst som nås efter inloggning i Mina vårdkontakter.
Motsvarande exempel skulle även kunna gå att finna på områden utanför vård- och omsorgssektorn. Som ett exempel kan nämnas kommunikation från myndigheter som Försäkringskassan, Skatteverket eller Arbetsförmedlingen.
Informationsflöden där individen både delges och delger information
Vårdgivaren eller den som bedriver socialtjänst kan tillhandahålla information till individen och göra det möjligt för honom eller henne att interagera och själv bidra med information genom elektronisk kommunikation. Följande exempel kan nämnas.
• Besvarande av olika former av enkäter i socialtjänsten och hälso- och sjukvården.
• Inrapportering av olika mätvärden, t.ex. för blodtryck eller blodsockervärden.
• Bokning, ombokning och avbokning av tider.
• Inrapportering av självskattning, hälsodeklarationer, livsstilsformulär m.m. inför besök hos en vårdgivare eller utförare.
• Fråge- och svarsfunktioner där medborgare kan skicka en fråga direkt till exempelvis behandlande läkare eller socialsekreterare och få svar.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
873
Informationshantering där individen dokumenterar på eget initiativ och sedan kan delge andra
En grundtanke inom ramen för flera av de i det föregående redovisade projekten och tjänsterna är att individen ska få möjligheter att själv dokumentera och hantera sådan information som individen anser är viktig för sin hälsa och sitt välmående. Det kan exempelvis göras inom ramen för en eller flera tjänster av hälsodagbokskaraktär som alla kan hanteras och lagras på ett och samma ställe. Sådan information kan sedan individen på eget initiativ välja att dela med sig av till andra.
Det kan även gå till på ett sådant sätt att en vårdgivare eller den som bedriver socialtjänst vänder sig till individen med förfrågan om sådana uppgifter som individen ursprungligen dokumenterat på eget initiativ, men som exempelvis vårdgivaren nu visar intresse för och efterfrågar.
Följande exempel kan nämnas på sådan informationshantering där individen kan dokumentera och förvalta uppgifter om sin livssituation och som även kan delas med andra i eller utanför vård- och omsorgssektorn.
• Dokumentation om friskvård, motion och andra hälsofrämjande aktiviteter.
• Dokumentation om kostvanor, alkohol, tobak m.m.
• Dokumentation om sådana receptfria läkemedel som individen tar.
• Dokumentation om välbefinnande, livskvalitet och hälsosituation i stort.
• Dokumentation om arbets- eller studiesituationen, gjorda jobbansökningar etc.
Individens egen lagringsplats
Gemensamt för exemplen ovan, oavsett om det är individen som i första skedet har dokumenterat uppgifter om sig själv för sin egen räkning eller efter uppmaning av en vård- och omsorgsaktör eller om exempelvis en vårdgivare har lämnat ut vårddokumentation till individen, är att individen för eget bruk skulle kunna hantera, samla och lagra den information som skapas. Förutom att informationen
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
874
kommuniceras med en vårdgivare, en utförare i socialtjänsten eller en annan aktör, skulle även individen kunna välja att spara informationen för eget bruk. Att förse individen med de möjligheterna är en av grundtankarna bakom flera av de redovisade utvecklingsprojekten samt regeringens initiativ med det personliga hälsokontot Hälsa för mig.
I stället för att diabetespatienten endast rapporterar in sitt senaste HbA1c-värde genom den e-tjänst vårdgivaren tillhandahåller kan patienten även vilja spara ner den informationen och lagra den tillsammans med annan information, exempelvis i ett personligt hälsokonto eller motsvarande. I en för ändamålet designad e-tjänst i sitt hälsokonto skulle individen sedan kunna få en överskådlig bild, t.ex. genom grafer, över sina blodsockervärden över tiden. Tillsammans med annan viktigt information bildas då ett för individen eget beslutsstöd kring t.ex. diabetessjukdomen. I stort sett motsvarande möjligheter finns redan i dag för de patienter inom reumatologin som använder den tidigare nämnda tjänsten PER, patientens egen registrering.
Motsvarande kan förstås gälla för alla andra exempel där individen antingen får information utlämnad eller själv bidrar med information till vård- och omsorgsaktörerna.
Relevanta aktörer och intressenter
Vi ser i dag en utveckling mot att erbjuda individen en egen lagringsplats för hälsorelaterade uppgifter, vilken på sikt kan bli själva navet för den omfattande informationshantering som görs av olika aktörer för delvis olika ändamål. För att trygga individens behov av integritet och sekretess krävs bland annat att de olika sätten att kommunicera kartläggs, analyseras och tydliggörs. Det finns behov av att identifiera gränsen mellan individens och andra inblandade aktörers personuppgiftsbehandling och personuppgiftsansvar.
De centrala aktörer som vi kan identifiera är, förutom individen själv, offentliga och privata vårdgivare, offentliga och privata verksamheter inom socialtjänsten, leverantörer av e-tjänster riktade till individen samt leverantörer av individens lagringsplats (exempelvis lagringsplatsen Hälsa för mig eller motsvarande). Ytterligare en aktör är eHälsomyndigheten, som i dag är personuppgiftsansvarig för läkemedelsförteckningen som innehåller
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
875
uppgifter om uthämtade läkemedel. Det är tillåtet för myndigheten att elektroniskt lämna ut uppgifter om uthämtade läkemedel till den enskilde individen.
Andra användare än individen kan vara individens ställföreträdare, exempelvis vårdnadshavare, eller närstående. De har också en viktig roll i detta. En vårdnadshavare kan över internet exempelvis vilja kommunicera, hantera och samla information om sina barns kontakter med vårdgivare och utförare i socialtjänsten. En närstående kan även anförtros att göra detta åt exempelvis en äldre förälder eller annan närstående person. Det kan handla om att kunna ta del av sådant som händer i förälderns vardag, t.ex. på sätt som görs i den tidigare nämnda Omsorgsdagboken. Men en närstående kan även ha en mer aktiv roll åt någon i sin närhet, t.ex. att vara den som över internet bokar tider, tar del av provsvar, följer remissgången m.m. för en annan person.
Utöver de centrala aktörerna ovan finns även ett antal tänkbara
intressenter utanför denna sfär. De kan exempelvis vara myndig-
heter som Försäkringskassan och Arbetsförmedlingen. Även forskningshuvudmän och andra kan komma att visa intresse för den information som individen förvaltar. Ytterligare en grupp intressenter kan vara andra individer, t.ex. inom ramen för en patientgruppering eller andra forum i individens sociala och privata sfär.
För att tydliggöra bilden och identifiera de legala ansvarsgränserna behövs en analys av de olika aktörernas syften och roller.
33.4 Kort genomgång av gällande rätt
Den ökade kommunikationen mellan vård- och omsorgsaktörerna och medborgarna behöver ta hänsyn till de legala förutsättningar som finns. Lagstiftningen för utlämnande av uppgifter till individer, vare sig det görs manuellt, med direktåtkomst eller genom annat elektroniskt utlämnande skiljer sig något åt mellan hälso- och sjukvården respektive socialtjänsten. I det följande redovisas en kortfattad genomgång av några grundläggande förutsättningar, som exempelvis individens rätt att ta del av information om sig själv, ifall uppgifter får lämnas ut elektroniskt samt vilka krav på säkerhetsåtgärder som kan behöva uppfyllas.
För frågor om personuppgiftsansvar hänvisas dels till vad som tidigare redovisats i förslagen till hälso- och sjukvårdsdatalag och
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
876
socialtjänstdatalag, dels till våra överväganden längre fram i detta avsnitt. Vidare berörs generella frågor om personuppgiftansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder i kapitel 10 och 25.
33.4.1 Patientens rätt att ta del av sin journal i hälso- och sjukvården
Inom den offentliga hälso- och sjukvården regleras patientens rätt at ta del av sin journal och andra handlingar och uppgifter av tryckfrihetsförordningen, förkortad TF, offentlighets- och sekretesslagen (2009:400), förkortad OSL, samt, vad gäller sättet för utlämnande, patientdatalagen (2008:355) förkortad PDL. För utlämnanden från privata vårdgivare gäller patientsäkerhetslagen (2010:659), förkortad PSL, och patientdatalagen.
Av tryckfrihetsförordningen och offentlighets- och sekretesslagen följer att en patient i princip alltid har rätt att ta del av uppgifter om sig själv. Undantag gäller, enligt 25 kap. 6 § OSL, i förhållande till den vård- och behandlingsbehövande själv om uppgifter om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården och behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne. Om detta undantag inte är tillämpligt ska journalen lämnas ut till patienten och om undantaget är tillämpligt endast för delar av journalen ska journalen lämnas ut i övriga delar.
I 2 kap. 12 och 13 §§ TF anges närmare när och på vilket sätt journalen ska lämnas ut. Av bestämmelserna följer bland annat att ett utlämnande ska göras genast eller så snart som möjligt och att patienten har rätt att få en avskrift eller en kopia av journalen.
För privata vårdgivare gäller enligt 8 kap. 2 § nu gällande patientdatalag att en journalhandling ska på begäran av patienten eller av en närstående till patienten så snart som möjligt tillhandahållas honom eller henne för att läsas eller skrivas av på stället eller i avskrift eller kopia, om inte annat följer av 6 kap. 12 § eller 13 § första stycket PSL. Bestämmelsen i 6 kap. 12 § PSL motsvarar bestämmelsen i 25 kap. 6 § OSL och innebär således att tystnadsplikt gäller i förhållande till patienten själv, om det med hänsyn till ändamålet med hälso- och sjukvården är av synnerlig vikt att uppgiften inte lämnas till patienten.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
877
Av patientdatalagen följer även att frågor om utlämnande av en journalhandling från en privat vårdgivare ska prövas av den som är ansvarig för journalhandlingen. Anser den ansvarige att journalhandlingen eller någon del av den inte bör lämnas ut, ska han eller hon genast med eget yttrande överlämna frågan till Socialstyrelsen för prövning. Med den som ansvarar för journalen avses enligt förarbetena den som enligt föreskrift är skyldig att föra journalen eller se till att journalen förs. Om den som ansvarade för journalen vid behandlingstillfället inte längre tjänstgör, får hans eller hennes efterträdare i verksamheten regelmässigt anses ha övertagit ansvaret för journalen.6
33.4.2 Elektroniskt utlämnande av uppgifter till patienten
Även om patienten har en grundläggande rätt att ta del av sin patientjournal och andra uppgifter har patienten ingen rätt att kräva att uppgifterna ska utlämnas elektroniskt.
För offentliga och privata vårdgivare finns dock möjligheter enligt patientdatalagen att lämna ut uppgifterna på medium för automatiserad behandling. Ett sådant utlämnande kan exempelvis göras genom elektronisk filöverföring, USB-minne eller annat.
Dessutom har i och med patientdatalagen gjorts möjligt för vårdgivare att medge en patient direktåtkomst till sådana uppgifter om den enskilde som får lämnas ut till honom eller henne och som av vårdgivaren behandlas för ändamålet vårddokumentation. Under samma förutsättningar får vårdgivare medge en patient direktåtkomst till s.k. logglistor, det vill säga dokumentation över den åtkomst som förekommit till patientens uppgifter. För att understryka att en sekretessprövning enligt offentlighets- och sekretesslagen och patientsäkerhetslagen är nödvändig i samband med att uppgifter görs tekniskt åtkomliga för patienten anges i patientdatalagen att det är fråga om uppgifter ”som får lämnas ut till den enskilde”.
Patientdatautredningen uppmärksammade några faktorer som eventuellt skulle kunna vara till nackdel för vissa individer ifall vårdgivaren fick möjlighet att medge patienten direktåtkomst.7En sådan faktor var risken för att patienten skulle missförstå informationen och en annan var att det kan finnas risk för att vissa
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
878
patienter utsätts för påtryckningar från t.ex. närstående eller blivande arbetsgivare att visa dem uppgifterna. Ett sätt att begränsa sådana risker var enligt patientdatautredningen att inte göra uppgifterna allt för lätt tillgängliga. I sammanhanget anförde patientdatautredningen bland annat följande.8
Uppgifter om en patient behöver ju inte med automatik finnas tillgängliga för denne via Internet enbart därför att en vårdgivare erbjuder sina patienter möjlighet att få direktåtkomst till patientuppgifter. Tillgängligheten bör istället förutsätta att patienten inledningsvis på något sätt framfört önskemål till vårdgivaren om att få direktåtkomst till sina uppgifter. Denna förutsättning kommer sannolikt även innebära att det framför allt är de lite mer intresserade patienterna som kommer att ha direktåtkomst till sina patientuppgifter. En framställan om ett önskemål förutsätter ju överväganden från den enskildes sida och ett aktivt handlande. Det ger även vårdgivaren tillfälle att informera patienten om t.ex. vart han eller hon kan vända sig för att få hjälp att tyda uppgifterna. För tydlighetens skull kan tilläggas att vår tanke inte är att det skall krävas en formell ansökan från patienten som utmynnar i ett slags tillstånd. Alla patienter som framför önskemål till en vårdgivare som erbjuder sina patienter möjlighet att få direktåtkomst till patientuppgifter ska alltså kunna få sådan åtkomst.
33.4.3 Krav på säkerhetsåtgärder m.m. i hälso- och sjukvården
Med hänsyn till behovet av skydd för den personliga integriteten krävs vissa säkerhetsåtgärder för att vårdgivare ska få lämna ut vårddokumentation till patienter genom utlämnande på medium för automatiserad behandling eller med direktåtkomst.
Det måste exempelvis finnas tillräckligt säkra tekniska lösningar för att säkerställa identiteten, dvs. att den som efterfrågar uppgifter verkligen är den person denne utger sig för att vara. En annan central säkerhetsåtgärd som krävs är att skydda kommunikationen av uppgifterna från insyn, exempelvis genom kryptering, ifall de lämnas ut elektroniskt.
Patientdatautredningen anförde dessutom att det bör finnas tekniska lösningar att spärra uppgifter som inte kan lämnas ut till en patient på grund av att de är sekretessbelagda eller omfattas av tystnadsplikt i förhållande till patienten.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
879
Socialstyrelsens föreskrifter
Förutom att de grundläggande kraven i 31 § personuppgiftslagen (1998:204), förkortad PUL, på organisatoriska och tekniska säkerhetsåtgärder för att skydda personuppgifter, har Socialstyrelsen utfärdat föreskrifter om krav på säkerhetsåtgärder vid kommunikation med enskilda. Av 2 kap. 5 § Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården följer krav på vårdgivare som använder öppna nät (t.ex. internet eller Sjunet) på att ansvara för att det i ledningssystemet finns rutiner som säkerställer att
1. överföring av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna, och
2. åtkomst till patientuppgifter föregås av stark autentisering. Vidare framgår att vårdgivaren i sin informationssäkerhetspolicy får besluta om undantag från kraven i punkten 1 ovan, för överföring till patienter av påminnelser och kallelser till vård och behandling. Ett sådant beslut ska föregås av en behovs- och riskanalys. En överföring av en påminnelse eller en kallelse får dessutom endast göras efter att patienten har gett sitt medgivande. Överföringen får heller inte avslöja detaljer om en patients hälsotillstånd eller andra personliga förhållanden.
I föreskrifterna förtydligas även säkerhetskraven vid enskildas direktåtkomst. Av 2 kap. 13 § följer att vårdgivaren ska säkerställa att en enskilds direktåtkomst till sina patientuppgifter och till dokumentation om åtkomst (logglistor) endast tillåts efter att den enskilde har identifierats genom stark autentisering.
Vidare anges i 14 § samma kapitel att den vårdgivare som medge en enskild direktåtkomst till sina patientuppgifter även ska ansvara för att det finns ett system för bedömning av de uppgifter som kräver ett särskilt skydd i förhållande till den enskilde och som inte ska kunna lämnas ut genom direktåtkomst.
Om vårdgivaren endast medger den enskilde en begränsad direktåtkomst till sina patientuppgifter, ska vårdgivaren informera den enskilde om detta. Vårdgivaren ska även upplysa patienten om vart han eller hon kan vända sig för att få hjälp med att förstå dokumentationen.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
880
33.4.4 Individens rätt till uppgifter om uthämtade läkemedel
Förutom patientens rätt att ta del av uppgifter i sin patientjournal och vårdgivarnas möjligheter att lämna ut uppgifterna genom direktåtkomst eller annat elektroniskt utlämnande har individen även en rätt att ta del av uppgifter om de läkemedel som han eller hon hämtat på apotek.
Enligt lagen (2005:258) om läkemedelsförteckning ska eHälsomyndigheten föra ett register över köp av förskrivna läkemedel (läkemedelsförteckning). Med köp avses även förvärv av läkemedel med fullständig kostnadsreducering.
Läkemedelsförteckningen innehåller bland annat uppgifter om den enskildes namn och personnummer, inköpsdag, vara, mängd och dosering. Den registrerade har enligt lagens 11 § rätt att när som helst få ett s.k. registerutdrag enligt 26 § PUL, dvs. information om de uppgifter om individen som behandlas i läkemedelsförteckningen. Ett sådant utlämnande till individen, av uppgifter om individen själv, får göras antingen manuellt, på medium för automatiserad behandling eller genom direktåtkomst.
En privatperson har i dag möjlighet att få ett utdrag ur läkemedelsförteckningen genom att legitimera sig på ett apotek. För individer som har anslutit sig och skapat ett konto på Mina vårdkontakter finns möjlighet att efter inloggning med elegitimation ta del av sin läkemedelsförteckning. Där presenteras även en lista över de personer som har läst den enskildes läkemedelsförteckning och när detta gjordes.
33.4.5 Individens rätt till information i socialtjänsten
Inom den offentligt drivna socialtjänsten regleras individens rätt att ta del av uppgifter om sig själv av tryckfrihetsförordningen och offentlighets- och sekretesslagen. För utlämnanden från privata utförare av socialtjänst gäller socialtjänstlagen och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS.
Av tryckfrihetsförordningen och offentlighets- och sekretesslagen följer att en individ i princip alltid har rätt att ta del av uppgifter om sig själv.
I 2 kap. 12 och 13 §§ TF anges närmare när och på vilket sätt uppgifter ska lämnas ut. Av bestämmelserna följer bland annat att
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
881
utlämnande ska göras genast eller så snart som möjligt och att individen har rätt att få en avskrift eller en kopia av journalen.
Vidare finns bestämmelser i 11 kap. SoL om handläggning av ärenden. I kapitlets 7 § anges bland annat att dokumentation ska utformas med respekt för den enskildes integritet och att den enskilde bör hållas underrättad om de journalanteckningar och andra anteckningar som förs om honom eller henne.
När det gäller myndighetsutövningen inom socialtjänsten ska bland annat förvaltningslagens (1986:223) bestämmelser om parts rätt att få ta del av uppgifter och underrättelser av beslut tillämpas.
Av 7 kap. 4 § SoL följer att en handling i en personakt i privat verksamhet som står under Inspektionens för vård och omsorg tillsyn ska, om det begärs av individen, så snart som möjligt tillhandahållas för läsning eller avskrivning på stället eller i avskrift eller kopia. Motsvarande bestämmelser finns även i lagen om stöd och service till vissa funktionshindrade.
För socialtjänstens del finns inte någon motsvarande bestämmelse som den för hälso- och sjukvården, om att sekretess i vissa fall kan gälla även gentemot individen själv.
33.4.6 Elektroniskt utlämnande till individen i socialtjänsten
I lagen (2001:454) om behandling av personuppgifter inom socialtjänsten saknas motsvarande bestämmelser som finns i patientdatalagen om utlämnande genom direktåtkomst eller på medium för elektronisk behandling. Lagen hänvisar endast, genom 8 §, att de begränsningar som följer av offentlighets- och sekretesslagen, socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade gäller vid utlämnande av personuppgifter som finns inom socialtjänsten.
Dessa bestämmelser handlar endast om frågan ifall uppgifter får lämnas ut, inte om frågan hur de i sådant fall får lämnas ut. Avsaknaden av bestämmelser innebär inte att det är omöjligt att elektroniskt lämna ut uppgifter i socialtjänsten. Utlämnande av uppgifter på medium för automatiserad behandling är en form av behandling av personuppgifter enligt 3 § PUL, som är tillåten om utlämnandet görs i enlighet med de ändamål som är bestämda för personuppgiftsbehandlingen och att kraven på informationssäkerhetsåtgärder iakttas. Dessutom måste utlämnandet göras med beaktande av bestämmelser om sekretess och tystnadsplikt.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
882
Sammanfattningsvis gäller således att uppgifter i socialtjänsten kan lämnas ut elektroniskt om personuppgiftsbehandlingen som sådan är tillåten samt att det inte föreligger någon sekretessen för uppgifterna. Det innebär att det i praktiken inte föreligger några hinder för socialtjänsten att på begäran av den enskilde lämna ut uppgifter om honom eller henne på medium för elektronisk behandling. Så länge som kraven på informationssäkerhet upprätthålls.
Inte heller kan en avsaknad av bestämmelser som ger den enskilde en möjlighet till direktåtkomst till uppgifter i socialtjänsten anses förhindra att en utförare av socialtjänst medger enskilda just sådan åtkomst. För hälso- och sjukvårdens del fanns innan patientdatalagen en begränsande regel i dåvarande vårdregisterlagen (1998:544), som innebar att endast den som behövde tillgång till uppgifterna för att kunna utföra sitt arbete fick ha direktåtkomst till uppgifterna. Bestämmelsen tolkades av Datainspektionen och domstolar på ett sådant sätt att det inte bedömdes vara möjligt att låta patienten få direktåtkomst till uppgifter om sig själv, eftersom patienten inte kunde sägas behöva uppgifterna för sitt arbete. Någon sådan motsvarande bestämmelse finns däremot inte på socialtjänstens område.
Utredningen ser därför inga rättsliga hinder för socialnämnder eller privata utförare att erbjuda enskilda individer direktåtkomst till uppgifter om sig själv. Detta givetvis under förutsättning att den enskilde är identifierad på ett tillräckligt säkert sätt och att övriga åtgärder för att skydda uppgifterna från obehörig åtkomst har vidtagits.
33.4.7 Krav på säkerhetsåtgärder m.m. i socialtjänsten
Det saknas särskilda bestämmelser om säkerhetsåtgärder i lagen om behandling av personuppgifter inom socialtjänsten. Genom lagens hänvisning till personuppgiftslagen står det dock klart att de grundläggande kraven på organisatoriska och tekniska säkerhetsåtgärder som följer av 31 § PUL gäller för hantering av uppgifter i socialtjänsten.
Av den bestämmelsen och praxis från Datainspektionen har bland annat slagits fast känsliga personuppgifter om hälsa eller personuppgifter som av andra skäl är integritetskänsliga, t.ex. för att de omfattas av sekretess, endast får lämnas ut via öppna nät till
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
883
identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering (exempelvis e-legitimation), engångslösenord eller motsvarande. Dessutom ska personuppgifterna vara krypterade vid överföring.
En följd av detta är att uppgifter från socialtjänsten inte får lämnas ut över internet till den enskilde, med mindre än att uppgifterna är krypterade vid överföringen och att den enskilde kan styrka sin identitet genom stark autentisering. Sådana uppgifter bör i regel, för det fall de inte är att betrakta som känsliga personuppgifter enligt personuppgiftslagen, åtminstone anses vara särskilt integritetskänsliga och därmed särskilt skyddsvärda.
33.5 Våra överväganden och förslag
Den ökade elektroniska kommunikationen mellan aktörer inom hälso- och sjukvård och socialtjänst och enskilda medborgare ger upphov till en rad rättsliga frågeställningar av olika karaktär, som exempelvis rörande personuppgiftsansvar, förutsättningar för direktåtkomst, sekretess och hantering av allmänna handlingar.
Flera av frågorna är inte nya och är delvis redan omhändertagna i lagstiftningen. Samtidigt kan konstateras att den rådande utvecklingen ger upphov till nya frågor om lagstiftningens närmare tillämpning. Vidare kan det finnas skäl att så långt möjligt harmonisera regelverken vad gäller utlämnande av information till enskilda inom socialtjänsten och hälso- och sjukvården.
33.5.1 Direktåtkomst för enskilda i socialtjänsten
Vårt förslag: En bestämmelse i socialtjänstdatalagen ska ange
att den som bedriver verksamhet inom socialtjänsten får medge enskild direktåtkomst till personuppgifter om henne eller honom. Den enskilde får även medges direktåtkomst till dokumentation om åtkomst. Regeringen eller den myndighet som regeringen bestämmer, får meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid enskildas direktåtkomst.
Hänvisning: Ytterligare frågor om den enskildes möjlighet att
förfoga över sin direktåtkomst, t.ex. genom att låta andra ta del av uppgifter om den enskilde, behandlas i avsnitt 33.5.11.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
884
Inom socialtjänstens område saknas uttryckliga bestämmelser om förutsättningarna för att lämna ut uppgifter till enskilda genom direktåtkomst. Nuvarande lag om behandling av personuppgifter inom socialtjänsten hänvisar endast till att de begränsningar som följer av offentlighets- och sekretesslagen, socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade gäller vid utlämnande av personuppgifter som finns inom socialtjänsten. För socialtjänstens del finns inte någon motsvarande bestämmelse som den för hälso- och sjukvården om att sekretess i vissa fall kan gälla även mot individen själv. Utredningen har i genomgången av gällande rätt även konstaterat att nuvarande regelverk, trots avsaknad av uttryckliga bestämmelser om direktåtkomst för enskilda, inte kan anses förhindra en sådan direktåtkomst. Däremot kan en avsaknad av bestämmelser riskera att skapa en osäkerhet för vad som gäller hos dem som ska tillämpa lagstiftningen. Dessutom kan det förhållandet att det för hälso- och sjukvårdens del uttryckligen regleras, ge upphov till en sådan osäkerhet. Mot den bakgrunden finns det skäl att harmonisera lagstiftningarna även i dessa delar.
Utredningens bedömning är även att en tydlig reglering kan utgöra en viktig signal för att stimulera en utveckling av fler etjänster som på olika sätt kan öka servicen och tillgängligheten gentemot invånarna samt stärka den enskildes inflytande och delaktighet i socialtjänsten. Nu när vi föreslår en helt ny socialtjänstdatalag med ett antal olika bestämmelser om utlämnande genom direktåtkomst har även bestämmelser om direktåtkomst för enskilda en naturlig och självklar plats. Sammantaget gör det att vi föreslår bestämmelser på socialtjänstens område som i allt väsentligt överensstämmer med motsvarande bestämmelser i hälso- och sjukvården.
Enligt utredningens förslag ska en enskild kunna medges direktåtkomst till sina egna uppgifter som behandlas av den som bedriver verksamhet inom socialtjänsten. Utredningen ser inte något behov av att införa en skyldighet för den som bedriver verksamhet inom socialtjänsten att tillhandahålla enskild direktåtkomst till uppgifter utan endast en möjlighet till detta. Det finns naturligtvis inget hinder mot att uppgifter om den enskilde även lämnas ut på medium för automatiserad behandling.
Den som bedriver verksamhet inom socialtjänsten ska ha en frihet att själv avgöra om och i vilken omfattning enskilda ska
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
885
erbjudas direktåtkomst. Det behöver således inte röra samtliga uppgifter rörande enskilda utan det kan mycket väl röra sig om avgränsade informationsmängder som exempelvis kontaktuppgifter till socialtjänsten, biståndsbeslut, genomförandeplaner, dokumentation av genomförande av beslutade insatser m.m. Detta innebär att enskilda kan medges direktåtkomst såväl till sådana uppgifter som behandlas i samband med utredningar eller biståndsbedömning som uppgifter som behandlas vid genomförande av beslutade insatser. Även sådana uppgifter som den som bedriver socialtjänst behandlar med stöd av den enskildes samtycke, får lämnas ut genom direktåtkomst.
Enligt den bestämmelse som vi föreslår ska utlämnande genom direktåtkomst endast avse uppgifter om den enskilde själv. Det innebär att det saknas stöd för att till den enskilde lämna ut sådana uppgifter om andra personer som kan återfinnas i socialtjänstens dokumentation rörande den enskilde. Som exempel kan nämnas uppgifter rörande familjemedlemmar, närstående eller andra uppgiftslämnare. Enligt 26 kap. 5 § OSL gäller även sekretess för uppgift i anmälan eller utsaga av en enskild om någons hälsotillstånd eller andra personliga förhållanden, i förhållande till den som anmälan eller utsagan avser, om det kan antas att fara uppkommer för att den som har lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt med om uppgiften röjs. Det innebär att den som bedriver verksamheten alltid måste göra en bedömning om sådana uppgifter finns bland den information som man har för avsikt att lämna ut genom direktåtkomst och om uppgifterna i sådant fall omfattas av sekretess. Med hänsyn till behovet av skydd för uppgiftslämnare och anmälare behöver den som bedriver verksamheten därför ha rutiner som säkerställer att sådana uppgifter inte lämnas ut genom direktåtkomst om de omfattas av sekretess.
Vidare framgår av den föreslagna bestämmelsen att den enskilde får medges direktåtkomst till sådan dokumentation som avser personalens elektroniska åtkomst till den enskildes uppgifter (behandlingshistorik, logglistor). Genom en sådan åtkomst kan den enskilde själv bilda sig en uppfattning om den åtkomst till uppgifterna som förekommit.
Regeringen, eller den myndighet som regeringen bestämmer, bör få meddela föreskrifter om krav på säkerhetsåtgärder som ska gälla vid direktåtkomst. För att den enskilde ska kunna medges direktåtkomst krävs att det finns tillräckligt säkra tekniska lös-
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
886
ningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Det är tänkt att Socialstyrelsen efter samråd med Datainspektionen ska meddela sådana föreskrifter. På hälso- och sjukvårdens område följer krav på säkerhetsåtgärder av Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.
För ytterligare frågor om enskildas möjligheter att förfoga över direktåtkomsten, exempelvis genom att låta någon annan ta del av den enskildes uppgifter genom direktåtkomst, se vidare avsnitt 33.5.11.
33.5.2 Direktåtkomst för patienter och frågan om sekretess mot patienten själv
Vårt förslag: Bestämmelserna i 25 kap. 6 § OSL och i 6 kap.
12 § andra stycket PSL om sekretess och tystnadsplikt gentemot patienten själv ska tas bort.
Patientdatalagens nuvarande bestämmelse om enskildas direktåtkomst till uppgifter om dem själva förs över till hälso- och sjukvårdsdatalagen, men anpassas med anledning av vårt förslag om att ta bort sekretessen mot patienten själv. Vidare tas den nu gällande begränsningen om att patienten endast får medges direktåtkomst till uppgifter som behandlas för ändamålet vårddokumentation bort. Patientens möjlighet att få direktåtkomst till loggar överförs oförändrad från patientdatalagen. På samma sätt som i dag får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid enskildas direktåtkomst.
Hänvisning: Ytterligare frågor om den enskildes möjlighet att
förfoga över sin direktåtkomst, t.ex. genom att låta andra ta del av uppgifter om den enskilde, behandlas i avsnitt 33.5.11
Inledning
Normalt gäller inte sekretess till skydd för en enskild i förhållande till den enskilde själv. I hälso- och sjukvården finns dock bestämmelser i offentlighets- och sekretesslagen samt patient-
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
887
säkerhetslagen som i vissa fall medför att sekretess kan bedömas föreligga även gentemot den enskilde själv. Bestämmelsen i 25 kap. 6 § OSL lyder som följer.
Sekretessen enligt 1–5 §§ gäller i förhållande till den vård- eller behandlingsbehövande själv för uppgift om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne.
Bestämmelsen är ingalunda ny, utan har funnits i sin nuvarande utformning alltsedan ikraftträdandet av 1980-års sekretesslag. I propositionen 1979/80:2 anförs att bestämmelsen bör utformas mycket restriktivt och att det endast i rena undantagsfall bör komma ifråga att en myndighet under hänvisning till en enskildes bästa vägrar den enskilde att ta del av uppgifter om sig själv. Bland annat framgår följande.9
Den förtroendefulla samverkan mellan medicinalpersonal och patient som bör prägla allt vård- och behandlingsarbete kan knappast främjas av en ordning som innebär att det i inte helt obetydlig omfattning är möjligt att vägra patienten att ta del av sin egen behandlingsjournal. Skadeverkningar bör istället i största möjliga utsträckning förebyggas genom att den som gör anteckningar i journalen utformar dessa med beaktande av att patienten kan komma att läsa dem. Enligt promemorian kan det emellertid inte uteslutas att det i undantagsfall kan föreligga ett medicinskt betingat behov av en möjlighet att låta journalsekretessen gälla också i förhållande till patienten själv. En sådan regel bör dock utformas mycket restriktivt. ---- Förutsättningarna för att journalen ska kunna undanhållas en patient har i promemorieförslaget getts en något snävare avgränsning än enligt gällande rätt. Enligt förslaget krävs att det är av synnerlig vikt med hänsyn till vården och behandlingen att uppgiften inte lämnas till patienten. Dessutom gäller att det skall vara fråga om pågående vård eller behandling. En tillfrisknad person skall enligt promemorian inte kunna vägras tillgång till sin journal med den motiveringen att kunskap om dennas innehåll skulle kunna föranleda att han insjuknade på nytt. Enligt promemorian måste det anses vara från principiell synpunkt riktigast att en person som inte är föremål för någon vård eller behandling ges rätt att själv fatta de beslut som kan ha betydelse för hans hälsotillstånd.
För den privata hälso- och sjukvårdens del finns en motsvarande bestämmelse i 6 kap. 12 § andra stycket PSL. Enligt den bestäm-
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
888
melsen gäller tystnadsplikt även i förhållande till patienten själv, om det med hänsyn till ändamålet med hälso- och sjukvården är av synnerlig vikt att uppgiften inte lämnas till patienten. Eftersom bestämmelsen är av samma innebörd som motsvarande bestämmelse i offentlighets- och sekretesslagen talas i det följande endast om den bestämmelsen.
Problembeskrivning
Det kan å ena sidan konstateras att tillämpningsområdet för bestämmelsen om sekretess mot patientens själv är väldigt snävt. Det ska således röra sig om en situation när den enskilde är föremål för pågående vård och där det med hänsyn till ändamålet med den pågående vården och behandlingen är av synnerlig vikt att uppgift om den enskildes eget hälsotillstånd inte lämnas till honom eller henne.
Å andra sidan kan bestämmelsens tillämpningsområde betraktas som mycket vidsträckt när den ställs i relation till användningen av den typ av e-tjänster vi talar om här. E-tjänster som mer eller mindre automatiskt lämnar ut och tar emot uppgifter till och från patienter. Åtminstone teoretiskt kan sekretessbestämmelsen bli tillämplig så fort en vårdgivare lämnar ut aktuella uppgifter om exempelvis provsvar, journalanteckningar, läkemedel, remissvar m.m. till patienter. Detta oavsett om de uppgifter som lämnas ut har påverkan på ändamålet med patientens vård eller behandling. Bara det faktum att uppgifterna kan göra det innebär sannolikt att det krävs rutiner för sekretessprövning i varje enskilt fall.
Från andra sektorer i samhället lämnas i dag sekretessbelagda uppgifter ut till individer genom smidiga elektroniska lösningar över internet. Som exempel kan nämnas Skatteverket och Försäkringskassan. Även de myndigheterna hanterar individinformation som omfattas av sekretess och måste då vid utlämnande göra någon form av sekretessprövning. Prövningen bör dock, till skillnad från vad som gäller i hälso- och sjukvården, i princip kunna begränsas till frågan om den som efterfrågar informationen verkligen är identisk med den som informationen rör. Ur ett sekretessperspektiv blir det viktiga således att säkerställa att ingen annan än den enskilde får uppgifterna utlämnade till sig. En sådan typ av sekretessprövning kan givetvis omsättas i en automatisk elektronisk kontroll, t.ex. genom att villkora ett utlämnande med att den
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
889
som efterfrågar informationen identifierar sig med e-legitimation eller motsvarande lösning för stark autentisering.
För hälso- och sjukvårdens del gäller dock att sekretessprövningen inte enbart ska innefatta kontroller av identiteten hos mottagaren utan även av de omständigheter som kan förhindra ett utlämnande enligt 25 kap. 6 § OSL. Det är något som sannolikt är komplicerat, eller kanske till och med omöjligt, att helt automatisera.
Utredningens uppfattning är att sekretessbestämmelsen gentemot patienten själv kan hindra användningen av effektiv teknik för kommunikation mellan vården och medborgarna. Det är därför nödvändigt, inte minst mot bakgrund av regeringens strävanden att på olika sätt stärka patientens ställning, att analysera om bestämmelsen fortfarande är ändamålsenlig eller om den bör tas bort.
Tillämpningen av sekretessbestämmelsen i dag
Det har inte varit möjligt för utredningen att få fram bred statistik över hur ofta eller i vilka situationer den aktuella sekretessbestämmelsen i själva verket tillämpas i dag. En fingervisning i sammanhanget kan hämtas från den tidigare redogjorda uppgiften från Landstinget i Uppsala län, där man enligt egen uppgift lämnade ut 11 000 journaler under 2011. Fem av dessa journaler gick till chefläkare för bedömning, vartefter beslut om att hemlighålla uppgifter fattades i ett av fallen.
Flera av de enskilda kontakter vi haft med hälso- och sjukvårdspersonal pekar i samma riktning, antingen har man aldrig hört att den tillämpats eller så känner man till ett fåtal gånger när uppgifter har hemlighållits med hänvisning just till denna bestämmelse.
Det har även framkommit att det verkar råda en osäkerhet om hur bestämmelsen ska tillämpas. Bland annat har berättats att bestämmelsen har använts för att inte lämna ut journaluppgifter som har varit formulerade på ett sätt man befarat skulle kunna ha gjort patienten arg, kränkt eller orolig. Det verkar också förekomma en viss sammanblandning mellan den nu aktuella sekretessbestämmelsen och den som ger skydd för uppgiftsutlämnare.
Till stöd för bestämmelsen har genom åren framförts dess betydelse inom psykiatrin. I den allmänna debatten har inte sällan
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
890
sagts att det är nödvändigt att hemlighålla vissa uppgifter för den som lider av svåra psykiska besvär. Annars skulle förutsättningarna för patienters vård- och behandling riskera att försämras, eller att patienter till och med skulle kunna vidta åtgärder som är farliga för dem själva. Vid utredningens kontakter med företrädare för psykiatrin har denna bild däremot blivit ifrågasatt. Tvärtom anförs att en förutsättning för en framgångsrik vård och behandling är ett förtroende och en transparens mellan vårdpersonalen och patienten. Någon generell risk för att det skulle vara farligt för patienter inom psykiatrin att ta del av uppgifter om deras hälsotillstånd bedömer man inte föreligga.
Bestämmelsen bör tas bort
Det är otvetydigt att det finns omständigheter som talar för att bestämmelsen om sekretess mot patienten själv inte bör finnas kvar. Det kan ifrågasättas om den verkligen är ändamålsenlig i en tid när mycket av utvecklingsarbetet går mot att sätta patienten i centrum, utgå ifrån patientens process och på olika sätt stärka dennes ställning i hälso- och sjukvården. En förutsättning för att kunna ge patienten en större insikt i sin hälsosituation och på olika sätt stimulera till att öka patientens delaktighet och inflytande i vården är bl.a. att patienten har tillgång till rätt information. Öppenhet i relationen och kommunikationen mellan vården och patienterna är generellt sett en nödvändig ingrediens i denna utveckling.
Till stöd för att ta bort bestämmelsen kan även tas de överväganden som gjordes i samband med dess införande i 1980-års sekretesslag och som har redovisats ovan. Det uttalades tydligt att bestämmelsen skulle utformas restriktivt och endast tillämpas i rena undantagsfall. De praktiska möjligheterna att tillämpa bestämmelsen på ett sådant sätt är väsentligt förändrade i dag jämfört med tidigare när det var fråga om en manuell informationshantering.
Samtidigt kan det naturligtvis inte uteslutas att det kan uppstå enskilda situationer där ett hemlighållande av uppgifter skulle kunna vara motiverat. Men det är sannolikt att behovet av ett sådant hemlighållande är i det närmaste försvinnande litet. I förarbetena till bestämmelsen anförs inte bara att bestämmelsen bör tillämpas endast i undantagsfall, utan också att skadeverkningar istället bör förebyggas genom att den som gör anteckningar i
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
891
journalen utformar dessa med beaktande av att patienten kan komma att läsa dem. Dessa uttalanden och ställningstaganden gjordes för drygt trettio år sedan, i en tid när patientens ställning i hälso-och sjukvården generellt kan betraktas som betydligt svagare än vad som är fallet i dag. Att patienten kan komma att ta del av uppgifter och att anteckningar i en patientjournal så långt möjligt ska utformas så att patienten förstår dem, får i dag betraktas som självklara och grundläggande förutsättningar.
Vidare är vår uppfattning att det snarare kan finnas behov av att anpassa informationsinsatserna efter patientens aktuella situation och hälsotillstånd än att hemlighålla uppgifterna. Det kan inte uteslutas att det finns en risk att dagens bestämmelse i viss utsträckning kan motverka sådana individuella informationsinsatser genom att istället tillämpa bestämmelsen och ”lägga locket på”. En naturlig utveckling mot en mer patientcentrerad hälso- och sjukvård vore att tillhandahålla individuellt anpassad information i sådana situationer det bedöms påkallat med hänsyn till patientens hälsotillstånd.
I sammanhanget kan även nämnas att motsvarande bestämmelse har funnits i Danmark, men att den togs bort under 2010. Den nuvarande danska bestämmelsen innebär dock att den tidigare sekretessbestämmelsen ska tillämpas på uppgifter som är dokumenterade före den nya bestämmelsens ikraftträdande 2010. En relevant fråga är om den valda lösningen i Danmark, dvs. att uppgifter som där är dokumenterade under en tid med föregående sekretessbestämmelse fortfarande ska omfattas av sekretess och tystnadsplikt, kan vara en lämplig väg att gå även för svensk del. Utredningen har övervägt detta, men funnit att det finns sådana grundläggande skillnader mellan den danska ursprungsbestämmelsen och bestämmelsen i 25 kap. 6 § OSL, att det inte framstår som ett lämpligt alternativ.
Motiven bakom den danska lösningen var framför allt att ta hänsyn till uppgifter som var dokumenterade på ett visst sätt under en tid då det fanns möjlighet att hemlighålla uppgifter för patienten. Bestämmelsen i offentlighets- och sekretesslagen tar dock inte alls tar sikte på hur en uppgift är formulerad, utan endast på att det ska röra en uppgift om hälsotillstånd avseende en patient som är under pågående vård och behandling. Därför gör sig inte samma skäl gällande i Sverige. Det saknas enligt vår uppfattning befogade skäl att låta uppgifter hemlighållas för den enskilde endast på grund av att de är formulerade på ett visst sätt.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
892
Sammantaget gör utredningen bedömningen att risken med att ta bort bestämmelsen väger förhållandevis lätt jämfört med de vinster som skulle uppkomma, såväl vad gäller ökade fundamentala patienträttigheter som möjligheterna för patienter att med effektiva och säkra e-tjänster kunna ta del av för individen viktig information om sitt hälsotillstånd. Många individer förutsätter att det i dag ska gå att hantera uppgifter om hälsa på motsvarande sätt som uppgifter om ekonomi, skatter, socialförsäkringsförmåner osv. Ur ett rent patienträttighetsperspektiv skulle ett borttagande av bestämmelsen ytterligare befästa patientens ställning och dennes rätt till samma information om sig själv som hälso- och sjukvårdspersonalen har. Eftersom bestämmelserna är teknikneutrala skulle ett borttagande föra med sig att det ur ett sekretesshänseende blir oväsentligt om patienten efterfrågar uppgifter muntligt, på papper eller på elektronisk väg. Det går heller inte att bortse ifrån att ett upphävande av bestämmelsen kan komma att ha en positiv inverkan såväl på dokumentationen i hälso- och sjukvården som för vårdens sätt att kommunicera med patienten.
Sammanfattningsvis föreslår utredningen således att bestämmelserna om sekretess och tystnadsplikt gentemot patienten själv i 25 kap. 6 § OSL och i 6 kap. 12 § andra stycket PSL ska upphävas.
Med detta sagt vill vi även understryka att förslaget inte innebär att patienter automatiskt, utan att själva ha efterfrågat det, ska få del av uppgifter från hälso- och sjukvården. Att bestämmelsen tas bort innebär endast att en vårdgivare inte kan neka en patient att ta del av uppgifter om sig själv om patienten begär att få ta del av dem. Vidare påverkar förslaget inte heller frågan om uppgifter ska lämnas ut manuellt, genom direktåtkomst eller på medium för automatiserad behandling. Det står vårdgivare fritt att själv fatta beslut i frågor om tillvägagångssättet för utlämnande. Många gånger bör särskilt utlämnande genom direktåtkomst ge anledning till frågor av etisk karaktär eller till särskilda lämplighetsöverväganden. Det kan exempelvis handla om vårdnadshavare ska få ha direktåtkomst till uppgifter om barn i olika åldrar, om information från vissa särskilt känsliga verksamheter bör undantas från direktåtkomst eller om ett utlämnande genom direktåtkomst ska göras med viss fördröjning. Frågor som dessa är högaktuella redan i dag. Ett upphävande av de aktuella bestämmelserna skulle inte medföra någon skillnad i det avseendet.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
893
Förslaget berör inte frågan om sekretess för uppgiftslämnare m.m.
Utredningens förslag innebär ingen förändring av det gällande regelverket om sekretess till skydd för andra som kan omnämnas i en patientjournal. Enligt 25 kap. 7 § OSL gäller exempelvis sekretess för uppgift i anmälan eller utsaga av en enskild om någons hälsotillstånd eller andra personliga förhållanden, i förhållande till den som anmälan eller utsagan avser, om det kan antas att fara uppkommer för att den som har lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
Det innebär att vårdgivare alltid har att göra en bedömning om sådana uppgifter finns bland den information som avses lämnas ut genom direktåtkomst och om uppgifterna i sådant fall omfattas av sekretess. Med hänsyn till behovet av skydd för uppgiftslämnare och anmälare behöver vårdgivare därför ha rutiner som säkerställer att sådana uppgifter inte lämnas ut genom direktåtkomst om de omfattas av sekretess.
Följdändringar i bestämmelsen om direktåtkomst
Förslaget föranleder även behov av ändrade förutsättningar för vårdgivares möjligheter att lämna ut vårddokumentation genom direktåtkomst till patienter. Av den nuvarande bestämmelsen i 5 kap. 5 § PDL följer att en vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får
lämnas ut till honom eller henne och som behandlas för ändamålet
vårddokumentation. Det kursiverade ska inte föras över till hälso- och sjukvårdsdatalagen utan där ska anges att en vårdgivare får medge en enskild direktåtkomst till uppgifter om den enskilde själv.
Patienten ska kunna ges direktåtkomst till alla uppgifter om patienten
Enligt den nu gällande bestämmelsen i 5 kap. 5 § PDL får en vårdgivare endast ge patienten direktåtkomst till uppgifter som vårdgivaren behandlar för ändamålet vårddokumentation. Det innebär, såvitt vi kan bedöma, att vårdgivare är förhindrade att exempelvis ge patienten direktåtkomst till uppgifter som behandlas för andra ändamål, t.ex. kvalitetssäkring eller verksamhets-
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
894
uppföljning. I ett sådant fall skulle patienten inte kunna få direktåtkomst till uppgifter som patienten själv har bidragit med t.ex. genom att svara på enkäter som inte nödvändigtvis har betydelse för patientens vård och är att hänföra till ändamålet vårddokumentation. Enligt vår bedömning saknas det skäl att begränsa vårdgivares möjlighet att ge patienter direktåtkomst till uppgifter om dem själva. Vi föreslår därför att den nuvarande begränsningen ska tas bort. I hälso- och sjukvårdsdatalagen ska således anges att vårdgivare får ge enskild direktåtkomst till uppgifter om den enskilde själv. På detta sätt kommer möjligheterna att lämna ut uppgifter genom direktåtkomst att motsvara den rättighet till samtliga uppgifter som följer av en begäran om ett s.k. registerutdrag enligt 26 § PUL.
Vidare föreslås att patientens möjlighet att genom direktåtkomst få tillgång till dokumentation om den åtkomst som förekommit till patientens uppgifter (loggar) överförs oförändrad från patientdatalagen till hälso- och sjukvårdsdatalagen. På samma sätt som i dag föreslås även regeringen eller den myndighet som regeringen bestämmer få meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid enskildas direktåtkomst.
33.5.3 Tydlig information och överenskommelser med den enskilde
Vår bedömning: Utlämnanden genom direktåtkomst eller kom-
munikation med enskilda över internet bör föregås av tydlig information och någon form av överenskommelse. Några uttryckliga regler om detta bör dock inte tas in i lagstiftningen.
En grundläggande förutsättning för att enskilda ska känna trygghet med att känsliga personuppgifter om kontakter med hälso- och sjukvården eller socialtjänsten kommuniceras över internet är sannolikt att enskilda får tydlig information om de olika förutsättningarna och säkerhetsåtgärderna som gäller för kommunikationen. För att den enskilde via en e-tjänst ska få information från eller delge information till en vårdgivare eller till en som bedriver socialtjänst bör det även krävas någon form av överenskommelse eller användarkontrakt mellan parterna.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
895
Känsliga uppgifter om hälsa bör, enligt utredningens uppfattning, därför inte kommuniceras över internet om inte individen efter att ha fått närmare information har accepterat vård-och omsorgsaktörens erbjudande om detta. Informationshanteringen på detta område är komplex och innefattar en mängd olika aktörer och en mängd olika ändamål för personuppgiftsbehandlingen. Det är därför inte möjligt att göra en detaljuppräkning av vad informationen ska omfatta, utan det får avgöras efter omständigheterna i det enskilda fallet. Några särskilda regler om krav på information eller överenskommelse mellan enskilda och de personuppgiftsansvariga bör därför inte införas i lagstiftningen. Det saknas även, enligt vår bedömning, anledning att anta att personuppgiftsansvariga inom vård- och omsorgssektorn inte kommer att arbeta aktivt med frågan så att enskilda känner trygghet med hur uppgifter hanteras och skyddas.
På en övergripande nivå anser vi att den personuppgiftsansvarige, i enlighet med de grundläggande kraven på information vid personuppgiftsbehandling, alltid måste informera om den aktuella personuppgiftsbehandlingen. I detta bör, i tillämpliga fall, ingå information om sådant som vilka personuppgifter som behandlas, vad uppgifterna kommer att användas till och vilka säkerhetsåtgärder som är vidtagna. Vidare bör informationen och överenskommelsen belysa eventuellt övriga villkor för användningen av e-tjänsten. Sådana villkor kan t.ex. röra inloggning med stark autentisering och användandet av vissa termer och begrepp.
Den enskilde behöver även information om vad som rent generellt kan förväntas av olika typer av e-tjänster. Sådan information kan exempelvis handla om individens möjligheter att få information förklarad eller förtydligad, om individen får uppgifterna i samma stund som de dokumenteras, om individen kan kontakta den som lämnar ut information med en fråga i direkt anslutning till att informationen lämnas ut etc.
Även när det gäller sådana e-tjänster som möjliggör för individer att delge vård- och omsorgsaktörerna uppgifter, behövs information som tydliggör förväntningar och roller mellan olika aktörer. Utredningens sammantagna bedömning är att det bör finnas någon form av överenskommelse eller användarkontrakt mellan individerna och vårdgivarna eller utförarna i socialtjänsten eller den som tillhandahåller ett hälsokonto.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
896
33.5.4 Begreppet personligt hälskonto – behov av definition?
Vår bedömning: Enligt utredningen bör ett personligt hälso-
konto i första hand definieras som en lagringsplats på nätet, där individen kan välja att för eget bruk lagra och i övrigt fritt hantera information som skapats av individen själv eller någon annan aktör.
Begreppet personligt hälsokonto bör i dagsläget inte definieras i lag, eftersom det är svårt att överblicka konsekvenserna av den rådande utvecklingen och vilka beröringspunkter olika varianter av personliga hälsokonton kommer att kunna ha med andra invånartjänster m.m.
Inledning
Begreppet hälsokonto har genom åren använts, både nationellt och internationellt, utan att det funnits någon egentlig definition eller beskrivning av de faktorer som kännetecknar eller bör känneteckna ett hälsokonto. Definitionen av e-hälsa har blivit mer eller mindre allmängiltig i Sverige och används i dag för att beskriva alla sorts tjänster och system som utvecklas med hjälp av it-baserade tilllämpningar och som möjliggör utveckling av elektroniska patientjournalsystem, telemedicin, personliga kroppsburna och bärbara kommunikationssystem, hälso- och sjukvårdsportaler och många andra it-baserade verktyg som bidrar till sjukdomsförebyggande, diagnos, behandling, hälsoövervakning och råd om levnadsvanor.
I rapporten ”På jakt efter ett eHälsokonto” analyseras frågan om innebörden av ett hälsokonto.10 Författarna anför att i Sverige verkar ett Hälsokonto associeras med en självständig it-baserad lösning (inte kopplat till något journalsystem) som underlättar för vårdgivaren att erbjuda den enskilde patienten administrativa personbaserade tjänster och för patienten att få en enhetlig bild av sin hälso- och sjukvårdsinformation. Genom att öppna ett personligt användarkonto för att elektroniskt få möjlighet att beställa vårdtjänster som vård- och omsorgsproducenterna erbjuder, har individen möjlighet att på egen hand hantera tjänster som inte alltid kräver realtidsinteraktion med vårdgivare, t.ex. boka besök eller ställa korta frågor. Av rapporten framgår även att ett hälsokonto
10 Vimarlund m.fl. På jakt efter ett eHälsokonto, (oktober 2011).
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
897
ska låta användaren registrera livsstilsrelaterad information och dela åtkomsten till informationen med tredje part. Mot denna bakgrund använder författarna följande definition.11
I denna studie definierar vi ett eHälsokonto som ett it-baserat system, exempelvis en portal och/eller en öppen plattform, som kan ha koppling till eller kan interagera med en patientjournal (det kan dock också vara ett självständigt, ej integrerat system) och där den enskilde patienten kan ansvara för att registrera och uppdatera livsstilsrelaterad information (träningsprogram, dieter), egna mätningar (vikt, blodtryck) samt data från externt utförda behandlingar (optikern, kliniker utomlands, alternativmedicinen). Syftet är att ge patienten en helhetssyn av sin egen hälsosituation samt en plattform för effektiv kommunikation med vården. Patienten ska även, om han eller hon så önskar, kunna dela sin information med olika intressenter inom hälso- och sjukvården, anhöriga eller tredje part.
Våra reflektioner
Vi ansluter oss delvis till den definition av begreppet eHälsokonto som används i ovan nämnda rapport. Men vi vill av flera skäl skilja mellan den hantering av uppgifter som görs när t.ex. en vårdgivare lämnar ut information elektroniskt till en individ eller när individen interagerar med en vårdgivare och den hantering som individen själv kan välja att göra i nästa steg, dvs. att lagra eller att inte lagra informationen. Avgörande enligt oss bör således vara möjligheten för individen att lagra information för sin egen räkning. Vi vill därför använda oss av begreppet personligt hälsokonto; ett lagringsutrymme för dokumentation som skapas av individen eller av någon annan, t.ex. en vårdgivare. Med personligt avses i första hand att kontot är privat i den meningen att individen själv bestämmer vad som ska dokumenteras i kontot och vad som ska sparas, raderas eller delas med andra. Benämningen personligt hindrar inte att det på ett sådant konto finns information om andra än individen, t.ex. barn eller andra närstående. Enligt utredningen bör ett personligt hälsokonto definieras som en lagringsplats på nätet, där individen kan välja att för eget bruk lagra och i övrigt fritt hantera information som skapats av individen själv eller någon annan aktör.
En fördel med att skilja lagringsplatsen från själva kommunikationsytan, t.ex. en e-tjänst för tidsbokning eller fråga och svar, är bland annat att det för individen blir tydligt att det är han eller hon
11 Vimarlund m.fl. På jakt efter ett eHälsokonto, (oktober 2011), s. 5.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
898
som avgör vad som sedan ska sparas i dennes hälsokonto. Det innebär exempelvis att en individ är fri att använda olika e-tjänster som vård- och omsorgsaktörerna erbjuder, utan att den information som skapas i dessa tjänster automatiskt sparas utan att den enskilde fattar beslut om det.
Ytterligare en fördel med en tydlig distinktion mellan kommunikationsytan och lagringsytan är att gränsen mellan individens personuppgiftsbehandling och övriga aktörers behandling av personuppgifter tydliggörs. Motsvarande konsekvenser gäller även för de annars komplicerade frågorna om vad som är allmän handling och vad som inte är allmän handling, som skulle kunna uppstå om individen och vård- och omsorgsaktörens hantering inte separerades rent faktiskt.
En utgångspunkt är att all hantering av personuppgifter i det personliga hälsokontot uteslutande är av rent privat natur. En följd av det är bland annat att personuppgiftslagens bestämmelser inte gäller för personuppgiftsbehandlingen i det personliga hälsokontot. När individen däremot väljer att använda information som finns lagrad i hälsokontot och kommunicerar det med en aktör utanför kontot, t.ex. en vårdgivare, ett patientforum, en myndighet etc. kan personuppgiftslagens, och andra registerförfattningar, bli tillämplig på den behandlingen. Dessa frågor berörs mer ingående i avsnitten om personuppgiftsansvar i det följande.
Sammantaget bedömer utredningen att begreppet hälsokonto i nuläget inte bör definieras i lag. Det beror bland annat på svårigheterna att överblicka konsekvenserna av den rådande utvecklingen och vilka beröringspunkter olika varianter av personliga hälsokonton kan komma att ha till övriga invånartjänster m.m. Därutöver bedömer vi att det centrala är att reglera förutsättningarna för själva personuppgiftsbehandlingen och det informationsutbyte som äger rum, oavsett om en viss tjänst är att betrakta som ett hälsokonto eller inte. Det är i dag fullt möjligt för olika aktörer att erbjuda personliga hälsokonton till individer, vilket sannolikt kan komma att medföra att det utvecklas olika typer av hälsokonton eller motsvarande. Även mot den bakgrunden saknas enligt vår bedömning skäl för att definiera begreppet i lag.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
899
33.5.5 Personuppgiftsansvar för vårdgivare och den som bedriver socialtjänst
Vår bedömning: Vårdgivare och den som bedriver verksamhet
inom socialtjänsten är enligt de grundläggande bestämmelserna om personuppgiftsansvar i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen personuppgiftsansvariga för den behandling av personuppgifter som utförs i dess verksamhet och som gör det möjligt för enskilda att ta del av eller lämna uppgifter. Det saknas behov av ytterligare författningsreglering av personuppgiftsansvaret i dessa situationer.
Genomgången ovan visar att kommunikationen av personuppgifter mellan vårdgivare eller den som bedriver verksamhet i socialtjänsten och medborgare förekommer för en rad olika ändamål. Vård- och omsorgsaktörerna kan vara privata eller offentliga och delvis omfattas av olika författningsbestämmelser för informationshantering.
Kommunikationen kan initieras antingen av medborgaren, exempelvis genom en begäran om att få information utlämnad, eller efter att medborgaren accepterat ett erbjudande från vårdgivaren eller från den som bedriver verksamhet inom socialtjänst, exempelvis om att fylla i en enkät om upplevd livskvalitet efter en viss operation eller insats i socialtjänsten. Gemensamt för informationshanteringen är bland annat att det är vårdgivaren eller den som bedriver socialtjänst som tillhandahåller möjligheten för individen att ta del av information eller lämna sådan information som efterfrågas. För den personuppgiftsbehandling som en sådan informationshantering föranleder bör vårdgivaren eller den som bedriver socialtjänst, i enlighet med de grundläggande bestämmelserna om personuppgiftsansvar, anses vara personuppgiftsansvarig.
Enligt vår bedömning innebär det exempelvis att en vårdgivare är personuppgiftsansvarig för den hantering av personuppgifter som äger rum när denne gör det möjligt för patienten att elektroniskt rapportera in sitt blodtryck, svara på en enkät eller fylla i en hälsodeklaration.
I sammanhanget bör förtydligas att den som bedriver verksamhet inom socialtjänst eller är vårdgivare kan anses vara personuppgiftsansvarig för den behandling av personuppgifter som kan komma att göras när individen väljer att elektroniskt delge
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
900
socialtjänsten eller hälso- och sjukvården sådan information som individen själv dokumenterat exempelvis i sitt personliga hälsokonto. För att vårdgivaren eller den som bedriver verksamhet inom socialtjänst ska bli personuppgiftsansvarig bör krävas att denne, precis som anförts ovan, tillhandahåller själva möjligheten för individen att dela med sig av uppgifterna. Det kan exempelvis göras genom en e-tjänst som vårdgivaren har ställt till den enskildes förfogande och utformat efter sitt behov, t.ex. med avseende på terminologi och informationsstruktur, eller av andra skäl valt att använda sig av.
Personuppgiftsansvaret för denna typ av e-tjänster omfattar bland annat att tillräckliga säkerhetsåtgärder är vidtagna. Det innebär exempelvis krav på att uppgifter inte görs åtkomliga över internet utan att mottagaren, dvs. individen, har styrkt sin identitet genom stark autentisering. Dessutom ska uppgifterna skyddas genom kryptering vid överföringen. I personuppgiftsansvaret ingår även sådana åtgärder som skyddar uppgifterna från förlust eller förvanskning under den elektroniska hanteringen. Den personuppgiftsansvarige bör även beakta sådant som har att göra med den egna personalens, och möjligtvis personalens hos ett personuppgiftsbiträde, behov av information, utbildning och rutiner för att hantera aktuella e-tjänster.
Vidare ska erinras om vård- och omsorgsaktörens ansvar för att den information som lämnas ut via en e-tjänst, med hänsyn till bestämmelserna om sekretess och tystnadsplikt, får lämnas ut.
Utredningens sammantagna bedömning är att det föreslagna regelverket om personuppgiftsansvar, som i allt väsentligt överensstämmer med vad som redan gäller i dag, ger tydlig vägledning kring personuppgiftsansvarets fördelning och omfattning.
33.5.6 Personuppgiftsansvar när utlämnade uppgifter lagras i ett personligt hälsokonto
Vår bedömning: Vårdgivare eller den som bedriver verksamhet
i socialtjänsten har i normalfallet inget personuppgiftsansvar för sådan behandling av personuppgifter som förekommer när den enskilde har valt att lagra uppgifter i ett personligt hälsokonto. Det utesluter inte att någon annan kan ha ett personuppgiftsansvar för någon del av en sådan personuppgiftsbehandling.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
901
Om den enskilde, i enlighet med vad som beskrivs i föregående avsnitt, inte endast tar del av uppgifter som exempelvis en vårdgivare lämnar ut utan även väljer att vidta åtgärder för att lagra uppgifterna i ett personligt hälsokonto, väcks nya frågor om personuppgiftsansvaret. Motsvarande situation kan även aktualiseras när den enskilde fyller i en enkät och förutom att kommunicera uppgifterna till vårdgivaren väljer att lagra enkäten och de ifyllda svaren i det personliga hälsokontot. Exempel på en sådan informationshantering skulle även kunna finnas vad gäller patienters inrapportering av mätvärden m.m.
Vi bedömer att i normalfallet bör en personuppgiftsbehandling av detta slag i ett personligt hälsokonto anses falla utanför vårdgivarens personuppgiftsansvar. Vårdgivaren har i en sådan situation varken några befogenheter eller faktiska möjligheter att vidta åtgärder som innebär personuppgiftsbehandling av sådana uppgifter som individen hanterar i sitt personliga hälsokonto.
Denna här bedömningen rör dock endast relationen mellan den enskilde och vårdgivaren eller den som bedriver socialtjänst. Det kan därför inte uteslutas att någon annan kan ha ett personuppgiftsansvar för någon del av den personuppgiftsbehandling som förekommer när enskilda lagrar och hanterar uppgifter i ett personligt hälsokonto. Se vidare frågan om personuppgiftsansvar för den som tillhandahåller ett personligt hälsokonto i avsnitt 33.5.8.
Ytterligare en relevant fråga är när den tidpunkt då personuppgiftsbehandlingen inte längre utförs inom vårdgivarens personuppgiftsansvar inträffar. Svaret på frågan är sannolikt beroende på omständigheterna i det enskilda fallet. Det går därför inte att göra någon generell och entydig bedömning av saken. Det ankommer dock på vårdgivaren att utifrån de faktiska omständigheterna i det enskilda fallet göra en bedömning av personuppgiftsansvarets omfattning och räckvidd. Vårdgivaren har dock, som vi ser det, i normalfallet inget personuppgiftsansvar för den behandling av personuppgifter som individen råder över när uppgifterna väl har kommunicerats till och lagras i det personliga hälskontot. Det utesluter däremot inte att vårdgivaren kan ha ett personuppgiftsansvar för delar av den personuppgiftsbehandling som görs innan dess och som utgör ett led i individens val att lagra uppgifter i det personliga hälsokontot. Motsvarande resonemang gäller även för liknande kommunikation mellan en utförare i socialtjänsten och individen.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
902
33.5.7 Hantering av uppgifter i ett personligt hälsokonto – för privat bruk
Vår bedömning: Sådan hantering av uppgifter som den enskilde
företar i ett personligt hälsokonto bör i normalfallet anses göras som ett led i en verksamhet av rent privat natur och därmed falla utanför personuppgiftslagens, hälso- och sjukvårdsdatalagens och socialtjänstdatalagens tillämpningsområde. Detta under förutsättning att det rör sig om en sådan lagringsyta där den enskilde själv fritt hanterar informationen och förfogar över grundläggande frågor som vilka uppgifter som ska dokumenteras och lagras, hur de ska användas, om de ska raderas m.m. Det finns inget behov av att ytterligare författningsreglera detta.
Den bärande tanken med ett personligt hälsokonto är att det ska vara en lagringsyta där individen fritt kan välja att dokumentera och lagra information exempelvis relaterat till hälsa. Ytterligare en grundläggande förutsättning är att ett personligt hälsokonto är frivilligt även i det avseendet att det är den enskilde själv som fattar beslut om att starta eller avsluta ett hälsokonto.
Uppgifter kan tillföras ett personligt hälsokonto på en mängd olika sätt. Utgångspunkten är dock att det är individen själv som fattar beslut och avgör vilken information som ska lagras och hur länge. Förutom att information kan tillföras av individen själv, t.ex. genom att notera uppgifter, kan individen välja att låta sådana uppgifter som lämnas ut från hälso- och sjukvård eller socialtjänst lagras i hälsokontot.
Om dessa förutsättningar är för handen bedömer utredningen att det handlar om sådan personuppgiftsbehandling som görs som ett led i verksamhet av rent privat natur. Det innebär bland annat att personuppgiftslagens bestämmelser inte gäller för den personuppgiftsbehandling som här beskrivs. En ytterligare förutsättning är naturligtvis att ingen aktör, förutom den enskilde, har befogenheter eller faktiska möjligheter att ta del av personuppgifter och självständigt vidta åtgärder som innebär personuppgiftsbehandling. Detta bedöms även vara en grundförutsättning för att enskilda ska känna trygghet och ha förtroende för att obehöriga och utomstående inte kan ta del av och initiera en behandling av personuppgifter rörande den enskilde.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
903
Även e-delegationen ger stöd för ovanstående resonemang i deras vägledning för verksamhetsutveckling inom eförvaltningen.12
Vidare bedömer utredningen att det saknas skäl att ytterligare författningsreglera den här aktuella frågan om personuppgiftsansvar, eftersom det redan följer av grundläggande bestämmelser i personuppgiftslagen. En specifik författningsreglering bedöms även som i praktiken omöjlig med hänsyn till de olika former av personliga hälsokonton som eventuellt kan komma att utvecklas av olika aktörer.
33.5.8 Personuppgiftsansvar för den som tillhandahåller ett personligt hälskonto
Vår bedömning: Den som tillhandahåller ett personligt hälso-
konto bedöms ha personuppgiftsansvaret för den behandling av personuppgifter som görs för att administrera den enskildes konto och för övergripande frågor om organisatoriska och tekniska säkerhetsåtgärder. Någon ytterligare författningsreglering för att tydliggöra detta bedöms inte behövas.
För det personliga hälsokontot Hälsa för mig bedöms eHälsomyndigheten ha ett personuppgiftsansvar i enlighet med ovanstående.
Den som tillhandahåller ett personligt hälsokonto, eller en motsvarande lagringsyta, har ett ansvar för att hantera den enskildes uppgifter på ett sådant sätt som tillgodoser såväl individens behov av integritetsskydd som krav på en i övrigt ändamålsenlig hantering av viktig information.
Enligt vad som framförts ovan bör personuppgiftsbehandlingen i ett personligt hälsokonto anses utföras för privat bruk. Det innebär att den som tillhandahåller ett hälsokonto inte är personuppgiftsansvarig för den behandling av personuppgifter som görs för privat bruk inom ramen för den enskildes hälsokonto. Med detta menas att den som tillhandahåller hälsokontot åtminstone inte är personuppgiftsansvarig för behandlingen av de uppgifter som hanteras och dokumenteras av den enskilde. För denna
12 E-delegationen, Juridisk vägledning för verksamhetsutveckling inom e-förvaltningen (2013).
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
904
hantering av uppgifter kan den som tillhandahåller kontot knappas anses ha bestämt ändamål och medel. Dessutom ska denne, enligt vad som redovisats ovan, inte heller ha några befogenheter eller faktiska möjligheter att vidta åtgärder som innebär personuppgiftsbehandling i denne del. Jämförelser kan exempelvis göras med en leverantör av e-postkonton.
Enligt vår uppfattning bör den som tillhandahåller ett personligt hälskonto dock vara personuppgiftsansvarig för sådana åtgärder som denne har befogenheter och faktiska möjligheter att påverka, dvs. sådant som rör drift, skötsel och hantering av de olika system, databaser och annat som krävs för att kontinuerligt tillhandahålla hälsokontot. Precis som för vad som gäller vid andra liknande situationer bör den som tillhandahåller ett hälsokonto även vara personuppgiftsansvarig för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder, dvs. för sådana åtgärder som ska vidtas för att skydda de behandlade personuppgifterna.
Enligt 31 § PUL ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärden,
c) de särskilda risker som finns med behandlingen av personuppgifterna, och
d) hur pass känsliga de behandlade personuppgifterna är.
Den som tillhandahåller ett personligt hälskonto ska alltså vidta de tekniska och organisatoriska säkerhetsåtgärder som krävs för att säkra och trygga lagringen av individens känsliga information. Uppgifterna ska exempelvis skyddas från insyn och obehörig åtkomst, men även från förvanskning eller skada. För att den som tillhandahåller kontot med tillräckligt stor säkerhet ska kunna ge rätt person tillgång till rätt personuppgifter ska åtkomsten till uppgifter dessutom alltid föregås av stark autentisering. För att avgöra vilka övriga säkerhetsåtgärder som bör vidtas bör den som tillhandahåller kontot göra en noggrann risk- och sårbarhetsanalys.
Utöver detta bör personuppgiftsansvaret för den som tillhandahåller kontot omfatta den behandling av personuppgifter som kan krävas för att administrera en individs personliga hälsokonto, dvs. hantering av ett begränsat antal grundläggande personuppgifter.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
905
Även e-delegationen anför ett liknande resonemang i den tidigare nämnda vägledningen för e-förvaltningen. Bland annat uttalas följande.13
Den som tillhandahåller ett eget utrymme åt en enskild blir normalt personuppgiftsansvarig för den drift- och säkerhetsrelaterade information som avser den enskildes eget utrymme och i övrigt för att de personuppgifter som behandlas i utrymmet är omgärdade av adekvata säkerhetsåtgärder. Tillhandahållaren blir emellertid inte ansvarig för den nyttoinformation som den enskilde själv för in i sitt utrymme. Detta gäller såväl för utrymmen för en session som för konton och ebrevlådor. Det bör särskilt uppmärksammas att myndighetens personuppgiftsansvar för drift och säkerhet omfattar även nyttoinformationen om ett intrång sker i den enskildes eget utrymme och medför att nyttoinformationen sprids.
Även om e-delegationen utrycker det som om personuppgiftsansvaret omfattar själva informationen och inte behandlingen av personuppgifterna, bör innebörden av resonemanget stämma väl överens med den bedömning vi gör i detta avseende.
Vidare bedömer vi att relationen mellan den som tillhandahåller ett personligt hälsokonto och en individ bör grundas i en överenskommelse, eller något slags användarkontrakt, som tydligt anger förutsättningarna för båda parters hantering av uppgifter för de aktuella ändamålen. Av informationen bör det bland annat tydligt framgå att individen har en, i förhållande till den som tillhandahåller kontot, oinskränkt rätt att hantera uppgifter som lagras i hälsokontot. Det är individen som disponerar över frågor som vad som ska lagras, hur länge det ska lagras och om någon information ska delas med andra. Överenskommelsen bör även tydligt ange att den som tillhandahåller kontot saknar rätt att ta del av individens lagrade information såtillvida det inte i enstaka fall är nödvändigt för att kunna utföra support eller annan administration av hälsokontot.
Det är vidare viktigt att påpeka att den enskilde som ingår en överenskommelse med en leverantör av personligt hälsokonto, inte kan samtycka till en sämre säkerhet än vad som är lämpligt med hänsyn till förhållandena och de personuppgifter som behandlas. För säkerhetsbrister är leverantören skadeståndsskyldig enligt personuppgiftslagen.
13 E-delegationen, Juridisk vägledning för verksamhetsutveckling inom e-förvaltningen (2013) s. 18.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
906
Hälsa för mig
Av eHälsomyndighetens instruktion framgår, som tidigare nämnts, att myndigheten ska tillhandahålla en elektronisk tjänst som ger enskilda personer möjlighet att i ett personligt hälsokonto kostnadsfritt lagra uppgifter om sin hälsa.14 Med anledning av detta och mot bakgrund av vad som redovisats ovan bedömer utredningen att eHälsomyndigheten har ett personuppgiftsansvar i enlighet med ovanstående för den personuppgiftsbehandling myndigheten kommer att utföra i det personliga hälsokontot Hälsa för mig.
33.5.9 Hälsokonto och allmänna handlingar
Vår bedömning: Om den myndighet som tillhandahåller ett
personligt hälsokonto förvarar uppgifterna (handlingarna) om enskilda endast som led i teknisk bearbetning eller teknisk lagring för den enskildes räkning, bör handlingarna i enlighet med 2 kap. 10 § tryckfrihetsförordningen inte anses som allmänna handlingar. Detta förutsätter att den som tillhandhåller det personliga hälskontot inte använder de uppgifter som individer dokumenterar och lagrar för några ändamål i sin egen verksamhet, t.ex. statistikframställning.
eHälsomyndigheten har förutsättningar att tillhandahålla ett personligt hälsokonto utan att handlingar om enskilda blir att anse som allmänna.
Ytterligare en fråga är om det spelar någon roll ifall den som tillhandahåller ett personligt hälsokonto är en myndighet eller en privat aktör. Frågan har särskilt att göra med offentlighetsprincipen och myndigheters hantering av allmänna handlingar. En uppenbar nackdel skulle vara om de personuppgifter en individ dokumenterar och lagrar på sitt personliga hälsokonto skulle kunna begäras ut av någon annan med stöd av principen om allmänna handlingars offentlighet.
Enligt 2 kap. 3 § första stycket TF avses med en handling framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälp-
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
907
medel. En handling är allmän om den för det första förvaras hos en myndighet och för den andra anses som inkommen till eller
upprättad hos en myndighet.
Beträffande upptagningar, t.ex. elektroniskt lagrade uppgifter, gäller som huvudregel att den är förvarad och inkommen till myndigheten när upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas.
Uppgifter som enskilda individer väljer att lagra och dokumentera på en elektronisk lagringsplats som en myndighet tillhandahåller måste mot bakgrund av ovanstående, generellt kunna anses som allmänna handlingar.
Av 2 kap. 10 § TF följer dock att en handling som förvaras hos en myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning inte anses som allmän handling hos den myndigheten. Detta har uppmärksammats av regeringen i samband med utvecklingen av det personliga hälsokontot Hälsa för mig och bildandet av eHälsomyndigheten. I instruktionen för eHälsomyndigheten anges att ”handlingar i ett personligt hälsokonto får endast förvaras hos myndigheten i form av teknisk lagring för enskilds räkning15”. Regeringens avsikt är således att de uppgifter som enskilda väljer att dokumentera och lagra i Hälsa för mig inte ska anses som allmänna handlingar.
Enligt det resonemang som förts i tidigare avsnitt är det individen som bestämmer ändamålen med behandlingen av personuppgifter för sådant som dokumenteras och lagras i ett personligt hälsokonto. Den som tillhandahåller hälsokontot har i detta avseende en osjälvständig roll som innefattar att tillhandahålla en elektronisk lagringsplats och andra förutsättningar som gör det möjligt för en enskild individ att behandla personuppgifter. Utredningen bedömer därför att det generellt finns mycket som talar för att den hantering, som den som tillhandahåller ett personligt hälsokonto gör, endast görs som ett led i teknisk bearbetning och teknisk lagring för en annans räkning. För att detta även ska motsvara de faktiska förhållanden som råder bör ytterligare ett antal förutsättningar vara uppfyllda.
En utmaning i sammanhanget är att bestämmelsen i 2 kap. 10 § första stycket TF är utformad i en tid när den typ av elektroniska
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
908
tjänster som det här är fråga om inte fanns. Men det har utvecklats viss rättspraxis som kan ge vägledning i frågan. Rekvisitet ”endast som ett led i teknisk bearbetning eller teknisk lagring för annans räkning”, i 2 kap. 10 § första stycket TF, innebär sannolikt att den myndighet som tillhandahåller ett personligt hälskonto inte samtidigt får använda uppgifterna för något ändamål i sin egen verksamhet. Frågan har bland annat uppmärksammast i den nyligen överlämnade betänkandet Ett minskat och förenklat uppgiftslämnande för företagen. Utredningen anför exempelvis följande.16
Undantaget i 2 kap. 10 § tryckfrihetsförordningen tar sikte på hela den tid som myndigheten förvarar en handling. Därigenom måste det enligt utredningens analys anläggas en helhetssyn vid bedömning varför myndigheten förvarar handlingen. Har den myndighet som förvarar handlingen även behörighet att exempelvis framställa statistik utifrån innehållet i handlingarna går undantaget inte att tillämpa även om någon statistik ännu inte har framställts.
Motsvarande resonemang finns också i ett antal domstolsavgöranden. I rättsfallet RÅ 1994 ref. 64 hade Högsta förvaltningsdomstolen att ta ställning till om 2 kap. 10 § TF var tillämplig i ett fall där en klagande hade begärt att Riksrevisionsverket skulle lämna ut uppgifter om vilka utbetalningar som olika myndigheter hade gjort till ett visst företag. I målet framkom att en rad myndigheter hade valt att lagra sina ekonomidata i Riksrevisionsverkets datoriserade ekonomisystem. Domstolen fann dock att Riksrevisionsverket inte disponerade över myndigheternas redovisningsdata. I stället var det fråga om en rent teknisk hantering eller lagring av uppgifterna. De handlingar i vilka de begärda uppgifterna förekom var därför inte att anse som allmänna hos Riksrevisionsverket.
I rättsfallet HFD 2011 ref. 52 framkom att databasen i fråga var ett för polismyndigheternas gemensamt webbaserat arbetsskadesystem som administrerades av Rikspolisstyrelsen. Varje polismyndighet hade sina administratörer med behörighet för tillgång till alla lagrade data som rörde den egna myndigheten. Ingen åtkomst förekom mellan polismyndigheterna. Dock hade tre befattningshavare på Rikspolisstyrelsen rikstäckande administratörsbehörighet för att ta fram nationell statistik, lägga in behörigheter, rapportera till Arbetsmiljöverket och bistå polismyndigheterna med hjälp av teknisk natur. Domstolen anförde att i
16SOU 2013:80 s. 153 f.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
909
vart fall användningen för framställning av nationell statistik samt rapporteringen till Arbetsmiljöverket medförde att undantaget i 2 kap. 10 § första stycket tryckfrihetsförordningen för teknisk bearbetning eller lagring inte var tillämpligt.
Mot bakgrund av vad som redovisats ovan bedömer utredningen att undantaget i 2 kap. 10 § TF kan vara tillämpligt med avseende på myndigheter som tillhandahåller ett personligt hälsokonto. För att undantaget ska vara tillämpligt krävs att det ”endast” är fråga om teknisk bearbetning eller lagring för annans räkning. Den som tillhandahåller hälsokontot får därmed inte bereda sig tillgång till och använda personuppgifterna för ändamål i sin egen verksamhet. Enligt vår bedömning innebär det att den som tillhandahåller ett personligt hälsokonto inte får behandla personuppgifterna för exempelvis statistikframställning eller andra sammanställningar. Såvitt vi kan bedöma bör det däremot anses vara möjligt för den som tillhandahåller ett personligt hälsokonto att behandla personuppgifter i den utsträckning det är nödvändigt med hänsyn till att säkerställa den tekniska driften och skyddet för personuppgifterna.
Samtidigt ska förtydligas att sådana handlingar som inkommer till eller upprättas av den som tillhandahåller ett hälsokonto inom ramen för dess begränsade personuppgiftsansvar för administration, skötsel och säkerhetsåtgärder kan komma att utgöra allmänna handlingar.
Hälsa för mig
I enlighet med ovanstående bedömer vi att eHälsomyndigheten har förutsättningar att tillhandahålla ett personligt hälsokonto utan att handlingarna med känsliga uppgifter om enskilda individer ska anses som allmänna. Det förutsätter dock, som ovan redovisats, att myndigheten inte kan använda uppgifterna för ändamål i den egna verksamheten.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
910
33.5.10 Vem kan tillhandahålla ett personligt hälsokonto?
Vår bedömning: Såväl vårdgivare som den som bedriver social-
tjänst bör, under motsvarande förutsättningar som anges ovan, kunna tillhandahålla ett personligt hälsokonto utan att hälso- och sjukvårdsdatalagens eller socialtjänstdatalagens regler m.m. blir tillämpliga på den behandling av personuppgifter som den enskilde fritt förfogar över och utför.
Under vårt arbete har det framkommit att det föreligger en osäkerhet kring frågan om vilken aktör som kan eller bör vara leverantör av ett personligt hälsokonto. Bland annat har Inera inom ramen för den tidigare nämnda förstudien Din journal på nätet gjort bedömningen att en vårdgivare inte kan eller bör vara leverantör för ett personligt hälsokonto. Det har motiverats med att patientdatalagens bestämmelser högst sannolikt skulle äga tillämpning på ett hälsokonto en vårdgivare svarar för. Tolkningen i förstudien innebär bl.a. att vårdgivaren skulle vara personuppgiftsansvarig både för sin egen och för patientens behandling av personuppgifter i hälsokontot, dvs. även den faktiska dokumentationen m.m. av uppgifter som patienten själv förfogar över och utför.
Frågor om personuppgiftsansvar är komplicerade, inte minst i de fall där flera olika aktörer på något sätt är inblandade i olika steg av informationshanteringen. Personuppgiftsbehandlingen i och för ett personligt hälsokonto är ett tydligt exempel på detta. Vi har att göra med en situation där flera olika aktörer hanterar personuppgifter för flera olika ändamål och i flera olika roller. Samtidigt som situationen är komplex är den tydlig på så sätt att i själva hälsokontot är det individen själv som behandlar personuppgifter för ändamål som han eller hon sätter upp. Det är individen själv som avgör vilka personuppgifter som ska behandlas, varför de ska behandlas, hur länge de ska sparas, med vem de ska delas osv. I enlighet med definitionen av personuppgiftsansvarig i personuppgiftslagen är det därmed individen som bestämmer ändamålet med behandlingen. Personuppgifterna behandlas för privat bruk och är undantagen personuppgiftslagens bestämmelser. Denna bedömning, som redovisats ovan i avsnitt 33.5.7 förändras nödvändigtvis inte av det faktum att det personliga hälsokontot tillhandahålls av en vårdgivare.
Den nu gällande patientdatalagen blir, enligt utredningens uppfattning, inte tillämplig eftersom det inte handlar om sådan
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
911
personuppgiftsbehandling som en vårdgivare utför (jfr 2 kap. 6 § PDL) Därmed bör inte patientdatalagen anses bli tillämplig på den faktiska behandling av personuppgifter som exempelvis görs när en individ för sin egen skull för hälsodagbok eller lagrar läkemedelslistor, oavsett om en vårdgivare har tillhandahållit de grundläggande förutsättningarna för lagringen. Den behandling av personuppgifter som den enskilde för sina egna ändamål företar anses därmed inte omfattas av en vårdgivares behandling av personuppgifter inom hälso- och sjukvården (jfr 1 kap. 1 § och 2 kap. 4 § PDL).
I linje med vad som framkommit i det föregående bör vårdgivarens personuppgiftsansvar i denna del därför vara begränsat till den personuppgiftsbehandling som krävs för att administrera det personliga hälsokontot och garantera uppgifternas säkerhet.
Bedömningen ovan förutsätter naturligtvis att vårdgivaren inte har åtkomst till och kan använda personuppgifterna för ändamål i den egna verksamheten. Vid en sådan situation kan bedömningen i frågan om personuppgiftsansvar och i frågan om allmänna handlingar bli annorlunda.
Ovanstående resonemang gör sig enligt utredningen även gällande för det fall en leverantör av ett personligt hälsokonto eller motsvarande är verksam inom socialtjänsten.
33.5.11 Den enskildes möjlighet att förfoga över sin direktåtkomst m.m.
Vårt förslag: I hälso- och sjukvårdsdatalagen och i socialtjänst-
datalagen ska anges att vårdgivare respektive den som bedriver verksamhet inom socialtjänst enligt den enskildes anvisning, får medge en annan fysisk person än den enskilde direktåtkomst till sådana uppgifter och sådan dokumentation som får lämnas ut till den enskilde genom direktåtkomst.
Vår bedömning: Gällande rätt gör det möjligt för enskilda att för-
foga över utlämnade uppgifter, t.ex. genom att medge annan person åtkomst till uppgifter i ett personligt hälsokonto eller låta annan person genom direktåtkomst ta del av uppgifter hos vårdgivare eller hos den som bedriver socialtjänst. För att undanröja de oklarheter som finns i tillämpningen finns dock skäl att, i enlighet med vårt förslag, tydliggöra vad som gäller.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
912
Inledning
Under arbetets gång har frågan väckts om gällande rätt medger att enskilda låter någon annan ta del av den enskildes uppgifter genom den direktåtkomst som exempelvis en vårdgivare erbjuder. Som redovisats i det föregående har patienter i Uppsala en möjlighet att dela ut rättigheter till andra att ta del av vårddokumentation genom direktåtkomst. Det kan exempelvis handla om närstående som hjälper till att stödja familjemedlemmar eller andra nära i sådant som har med hälso- och sjukvård att göra. Den närstående kan exempelvis vara delaktig och behjälplig i den enskildes medicinering och annan egenvård och därmed ha ett behov av att ta del av aktuella uppgifter genom direktåtkomst. Vidare kan det handla om att boka tider, förnya recept, följa en remiss eller helt enkelt att bara ta del av och hålla sig uppdaterad om de journalanteckningar som görs om den enskilde.
Vid utredningens kontakter med patient- och anhörigorganisationer har detta framhållits som en positiv del i den pågående utvecklingen. Med enkel och säker tillgång till aktuell information får närstående bättre möjligheter att bidra till ökad hälsa och livskvalitet för nära och kära. Det kan även vara ett sätt för familjemedlemmar med stora geografiska avstånd mellan varandra, att hålla sig uppdaterade och bevaka den enskildes intressen i sådant som rör hälso- och sjukvårdskontakter. Att patienter och närstående ser ett behov att kunna låta närstående ta del av uppgifter om patienten bekräftas även av den tidigare nämnda förstudien i projektet Din journal på nätet.
Det kan inte heller uteslutas att i framtiden det kommer att utvecklas olika typer av internetbaserad hälso- och sjukvård och socialtjänst, som kan ersätta eller komplettera sådan verksamhet som i dag bedrivs genom fysiska möten. I en sådan internetbaserad verksamhet skulle det kunna uppstå situationer där exempelvis den enskildes familjemedlemmar på olika sätt deltar i verksamheten, t.ex. för att vara en del av och ett stöd för den enskildes vård och behandling. Det kan exempelvis handla om familjebaserad kognitiv beteendeterapi, KBT, där de medverkande kan ha behov av att i ett internetbaserat mottagningsrum ta del av vårddokumentation rörande den enskilde.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
913
Grundläggande avgränsning
Frågan om patientens möjligheter att förfoga över utlämnade uppgifter kan enligt utredningen inte hanteras generellt, utan behöver specificeras utifrån de omständigheter som kan vara aktuella i olika situationer. En situation rör vårdnadshavare och barn. Enligt utredningens bedömning är vårdnadshavare barnets ställföreträdare fram till dess barnet är myndigt. Normalt anses i registerlagstiftningen att ställföreträdaren kan ersätta den enskilde. Datainspektionen har exempelvis i tillsynsbeslut angett att endast den registrerade eller dennes legala ställföreträdare kan lämna ett sådant samtycke som avses i personuppgiftslagen.17Även datalagskommittén ansåg att föräldrar och andra ställföreträdare borde kunna lämna samtycke för den som inte själv kan bli informerad eller kan avge en viljeyttring i saken. Datainspektionen har även godtagit att samtycke för barn lämnas av vuxen medföljare som agerar på vårdnadshavarens uppdrag, exempelvis en mor- eller farförälder.18
Bland annat mot denna bakgrund bedömer vi sammanfattningsvis att patientdatalagens nuvarande bestämmelse inte hindrar att vårdnadshavare tar del av uppgifter om sina barn genom direktåtkomst. Det innebär att vårdhandshavare genom direktåtkomst ska kunna ta del av sina barns vårddokumentation på motsvarande sätt som om uppgifterna hade lämnats ut manuellt. Jämförelsen med den manuella hanteringen tydliggör att vårdnadshavares rättigheter i förhållande till sina barn inte är oinskränkta. Barn kan, beroende på situationen och ålder samt mognad, ha behov av ett visst sekretesskydd gentemot sina vårdnadshavare. Det innebär att sekretessregleringen i offentlighets- och sekretesslagen kan medföra att vårdnadshavare i undantagsfall inte bedöms ha rätt att ta del av viss information om barnet. Sådan information får naturligtvis inte heller lämnas ut genom direktåtkomst.
Ytterligare en situation rör personer med nedsatt beslutsförmåga
som själv inte kan ta ställning i frågor om sekretess och personuppgiftsbehandling. Såvitt utredningen bedömer saknas i dagsläget möjligheter för närstående att generellt få direktåtkomst till uppgifter rörande en person som inte själv kan ta ställning till saken. I motsvarighet till vad som ovan anförts rörande barn har dock en legal ställföreträdare en möjlighet att ta del av den enskildes
17 Datainspektionens beslut 2010-06-29, dnr 1392–2009 och 1512–2009. 18 Datainspektionens beslut 2006-03-30, dnr 84–2006.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
914
uppgifter genom direktåtkomst, naturligtvis under förutsättning att det ingår i ställföreträdarens uppdrag att sörja för den enskilde i frågor som rör hälso- och sjukvård m.m.
Eftersom frågor om ställningen för personer med nedsatt beslutsförmåga utreds av Utredningen om beslutsoförmögna personers ställning i hälso- och sjukvård, socialtjänst och forskningen (S 2012:06), bedömer vi att frågan ligger utanför vårt uppdrag. Samtidigt ska poängteras att det i ovanstående situation inte finns några legala hinder mot att lämna ut uppgifter på medium för automatiserad behandling, om uppgifterna kan lämnas ut med hänsyn till sekretess och utlämnandet i sig görs på ett sådant sätt att kraven på säkerhetsåtgärder uppfylls.
En tredje situation rör personer som är i stånd att själv låta andra, t.ex. en närstående, ta del av uppgifterna genom direktåtkomst. Det kan jämföras med situationer när en patient genom fullmakt ger någon en rätt att ta del av patientuppgifter. I en sådan situation handlar det således om att den enskilde själv vidtar en åtgärd för att göra det möjligt för någon annan att ta del av uppgifterna.
I det följande utgår vi uteslutande från denna situation när den enskilde själv har förmåga att ta ställning till frågor om integritet och sekretess. För att analysera möjligheterna för enskilda att förfoga över utlämnade uppgifter behöver de alternativa tillvägagångssätten identifieras.
Alternativa sätt att elektroniskt förfoga över utlämnade uppgifter
Det finns sannolikt en mängd olika alternativa sätt för en enskild att elektroniskt förfoga över utlämnade uppgifter. Det är inte möjligt att i detta sammanhang inventera och analysera samtliga tänkbara alternativ, utan utredningen har valt att avgränsa bedömningen till de två scenarion som vi ser som mest angelägna att försöka bringa klarhet i. I båda fallen handlar det om den enskildes möjligheter att förfoga över uppgifter som i ett första skede har lämnats ut från hälso- och sjukvården eller socialtjänsten antingen genom direktåtkomst eller på medium för automatiserad behandling. I vissa avseenden kan det ur ett rättsligt perspektiv betraktas som om den enskilde förfogar över sin direktåtkomst, medan det i andra avseenden kan vara fråga om ett vidareutlämnande av uppgifter som har lämnats ut, antingen genom direktåtkomst eller på medium för automatiserad behandling.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
915
Det första alternativet handlar om situationer när den enskilde, efter att själv ha valt att lagra de utlämnade uppgifterna i sitt personliga hälsokonto eller motsvarande, självständigt väljer att dela med sig av uppgifterna till någon annan. Detta kan i sin tur arrangeras på många olika sätt. Ett alternativ är att den enskilde själv vidtar en åtgärd för att skicka uppgifterna till någon annan, t.ex. genom en filöverföring. Ett annat sätt kan vara att den enskilde ger någon annan rättighet att ta del av uppgifterna på motsvarande sätt som gäller för den enskildes egen åtkomst. I en sådan situation kan t.ex. en närstående ta del av uppgifterna samtidigt som uppgifterna är tillgängliga för den enskilde själv. Detta sätt ligger i praktiken väldigt nära vad som beskrivs i det följande om den enskildes möjligheter att låta någon annan få direktåtkomst till den enskildes uppgifter.
Det andra alternativet handlar om situationer när den enskilde förfogar över sin direktåtkomst och låter någon annan få ta del av uppgifterna direkt i det utlämnade systemet, dvs. helt oberoende av en eventuell lagring i ett hälsokonto. Det innebär således att den enskilde låter någon annan få direktåtkomst till den enskildes uppgifter. Den här aktuella situationen kan, i likhet med ovan, beskrivas som om den enskilde ger någon annan en rättighet att ta del av den enskildes uppgifter genom direktåtkomst. Skillnaden jämfört med situationen ovan där den enskilde agerar självständigt inom ramen för sitt personliga hälsokonto måste den enskilde i den här aktuella situationen agera gentemot den som ansvarar för att lämna ut uppgifterna. Den enskilde behöver således kommunicera sin vilja att låta någon annan få direktåtkomst till uppgifterna till den som ansvarar för att utlämnandet görs på ett lagligt sätt. Det kan exempelvis jämföras med situationer när enskilda ger någon annan en fullmakt att begära ut journalhandlingar rörande den enskilde. I en sådan situation behöver fullmakten visas upp för den som ansvarar för utlämnandet så att denne kan göra en bedömning om det är lagligt att lämna ut uppgifterna.
Ett tredje alternativ är naturligtvis att den enskilde låter någon annan ta del av uppgifterna samtidigt som den enskilde själv gör det, t.ex. genom att låta en närstående sitta bredvid, eller att den enskilde helt enkelt låter någon annan använda den enskildes elegitimation för att själv kunna logga in och ta del av uppgifter. Detta sätt kommer inte att beröras annat än som jämförelse till de två alternativa sätten som beskrivits ovan.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
916
Den enskilde bedöms ha möjligheter att förfoga över utlämnade uppgifter som lagras i ett personligt hälsokonto eller motsvarande
Som redovisats ovan i avsnitt 33.5.7 bedömer vi att den enskildes behandling av personuppgifter i ett personligt hälskonto eller motsvarande görs för privat bruk i den meningen att personuppgiftslagens regler inte blir tillämpliga på den enskildes personuppgiftsbehandling. Själva avsikten med ett personligt hälsokonto är att det ska vara individens eget utrymme, där den enskilde självständigt och fritt kan välja att dokumentera och lagra uppgifter. Det innebär enligt vår mening att det står den enskilde fritt att även själv bestämma om någon annan ska få ta del av de uppgifter som den enskilde väljer att lagra i sitt personliga hälsokonto. Vidare ligger dessa åtgärder helt utanför vårdgivarens eller den som bedriver socialtjänsts kontroll. Dessa har varken befogenheter eller faktiska möjligheter att agera i frågor som rör behandling av personuppgifter i den enskildes personliga hälsokonto.
Mot denna bakgrund bedömer vi att det är fullt möjligt för enskilda att låta andra ta del av uppgifter som lämnats ut t.ex. från hälso- och sjukvården eller socialtjänsten och sedan lagrats i ett personligt hälsokonto eller motsvarande. En sådan informationsdelning kan naturligtvis göras på en mängd olika sätt, allt ifrån olika former av filöverföringar till en mer direkt typ av åtkomst. Ett sådant sätt kan vara att den enskilde ger någon annan rättighet och en möjlighet att ”automatiskt” kunna ta del av uppgifterna i samma stund som uppgifterna är tillgängliga för den enskilde själv. Det kan med andra ord beskrivas som att någon annan kan titta in i den enskildes personliga hälsokonto och där ta del av de uppgifter som omfattas av den rättighet den enskilde har delat ut. Detta sätt ligger därmed i praktiken väldigt nära vad som beskrivs nedan om den enskildes möjligheter att låta någon annan får direktåtkomst till den enskildes uppgifter hos en vårdgivare eller hos den som bedriver socialtjänst.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
917
Den enskildes bedöms ha möjligheter att låta någon annan ta del av den enskildes uppgifter genom direktåtkomst hos en vårdgivare eller hos den som bedriver socialtjänst – med det bör tydliggöras i lag
I nuvarande patientdatalagen anges att en vårdgivare får medge en
enskild direktåtkomst till sådana uppgifter om den enskilde själv
som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2. Frågan har väckts om paragrafens lydelse ska anses förhindra att vårdgivare låter någon annan som den enskilde har utsett ta del av uppgifter om den enskilde själv genom direktåtkomst.
Inledningsvis kan konstateras att frågan inte uttryckligen berörs i förarbetena till bestämmelsen. Vare sig i patientdatautredningens betänkande eller i regeringens proposition ges någon direkt vägledning. Däremot uppmärksammar patientdatautredningen att önskemål om direktåtkomst till journaluppgifter har framförts till utredningen från företrädare för ett antal patient- och anhörigorganisationer.19 Patientdatautredningen noterar också att det är fullt möjligt för en patient att genom fullmakt ge t.ex. en anhörig rätt att begära ut journalkopior hos vårdgivaren.
Vidare uttalar regeringen i förarbetena till patientdatalagen att ”direktåtkomst skulle också kunna vara ett sätt att låta journalen följa patienten genom att denne då kan låta en vårdgivare som han eller hon besöker för första gången, ta del av uppgifterna”.20 Även om regeringen inte går närmare in på hur detta skulle kunna tänkas gå till i praktiken, ger uttalandet åtminstone fog för att anse att regeringen bedömde det som fullt möjligt för den enskilde att i en sådan situation förfoga över sin direktåtkomst.
Även om bestämd vägledning saknas i förarbetena är såväl patientdatautredningen som regeringen tydliga med att den enskildes vilja och samtycke ska respekteras. En relevant fråga är därför vilken betydelse den enskildes samtycke kan ha i detta sammanhang. Patientdatautredningen anförde bland annat följande.21
En annan fråga som i ett fall prövats rättsligt är om vårdgivare får ge en patient elektronisk tillgång, direktåtkomst, till personuppgifter om sig själv i ett vårdregister. Fallet rörde ett landsting som avsåg att ge de patienter som ansökte om det elektronisk tillgång till vissa patientjournaluppgifter m.m. (…) Här skall bara anges att länsrätten fann detta stå i strid mot vårdregisterlagen, eftersom den lagen föreskriver
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
918
att endast den som behöver det för att kunna utföra sitt arbete får ha direktåtkomst till ett vårdregister, se 8 § vårdregisterlagen. Vi är emellertid tveksamma till om 8 § vårdregisterlagen bör tolkas som en sådan bestämmelse i nationell lagstiftning som upphäver verkan av att den enskilde registrerade samtycker till en personuppgiftsbehandling; att ge enskilda registrerade direktåtkomst till personuppgifter om sig själva är nämligen att se som en personuppgiftsbehandling i sig. Det är, menar vi, en alltför vidsträckt tolkning av vårdregisterlagen i förhållande till vad som följer av personuppgiftslagens och dataskyddsdirektivets bestämmelser om när personuppgiftsbehandling är tillåten. I sammanhanget kan noteras att frågan inte berördes i vårdregisterlagens förarbeten. (…) Enligt vår uppfattning kan ifrågasättas om det är rimligt att tolka lagstiftning – som syftar till att skydda enskildas personliga integritet – såsom in dubio innebärande ett absolut förbud mot sådan personuppgiftsbehandling som den enskilde registrerade uttryckligen samtycker till eller önskar, ja kanske t.o.m. ställer krav på. Särskilt gäller detta i sådan lagstiftning som, i avsaknad av särbestämmelser, kompletteras av personuppgiftslagens bestämmelser enligt vilka uttryckligt samtycke med något undantag utgör laglig grund för personuppgiftsbehandling. Det sagda menar vi inte bara gäller i fråga om direktåtkomst utan även i fråga om andra bestämmelser i vårdregisterlagen.
Vi delar patientdatautredningens resonemang vad gäller det principiella ställningstagandet att en registrerads uttryckliga samtycke ska anses utgöra laglig grund för personuppgiftsbehandling och att det får inskränkas endast i undantagsfall när det är särskilt motiverat med hänsyn till behovet av integritetsskydd. Ett samtycke gör i princip alltid personuppgiftsbehandling tillåten enligt såväl personuppgiftslagen som dataskyddsdirektivet. Regeringen har även i förarbetena till personuppgiftslagen uttalat att det, när någon har lämnat ett frivilligt samtycke till en viss personuppgiftsbehandling, inte längre finns något integritetsskyddsintresse som gör det befogat att förbjud den behandling som den registrerade och den personuppgiftsansvarige är överens om.22
Patientdatautredningen ansåg att regeringens resonemang var av principiell karaktär och att det hade bäring på personuppgiftsbehandling i hälso- och sjukvården. Mot den bakrunden föreslogs en bestämmelses om betydelsen av patientens samtycke. I patientdatalagen återfinns därför en grundläggande bestämmelse i 2 kap. 3 § som tydliggör att sådan behandling av personuppgifter som inte är tillåten enligt lagen ändå får utföras om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Av paragrafen
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
919
framgår även att det finns ett undantag från den huvudregeln, vilket innebär att en vårdgivare inte ens med den enskildes samtycke kan ta del av uppgifter i system för sammanhållen journalföring för andra ändamål än de som är uttryckligen tillåtna enligt patientdatalagen. Något undantag som skulle begränsa patientens möjligheter att i övriga situationer samtycka till frågor om personuppgiftsbehandling finns däremot inte.
Samtidigt finns skäl att analysera vilken betydelse bestämmelsen i 5 kap. 4 § PDL kan ha i detta sammanhang. Enligt den bestämmelsen gäller att utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. Regeringen motiverade bestämmelsen enligt följande.23
Direktåtkomst är en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter inom hälso- och sjukvården. Det finns därför anledning att genom reglering i patientdatalagen klargöra i vilka fall direktåtkomst får förekomma till personuppgifter som behandlas enligt lagen. Sådant utlämnande bör därför bara få ske i den utsträckning som medges i lag eller förordning.
Någon ytterligare motivering eller vägledning kring bestämmelsen lämnas dessvärre inte av regeringen. Inte heller redovisas hur bestämmelsen ska tillämpas och ställas i relation till bestämmelsen om betydelsen av patientens samtycke i 2 kap. 3 §. Vidare ger inte patientdatautredningens betänkande någon ytterligare vägledning, utan utredningen anför motsvarande motivering som regeringen gör ovan. Samtidigt utesluter patientdatautredningen inte att det på vissa specialområden inom hälso- och sjukvården kan finnas skäl att tillåta ytterligare direktåtkomst än vad utredningen föreslog, men att det får utredas och övervägas i särskild ordning.24
En omständighet som kan tyda på att avsikten med bestämmelsen i 5 kap. 4 § inte varit att generellt inskränka den enskildes möjlighet att samtycka i vissa frågor om direktåtkomst är det ovan redovisade uttalandet från patientdatautredningen angående betydelsen av den enskildes samtycke. Patientdatautredningen anförde, med särskilt fokus på frågan om direktåtkomst, att det kan ifrågasättas om det är rimligt att tolka lagstiftningen som ett absolut förbud mot sådan personuppgiftsbehandling som den enskilde uttryckligen samtycker till eller önskar. Vi delar denna principiella uppfattning.
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
920
Men, oavsett hur det inbördes förhållandet mellan 2 kap. 3 § och 5 kap. 4 § PDL tolkas anser vi att den situation som här är för handen handlar om en personuppgiftsbehandling som är tillåten i förhållande till den enskilde. Det innebär, enligt vår bedömning, att personuppgiftsbehandlingen även är tillåten för den som agerar i den enskildes ställe. I enlighet med vad som anfördes inledningsvis är en vårdnadshavare som agerar i sitt barns ställe eller en legal ställföreträdare som agerar i en enskilds ställe, normalt att jämställas med den registrerade (dvs. den enskilde). Dessa kan då få del av den enskildes uppgifter på motsvarande sätt och under samma förutsättningar som gäller för den enskilde själv. En sådan ordning är även möjlig att uppnå i andra sammanhang där den enskilde önskar att någon annan agerar i den enskildes ställe, dvs. när den enskilde exempelvis ger någon annan en fullmakt att vidta åtgärder för den enskildes räkning. Såvitt utredningen bedömer hindrar inte gällande rätt att enskilda genom sitt medgivande, t.ex. genom en fullmakt, ger någon annan befogenhet att ta del av personuppgifter eller vidta åtgärder som leder till personuppgiftsbehandling. Som exempel på detta kan nämnas de fullmakter mellan privatpersoner som eHälsomyndigheten tillhandahåller. Genom en sådan fullmakt kan en enskild ge en eller flera andra privatpersoner fullmakt att för den enskildes räkning t.ex. hämta ut läkemedel, hämta ut information om elektroniska recept, lämna samtycke till personuppgiftsbehandling i högkostnadsdatabasen och till att recept sparas elektroniskt.
Utredningen ser ingen anledning att göra någon annan bedömning när det gäller en enskilds möjligheter att låta någon annan agera i den enskildes ställe i frågor om direktåtkomst till den enskildes personuppgifter. Vi bedömer därför att gällande rätt inte hindrar en enskild att lämna medgivande till någon annan att ta del av den enskildes uppgifter hos vårdgivare eller i socialtjänsten genom direktåtkomst. Med stöd av ett sådant medgivande anser vi att hälso- och sjukvården och socialtjänsten redan i dag kan lämna ut uppgifter genom direktåtkomst till någon som den enskilde utsett.
Samtidigt anser vi att det är viktigt att lagregleringen blir så tydlig som möjligt och att eventuella tillämpnings- och tolkningssvårigheter inte hindrar en önskad utveckling. Utredningen bedömer att enskilda kan ha stor nytta av att ge närstående tillgång till korrekta och aktuella uppgifter som dokumenterats i hälso- och sjukvården och socialtjänsten. Med tillgång till rätt information får
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
921
närstående bättre förutsättningar att bistå i frågor om hälso- och sjukvård och socialtjänst samt ökade möjligheter att bevaka den enskildes intressen.
Mot bakgrund av behoven av ökad tydlighet bedömer vi således att hälso- och sjukvårdsdatalagen och socialtjänstdatalagen bör innehålla bestämmelser som uttryckligen medger att enskilda kan förfoga över sin direktåtkomst.
Närmare om vårt förslag
Vår sammantagna bedömning att enskilda som är i stånd att fatta beslut i de här aktuella frågorna om personuppgiftsbehandling bör kunna förfoga över sin direktåtkomst i den utsträckning som praktiskt görs möjligt av vårdgivare och de som bedriver socialtjänst. Vi föreslår således att det både för hälso- och sjukvårdens och socialtjänstens del tydliggörs att det är tillåtet att lämna ut uppgifter om den enskilde genom direktåtkomst inte bara till den enskilde själv, utan även till någon annan enskild som den enskilde utser. I en sådan situation bedömer vi att den enskilde lämnat medgivande till någon annan att agera i den enskildes ställe.
Även om enskilda redan i dag möjligen kan anses ha en i det närmaste oinskränkt rätt att själv förfoga över den direktåtkomst det handlar om, bedömer vi samtidigt att lagen endast bör tydliggöra vad som ska gälla i den situation som vi har analyserat och motiverat. Av det skälet anser vi att lagstiftningen endast bör tydliggöra möjligheten att låta andra enskilda få direktåtkomst. Genom den begränsningen tydliggörs att lagstiftaren särskilt tagit ställning till att medge en annan enskild, inte t.ex. arbetsgivare eller försäkringsbolag, direktåtkomst till uppgifter hos vårdgivare eller de som bedriver socialtjänst. Vi bedömer även att detta ligger helt i linje med motiven bakom vårt förslag. Den bakomliggande tanken är att det ska vara möjligt för enskilda att låta andra enskilda, t.ex. närstående, som på olika sätt är delaktiga i den enskildes vård och omsorg, ta del av korrekta och aktuella uppgifter på ett ändamålsenligt sätt.
Vidare bedömer utredningen att regleringen i offentlighets- och sekretesslagen medger att en patient på detta sätt släpper på sekretessen mot en annan enskild, t.ex. en närstående. Av 12 kap. 1 § OSL följer att en enskild kan helt eller delvis häva sekretessen som gäller till skydd för honom eller henne. Om en enskild
Kommunikation mellan vård- och omsorgsaktörer och medborgare SOU 2014:23
922
eftergivit sekretessen till förmån för någon annan, inte minst om det är en närstående, bör det så långt möjligt respekteras. Det ligger även i linje med de grundläggande kraven i hälso- och sjukvårdslagen (1982:763) och socialtjänstlagen om att verksamheten ska byggas på respekt för patientens självbestämmande och integritet.
En grundläggande förutsättning är, som ovan nämnts, att den enskilde har möjligheter att själv fatta beslut i frågor som rör sekretess och personuppgiftsbehandling. Eftersom direktåtkomst trots allt är en mer integritetskänslig form av utlämnande, bl.a. eftersom tillgången till uppgifter är omedelbar, är det också viktigt att den enskilde i praktiken också tillhandahålls ändamålsenliga möjligheter att vid behov snabbt ändra sin bedömning såväl i sekretessfrågan som i frågan om direktåtkomst. Den enskilde bör därmed enkelt kunna ta tillbaka eller begränsa tidigare gjorda medgivanden till direktåtkomst. I annat fall uppstår risker för integritetsförluster för den enskilde som vill förfoga över spridningen av sina uppgifter genom att ta tillbaka tilldelade rättigheter.
Ur ett praktiskt perspektiv bör det gå att utveckla tekniska lösningar som gör det möjligt för enskilda att förfoga över sin direktåtkomst på sätt som här beskrivits. Medgivandet till personuppgiftsbehandlingen och eftergivandet av sekretessen skulle möjligen kunna konstrueras på så sätt att den enskilde, efter att ha fått information om förutsättningarna för att dela ut dessa möjligheter till andra, loggar in med stark autentisering och anger att medgivandet avser en utpekad person. De närmare tillvägagångssätten för detta bör vara upp till hälso- och sjukvårdens och socialtjänstens aktörer att ta fram och utforma på ett ändamålsenligt och säkert sätt.
Om ovanstående inte skulle vara möjligt kan alternativet befaras bli att enskilda, som inte har ett personligt hälsokonto, låter andra personer använda den enskildes e-legitimation eller motsvarande för att därigenom uppnå samma effekt. Vi bedömer att det finns flera nackdelar med en sådan utveckling. En uppenbar nackdel är självklart att processen i sådana fall inte är lika transparent ifråga om vem som får del av uppgifter om enskilda och hur det närmare går till. Vidare finns ingen möjlighet att i efterhand avgöra om det är patienten själv som tagit del av informationen eller om det i själva verket varit någon annan. Även med tanke på hur elegitimationer i egenskap av värdehandlingar bör hanteras finns betänkligheter med en sådan utveckling.
SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare
923
Även det faktum att den enskilde bedöms ha fulla möjligheter att låta andra ta del av utlämnade uppgifter om de väl lagrats i ett personligt hälsokonto, talar för att det inte bör vara någon skillnad ifall åtkomsten istället ges direkt till system hos vårdgivaren eller den som bedriver verksamhet inom socialtjänst. Det handlar i dessa fall om samma uppgifter och i praktiken även om samma omedelbara tillgång.
Ytterligare en omständighet som talar för att denna möjlighet tydligt bör anges i lagen är att det inte heller kan uteslutas att det i framtiden utvecklas ytterligare varianter på de sätt som är möjliga för en enskild att dela med sig av uppgifter. Den kan exempelvis utvecklas tekniska funktioner som gör det möjlighet för den enskilde att förfoga över utlämnade uppgifter på andra sätt än genom att de först lagras i ett personligt hälsokonto.
925
34 Internationellt informationsutbyte
34.1 Bakgrund
I utredningens uppdrag ingår att analysera och redovisa vilka rättsliga och andra hinder som finns för vårdgivare i Sverige att med en patients samtycke på elektronisk väg lämna ut uppgifter om patienten till vårdgivare i andra länder. Om gällande rätt hindrar sådant uppgiftslämnande ska utredaren lämna författningsförslag som gör uppgiftslämnandet möjligt. Såsom direktiven får förstås, ska analysen omfatta möjligheterna till utlämnande även till länder utanför EES.
I direktiven anges följande som skäl till varför utredningen ges detta uppdrag. Det finns behov av att kunna utbyta personuppgifter mellan länder både när det gäller vårdinsatser och läkemedel. Svenska medborgare kan t.ex. behöva söka vård när de är utomlands eller ha möjlighet att hämta ut recept som förskrivits i Sverige. Samtidigt är förstås den nationella lagstiftningen specifik för Sverige. Det finns därför skäl att utreda vilka rättsliga och andra hinder som finns för vårdgivare i Sverige att på elektronisk väg lämna ut uppgifter om patienter till vårdgivare i andra länder. Utredaren bör beakta det pågående projektet Smart Open Services for European Patients (epSOS), som är ett pilotprojekt för gränsöverskridande vårdtjänster. Syftet är att möjliggöra elektronisk överföring av recept och patientöversikter mellan länder i Europa. För närvarande deltar 23 europeiska länder i projektet.
I föreliggande avsnitt analyseras och redovisas vilka rättsliga och andra hinder som finns för vårdgivare i Sverige att med en patients samtycke på elektronisk väg lämna ut uppgifter om patienten till vårdgivare i andra länder. Vidare analyseras och redovisas vilka rättsliga och andra hinder som finns för E-hälsomyndigheten att med en patients samtycke på elektronisk väg lämna ut uppgifter om patientens läkemedel till apotek i andra länder.
Internationellt informationsutbyte SOU 2014:23
926
34.2 Våra överväganden om elektroniskt utlämnande till vårdgivare i andra länder
34.2.1 Utlämnande med den enskildes samtycke
Vår bedömning:Patientdatalagen (2008:355), offentlighets- och
sekretesslagen (2009:400) samt personuppgiftslagen (1998:204) medger att patientuppgifter med stöd av patientens uttryckliga samtycke lämnas ut till vårdgivare i andra länder.
Inledningsvis kan konstateras att patientdatalagen, förkortad PDL, är tillämplig på den behandling som en vårdgivare gör i samband med utlämnandet av patientuppgifter till en annan vårdgivare.
Frågan är då med vilket stöd i patientdatalagen som ett utlämnande till en annan vårdgivare kan göras. För besvarandet av den frågan ges i utredningens direktiv en särskild förutsättning, nämligen att analysen ska avse den situationen när patienten har lämnat sitt samtycke till den personuppgiftsbehandling som utlämnandet innebär.
Ett samtycke är av betydelse för behandlingens förenlighet med patientdatalagen. I 2 kap. 3 § första stycket PDL framgår att behandling av personuppgifter som inte är tillåten enligt patientdatalagen ändå får göras, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte i de fall som anges i 6 kap. 5 § PDL eller om något annat framgår av annan lag eller förordning.
Enligt förarbetena till 2 kap. 3 § första stycket PDL innebär bestämmelsen att som huvudregel ska gälla att personuppgifter kan samlas in och behandlas för ett ändamål som inte anges i patientdatalagens ändamålsbestämning, se 2 kap. 4 § PDL, om den enskilde har lämnat ett uttryckligt samtycke till detta.1
Beträffande innebörden av ett uttryckligt samtycke sägs i förarbetena att något skriftligt samtycke från den enskilde i och för sig inte fordras, men att det ändå många gånger kan vara lämpligt att ha ett sådant för att förebygga eventuella framtida tvister.2
Vad gäller den närmare innebörden av vad ett uttryckligt samtycke ska anses vara vid tillämpning av patientdatalagen, söker förarbetena ledning i vad som gäller vid tillämpningen av person-
SOU 2014:23 Internationellt informationsutbyte
927
uppgiftslagen, förkortad PUL.3 Enligt 3 § PUL är ett samtycke ”varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne”. Att ett samtycke är uttryckligt, anser Datainspektionen i sin informationsskrift om samtycke innebära att samtycket måste komma till uttryck på ett särskilt tydligt sätt och att konkludent handlande i normalfallet inte är godtagbart när samtycket ska vara uttryckligt. För övrigt gäller även personuppgiftslagen vid sådan behandling av personuppgifter inom hälso- och sjukvården, om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av patientdatalagen.
I 5 kap. 1 och 2 §§ PDL finns hänvisningar till bestämmelser i andra författningar om möjligheten för vårdgivare att lämna ut patientuppgifter inom den allmänna respektive den enskilda hälso- och sjukvården. Bland annat hänvisas där till offentlighets- och sekretesslagen, förkortad OSL, och patientsäkerhetslagen (2010:659), förkortad PSL, som bägge innehåller bestämmelser som är av betydelse för om ett utlämnande får göras.
För uppgifter inom den offentliga hälso- och sjukvården om en enskilds hälsotillstånd eller andra personliga förhållanden, gäller enligt 25 kap. 1 § OSL sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Motsvarande bestämmelse för den enskilda hälso- och sjukvården finns i 6 kap. 12 § första stycket PSL. Vid tillämpning av bestämmelsen kan viss ledning hämtas från motsvarande bestämmelse i OSL.4
Av 12 kap. 2 § första stycket OSL framgår att en enskild helt eller delvis kan häva sekretess som gäller till skydd för honom eller henne, om inte annat anges i offentlighets- och sekretesslagen.
Vår sammanfattande bedömning
Utredningens sammanfattande bedömning är att varken patientdatalagen, offentlighets- och sekretesslagen eller personuppgiftslagen hindrar ett utlämnande med patientens uttryckliga samtycke av patientuppgifter till en annan vårdgivare. Men i person-
3Prop. 2007/08:126 s. 64. 4 Socialstyrelsens vägledning Sekretess och tystnadspliktsgränser i socialtjänsten och hälso- och sjukvården s. 18.
Internationellt informationsutbyte SOU 2014:23
928
uppgiftslagen ställs vissa krav som måste vara uppfyllda för att det ska anses vara frågan om ett uttryckligt samtycke, som kan utgöra laglig grund för behandling av känsliga personuppgifter.
34.2.2 Elektroniskt utlämnande på medium för automatiserad behandling till andra länder
Vår bedömning:Patientdatalagen, offentlighets- och sekretess-
lagen samt personuppgiftslagen medger att patientuppgifter med stöd av patientens uttryckliga samtycke lämnas ut på medium för automatiserad behandling till vårdgivare i andra länder. Samtidigt ställs i patientdatalagen och personuppgiftslagen m.m. tydliga krav på hur ett sådant utlämnande ska gå till för att vara lagligt.
Frågan är då om gällande rätt tillåter att en vårdgivare på elektronisk väg lämnar ut uppgifter om patienten till vårdgivare i andra länder.
I 5 kap. 6 § PDL anges att om en personuppgift får lämnas ut, får det göras på ”medium för automatiserad behandling”. Uttrycket används för att skilja den nämnda formen för elektroniskt utlämnande från den form som i allmänhet kallas för ”elektronisk åtkomst” eller ”direktåtkomst”. För denna sistnämnda form av elektronisk utlämnande, har i patientdatalagen skapats en särskild term – ”sammanhållen journalföring”.
Med medium för automatiserad behandling avses enligt förarbetena följande.5
…förenklat uttryckt, elektroniskt utlämnande utan möjlighet för mottagaren att själv bereda sig tillgång till uppgifterna t.ex. genom användning av e-post, utlämnande på cd-rom eller genom filöverföring från ett datorsystem till ett annat. Vid denna typ av utlämnande fattas ett beslut om överföring av den som lämnar ut uppgifterna. Som regel innefattar denna typ av utlämnande att informationen lämnas ut i en form som medför att mottagaren kan bearbeta informationen. Bearbetningsmöjligheterna är dock inte avgörande för om det är fråga om ett utlämnande på automatiserat medium eller inte. Som exempel kan anföras att då en låst elektronisk handling skickas som bilaga i epost eller om en cd-rom lämnas ut med lagrad information och kvalificerat kopieringsskydd är det enligt regeringens uppfattning fråga om ett utlämnande på medium för automatiserad behandling. Till
SOU 2014:23 Internationellt informationsutbyte
929
skillnad från elektronisk åtkomst och direktåtkomst sker vid annat utlämnande på medium för automatiserad behandling en prövning i varje enskilt fall av om uppgifterna kan lämnas ut eller om exempelvis sekretessbestämmelser utgör hinder för utlämnande.
I utredningen är den situationen aktuell, att patientuppgifterna lämnas ut till en vårdgivare i annat land. När det gäller elektroniskt utlämnande på medium för automatiserad behandling, gör det ingen skillnad i patientdatalagens mening. Det innebär att så länge kraven för ett sådant utlämnande är uppfyllda, spelar det i princip ingen roll vem som är mottagare av uppgifterna, det kan röra sig som om en vårdgivare, privatperson eller annan typ av verksamhet än hälso- och sjukvård.
Säkerhetsåtgärder
Ett elektroniskt utlämnande på medium för automatiserad behandling får dock endast göras om tillräckliga och i lag och föreskrift föreskrivna säkerhetsåtgärder vidtas vid den behandling som utlämnandet innebär.
Kraven på säkerhetsåtgärder framgår av flera bestämmelser – av 4 kap. patientdatalagen, av Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården och av personuppgiftslagen.
I 2 kap. 5 § nämnda föreskrifter anges exempelvis att om vårdgivaren använder ett öppet nät, såsom Internet eller Sjunet, för att lämna ut patientuppgifter, ska vårdgivaren ansvara för att det i ledningssystemet finns rutiner som säkerställer att överföring av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna, och att åtkomst till patientuppgifter föregås av stark autentisering. Liknande krav framgår även av Datainspektionens allmänna råd om säkerhet för personuppgifter.
Överföring till tredje land
Patientdatalagen innehåller inga särskilda bestämmelser om överföring av personuppgifter till andra länder. Som framgått ovan, gäller förutom patientdatalagen även personuppgiftslagen när personuppgifter behandlas inom hälso- och sjukvården (så länge
Internationellt informationsutbyte SOU 2014:23
930
inte annat följer av patientdatalagen eller av föreskrifter som meddelats med stöd av patientdatalagen).
Personuppgiftslagen hindrar inte att personuppgifter förs över till länder inom EES. Till länder utanför EES-området (vilka i personuppgiftslagen benämns ”tredje land”) gäller dock enligt 33 § PUL ett principiellt förbud för överföring, men med en rad undantag. Bland annat är överföring till tredje land möjlig enligt 34 § PUL om den registrerade har lämnat sitt samtycke till överföringen. För att vara giltigt i detta sammanhang, måste det vara tydligt att samtycket avser just överföring av den registrerades personuppgifter till tredje land.
Rekommendationer föranledda av epSOS
Bestämmelserna i patientdatalagen och personuppgiftslagen ska tillsammans med de föreskrifter som meddelats med stöd av dessa lagar, genomföra EU:s dataskyddsdirektiv när det gäller behandling av personuppgifter inom hälso- och sjukvården. Vid en analys av vilka krav som bör ställas på ett elektroniskt utlämnande av uppgifter från hälso- och sjukvården, bör därför den praxis som utbildats på EU-gemensam nivå beaktas.
För att dataskyddsdirektivet ska tillämpas på ett enhetligt sätt i medlemsstaterna har man bildat den s.k. Artikel 29-gruppen. Gruppen består av, bland andra, en företrädare för varje nationell tillsynsmyndighet i EU-medlemsstaterna.
Artikel 29-gruppen har lämnat vissa rekommendationer beträffande just överföring av personuppgifter om hälsa och läkemedel, såsom den är tänkt att göras inom ramen för det s.k. epSOSprojektet. EpSOS (European Patients Smart Open Services) är ett pågående projekt för gränsöverskridande vårdtjänster. Syftet med epSOS är att möjliggöra elektronisk överföring av recept och patientuppgifter från hälso- och sjukvården mellan länder i Europa. Efter att på en övergripande nivå ha granskat epSOS, lämnade Artikel 29-gruppen i januari 2012 en rad olika rekommendationer i syfte att vägleda projektet när det gäller tillämpningen av de viktigaste principerna i dataskyddsdirektivet.
Rekommendationerna handlar både om behandlingens laglighet som om vilka säkerhetsåtgärder som är nödvändiga. Eftersom rekommendationerna är generellt hållna, är de relevanta för alla
SOU 2014:23 Internationellt informationsutbyte
931
system för överföring av känsliga personuppgifter såväl inom som utanför EES.
För det som i detta sammanhang är av intresse, rekommenderar Artikel 29-gruppen i huvudsak följande.
• Behandlingen av uppgifter om hälsa måste ha en tydlig laglig grund. Ett samtycke i två steg kan vara en sådan laglig grund, när det saknas annan laglig grund såsom stöd i författning. (Det första samtycket som inhämtas avser att patientens uppgifter görs tillgängliga inom epSOS-systemet och det andra samtycket avser tillfället när en vårdgivare eller ett apotek får faktisk åtkomst till patientens uppgifter).
• Behandlingen av personuppgifter ska vara strikt begränsad till det minimum som är nödvändigt för att uppfylla epSOS syften, vilka måste vara särskilda, uttryckliga och legitima.
• För att säkerställa att uppgifterna inte sparas längre än nödvändigt i epSOS-systemet, bör en maximal lagringstid fastställas och likaså en gemensam rutin för som vad skall hända med uppgifterna i slutet av lagringsperioden.
• Varje sökning efter personuppgifter som är tillgängliga via epSOS måste föranledas av ett verkligt behov av tillgång till specifik information om den vård eller behandling som ska ges eller det läkemedel som ska förskrivas eller dispenseras i ett särskilt fall.
• En hög IT-säkerhetsnivå är nödvändig i epSOS. Särskilt följande åtgärder och överenskommelser är nödvändiga för att fullt ut beakta de säkerhetsprinciper som följer av dataskyddsdirektivet och av de särskilda riskerna i samband med behandlingen av personuppgifter i epSOS-systemet: - All personal som genomför projektet ska ges tydliga, skriftliga instruktioner om hur de ska använda epSOSsystemet i syfte att förhindra säkerhetsrisker och brott. - Lämpliga åtgärder ska vidtas vid användning av lagrings-och arkiveringssystem för patientöversikten och e-recepten för att skydda data mot obehörig åtkomst, stöld och partiell eller total förlust av lagringsmedia.
Internationellt informationsutbyte SOU 2014:23
932
- För dataöverföringen måste säkra kommunikationsprotokoll
och punkt-till-punkt-kryptering (”end-to-end-encryptation”) användas som baseras på krypteringsstandarder för en säker elektronisk kommunikation. - Särskild uppmärksamhet måste ägnas åt att anta ett pålitligt
och effektivt elektroniskt identifieringssystem som ger stark autentisering (av både anställda och patienter). - Systemet måste på ett korrekt sätt kunna registrera och
spåra de enskilda verksamheter som tillsammans utgör den totala databehandlingen. - Obehörig åtkomst till data och/eller förändringar av data
ska förhindras när back-up uppgifter överförs och/eller lagras (t.ex. med hjälp av kryptering). - När det gäller e-receptsystemet, bör ytterligare åtgärder
sättas in för att säkerställa att apoteksaktörer bara kan komma åt elektroniska recept för att tillhandahålla de läkemedel som förskrivits. - Varje åtkomst som görs i nödsituationer ska loggas och
granskas.
• Alla personuppgiftsansvariga som behandlar uppgifter inom ramen för epSOS-projektet måste ge de registrerade rätt till tillgång till och rättelse/radering/blockering av deras egna uppgifter.
I sammanhanget kan noteras att Sverige inom ramen för epSOSsamarbetet i dagsläget tillämpar just ett sådant samtycke i två steg som artikel 29-gruppen rekommenderar.
I övrigt kan beträffande epSOS-projektet sägas att det involverar elektronisk överföring av patientuppgifter mellan vårdgivare och mellan apoteksaktörer i olika länder. Utredningen har dock inte klarlagt om överföringen utförs genom direktåtkomst eller genom det som i svensk lagstiftning benämns ”på medium för automatiserad behandling”. Det bedöms inte ligga inom ramen för vårt uppdrag.
SOU 2014:23 Internationellt informationsutbyte
933
Vår sammanfattande bedömning
Sammanfattningsvis kan konstateras att såväl patientdatalagen som personuppgiftslagen och offentlighets- och sekretesslagen gör det möjligt för vårdgivare att med en patients uttryckliga samtycke på elektronisk väg lämna ut uppgifter om patienter till vårdgivare i andra länder, på det sätt som i patientdatalagen benämns utlämnande på medium för automatiserad behandling.
Likaså kan konstateras att det i patientdatalagen, i författningar som meddelats med stöd av patientdatalagen, i personuppgiftslagen och i dataskyddsdirektivet såsom det uttolkats av Artikel 29gruppen, ställs tydliga krav på hur ett sådant utlämnande ska gå till för att vara lagligt.
34.2.3 Får ett elektroniskt utlämnande göras genom direktåtkomst?
Vår bedömning:Patientdatalagen, offentlighets- och sekretess-
lagen samt patientsäkerhetslagen hindrar en vårdgivare från att lämna ut uppgifter om en patient till vårdgivare i andra länder genom direktåtkomst, även om patienten har lämnat sitt uttryckliga samtycke till utlämnandet.
Som framgår ovan får ett utlämnande göras på medium för automatiserad behandling till länder såväl inom som utanför EES, om kraven i här aktuell lagstiftning är uppfyllda, dvs. att det finns ett uttryckligt samtycke (och ingen annan sekretess gäller som den enskilde inte kan efterge) samt att den elektroniska överföringen görs på ett tillräckligt säkert sätt som uppfyller de krav som finns i lag och föreskrifter.
Enligt patientdatalagen är även en annan form för elektroniskt utlämnande möjlig mellan olika vårdgivare – utlämnande genom direktåtkomst. Av 5 kap. 4 § första stycket PDL framgår att utlämnande genom direktåtkomst till personuppgifter inom hälso- och sjukvården är tillåten, men endast i den utsträckning som anges i lag eller förordning.
Utlämnande genom direktåtkomst har således av lagstiftaren omgärdats av särskilda skyddsregler. I patientdatalagen kallas sådan direktåtkomst mellan olika vårdgivare för sammanhållen journalföring och regleras i huvudsak i lagens kapitel 6.
Internationellt informationsutbyte SOU 2014:23
934
I 6 kap. patientdatalagen uppställs en rad legala krav för sammanhållen journalföring. Bland annat gäller enligt 6 kap. 1–3 §§ PDL att utbyte av patientuppgifter genom direktåtkomst i system för sammanhållen journalföring bara får göras:
• rörande uppgifter som behandlas för de ändamål som anges i 2 kap. 4 § första stycket 1 och 2 PDL.
• om patienten i förväg informerats om vad den sammanhållna journalföringen innebär och om att hon eller han kan motsätta sig att vissa uppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
• om patienten inte redan i förväg motsatt sig direktåtkomsten.
• om andra vårdgivare kan få veta att det i systemet finns ospärrade uppgifter om patienten, utan att samtidigt få veta vilken vårdgivare som har gjort uppgifterna tillgängliga och uppgifternas innehåll.
• om den mottagande vårdgivaren har en aktuell patientrelation med patienten.
• om uppgifterna kan antas ha betydelse för att hos den mottagande vårdgivaren förebygga, utreda eller behandla sjukdomar och skador hos patienten.
• om patienten samtycker till att den mottagande vårdgivaren tar del av personuppgifterna.
• under förutsättning att alla inblandade vårdgivare tillämpar bestämmelserna i 4 kap. 2 och 3 §§ PDL om behörighetstilldelning och åtkomstkontroll även vid sammanhållen journalföring.
Det framgår tydligt i patientdatalagen att brister i uppfyllandet av dessa krav inte går att läka med hjälp av ett samtycke till att den mottagande vårdgivaren inte skulle behöva följa dem. I 6 kap. 5 § anges nämligen att en vårdgivare inte får behandla en annan vårdgivares uppgifter om en patient i systemet med sammanhållen journalföring under andra förutsättningar än dem som anges i 6 kap. 3 och 4 §§ även om patienten uttryckligen samtycker till det. Denna bestämmelse går enligt 2 kap. 3 § första stycket PDL inte att ”samtycka bort”.
SOU 2014:23 Internationellt informationsutbyte
935
Anledningen till att lagstiftaren omgärdat sammanhållen journalföring med särskilda skyddsregler är att direktåtkomst anses som en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter. Lagstiftaren betonar därför att utlämnande genom direktåtkomst bara får användas i den utsträckning det är tillåtet i lag eller förordning.6
Lagstiftarens avsikt har varit att den vårdgivare som gör uppgifter tillgängliga för andra vårdgivare vid sammanhållen journalföring inte ska behöva göra någon sekretessprövning i varje enskilt fall. Av den anledningen och eftersom sekretess annars gäller för patientuppgifter inom hälso- och sjukvården, samt eftersom bestämmelser om direktåtkomst inte har sekretessbrytande effekt i sig, har bestämmelserna om sammanhållen journalföring i patientdatalagen behövt kombineras med särskilda sekretessbrytande regler.
Den sekretessbrytande regel som är aktuell här återfinns i 25 kap. 11 § tredje punkten OSL. Enligt bestämmelsen hindrar inte hälso- och sjukvårdssekretessen enligt 25 kap. 1 § OSL att uppgift lämnas till en myndighet som bedriver hälso- och sjukvård eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen.
I patientdatalagens förarbeten anges tydligt att lagstiftaren ansett det vara av största vikt att alla villkor i regelverket för sammanhållen journalföring verkligen är uppfyllda när uppgifter lämnas ut genom sammanhållen journalföring.7
För att patienterna ska vara villiga att låta uppgifterna vara ospärrade är det viktigt att de integritetsgarantier som föreslås i patientdatalagen i förhållande till övriga vårdgivare som är anslutna till systemet verkligen fungerar. Som nämnts ovan är en av de integritetsgarantier som föreslås i patientdatalagen beträffande ospärrade uppgifter att patienten ges en rätt att, frånsett nödsituationer och liknande, bestämma över den faktiska spridningen då patienten vid senare tillfällen söker vård genom att denne då ges möjlighet att neka vårdgivaren möjlighet att få titta på ospärrade uppgifter om patienten som en annan vårdgivare gjort tillgängliga för vårdgivaren. Förutom patientens samtycke krävs även att vissa andra förutsättningar är uppfyllda för att en vårdgivare ska få behandla ospärrade uppgifter t.ex. att det finns en aktuell patientrelation, att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården eller att patientens samtycke inte kan inhämtas och uppgifterna kan antas ha betydelse för den vård patienten oundgängligen behöver, se 6 kap.3 och 4 §§patientdatalagen.
6Prop. 2007/08:126 Patientdatalag m.m., s. 76. 7Prop. 2007/08:126 Patientdatalag m.m., s. 129.
Internationellt informationsutbyte SOU 2014:23
936
Om inte samtliga villkor i patientdatalagen är uppfyllda, gäller enligt 5 kap. 2 § första stycket OSL absolut sekretess för sådana uppgifter hos den mottagande vårdgivaren. Bestämmelsen om absolut sekretess har införts mot bakgrund av att handlingar med ospärrade uppgifter som huvudregel utgör allmänna handlingar hos alla vårdgivare som är anslutna till ett system med sammanhållen journalföring. Syftet med bestämmelsen om absolut sekretess är att en vårdgivare, som enligt patientdatalagen saknar befogenhet att ta del av ospärrade uppgifter som en annan vårdgivare gjort tillgängliga för vårdgivaren, inte ska behöva ta del av dessa uppgifter för att kunna avgöra sekretessfrågan om uppgifterna begärs ut.8
I förarbetena betonas flera gånger hur viktigt det är att det finns särskilda regler till skydd för patienternas personliga integritet som gäller för den mottagande vårdgivaren i ett system för sammanhållen journalföring, dvs. när utlämnande görs genom direktåtkomst. Bland annat anges följande.9
Skyddet för den enskildes personliga integritet vid sammanhållen journalföring är tillgodosett bl.a. genom patientdatalagens regler om patientens inflytande vid sådan journalföring och den bestämmelse om absolut sekretess hos en vårdgivare för sådana ospärrade uppgifter som vårdgivaren saknar befogenhet att ta del av enligt patientdatalagen (…).
Datainspektionens praxis
Datainspektionen har i flera inspektionsärenden funnit att brister i hur vårdgivaren uppfyller kraven i patientdatalagen och Socialstyrelsens föreskrifter kan innebära att behandlingen av patientuppgifter inom ramen för sammanhållen journalföring måste betraktas som olaglig och att vårdgivare vid vite kan förbjudas att fortsätta behandla personuppgifterna i ett system för sammanhållen journalföring så länge inte kraven i patientdatalagen är uppfyllda.
I ett ärende konstaterade Datainspektionen att en vårdgivare genom att inte uppfylla alla kraven i patientdatalagen och i Socialstyrelsens föreskrifter, behandlade personuppgifter på ett olagligt sätt inom ramen för sammanhållen journalföring. Bristerna var enligt inspektionen de tre följande. För det första kunde
SOU 2014:23 Internationellt informationsutbyte
937
användarna inte ta del av uppgift om att det finns ospärrade uppgifter om patienten, utan att samtidigt ta del av uppgift om vilken/vilka vårdgivare som har gjort uppgiften tillgänglig. För det andra visades i den sammanhållna journalföringen vilken/vilka vårdgivare som hade ospärrade uppgifter innan ett samtycke till behandlingen av uppgifterna hade inhämtats från patienten. Och för det tredje hade en användare som utgångspunkt alltid direktåtkomst till ospärrade uppgifter hos alla vårdgivare som ingick i den sammanhållna journalföringen.10
I ett annat ärende förklarade Datainspektionen att en vårdgivare – om den inte omgående började informera alla sina patienter om den sammanhållna journalföringen och om rätten att motsätta sig sammanhållen journalföring – vid vite skulle förbjudas att fortsätta att tillgängliggöra personuppgifter för andra vårdgivare i ett system för sammanhållen journalföring.11
Vår sammanfattande bedömning
Möjligheten i patientdatalagen och offentlighets- och sekretesslagen till sammanhållen journalföring mellan vårdgivare bygger således på att den mottagande vårdgivaren är bunden av och tillämpar regelverket för sammanhållen journalföring, dvs. att mottagande vårdgivare är skyldig att uppfylla de i 4 och 6 kap. patientdatalagen uppräknande kraven, i annat fall är inte den sekretessbrytande regeln i 25 kap. 11 § OSL tillämplig. Vidare förutsätter systemet med sammanhållen journalföring att absolut sekretess råder för uppgifter som den mottagande vårdgivaren inte har laglig rätt att ta del av. Det innebär att sammanhållen journalföring inte är tillåtet, om den mottagande vårdgivaren inte är tvungen att tillämpa alla kraven i patientdatalagen och inte heller om den mottagande vårdgivaren inte är bunden av offentlighets- och sekretesslagen.
Eftersom endast vårdgivare i Sverige är lagligen bundna av bestämmelserna om sammanhållen journalföring i patientdatalagen och OSL, är ett utlämnande till vårdgivare utanför Sverige varken förenligt med patientdatalagen, med offentlighets- och sekretesslagen eller med patientsäkerhetslagen.
10 Datainspektionens beslut 2012-02-21, dnr. 642–2011. 11 Datainspektionens beslut 2011-01-20, dnr. 461–2010.
Internationellt informationsutbyte SOU 2014:23
938
Sammanfattningsvis kan konstateras att patientdatalagen, offentlighets- och sekretesslagen och patientsäkerhetslagen hindrar en vårdgivare från att lämna ut uppgifter om en patient till vårdgivare i andra länder genom elektronisk direktåtkomst (i patientdatalagen benämnd sammanhållen journalföring), även om patienten har lämnat sitt uttryckliga samtycke till utlämnandet.
34.2.4 Är detta förenligt med EU-rätten?
Vår bedömning: Det är inte oförenligt med EU-rätten att
nationell svensk, lagstiftning begränsar utlämnande genom direktåtkomst till att endast vara tillåten mellan vårdgivare i Sverige.
Fri rörlighet för tjänster och arbetstagare
Frågan är då om det kan anses förenligt med EU-rätten att svensk lag inte tillåter att uppgifter lämnas ut genom elektronisk direktåtkomst till vårdgivare i andra EU-länder från vårdgivare i Sverige.
Den del av EU-rätten som är aktuell i sammanhanget, är närmast bestämmelserna om fri rörlighet för tjänster samt bestämmelserna om fri rörlighet för arbetstagare. På bägge dessa områden finns det sekundärrättsliga bestämmelser som särskilt behandlar vad som gäller inom hälso- och sjukvården.
Fri rörlighet för medicinska tjänster
Europaparlamentet och rådet antog den 9 mars 2011 ett direktiv (2011/24/EU) om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård, i det följande benämnt patientrörlighetsdirektivet. Bakgrunden till direktivet är bl.a. att EUdomstolen i flera domar slagit fast att sjukvård, oberoende av hur den är organiserad och finansierad, berörs av reglerna om den fria rörligheten för tjänster i fördraget om Europeiska unionens funktionssätt (EUF-fördraget).
Patientrörlighetsdirektivet har i Sverige genomförts bland annat genom lagen (2013:513) om ersättning för kostnader till följd av vård i ett annat land inom Europeiska ekonomiska samarbets-
SOU 2014:23 Internationellt informationsutbyte
939
området (ersättningslagen). I såväl själva direktivet som i ersättningslagens förarbeten berörs frågan om överföring av personuppgifter om hälsa mellan medlemsstaterna.12
Skyldigheter enligt patientrörlighetsdirektivet
I patientrörlighetsdirektivets ingress 25 sägs inledningsvis att rätten till skydd av personuppgifter är en grundläggande rättighet som erkänns i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Därefter konstateras att personuppgifter som gäller patientens hälsa måste överföras för att uppnå kontinuitet i den gränsöverskridande hälso- och sjukvården – samtidigt som de enskildas grundläggande rättigheter måste skyddas. I ingressen sägs vidare att dataskyddsdirektivet ger enskilda individer rätt att få tillgång till sina egna personuppgifter om hälsa, t.ex. uppgifter i deras patientjournal som innehåller uppgifter om exempelvis diagnos, undersökningsresultat, bedömningar av behandlande läkare och eventuella utförda behandlingar eller ingrepp. I ingressen konstateras därefter att dessa bestämmelser även bör tillämpas på sådan gränsöverskridande hälso- och sjukvård som omfattas av patientrörlighetsdirektivet.
I patientrörlighetsdirektivets artikel 2.c sägs beträffande direktivets förhållande till andra unionsbestämmelser, att patientrörlighetsdirektivet ska gälla utan att påverka tillämpningen av dataskyddsdirektivet samt Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation.
Enligt patientrörlighetsdirektivets artikel 5.d ska försäkringsmedlemsstaten se till att patienter som söker eller får gränsöverskridande hälso- och sjukvård får tillgång på distans till eller åtminstone har en kopia av patientjournalen, i överensstämmelse med och med förbehåll för nationella åtgärder som genomför unionens bestämmelser om skydd av personuppgifter, särskilt dataskyddsdirektivet och 2002/58/EG.
I en särskild kommentar till artiklarna 4.2.e respektive 5.d sägs följande i förarbetena till ersättningslagen.13
12Prop. 2012/13:15013Prop. 2012/13:150 Patientrörlighet i EU – förslag till ny lagstiftning s. 96 och 101.
Internationellt informationsutbyte SOU 2014:23
940
I artikel 4.2 e i patientrörlighetsdirektivet anges att den behandlande medlemsstaten ska säkerställa att den grundläggande rätten till personlig integritet vid behandling av personuppgifter skyddas i överensstämmelse med nationella åtgärder som genomför gemenskapens bestämmelser om skydd av personuppgifter, särskilt direktiven 95/46/EG och 2002/58/EG. Dessa direktiv har framförallt genomförts genom (1998:204) personuppgiftslagen och lagen (2003:389) om elektronisk kommunikation. Dessutom finns ett antal s.k. registerförfattningar med särskilda regler för personuppgiftsbehandling. En sådan författning, som gäller vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården, är patientdatalagen (2008:355). Artikeln föranleder inte någon åtgärd från Sverige. I artikel 5 d i patientrörlighetsdirektivet anges att försäkringsmedlemsstaten ska se till att patienter som söker eller får gränsöverskridande hälso- och sjukvård, får tillgång på distans eller åtminstone har en kopia av patientjournalen, i överensstämmelse med och med förbehåll för nationella åtgärder som genomför unionens bestämmelser om skydd av personuppgifter, särskilt direktiven 95/46/EG och 2002/58/EG. Detta innebär att Sverige ska se till att patienter som mottar vård i ett annat EES-land har tillgång till sin patientjournal. Som framgår av avsnitt 12 s. 96–97 uppfyller Sverige kravet i denna artikel.
De bestämmelser om patienters rätt till de egna journalerna som nämns i förarbetena till ersättningslagen är tryckfrihetsförordningen och offentlighets- och sekretesslagen samt patientdatalagens 8 kap. 2 § och 5 kap. 5 §. De aktuella bestämmelserna i patientdatalagen avser patientens rätt att ta del av journalhandlingar inom den enskilda hälso- och sjukvården respektive möjligheten för en vårdgivare att i vissa fall medge en enskild patient elektronisk direktåtkomst till uppgifter i patientens egen journal. Patientens tillgång till den egna journalen ska enligt artikel 5.d tillgodoses i överensstämmelse med och med förbehåll för nationella åtgärder som genomför unionens bestämmelser om skydd av personuppgifter.
IKT-system är nationell fråga
I en av ingresserna till patientrörlighetsdirektivet finns ett uttalande som är av betydelse för bedömningen av EU-rättens inverkan införandet av IKT-system. Uttalandet är av intresse här, eftersom de system för sammanhållen journalföring som möjliggörs i patientdatalagen bör anses vara sådana system för informations-
SOU 2014:23 Internationellt informationsutbyte
941
och kommunikationsteknik (IKT-system) som avses i ingressen, enligt följande.14
Den tekniska utvecklingen av gränsöverskridande hälso- och sjukvård med hjälp av IKT kan skapa oklarhet när det gäller medlemsstaternas tillsynsansvar och därmed hindra den fria rörligheten för hälso- och sjukvårdstjänster, och eventuellt medföra ytterligare hälsorisker. Inom unionen används vitt skilda och inkompatibla format och standarder för IKT-baserad hälso- och sjukvård, vilket både skapar hinder för denna typ av vårdtjänst och kan innebära hälsorisker. Medlemsstaterna måste därför sträva efter kompatibilitet mellan IKT-system. Införande
av IKT-system omfattas emellertid helt och hållet av nationell behörighet.
Detta direktiv bör därför erkänna vikten av kompatibilitet och respektera en uppdelning av befogenheterna genom att fastställa att kommissionen och medlemsstaterna arbetar tillsammans för att utveckla åtgärder som inte är rättslig bindande, men som tillhandahåller ytterligare verktyg som medlemsstaterna kan använda för att underlätta större kompatibilitet mellan IKT-systemen på hälso- och sjukvårdsområdet och för att stödja patienternas tillgång till e-hälsotillämpningar, närhelst medlemsstaterna beslutar att införa sådana system.
I direktivets ingress 57 fortsätter resonemanget om nationella IKTsystem med uttalandet att ”kompatibilitet mellan lösningar som rör e-hälsa bör uppnås samtidigt som hänsyn tas till nationell lagstiftning om tillhandahållande av hälso- och sjukvårdstjänster som har antagits för att skydda patienten”.
Det anförda bör innebära att ett nationellt IKT-system, såsom det svenska systemet för sammanhållen journalföring – och även det nationella, svenska regelverk som möjliggör systemet – omfattas av den nationella behörigheten, och därmed i huvudsak inte berörs av EU-rätten.
Förordning 883/2004
Som ett parallellt spår till patientrörlighetsdirektivet finns också bestämmelser om rätten till gränsöverskridande vård i Europaparlamentets och rådets förordning (EG) nr 883/2004 av den 29 april 2004 om samordning av de sociala trygghetssystemen. vilken syftar till att samordna olika socialförsäkringsförmåner för de EU-medborgare som rör sig över gränserna på grund av arbete, studier m.m. Förordningen innehåller inga bestämmelser som berör vårdgivares eller enskilda patienters behandling av personuppgifter.
14 Patientrörlighetsdirektivets ingress 56.
Internationellt informationsutbyte SOU 2014:23
942
Vår sammanfattande bedömning
Utredningen konstaterar att patientrörlighetsdirektivet förutsätter att patientuppgifter ska kunna överföras mellan medlemsländerna, samt att direktivet innehåller en bestämmelse som innebär en skyldighet för försäkringsmedlemsstaten att ge patienter tillgång på distans till sin journal eller åtminstone en kopia av densamma.
Såsom konstateras i ersättningslagens förarbeten, tillgodoses direktivets krav inom detta område genom befintliga bestämmelser i tryckfrihetsförordningen, OSL och patientdatalagen.
Ingen av de EU-rättsakter som är aktuella här, ställer krav på att vårdgivare eller apotek ska ges direktåtkomst till enskilda patienters uppgifter. Rättsakterna ställer dock krav på att den enskildes rätt till personlig integritet ska beaktas, och föreskriver att de nationella genomförandena av dataskyddsdirektivet ska gälla även för den gränsöverskridande hälso- och sjukvården. Vidare anges i patientrörlighetsdirektivet att införandet av system för informations- och kommunikationsteknik (IKT-system) helt och hållet omfattas av nationell behörighet.
Mot bakgrund av det sagda kan det inte anses som oförenligt med EU-rätten att nationell svensk lagstiftning begränsar möjligheten till elektronisk direktåtkomst till att endast vara tillåten mellan vårdgivare i Sverige.
34.3 Våra övervägande om elektroniskt utlämnande till apotek i andra länder
34.3.1 Utlämnande med den enskildes samtycke
Vår bedömning: Lagen (1996:1156) om receptregister och
personuppgiftslagen gör det möjligt för eHälsomyndigheten att med en enskilds uttryckliga samtycke lämna ut uppgifter ur receptregistret på medium för automatiserad behandling till apotek i andra länder. Vidare framgår av lagstiftningen tydliga krav på hur ett sådant utlämnande ska gå till för att vara lagligt.
Enligt 1 § (1996:1156) lagen om receptregister (receptregisterlagen) får eHälsomyndigheten för de ändamål som anges i 6 § med hjälp av automatiserad behandling föra ett register över förskrivningar av läkemedel och andra varor för människor (recept-
SOU 2014:23 Internationellt informationsutbyte
943
register). Lagen är tillämplig på den behandling av uppgifter som eHälsomyndigheten utför i samband med utlämnandet av personuppgifter om förskrivningar.
Frågan är då om det finns stöd i receptregisterlagen för ett utlämnande till apotek i andra länder. Inledningsvis kan konstateras att skyldigheten för eHälsomyndigheten enligt 12 § receptregisterlagen att lämna uppgifter till öppenvårdsapotek inte är aktuell i detta sammanhang, eftersom apotek utanför Sverige inte kan anses vara öppenvårdsapotek i den mening som avses i receptregisterlagen och enligt definitionen av uttrycket öppenvårdsapotek som återfinns i 1 kap. 4 § lagen (2009:366) om handel med läkemedel, som bl.a. kräver att ett öppenvårdsapotek har Läkemedelsverkets tillstånd att bedriva handel med läkemedel.
För besvarandet av frågan om möjligheten att lämna ut uppgifter till apotek i andra länder, ges i utredningens direktiv en särskild förutsättning, nämligen att analysen ska avse den situationen när patienten har lämnat sitt samtycke till den personuppgiftsbehandling som utlämnandet innebär.
Ett samtycke är av betydelse för behandlingens förenlighet med receptregisterlagen. Enligt 4 § andra stycket receptregisterlagen får behandling av personuppgifter som inte är tillåten enligt receptregisterlagen ändå utföras, om den enskilde har lämnat ett uttryckligt samtycke till behandlingen. Enligt lagens förarbeten innebär bestämmelsen att personuppgifter kan behandlas för ett ändamål som inte regleras i receptregisterlagen, om den enskilde uttryckligen har samtyckt till det. Vidare framgår att ett samtycke enligt receptregisterlagen har samma innebörd som enligt personuppgiftslagen.15Innebörden av ett uttryckligt samtycke enligt personuppgiftslagen har behandlats i det föregående.
I 21 § receptregisterlagen hänvisas till att det i offentlighets- och sekretesslagen finns bestämmelser om begränsningar i rätten att lämna ut uppgifter från receptregistret. En sådan bestämmelse är 25 kap. 17 a § OSL, enligt vilken sekretess gäller hos eHälsomyndigheten för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
Internationellt informationsutbyte SOU 2014:23
944
Av 12 kap. 2 § första stycket OSL framgår att en enskild helt eller delvis kan häva sekretess som gäller till skydd för honom eller henne, om inte annat anges i receptregisterlagen.
Således hindrar varken receptregisterlagen eller offentlighets- och sekretesslagen att eHälsomyndigheten med patientens uttryckliga samtycke lämnar ut uppgifter ur receptregistret till apotek utanför landet. Men i personuppgiftslagen ställs vissa krav som måste vara uppfyllda för att det ska anses vara frågan om ett uttryckligt samtycke som kan utgöra laglig grund för behandling av känsliga personuppgifter.
Elektroniskt utlämnande på medium för automatiserad behandling till apotek i andra länder
Frågan är då om gällande rätt tillåter att eHälsomyndigheten på elektronisk väg lämnar ut uppgifter om patienten till apotek i andra länder.
Enligt 10 § receptregisterlagen gäller att om en personuppgift får lämnas ut, får det göras på ”medium för automatiserad behandling”. Enligt förarbetena är bestämmelsen utarbetad efter förebild av 5 kap. 6 § PDL.16 Vad som redovisats i det föregående om skillnaden mellan utlämnade på medium för automatiserad behandling respektive direktåtkomst, gäller således även för tillämpningen av receptregisterlagen.
Säkerhetsåtgärder
Liksom beträffande vårdgivares utlämnande, gäller även för eHälsomyndigheten att ett elektroniskt utlämnande på medium för automatiserad behandling endast får göras om tillräckliga, i lag föreskrivna säkerhetsåtgärder vidtas vid den behandling som utlämnandet innebär.
När det gäller utlämnanden från receptregistret framgår kraven på säkerhetsåtgärder av receptregisterlagen och av personuppgiftslagen, som enligt 3 § receptregisterlagen även gäller för behandling av personuppgifter i receptregistret, om inte annat följer av lagen eller föreskrifter som meddelas i anslutning till den lagen.
SOU 2014:23 Internationellt informationsutbyte
945
Säkerhetskraven enligt personuppgiftslagen innebär för behandlingen av personuppgifter i receptregistret bland annat följande enligt Datainspektionen.17
Ska man överföra personuppgifter som handlar om recept eller läkemedelsanvändning i öppna nät, till exempel Internet eller Sjunet, måste användarna vara identifierade och deras identitet säkerställd med en teknisk funktion som asymmetrisk kryptering (till exempel e-legitimation eller SITHS-certifikat), engångslösenord eller motsvarande. Dessutom ska personuppgifterna skyddas med kryptering vid själva överföringen. Syftet är att säkerställa att endast behöriga användare kan ta del av uppgifterna.
Överföring till tredje land
Receptregisterlagen innehåller inga särskilda bestämmelser om överföring av personuppgifter till andra länder. Som framgått ovan, gäller förutom receptregisterlagen även personuppgiftslagen när personuppgifter behandlas i receptregistret, så länge inte annat följer av receptregisterlagen eller av föreskrifter som meddelats med stöd av den lagen.
Personuppgiftslagen hindrar inte att personuppgifter förs över till länder inom EES. Till länder utanför EES-området, vilka i personuppgiftslagen benämns tredje land, gäller dock enligt 33 § PUL ett principiellt förbud för överföring, men med en rad undantag. Bland annat är överföring till tredje land möjlig enligt 34 § PUL om den registrerade har lämnat sitt samtycke till överföringen. För att vara giltigt i detta sammanhang, måste det vara tydligt att samtycket avser just överföring av den registrerades personuppgifter till tredje land.
Rekommendationer föranledda av epSOS
Inom ramen för epSOS-projektet överförs även uppgifter om recept, dvs. uppgifter om patienters läkemedelsförskrivningar. De rekommendationer som artikel 29-gruppen lämnat för epSOS, och som redovisats i det föregående, äger därför aktualitet även vid utlämnanden från receptregistret.
17 Datainspektionens informationsblad Integriteten på den nya apoteksmarknaden.
Internationellt informationsutbyte SOU 2014:23
946
Vår sammanfattande bedömning
Sammanfattningsvis kan konstateras att både receptregisterlagen och personuppgiftslagen gör det möjligt för eHälsomyndigheten att med en patients uttryckliga samtycke på elektronisk väg lämna ut uppgifter ur receptregistret till apotek i andra länder, vilket i receptregisterlagen benämns utlämnande på medium för automatiserad behandling.
Likaså kan konstateras att det av receptregisterlagen, personuppgiftslagen och dataskyddsdirektivet såsom det uttolkats av Artikel 29-gruppen, framgår tydliga krav på hur ett sådant elektroniskt utlämnande ska gå till för att vara lagligt.
34.3.2 Får ett elektroniskt utlämnande göras genom direktåtkomst?
Vår bedömning: Svensk rätt hindrar eHälsomyndigheten från
att lämna ut uppgifter ur receptregistret till apotek i andra länder genom direktåtkomst, även om den enskilde har lämnat sitt uttryckliga samtycke till utlämnandet.
Ett utlämnande från receptregistret får alltså göras på medium för automatiserad behandling till länder såväl inom som utanför EES om kraven i lagstiftningen är uppfyllda, dvs. att det finns ett uttryckligt samtycke (och ingen annan sekretess gäller som den enskilde inte kan efterge) samt att den elektroniska överföringen görs på ett tillräckligt säkert sätt som uppfyller de krav som finns i lag och föreskrifter.
Enligt receptregisterlagen är även en annan form för elektroniskt utlämnande möjlig (jfr 11 § receptregisterlagen). Enligt bestämmelsen får expedierande personal på ett öppenvårdsapotek ha direktåtkomst till receptregistret för de ändamål som anges i 6 § första stycket 1, 2 och 8 receptregisterlagen. Dessutom får den enskilde ha direktåtkomst till uppgifter om sig själv. Vidare är direktåtkomst till uppgifter om dosrecept tillåten för den som har legitimation för yrke inom hälso- och sjukvården.
Det finns dock vissa problem med att ge apotek utanför Sverige direktåtkomst till uppgifter i receptregistret, snarlika dem som diskuterats ovan beträffande direktåtkomst för vårdgivare utanför Sverige.
SOU 2014:23 Internationellt informationsutbyte
947
I apoteksdatalagen (2009:367) uppställs i 12–13 §§ en rad legala krav för behandlingen av personuppgifter hos öppenvårdsapoteken. Dessa krav gäller även när öppenvårdsapoteken behandlar uppgifter som lämnats ut från receptregistret. Kraven innebär att öppenvårdsapoteket ska bestämma villkor för tilldelning av behörighet för åtkomst till uppgifter om konsumenter och de som är behöriga att förordna läkemedel. Behörigheten ska begränsas till vad som behövs för att den som arbetar på ett öppenvårdsapotek ska kunna fullgöra sina arbetsuppgifter där. Vidare ska öppenvårdsapoteken se till att åtkomst till helt eller delvis automatiskt behandlade uppgifter om konsumenter och de som är behöriga att förordna läkemedel, dokumenteras så att de kan kontrolleras. Tillståndshavaren ska systematiskt och återkommande kontrollera om någon obehörigen kommer åt sådana uppgifter.
Vidare betonas i förarbetena till receptregisterlagen hur viktigt det är att säkerheten måste vara mycket god för personuppgifter om förskrivningar.18
Det är av största vikt att personuppgifterna skyddas hos Apotekens Service AB [numera eHälsomyndigheten] och hos övriga aktörer samt under överföringen till dessa aktörer. Säkerheten måste vara sådan att obehörigt utnyttjande av uppgifterna inte förekommer. I den utsträckning lagen (2005:258) om läkemedelsförteckning eller lagen (1996:1156) om receptregister inte innehåller bestämmelser som reglerar säkerheten vid behandling av personuppgifter, är bestämmelserna i personuppgiftslagen (1998:204) tillämpliga. Detta innebär bl.a. att Apotekens Service AB [numera eHälsomyndigheten], som personuppgiftsansvarigt enligt 31 §, ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna och därmed åstadkomma en säkerhetsnivå som är lämplig med beaktande av hur känsliga uppgifterna är, vilka tekniska möjligheter som finns, de särskilda risker som finns med behandlingen av uppgifterna samt vad det skulle kosta att genomföra åtgärderna.
Tystnadsplikten för personal vid öppenvårdsapoteken regleras i 6 kap. 12 § första stycket PSL av vilken framgår att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. I patientsäkerhetslagen avses med hälso- och sjukvårdspersonal, bland andra apotekspersonal som
Internationellt informationsutbyte SOU 2014:23
948
tillverkar eller expedierar läkemedel eller lämnar råd och upplysningar (1 kap. 4 § första stycket 4 PSL).
Av 2 kap. 6 § 6 lagen (2009:366) om handel med läkemedel framgår att den som har tillstånd enligt 1 § att bedriva detaljhandel med läkemedel till konsument ska ha ett elektroniskt system som gör det möjligt att få direktåtkomst till uppgifter hos E-hälsomyndigheten.
Enligt 2 kap. 10 b§ lagen om handel med läkemedel ska eHälsomyndigheten informera Läkemedelsverket om vad som framkommit vid en kontroll av det elektroniska system för direktåtkomst till uppgifter hos myndigheten som en tillståndshavare ska ha enligt 2 kap. 6 §. Av bestämmelsens förarbeten framgår att bland annat följande.19
Apotekens Service Aktiebolag [numera eHälsomyndigheten] kontrollerar om den som ansöker om tillstånd att bedriva detaljhandel med läkemedel till konsument (öppenvårdsapotek) har förutsättningar att uppfylla de krav för tillståndet som föreskrivs i 2 kap. 6 § 5–7 lagen om handel med läkemedel och som avser uppgiftslämnande och elektronisk direktåtkomst till uppgifter hos bolaget. Vid kontrollerna verifieras att datasystem, som ska ha tillgång till den information bolaget förvaltar, kan ansluta till bolagets datasystem på ett säkert sätt och att informationen inte förvanskas.
I likhet med vad som gäller för sammanhållen journalföring, betonas i förarbetena hur viktigt skyddet för uppgifterna i receptregistret är, både när de behandlas av eHälsomyndigheten och när de behandlas av öppenvårdsapoteken.
Vår sammanfattande bedömning
Som framgår ovan bygger systemet med direktåtkomst till uppgifter i receptregistret således på att det i lag föreskrivs en rad olika villkor för behörighetsstyrning, åtkomstkontroll och IT-säkerhet i övrigt hos öppenvårdsapoteken, och att apoteken ska genomgå kontroller av hur de uppfyller villkoren. Hur villkoren efterföljs ska sedan enligt lag ligga till grund för avgörandet ifall apoteket ifråga ska kunna inneha tillstånd att bedriva handel med läkemedel.
Vidare förutsätter möjligheten till direktåtkomst för apotek till uppgifter i receptregistret, att personalen hos de mottagande apoteken är bundna av bestämmelser om tystnadsplikt.
19Prop. 2012/13:128 42, s. 41 f.
SOU 2014:23 Internationellt informationsutbyte
949
Eftersom endast öppenvårdsapotek i Sverige och deras anställda, är bundna av det nämnda regelverket för behörighetsstyrning, åtkomstkontroll, IT-säkerhet, tillstånd, kontroller och tystnadsplikt, är ett utlämnande genom direktåtkomst till apotek utanför Sverige varken förenligt med receptregisterlagen, lagen om handeln med läkemedel, apoteksdatalagen eller med offentlighets- och sekretesslagen eller patientsäkerhetslagen.
Sammanfattningsvis kan konstateras att svensk rätt hindrar eHälsomyndigheten från att lämna ut uppgifter ur receptregistret till apotek utanför Sverige genom elektronisk direktåtkomst, även om patienten har lämnat sitt uttryckliga samtycke till utlämnandet.
34.3.3 Är detta förenligt med EU-rätten?
Vår bedömning: Det är inte oförenligt med EU-rätten att
nationell svensk lagstiftning hindrar eHälsomyndigheten från att lämna ut uppgifter ur receptregistret till apotek i andra länder genom direktåtkomst.
Såsom framgått tidigare är den i sammanhanget relevanta EUrättsakten patientrörlighetsdirektivet, vilket enligt ingress 16 även ska tillämpas på ”förskrivning, utlämning och tillhandahållande av läkemedel och medicinska hjälpmedel”.
Därför är resultatet av analysen densamma – närmare bestämt att det inte kan anses som oförenligt med EU-rätten att nationell svensk lagstiftning begränsar möjligheten till elektronisk direktåtkomst till att endast gälla apotek i Sverige.
951
35 Socialstyrelsens läkemedelsregister
35.1 Bakgrund
För personal och beslutsfattare inom hälso- och sjukvård och socialtjänst är det viktigt att få använda uppgifter i olika stödsystem för att löpande kvalitetssäkra och förbättra insatser som vänder sig direkt till enskilda. Även tillsynsmyndigheter och nationella myndigheter som arbetar med exempelvis öppna jämförelser måste ha tillgång till uppgifter.1 Syftet är att förbättra kvalitet och säkerhet i insatserna för den enskilda individen.
Hälsodataregister är rikstäckande register för att kunna följa bl.a. sjukdomars utbredning i landet och för att studera orsaker till olika sjukdomar2. Enligt lagen (1998:543) om hälsodataregister får personuppgifter i ett hälsodataregister behandlas för ändamålen framställning av statistik, uppföljning, utvärdering och kvalitetssäkring inom hälso- och sjukvård, forskning och epidemiologiska undersökningar. Hälsodataregistren förs av centrala förvaltningsmyndigheter, t.ex. Socialstyrelsen. Socialstyrelsen för med stöd av lagen ett flertal hälsodataregister varav läkemedelsregistret3 är ett. Detta register får användas för ändamålen epidemiologiska undersökningar, forskning och framställning av statistik inom hälso- och sjukvårdsområdet. Till skillnad mot övriga hälsodataregister som förs hos Socialstyrelsen får uppgifter i läkemedelsregistret inte användas för uppföljning, utvärdering och kvalitetssäkring.
11 Öppna jämförelser är en uppsättning indikationer som redovisas återkommande och som beskriver verksamheten med avseende på kvalitet och effektivitet. Jfr regeringens nationella strategi för öppna jämförelser. 2 Jfr lagen (1998:543) om hälsodataregister. 3 Jfr lagen 1998:543 om hälsodataregister och förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen.
Socialstyrelsens läkemedelsregister SOU 2014:23
952
35.1.1 Vårt uppdrag
Regeringen har uttalat att uppgifter i läkemedelsregistret hos Socialstyrelsen bör kunna användas för uppföljning och kvalitetssäkring. Det förutsätter att ändamålen för behandling av personuppgifter i läkemedelsregistret anpassas till de ändamål som gäller för övriga hälsodataregister enligt lagen om hälsodataregister. Utredningen har därför fått i uppdrag att föreslå hur ändamål i läkemedelsregistret kan anpassas till de ändamål som gäller för övriga hälsodataregister.4 Därutöver har utredningen på eget initiativ även valt att utreda om uppgift om förskrivningsorsak bör få behandlas i läkemedelsregistret.
35.2 Rättslig reglering av läkemedelsregistret
Bestämmelserna om nuvarande läkemedelsregister hos Socialstyrelsen trädde ikraft den 1 juli 2005 genom lagen om hälsodataregister och förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen. Socialstyrelsen får föra hälsodataregister i form av ett läkemedelsregister och personuppgifter i registret får behandlas för epidemiologiska undersökningar, forskning och framställning av statistik inom hälso- och sjukvårdsområdet. 5
Innan det nuvarande regleringen trädde ikraft kunde registret användas för medicinsk uppföljning, utvärdering, kvalitetssäkring, epidemiologiska undersökningar, forskning och framställning av statistik. Registret, som då kallades hälso- och sjukvårdens läkemedelsregister, var inte ett personregister eftersom det inte innehöll uppgifter knutna till enskilda individer. De uppgifter som då togs in var uppgifter från Apoteket AB som lämnades, med stöd av föreskrifter i lagen (1996:1156) om receptregister (receptregisterlagen), över till Socialstyrelsen för i lagen föreskrivna ändamål. De uppgifter som registrerades var uppgifter om läkemedel, förbrukningsartiklar och livsmedel som har expedierats mot recept eller motsvarande på apotek från 1999 och framåt. Patientens kön, ålder och folkbokföringsort finns i registret och från och med 1 juli 2005 även personnummer. När det gäller kostnader finns uppgift om totalkostnad, kostnad för läkemedelsförmån och patientens egenavgift.
SOU 2014:23 Socialstyrelsens läkemedelsregister
953
Det nya läkemedelsregistret motiverades bland annat med att ingen uttömmande kunskap om läkemedel fanns när läkemedel blir tillgängligt för behandling av patienter och att en fortlöpande uppföljning av förskrivning och användning av läkemedel är nödvändigt. Studier av risker och effekter på lång sikt av läkemedelsbehandling är särskilt viktiga. Dessa kräver tillgång till individrelaterade uppgifter om patienters läkemedelsköp. Studierna måste bedrivas i syfte att stärka kunskapen om och erfarenheterna av läkemedelsanvändning.6
Av 1 § förordningen om läkemedelsregister hos Socialstyrelsen framgår att Socialstyrelsen får föra hälsodataregister enligt 1 § lagen om hälsodataregister i form av ett läkemedelsregister. Socialstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter (2 §). Personuppgifterna i läkemedelsregistret får behandlas för epidemiologiska undersökningar, forskning och framställning av statistik inom hälso- och sjukvårdsområdet (3 §). Behandlingen får avse olika i 4 § uppräknade uppgifter. I 6 § finns bestämmelser om vilken information som Socialstyrelsen ska lämna de registrerade enligt 25 § första stycket c) personuppgiftslagen (1998:204), förkortad PUL.
Läkemedelsregistret omfattar alla receptförskrivna läkemedel som expedierats på apoteken i Sverige på individnivå. Registret uppdateras varje månad. Registret innehåller för varje individuellt uttag uppgifter om läkemedel, förbrukningsartiklar och livsmedel som expedierats på apotek mot recept eller motsvarande. Informationen finns om den expedierade varan (identitet, mängd och pris, datum för expedition samt dosering). Uppgifter finns även om utbyte till generiskt eller parallellimporterat läkemedel. Uppgifter som registreras om den individ som köpt läkemedel är kön, ålder, folkbokföringsort och personnummer. Registret omfattar även uppgifter om förskrivaren såsom yrke och specialistutbildning, liksom andra egenskaper för förskrivarens arbetsplats som ägarform, vårdform och verksamhetsinriktning. Förskrivare eller arbetsplats kan inte identifieras. I registret finns även information om kostnader; totalkostnad, kostnad för läkemedelsförmånerna och patientens egenavgift (jfr 4 § förordningen om läkemedelsregister hos Socialstyrelsen). Enligt 16 § receptregisterlagen ska eHälsomyndigheten (innan den 1 januari 2014 Apotekens Service AB) lämna de uppgifter som avses i 4 § till läkemedelsregistret Uppgifter om
Socialstyrelsens läkemedelsregister SOU 2014:23
954
enskilda personers läkemedelsförskrivningar och inköp hämtas från det s.k. receptregistret.
För att möjliggöra uppbyggnaden av ett heltäckande läkemedelsregister hos Socialstyrelsen med uppgifter som kan hänföras till enskilda personer togs 2005 kravet på samtycke från den enskilde bort som förutsättning för att sådana uppgifter skulle få lämnas ut från receptregistret för redovisning till Socialstyrelsen.7
35.2.1 Hälsodataregistren
Lagen om hälsodataregister infördes den 24 oktober 1998 för att reglera it-användningen när det gäller rikstäckande register hos centrala förvaltningsmyndigheter inom hälso- och sjukvården. Lagen reglerar särskilt viktiga och gemensamma frågor för samtliga hälsodataregister men sedan är det regeringen som föreskriver vilka register som ska föras och som bestämmer vilket ändamål, inom de ramar som lagen drar upp, som ett visst register ska ha.
I syfte att skydda den personliga integriteten betonade regeringen, vid införandet av bestämmelserna om hälsodataregister, vikten att avgränsa de ändamål för vilka personuppgifter får behandlas i ett hälsodataregister.8Uppgifter i hälsodataregister får därför endast behandlas för ändamålen; statistik, uppföljning, utvärdering och kvalitetssäkring samt forskning m.m. Dessa ändamål är samtliga av högt samhälleligt intresse. Hälsodataregistren bygger på principen att uppgifter i respektive register är knutna till en angiven person och tillförs registret utan krav på att den enskilde har lämnat samtycke. Detta gäller samtliga hälsodataregister utom biverkningsregistret. Det har gjorts en avvägning mellan den nyttan som både i ett snävt personperspektiv och i ett brett samhällsperspektiv är förbunden med registret och det integritetsproblem som kan vara förknippat med att finnas i ett register. Vid avvägningen har man funnit att nyttan med registren väger över och att man som enskild får tåla det intrång som registreringen kan upplevas som.9
Tanken är att det vid varje utfärdande av föreskrifter för varje särskilt hälsodataregister ska tas ställning till om ett register ska
7 Detta gjordes genom en ändring i 3 § första stycket 6 (nuvarande 7) lagen (1996:1156) om receptregister. 8Prop. 1997/98:108, s. 48. 9Prop. 1997/98:108 s. 39 ff. och prop. 2004/05: 70.
SOU 2014:23 Socialstyrelsens läkemedelsregister
955
omfatta ett eller flera av dessa ändamål och om ändamålet ska preciseras ytterligare.
Socialstyrelsen har i rapporten Fyra år med läkemedelsregistret (2009) sammanställt ett urval av texter som beskriver hur och varför registret kom till, dess användbarhet, ur ett forskarperspektiv, ut ett internationellt perspektiv och ur ett samhällsperspektiv.
Samtliga register som Socialstyrelsen förvaltar och utvecklar bygger på principen att personrelaterade uppgifter samlas in utan krav på samtycke från individen. I samband med att hälsodataregistren inrättades gjordes en noggrann avvägning om samhällsnyttan övervägde nackdelarna ut ett integritetsperspektiv. Både när det gäller Socialstyrelsens hälsodataregister och dödsorsaksregistret är det inte möjligt att ha samtycke som grundprincip för insamlande av uppgifter. Kraven är dock – på såväl samhällsnytta som integritetsskydd – särskilt höga.
Uppgifterna som finns i hälsodataregistren omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), förkortad OSL. Enligt denna bestämmelse är sekretessen är absolut, vilket innebär att uppgifterna inte får lämnas ut. Undantag från sekretess finns när det gäller uppgifter som behövs för forskning och statistikändamål. I dessa fall kan uppgifter lämnas ut om det står klart att de kan röjas utan att den enskilde individen som uppgifter rör eller någon närstående lider skada eller men. Socialstyrelsen lämnar bara ut data till forskningsprojekt med villkoret att det finns tillstånd från forskningsetiskt nämnd och en beskrivning av syftet med projektet 10. Därefter gör Socialstyrelsen en oberoende prövning enligt offentlighets- och sekretesslagens bestämmelser.
Övriga hälsodataregister hos Socialstyrelsen
Hos Socialstyrelsen förs, förutom läkemedelsregistret, ytterligare fyra hälsodataregister. Nedan beskrivs dessa register kortfattat.
Syftet med cancerregistret är att tillhandahålla ett nationellt, befolkningsbaserat cancerregister för att kunna kartlägga cancersjukdomarnas förekomst och förändring över tiden. Det ska även vara möjligt att skapa en bas för klinisk och epidemiologisk forskning samt att möjliggöra internationella jämförelser. Person-
10 SoS Fyra år med läkemedelsregistret 2012.
Socialstyrelsens läkemedelsregister SOU 2014:23
956
uppgifter i cancerregistret får behandlas för framställning av statistik, uppföljning och utvärdering av insatser för att förebygga cancersjuklighet, utvärdering av hälsokontroller samt forskning och epidemiologiska undersökningar inom cancerområdet. Registret regleras genom förordning (2001:709) om cancerregister.
Det medicinska födelseregistrets syfte är att informationen ska kunna utgöra underlag för bland annat forskning och statistik. Personuppgifter i det medicinska födelseregistret får behandlas för framställning av statistik, uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård, forskning och epidemiologiska undersökningar som avser reproduktion, övervakning av fosterskador samt nyföddas och andra barns hälsa. Registret regleras genom förordning (2001:708) om medicinskt födelseregister.
Patientregistret får innehålla uppgifter som kan behandlas för
framställning av statistik, uppföljning, utvärdering och kvalitetssäkring inom den slutna hälso- och sjukvården och inom den del av den öppna vården som inte är primärvård, samt för forskning och epidemiologiska undersökningar. Syftet med registret är att följa hälsoutvecklingen i befolkningen och förbättra möjligheterna att förebygga och behandla sjukdomar. En annan viktig uppgift med registret är att bidra till hälso- och sjukvårdens utveckling. Bestämmelserna finns i förordning (2001:707) om patientregister.
Syftet med tandhälsoregistret är att kunna följa tandvårdens och tandhälsans utveckling i Sverige. Registret fyller en viktig funktion på forskningens och statistikens område när det gäller att följa tandhälsan i Sverige över tid. Registret innehåller information om tandvård inom det statliga tandvårdsstödet, tandvård till personer med vissa långvariga sjukdomar och funktionsnedsättningar samt nödvändig tandvård. Personuppgifter i tandhälsoregistret får behandlas för framställning av statistik, kvalitetssäkring, uppföljning och utvärdering inom tandvårds- och tandhälsoområdet samt för forskning och epidemiologiska undersökningar. Registret regleras genom förordningen (2008:194) om tandhälsoregister hos Socialstyrelsen.
Hälsodataregister hos Läkemedelsverket
Enligt 4 kap. 5 § läkemedelsförordningen (2006:272) får Läkemedelsverket föra hälsodataregister enligt 1 § lagen (1998:543) om hälsodataregister för att tillgodose behovet av uppgifter för de
SOU 2014:23 Socialstyrelsens läkemedelsregister
957
ändamål som anges i 9 § läkemedelslagen (1992:859) samt för framställning av statistik och för forskning.11
Enligt 9 § läkemedelslagen ska Läkemedelsverket ansvara för ett system för säkerhetsövervakning, som har till syfte att samla in, registrera, lagra och vetenskapligt utvärdera uppgifter om biverkningar av läkemedel som godkänts för försäljning. Vid utvärderingen ska i fråga om humanläkemedel beaktas även all tillgänglig information om felaktig användning och missbruk av läkemedel som kan ha betydelse för bedömningen av nyttan och riskerna med läkemedlen.
Läkemedelsverket för således ett biverkningsregister för statistik och forskning samt för att vetenskapligt utvärdera uppgifter om biverkningar av läkemedel. Läkemedelsverket gör sedan analyser och sammanställningar på avidentifierat material. Syftet är att identifiera mönster och tendenser bland biverkningsrapporterna. Redan en misstanke om en läkemedelsbiverkning ska rapporteras. Reglerna gäller även naturläkemedel, vissa utvärtes läkemedel och veterinära läkemedel. Rapportering görs av hälso- och sjukvårdspersonal och från enskilda konsumenter.
35.3 Läkemedelsregistrets användning m.m.
Det nuvarande läkemedelsregistret öppnar nya möjligheter att belysa angelägna frågeställningar som att följa upp långsiktiga risker och nytta med läkemedel samt att göra praxisstudier och uppföljning av hur läkemedel förskrivs och används i befolkningen.12Vid införandet av registret föreslog dock regeringen att registrering och redovisning av uppgifter till Socialstyrelsen ska begränsas till uppgifter för epidemiologiska undersökningar, forskning och framställning av statistik inom hälso- och sjukvårdsområdet.13Förslaget överensstämde med det förslag som utredningen om uppföljning inom läkemedelsområdet lämnade.14
Regeringens motiv till att begränsa ändamålen var följande.
Precisering av ändamålen för ett register är viktig. Därigenom bestäms på vilket sätt den personuppgiftsansvarige får utnyttja registret. Att i
11 Enligt övergångsbestämmelserna till förordning (2006:272) om läkemedelsförordning upphävdes förordningen (2001:710) om biverkningsregister angående läkemedel hos Läkemedelsverket. 12 Socialstyrelsen Fyra år med läkemedelsregistret, (2009) 13Prop. 2004/05:7014SOU 2003:52
Socialstyrelsens läkemedelsregister SOU 2014:23
958
författning ange de ändamål som ett register får användas för skall ses som ett led i strävan att så långt möjligt skydda den personliga integriteten för de registrerade. Uppgifterna i registret får på så sätt komma till användning endast i vissa situationer och för vissa särskilt angivna och av lagstiftaren godkända syften. Man kan säga att ju färre ändamål som medges av lagstiftaren desto snävare blir tillämpningsområdet för registret och därigenom minskar risken för intrång i den personliga sfären. Ett läkemedelsregister hos Socialstyrelsen av det slag som regeringen bedömer bör inrättas kommer att innehålla information av känslig natur och omfatta många personer. Ett sätt att ytterligare värna om den enskildes integritet skulle därför kunna vara att begränsa registrets ändamål. Det väsentliga syftet med att bygga upp ett nationellt läkemedelsregister är att forskningen därigenom kan erhålla ett värdefullt källmaterial. I all medicinsk forskning ingår inslag av statistik. Epidemiologiska undersökningar är också bundna till statistik. Gränsdragningen mellan dessa tre begrepp är inte alldeles enkel att göra. För att undvika tillämpningsproblem bör man liksom nu sker uttryckligen ange samtliga dessa tre ändamål men, för att skydda den personliga integriteten, begränsa ändamålen till dessa. En sådan begränsning skulle enligt vad utredningen redogjort för inte minska Socialstyrelsens möjligheter att i enlighet med sin instruktion analysera och rapportera om hälsoutvecklingen här i landet på läkemedelsområdet. Den uppgiften handhar Socialstyrelsen nämligen i huvudsak genom det epidemiologiska centret och genom den statistik som styrelsen eljest tar fram
.
Förslaget överensstämde i stort med det utredningen om uppföljning inom läkemedelsområdet lade fram i betänkandet Ökad patientsäkerhet på läkemedelsområdet. Utredningen konstaterade att förskrivning av läkemedel är den i särklass vanligaste behandlingsstrategin inom svensk sjukvård i dag samtidigt som kunskaperna om ett läkemedels effekter och biverkningar är begränsade när det godkänns för försäljning. För att öka säkerheten för patienterna både när det gäller att få bästa möjliga effekt och att få så få biverkningar som möjligt behövs bättre kunskap och möjligheter till uppföljning.
Utredningen framhöll att tillgången till ett läkemedelsregister är till stort gagn för genomförande av forskning och epidemiologiska undersökningar på läkemedelsområdet och att ett läkemedelsregister, i form av ett hälsodataregister, skulle vara av mycket stor betydelse också för den enskilde individen. Att använda sig av hälsodataregister skulle innebära att materialinsamlingen görs
15SOU 2003:52 avsnitt 8.10.
SOU 2014:23 Socialstyrelsens läkemedelsregister
959
fortlöpande och kumuleras till redan insamlat material som är tillgängligt direkt och det kan således utnyttjas för en rad forskningsprojekt utan några eller med endast begränsade kompletterande resursinsatser. Med beaktande av detta ansåg utredningen att övervägande skäl talar för att uppgifter om läkemedelsanvändningen ska tas in i register utan krav på den berörda personens samtycke för att kunna användas för epidemiologiska undersökningar, forskning och framställning av statistik.
Kort om Socialstyrelsens arbete
Socialstyrelsen är enligt sin instruktion förvaltningsmyndighet för verksamhet som rör hälso- och sjukvård och annan medicinsk verksamhet m.m. Myndigheten ska verka för att hälso- och sjukvården och socialtjänsten bedrivs enligt vetenskap och beprövad erfarenhet, ansvara för kunskapsutveckling och kunskapsförmedling inom sitt verksamhetsområde, följa, analysera och rapportera om hälsa, hälso- och sjukvård, socialtjänst samt stöd och service till vissa personer med funktionsnedsättning genom statistikframställning, uppföljning, utvärdering och epidemiologiska studier, och följa forsknings- och utvecklingsarbete av särskild betydelse inom sitt verksamhetsområde samt verka för att sådant arbete kommer till stånd m.m. Socialstyrelsen har även uppdraget att utforma evidensbaserade riktlinjer för åtgärder inom hälso- och sjukvården samt socialtjänsten.
Socialstyrelsen har alltså det övergripande nationella ansvaret för läkemedelsanvändning. Uppföljningen omfattar dels att följa hur läkemedelsanvändningen utvecklas, dels att följa den positiva och negativa påverkan på sjuklighet som läkemedelsanvändningen har.
Socialstyrelsens arbete med läkemedelsfrågor har flera utgångspunkter. En central fråga för både tillsyn och uppföljningsverksamhet är hur läkemedel hanteras och används. Från den 1 juni 2013 har Inspektionen för vård och omsorg (IVO) tagit över tillsynsuppgiften från Socialstyrelsen. Uppgifter om läkemedelsförsäljning kommer bland annat från läkemedelsregistret hos Socialstyrelsen och från eHälsomyndigheten.
Socialstyrelsen och Sveriges Kommuner och Landsting (SKL) ger sedan 2006 årligen ut rappor ten Öppna jämförelser av hälso- och sjukvårdens kvalitet och effektivitet. Socialstyrelsen har därutöver fått regeringens uppdrag att ta fram fler öppna jämförelser
Socialstyrelsens läkemedelsregister SOU 2014:23
960
inom hälso- och sjukvårdsområdet, varav Öppna jämförelser av läkemedelsbehandlingar 2013, är en. Arbetet har genomförts i samverkan med Läkemedelsverket och SKL. Syftet med öppna jämförelser är att skapa öppenhet och förbättrad insyn i den offentligt finansierade vården och ge landstingen underlag för styrning, fördjupad analys och förbättringsarbeten i den egna verksamheten. Rapporterna riktar sig främst till beslutsfattare i landstingen, chefer i hälso- och sjukvården samt hälso- och sjukvårdspolitiker. Rapporterna ger också allmänheten insyn och underlag för en offentlig debatt om hälso- och sjukvården i Sverige.
Kort om Läkemedelsverkets arbete
Läkemedelsverkets uppgift är att se till att läkemedel är effektiva säkra och av god kvalitet. Läkemedelsverket ska informera förskrivarkåren om den optimala användningen av läkemedel, baserat på den dokumentation som finns vid godkännandet, men också förmedla den kunskap om läkemedlets effekt- och biverkningsprofil som tillkommer efterhand.
Vidare ska Läkemedelsverket särskilt svara för kontroll och tillsyn enligt läkemedelslagen, föreskrifter och allmänna råd i fråga om läkemedel samt forskning på områden av betydelse för den kontroll och tillsyn som ska bedrivas.
Kort om landstingens arbete
Ansvaret för att medborgarna får hälso- och sjukvård vilar enligt hälso- och sjukvårdslagen (1982:763), förkortad HSL, på kommuner och landsting. Landstingens ansvar i egenskap av finansiär och huvudman för merparten av den offentligfinansierade hälso- och sjukvården innefattar även ett ansvar för hela verksamhetens innehåll, där läkemedelsförmånerna ingår.
Det är eHälsomyndigheten som lämnar ut data till landstingen om uthämtade receptförskrivna läkemedel på individnivå för ändamålen ekonomisk och medicinsk uppföljning samt för framställning av statistik (jfr 6 § punkten 5 receptregisterlagen). Det är till stor del motsvarande uppgifter som överförs till Socialstyrelsens läkemedelsregister.
SOU 2014:23 Socialstyrelsens läkemedelsregister
961
Landstingen kan i dag, efter begäran om utlämnande, även få tillgång till information från läkemedelsregistret och Socialstyrelsens övriga hälsodataregister i form av aggregerad statistik där inga uppgifter kan hänföras till en viss person. Dessa uppgifter får i sin tur användas till uppföljning, utvärdering och kvalitetssäkring – som kan tjäna som återkoppling till vården.
35.4 Uppföljning, utvärdering och kvalitetssäkring m.m.
I lagen om hälsodataregister regleras de olika ändamålen för vilka personuppgifter får användas. Ändamålen att följa upp, utvärdera och kvalitetssäkra hälso- och sjukvården är en angelägen uppgift som blir allt viktigare på central nivå i en situation som kräver ändamålsenligt nyttjande av tillgängliga ekonomiska och personella resurser. I 31 § HSL anges att inom hälso- och sjukvården ska kvalitet i verksamheten systematiskt och fortlöpande utvecklas och
säkras (jfr även 16 § tandvårdslagen [1985:125]
). Med hänsyn
härtill och det övergripande ansvar som centrala förvaltningsmyndigheter har på respektive verksamhetsområde för ett effektivt utnyttjande av samlade resurser ansågs det vara väl motiverat att uppgifter i ett hälsodataregister får behandlas för uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård på central nivå.16
Närmare om uppföljning
Med begreppet uppföljning avses att fortlöpande och regelbundet mäta och beskriva behov, verksamheter och resursåtgång angivet i termer av t.ex. behovstäckning, produktivitet och nyckeltal. Uppföljning syftar till att ge en översiktlig bild av en verksamhets utveckling och att fungera som signal för avvikelser som bör beaktas.
De senaste åren har präglats av en ökad medborgarorientering i verksamhetsuppföljning som syftar till att stärka patienters, allmänhetens samt politiska eller administrativa beslutsfattares tillgång till information om vårdens resultat i olika avseenden.17
Socialstyrelsens läkemedelsregister SOU 2014:23
962
Tidigare var verksamhetsuppföljning i huvudsak inriktad på en producents intresse av information om verksamhetens medicinska kvalitet, effektivitet och ekonomiska kostnader eller resultat. Socialtjänstdatautredningen konstaterade att det finns ett påtagligt och befogat behov av att kunna behandla personuppgifter för att få fram information om hälso- och sjukvårdsverksamheten.18 I allmänhet är det fullt tillräckligt att bara använda uppgifter från den individbaserade vårddokumentationen, m.a.o. uppgifter som samlats in därför att de behövs i den individinriktade hälso- och sjukvården. Men det förekommer också att man följer upp resursanvändningen på individnivå genom att koppla samman vårddokumentation med andra uppgifter, t.ex. genom användning av metoden Kostnad Per Patient (KPP) som beräknar kostnader för olika insatser som utförs. I och med sammankopplingen mellan vårddokumentation och kostnadsinformation blir det fråga om något mer än enbart sekundär användning av redan insamlade personuppgifter.
Systematisk uppföljning av förskrivning och användning av läkemedel kan ta sikte på en rad olika aspekter inom hälso- och sjukvårdsverksamheten. Ett centralt område är kunskapsinhämtning med fokus på den mer direkta patientnytta utifrån sådana aspekter som patientsäkerhet, förbättring av behandlingsmetodik etc. Andra aspekter kan vara effektiv resursanvändning, likvärdighet i behandling mellan olika geografiska delar av hälso- och sjukvården. En uppföljning kommer även patienterna till del.
Närmare om utvärdering
När det gäller utvärdering avses här analys och värdering av kvalitet, effektivitet och resultat hos en verksamhet i förhållande till de mål som bestämts för denna.
Närmare om kvalitetssäkring
Inom hälso- och sjukvården är begreppet kvalitet centralt. Att verksamheten ska vara av god kvalitet uppställs i hälso- och sjukvårdslagen som ett av de grundläggande kraven på alla hälso- och sjukvård. Vården ska bl.a. hålla en god personell och materiell
18SOU 2009:32.
SOU 2014:23 Socialstyrelsens läkemedelsregister
963
standard och ges i enlighet med vetenskap och beprövad erfarenhet.19Att vårdens resultat ska medför förbättrad hälsa och hög patienttillfredsställelse är ett annat sätt att uttrycka kärnan i begreppet god vårdkvalitet. I 31 § HSL föreskrivs att kvaliteten inom verksamheten systematiskt och fortlöpande ska utvecklas och säkras. Motsvarande bestämmelser finns i tandvårdslagen. Genom dessa bestämmelser finns det ett författningsreglerat krav på vårdgivare inom hälso- och sjukvården att bedriva både kvalitetssäkring och kvalitetsutveckling. Kravet på kvalitetssäkring infördes 1997 och innebär enligt förarbetena en förpliktelse för vårdgivare, såväl offentliga som privata, att utveckla metoder för att noga följa upp och analysera utvecklingen vad gäller kvalitet och säkerhet.20Från den 1 januari 2012 gäller en gemensam reglering för socialtjänsten och hälso- och sjukvården, Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete. Vårdgivaren och den som bedriver socialtjänst ska enligt denna identifiera, beskriva och fastställa de processer i verksamheten som behövs för att säkra verksamhetens kvalitet
Med begreppet kvalitetssäkring menas en utvärderingsprocess i vilken man fortlöpande och systematiskt beskriver, mäter och värderar kvaliteten i den egna verksamheten.
Förskrivning av läkemedel är i den i särklass vanligaste behandlingsstrategin inom svensk sjukvård i dag.21Samtidigt är kunskaperna om ett läkemedels effekter och biverkningar begränsade när det godkänns för försäljning. För att öka säkerheten för patienterna både när det gäller att få bästa möjliga effekt och att få så få biverkningar som möjligt behövs bättre kunskap och möjligheter till uppföljning.
Statistik
Statistik har som syfte att ge information av allmänt intresse i frågan om samhällsutveckling och samhällsförhållanden. I lagen (2001:99) om den officiella statistiken anges att till sådan statistik räknas den statistik för samhällsplanering, forskning, allmän information och internationell rapportering som en statlig myndighet framställer.
Socialstyrelsens läkemedelsregister SOU 2014:23
964
Forskning m.m.
Epidemiologi är vetenskapen om hälsoförhållanden i befolkningen och de faktorer som påverkar eller bidrar till olika typer av ohälsa. Epidemiologin har en central betydelse för att påvisa riskfaktorer för en lång rad av sjukdomar hos befolkningen och ge underlag till systematiskt genomförda försök med förebyggande insatser. Vid den epidemiologiska verksamheten hos Socialstyrelsen används uppgifter ur de nuvarande registren både för framställning av statistik och för att ta fram andra slag av särskilda rapporter och redogörelser över aktuella frågeställningar. Användningen av hälsodataregister för epidemiologiska undersökningar som resulterar i statistiska beskrivningar får anses täckas av ändamålsbestämmelsen statistik. 22
Epidemiologiska undersökningar som resulterar i andra former av redovisningar än ren statistik bör i många fall kunna täckas av ändamålsbestämmelsen forskning. För att undvika tillämpningsproblem och med hänsyn till svårigheten att dra en exakt gräns för vad som ska avses med forskning utformades ändamålsbestämmelsen för hälsodataregister så att uppgifter i ett hälsodataregister får behandlas för forskning och epidemiologiska undersökningar.23
Skillnad mellan de olika ändamålen
Skillnaden mellan forskning och uppföljning, utvärdering och kvali-
prövning av forskning som avser människor ges en definition av vad som avses med forskning enligt den lagen. Med forskning avses där vetenskaplig forskning samt utvecklingsarbete på vetenskaplig grund. I förarbetena till bestämmelsen anförs att avgränsningen bl.a. bygger på OECD:s riktlinjer. Vidare påpekas att fråga uppkommer om gränsdragningen mellan vetenskaplig forskning och t.ex. kvalitetssäkring och resultatuppföljning. Där hänvisas till 31 § HSL enligt vilken bestämmelse kvaliteten i verksamheten inom hälso- och sjukvården systematiskt och fortlöpande ska utvecklas
SOU 2014:23 Socialstyrelsens läkemedelsregister
965
och säkras. Sådan och liknande verksamhet avses inte utgöra forskning i lagens mening.25
Även i 3 § lagen om hälsodataregister, som handlar om för vilka ändamål personuppgifter får behandlas, görs en skillnad mellan uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård å ena sidan och forskning och epidemiologiska undersökningar å andra sidan. Ett påpekande om att begreppet forskning inte får förväxlas med uppföljning, utvärdering eller kvalitetssäkring görs också i förarbetena till lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.26
När det gäller skillnad mellan statistik och uppföljning, utvärdering och kvalitetssäkring kan följande beskrivning som gjordes av Socialtjänstdatautredningen lyftas fram.27Utredningen beskrev förhållandet mellan statistik och verksamhetsuppföljning på följande sätt. Utredningen utgår från det samlade begreppet verksamhetsuppföljning och därigenom avses att detta omfattar begreppen uppföljning, utvärdering och kvalitetssäkring. Även begreppet öppen jämförelse har en naturlig anknytning till verksamhetsuppföljning och behandlas i utredningens resonemang tillsammans med begreppet verksamhetsuppföljning. Utredningen utgår även från den skiljelinjen att statistik och användandet av uppgifter för statistiska ändamål skiljer sig från verksamhetsuppföljning och användandet av uppgifter för uppföljning, utvärdering och kvalitetssäkring och öppna jämförelser.
I rättsfallet RÅ 2004 ref 9 uttalade Högsta förvaltningsdomstolen att det förhållande att uppgifter inom ramen för uppföljning, utvärdering och liknande verksamhet sammanställs statistiskt inte kan anses innebära att uppgifterna används för statistikändamål i den mening som avses i dåvarande 9 kap. 4 § sekretesslagen (nuvarande 24 kap. 8 § OSL). Frågan gällde om uppgifter ur Socialstyrelsens dödsorsaksregister kunde lämnas ut med stöd av de undantag från sekretess som anges i sekretesslagen (9 kap. 4 §) då uppgiften behövdes för statistikändamål.
25Prop. 2002/03:50 s. 90 f och 192. 26Prop. 2000/01:80 s. 138. 27SOU 2009:32.
Socialstyrelsens läkemedelsregister SOU 2014:23
966
35.5 Våra överväganden och förslag
35.5.1 Utvecklingen på området
Nuvarande hälsodataregister bygger således på principen att uppgifter som ingår i respektive register är knutna till en angiven person och tillförs registret utan krav på samtycke från den enskilde. Det har gjorts en avvägning mellan den nytta som både i ett snävt personperspektiv och i ett brett samhällsperspektiv är förbunden med registret och det integritetsproblem som kan vara förknippat med att finnas i ett register. Vid den avvägningen har man funnit att nyttan med registren väger över och att man som enskild får tåla det intrång som registreringen kan upplevas som. 28
Som bestämmelserna ser ut i dag kan uppgifter i läkemedelsregistret inte användas för att läkemedel i vården ska kunna följas upp eller för åtgärder som avser bland annat kvalitetssäkring. I frågan om nytillkomna uppgifter (efter 1 juli 2005) får, som har framgått tidigare, dessa inte användas för uppföljning och kvalitetssäkring.
Läkemedelsregistret har framgångsrikt använts för de ändamål som anges i förordningen. Registret har gett den medicinska forskningen nya möjligheter att utveckla kunskap och samhället har på olika sätt fått viktiga underlag genom den statistik som Socialstyrelsen producerar. I praktiken kan sägas att den mer begränsade ändamålsbestämmelsen hitintills inte inneburit att Socialstyrelsen hindrats i sitt arbete med registret. Det kan samtidigt konstateras att det informationsbehov som Socialstyrelsen tillgodoser genom sin registerverksamhet är under klar förändring. Det har blivit en ökad fokusering på uppdrag som avser utvärderingar och uppföljningar av olika verksamheters funktionssätt. Behoven kommer till uttryck bland annat genom regeringsuppdrag till Socialstyrelsen men informationen efterfrågas från lokala och regionala aktörer som behöver uppgifter för sitt uppföljnings- och utvecklingsarbete när det gäller läkemedel inom hälso- och sjukvårdsområdet. I samband med dessa nya uppdrag och förfrågningar har utformningen av läkemedelsregistrets ändamålsbestämmelse kommit att skapa en del svårigheter. En fråga som uppkommer då är gränsdragningen mellan statistik å ena sidan och uppföljning, utvärdering och kvalitetssäkring å andra sidan.
SOU 2014:23 Socialstyrelsens läkemedelsregister
967
Socialstyrelsen arbetar med utveckling av kvalitetsindikatorer angående läkemedelsanvändning och detta arbete har utvecklats sedan tillkomsten av läkemedelsregistret29. Läkemedelsindikatorer finns nu med i de nationella riktlinjerna för hälso-och sjukvården t.ex. i riktlinjer för diabetes, hjärtsjukvård, strokesjukvård, samt i riktlinjer för ångest och depression.
Ett annat exempel är att fyra landsting tillsammans har utvärderat och publicerat ett antal läkemedelsindikatorer då de utnyttjar läkemedelsregistrets möjligheter att jämföra läkemedelsanvändningen i Stockholms län, Skåne, Västra Götaland och Östergötland med riket. Arbetet med öppna jämförelser av hälso- och sjukvårdens kvalitet och effektivitet som Socialstyrelsen gör tillsammans med Sveriges Kommuner och Landsting, startade 2006. I den första rapporten var 5 av de 56 indikatorerna läkemedelsindikatorer, 2007 var de 13 av totalt 75 indikatorer, och 2008 var de 20 av totalt 101. I rapporten för 2009 ökade antalet indikatorer som är framtagna med hjälp av läkemedelsregistret ytterligare.
Öppna jämförelserapporterna har fått ett stort genomslag, både 2007 och 2008 års rapporter är översatta till engelska vilket inneburit att läkemedelsindikatorer som underlag för förbättringsarbete har även uppmärksammats utomlands. De läkemedelsindikatorer som använts i öppna jämförelser och i arbetet med nationella riktlinjer bygger främst på tre olika sätt att använda läkemedelsregistret och att mäta läkemedelsanvändningen. De lite enklare måtten bygger på analyser av konsumtion av läkemedel i befolkningen.
För liknande mått där man vill studera följsamhet till behandlingsrekommendationer krävs ofta att man kan identifiera helt nya användare av ett läkemedel med syftet att bland annat få en så homogen grupp som möjligt. För detta krävs att personen inte haft något uttag av läkemedlet i fråga under en längre period. Då denna period helst ska vara minst två år är det först nu som liknande analyser kan genomföras. Detta gäller framför allt om man vill jämföra nyinsättning av läkemedel under olika perioder.
De mer avancerade måtten kräver samkörningar med flera av de andra nationella hälsodataregistren. Socialstyrelsen utvecklar fortlöpande, i samarbete med nationella experter, nya kvalitetsindikatorer som bygger på läkemedelsregistret.30
29 Socialstyrelsen Fyra år med läkemedelsregistret s. 37 f. 30 Socialstyrelsen Fyra år med läkemedelsregistret s. 37 f.
Socialstyrelsens läkemedelsregister SOU 2014:23
968
Socialstyrelsen har fått i uppdrag av regeringen att utreda förutsättningarna för att integrera individbaserade data för rekvisitionsläkemedel i ett hälsodataregister. Arbetet har redovisats i två rapporter. I Förstudie kring individdata för rekvisitionsläkemedel (2012) slår Socialstyrelsen fast att det är viktigt att följa upp användningen av rekvisitionsläkemedel för att det ska vara möjligt att ge en helhetsbild av befolkningen läkemedelsbehandling. Socialstyrelsen har i rapporten Uppföljning av rekvisitionsläkemedel – förutsättningar för integrering i ett hälsodataregister (2013) föreslagit hur individdata för rekvisitionsläkemedel kan integreras i Socialstyrelsens läkemedelsregister. I rapporten redogörs även för hur data bör förberedas, vilka uppgifter som bör registreras, hur täckningsgrad och kvalitet för dessa data ska mätas för att säkerställa tillförlitligheten för uppföljning eller statistikunderlag. Socialstyrelsen konstaterade bland annat att det krävs en ändring i förordningen om läkemedelsregister hos Socialstyrelsen som i dag anger att läkemedelsuppgifter bara kan hämtas till läkemedelsregistret från öppenvården, inte från slutenvården.
Socialstyrelsen lyfter fram att om uppgifterna i läkemedelsregistret även ska kunna användas för andra ändamål än de befintliga, t.ex. för uppföljning, utvärdering och kvalitetssäkring behöver bestämmelserna i 3 § förordningen om läkemedelsregister hos Socialstyrelsen kompletteras.
Vi bedömer att den rådande utvecklingen på området, bl.a. med hänsyn till Socialstyrelsens roll som kunskapsstyrande myndighet på området, gör att utformningen av nuvarande ändamålsbestämmelse kan ifrågasättas.
Förstudie från CeHis
Center för eHälsa i samverkan (CeHis) har i Förstudie om uppföljning av användningen av rekvisitionsläkemedel på individnivå (15 oktober 2013) undersökt förutsättningarna för huvudmännen (landstingen) att extrahera aktuell information ur sina journalsystem för överföring till ett nationellt register. CeHis har utgått från Socialstyrelsens förslag att läkemedelsregistret ska utökas med data om rekvisitionsläkemedel och föreslagit att ändamålen bör utökas. I förstudien konstateras att samtliga hälsodataregister bör tillåta personuppgiftsbehandling för samma ändamål. Förstudiens förslag att utöka ändamålen för läkemedelsregistrets personupp-
SOU 2014:23 Socialstyrelsens läkemedelsregister
969
giftsbehandling motiveras med att uppgifter som bedöms vara lika integritetskänsliga bör få användas för samma ändamål i alla hälsodataregister. Uppgifter om diagnoser från vårdtillfällen, lagrade i patientregistret får till exempel användas även för uppföljning, utvärdering och kvalitetssäkring. Att de båda hälsodataregistren har olika tillåtna ändamål innebär dessutom att det i dag inte är tillåtet att samköra patientregistret och läkemedelsregistret för något av ändamålen uppföljning, utvärdering och kvalitetssäkring. Det är svårt att se att uppgifterna om läkemedelsanvändning är mer integritetskänsliga än uppgifter om diagnos – snarare brukar uppgifter om diagnos betraktas som mer integritetskänsliga.
35.5.2 Nya ändamål bör införas i läkemedelsregistret
Vårt förslag: Ändamålsbestämmelsen i förordningen (2005:363)
om läkemedelsregister hos Socialstyrelsen ska utökas till att omfatta även uppföljning, utvärdering och kvalitetssäkring inom hälso- och sjukvårdsområdet. En konsekvens av förslaget är att det krävs en följdändring i lagen (1996:1156) om receptregister.
I tidigare lagstiftningsarbeten när det gäller hälsodataregister har konstaterats att ju färre ändamål som medges desto snävare blir tillämpningsområdet för ett register och därigenom minskar risken för intrång i den personliga integriteten. När läkemedelsregistret infördes uttalades att ett läkemedelsregister hos Socialstyrelsen kommer att innehålla information av känslig natur och omfatta många personer och att ett sätt att ytterligare värna om den enskildes integritet skulle därför kunna vara att begränsa registrets ändamål.31
För att skydda den personliga integriteten begränsades ändamålen till forskning, epidemiologiska undersökningar och statistik när det gäller läkemedelsregistret.
Av utredningens direktiv framgår att läkemedelsregistret bör kunna användas för uppföljning och kvalitetssäkring.32
Socialstyrelsens uppdrag innefattar att vara en ledande kunskapsstyrande myndighet. Vi kan konstatera att det Socialstyrelsen gör
31SOU 2003:5. 32 S2011:111.
Socialstyrelsens läkemedelsregister SOU 2014:23
970
i dag i form av t.ex. öppna jämförelser i och för sig kan göras med stöd av ändamålet statistik. Men det kan även ligga nära arbetet med uppföljning, utvärdering och kvalitetssäkring. Gränsdragningen mellan statistik och uppföljning, utvärdering och kvalitetssäkring är inte alltid helt klar.
Vid en jämförelse av ändamålen statistik och bl.a. uppföljning bör följande nämnas. Som tidigare har framgått har statistik som syfte att ge information av allmänt intresse i frågan om samhällsutveckling och samhällsförhållanden. Vidare framgår av lagen om den officiella statistiken att till sådan statistik räknas den statistik för samhällsplanering, forskning, allmän information och internationell rapportering som en statlig myndighet framställer. Det samlade begreppet verksamhetsuppföljning omfattar begreppen uppföljning, utvärdering och kvalitetssäkring. Även begreppet öppen jämförelse har en naturlig anknytning till verksamhetsuppföljning och kan behandlas tillsammans med detta begrepp. Statistik och användandet av uppgifter för statistiska ändamål skiljer sig från verksamhetsuppföljning och användandet av uppgifter för uppföljning, utvärdering och kvalitetssäkring och öppna jämförelser.33
Som beskrivits ovan kan Socialstyrelsen i dag göra till exempel arbetet med öppna jämförelser till ändamålet statistik men det kan lika gärna falla under ett ändamål som uppföljning. Enligt utredningens bedömning är det inte lämpligt att det är en sådan begränsning av ändamålen i förordningen om läkemedelsregister hos Socialstyrelsen när en stor del av Socialstyrelsens uppdrag består av just uppföljning och kvalitetssäkring av läkemedel inom hälso- och sjukvårdsområdet.
Det bör enligt utredningens bedömning göras en anpassning av bestämmelserna i läkemedelsregistret till övriga hälsodataregister. En harmonisering av lagstiftningen när det gäller hälsodataregistren som förs hos Socialstyrelsen bör göras för att myndigheten ska kunna fortsätta sitt arbete med att vara kunskapsstyrande och ta fram information för uppföljning- och utvecklingsarbete avseende läkemedel inom hälso- och sjukvården . Enligt utredningens bedömning kommer skillnaden, ur ett praktiskt perspektiv, inte heller att vara så betydande eftersom just vad som kan hänföras till ändamålen statistik och uppföljning inte är helt klar.
33SOU 2009:32.
SOU 2014:23 Socialstyrelsens läkemedelsregister
971
I jämförelse med de andra hälsodataregistren där uppgifterna i registren kan användas för ändamålen uppföljning, utvärdering och kvalitetssäkring så kan det uppfattas som ologiskt att inte uppgifterna i läkemedelsregistren kan användas även för dessa ändamål. Uppföljning av läkemedelsanvändningen, som för övrigt vad huvudsyftet för att införa ett läkemedelsregister, är fortfarande en av de viktigtaste uppgifterna med att registrera läkemedel.
Efter en avvägning mot den enskildes integritet och mot att ge Socialstyrelsen möjlighet att, i enlighet med sitt uppdrag, göra uppföljningar, utvärdera och kvalitetssäkra läkemedel inom hälso- och sjukvårdsområdet så gör utredningen bedömningen att nyttan med en utökning av ändamålen väger över det intrång i den personliga integriteten som skulle kunna uppstå. Ändringen innebär i praktiken ingen en större skillnad mot i dag. Utredningens bedömning är att integritetsriskerna inte är av sådan omfattning att föreslagna förändringar inte kan genomföras. I sammanhanget är det viktigt att komma ihåg att uppgifterna i Socialstyrelsens läkemedelsregister omfattas av absolut sekretess (24 kap. 8 § OSL). Vidare så arbetar Socialstyrelsen när det gäller läkemedelsregistret med uppföljning på verksamhetsnivå och inte med uppföljning av hälsan hos enskilda individer. Socialstyrelsen använder uppgifter från läkemedelsregistret i aggregerad form.
Utredningen föreslår därför att ändamålet i läkemedelsregistret ska utökas till att omfatta även uppföljning, utvärdering och kvalitetssäkring inom hälso- och sjukvårdsområdet. Till denna slutsats har utredningen kommit genom att väga den samhällsnytta och den nytta för den enskilde som en sådan utökning av ändamålet i registret för med sig mot det intrång i den enskildes integritet som en utökning av ändamålet innebär. På samma sätt som redan konstaterats vid tillkomsten av de övriga hälsodataregistren väger nyttan med en föreslagen utökning av registret enligt utredningens mening så tungt att man som enskild får finna sig i att uppgifterna kan användas även för uppföljning, utvärdering och kvalitetssäkring när det gäller läkemedel inom hälso- och sjukvårdsområdet.
Socialstyrelsens läkemedelsregister SOU 2014:23
972
35.5.3 Uppgift om förskrivningsorsak bör få registreras i läkemedelsregistret
Vårt förslag: Bestämmelsen i förordningen om läkemedels-
register hos Socialstyrelsen om vilka personuppgifter som får registreras ska utökas till att omfatta även uppgift om förskrivningsorsak. Förskrivningsorsak ska anges med en kod. Som en konsekvens av förslaget krävs följdändringar i receptregisterlagen.
I utredningens uppdrag ingår att föreslå hur ändamålen för behandling av personuppgifter i läkemedelsregistret kan anpassas till de ändamål som gäller för övriga hälsodataregister. I föregående avsnitt har utredningen också föreslagit förändringar för en sådan anpassning. I direktiven framgår även att vi har möjlighet att ta upp frågor som inte nämns i direktiven men som enligt utredaren behöver analyseras eller regleras för att uppdraget ska utföras på ett tillfredställande sätt.34I uppdraget har utredningen sett att det finns ett behov av se över om uppgift om förskrivningsorsak bör få registreras i läkemedelsregistret. Mot bakgrund av de övriga förslag som läggs fram i betänkandet har utredningen kommit fram till att bestämmelsen om vilka personuppgifter som får registreras i läkemedelsregistret bör utökas till att också innefatta uppgift om förskrivningsorsak. Vårt förslag redovisas nedan.
I förordning om läkemedelsregistret hos Socialstyrelsen stadgas i 4 § vilka uppgifter som får registreras i läkemedelsregistret. Enligt bestämmelsen får uppgift om inköpsdag, vara, mängd, dosering, kostnad och kostnadsreducering enligt lagen (2002:160) om läkemedelsförmåner m.m., patientens personnummer och folkbokföringsort, samt förskrivarens yrke, specialitet och arbetsplatskod registreras i läkemedelsregistret. eHälsomyndigheten ska lämna ut motsvarande uppgifter till Socialstyrelsen (16 § receptregisterlagen).
Tidigare var det tillåtet att även lagra uppgift om förskrivningsorsak i läkemedelsregistret men i samband med att läkemedelsregistret omvandlades till ett hälsodataregister år 2005 upphörde möjligheten för dåvarande Apoteket AB att överföra uppgift om förskrivningsorsak till registret. Regeringen anförde i för-
34 Dir. 2011:111 Förbättrad tillgång till personuppgifter inom och mellan hälso- och sjukvården och socialtjänsten m.m.
SOU 2014:23 Socialstyrelsens läkemedelsregister
973
arbetena att då koder för förskrivningsorsak ännu inte var framtagna, borde läkemedelsregistret inte innehålla uppgift om förskrivningsorsak.35
Ändamålet med receptregistret är huvudsakligen att samla in uppgifter för att sedan redovisa ett urval av uppgifter till olika mottagare, som i sin tur använder uppgifterna på olika sätt. Det som regleras i receptregisterlagen är hur uppgifterna ska hanteras så länge de finns i receptregistret hos eHälsomyndigheten och vad som är tillåtet i fråga om vidareredovisning till andra register och aktörer.
Enligt receptregisterlagen får eHälsomyndigheten endast lämna ut uppgift om förskrivningsorsak för de ändamål som avses i 6 § första stycket punkten 5 och punkten 6. Det är således tillåtet att lämna ut uppgift för registrering och redovisning till landstingen av uppgifter för ekonomisk och medicinsk uppföljning samt för framställning av statistik, samt registrering och redovisning till förskrivare, till verksamhetschefer enligt hälso- och sjukvårdslagen och till läkemedelskommittéer enligt lagen (1996:1157) om läkemedelskommittéer av uppgifter för medicinsk uppföljning, utvärdering och kvalitetssäkring i hälso- och sjukvården.
Enligt 8 § samma lag framgår att i den utsträckning det behövs för ändamålen i 6 § får receptregistret innehålla bland annat förskrivningsorsak men av sista stycket i samma paragraf ska förskrivningsorsak anges med en kod. Eftersom inget kodsystem finns på plats innebär denna bestämmelse att ingen överföring av uppgift om förskrivningsorsak från förskrivare till receptregistret kunnat äga rum. Följaktligen har inte heller uppgift om förskrivningsorsak varit möjligt att lämna ut från receptregistret till landsting, förskrivare eller verksamhetschef.
Socialstyrelsen får meddela föreskrifter om koder för förskrivningsorsak (jfr 4 § förordningen [2009:625] om receptregister och 8 § receptregisterlagen). Under 2012 fick Socialstyrelsen i uppdrag av regeringen att utveckla en nationell källa för ordinationsorsak i form av ett strukturerat kodsystem för ordinationer. Med begreppet ordinationsorsak avses det som i lag och författning benämns förskrivningsorsak. Uppdraget avsåg ordinationer från såväl öppen som sluten vård. I uppdraget ingick att analysera och lämna förslag till hur en sådan källa kan och bör införas i hälso- och sjukvården. Socialstyrelsen presenterade i juli 2013 slutrapporten Uppdrag att
Socialstyrelsens läkemedelsregister SOU 2014:23
974
utveckla en nationell källa för ordinationsorsak. Enligt rapporten har Socialstyrelsen tagit fram ett kodsystem för ordinationsorsaker och ändamålstexter för tre ATC-grupper, tydliggjort och ensat terminologin inom området samt anpassat Nationell ordinationsdatabas (NOD) till den strukturerade lagringen av uppgifter om ordinationsorsak. Socialstyrelsen har i sitt arbete även tagit fram ett förslag till införande i vården och ett förslag till drift och förvaltning samt vidareutveckling av kodsystemet. Socialstyrelsen fick därefter (februari 2014) i uppdrag att färdigställa kodsystemet och utreda en vidareutveckling av kodsystemets innehåll och i möjligaste mån planera för förvaltning av kodsystemet som helhet. När en förvaltningsorganisation är på plats finns möjlighet att börja använda den nationella källan för ordinationsorsak för de förskrivare som ordinerar sina läkemedel genom ordinationsverktyget Pascal.36
Uppdraget att ta fram en nationell källa för ordinationsorsak syftar i första hand till ökad patientsäkerhet i förskrivningsögonblicket samt en minskning av läkarnas administrativa belastning. Att ta fram ett kodsystem som möjliggör att uppgift om förskrivningsorsak kan överföras till receptregistret och därifrån redovisas till olika mottagare är dock främst angeläget ur uppföljningssynvinkel. Ökad kunskap om hur t.ex. behandlingseffekt och biverkningar är relaterade till ordinationsorsak skulle exempelvis vara av stort värde för bland annat Läkemedelsverket och Socialstyrelsen. Uppföljningsbara uppgifter om ordinationsorsak underlättar enligt en utredning som Läkemedelsverket gjorde 2011 också en utvidgning av systemet för generiskt utbyte.37
Möjligheten att följa upp läkemedelsanvändningen utifrån ordinationsorsak kan även vara ett viktigt led i bedömningen av ett läkemedels kostnadseffektivitet, inte minst vid introduktionen av nya och dyra läkemedel. För Tandvårds- och läkemedelsförmånsverket skulle tillgång till uppgifter från läkemedelsregistret som även innefattar uppgift om ordinationsorsak innebära att det blir lättare att per indikation värdera om nyttan av den aktuella förskrivningen motsvarar det pris som initialt har fastställts och gör det på så sätt möjligt att på ett tydligare sätt koppla pris till volym.
36 Pascal ordinationsverktyg är ett nationellt verktyg för ordination av dosläkemedel, när en patient får mediciner fördelade i påsar. 37 Läkemedelsverket; Utredning av förutsättningar för utvidgat utbyte respektive utbyte vid nyinsättning 2011-09-26.
SOU 2014:23 Socialstyrelsens läkemedelsregister
975
Uppgifter om förskrivningsorsak skulle – om de ingick i läkemedelsregistret – hanteras enligt samma rutiner som andra uppgifter i Socialstyrelsens hälsodataregister med motsvarande känslighet. Exempel på sådana uppgifter är uthämtad läkemedelsprodukt (i läkemedelsregistret) och patientens diagnos (i patientregistret). Alla utlämnanden av individbaserad statistik prövas enligt gällande sekretessbestämmelser och hanteras enligt de regelverk som beskrivs i personuppgiftslagen, patientdatalagen och lagen om hälsodataregister. Det får inte finnas någon risk att uppgifter om en enskild röjs och varje begäran bedöms därför mycket noggrant av Socialstyrelsen. Uppgifterna i Socialstyrelsens hälsodataregister omfattas av absolut sekretess enligt 24 kap. 8 § OSL. Av samma paragraf framgår att sekretessen kan brytas för forskningsändamål, men endast om det står klart att den som uppgifterna avser eller någon närstående inte kan lida skada eller men. Begäran från forskare om hantering av individdata måsta alltid godkännas av en etiksprövningsnämnd. Därefter gör Socialstyrelsen en oberoende prövning enligt offentlighets- och sekretesslagens regelverk. Även här är det viktigt att framhålla att Socialstyrelsen när det gäller läkemedelsregistret arbetar med en verksamhets funktionssätt och inte uppföljning av hälsan hos enskilda individer och styrelsen använder uppgifter från registret i aggregerad form.
Utredningen föreslår därför att bestämmelsen om vilka personuppgifter som får registreras i läkemedelsregistret utökas till att också innefatta uppgift om förskrivningsorsak. Av hänsyn till behovet av skydd för den personliga integriteten ska uppgift om förskrivningsorsak, precis som i receptregistret, även i läkemedelsregistret registreras med en kod. Som en konsekvens av förslaget är det även nödvändigt med en följdändring i receptregisterlagen. Av den lagen ska det framgå att eHälsomyndigheten får redovisa förskrivningsorsak för registrering och redovisning till Socialstyrelsen.
977
36 Patientrapporterade mått
36.1 Bakgrund
För att kunna förbättra hälso- och sjukvården är det viktigt att ta tillvara på och kunna förstå patienternas upplevelser och erfarenheter av både vårdens resultat och processer. I sammanhanget talas ofta om PROM för utfallsmått och PREM för mått på patienternas tillfredsställelse och upplevelser. Förkortningarna kommer efter de engelska uttrycken Patient Reported Outcome Measures och Patient Reported Experience Measures.
Med hjälp av patientrapporterade utfallsmått kan hälso- och sjukvårdens aktörer mäta hur patienterna upplever sin sjukdom och sin hälsa efter genomgången behandling eller någon annan intervention. Det handlar således om att ta reda på och förstå hur patientens egen upplevda hälsorelaterade livskvalitet m.m. påverkas av olika hälso- och sjukvårdsåtgärder och värdera hälso- och sjukvårdens resultat utifrån patientens perspektiv. I praktiken går det ofta till på ett sådant sätt att patienten, elektroniskt eller manuellt, fyller i ett frågeformulär som sedan tas om hand av vårdgivaren eller tillfogas ett nationellt kvalitetsregister. Genom en systematisk insamling av patientrapporterade utfallsmått tas patienternas upplevelser tillvara och skapar över tid en viktig kunskapskälla för utvecklingen av hälso- och sjukvården.
Patientrapporterade utfallsmått kan ge svar på frågor som exempelvis vilka patienter som blir bättre, sämre eller oförändade efter en viss hälso- och sjukvårdsåtgärd. Särskilt genom att studera variationerna i de resultat patienterna rapporterar får hälso- och sjukvården bättre förutsättningar att utveckla verksamheten och initiera arbeten för att förbättra resultatet för patienterna. Om det finns gemensamma faktorer av betydelse för de patienter som exempelvis inte blir bättre, kan hälso- och sjukvården få värdefull insikt och underlag för att kunna göra de förändringar i verksamheten som
Patientrapporterade mått SOU 2014:23
978
bedöms medföra en ökad hälsorelaterad livskvalitet även för dessa patienter.
Vid sidan av de patientrapporterade utfallsmåtten, som primärt är inriktade på de medicinska resultaten av hälso- och sjukvården, är även kunskap om patienternas mer generella upplevelser och tillfredsställelse med hälso- och sjukvården viktiga att förstå och ta tillvara för att kunna utveckla verksamheten. Detta kan exempelvis innefatta frågor om bemötande, delaktighet, information, förtroende för vårdgivaren och tillgänglighet. Att ta reda på hur patienterna upplever hälso- och sjukvården är viktigt för att kunna förbättra de områden där patientera upplever att det finns brister, men det handlar även om att skapa förutsättningar för patienter att vara delaktiga och göra sin röst hörd.
36.1.1 Att mäta och samla in patientupplevelser
Arbetet med att samla in och ta tillvara på patienternas upplevelser drivs idag i stor utsträckning i anslutning till utvecklingen av nationella kvalitetsregister. Det stora flertalet nationella kvalitetsregister arbetar idag med att öka patienternas medverkan bland annat genom att samla in patientrapporterade utfallsmått och mått på patienteras upplevelser och erfarenheter. I detta ingår ett inte sällan omfattande arbete med att definiera vilka mått som är ändamålsenliga att använda och vilka frågor som är lämpliga att ställa i olika situationer. De patientrapporterade mått som är ändamålsenliga i en situation behöver nödvändigtvis inte vara det i en annan situation. För att avgöra vilka mått som är att lämpliga krävs därför djup kunskap bland annat om den aktuella verksamheten och dess processer samt om patienternas situationer. Frågor som kan behöva analyseras är bland annat om patienterna ska svara manuellt eller elektroniskt, om patienterna kan svara själva eller om någon utomstående behöver bistå, om mätningen syftar till att utvärdera en viss intervention och vilka olika dimensioner som behöver fångas, exempelvis hälsa, sjukdom, funktionsförmåga, patientnöjdhet etc.
För att stödja implementeringen av mätningar med patientrapporterade mått har bland annat PROMcenter tagit fram ett vägledande dokument.1 I dokumentet redogörs för ett antal viktiga
1 PROMcenter, Implementering av mätningar med PROM inom hälso- och sjukvården (2012).
SOU 2014:23 Patientrapporterade mått
979
steg och frågeställningar som behöver analyseras inför ett insamlande av utfallsmått. Det handlar bland annat om vikten av att välja lämpligt instrument, d.v.s. frågeformulär, för att kunna samla in den information som bedöms vara viktig för att kunna få kunskap i frågan. Ofta kan det vara aktuellt att välja fler än ett instrument eller ibland kombinationer av flera olika instrument. Därutöver aktualiseras även behovet av att kunna tillfoga mått som är specifika för den situation och verksamhet som det handlar om, t.ex. sjukdomsspecifika mått. Vissa verksamheter som inte hittar något lämpligt befintligt instrument kan även behöva skapa ett helt eget instrument.
Inte heller vad gäller själva insamlingen av uppgifter finns någon entydig lösning som är lämplig vid alla situationer. I vissa delar av hälso- och sjukvården och för vissa verksamheter behöver tiden för insamlingen exempelvis inte vara avgörande. I sådana fall kan det vara praktiskt att samla in uppgifterna när en kontakt med patienten äger rum. I andra situationer kan det vara avgörande att insamlingen görs vid ett specifikt tillfälle, till exempel om mätningen bör göras i ett visst medicinskt skede.
Även frågor om det praktiska tillvägagångssättet för att inhämta uppgifter är beroende av omständigheterna i den enskilda situationen. Såväl verksamhetens karaktär som patienternas förutsättningar kan vara avgörande för om, och i sådant fall hur, en manuell eller elektronisk insamling ska göras. Det kan exempelvis handla om att skicka en pappersversion av frågeformuläret, tillsammans med ett frankerat svarskuvert, hem till patienten. Ett annat alternativ är att tillhandahålla funktioner för elektronisk inrapportering efter inloggning på en hemsida. Att inhämta informationen muntligt i ett personligt möte eller över telefon är ytterligare ett alternativ.
Eftersom insamlingen av de patientrapporterade måtten i stor utsträckning görs i anslutning till ett nationellt eller regionalt kvalitetsregister påverkas de olika valen i dessa avseenden naturligtvis även av de omständigheter och de tillvägagångssätt som i övrigt gäller för det enskilda nationella kvalitetsregistret. Den process och det praktiska tillvägagångssättet behöver därför vara anpassad till de närmare förutsättningar som gäller för de olika kvalitetsregistrens datainsamling.
Patientrapporterade mått SOU 2014:23
980
36.2 Vårt uppdrag
Det är angeläget att på ett strukturerat sätt ta till vara patienternas upplevelser av hälso- och sjukvården och att patienter ges förutsättningar att vara en medproducent av information i hälso- och sjukvården.
Regeringen anför i utredningsdirektiven att det i nuvarande lagstiftning är svårt att identifiera gränsen mellan patientens egen personuppgiftsbehandling och den personuppgiftsbehandling som vårdgivaren är ansvarig för. För att patienten ska kunna vara medproducent av information i hälso- och sjukvården kan denna gräns därför behöva tydliggöras.
Vidare följer av utredningens ursprungliga direktiv ett uppdrag att föreslå nationella kriterier för vad som kan betecknas som patientrapporterade utfallsmått. Genom tilläggsdirektiv fick utredningen sedan i uppdrag att även föreslå en modell för webbaserad inrapportering av patientupplevd kvalitet.2
36.3 Våra överväganden
Vår bedömning: Frågor om vad som utgör patientrapporterade
mått och hur sådana bör samlas in och tas om hand är komplexa, under ständig utveckling och nära sammankopplade med frågor som generellt rör insamlingen av uppgifter till nationella kvalitetsregister. Att föreslå nationella kriterier för vad som ska betraktas som patientrapporterade utfallsmått samt en modell för webbaserad inrapportering bedöms inte vara ändamålsenligt. Det skulle kunna låsa in utvecklingen i förutsättningar som inte är flexibla. Inte heller bedöms ytterligare förtydliganden i lagstiftningen om fördelningen av personuppgiftsansvaret vara nödvändigt.
Nationella kriterier och modell för webbaserad inrapportering
Begrepp som utfall, tillfredsställelse och upplevelser är inte alltid enkla att fånga och kräver en noggrann analys av de omständigheter som kännetecknar verksamheten och den specifika situation som
2 Dir. 2012:23.
SOU 2014:23 Patientrapporterade mått
981
patienten befinner sig i. Det finns inte någon enskild fråga som ger en tillräckligt bra bild av patientens erfarenheter av hälso- och sjukvården. Det innebär att det är nödvändigt att ställa flera olika frågor och olika typer av frågor för att få det kunskapsunderlag som behövs för det ständiga förbättringsarbetet.
Utredningen har i det föregående kort redogjort för sådant som påverkar vad som i en viss situation ska betraktas som patientrapporterade mått. Enligt vår bedömning är det tydligt att detta är en fråga som kräver kunskap om de särskilda förhållanden som gäller i just den del av hälso- och sjukvården som de specifika patientrapporterade måtten avses att täcka. De patientrapporterade mått som gör sig gällande exempelvis i samband med vården av personer med diabetes behöver inte vara ändamålsenliga i andra sammanhang, t.ex. för vården av patienter som får höftproteskirurgi.
I dagsläget finns det sannolikt även ett mycket stort antal redan framtagna frågeformulär att välja på, där en del syftar till att mäta hälsa i allmänhet medan andra fokuserar på sådant som specifika diagnoser och symptom. Oavsett vilket formulär som bedöms ändamålsenligt i det enskilda fallet framstår det som att det ofta finns ett behov av att komplettera formuläret med frågor som utvecklats speciellt för det aktuella ändamålet.
Vidare kan konstateras att det pågår en omfattande utveckling i anslutning till de nationella kvalitetsregistren med att definiera mått och implementera en systematisk insamling av information. Därutöver gav regeringen under 2013 Socialstyrelsen i uppdrag att, i samråd med Sveriges Kommuner och Landsting m.fl., identifiera och föreslå generella mätinstrument och indikatorer för patientrapporterade utfall för kroniska sjukdomar.3Socialstyrelsen har nyligen redovisat uppdraget och uttalar i sammanhanget att det inte är möjligt att idag föreslå eller rekommendera specifika indikatorer baserade på PROM eller enskilda mätinstrument. Socialstyrelsen föreslår istället att en fortsatt utveckling av PROM bedrivs inom ramen för pågående kvalitetsregistersatsning.4
Sammantaget bedömer utredningen att det i detta skede och på grund av den komplexitet som dessa frågor inrymmer inte vore ändamålsenligt att fastställa nationella kriterier för vad som ska betecknas som patientrapporterade utfallsmått. Det skulle, om det
3 Regeringsbeslut, S2013/5650/FS (delvis). 4 Socialstyrelsen, Patientrapporterade utfallsmått för kvalitetsregister för kroniska sjukdomar, Dnr 5.3-37022/2013.
Patientrapporterade mått SOU 2014:23
982
gjordes, även behöva göras på en sådan generell nivå att det kan ifrågasättas om någon egentlig nytta genereras. Visar det sig i framtiden, när utvecklingen har tagit ytterligare steg, att det finns ett behov av att förtydliga vad som ska anses ingå i de patientrapporterade måtten kan en annan bedömning vara påkallad.
Av motsvarande skäl bedömer vi även att det inte vore ändamålsenligt i dagsläget att föreslå en modell för webbaserad inrapportering. Det skulle enligt vår bedömning kunna riskera att låsa in utvecklingen i oflexibla lösningar. Den rådande tekniska utvecklingen är dessutom nära sammankopplad med utvecklingen av de nationella kvalitetsregistren i övrigt och med det arbete som görs för att effektivisera datainsamlingen till kvalitetsregistren.
Beroende på vilket perspektiv som anläggs är frågan om en webbaserad modell dessutom av mycket skiftande karaktär. Ur patientens perspektiv skulle troligen frågan i första hand handla om de övergripande frågorna vid den elektroniska inrapporteringen. Det kan handla om sådant som att webbplatsen är en naturlig kommunikationskanal mellan patienter och hälso- och sjukvården, att säkerheten i den elektroniska överföringen är hög, att patienten får lättillgänglig information om datainsamlingen och dess syfte, att patienten känner trygghet i vem mottagaren av informationen är och att det finns någon att kontakta vid behov av ytterligare stöd.
För vårdgivarnas del handlar det sannolikt även om mer specifika förutsättningar, dels kopplade till de enskilda nationella kvalitetsregistren, dels kopplade till administrativa insatser i anslutning till datainsamlingen. Frågor om hur en datainsamling närmare arrangeras avgörs enligt utredningens bedömning dessutom till stor del av sådana ställningstaganden som görs vid val av frågeformulär.
På en övergripande nivå har landsting och regioner kommit överens om att kommunikation mellan patienter och vårdgivare primärt ska gå genom 1177vårdguiden och Mina vårdkontakter. I Mina vårdkontakter finns exempelvis en möjlighet att använda en s.k. formulärtjänst för att utforma elektroniska formulär för att inhämta uppgifter från patienter. Från patientens perspektiv är hälso- och sjukvården därmed redan på väg mot att ha en övergripande modell för webbaserad inrapportering. Mot den bakgrunden och i detta skede bedömer utredningen att det inte är ändamålsenligt att föreslå en annan modell än den som landsting och regioner redan kommit överens om.
SOU 2014:23 Patientrapporterade mått
983
Frågor om personuppgiftsansvarets gränser
Frågan om gränsen mellan den enskildes och vårdgivarens personuppgiftsansvar är komplex och i allra högsta grad beroende på omständigheterna i det enskilda fallet. Utredningen har i ett flertal avsnitt i betänkandet redovisat hur personuppgiftsansvaret kan vara fördelat vid olika situationer. I avsnitt 12.4.5 och 17.4.2 redogör utredningen för patienternas möjligheter att elektroniskt bidra med uppgifter till patientjournalen och till nationella kvalitetsregister. Enligt vår bedömning är det fullt möjligt för en patient att, efter vårdgivarens anvisningar, bidra med uppgifter i en patientjournal eller till ett nationellt kvalitetsregister genom att t.ex. fylla i elektroniska formulär som vårdgivaren tillhandahåller.
Att patienter med hjälp av den tekniska utvecklingen elektroniskt kan bidra med uppgifter innebär inte att patienten har någon ovillkorlig möjlighet eller rätt att på eget initiativ dokumentera uppgifter i en patientjournal eller i ett kvalitetsregister. Däremot kan vårdgivare i sina rutiner för att inhämta den information som behövs för journalföringen eller för kvalitetsutvecklingen av hälso- och sjukvården, tillhandahålla definierade möjligheter för patienten att bidra med information. För den personuppgiftsbehandling som det medför är vårdgivaren, enligt de grundläggande bestämmelserna, personuppgiftsansvarig. Detta eftersom vårdgivaren är den som bestämmer ändamål och medel för personuppgiftsbehandlingen. I vårdgivarens ansvar ingår därmed bland annat ett ansvar för att relevanta personuppgifter med hänsyn till ändamålet behandlas samt att de säkerhetsåtgärder som krävs för att skydda personuppgifterna vid elektronisk överföring är vidtagna. Det senare inbegriper bland annat ett ansvar för att se till att obehöriga inte kan komma åt uppgifterna, t.ex. genom att uppgifterna krypteras under överföringen.
Vidare har utredningen i avsnitten 33.5.5 och 33.5.6 redogjort för ytterligare överväganden kring bedömningarna av personuppgiftsansvaret. Sammantaget innebär detta, enligt vår bedömning, att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som äger rum när denne gör det möjligt för en patient att elektroniskt dokumentera och överföra uppgifter som vårdgivaren har för avsikt att tillfoga patientjournalen eller ett nationellt kvalitetsregister. Vi gör bedömningen att några uttryckliga författningsbestämmelser om detta inte är nödvändigt.
985
37 Datainspektionens befogenheter
37.1 Vårt uppdrag
I utredningens direktiv anges att Datainspektionen för närvarande saknar möjlighet att exempelvis vid vite förelägga en vårdgivare att ge information till patienten. Det finns därför enligt direktiven skäl att utreda om Datainspektionen behöver ytterligare befogenheter för att kunna förhindra att behandling av personuppgifter inleds eller fortsätter i strid med gällande författningsreglering. Vidare har Datainspektionen själv behandlat frågan om utökade befogenheter att använda vite i en skrivelse till regeringen.
Utöver vite, nämner Datainspektionen i sin skrivelse även andra möjliga befogenheter. Bland dessa kan exempelvis följande nämnas.
• Möjligheten att föreskriva om selektiv anmälningsskyldighet.
• Möjligheten att uppträda som ombud i domstol för registrerade personer i skadeståndsprocesser.
• Möjligheten att besluta om administrativa sanktionsavgifter.
Gemensamt för dessa andra tänkbara befogenheter, är att de inte kan sägas tillhöra tillsynsmyndigheternas sedvanliga befogenheter, och att ett införande därför skulle behöva föregås av en djupgående analys och konsekvensbeskrivning, vilken lämpligen görs i ett sammanhang då hela Datainspektionens roll och uppdrag ses över. Befogenheten att förena förelägganden och förbud med vite, är däremot en vanlig sanktionsmöjlighet för tillsynsmyndigheter. Vidare finns det för vitessanktionen i lagen (1985:206) om viten ett fungerande regelverk med utvecklad praxis.
Mot denna bakgrund har utredningen valt att avgränsa frågan om Datainspektionens behov av ytterligare befogenheter till att avse möjligheten att förena förelägganden och förbud med vite.
Datainspektionens befogenheter SOU 2014:23
986
Vidare har utredningen i första hand analyserat frågan om Datainspektionens behov av ytterligare befogenheter på hälso- och sjukvårdens och socialtjänstens område.
37.1.1 Datainspektionens befogenheter
I dataskyddsdirektivet återfinns flera bestämmelser om tillsynsmyndighetens ställning och befogenheter.1 I personuppgiftslagen (1998:204), förkortad PUL, finns dock endast en del av dessa. Anledningen är att vissa av de krav som direktivet uppställer har ansetts vara uppfyllda genom annan lagstiftning än personuppgiftslagen eller annars har bedömts kunna genomföras i annan form än lag. En utgångspunkt har därför varit att personuppgiftslagen endast ska innehålla de befogenheter som måste eller av andra skäl bör regleras i lag.
Bestämmelserna om Datainspektionens befogenheter återfinns i huvudsak i 43–47 §§ PUL och reglerar sådant som exempelvis följande.
• Myndighetens rätt att för sin tillsyn få tillgång till personuppgifter och tillträde till lokaler (43 §).
• Myndighetens möjlighet att vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifterna på annat sätt än genom att lagra dem (44 §).
• Myndighetens möjlighet att föreskriva vite om den personuppgiftsansvarige inte frivilligt följer att beslut om säkerhetsåtgärder enligt 32 § personuppgiftslagen (45 §).
Våra reflektioner
Det kan mot bakgrund av ovanstående konstateras att Datainspektionen saknar möjlighet att vid vite föreskriva den personuppgiftsansvarige att vidta åtgärder för att rätta eventuella brister som myndigheten funnit i sin tillsyn. Ett sådant vite kan, enligt 45 § PUL, för närvarande endast föreskrivas för att förmå den personuppgiftsansvarige att vidta säkerhetsåtgärder. Någon annan möjlighet att med vite förena ett föreläggande om att uppnå ett
1 Direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
SOU 2014:23 Datainspektionens befogenheter
987
visst resultat finns således inte. Det innebär i praktiken att Datainspektionen, om myndigheten finner det nödvändigt att använda vitesmöjligheten, behöver förena ett vitesföreläggande med ett föreläggande om att den personuppgiftsansvarige ska upphöra med annan personuppgiftsbehandling än lagring. En sådan konsekvens kan enligt utredningens uppfattning självklart många gånger vara omotiverad och oönskad. Det finns därför skäl att överväga hur myndighetens befogenheter bättre kan anpassas till de behov som finns för att få till stånd rättelse vid felaktig personuppgiftsbehandling.
37.1.2 Datainspektionens skrivelse till regeringen
Datainspektionen har utanför ramen för den här utredningen till regeringen påtalat sitt behov av utökade befogenheter. Inspektionen skrev i december 2011 till regeringen och menade att det finns behov av att på ett allmänt plan se över Datainspektionens roll och uppdrag. En brist som Datainspektionen särskilt uppmärksammade i sammanhanget, var begränsningen i möjligheten att förena sina förelägganden och förbud med vite, varvid inspektionen särskilt nämnde behovet för tillsynen inom hälso- och sjukvården.
Datainspektionen beskrev problemet med begränsade vitesmöjligheter i följande ordalag.2
Personuppgiftslagen ger Datainspektionen möjlighet att använda vite som påtryckningsmedel i tre olika situationer: – När en personuppgiftsansvarig inte lämnar tillräckligt underlag för tillsynen får Datainspektionen vid vite förbjuda annan personuppgiftsbehandling än lagring (44 § PuL) – När Datainspektionen konstaterar att en personuppgiftsansvarig behandlar personuppgifter på ett felaktigt sätt, får Datainspektionen vid vite förbjuda annan personuppgiftsbehandling än lagring, om rättelse inte kan åstadkommas på annat sätt eller saken är brådskande. – Om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder enligt 32 § som vunnit laga kraft, får tillsynsmyndigheten föreskriva vite. Personuppgiftslagen ger emellertid ingen möjlighet för Datainspektionen att vid vite förelägga en personuppgiftsansvarig att vidta andra åtgärder än säkerhetsåtgärder. Det innebär bl.a. att Datainspektionen inte vid vite kan förelägga den ansvarige att tillgodose särskilda krav i personuppgiftslagen eller annan registerförfattning. Exempelvis är det inte möjligt för Datainspektionen att vid vite
2 Datainspektionens skrivelse till regeringen den 9 december 2011, dnr 1760–2011.
Datainspektionens befogenheter SOU 2014:23
988
förelägga en vårdgivare att på begäran av en patient spärra åtkomsten för andra vårdenheter till patientens uppgifter (4 kap. 4 PdL). Om Datainspektionen i detta exempel behöver tillgripa vite för att utverka att spärrar införs, måste det ske i samband med ett föreläggande att upphöra med annan behandling än lagring, vilket här skulle innebära att all elektronisk journalföring måste upphöra. Datainspektionen måste alltså, för att få tillgång till vitesmöjligheten, besluta om en långt mer ingripande och störande åtgärd än vad som egentligen är behövligt med hänsyn till den egentliga bristen hos den personuppgiftsansvarige. Vid remissbehandlingen av Datalagskommitténs betänkande Integritet – Offentlighet – Informationsteknik (SOU 1997:39) ansåg Kammarrätten i Göteborg att ett beslut om förbud borde kunna föregås av ett med vite förenat föreläggande för att uppnå det resultat som önskas. Regeringen valde emellertid att inte införa en sådan möjlighet, med hänvisning bl.a. till att Datainspektionen inte framfört några synpunkter på de föreslagna vitesmöjligheterna. Möjligheten att med vite förena ett föreläggande att uppnå visst resultat, finns för andra tillsynsmyndigheter som har arbetsuppgifter som kan jämföras med Datainspektionens. Exempelvis har Socialstyrelsen möjlighet att vid vite förelägga en vårdgivare att avhjälpa missförhållanden inom hälso- och sjukvården, se 6 § kap. 13 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Datainspektionen anser att liknande möjlighet behövs även i inspektionens tillsyn enligt personuppgiftslagen. Med nu gällande regelverk finns en uppenbar risk att Datainspektionen antingen avstår från att använda ett vitesföreläggande när det egentligen behövs, eller använder sig av ett förläggande som innebär ett stort och störande ingrepp som omfattar betydligt fler personuppgifter och behandlingar än det bakomliggande problemet motiverar. Det sagda gäller inte minst för Datainspektionens tillsyn inom hälso- och sjukvården.
37.2 Datainspektionens praxis
Det förekommer att en personuppgiftsansvarig inte efterkommer Datainspektionens beslut och att inspektionen därför flera gånger måste meddela nya beslut med samma innebörd, innan den ansvarige börjar vidta åtgärder för att följa gällande lagstiftning.
Ett exempel på detta är Datainspektionens upprepade beslut i samma fråga mot en vårdgivare i hälso- och sjukvården den 18 december 2009, den 20 januari 2011, den 18 april 2011 och den 1 juni 2011.3Den fråga som var aktuell i besluten rörde vårdgivarens skyldighet att ge patienterna information om hur deras uppgifter behandlades. Datainspektionen kunde i enlighet med nu gällande
3 Dnr. 1002–2009 och 461–2010 (de tre senare besluten samlades i ett ärende).
SOU 2014:23 Datainspektionens befogenheter
989
regelverk inte lagligen vid vite förelägga vårdgivaren att vidta vissa konkreta åtgärder för att informera patienterna.
Ett annat exempel, också detta på hälso- och sjukvårdens område, är Datainspektionens upprepade beslut mot samtliga landsting och fem av de största privata vårdgivarna, rörande patientens rätt att spärra vissa uppgifter enligt patientdatalagen (2008:355), förkortad PDL. Tillsynsärendena inleddes i maj 2011. När det i november 2011 framkommit indikationer på att många it-system i hälso- och sjukvården inte har stöd för spärrar, utökade Datainspektionen tillsynen av de granskade vårdgivarna.4
I juni 2012 fattades beslut i ärendena, varvid Datainspektionen konstaterade att vårdgivarna fyra år efter att patientdatalagen trädde i kraft, fortfarande inte levde upp till lagens krav. I en sammanfattning av tillsynsresultaten skrev Datainspektionen den 19 juni 2012 att vårdgivarna inte ens i de stora huvudjournalsystemen hade tekniska funktioner som helt och hållet kunde tillgodose patienternas rätt till spärr. Ärendena avslutades med förelägganden som skulle följas upp. När uppföljningen var färdig i juni 2013, konstaterade Datainspektionen i en ny sammanfattning den 11 juni 2013, att vissa av vårdgivarna hade kommit en bra bit på väg och att vissa i praktiken var framme vid målet.
Enligt Datainspektionen fanns det dock några vårdgivare som inte hade kommit lika långt när det gällde införandet av tekniska funktioner i it-systemen. Datainspektionen resonerade kring möjliga anledningar till detta i följande ordalag.5
En orsak till detta kan vara att det skiljer sig åt i antal it-system hos vårdgivarna, vilket medför att en vårdgivare som använder sig av många it-system också har ett större arbete framför sig. En annan orsak kan vara att vårdgivaren inte, av ekonomiska eller andra skäl, prioriterar patienternas lagliga rätt till spärrar.
Datainspektionen uppgav vidare att man skulle behöva följa upp de vårdgivare som var sämst på att uppfylla lagens krav.
Ett exempel utanför hälso- och sjukvårdens område är Datainspektionens omfattande uppföljning under våren och hösten 2002 av tidigare meddelade beslut avseende personuppgiftsbehandlingen i forskningsprojekt. Resultatet av uppföljningen visade att det var många forskningshuvudmän som inte hade följt
4 Datainspektionens pressmeddelande (2011-11-23). 5 Sammanfattning av Datainspektionens nationella projekt om spärrar i IT-system inom hälso- och sjukvården (20013-06-11).
Datainspektionens befogenheter SOU 2014:23
990
Datainspektionens beslut. Enligt Datainspektionen innebar det att – trots att inspektionen meddelat tydliga beslut härom – ”känsliga personuppgifter behandlas utan att ett giltigt samtycke inhämtats och utan att deltagarna fått tillräcklig information”.6 I sammanhanget är av intresse att det, när Datainspektionen år 2012 redovisade resultaten av en ny granskning av personuppgiftsbehandlingen inom ett 50-tal forskningsprojekt, i många projekt visade sig finnas brister i hur man informerade de personer som ingår i forskningen om hur deras uppgifter kommer att användas och vilka rättigheter de har.7
Ett ytterligare exempel är de upprepade kontakter som Datainspektionen under åren 2010 och 2011 hade med ett företag som registrerade data från trådlösa nätverk som fanns i närheten av företagets bilar som körde runt och fotograferade svenska städer inför lanseringen av en karttjänst. Företaget uppgav vid två tillfällen efter varandra att data från de trådlösa nätverken skulle raderas. Först vid en tredje kontakt uppgav företaget att uppgifterna faktiskt hade raderats, och inkom sedan med underlag som styrkte raderingen.8
Våra reflektioner
Sammanfattningsvis konstaterar utredningen att det i Datainspektionens praxis finns exempel på situationer där en utökad vitesmöjlighet kunde ha underlättat och skyndat på Datainspektionens möjlighet att ingripa mot pågående integritetsintrång.
37.3 Bakgrunden till nuvarande reglering
För utredningens del är det nödvändigt att analysera de skäl som ligger bakom den gällande regleringen som innebär att Datainspektionen i dag har begränsade möjligheter att förena sina förelägganden och förbud med vite. Därvid är framför allt av intresse hur lagstiftaren motiverade nu gällande ordning i samband med att Sverige år 1998 genomförde dataskyddsdirektivet genom personuppgiftslagen. Det är även av intresse att jämföra med vad som gällde enlighet den numera upphävda datalagen (1973:289).
6 Datainspektionens rapport 2002:4. 7 Datainspektionens pressmeddelande den 10 december 2012. 8 Datainspektionen, dnr 1783–2010.
SOU 2014:23 Datainspektionens befogenheter
991
Vitesmöjligheterna enligt datalagen
Enligt 18 § tredje stycket datalagen, dvs. personuppgiftslagens föregångare, hade Datainspektionen större befogenheter än i dag att med vite förena beslut om åtgärder (i datalagens terminologi ”föreskrift för ett visst register”).
Av bestämmelsen framgick bl.a. att Datainspektionen för ett visst register fick meddela föreskrift och förena sådan föreskrift med vite. De föreskrifter som Datainspektionen hade rätt att meddela kunde enligt 6 § avse bl.a. vilka personuppgifter som får ingå i personregistret, den tekniska utrustningen, kontroll och säkerhet, de bearbetningar av personuppgifterna i registret som får göras med automatisk databehandling, underrättelse till berörda personer och bevarande och gallring av personuppgifter.
När bestämmelsen infördes, motiverades särskilt möjligheten för Datainspektionen att besluta om vite även i samband med en föreskrift för visst register (18 § första stycket datalagen), och inte enbart i samband med ett förbud mot fortsatt förande av personregister (18 § andra stycket datalagen). Regeringen anförde bland annat följande.9
Datainspektionen har varken i fråga om föreskrift eller förbud någon möjlighet att förena dessa åtgärder med en sanktion. För att förhindra pågående integritetsintrång bör det enligt regeringens mening därför också bli möjligt att förena en föreskrift enligt 18 § första stycket med ett vitesföreläggande. Ett sådan vitesföreläggande kan dessutom förutsättas få större praktisk betydelse för Datainspektionens möjligheter att verka mot pågående integritetsintrång än enbart ett vitesföreläggande med stöd av 18 § andra stycket.
Personuppgiftslagens förarbeten
Möjligheten som fanns enligt datalagen att förena även en föreskrift för visst register med vite, fanns inte med i det lagförslag som lämnades av Datalagskommittén i betänkande Integritet – Offentlighet – Informationsteknik (SOU 1997:39). Någon kommentar eller motivering till avsaknaden av en sådan bestämmelse lämnades dock inte i betänkandet. Förändringen uppmärksammades av en av remissinstanserna, dock inte av Datainspektionen.
I regeringens förslag till personuppgiftslag var Datainspektionens vitesmöjligheter dock alltjämt begränsade på samma
Datainspektionens befogenheter SOU 2014:23
992
sätt som i Datalagskommitténs betänkande. Regeringen motiverade begränsningen på följande sätt.10
Kammarrätten i Göteborg anser att ett beslut om förbud bör kunna föregås av ett med vite förenat föreläggande för att uppnå det resultat som önskas. Enligt vår mening är det viktigt att tillsynsmyndigheten i första hand kan fungera som ett stöd vid de personuppgiftsansvarigas behandling av personuppgifter och ge råd om hur behandlingen bör gå till för att vara laglig. Möjligheten till vitessanktionerat förbud får anses tillräcklig för att förmå de personuppgiftsansvariga att följa myndighetens råd i fråga om hur en behandling skall utföras på ett lagligt sätt. Datainspektionen har för övrigt inte fört fram några synpunkter på de föreslagna vitesmöjligheterna. Tillsynsmyndigheten bör kunna fatta beslut om vilka säkerhetsåtgärder som en personuppgiftsansvarig skall vidta. Det beslutet bör kunna överklagas hos allmän förvaltningsdomstol. Om den personuppgiftsansvarige inte följer ett beslut om säkerhetsåtgärder, som har vunnit laga kraft, bör tillsynsmyndigheten kunna föreskriva vite för att beslutet skall genomföras.
Våra reflektioner
Sammanfattningsvis konstaterar utredningen att nuvarande ordning innebär en begränsning i Datainspektionens befogenheter i jämförelse med vad som gällde enligt datalagen, och att begränsningen endast har motiverats knapphändigt utan djupare analys. Utredningen noterar även att det i förarbetena inte redovisas några skäl till varför vitesmöjligheten är större när det gäller säkerhetsåtgärder än när det gäller andra åtgärder som den personuppgiftsansvarige är skyldig att vidta.
Sammantaget ger förarbetena till den nu gällande lagstiftningen således ringa vägledning i frågan om tillsynsmyndighetens befogenheter att förena förelägganden och förbud med vite.
SOU 2014:23 Datainspektionens befogenheter
993
37.4 Våra överväganden och förslag om utökade befogenheter för Datainspektionen
Vårt förslag: I hälso- och sjukvårdsdatalagen och i socialtjänst-
datalagen ska förtydligas att tillsynsmyndigheten enligt personuppgiftslagen får, utöver vad som stadgas om myndighetens befogenheter i den lagen, vid sin tillsyn över att bestämmelserna i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen följs, besluta de förelägganden eller förbud som behövs för att dessa lagar eller föreskrifter som har meddelats med stöd av dessa lagar ska följas. Vidare ska i hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen införas en möjlighet för tillsynsmyndigheten enligt personuppgiftslagen att förena sådana beslut om föreläggande eller förbud med vite.
Vår bedömning: Genom förslaget får tillsynsmyndigheten en
möjlighet att, vid tillsyn enligt hälso- och sjukvårdsdatalagen och socialtjänstdatalagen, förena förelägganden och förbud med vite. Förslaget innebär inget avsteg från den nuvarande regleringen i personuppgiftslagen om att tillsynsmyndigheten i första hand ska försöka åstadkomma rättelse genom påpekanden eller liknande förfaranden.
Inledning
Som Datainspektionen anger i skrivelsen till regeringen, innebär nuvarande ordning att inspektionen, för att få tillgång till vitesmöjligheten i syfte att utverka en viss åtgärd av den personuppgiftsansvarige, måste besluta om en långt mer ingripande och störande åtgärd än vad som egentligen är behövligt med hänsyn till den bristen hos den personuppgiftsansvarige. Enligt utredningens bedömning finns det, med nu gällande regelverk, en uppenbar risk att myndigheten antingen avstår från att använda ett vitesföreläggande när det egentligen behövs, eller använder sig av ett förläggande som innebär ett stort och störande ingrepp som omfattar betydligt fler personuppgifter och behandlingar än vad det bakomliggande problemet motiverar.
Vidare har vi i det föregående konstaterat att Datainspektionens befogenheter på detta område begränsades i och med ikraft-
Datainspektionens befogenheter SOU 2014:23
994
trädandet av personuppgiftslagen, utan att detta egentligen motiverades närmare.
De exempel från Datainspektionens praxis som har redovisats ger också en bild av att det finns situationer där utökade vitesmöjligheter skulle kunna vara ändamålsenliga för att få den personuppgiftsansvarige att snabbare vidta de integritetsskyddande åtgärder som inspektionen pekar på i tillsynsbeslut.
Något om andra myndigheters befogenheter
När det gäller möjligheten att förena alla förelägganden och förbud med vite, är det som nämns ovan en möjlighet som är vanlig hos tillsynsmyndigheter. Det kan till och med sägas att det snarare hör till ovanligheterna att en tillsynsmyndighet som Datainspektionen saknar sådan möjlighet.
Normalt tillhör det således tillsynsmyndigheternas sedvanliga sanktionsarsenal att vid behov kunna förena alla sina förelägganden och förbud med vite. Häribland kan särskilt nämnas befogenheterna för Inspektionen för vård och omsorg, IVO, och Läkemedelsverket. Dessa myndigheter har till uppgift att utöva tillsyn primärt över andra intressen inom hälso- och sjukvården och läkemedelshanteringen än patienternas personliga integritet.
IVO utövar tillsyn bl.a. över att vårdgivare planerar, leder och kontrollerar sin verksamhet på ett sätt som leder till att kravet på god vård i hälso- och sjukvårdslagen (1982:763) respektive tandvårdslagen (1985:125) upprätthålls. För att kunna utöva tillsynen får IVO besluta om viten. Myndighetens befogenhet att besluta om vite framgår bland annat av 7 kap. 24 § patientsäkerhetslagen (2010:659). Enligt den bestämmelsen ska Inspektionen för vård och omsorg, om den finner att en vårdgivare, eller enhet som avses i 7 §, inte fullgör sina skyldigheter enligt 3 kap. och om det finns skäl att befara att underlåtenheten medför fara för patientsäkerheten eller säkerheten för andra, förelägga vårdgivaren eller enheten att fullgöra sina skyldigheter om det inte är uppenbart obehövligt. Ett beslut om föreläggande får förenas med vite.
Även när IVO utövar tillsyn över verksamhet enligt socialtjänstlagen (2001:453) har myndigheten befogenhet att förena förelägganden med vite. Av lagens 13 kap. 8 § första stycket framgår att om IVO finner att det i verksamhet som står under tillsyn enligt socialtjänstlagen förekommer ett missförhållande som har
SOU 2014:23 Datainspektionens befogenheter
995
betydelse för enskildas möjligheter att kunna få de insatser de har rätt till, får inspektionen förelägga den som svarar för verksamheten att avhjälpa missförhållandet. Ett föreläggande ska innehålla uppgifter om de åtgärder som inspektionen anser nödvändiga för att det påtalade missförhållandet ska kunna avhjälpas. Ett beslut om föreläggande får förenas med vite.
Läkemedelsverket utövar tillsyn bl.a. över att handel med läkemedel bedrivs på ett sådant sätt att läkemedlen inte skadar människor, egendom eller miljö samt så att läkemedlens kvalitet inte försämras. Läkemedelsverket får enligt 7 kap. 3 § lagen (2009:366) om handel med läkemedel meddela de förelägganden och förbud som behövs för att denna lag eller föreskrifter och villkor som har meddelats i anslutning till lagen ska följas. Läkemedelsverkets beslut om föreläggande eller förbud får förenas med vite.
Enligt utredningen är det viktigt att Datainspektionen som ansvarar för tillsynen av regelverket som ska skydda den personliga integriteten, inte ges sämre befogenheter än andra myndigheter som ansvarar för tillsynen av regelverk som inriktar sig på de personuppgiftsansvarigas huvudsakliga verksamhet, såsom exempelvis att bedriva hälso- och sjukvård på ett patientsäkert sätt. Den skillnad som finns i dag mellan Datainspektionen och sådana andra myndigheter, riskerar att på sikt förskjuta balansen mellan de olika intressen som de personuppgiftsansvariga tillsynsobjekten måste beakta, och förefaller därmed varken lämplig eller rimlig.
Vidare kan uppmärksammas att dataskyddsdirektivet i artikel 28.3 bland annat föreskriver att varje tillsynsmyndighet ska ha effektiva befogenheter att ingripa. Det kan ifrågasättas i vad mån en ordning där tillsynsmyndigheten Datainspektionen ges mindre verksamma sanktionsmöjligheter än andra nationella tillsynsmyndigheter på angränsande områden, är fullt ut förenligt med dataskyddsdirektivets artikel 28.3.
Tillsynsutredningen
Som ett resultat av Tillsynsutredningens (Ju 2000:06) arbete avgav regeringen i december 2009 en skrivelse med bl.a. generella bedömningar för hur en tillsynsreglering bör vara utformad. I skrivelsen sägs bl.a. att tillsynen, för att bli mer effektiv och rättssäker, bör
Datainspektionens befogenheter SOU 2014:23
996
vara tydligare och mer enhetlig. Vidare anförde regeringen exempelvis följande.11
Genom mer enhetliga begrepp och regler ges de många verksamhetsutövare som står under tillsyn enligt regleringar i flera olika lagar och av flera tillsynsorgan bättre förutsättningar att följa gällande regler.
Av särskilt intresse i detta sammanhang är att skrivelsen även innehåller en generell rekommendation avseende tillsynsmyndigheters möjligheter att förena sina beslut med vite.12
Ett tillsynsorgan bör ha en möjlighet att besluta om förelägganden i enskilda fall. Möjligheten att utforma föreläggandet för att kunna styra beteendet hos den objektsansvarige bör vara vitt och i princip ansluta till tillsynens omfattning. Föreläggandets utformning skapar möjligheter för tillsynsorganet att anpassa ett ingripande efter vad som är behövligt ur sektorslagens perspektiv. Ett åtgärdsföreläggande bör kunna förenas med vite.
En möjlighet för Datainspektionen att förena sina förelägganden och beslut med vite, oavsett vilka slags åtgärder förläggandet eller förbudet omfattar, förefaller enligt vår uppfattning ligga i linje med vad regeringen anför i sin skrivelse.
Risk för över- eller felutnyttjande
Ett skäl för att inte ge Datainspektionen utökade befogenheter att använda sig av vite, skulle kunna vara en rädsla för att inspektionen överutnyttjar vitesmöjligheten och förenar sina beslut med vite även när det inte är påkallat, i stället för att som i dag i första hand försöka åstadkomma rättelse med hjälp av påpekanden. Risken för en sådan utveckling får dock, enligt utredningens bedömning, i realiteten anses som obefintlig.
Förutom en sådan användning av vitessanktionen, kan det även tänkas att Datainspektionen skulle förena beslut med vite i situationer där ett vite egentligen är olämpligt med hänsyn till det som ska eller kan uppnås med tillsynen. Som tänkbart exempel på det sistnämnda kan nämnas att inspektionen skulle besluta ett föreläggande vid vite att införa spärrar i ett journalsystem inom en tidsfrist som av tekniska eller organisatoriska skäl inte är möjlig att efterkomma för den personuppgiftsansvarige, eller att före-
11 Regeringens skrivelse 2009/10:79 En tydlig, rättssäker och effektiv tillsyn, s. 1. 12 Regeringens skrivelse 2009/10:79 En tydlig, rättssäker och effektiv tillsyn, s. 44.
SOU 2014:23 Datainspektionens befogenheter
997
läggandet skulle omfatta även system där det inte är helt klarlagt om behandlingen överhuvudtaget omfattas av patientdatalagens krav på spärrar.
De nämnda riskerna bör inte överdrivas. Datainspektionen har i sin tillsyn av till exempel just spärrar i hälso- och sjukvården visat prov på viss återhållsamhet, då myndigheten riktade in tillsynen på ”huvudjournalsystem och andra omfattande patientjournalsystem som innehåller många känsliga patientuppgifter”.13 Det innebar i praktiken att Datainspektionen bortsåg från personuppgiftsbehandlingen i system som i och för sig omfattades av patientdatalagens bestämmelser om spärrar, eftersom vårdgivaren i dessa system endast behandlade ett mindre antal känsliga personuppgifter.
Vidare skulle en utökad möjlighet för användande av vite, inte behöva innebära att stadgandet i personuppgiftslagen att Datainspektionen i första hand ska försöka åstadkomma rättelse genom påpekanden eller liknande förfaranden, ska utgå. Tvärtom både kan och bör formuleringen finnas kvar för att tydligt markera vilket som fortsatt ska vara inspektionens förstahandsalternativ.
Slutligen ska sägas att Datainspektionen vid en utökad vitesbefogenhet även skulle vara bunden av de för alla myndigheter gemensamma, allmänna principerna om viten, och att inspektionens beslut även fortsättningsvis skulle kunna överklagas. Härtill kommer att beslut som förenats med vite alltid måste underställas domstol i ett senare led, om Datainspektionen skulle vilja förverkliga vitessanktionen, eftersom inspektionen måste ansöka till förvaltningsrätten om utdömande av vitet.
Sammanfattningsvis bedömer utredningen att de skäl som kan anföras för en utökning av Datainspektionens befogenheter, är både fler och väger tyngre än de skäl som kan anföras mot en utökning. Därför föreslår vi att Datainspektionen ges en utökad möjlighet att förena sina förelägganden och förbud med vite. Nedan redogörs närmare för utformning och placering av utredningens förslag.
13 Se exempelvis Datainspektionens beslut 31 maj 2013 med dnr 1402–2012.
Datainspektionens befogenheter SOU 2014:23
998
Allmänt om vitesförelägganden m.m.
Vitessanktionen som sådan är reglerad i lagen (1985:206) om viten. Det finns alltså ett fungerande regelverk med utvecklad praxis i vägledande domar avseende bl.a. enskildas rättssäkerhet när det gäller vitessanktionen hos myndigheter, som skulle gälla även för en utökad vitesmöjlighet för Datainspektionen.
I doktrinen sägs bl.a. följande om de allmänna principer som myndigheter har att tillämpa när det gäller användande av vite.14
I de flesta fall ankommer det på myndigheten att med hänsyn till omständigheterna bestämma om vite skall utsättas i ett föreläggande. Den hållning enskild intagit vid myndighetens tidigare kontakter med honom blir ofta av grundläggande betydelse. Om han visat intresse för saken och förklarat sig villig att vidta rättelse, kan det vara lämpligt eller rentav en fördel att låta föreläggandet vara osanktionerat. Ett gott förhållande till den enskilde kan annars lätt gå förlorat, om myndigheten utan direkt anledning hotar med en vitespåföljd. Annorlunda ställer det sig, om den enskilde ignorerar myndighetens formlösa tillsägelser eller vägrar att tala med myndighetens representanter eller besvara skrivelser. Vite är då som regel nödvändigt. Detsamma gäller i det fall, att den enskilde redan på ett förberedande stadium av ärendets handläggning ifrågasätter, om ett eventuellt myndighetsingripande är lagenligt, ändamålsenligt eller skäligt. Oavsett den enskildes hållning bör en myndighet föreskriva vite, om föreläggandet tillgodoser ett viktigt allmänt intresse och snar rättelse är påkallad. Vitet tjänar här som en garanti för att föreläggandet verkligen blir verkställt inom rimlig tid. Däremot kan ett vite vara överflödigt, om intresset är mindre viktigt och rättelse kan åstadkommas med enkla medel och på relativt kort tid. I sådant fall bör myndigheten i stället genom råd och anvisningar få till stånd en godvillig uppgörelse med den ansvarige.
Det anförda kan vara av betydelse exempelvis i samband med utvecklingen av IT-stöd, där den personuppgiftsansvarige inte sällan behöver visst rådrum för att kunna rätta sig efter ett beslut. De krav som följer direkt av lagstiftningen eller av Datainspektionens tillämpning, kan ibland föranleda ett omfattande utvecklings- och omställningsarbete hos den personuppgiftsansvarige. Det måste därför inom Datainspektionen finnas kompetens att beakta och bedöma sådana omständigheter för att därefter kunna föreskriva realistiska tidsfrister i de beslut som förenas med vite.
14 Rune Lavin, Viteslagstiftningen – En kommentar, andra upplagan, 2010, s. 25 f.
SOU 2014:23 Datainspektionens befogenheter
999
Omfattning och placering av de nya bestämmelserna
Utredningen har övervägt olika alternativ för frågan var och hur en utökad möjlighet för Datainspektionen att besluta om viten, lämpligen bör införas. Vi har identifierat två alternativa möjligheter till reglering av utökade befogenheter för Datainspektionen. Det första alternativet är att utökningen endast omfattar Datainspektionens tillsyn på hälso- och sjukvårdsområdet och på socialtjänstområdet. I sådant fall, bör regleringen av de utökade befogenheterna lämpligen göras i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen. Det andra alternativet är att utökningen omfattar Datainspektionens tillsyn generellt, dvs. oavsett på vilket område den utövas. I sådant fall, bör regleringen av de utökade befogenheterna lämpligen göras i personuppgiftslagen.
Vad gäller det sistnämnda alternativet anser utredningen att det i och för sig finns mycket som talar för att Datainspektionen borde ha en generell vitesmöjlighet oavsett vilket tillsynsområde det rör. En sådan lösning skulle exempelvis överensstämma med vad som gäller för flera andra tillsynsmyndigheter. Samtidigt handlar utredningens uppdrag primärt om personuppgiftsbehandlingen inom och mellan hälso- och sjukvården och socialtjänsten. Att föreslå en grundläggande förändring i personuppgiftslagen skulle därför få konsekvenser för verksamhetsområden som ligger utanför utredningens uppdrag. Utredningens sammantagna bedömning är att våra direktiv hindrar att de förslag som utredningen lämnar med utgångspunkt i hälso- och sjukvården och socialtjänsten, får en avsevärt bredare tillämpning med verkan också utanför dessa områden. Att föreslå en generell möjlighet för Datainspektionen att, oavsett tillsynsområde, förena förelägganden och förbud med vite ligger därför utanför uppdraget och bör lämpligen utredas i ett bredare sammanhang.
Mot den bakgrunden föreslår vi att Datainspektionens utökade befogenheter ska begränsas till hälso- och sjukvården och socialtjänsten och därför ska regleringen göras i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen.
På sätt och vis finns befintliga förebilder för en sådan ordning med reglering i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen. Både kreditupplysningslagen (1973:1173) och inkassolagen (1974:182) ger Datainspektionen möjlighet att besluta om vite i fler situationer än vad personuppgiftslagen medger. I den systematik som alltså finns för befintliga regler om Data-
Datainspektionens befogenheter SOU 2014:23
1000
inspektionens befogenheter, kan inspektionen i ett annat regelverk än personuppgiftslagen ges andra och mer vittgående befogenheter än de som nämns i personuppgiftslagen.
Vidare finns i redovisningen av Datainspektionens praxis flera exempel på situationer framför allt inom hälso- och sjukvården där ett vite hade kunnat vara till nytta. Bland annat mot den bakgrunden talar, enligt vår bedömning, övervägande skäl för att faktiskt utöka Datainspektionens möjlighet att besluta om viten på hälso- och sjukvårdens område. Samtidigt gäller de grundläggande skälen för en utökad möjlighet, enligt vår uppfattning, med samma tyngd även för Datainspektionens tillsyn på andra områden än hälso- och sjukvården, t.ex. inom socialtjänsten. I samband med att vi nu föreslår en ny socialtjänstdatalag med nya möjligheter för socialtjänsten att t.ex. utbyta personuppgifter genom direktåtkomst, på sätt som påminner om vad som gäller för hälso- och sjukvården, finns därför anledning att låta Datainspektionen få utökade befogenheter att besluta om vite även på socialtjänstens område.
Sammantaget föreslår vi således att Datainspektionen, genom reglering i hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen, får nya möjligheter att använda vite.
Utformning av de nya bestämmelserna
Utredningen föreslår för det första att det i hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen införs ett förtydligande av tillsynsmyndighetens befogenhet att besluta de förelägganden eller förbud som behövs för att dessa lagar eller föreskrifter som har meddelats med stöd av dessa lagar ska följas. I dag framgår detta inte med önskvärd tydlighet av personuppgiftslagen, men befogenheten får anses fast etablerad i Datainspektionens praxis sedan åtskilliga år. Mot den bakgrunden finns anledning att tydliggöra detta i samband med att nya möjligheter att besluta om vite föreslås.
För det andra föreslår utredningen att tillsynsmyndigheten vid tillsyn enligt hälso- och sjukvårdsdatalagen och socialtjänstdatalagen får förena sina beslut om föreläggande eller förbud med vite. I första hand ska Datainspektionen dock, som följer av personuppgiftslagen, försöka åstadkomma rättelse med hjälp av påpekanden eller liknande förfaranden. I syfte att förtydliga detta
SOU 2014:23 Datainspektionens befogenheter
1001
bör lagtexten ange att de nya möjligheterna i hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen ska gälla utöver vad som följer av personuppgiftslagen. Det innebär att Datainspektionen även i sin tillsyn över socialtjänsten och hälso- och sjukvården i första hand ska använda sig av påpekanden för att försöka åstadkomma rättelse.
I vissa situationer kan det bli aktuellt för Datainspektionen att direkt föreskriva ett vite, om föreläggandet tillgodoser ett viktigt allmänt intresse, om snar rättelse är påkallad och det finns anledning att befara att ett icke sanktionerat föreläggande inte skulle följas på rätt sätt eller inom rimlig tid. Enligt vad som framgår av Datainspektionens praxis gör utredningen dock bedömningen att ett direkt föreskrivande av vite kommer att behövas ytterst sällan.
Slutbetänkande av Utredningen om rätt information i vård och omsorg
Stockholm 2014
Rätt information på rätt plats i rätt tid
Del 2
SOU och Ds kan köpas från Fritzes kundtjänst. För remissutsändningar av SOU och Ds svarar Fritzes Offentliga Publikationer på uppdrag av Regeringskansliets förvaltningsavdelning.
Beställningsadress: Fritzes kundtjänst 106 47 Stockholm Orderfax: 08-598 191 91 Ordertel: 08-598 191 90 E-post: order.fritzes@nj.se Internet: www.fritzes.se
Svara på remiss – hur och varför. Statsrådsberedningen (SB PM 2003:2, reviderad 2009-05-02)
– En liten broschyr som underlättar arbetet för den som ska svara på remiss. Broschyren är gratis och kan laddas ner eller beställas på http://www.regeringen.se/remiss
Textbearbetning och layout har utförts av Regeringskansliet, FA/kommittéservice.
Omslag: Elanders Sverige AB.
Tryckt av Elanders Sverige AB. Stockholm 2014
ISBN 978-91-38-24107-3 ISSN 0375-250X
1003
Innehåll
Författningsförslag m.m.
38 Författningsförslag.................................................. 1005
39 Ikraftträdande ........................................................ 1079
40 Konsekvenser av våra förslag ................................... 1081
40.1 Inledning............................................................................... 1081 40.2 Ekonomiska konsekvenser .................................................. 1082 40.3 Konsekvenser för små företags villkor ............................... 1088 40.4 Våra förslag och dataskyddsdirektivet ................................ 1090 40.5 Andra konsekvenser ............................................................ 1094
41 Författningskommentar ........................................... 1097
41.1 Förslag till hälso- och sjukvårdsdatalag .............................. 1097 41.2 Förslag till Socialtjänstdatalag ............................................. 1172 41.3 Förslag till lag om Socialstyrelsens behandling av personuppgifter i verksamhet avseende utredningar av vissa dödsfall ......................................................................... 1207
41.4 Förslag till lag om ändring i lagen (1993:387) om stöd och service till vissa funktionshindrade .............................. 1209 41.5 Förslag till lag om ändring i lagen (1996:1156) om receptregister ........................................................................ 1210
Innehåll SOU 2014:23
1004
41.6 Förslag till lag om ändring i lagen (1998:603) om verkställighet av sluten ungdomsvård ................................. 1211 41.7 Förslag till lag om ändring i socialtjänstlagen (2001:453) ................................................ 1211
41.8 Förslag till lag om ändring i lagen (2001:499) om omskärelse av pojkar ............................................................ 1213 41.9 Förslag till lag om ändring i lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten .............................. 1213
41.10 Förslag till lag om ändring i lagen (2005:258) om läkemedelsförteckningen ................................................... 1213 41.11 Förslag till lag om ändring i lagen (2007:606) om utredningar avseende vissa dödsfall ................................... 1214
41.12 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) .................................................. 1214 41.13 Förslag till lag om ändring i patientsäkerhetslagen (2010:659) ...................................... 1217
Särskilt yttrande ............................................................. 1219
Bilagor
Bilaga 1–3 Kommittédirektiv 2011:111, 2012:23, 2013:43 ......... 1229
1005
38 Författningsförslag
38.1 Förslag till hälso- och sjukvårdsdatalag
Härigenom föreskrivs följande
1 kap. Lagens tillämpningsområde m.m.
Lagens innehåll
1 § Denna lag innehåller bestämmelser om behandling av personuppgifter inom hälso- och sjukvården samt om patientjournaler och nationella och regionala kvalitetsregister.
2 § Lagen är indelad i följande kapitel.
– Lagens tillämpningsområde m.m. (1 kap.) – Grundläggande bestämmelser om behandling av personuppgifter (2 kap.)
– Patientjournalen (3 kap.) – En säker och ändamålsenlig hantering av personuppgifter (4 kap.)
– Grundläggande bestämmelser om utlämnande av uppgifter och handlingar (5 kap.)
– Direktåtkomst inom en huvudmans ansvarsområde (6 kap.) – En patients rätt att begränsa åtkomst inom en huvudmans ansvarsområde (7 kap.)
– Sammanhållen journalföring (8 kap.) – Informationsutbyte mellan hälso- och sjukvård och socialtjänst (9 kap.)
– Nationella och regionala kvalitetsregister (10 kap.) – Rättigheter för den enskilde (11 kap.)
Författningsförslag SOU 2014:23
1006
– Överlämnande, omhändertagande och bevarande av journalhandlingar m.m. (12 kap.)
– Skadestånd och överklagande (13 kap.)
Lagens tillämpningsområde
3 § Denna lag ska tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I tillämpliga delar gäller lagen också en huvudmans behandling av personuppgifter inom hälso- och sjukvården.
Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.
Lagens syfte
4 § Denna lag syftar till att främja en informationshantering som tillgodoser god kvalitet, patientsäkerhet och kostnadseffektivitet i hälso- och sjukvården. Lagen ska särskilt främja att
1. den som arbetar hos en vårdgivare säkert, snabbt och enkelt får tillgång till de personuppgifter som han eller hon behöver för att kunna utföra sitt arbete, och
2. personuppgifter utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras.
Definitioner
5 § I denna lag används följande uttryck med nedan angiven betydelse.
Uttryck Betydelse
Huvudman Den som enligt hälso- och sjukvårdslagen (1982:763) ansvarar för att erbjuda hälso- och sjukvård. Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet. Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (1982:763), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om
SOU 2014:23 Författningsförslag
1007
fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m. samt den upphävda lagen (1944:133) om kastrering.
Informationssystem System som insamlar, bearbetar, lagrar eller distribuerar och presenterar information. Journalhandling Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder. Kvalitetsregister Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Nationella och regionala kvalitetsregister
Med ett nationellt eller regionalt kvalitetsregister avses ett kvalitetsregister till vilket personuppgifter har samlats in från flera vårdgivare och som möjliggör jämförelser inom hälso- och sjukvården på nationell eller regional nivå.
Patientjournal En eller flera journalhandlingar som rör samma patient. Sammanhållen journalföring Med sammanhållen journalföring avses en möjlighet för vårdgivare, som bedriver hälso-
Författningsförslag SOU 2014:23
1008
och sjukvård som olika huvudmän ansvarar för eller som är privat finansierad, att ha direktåtkomst till varandras vårddokumentation.
Vårddokumentation Personuppgifter som behandlas för ändamål som anges i 2 kap. 5 § första stycket 2 och 3. Vårdgivare Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, landstinget eller kommunen bedriver samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.
Förhållandet till personuppgiftslagen och tillsynsmyndighetens befogenheter
6 §Personuppgiftslagen (1998:204) gäller vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av denna lag.
Tillsynsmyndigheten enligt personuppgiftslagen får, utöver vad som stadgas om myndighetens befogenheter i den lagen, vid sin tillsyn över efterlevnaden av bestämmelserna i denna lag, besluta de förelägganden eller förbud som behövs för att denna lag eller föreskrifter som har meddelats med stöd av denna lag ska följas.
Ett beslut om föreläggande eller förbud enligt andra stycket får förenas med vite.
SOU 2014:23 Författningsförslag
1009
2 kap. Grundläggande bestämmelser om behandling av personuppgifter
Kapitlets tillämpningsområde
1 § Bestämmelserna i detta kapitel tillämpas vid sådan behandling av personuppgifter som avses i 1 kap. 6 §.
Personuppgiftsansvar
2 § En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Personuppgiftsansvaret enligt första stycket omfattar även sådan behandling av personuppgifter som vårdgivaren, eller den myndighet i ett landsting eller i en kommun som är personuppgiftsansvarig, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till personuppgifter om en patient genom direktåtkomst.
Hos en huvudman är den myndighet som ansvarar för att erbjuda hälso- och sjukvård enligt hälso- och sjukvårdslagen (1982:763) personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.
I 10 kap. 2 och 3 §§ finns särskilda bestämmelser om personuppgiftsansvar.
Den enskildes inställning till personuppgiftsbehandlingen
3 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller inte i de fall som anges i 7 kap. 1 §, 8 kap., 9 kap. 3 § och 10 kap. 4 och 5 §§ eller om något annat framgår av lag eller förordning.
4 § Behandling av personuppgifter som inte är tillåten enligt denna lag får ändå utföras, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller inte i de fall som anges i 8 kap. 11 § eller om något annat framgår av lag eller förordning.
Författningsförslag SOU 2014:23
1010
Regeringen får meddela föreskrifter om att en behandling av personuppgifter som inte är tillåten enligt denna lag inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen.
Ändamål med personuppgiftsbehandlingen
5 § Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för
1. att förebygga, utreda eller behandla sjukdomar och skador hos patienter,
2. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,
3. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall,
4. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,
5. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,
6. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller
7. att framställa statistik om hälso- och sjukvården.
Personuppgifter som behandlas för ändamål som anges i 1–3 får även behandlas för att antalsberäkna möjliga deltagare för forskning inom hälso- och sjukvården. Om en forskningsstudie har godkänts av regional eller central etikprövningsnämnd får sådana personuppgifter även behandlas för att identifiera deltagare som kan erbjudas medverkan i forskningsstudien.
Personuppgiftsbehandling enligt andra stycket får endast utföras om vårdgivaren tagit fram och infört närmare riktlinjer som anger hur personuppgiftsbehandlingen ska utföras för att skydda de registrerades personliga integritet.
I 8 kap. 9 §, 9 kap. 7 § samt 10 kap. 7 och 8 §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter.
6 § Personuppgifter som behandlas för ändamål som anges i 5 § får också behandlas för att fullgöra uppgiftslämnande i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
SOU 2014:23 Författningsförslag
1011
Personuppgifter som får behandlas
7 § En vårdgivare får behandla endast sådana personuppgifter som behövs för de ändamål som anges i 5 §. Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får endast behandlas om det är absolut nödvändigt för ett sådant ändamål. Även en vårdgivare som inte är statlig myndighet, landsting eller kommun får under dessa förutsättningar behandla uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen.
Sökbegrepp
8 § Uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör sexualliv får inte användas som sökbegrepp. Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) eller uppgifter om att någon varit föremål för åtgärder enligt utlänningslagen (2005:716) får inte heller användas som sökbegrepp.
Det är trots förbudet i första stycket tillåtet att som sökbegrepp använda uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.
Regeringen får meddela föreskrifter om att vårdgivare, trots förbudet i första stycket, får använda uppgifter om etnicitet eller uppgifter av betydelse för smittskyddet samt att någon varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.
Överenskommelse om informationssäkerhet m.m.
9 § Om flera vårdgivare ska medge varandra direktåtkomst eller på annat sätt ska samarbeta vid behandling av personuppgifter enligt denna lag, ska vårdgivaren innan detta samarbete inleds göra en risk- och sårbarhetsanalys och komma överens med de andra vårdgivarna om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses.
Författningsförslag SOU 2014:23
1012
Av överenskommelsen ska framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.
3 kap. Patientjournalen
Inledande bestämmelse
1 § Med en patientjournal avses en eller flera journalhandlingar som rör samma patient. En journalhandling är en framställning i skrift eller bild eller en upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. En sådan handling upprättas eller inkommer i samband med vården av en patient och innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.
Syftet med en patientjournal
2 § Syftet med att föra en patientjournal är i första hand att bidra till en god och säker vård av patienten.
En patientjournal är även en informationskälla för – patienten, – uppföljning och utveckling av verksamheten, – tillsyn och rättsliga krav, – uppgiftsskyldighet enligt lag, – undervisning och utbildning, samt – forskning.
En vårdgivares ansvar för patientjournalen
3 § En vårdgivare ska se till att det vid vård av en patient förs patientjournal. En patientjournal ska föras för varje patient och får inte vara gemensam för flera patienter. Vårdgivaren ska även se till att uppgifter förs in i journalen så snart som möjligt.
I 6 och 8 kap. finns bestämmelser om direktåtkomst till andra vårdgivares uppgifter om patienter. I 9 kap. finns bestämmelser om direktåtkomst till uppgifter hos den som bedriver verksamhet inom socialtjänst och om gemensam vård- och omsorgsjournal.
SOU 2014:23 Författningsförslag
1013
Personer som är skyldiga att föra en patientjournal
4 § Skyldig att föra en patientjournal är
1. den som enligt 4 kap. patientsäkerhetslagen (2010:659) har legitimation eller särskilt förordnande att utöva visst yrke,
2. den som, utan att ha legitimation för yrket, utför arbetsuppgifter som annars bara ska utföras av logoped, psykolog eller psykoterapeut inom den allmänna hälso- och sjukvården eller utför sådana arbetsuppgifter inom den enskilda hälso- och sjukvården som biträde åt legitimerad yrkesutövare, och
3. den som är verksam som kurator i den allmänna hälso- och sjukvården.
En patientjournals innehåll och utformning
5 § En patientjournal får innehålla endast de uppgifter som behövs för ändamålet vårddokumentation.
6 § En patientjournal ska innehålla de uppgifter som behövs för en god och säker vård av patienten.
Om uppgifterna finns tillgängliga, ska en patientjournal alltid innehålla
1. uppgift om patientens identitet,
2. väsentliga uppgifter om bakgrunden till vården,
3. uppgift om ställd diagnos och anledning till mera betydande åtgärder,
4. väsentliga uppgifter om vidtagna och planerade åtgärder, och
5. uppgift om den information som lämnats till patienten och om de ställningstaganden som gjorts i fråga om val av behandlingsalternativ och om möjligheten till en förnyad medicinsk bedömning.
Patientjournalen ska vidare innehålla uppgift om vem som har infört en uppgift i journalen och när den infördes.
7 § Utöver vad som föreskrivs i 5 och 6 §§ får en patientjournal innehålla de uppgifter som enligt lag eller annan författning ska antecknas i en journal.
Författningsförslag SOU 2014:23
1014
8 § Om patienten anser att en uppgift i hans eller hennes patientjournal är oriktig eller missvisande, ska vårdgivaren se till att det antecknas i journalen.
9 § Om en journalhandling eller en avskrift eller kopia av handlingen i en patientjournal har lämnats ut till någon, ska det dokumenteras i journalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Detta gäller dock inte utlämnande genom direktåtkomst eller utlämnande till nationella eller regionala kvalitetsregister enligt 10 kap. Inte heller ett utlämnande till patienten själv behöver dokumenteras i patientjournalen.
10 § Vårdgivaren ska se till att patientjournalerna förs på svenska språket och är tydligt utformade så att förståelse och utbyte av uppgifter underlättas. Patientjournalen ska vara så lätt som möjlig att förstå för patienten.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att en patientjournal får vara upprättad på ett annat språk än svenska.
11 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från 6 § andra stycket 1 när det gäller provtagning för viss sjukdom.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om en patientjournals innehåll och utformning.
Ansvaret för uppgifterna i en patientjournal
12 § En vårdgivare är skyldig att se till att uppgifter i en patientjournal är korrekta och att felaktiga uppgifter rättas.
13 § Den som för patientjournal ansvarar för sina uppgifter i journalen och ska kontrollera att uppgifterna är korrekta.
14 § En vårdgivare ska säkerställa att uppgifter i en patientjournal inte görs oläsliga eller utplånas i andra fall än som avses i 16 § och 11 kap. 4 §.
SOU 2014:23 Författningsförslag
1015
15 § Vid rättelse av en felaktighet ska den som för patientjournal ange i journalen när rättelsen har gjorts och vem som har gjort den.
Rättelsen ska göras så att den ursprungliga texten inte blir oläslig eller oåtkomlig.
16 § En vårdgivare får utplåna en uppgift i en patientjournal under förutsättning att det är sannolikt att uppgiften inte har legat till grund för bedömningar och ställningstaganden i samband med patientens vård och behandling och uppgiften är
1. uppenbart felaktig, och
2. en rättelse enligt 15 § inte är en tillräcklig åtgärd med beaktande av skyddet för den registrerades integritet.
Bestämmelsen ska inte tillämpas för uppgifter i en gemensam vård- och omsorgsjournal enligt 9 kap.
17 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om hur patientjournaler ska hanteras och förvaras.
Skyldighet att utfärda intyg om vården
18 § Den som enligt 4 § är skyldig att föra patientjournal ska på begäran av en patient utfärda intyg om den hälso- och sjukvård som patienten fått.
Patientjournaler i krig m.m.
19 § Regeringen får meddela särskilda föreskrifter om patientjournaler i krig, vid krigsfara eller under sådana utomordentliga förhållanden som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara.
4 kap. En säker och ändamålsenlig hantering av personuppgifter
Ansvar för den som arbetar inom hälso- och sjukvården (inre sekretess)
1 § Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon behöver upp-
Författningsförslag SOU 2014:23
1016
gifterna för sitt arbete inom hälso- och sjukvården och uppgifterna ska användas för något av de ändamål som anges i 2 kap. 5 och 6 §§.
En vårdgivares övergripande ansvar
2 § En vårdgivare ska se till att dokumenterade personuppgifter är tillgängliga för den som arbetar hos vårdgivaren när uppgifterna behövs i och för vården av en patient.
3 § En vårdgivare ska se till att dokumenterade personuppgifter hanteras och förvaras så att obehöriga inte får tillgång till dem.
Om vårdgivaren använder internet eller andra jämförliga nät för att överföra personuppgifter som behandlas enligt denna lag, ska denne se till att överföringen görs så att ingen obehörig kan ta del av uppgifterna.
4 § En vårdgivare ska se till att de informationssystem som innehåller personuppgifter och som används i och för vården av en patient
1. är lätta att använda,
2. stödjer det kliniska arbetet,
3. underlättar arbetet med att utveckla kvaliteten i verksamheten,
4. underlättar samverkan och utbyte av uppgifter, och
5. är utformade på ett sådant sätt att patientens integritetsskydd tillgodoses.
En vårdgivares ansvar för tilldelning av behörighet för elektronisk åtkomst
5 § En vårdgivare ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Behörigheten ska anpassas och begränsas till vad som behövs för att den som arbetar inom hälso- och sjukvården ska kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om tilldelning av sådan behörighet.
SOU 2014:23 Författningsförslag
1017
En vårdgivares ansvar för kontroll av elektronisk åtkomst (loggar)
6 § En vårdgivare ska se till att åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras.
Vårdgivare ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om sådan dokumentation och kontroll.
Landstingens ansvar för att skydda identiteten i vissa fall
7 § I 14 § lagen (1996:1156) om receptregister finns bestämmelser om att E-hälsomyndigheten ska lämna ut vissa uppgifter till landstingen om förskrivning av läkemedel och andra varor och att uppgifter om patientens identitet ska vara krypterade vid utlämnandet.
Uppgifter som avses i första stycket får inte behandlas i syfte att röja en patients identitet utan att patienten samtycker till det.
Uppgifter om en patients identitet som har dokumenterats inom hälso- och sjukvården och som landstingen ska sambearbeta med sådana uppgifter som avses i första stycket, ska vara krypterade så att patientens identitet skyddas vid behandlingen.
5 kap. Grundläggande bestämmelser om utlämnande av uppgifter och handlingar
Bestämmelser i andra lagar
1 § Bestämmelser om rätten att ta del av handlingar och uppgifter inom den allmänna hälso- och sjukvården finns i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400).
2 § I patientsäkerhetslagen (2010:659) finns bestämmelser som begränsar möjligheten att lämna ut uppgifter från den enskilda hälso- och sjukvården.
Författningsförslag SOU 2014:23
1018
Utlämnande på medium för automatiserad behandling
3 § Får en personuppgift lämnas ut, får det göras på medium för automatiserad behandling.
Tillåten direktåtkomst regleras i lag eller förordning
4 § En vårdgivare får endast lämna ut personuppgifter genom direktåtkomst i den utsträckning som anges i lag eller förordning.
5 § I 6 kap. finns bestämmelser om direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för samt mellan myndigheter i landsting och kommuner.
I 8 kap. finns bestämmelser om direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård som olika huvudmän ansvarar för (sammanhållen journalföring).
I 9 kap. finns bestämmelser om direktåtkomst mellan vårdgivare och den som bedriver verksamhet inom socialtjänsten.
I 10 kap. finns bestämmelser om direktåtkomst till uppgifter i ett nationellt eller regionalt kvalitetsregister.
Ytterligare bestämmelser om direktåtkomst finns i 6 och 7 §§.
Direktåtkomst för enskilda
6 § En vårdgivare får medge en enskild direktåtkomst till uppgifter om den enskilde själv. Den enskilde får även medges direktåtkomst till sådan dokumentation (loggar) som avses i 4 kap. 6 § första stycket.
Enligt den enskildes anvisning, får en vårdgivare medge en annan fysisk person än den enskilde direktåtkomst till sådana uppgifter och sådan dokumentation som avses i första stycket.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst som avses i första och andra stycket.
SOU 2014:23 Författningsförslag
1019
Direktåtkomst för källdatagranskning vid forskning inom hälso- och sjukvården
7 § En vårdgivare får lämna ut uppgifter genom direktåtkomst till den som ska utföra källdatagranskning (monitorering) vid forskning inom hälso- och sjukvården.
Vårdgivaren får endast lämna ut uppgifter avseende en patient som har samtyckt till att delta i en forskningsstudie, till personuppgiftsbehandlingen i studien och till att uppgifterna lämnas ut för källdatagranskning.
Myndighets skyldighet att lämna uppgift ur journal upprättad inom enskild hälso- och sjukvård
8 § En myndighet som enligt 12 kap. 8 § har hand om en patientjournal upprättad inom enskild hälso- och sjukvård har, om uppgift ur journalen begärs för särskilt fall, samma skyldighet att lämna uppgiften som den haft som ansvarat för journalen före överlämnandet till myndigheten.
6 kap. Direktåtkomst inom en huvudmans ansvarsområde
Direktåtkomst mellan vårdgivare
1 § En vårdgivare får genom direktåtkomst lämna ut uppgifter som dokumenterats för ändamålet vårddokumentation till en annan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för.
En sådan direktåtkomst är enbart tillåten mellan den hälso- och sjukvårdsverksamhet som vårdgivarna bedriver inom samma huvudmans ansvarsområde.
2 § En vårdgivare får behandla personuppgifter som lämnats ut av en annan vårdgivare enligt 1 § endast under förutsättning att
1. uppgifterna rör en patient som vårdgivaren har eller har haft en patientrelation med, och
2. personuppgifterna behövs för ändamål som anges i 2 kap. 5 och 6 §§.
Författningsförslag SOU 2014:23
1020
3 § I 7 kap. finns bestämmelser om patientens rätt att begränsa åtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för.
4 § I 2 kap. 9 § finns bestämmelser om krav på risk- och sårbarhetsanalys och överenskommelse om informationssäkerhet och skydd för personuppgifter vid sådan direktåtkomst som avses i detta kapitel.
Direktåtkomst mellan myndigheter i landsting och kommuner
5 § Om ett landsting eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma landsting eller kommun.
7 kap. En patients rätt att begränsa åtkomst inom en huvudmans ansvarsområde
Patientens rätt att begränsa elektronisk åtkomst och direktåtkomst inom och mellan vårdgivare
1 § En patient har rätt att begränsa elektronisk åtkomst eller direktåtkomst till uppgifter om honom eller henne, som har dokumenterats för ändamålet vårddokumentation, inom och mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för (spärr). Patienten har rätt att spärra åtkomst mot de vårdenheter eller vårdgivare som på grund av patientens aktuella behov av vård inte kan antas behöva ha tillgång till dokumentationen.
I 2 § finns bestämmelser som begränsar vilka uppgifter som en patient får spärra för åtkomst.
2 § En patient får inte begränsa elektronisk åtkomst eller direktåtkomst till följande uppgifter om ordinerade läkemedel
1. ordinationsorsak,
2. läkemedlets namn,
3. läkemedlets form,
4. mängden läkemedel,
5. dosering,
6. administrationssätt, och
7. tidpunkter för administrering.
SOU 2014:23 Författningsförslag
1021
En patient får inte heller begränsa elektronisk åtkomst eller direktåtkomst till uppgifter som ger en varning om att patienten har visat intolerans eller har en överkänslighet som innebär en allvarlig risk för patientens liv eller hälsa.
3 § Innan en patients begäran om att spärra vissa uppgifter tillgodoses ska vårdgivaren informera patienten om spärrens omfattning och dess konsekvenser.
4 § Om en patient begär spärr enligt 1 § ska vårdgivaren skyndsamt se till att uppgifterna spärras.
Vårdgivaren får inte spärra uppgifter eller ta bort en sådan spärr utan att patientens identitet har säkerställts.
5 § En uppgift om att det finns spärrade uppgifter och en uppgift om vilken vårdgivare som har spärrat uppgifterna får vara tillgänglig för andra vårdenheter eller vårdgivare inom huvudmannens ansvarsområde.
6 § En patient kan när som helst begära att en spärr tas bort.
7 § Även om patienten har spärrat uppgifterna får den vårdgivare som har dokumenterat uppgifterna behandla dem för ändamål som anges i 2 kap. 5 § första stycket 4–7 och 2 kap. 6 §.
Förbud för vårdnadshavare att spärra ett barns journal
8 § Vårdnadshavare till ett barn får inte begränsa elektronisk åtkomst eller direktåtkomst till uppgifter om barnet.
Hur uppgifterna görs åtkomliga igen
9 § En spärr får tas bort av den som behöver uppgifterna för sitt arbete i hälso- och sjukvården, om
1. patienten samtycker till det, eller
2. patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.
Författningsförslag SOU 2014:23
1022
8 kap. Sammanhållen journalföring
Inledande bestämmelser
1 § I detta kapitel finns bestämmelser om under vilka förutsättningar personuppgifter får göras tillgängliga för andra vårdgivare genom sammanhållen journalföring (skede 1) och under vilka förutsättningar dessa uppgifter får behandlas hos en annan vårdgivare (skede 2). I kapitlet finns också bestämmelser om patientens rätt att motsätta sig att uppgifter görs tillgängliga m.m.
2 § Med sammanhållen journalföring avses en möjlighet för vårdgivare, som bedriver hälso- och sjukvård som olika huvudmän ansvarar för eller som är privat finansierad, att ha direktåtkomst till varandras vårddokumentation.
I 6 kap. 1 och 2 §§ finns bestämmelser om möjligheten till direktåtkomst mellan vårdgivare som bedriver verksamhet som samma huvudman ansvarar för.
Villkor för att göra personuppgifter tillgängliga för andra vårdgivare genom sammanhållen journalföring (skede 1)
3 § En vårdgivare är skyldig att informera en patient om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att uppgifter görs tillgängliga för andra vårdgivare.
Informationen ska lämnas innan uppgifter om patienten görs tillgängliga genom sammanhållen journalföring.
Vårdgivaren får medge andra vårdgivare direktåtkomst till uppgifter som dokumenterats för ändamålet vårddokumentation under förutsättning att patienten inte motsatt sig det.
4 § Om en patient inte endast tillfälligt saknar förmåga att ta ställning enligt 3 § och det inte är uppenbart att patienten skulle ha motsatt sig, får en vårdgivare göra uppgifter om patienten tillgängliga genom sammanhållen journalföring.
SOU 2014:23 Författningsförslag
1023
En patients rätt att motsätta sig sammanhållen journalföring
5 § En vårdgivare får inte göra uppgifter tillgängliga i system för sammanhållen journalföring, om en patient motsätter sig detta.
Sådana uppgifter får inte vara tekniskt åtkomliga för andra vårdgivare.
En uppgift om att patienten motsatt sig samt en uppgift om vilken vårdgivare som ansvarar för uppgifterna får dock göras tillgängliga. I 6 § finns ytterligare bestämmelser som begränsar patientens rätt att motsätta sig.
En patient kan när som helst begära att den vårdgivare som ansvarar för uppgifterna enligt första stycket gör dessa tillgängliga i systemet för sammanhållen journalföring.
Vårdgivaren får inte tillgodose en patients begäran enligt första eller tredje stycket utan att patientens identitet har säkerställts.
6 § En patient får inte motsätta sig att följande uppgifter om ordinerade läkemedel görs tillgängliga i system för sammanhållen journalföring
1. ordinationsorsak,
2. läkemedlets namn,
3. läkemedlets form,
4. mängden läkemedel,
5. dosering,
6. administrationssätt, och
7. tidpunkter för administrering.
En patient får inte heller motsätta sig att uppgifter som ger en varning om att patienten har visat intolerans eller har en överkänslighet som innebär en allvarlig risk för patientens liv eller hälsa, görs tillgängliga i system för sammanhållen journalföring.
Förbud för vårdnadshavare att motsätta sig
7 § Vårdnadshavare till ett barn får inte motsätta sig att barnets uppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
I takt med ett barns stigande ålder och mognad ska vårdgivaren ge barnet möjlighet att själv ta ställning enligt 3 §.
Författningsförslag SOU 2014:23
1024
Villkor för att ta del av personuppgifter hos andra vårdgivare (skede 2)
8 § För att en vårdgivare ska få behandla uppgifter genom sammanhållen journalföring krävs att uppgifterna rör en patient som vårdgivaren har eller har haft en patientrelation med.
9 § En vårdgivare får endast behandla personuppgifter i system för sammanhållen journalföring, för ändamålen att
1. förebygga, utreda eller behandla sjukdomar och skador hos patienten,
2. systematiskt och fortlöpande utveckla och säkra kvaliteten av sådan vård som patienten fått enligt 1, samt
3. utfärda intyg som avses i 3 kap. 18 §.
10 § En vårdgivare får ta del av uppgift om vilken vårdgivare som ansvarar för de uppgifter som inte är tekniskt åtkomliga enligt 5 §, om
1. patienten saknar förmåga att begära att uppgifterna ska göras tillgängliga enligt 5 §, och
2. det föreligger fara för hans eller hennes liv eller hälsa.
Vårdgivaren får begära att den vårdgivare som ansvarar för uppgifterna tar ställning till om uppgifterna får lämnas ut.
11 § En vårdgivare får inte använda direktåtkomst till personuppgifter i system för sammanhållen journalföring under andra förutsättningar än dem som anges i 8, 9 och 10 §§ även om patienten uttryckligen samtycker till det.
Behörighetstilldelning och åtkomstkontroll
12 § Bestämmelserna i 4 kap. 5 och 6 §§ gäller även för behörighetstilldelning och åtkomstkontroll vid sammanhållen journalföring.
Krav på överenskommelse om informationssäkerhet m.m.
13 § I 2 kap. 9 § finns bestämmelser om krav på risk- och sårbarhetsanalys och överenskommelse om informationssäkerhet och skydd för personuppgifter vid sådan direktåtkomst som avses i detta kapitel.
SOU 2014:23 Författningsförslag
1025
9 kap. Informationsutbyte mellan hälso- och sjukvård och socialtjänst.
Inledande bestämmelser
1 § I detta kapitel finns bestämmelser om utlämnande av personuppgifter genom direktåtkomst till den som bedriver verksamhet inom socialtjänsten och om en gemensam vård- och omsorgsjournal.
I socialtjänstdatalagen (2016:000) finns bestämmelser om möjligheterna för den som bedriver verksamhet inom socialtjänsten att lämna ut personuppgifter genom direktåtkomst till en vårdgivare.
2 § Bestämmelserna i 4 kap. 5 och 6 §§ gäller för behörighetstilldelning och åtkomstkontroll avseende en vårdgivares behandling av personuppgifter enligt detta kapitel.
Utlämnande genom direktåtkomst till den som bedriver verksamhet inom socialtjänsten
3 § En vårdgivare får medge den som bedriver verksamhet inom socialtjänsten direktåtkomst till uppgifter om en patient, som dokumenterats för ändamålet vårddokumentation, om
1. patienten har behov av insatser både från hälso- och sjukvården och från socialtjänsten,
2. uppgifterna kan ha betydelse för att genomföra beslut om bistånd, stödinsatser, vård eller behandling, och
3. patienten samtycker till det.
4 § En vårdgivare får medge den som bedriver verksamhet inom socialtjänsten direktåtkomst till uppgifter avseende en patient, som inte endast tillfälligt saknar förmåga att lämna samtycke enligt 3 §, om
1. patienten har behov av insatser både från hälso- och sjukvården och från socialtjänsten, och
2. uppgifterna kan antas ha betydelse för att genomföra de insatser som är nödvändiga med hänsyn till hans eller hennes behov.
Författningsförslag SOU 2014:23
1026
5 § En vårdgivare får medge den som bedriver verksamhet inom socialtjänst direktåtkomst enligt 3 och 4 §§ endast under den tid den enskilde är föremål för genomförande av beslut om bistånd, stödinsatser, vård eller behandling hos den som bedriver socialtjänst.
6 § Innan direktåtkomst får medges enligt 3 eller 4 §§ ska vårdgivaren göra en risk- och sårbarhetsanalys och komma överens med den som bedriver verksamhet inom socialtjänst hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses.
Av överenskommelsen ska framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.
Tillåtna ändamål vid direktåtkomst till uppgifter hos den som bedriver verksamhet inom socialtjänsten
7 § En vårdgivare får endast behandla personuppgifter, som den som bedriver verksamhet inom socialtjänsten gjort tillgängliga enligt 6 kap.3–5 §§socialtjänstdatalagen (2016:000), för ändamålen att
1. förebygga, utreda eller behandla sjukdomar och skador hos patienten,
2. systematiskt och fortlöpande utveckla och säkra kvaliteten av sådan vård som patienten fått enligt 1, samt
3. utfärda intyg som avses i 3 kap. 18 §.
Gemensam vård- och omsorgsjournal för personer med behov av insatser både från hälso- och sjukvården och socialtjänsten
8 § En vårdgivare får komma överens med en annan vårdgivare och med den som bedriver verksamhet inom socialtjänsten om att behandla uppgifter som behandlas för ändamålet vårddokumentation tillsammans med de personuppgifter som behandlas för genomförande av beslut om bistånd, stödinsatser, vård eller behandling inom socialtjänsten i en gemensam vård- och omsorgsjournal, under förutsättning att
1. patienten har behov av insatser både från hälso- och sjukvården och från socialtjänsten, och
SOU 2014:23 Författningsförslag
1027
2. uppgifterna kan antas ha betydelse för att genomföra beslut om bistånd, stödinsats, vård eller behandling och för att förebygga, utreda, eller behandla sjukdomar och skador inom hälso- och sjukvården.
9 § En gemensam vård- och omsorgsjournal ska innehålla de uppgifter som för en vårdgivares del ska dokumenteras i en patientjournal samt de uppgifter som den som bedriver verksamhet inom socialtjänsten ska dokumentera enligt socialtjänstlagen (2001:453) och lag (1993:387) om stöd och service till vissa funktionshindrade.
För en gemensam vård- och omsorgsjournal gäller i övrigt de bestämmelser som anges i 3 kap. 12–15 och 17–19 §§.
Bestämmelser om tillåtna ändamål för vårdgivares behandling av personuppgifter finns i 2 kap. 5 och 6 §§.
10 § Inför ett samarbete enligt 8 § ska vårdgivaren komma överens med annan vårdgivare och den som bedriver verksamhet inom socialtjänsten om vem som ska ha ansvar för att tillgodose den enskildes rättigheter enligt personuppgiftslagen (1998:204, socialtjänstdatalagen (2016:000) och denna lag.
En vårdgivare får även komma överens med annan vårdgivare och den som bedriver verksamhet inom socialtjänsten om att den enskilde ska medges direktåtkomst till personuppgifter om den enskilde själv enligt 5 kap. 6 § denna lag och 4 kap. 7 § socialtjänstdatalagen. En sådan överenskommelse ska fastställa hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses.
11 § En vårdgivare får göra uppgifter i en gemensam vård- och omsorgsjournal tillgängliga i system för sammanhållen journalföring enligt bestämmelserna i 8 kap.
12 § En handling i en gemensam vård- och omsorgsjournal ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. För allmänna handlingar gäller, med de undantag som följer av första meningen, arkivlagen (1990:782) samt de bestämmelser som meddelas med stöd av arkivlagen.
När insatser från både hälso- och sjukvård och socialtjänst har slutat att ges till den enskilde ska den gemensamma vård- och omsorgsjournalen överlämnas till den kommun som har ansvarat för insatserna enligt socialtjänstlagen (2001:453) eller lag (1993:387) om stöd och service till vissa funktionshindrade.
Författningsförslag SOU 2014:23
1028
10 kap. Nationella och regionala kvalitetsregister
Inledande bestämmelse
1 § Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.
Kvalitetsregistren ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå. Bestämmelserna i detta kapitel gäller för nationella och regionala kvalitetsregister i vilka personuppgifter samlas in från flera vårdgivare.
Personuppgiftsansvar
2 § En vårdgivare är personuppgiftsansvarig enligt 2 kap. 2 § för sin behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister.
Personuppgiftsansvar för central behandling av personuppgifter
3 § Endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister.
Regeringen eller den myndighet som regeringen bestämmer får besluta om undantag från första stycket.
Den enskildes inställning till behandling i kvalitetsregister
4 § Personuppgifter får inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig det.
Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, ska uppgifterna utplånas ur registret så snart som möjligt.
5 § Personuppgifter avseende en enskild som inte endast tillfälligt saknar förmåga att ta ställning enligt 4 § första stycket får behandlas i ett nationellt eller regionalt kvalitetsregister, om
1. hans eller hennes inställning till personuppgiftsbehandlingen så långt som möjligt klarlagts, och
2. det inte är uppenbart att han eller hon skulle ha motsatt sig den.
SOU 2014:23 Författningsförslag
1029
Information
6 § Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister ska den som är personuppgiftsansvarig se till att den enskilde, utöver den information som ska lämnas enligt 11 kap. 6 §, får information om
1. rätten att när som helst få uppgifter om sig själv utplånade ur registret,
2. i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och
3. vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.
Om det inte är möjligt att lämna informationen innan personuppgiftsbehandlingen påbörjas, ska den lämnas så snart som möjligt därefter.
Tillåtna ändamål
7 § I nationella och regionala kvalitetsregister får personuppgifter behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra hälso- och sjukvårdens kvalitet.
8 § Personuppgifter som behandlas för de ändamål som anges i 7 § får också behandlas för ändamålen
1. framställning av statistik,
2. forskning inom hälso- och sjukvården,
3. utlämnande till den som ska använda uppgifterna för ändamål som anges i 1 och 2 eller i 7 §, och
4. fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (2009:400).
9 § Personuppgifter i nationella och regionala kvalitetsregister får inte behandlas för några andra ändamål än de som anges i 7 och 8 §§.
Författningsförslag SOU 2014:23
1030
Personuppgifter som får behandlas
10 § Endast sådana personuppgifter som behövs för ändamål som anges i 7 § får behandlas i ett nationellt eller regionalt kvalitetsregister.
En enskilds personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för ändamål som anges i 7 § att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde.
Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och som inte rör hälsa samt uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.
Direktåtkomst till personuppgifter
11 § En vårdgivare får ha direktåtkomst till de uppgifter om en patient som vårdgivaren lämnat och till de uppgifter om patienten som en annan vårdgivare lämnat till samma nationella eller regionala kvalitetsregister.
Bevarande och gallring
12 § Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska gallras när de inte längre behövs för det ändamål som anges i 7 §.
En arkivmyndighet inom ett landsting eller en kommun får dock föreskriva att personuppgifter i ett nationellt eller regionalt kvalitetsregister som förs inom landstinget eller kommunen får bevaras för historiska, statistiska eller vetenskapliga ändamål.
Om regeringen eller den myndighet regeringen bestämt har meddelat föreskrifter enligt 3 § andra stycket, får regeringen eller myndigheten också föreskriva att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
SOU 2014:23 Författningsförslag
1031
11 kap. Rättigheter för den enskilde
Rätt att ta del av uppgifter
1 § Att en myndighet inom allmän hälso- och sjukvård under vissa förutsättningar är skyldig att lämna ut journalhandlingar och andra handlingar och uppgifter till en patient, framgår av tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400).
2 § En journalhandling inom enskild hälso- och sjukvård ska på begäran av patienten eller av en närstående till patienten så snart som möjligt tillhandahållas honom eller henne för att läsas eller skrivas av på stället eller i avskrift eller kopia, om inte annat följer av 6 kap. 12 § eller 13 § första stycket patientsäkerhetslagen (2010:659).
Frågor om utlämnande av en journalhandling enligt första stycket prövas av den som är ansvarig för journalhandlingen. Anser den ansvarige att journalhandlingen eller någon del av den inte bör lämnas ut, ska han eller hon genast med eget yttrande överlämna frågan till Inspektionen för vård och omsorg för prövning.
Rättelse
3 § Bestämmelserna i 28 § personuppgiftslagen (1998:204) om den personuppgiftsansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man, till vilken uppgifterna har lämnats ut, ska gälla även då sådan behandling av personuppgifter som avses i 1 kap. 6 § utförts i strid mot denna lag.
Enligt 3 kap. 14 § får dock uppgifter i en journalhandling inte utplånas eller göras oläsliga i andra fall än som avses i 4 § och i 3 kap. 16 §.
Förstörande av patientjournal
4 § På ansökan av patienten eller någon annan som omnämns i en patientjournal får Inspektionen för vård och omsorg besluta att journalen helt eller delvis ska förstöras. Förutsättningarna för detta är att
Författningsförslag SOU 2014:23
1032
1. godtagbara skäl anförs för ansökan,
2. patientjournalen eller den del av den som ansökan avser uppenbarligen inte behövs för patientens vård, och
3. det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen.
Innan ansökan slutligt prövas får den som ansvarar för en journalhandling som omfattas av ansökan ges tillfälle att yttra sig.
Denna bestämmelse ska tillämpas även med avseende på uppgifter i en gemensam vård- och omsorgsjournal enligt 9 kap.
Information
5 § En vårdgivare ska på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit.
Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om information enligt första stycket.
6 § Den som är personuppgiftsansvarig enligt denna lag ska se till att den registrerade får information om personuppgiftsbehandlingen.
Informationen ska innehålla upplysningar om
1. vem som är personuppgiftsansvarig,
2. ändamålet med behandlingen,
3. vilka kategorier av uppgifter som behandlas,
4. den uppgiftsskyldighet som kan följa av lag eller förordning,
5. de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,
6. rätten enligt 7 kap. att i vissa fall begära att uppgifter spärras,
7. rätten enligt 5 § att få information om den direktåtkomst och elektroniska åtkomst som förekommit,
8. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204),
9. rätten till rättelse och underrättelse av tredje man enligt 28 § personuppgiftslagen,
10. rätten enligt 13 kap. 1 § till skadestånd vid behandling av personuppgifter i strid med denna lag,
11. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,
12. vad som gäller i fråga om bevarande och gallring, samt 13. ifall personuppgiftsbehandlingen är frivillig eller inte.
SOU 2014:23 Författningsförslag
1033
I 7 kap. 3 §, 8 kap. 3 § och 10 kap. 6 § finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.
Andra rättigheter enligt denna lag
7 § I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 §, 7 kap, 8 kap. 3 och 5 §§ samt 10 kap. 4 och 6 §§.
12 kap. Överlämnande, omhändertagande och bevarande av journalhandlingar m.m.
Bevarande av journalhandlingar
1 § En journalhandling ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att vissa slags journalhandlingar ska bevaras under längre tid än tio år.
Särskilda bestämmelser om bevarande av journalhandlingar som tagits om hand efter beslut av Inspektionen för vård och omsorg finns i 9 §.
2 § När patientjournaler eller andra handlingar är tillgängliga för en vårdgivare genom direktåtkomst gäller skyldigheten enligt 1 § att bevara en journalhandling bara den vårdgivare som ansvarar för handlingen.
Om en journalhandling eller annan handling är tillgänglig för en myndighet bara genom direktåtkomst och myndigheten inte ansvarar för den, får myndigheten gallra handlingen från sitt arkiv.
3 § För journalhandlingar som utgör allmänna handlingar gäller, med de undantag som följer av 1 §, arkivlagen (1990:782) samt de bestämmelser som meddelas med stöd av arkivlagen.
Författningsförslag SOU 2014:23
1034
Ansvar för informationsöverföring vid verksamhetsövergångar
4 § En huvudman ska se till att en vårdgivare, som ska ta över en verksamhet som huvudmannen bedriver, får tillgång till de personuppgifter om patienterna som behövs för att bedriva verksamheten.
5 § En privat vårdgivare med offentlig finansiering, som ska upphöra att bedriva viss verksamhet inom hälso- och sjukvård, ska överlämna de personuppgifter om patienterna som behövs för att bedriva verksamheten till den vårdgivare som ska ta över ansvaret för patientens vård och behandling.
Finns det inte någon annan vårdgivare som ska ta över ansvaret för patientens vård och behandling ska vårdgivaren istället överlämna uppgifterna enligt första stycket till huvudmannen för hälso- och sjukvårdverksamheten i det landsting eller den kommun där verksamheten bedrivits.
Omhändertagande av patientjournaler
6 § Om det på sannolika skäl kan antas att patientjournaler inom enskild hälso- och sjukvård inte kommer att hanteras enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen, får Inspektionen för vård och omsorg besluta att patientjournalerna ska tas om hand.
Inspektionen för vård och omsorg får också besluta om omhändertagande av patientjournaler inom enskild hälso- och sjukvård, om
1. den som ansvarar för hanteringen av journalerna ansöker om det, och
2. det finns ett påtagligt behov av att journalerna tas om hand.
Återlämnande av patientjournaler
7 § En omhändertagen patientjournal ska återlämnas, om det är möjligt och det inte finns skäl för omhändertagande enligt 6 §.
Beslut i fråga om återlämnande meddelas av Inspektionen för vård och omsorg efter ansökan av den som vid beslutet om omhändertagande ansvarade för hanteringen av journalen.
SOU 2014:23 Författningsförslag
1035
Ansvaret för omhändertagna patientjournaler
8 § Patientjournaler i verksamheter som bedrivits med en kommun som huvudman eller i elevhälsan ska efter ett omhändertagande enligt 6 § förvaras avskilda hos arkivmyndigheten i den kommun där hälso- och sjukvården bedrivits.
Patientjournaler i övriga verksamheter ska efter ett omhändertagande enligt 6 § förvaras avskilda hos arkivmyndighet i det landsting där hälso- och sjukvården bedrivits.
Inspektionen för vård och omsorg ska i varje beslut om omhändertagande ange hos vilken arkivmyndighet journalerna ska förvaras.
Bevarande av omhändertagna patientjournaler
9 § Omhändertagna journalhandlingar ska bevaras minst tio år från det att de kom in till arkivmyndigheten.
Verkställighet av beslut om omhändertagande av patientjournaler
10 § Ett beslut om omhändertagande av patientjournaler får verkställas även om det inte vunnit laga kraft, om inte något annat föreskrivits i beslutet.
Polismyndigheten ska lämna den hjälp som behövs för att verkställa ett beslut om omhändertagande av patientjournaler.
13 kap. Skadestånd och överklagande
Skadestånd
1 § Bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204) gäller vid sådan behandling av personuppgifter enligt denna lag som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Författningsförslag SOU 2014:23
1036
Överklagande
2 § Inspektionen för vård och omsorgs beslut om att avslå en ansökan om förstöring av en patientjournal enligt 11 kap. 4 § första stycket, samt i fråga om omhändertagande eller återlämnande av patientjournaler enligt 12 kap. 6 och 7 §§, får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.
I fråga om överklagande av Inspektionen för vård och omsorgs beslut enligt 11 kap. 2 § andra stycket gäller i tillämpliga delar 6 kap.7–11 §§offentlighets- och sekretesslagen (2009:400).
Vid sådan behandling av personuppgifter som avses i 1 kap. 6 § finns ytterligare bestämmelser om överklagande i 51–53 §§personuppgiftslagen (1998:204).
Övriga beslut enligt denna lag får inte överklagas.
Övergångsbestämmelser
Bestämmelserna i den nya lagen träder i kraft den 1 januari 2016, då patientdatalagen (2008:355) upphör att gälla.
SOU 2014:23 Författningsförslag
1037
38.2 Förslag till socialtjänstdatalag
Härigenom föreskrivs följande.
1 kap. Lagens tillämpningsområde m.m.
Lagens innehåll
1 § Denna lag innehåller bestämmelser om behandling av personuppgifter inom socialtjänsten.
2 § Lagen är indelad i följande kapitel.
– Lagens tillämpningsområde m.m. (1 kap.) – Grundläggande bestämmelser om behandling av personuppgifter (2 kap.)
– En säker och ändamålsenlig hantering av personuppgifter (3 kap.)
– Grundläggande bestämmelser om utlämnande av uppgifter och handlingar (4 kap.)
– Direktåtkomst mellan verksamheter inom socialtjänsten vid genomförande av beslutade insatser (5 kap.)
– Informationsutbyte mellan hälso- och sjukvård och socialtjänst (6 kap.)
– Rättigheter för den enskilde (7 kap.) – Skadestånd (8 kap.)
Lagens tillämpningsområde
3 § Denna lag ska tillämpas vid behandling av personuppgifter inom socialtjänsten för kommunala myndigheter, enskilda verksamheter och Statens institutionsstyrelse.
Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.
Författningsförslag SOU 2014:23
1038
Lagens syfte
4 § Denna lag syftar till att främja en informationshantering som tillgodoser god kvalitet, rättsäkerhet och kostnadseffektivitet i socialtjänsten. Lagen ska särskilt främja att
1. den som arbetar i socialtjänsten säkert, snabbt och enkelt får tillgång till de personuppgifter som han eller hon behöver för att kunna utföra sitt arbete, och
2. personuppgifter utformas och i övrigt behandlas så att individers personliga integritet respekteras.
Definition av socialtjänst
5 § I denna lag avses med socialtjänst
1. verksamhet enligt lagstiftningen om socialtjänst och den särskilda lagstiftningen om vård utan samtycke av unga eller av missbrukare,
2. verksamhet som i annat fall enligt lag eller förordning bedrivs av socialnämnd,
3. verksamhet som i övrigt bedrivs av Statens institutionsstyrelse,
4. verksamhet hos kommunal invandrarbyrå,
5. verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade,
6. handläggning av ärenden om bistånd som lämnas av socialnämnd enligt lagstiftningen om mottagande av asylsökande m.fl.,
7. handläggning av ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar, och
8. handläggning av ärenden om tillstånd till parkering för rörelsehindrade.
Definition av kommunal myndighet
6 § Med kommunal myndighet avses socialnämnd eller motsvarande nämnd i fråga om sådan socialtjänst som kommunen har ansvar för och bedriver enligt socialtjänstlagen (2001:453), lagen (1990:52) med särskilda bestämmelser om vård av unga, eller lagen (1988:870) om vård av missbrukare i vissa fall. Med kommunal myndighet avses även nämnd i fråga om sådan verksamhet som
SOU 2014:23 Författningsförslag
1039
kommunen har ansvar för och bedriver enligt lagen (1993:387) om stöd och service till vissa funktionshindrade.
Definition av enskild verksamhet
7 § Med enskild verksamhet avses yrkesmässig verksamhet som bedrivs av en juridisk eller fysisk person med tillstånd enligt socialtjänstlagen (2001:453) eller enligt lagen (1993:387) om stöd och service till vissa funktionshindrade och sådan enskild verksamhet inom socialtjänsten som i övrigt bedrivs enligt avtal med kommunen.
Definition av den som bedriver verksamhet inom socialtjänsten
8 § Med den som bedriver verksamhet inom socialtjänsten avses i denna lag kommunal myndighet, Statens institutionsstyrelse och enskild verksamhet enligt 7 §.
Förhållandet till personuppgiftslagen och tillsynsmyndighetens befogenheter
9 §Personuppgiftslagen (1998:204) gäller vid sådan behandling av personuppgifter inom socialtjänsten som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av denna lag.
Tillsynsmyndigheten enligt personuppgiftslagen får, utöver vad som stadgas om myndighetens befogenheter i den lagen, vid sin tillsyn över efterlevnaden av bestämmelserna i denna lag, besluta de förelägganden eller förbud som behövs för att denna lag eller föreskrifter som har meddelats med stöd av denna lag ska följas.
Ett beslut om föreläggande eller förbud enligt andra stycket får förenas med vite.
Författningsförslag SOU 2014:23
1040
Bestämmelser i andra lagar
10 § Grundläggande bestämmelser om dokumentation finns i förvaltningslagen (1986:223), socialtjänstlagen (2001:453) och lagen (1993:387) om stöd och service till vissa funktionshindrade.
2 kap. Grundläggande bestämmelser om behandling av personuppgifter
Kapitlets tillämpningsområde
1 § Bestämmelserna i detta kapitel tillämpas vid sådan behandling av personuppgifter som avses i 1 kap. 9 §.
Personuppgiftsansvar
2 § Den som bedriver verksamhet inom socialtjänsten är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som utförs i dess verksamhet. I en kommun är varje myndighet som bedriver socialtjänst personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Personuppgiftsansvaret enligt första stycket omfattar även sådan behandling av personuppgifter som utförs när den som bedriver verksamhet inom socialtjänsten genom direktåtkomst lämnar ut eller tar del av personuppgifter.
I 5 kap. 6 § finns särskilda bestämmelser om personuppgiftsansvar.
Den enskildes inställning till personuppgiftsbehandlingen
3 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller inte i de fall som anges i 5 kap. 1 § och 6 kap. 3 § eller om något annat framgår av lag eller förordning.
4 § Behandling av personuppgifter som inte är tillåten enligt denna lag får ändå utföras, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller inte om annat framgår av lag eller förordning.
SOU 2014:23 Författningsförslag
1041
Regeringen får meddela föreskrifter om att en behandling av personuppgifter som inte är tillåten enligt denna lag inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen.
Ändamål med personuppgiftsbehandlingen
5 § Personuppgifter får behandlas inom socialtjänsten endast om det behövs för
1. att handlägga ärenden som rör enskilda och för genomförande av beslut om bistånd, stödinsatser, vård och behandling,
2. att upprätta eller inhämta annan dokumentation som följer av lag, förordning eller annan författning,
3. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,
4. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller
5. att framställa statistik om socialtjänsten.
I 5 kap. 5 § och 6 kap. 8 § finns särskilda bestämmelser om ändamålen med behandling av personuppgifter.
6 § Personuppgifter som behandlas för ändamål som anges i 5 § får också behandlas för att fullgöra uppgiftslämnande i överensstämmelse med lag eller förordning.
Personuppgifter som får behandlas
7 § Den som bedriver verksamhet inom socialtjänsten får behandla endast sådana personuppgifter som behövs för de ändamål som anges i 5 §. Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får endast behandlas om det är nödvändigt för ett sådant ändamål. Även den som bedriver verksamhet inom socialtjänsten och som inte är en myndighet får under dessa förutsättningar behandla uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen.
Författningsförslag SOU 2014:23
1042
Utan hinder av vad som sägs i första stycket får sådana uppgifter behandlas om de förekommer i en ansökan, anmälan eller handling som kommer in till verksamhet inom socialtjänsten.
Vid handläggning av ärenden om tillstånd till parkering för rörelsehindrade och ärenden som följer av bestämmelserna i körkortsförordningen (1998:980) får inte andra känsliga personuppgifter som avses i 13 § personuppgiftslagen än uppgifter som rör hälsa behandlas.
Sökbegrepp
8 § Uppgifter som avslöjar ras, etniskt ursprung, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör sexualliv får inte användas som sökbegrepp.
Regeringen får meddela föreskrifter om att en kommunal myndighet, trots förbudet i första stycket, får använda uppgifter om etniskt ursprung som sökbegrepp för att göra vissa slags sammanställningar.
Överenskommelse om informationssäkerhet m.m.
9 § Om flera som bedriver verksamhet inom socialtjänst ska medge varandra direktåtkomst eller på annat sätt ska samarbeta vid behandling av personuppgifter enligt denna lag, ska den som bedriver verksamhet inom socialtjänsten innan detta samarbete inleds göra en risk- och sårbarhetsanalys och komma överens med de andra om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses.
Av överenskommelsen ska framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.
3 kap. En säker och ändamålsenlig hantering av personuppgifter
Ansvar för den som arbetar inom socialtjänsten (inre sekretess)
1 § Den som arbetar hos den som bedriver verksamhet inom socialtjänsten får ta del av dokumenterade uppgifter om en enskild endast om han eller hon behöver uppgifterna för sitt arbete inom
SOU 2014:23 Författningsförslag
1043
socialtjänsten och uppgifterna ska användas för något av de ändamål som anges i 2 kap. 5 och 6 §§.
Övergripande ansvar för den som bedriver verksamhet inom socialtjänsten
2 § Den som bedriver verksamhet inom socialtjänsten ska se till att dokumenterade personuppgifter är tillgängliga för den som arbetar i verksamheten när uppgifterna behövs för arbetets utförande.
3 § Den som bedriver verksamhet inom socialtjänsten ska se till att dokumenterade personuppgifter hanteras och förvaras så att obehöriga inte får tillgång till dem.
Om den som bedriver verksamhet inom socialtjänsten använder internet eller andra jämförliga nät för att överföra personuppgifter som behandlas enligt denna lag, ska denne se till att överföringen görs så att ingen obehörig kan ta del av uppgifterna.
4 § Den som bedriver verksamhet inom socialtjänsten ska se till att de informationssystem som innehåller personuppgifter
1. är lätta att använda,
2. stödjer arbetet i socialtjänsten,
3. underlättar arbetet med att utveckla kvaliteten i verksamheten,
4. underlättar samverkan och utbyte av uppgifter, och
5. är utformade på ett sådant sätt att de enskildas integritetsskydd tillgodoses.
Ansvar för tilldelning av behörighet för elektronisk åtkomst
5 § Den som bedriver verksamhet inom socialtjänsten ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat.
Sådan behörighet ska anpassas och begränsas till vad som behövs för att den som arbetar inom socialtjänsten ska kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om tilldelning av sådan behörighet som avses i första stycket.
Författningsförslag SOU 2014:23
1044
Ansvar för kontroll av elektronisk åtkomst (loggar)
6 § Den som bedriver verksamhet inom socialtjänsten ska se till att åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras.
Den som bedriver verksamhet inom socialtjänsten ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om sådan dokumentation och kontroll.
4 kap. Grundläggande bestämmelser om utlämnande av uppgifter och handlingar
Bestämmelser i andra lagar
1 § Bestämmelser om rätten att ta del av handlingar och uppgifter inom den allmänna socialtjänsten finns i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400).
2 § I socialtjänstlagen (2001:453) och lagen (1993:387) om stöd och service till vissa funktionshindrade finns bestämmelser som begränsar möjligheten att lämna ut uppgifter från enskilda verksamheter inom socialtjänsten.
Utlämnande av uppgifter till tredje land
3 § En kommunal myndighet får lämna ut uppgifter till tredje land i ett ärende om fastställande av faderskap, vårdnad om barn och om internationella adoptioner.
Regeringen får meddela föreskrifter om när personuppgifter får föras över till tredje land.
SOU 2014:23 Författningsförslag
1045
Utlämnande på medium för automatiserad behandling
4 § Får en personuppgift lämnas ut, får det göras på medium för automatiserad behandling.
Regeringen eller den myndighet som regeringen bestämmer, får föreskriva de krav på säkerhetsåtgärder som ska gälla vid utlämnande av personuppgifter på medium för automatiserad behandling.
Tillåten direktåtkomst regleras i lag eller förordning
5 § Den som bedriver verksamhet inom socialtjänsten får endast lämna ut personuppgifter genom direktåtkomst i den utsträckning som anges i lag eller förordning.
Direktåtkomst mellan myndigheter i samma kommun
6 § Om en kommun bedriver socialtjänst genom flera myndigheter eller sådana kommunala bolag som avses i 2 kap. 3 § offentlighets- och sekretesslagen (2009:400), får en sådan myndighet eller bolag ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet eller bolag i samma kommun.
Bestämmelser om direktåtkomst mellan kommunala myndigheter, Statens institutionsstyrelse och enskilda verksamheter finns i 5 kap.
Direktåtkomst till enskilda
7 § Den som bedriver verksamhet inom socialtjänsten får medge en enskild direktåtkomst till uppgifter om den enskilde själv. Den enskilde får även medges direktåtkomst till sådan dokumentation (loggar) som avses i 3 kap. 6 § första stycket.
Enligt den enskildes anvisning, får den som bedriver verksamhet inom socialtjänsten medge en annan fysisk person än den enskilde direktåtkomst till sådana uppgifter och sådan dokumentation som avses i första stycket.
Regeringen eller den myndighet som regeringen bestämmer får föreskriva de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst som avses i första och andra stycket.
Författningsförslag SOU 2014:23
1046
5 kap. Direktåtkomst mellan verksamheter inom socialtjänsten vid genomförande av beslutade insatser
Utlämnande genom direktåtkomst till annan som bedriver verksamhet inom socialtjänsten
1 § Den som bedriver verksamhet inom socialtjänsten får till andra sådana verksamheter medge direktåtkomst till personuppgifter som behandlas för genomförande av beslut om bistånd, stödinsatser, vård eller behandling, om
1. uppgifterna rör en enskild som är föremål för genomförande av sådana insatser hos både utlämnande och mottagande verksamhet inom socialtjänsten, och
2. den enskilde samtycker till det.
2 § Den som bedriver verksamhet inom socialtjänsten får till andra sådana verksamheter medge direktåtkomst till personuppgifter avseende en enskild, som inte endast tillfälligt saknar förmåga att lämna samtycke enligt 1 §, om
1. den enskilde är föremål för genomförande av sådana insatser hos både utlämnande och mottagande verksamhet inom socialtjänsten, och
2. uppgifterna kan antas ha betydelse för att genomföra de insatser som är nödvändiga med hänsyn till den enskildes behov.
3 § I 2 kap. 9 § finns bestämmelser om krav på risk- och sårbarhetsanalys och överenskommelse om informationssäkerhet och skydd för personuppgifter vid sådan direktåtkomst som avses i detta kapitel.
4 § Den som bedriver verksamhet inom socialtjänsten får till andra sådana verksamheter medge direktåtkomst enligt 1 eller 2 § endast under den tid den enskilde får sådana insatser hos den utlämnande verksamheten.
Tillåtna ändamål vid direktåtkomst till uppgifter hos annan som bedriver verksamhet inom socialtjänsten
5 § Den som bedriver verksamhet inom socialtjänsten får ta del av sådana uppgifter om en enskild som gjorts tillgängliga genom direktåtkomst enligt 1 eller 2 §, om uppgifterna behövs för att
SOU 2014:23 Författningsförslag
1047
1. genomföra beslut om bistånd, stödinsatser, vård eller behandling, eller
2. att systematiskt och fortlöpande utveckla och säkra kvaliteten av sådana insatser och sådan vård eller behandling som har genomförts enligt 1.
Bestämmelserna i 3 kap. 5 och 6 §§ om behörighetstilldelning och åtkomstkontroll gäller även vid direktåtkomst till uppgifter hos en annan verksamhet.
Personuppgiftsansvar
6 § Den som bedriver verksamhet inom socialtjänsten är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som utförs i dess verksamhet. Det omfattar även sådan behandling av personuppgifter som utförs när den som bedriver verksamhet inom socialtjänsten genom direktåtkomst lämnar ut personuppgifter enligt 1 eller 2 § eller tar del av personuppgifter som annan sådan verksamhet gjort tillgängliga enligt 1 eller 2 §.
Bevarande och gallring
7 § När personuppgifter med stöd av 1 eller 2 § är tillgängliga för flera som bedriver verksamhet inom socialtjänsten gäller skyldigheten att bevara uppgifterna endast den som ansvarar för uppgiften.
Om en uppgift är tillgänglig för en kommunal myndighet och Statens institutionsstyrelse bara genom direktåtkomst enligt 1 eller 2 § och myndigheten inte ansvarar för uppgiften, får myndigheten gallra den från sitt arkiv.
6 kap. Informationsutbyte mellan hälso- och sjukvård och socialtjänst
Inledande bestämmelser
1 § I detta kapitel finns bestämmelser om utlämnande av personuppgifter genom direktåtkomst till en vårdgivare och om en gemensam vård- och omsorgsjournal.
Författningsförslag SOU 2014:23
1048
I hälso- och sjukvårdsdatalagen (2016:000) finns bestämmelser om en vårdgivares möjligheter att lämna ut personuppgifter genom direktåtkomst till den som bedriver verksamhet inom socialtjänsten.
2 § Bestämmelserna i 3 kap. 5 och 6 §§ gäller även för behörighetstilldelning och åtkomstkontroll avseende behandling av personuppgifter enligt detta kapitel.
Utlämnande genom direktåtkomst till vårdgivare inom hälso- och sjukvården
3 § Den som bedriver verksamhet inom socialtjänsten får medge vårdgivare inom hälso- och sjukvården direktåtkomst till personuppgifter som behandlas för genomförande av beslut om bistånd, stödinsatser, vård eller behandling om
1. den enskilde har behov av insatser från både socialtjänsten och hälso- och sjukvården,
2. uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador inom hälso- och sjukvården, och
3. den enskilde samtycker till det.
4 § Om förutsättningarna i 3 § 1–3 är uppfyllda, får den som bedriver verksamhet inom socialtjänst medge vårdgivare i hälso- och sjukvården direktåtkomst till personuppgifter som, med den enskildes samtycke enligt 2 kap. 4 §, behandlas för genomförandet av insatser i form av råd och stöd som inte är individuellt behovsprövade.
5 § Den som bedriver verksamhet inom socialtjänsten får medge vårdgivare i hälso- och sjukvården direktåtkomst till personuppgifter som behandlas för genomförande av beslut om bistånd, stödinsatser, vård eller behandling avseende en enskild som inte endast tillfälligt saknar förmåga att lämna samtycke enligt 3 §, om
1. den enskilde har behov av insatser från både socialtjänsten och hälso- och sjukvården, och
2. uppgifterna kan antas ha betydelse för den vård eller behandling som är nödvändig med hänsyn till hans eller hennes hälsotillstånd.
SOU 2014:23 Författningsförslag
1049
6 § Den som bedriver verksamhet inom socialtjänsten får medge vårdgivare inom hälso- och sjukvården direktåtkomst enligt 3–5 §§ endast under den tid den enskilde är föremål för genomförande av beslut om bistånd, stödinsatser, vård eller behandling.
7 § Innan direktåtkomst får medges enligt 3–5 §§ ska den som bedriver socialtjänst göra en risk- och sårbarhetsanalys och komma överens med en vårdgivare hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses.
Av överenskommelsen ska framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.
Tillåtna ändamål vid direktåtkomst till uppgifter hos en vårdgivare
8 § Den som bedriver verksamhet inom socialtjänsten får ta del av sådana uppgifter om en enskild, som gjorts tillgängliga genom direktåtkomst av en vårdgivare med stöd av 9 kap.3 och 4 §§hälso- och sjukvårdsdatalagen (2016:000), om uppgifterna behövs för att
1. genomföra beslut om bistånd, stödinsatser, vård eller behandling, eller
2. att systematiskt och fortlöpande utveckla och säkra kvaliteten av sådana insatser och vård eller behandling som har genomförts enligt 1.
Gemensam vård- och omsorgsjournal för personer med behov av insatser från både socialtjänst och hälso- och sjukvård
9 § Den som bedriver verksamhet inom socialtjänsten får komma överens med annan som bedriver sådan verksamhet och med vårdgivare om att behandla de personuppgifter som behandlas för genomförande av beslut om bistånd, stödinsatser, vård eller behandling inom socialtjänsten i en gemensam vård- och omsorgsjournal tillsammans med de uppgifter vårdgivare behandlar för ändamålet vårddokumentation enligt hälso- och sjukvårdsdatalagen, under förutsättning att
Författningsförslag SOU 2014:23
1050
1. den enskilde har behov av insatser både från hälso- och sjukvården och från socialtjänsten, och
2. uppgifterna kan antas ha betydelse för att genomföra beslut om bistånd, stödinsats, vård eller behandling och för att förebygga, utreda, eller behandla sjukdomar och skador inom hälso- och sjukvården.
10 § En gemensam vård- och omsorgsjournal ska innehålla de uppgifter som för en vårdgivares del ska dokumenteras i en patientjournal samt de uppgifter som den som bedriver verksamhet inom socialtjänsten ska dokumentera enligt socialtjänstlagen (2001:453) och lagen (1993:387) om stöd och service till vissa funktionshindrade.
För en gemensam vård- och omsorgsjournal gäller i övrigt de bestämmelser som anges i 3 kap.12–15 och 17–19 §§hälso- och sjukvårdsdatalagen (2015:000).
Bestämmelser om tillåtna ändamål för behandling av personuppgifter för den som bedriver verksamhet inom socialtjänsten finns i 2 kap. 5 och 6 §§.
11 § Inför ett samarbete enligt 9 § ska den som bedriver verksamhet inom socialtjänsten komma överens med annan som bedriver sådan verksamhet och med vårdgivare om vem som ska ha ansvar för att tillgodose den enskildes rättigheter enligt personuppgiftslagen (1998:204), hälso- och sjukvårdsdatalagen (2016:000) och denna lag.
Den som bedriver verksamhet inom socialtjänsten får även komma överens med annan som bedriver sådan verksamhet och med vårdgivare om att den enskilde ska medges direktåtkomst till personuppgifter om den enskilde själv enligt 4 kap. 7 § denna lag och 5 kap. 6 § hälso- och sjukvårdsdatalagen. En sådan överenskommelse ska fastställa hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses.
12 § En handling i en vård- och omsorgsjournal ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. För allmänna handlingar gäller, med de undantag som följer av första meningen, arkivlagen (1990:782) samt de bestämmelser som meddelas med stöd av arkivlagen.
SOU 2014:23 Författningsförslag
1051
När insatser från både hälso- och sjukvård och socialtjänst har slutat att ges till den enskilde ska vård- och omsorgsjournalen överlämnas till den kommun som har ansvarat för insatserna enligt socialtjänstlagen (2001:453).
7 kap. Rättigheter för den enskilde
Rätt att ta del av uppgifter
1 § Att en myndighet inom socialtjänsten under vissa förutsättningar är skyldig att lämna ut uppgifter till en enskild, framgår av tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400).
I ärenden hos en socialnämnd som rör myndighetsutövning gäller även förvaltningslagens (1986:223) bestämmelser om parts rätt att ta del av uppgifter i den utsträckning inte annat följer av socialtjänstlagen (2001:453) och offentlighets- och sekretesslagen.
2 § Bestämmelser om rätten att ta del av handlingar i en personakt i enskild verksamhet finns i socialtjänstlagen (2001:453) och lagen (1993:387) om stöd och service till vissa funktionshindrade.
Rättelse
3 § Bestämmelserna i 28 § personuppgiftslagen (1998:204) om den personuppgiftsansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man till vilken personuppgifterna lämnats ut, ska gälla även då sådan behandling av personuppgifter som avses i 1 kap. 9 § utförts i strid mot denna lag.
Enligt 6 kap. 10 § andra stycket jämfört med 3 kap. 14 § hälso- och sjukvårdsdatalagen (20015:000) får dock uppgifter i en gemensam vård- och omsorgsjournal inte utplånas eller göras oläslig i andra fall än som avses i 11 kap. 4 § hälso- och sjukvårdsdatalagen.
I ärenden hos socialnämnden som avser myndighetsutövning mot någon enskild gäller även 26 § förvaltningslagen (1986:223) om rättelse av skrivfel och liknande.
Författningsförslag SOU 2014:23
1052
Information
4 § Den som bedriver verksamhet inom socialtjänsten ska på begäran av en enskild lämna information om den direktåtkomst och elektroniska åtkomst till den enskildes uppgifter som förekommit i verksamheten.
Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om information enligt första stycket.
5 § Den som är personuppgiftsansvarig enligt denna lag ska se till att den registrerade får information om personuppgiftsbehandlingen.
Informationen ska innehålla upplysningar om
1. vem som är personuppgiftsansvarig,
2. ändamålet med behandlingen,
3. vilka kategorier av uppgifter som behandlas,
4. den uppgiftsskyldighet som kan följa av lag eller förordning,
5. de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,
6. rätten enligt 4 § att få information om åtkomst,
7. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204),
8. rätten till rättelse och underrättelse av tredje man enligt 28 § personuppgiftslagen,
9. rätten enligt 8 kap. 1 § till skadestånd vid behandling av personuppgifter i strid med denna lag,
10. vad som gäller ifråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,
11. vad som gäller ifråga om bevarande och gallring, samt 12. ifall personuppgiftsbehandlingen är frivillig eller inte.
8 kap. Skadestånd
1 § Bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204) gäller vid sådan behandling av personuppgifter enligt denna lag som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
SOU 2014:23 Författningsförslag
1053
Övergångsbestämmelser
Denna lag träder i kraft den 1 januari 2016 då lagen (2001:454) om behandling av personuppgifter inom socialtjänsten upphör att gälla.
Författningsförslag SOU 2014:23
1054
38.3 Förslag till lag om Socialstyrelsens behandling av personuppgifter i verksamhet avseende utredningar av vissa dödsfall
Härigenom föreskrivs följande.
Lagens tillämpningsområde m.m.
1 § Denna lag ska tillämpas vid Socialstyrelsens behandling av personuppgifter i verksamhet som avses i lagen (2007:606) om utredningar avseende vissa dödsfall om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
2 §Personuppgiftslagen (1998:204) gäller vid Socialstyrelsens behandling av personuppgifter, om inte annat följer av denna lag.
Personuppgiftsansvar
3 § Socialstyrelsen är personuppgiftsansvarig för den behandling av personuppgifter som görs enligt denna lag.
Tillåten personuppgiftsbehandling
4 § Socialstyrelsen får endast behandla de personuppgifter som är nödvändiga för att ge underlag till förslag om åtgärder som avser att förebygga att
1. barn far illa, eller
2. kvinnor och män utsätts för våld eller andra övergrepp av närstående eller tidigare närstående personer.
5 § Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för att fullgöra ett utlämnande av uppgifter som görs i överensstämmelse med lag eller förordning.
SOU 2014:23 Författningsförslag
1055
Den enskildes inställning till personuppgiftsbehandling
6 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den.
Direktåtkomst
7 § Socialstyrelsen får inte medge andra myndigheter eller enskilda direktåtkomst till personuppgifter som behandlas enligt denna lag.
Sökbegrepp
8 § Socialstyrelsen får använda de sökbegrepp vid sökning efter uppgifter eller i samband med sammanställningar som behövs för utredningsverksamheten.
Denna lag träder i kraft den 1 januari 2016.
Författningsförslag SOU 2014:23
1056
38.4 Förslag till lag om ändring i lagen ( 1993:387 ) om stöd och service till vissa funktionshindrade
Härigenom föreskrivs i fråga om lagen (1993:387) om stöd och service till vissa funktionshindrade
dels att 21 c § och 23 a § ska ha följande lydelse,
dels att det ska införas en ny paragraf 23 f § av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
21 c
Om anteckningar och andra uppgifter i en personakt hos den eller de nämnder som avses i 22 § tillhör sådan sammanställning av uppgifter som avses i lagen ( 2001:454 ) om behandling av personuppgifter inom socialtjänsten, skall uppgifterna gallras fem år efter det att sista anteckningen gjordes i akten. Uppgifterna skall dock inte gallras så länge uppgifterna om samma person inte har gallrats av nämnden enligt andra stycket.
Uppgifter i en sammanställning som avses i lagen om behandling av personuppgifter inom socialtjänsten skall gallras fem år efter det att de förhållanden som uppgifterna avser har upphört.
Anteckningar och andra uppgifter i en personakt hos den eller de nämnder som avses i 22 § ska gallras fem år efter det att sista anteckningen gjordes i akten.
Gallringen skall vara avslutad senast kalenderåret efter det att gallringsskyldigheten inträdde
Gallringen ska vara avslutad senast kalenderåret efter det att gallringsskyldigheten inträdde.
SOU 2014:23 Författningsförslag
1057
23 a §
Bestämmelserna i 21 a och 21 b §§ gäller i tillämpliga delar i enskild verksamhet. Anteckningar och andra uppgifter i en personakt som tillhör en sådan
sammanställning av uppgifter som avses i lagen ( 2001:454 ) om behandling av personuppgifter inom socialtjänsten skall bevaras och därefter gallras två år efter det att den sista anteckningen gjordes i akten. Uppgifterna skall dock inte gallras så länge uppgifter om samma person inte har gallrats enligt andra stycket.
Uppgifter i en sammanställning som avse i lagen om behandling av personuppgifter inom socialtjänsten skall gallras två år efter det att de förhållanden som uppgifterna avser har upphört.
Bestämmelserna i 21 a och 21 b §§ gäller i tillämpliga delar i enskild verksamhet. Anteckningar och andra uppgifter i en personakt ska bevaras och
därefter gallras två år efter det att den sista anteckningen gjordes i akten.
Gallringen skall vara avslutad senast kalenderåret efter det att gallringskyldigheten inträdde.
Gallringen ska vara avslutad senast kalenderåret efter det att gallringskyldigheten inträdde.
Den nämnd som beslutat om en insats som genomförs i en enskild verksamhet får träffa avtal med den som bedriver verksamheten om att handlingar skall överlämnas till nämnden när gallringsskyldigheten inträder. Detta gäller dock inte sådana handlingar som avses i 23 b §.
Författningsförslag SOU 2014:23
1058
23 f §
Den som yrkesmässigt bedriver enskild verksamhet inom socialtjänsten ska till den kommunala nämnd som beslutat om en insats som genomförs i verksamheten lämna ut de uppgifter som nämnden behöver för ändamål som anges i 2 kap. 5 § socialtjänstdatalagen (2016:000) .
Denna lag träder i kraft den 1 januari 2016.
SOU 2014:23 Författningsförslag
1059
38.5 Förslag till lag om ändring i lagen ( 1996:1156 ) om receptregister
Nuvarande lydelse Föreslagen lydelse
6 §
Personuppgifterna i receptregistret får behandlas som det är nödvändigt för
1. expediering av läkemedel och andra varor som förskrivits,
2. registrering av underlaget för tillämpningen av bestämmelserna om läkemedelsförmåner vid köp av läkemedel m.m.,
3. debiteringen till landstingen,
4. ekonomisk uppföljning och framställning av statistik hos Ehälsomyndigheten,
5. registrering och redovisning till landstingen av uppgifter för ekonomisk och medicinsk uppföljning samt för framställning av statistik,
6. registrering och redovisning till förskrivare, till verksamhetschefer enligt hälso- och sjukvårdslagen (1982:763) och till läkemedelskommittéer enligt lagen (1996:1157) om läkemedelskommittéer av uppgifter för medicinsk uppföljning, utvärdering och kvalitetssäkring i hälso- och sjukvården,
7. registrering och redovisning till Socialstyrelsen av uppgifter för epidemiologiska undersökningar, forskning och framställning av statistik inom hälso- och sjukvårdsområdet,
7. registrering och redovisning till Socialstyrelsen av uppgifter för epidemiologiska undersökningar, forskning,
framställning av statistik och för uppföljning, utvärdering och kvalitetssäkring inom hälso- och
sjukvårdsområdet
8. registrering av recept och blanketter som används för flera uttag, samt registrering av dosrecept och elektroniska recept,
9. registrering och redovisning till Inspektionen för vård och omsorg av uppgifter om enskild läkares eller tandläkares förskrivning av narkotiskt läkemedel eller annat särskilt läkemedel, för inspektionens tillsyn över hälso- och sjukvårdspersonal enligt patientsäkerhetslagen (2010:659), och
Författningsförslag SOU 2014:23
1060
10. registrering och redovisning av uppgifter för Tandvårds- och läkemedelsförmånsverkets tillsyn över utbyte av läkemedel enligt 21 § lagen (2002:160) om läkemedelsförmåner m.m.
Behandling av personuppgifter för ändamål som avses i första stycket 2 och 8, med undantag för registrering av elektroniska recept, får endast ske i fråga om den som har lämnat sitt samtycke till behandlingen. För ändamål som avses i första stycket 3 får uppgifter som kan hänföras till en enskild person inte omfatta annat än inköpsdag, kostnad, kostnadsreducering och patientens personnummer.
För ändamål som avses i första stycket 4, 6 och 10 får inga uppgifter redovisas som kan hänföras till en enskild person. Ändamålen enligt första stycket 5 får inte, med undantag för utlämnande av uppgifter enligt 14 §, omfatta några åtgärder som innebär att uppgifter som kan hänföras till någon enskild patient redovisas. Dock får uppgifter som kan hänföras till en enskild förskrivare ingå i redovisning enligt första stycket 6 till samma förskrivare och till verksamhetschefen vid den enhet där förskrivaren tjänstgör samt i redovisning enligt första stycket 9 till Inspektionen för vård och omsorg.
Förskrivningsorsak får redovisas endast för de ändamål som avse i första stycket 5 och 6.
Förskrivningsorsak får redovisas endast för de ändamål som avse i första stycket 5–7.
14 §
E-hälsomyndigheten ska, för de ändamål som avses i 6 § första stycket 3 och 5, till det landsting som enligt 22 § lagen (2002:160) om läkemedelsförmåner m.m. ska ersätta kostnaderna för läkemedelsförmåner, lämna ut uppgifter om uttag av förskrivna läkemedel och andra varor som omfattas av nämnda lag.
E-hälsomyndigheten ska, för de ändamål som avses i 6 § första stycket 3 och 5, till det landsting som enligt 22 § lagen (2002:160) om läkemedelsförmåner m.m. ska ersätta kostnaderna för läkemedelsförmåner, lämna ut uppgifter om uttag av förskrivna läkemedel och andra varor som omfattas av nämnda lag.
SOU 2014:23 Författningsförslag
1061
Vid utlämnande av uppgifter för de ändamål som avses i 6 § första stycket 5 ska uppgifter om patientens identitet vara krypterade på ett sådant sätt att dennes identitet skyddas. I 4
kap. 6 § andra stycket patientdatalagen (2008:355)
finns
bestämmelser om att detta skydd för patientens identitet ska bestå hos landstingen.
Vid utlämnande av uppgifter för de ändamål som avses i 6 § första stycket 5 ska uppgifter om patientens identitet vara krypterade på ett sådant sätt att dennes identitet skyddas. I 4
kap. 7 § tredje stycket hälso- och sjukvårdsdatalagen (2016:000)
finns bestämmelser om att detta skydd för patientens identitet ska bestå hos landstingen.
Denna lag träder i kraft den 1 januari 2016.
Författningsförslag SOU 2014:23
1062
38.6 Förslag till lag om ändring i lagen ( 1998:603 ) om verkställighet av sluten ungdomsvård
Härigenom föreskrivs i fråga om lagen (1998:603) om verkställighet av sluten ungdomsvård att det i lagen ska införas en ny paragraf 23 a § av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
23 a §
Statens institutionsstyrelse ska för personer som genomgår sluten ungdomsvård fortlöpande lämna uppgifter till Försäkringskassan och Pensionsmyndigheten om dagen för verkställighetens början och slut jämte eventuell ändrad sådan slutdag.
Statens institutionsstyrelse ska för personer som genomgår sluten ungdomsvård lämna uppgift till Rikspolisstyrelsen om dagen för verkställighetens början, om den sammanlagda vårdtiden är minst ett år.
Bestämmelser om skyldighet att i andra fall lämna uppgifter till Rikspolisstyrelsen finns i 34 § förordningen ( 1999:1134 ) om belastningsregister
Denna lag träder i kraft den 1 januari 2016.
SOU 2014:23 Författningsförslag
1063
38.7 Förslag till lag om ändring i socialtjänstlagen (2001:453)
Härigenom föreskrivs i fråga om socialtjänstlagen (2001:453)
dels att 7 kap. 3 § och 12 kap. 1 § ska ha följande lydelse,
dels att en ny paragraf 7 kap. 7 § ska införas.
Nuvarande lydelse Föreslagen lydelse
7 kap.
3 §
Bestämmelserna i 11 kap. 5 och 6 §§ gäller i tillämpliga delar i enskild verksamhet som står under Inspektionen för vård och omsorgs tillsyn enligt denna lag. Anteckningar och andra uppgifter i en personakt som tillhör
en sammanställning av uppgifter som avses i lagen ( 2001:454 ) om behandling av personuppgifter inom socialtjänsten ska bevaras och därefter gallras två år efter det att den sista anteckningen gjordes i akten. Uppgifterna ska dock inte gallras så länge uppgifter om samma person inte har gallrats enligt andra stycket.
Uppgifter i en sammanställning som avses i lagen om behandling av personuppgifter inom socialtjänsten ska gallras två år efter det att de förhållanden som uppgifterna avser har upphört.
Bestämmelserna i 11 kap. 5 och 6 §§ gäller i tillämpliga delar i enskild verksamhet som står under Inspektionen för vård och omsorgs tillsyn enligt denna lag. Anteckningar och andra uppgifter i en personakt
ska bevaras och därefter gallras två år efter det att den sista anteckningen gjordes i akten.
Gallringen ska vara avslutad senast kalenderåret efter det att gallringsskyldigheten inträdde.
Den socialnämnd som beslutat om en insats som genomförs i en enskild verksamhet får träffa avtal med den som bedriver verksamhet om att handlingar ska överlämnas till nämnden när gallringsskyldigheten inträder. Detta gäller dock inte handlingar som avses i 3 a §.
Författningsförslag SOU 2014:23
1064
7 §
Den som yrkesmässigt bedriver enskild verksamhet inom socialtjänsten ska till den socialnämnd som beslutat om en insats som genomförs i verksamheten lämna ut de uppgifter som socialnämnden behöver för ändamål som anges i 2 kap. 5 § socialtjänstdatalagen (2016:000) .
12 kap.
1 §
Anteckningar och andra uppgifter i en personakt hos socialnämnden som tillhör en sådan
sammanställning av uppgifter som avses i lagen ( 2001:454 ) om behandling av personuppgifter inom socialtjänsten skall gallras fem år efter det att sista anteckningen gjordes i akten. Uppgifterna skall dock inte gallras så länge uppgifter om samma person inte har gallrats av nämnden enligt andra stycket.
Uppgifter i en sammanställning som avses i lagen om behandling av personuppgifter inom socialtjänsten skall gallras fem år efter det att de förhållanden som uppgifterna avser har upphört.
Anteckningar och andra uppgifter i en personakt hos socialnämnden ska gallras fem år
efter det att sista anteckningen gjordes i akten.
Gallringen skall vara avslutad senast kalenderåret efter det att gallringsskyldigheten inträdde.
Gallringen ska vara avslutad senast kalenderåret efter det att gallringsskyldigheten inträdde.
Denna lag träder i kraft den 1 januari 2016.
SOU 2014:23 Författningsförslag
1065
38.8 Förslag till lag om ändring i lagen ( 2001:499 ) om omskärelse av pojkar
Nuvarande lydelse Föreslagen lydelse
4 §
När läkare utför omskärelse enligt denna lag eller när läkare eller sjuksköterska ombesörjer smärtlindring enligt denna lag gäller patientsäkerhetslagen (2010:659), patientskadelagen (1996:799) och patientdatalagen
(2008:355).
När läkare utför omskärelse enligt denna lag eller när läkare eller sjuksköterska ombesörjer smärtlindring enligt denna lag gäller patientsäkerhetslagen (2010:659), patientskadelagen (1996:799) och hälso- och
Denna lag träder i kraft den 1 januari 2016.
Författningsförslag SOU 2014:23
1066
38.9 Förslag till lag om ändring i lagen ( 2002:546 ) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten
Härigenom föreskrivs 1 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 §
Denna lag tillämpas vid behandling av personuppgifter i Arbetsförmedlingens arbetsmarknadspolitiska verksamhet.
Lagen tillämpas också vid behandling av personuppgifter i ärenden om ersättning enligt lagen (2010:197) om etableringsinsatser för vissa nyanlända invandrare och i ärenden hos Arbetsförmedlingen om mottagande för bosättning av vissa nyanlända invandrare. Det som sägs i denna lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten ska även gälla behandling av personuppgifter i dessa ärenden.
Lagen ska inte tillämpas i den del av den arbetsmarknadspolitiska verksamheten som även utgör hälso- och sjukvård enligt hälso- och sjukvårdslagen (1982:763). I den delen av verksamheten tillämpas i stället
Lagen ska inte tillämpas i den del av den arbetsmarknadspolitiska verksamheten som även utgör hälso- och sjukvård enligt hälso- och sjukvårdslagen (1982:763). I den delen av verksamheten tillämpas i stället
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Denna lag träder i kraft den 1 januari 2016.
SOU 2014:23 Författningsförslag
1067
38.10 Förslag till lag om ändring av lagen ( 2005:258 ) om läkemedelsförteckning
Nuvarande lydelse Föreslagen lydelse
1 §
E-hälsomyndigheten ska för de ändamål som anges i 3 § utföra automatiserad behandling av personuppgifter i ett särskilt register över köp av förskrivna läkemedel (läkemedelsförteckning). Med köp avses i denna lag
även förvärv av läkemedel med fullständig kostnadsreducering.
E-hälsomyndigheten ska för de ändamål som anges i 3 § utföra automatiserad behandling av personuppgifter i ett särskilt register över köp av förskrivna läkemedel (läkemedelsförteckning). Med köp avses i denna lag
även köp utomlands av läkemedel som förskrivits i Sverige samt förvärv av läkemedel med fullständig kostnadsreducering.
E-hälsomyndigheten är personuppgiftsansvarig för den behandling som avses i första stycket.
3 §
Läkemedelsförteckningens dokumentation av köp av förskrivna läkemedel får endast användas för att
1. åstadkomma en säker framtida förskrivning av läkemedel för den registrerade,
2. bereda den registrerade vård eller behandling,
3. komplettera den registrerades patientjournal,
4. underlätta den kontroll som ska genomföras innan ett läkemedel lämnas ut till den registrerade från apotek, samt
5. underlätta den registrerades läkemedelsanvändning. Tillgång till uppgifterna i läkemedelsförteckningen får endast med uttryckligt samtycke från den registrerade ges till
1. förskrivare av läkemedel för ändamål som anges i första stycket 1–3,
2. legitimerad sjuksköterska utan behörighet att förskriva läkemedel för ändamål som anges i första stycket 2 och 3, om det är
Författningsförslag SOU 2014:23
1068
nödvändigt för att den registrerade ska kunna få den vård eller behandling som han eller hon oundgängligen behöver, och
3. farmaceut på apotek för ändamål som anges i första stycket 4 vid färdigställande av läkemedel som ska lämnas ut till den registrerade.
4. farmaceut i hälso- och sjukvården för ändamål som anges i första stycket 1, 3 och 5.
Om den registrerade inte kan lämna sitt samtycke, får uppgifterna i förteckningen lämnas ut till förskrivare och till legitimerad sjuksköterska utan behörighet att förskriva läkemedel om det är nödvändigt för att den registrerade ska kunna få den vård eller behandling som han eller hon oundgängligen behöver.
Denna lag träder i kraft den 1 januari 2016.
SOU 2014:23 Författningsförslag
1069
38.11 Förslag till lag om ändring i lagen ( 2007:606 ) om utredningar avseende vissa dödsfall
Härigenom föreskrivs att 9 § lagen (2007:606) om utredningar avseende vissa dödsfall ska har följande lydelse.
Nuvarande lydelse Föreslagen lydelse
9 §
Bestämmelser om behandling av personuppgifter i verksamhet enligt denna lag finns i lagen
( 2001:454 ) om behandling av personuppgifter inom socialtjänsten.
Bestämmelser om behandling av personuppgifter i verksamhet enligt denna lag finns i lagen
( 2016:000 ) om Socialstyrelsens behandling av personuppgifter avseende utredningar av vissa dödsfall.
Denna lag träder i kraft den 1 januari 2016.
Författningsförslag SOU 2014:23
1070
38.12 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 25 kap. 6 § och rubriken närmast före ska upphöra att
gälla,
dels att 24 kap. 8 §, 25 kap. 2 och 11 samt 26 kap. 8 § ska ha
följande lydelse,
dels att rubriken närmast före 25 kap. 2 § ska ha följande lydelse,
och
dels att det i lagen ska införas en ny paragraf 26 kap. 9 a §, av
följande lydelse.
Nuvarande lydelse Föreslagen lydelse
24 kap.
8 §
Sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller annan jämförbar undersökning som utförs av Riksrevisionen eller riksdagsförvaltningen eller, i den utsträckning regeringen meddelar föreskrifter om det, av någon annan myndighet. Uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas
Sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller annan jämförbar undersökning som utförs av Riksrevisionen eller riksdagsförvaltningen eller, i den utsträckning regeringen meddelar föreskrifter om det, av någon annan myndighet. Uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas
SOU 2014:23 Författningsförslag
1071
utan att den enskilde eller någon närstående till denne lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt
utan att den enskilde eller någon närstående till denne lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år, om uppgiften avser en enskilds personliga förhållanden, och annars i högst tjugo år.
25 kap.
Sammanhållen journalföring
Direktåtkomst mellan vårdgivare
2 §
Sekretess gäller hos en myndighet som bedriver verksamhet som avses i 1 § för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en annan vårdgivare enligt bestämmelserna om sammanhållen journalföring i
patientdatalagen (2008:355), om förutsättningar enligt 6 kap. 3 eller 4 § samma lag för att
myndigheten ska få behandla uppgiften inte är uppfyllda.
Sekretess gäller hos en myndighet som bedriver verksamhet som avses i 1 § för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en annan vårdgivare enligt bestämmelserna om direktåtkomst
i hälso- och sjukvårdsdatalagen (2016:000) om förutsättningar för
att myndigheten ska få behandla uppgiften inte är uppfyllda enligt
6 kap. 2 § eller 8 kap. 8 – 10 §§ hälso- och sjukvårdsdatalagen .
Om sådana förutsättningar som anges i första stycket är uppfyllda eller myndigheten har behandlat uppgiften enligt nämnda bestämmelser tidigare, gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
Andra stycket gäller inte om annat följer av 7, 8 eller 10 § eller 26 kap. 6 §.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Författningsförslag SOU 2014:23
1072
Sekretess i förhållande till den vård- eller behandlingsbehövande
6 §
Sekretessen enligt 1–5 §§ gäller i förhållande till den vård- eller behandlingsbehövande själv för uppgift om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne.
11 §
Sekretessen enligt 1 § hindrar inte att uppgift lämnas
1. från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun,
2. från en myndighet som bedriver verksamhet som avses i 1 § i ett landsting till en annan sådan myndighet i samma landsting,
3. till en myndighet som bedriver verksamhet som avses i 1 § eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen (2008:355),
3. till en myndighet som bedriver verksamhet som avses i 1 § eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i 8 kap. hälso- och sjukvårds-
3 a. till en enskild vårdgivare enligt vad som föreskrivs om direktåtkomst i 6 kap. hälso- och sjukvårdsdatalagen ,
3 b. till den som bedriver verksamhet inom socialtjänsten enligt vad som föreskrivs om direktåtkomst i 9 kap. hälso- och sjukvårdsdatalagen ,
SOU 2014:23 Författningsförslag
1073
3 c. till en myndighet som bedriver verksamhet som avses i 1 §, till en enskild vårdgivare eller till den som bedriver verksamhet inom socialtjänsten enligt vad som föreskrivs om gemensam vård- och omsorgsjournal enligt 9 kap. hälso- och sjukvårdsdatalagen ,
3 d. till den som ska utföra källdatagranskning vid forskning inom hälso- och sjukvården enligt vad som föreskrivs om direktåtkomst i 5 kap. 7 § hälso- och sjukvårdsdatalagen ,
3 e. till en enskild vårdgivare enligt vad som föreskrivs om verksamhetsövergångar i 12 kap. hälso- och sjukvårdsdatalagen ,
4. till ett nationellt eller regionalt kvalitetsregister enligt
4. till ett nationellt eller regionalt kvalitetsregister enligt
4 a. från ett nationellt eller regionalt kvalitetsregister enligt vad som föreskrivs om direktåtkomst i 10 kap. hälso- och sjukvårdsdatalagen ,
5. från en myndighet som bedriver verksamhet som avses i 1 § inom en kommun eller ett landsting till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs, eller
6. till en enskild enligt vad som föreskrivs i – lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål,
– lagen (1991:1129) om rättspsykiatrisk vård, – smittskyddslagen (2004:168), – 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m., – lagen (2006:496) om blodsäkerhet, eller – lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler.
Författningsförslag SOU 2014:23
1074
26 kap
8 §
Sekretessen enligt 1 § hindrar inte att uppgift lämnas till en
enskild som uppnått myndig ålder om förhållanden av betydelse för att han eller hon ska få vetskap om vilka hans eller hennes biologiska föräldrar är.
Sekretessen enligt 1 § hindrar inte att uppgift lämnas
1. till en enskild som uppnått myndig ålder om förhållanden av betydelse för att han eller hon ska få vetskap om vilka hans eller hennes biologiska föräldrar är,
2. från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun,
3. till en myndighet som bedriver verksamhet som avses i 1 § eller till en enskild verksamhet inom socialtjänsten enligt vad som föreskrivs om direktåtkomst mellan verksamheter inom socialtjänsten i 5 kap. socialtjänstdatalagen (2016:000) ,
4. till en myndighet inom hälso- och sjukvården eller till en enskild verksamhet inom hälso- och sjukvården enligt vad som föreskrivs om direktåtkomst enligt 6 kap. socialtjänstdatalagen , eller
5. till en myndighet som bedriver verksamhet som avses i 1 §, till en myndighet inom hälso- och sjukvården eller till en enskild verksamhet inom hälso- och sjukvården eller socialtjänsten enligt vad som föreskrivs om en gemensam vård- och omsorgsjournal i 6 kap. socialtjänstdatalagen .
SOU 2014:23 Författningsförslag
1075
9 a §
Om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar sekretess enligt 1 § inte att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom socialtjänsten till en annan myndighet inom socialtjänsten eller inom hälso- och sjukvården eller till en enskild verksamhet på socialtjänstens område eller en enskild vårdgivare.
Denna lag träder i kraft den 1 januari 2016.
Författningsförslag SOU 2014:23
1076
38.13 Förslag till lag om ändring i patientsäkerhetslagen (2010:659)
Härigenom föreskrivs i fråga om patientsäkerhetslagen (2010:659) att 6 kap.12 och 15 §§patientsäkerhetslagen (2010:659) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 kap
12 §
Den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården får inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning.
Tystnadsplikt som gäller för en uppgift om en patients hälsotillstånd gäller även i förhållande till patienten själv, om det med hänsyn till ändamålet med hälso- och sjukvården är av synnerlig vikt att uppgiften inte lämnas till patienten.
För det allmännas verksamhet gäller offentlighets- och sekretesslagen (2009:400).
15 §
Utöver vad som annars följer av lag eller förordning är hälso- och sjukvårdspersonalen skyldig att lämna ut sådana uppgifter som
1. gäller huruvida någon vistas på en sjukvårdsinrättning om uppgifterna i ett särskilt fall begärs av en domstol, åklagarmyndighet, polismyndighet, Kronofogdemyndigheten eller Skatteverket,
2. behövs i verksamhet för personskydd för riksdagens ledamöter, statschefen och övriga medlemmar av kungahuset, statsråd, statssekreterare och kabinettssekreterare, om uppgifterna i ett enskilt fall begärs av Säkerhetspolisen,
SOU 2014:23 Författningsförslag
1077
3. behövs för en rättsmedicinsk undersökning,
4. Socialstyrelsens råd för vissa rättsliga, sociala och medicinska frågor behöver för sin verksamhet,
5. behövs för prövning av ett ärende om att avskilja en studerande från högskoleutbildning,
6. behövs för prövning av någons lämplighet att ha körkort, traktorkort eller taxiförarlegitimation enligt taxitrafiklagen, eller
7. den offentliga huvudman som finansierar hälso- och sjukvårdsverksamheten behöver för ändamål som anges i 2 kap. 5 § hälso- och sjukvårdsdatalagen (2016:000) .
Denna lag träder i kraft den 1 januari 2016.
Författningsförslag SOU 2014:23
1078
38.14 Förslag till förordning om ändring i förordningen ( 2005:363 ) om läkemedelsregister hos Socialstyrelsen
Härigenom föreskrivs i fråga om förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen att 3 och 4 §§ ska ha följande betydelse.
Nuvarande lydelse Föreslagen lydelse
3 §
Personuppgifter i läkemedelsregistret får behandlas för epidemiologiska undersökningar, forskning och framställning av statistik inom hälso- och sjukvårdsområdet.
Personuppgifter i läkemedelsregistret får behandlas för framställning av statistik, upp-
följning, utvärdering och kvalitetssäkring inom hälso- och
sjukvårdsområdet samt epidemiologiska undersökningar och forskning.
4 §
I läkemedelsregistret får endast följande uppgifter registreras:
1. inköpsdag, vara, mängd, dosering, kostnad och kostnadsreducering enligt lagen (2002:160) om läkemedelsförmåner m.m.,
2. patientens personnummer och folkbokföringsorts, samt
3. förskrivarens yrke, specialitet och arbetsplatskod, och
4. förskrivningsorsak. Förskrivningsorsak ska anges med en kod.
Denna förordning träder i kraft den 1 januari 2016.
1079
39 Ikraftträdande
Vårt förslag: Hälso- och sjukvårdsdatalagen, socialtjänstdata-
lagen och lagen om Socialstyrelsens behandling av personuppgifter i verksamhet avseende utredningar av vissa dödsfall samt de ändringar som vi föreslår ska träda i kraft den 1 januari 2016.
När hälso- och sjukvårdsdatalagen träder i kraft ska patientdatalagen (2008:355) upphöra att gälla.
När socialtjänstdatalagen träder i kraft ska lagen (2001:454) om behandling av personuppgifter inom socialtjänsten upphöra att gälla.
Hälso- och sjukvårdsdatalagen, socialtjänstdatalagen och lagen om Socialstyrelsens behandling av personuppgifter i verksamhet avseende utredningar av vissa dödsfall bör kunna träda i kraft den 1 januari 2016.
Hälso- och sjukvårdsdatalagen ersätter den reglering som nu finns i patientdatalagen. Patientdatalagen ska därför upphöra att gälla då hälso- och sjukvårdsdatalagen träder i kraft.
Socialtjänstdatalagen ersätter den reglering som nu finns i lagen om behandling av personuppgifter inom socialtjänsten. Den sistnämnda lagen ska därför upphöra att gälla samtidigt som socialtjänstdatalagen träder i kraft.
Utredningen föreslår inga särskilda övergångsbestämmelser.
1081
40 Konsekvenser av våra förslag
40.1 Inledning
Enligt kommittéförordningen (1998:1474) ska det i ett betänkande som innehåller nya eller ändrade regler också anges konsekvenser av dessa. Förordningen föreskriver att en sådan konsekvensanalys ska genomföras om förslagen har betydelse för den kommunala självstyrelsen, för brottsligheten, för sysselsättningen och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företag, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.
Utredningar som lägger fram förslag som förutsätter behandling av personuppgifter bör särskilt uppmärksamma konsekvenserna från integritetsskyddssynpunkt för den som personuppgifterna avser. Utredningen har haft i uppdrag att just analysera förutsättningarna för en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Hela utredningsarbetet har genomsyrats av överväganden rörande den personliga integriteten avseende patienter och enskilda individer som har kontakt med socialtjänsten. När det gäller skyddet för den personliga integriteten hänvisar vi till de överväganden som redovisats löpande i betänkandet. I avsnitt 41.4 redovisas dock våra förslags förhållande till dataskyddsdirektivet.
I detta avsnitt redogörs i korthet för utredningens konsekvensbedömning vad gäller ekonomiska konsekvenser med mera.
Konsekvenser av våra förslag SOU 2014:23
1082
40.2 Ekonomiska konsekvenser
Vår bedömning: Våra förslag kommer att ge förutsättningar att
bedriva hälso- och sjukvård och socialtjänst på ett mer effektivt och kvalitetssäkert sätt än vad som är fallet idag. Förslagen ger ökade möjligheter till en ändamålsenlig och sammanhållen informationshantering både i det rent individinriktade arbetet och i arbetet med att planera, följa upp, säkerställa och utveckla kvaliteten i hälso- och sjukvården och socialtjänsten. Förslagen syftar vidare till att förenkla för yrkesutövare att med hjälp av moderna tekniska lösningar få ett effektivare stöd i arbetet. Sammantaget kan utredningens förslag förväntas innebära besparingar genom effektivitetsvinster och en ökad kvalitet i den hälso- och sjukvård och socialtjänst som enskilda erbjuds.
Vi föreslår tre nya lagar; hälso- och sjukvårdsdatalagen, socialtjänstdatalagen och lag om Socialstyrelsens behandling av personuppgifter i verksamhet avseende utredningar av vissa dödsfall. Hälso- och sjukvårdsdatalagen ska tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården och socialtjänstdatalagen ska tillämpas vid behandling av personuppgifter inom socialtjänsten för kommunala myndigheter, enskilda verksamheter och Statens institutionsstyrelse. Förslagen avser att åstadkomma en mer samlad reglering av personuppgiftsbehandlingen inom och mellan hälso- och sjukvården och socialtjänsten. En reglering av behandling av personuppgifter inom hälso- och sjukvården och socialtjänsten som är harmoniserad underlättar tillämpningen för vårdgivare och de som bedriver verksamhet inom socialtjänsten. Den tredje lagen om Socialstyrelsens register föreslås enbart som en konsekvens av att socialtjänstdatalagen inte ska tillämpas av Socialstyrelsen eller andra myndigheter. De bestämmelser i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten och förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, som i dag är tillämpliga på Socialstyrelsens behandling av personuppgifter i verksamhet om utredningar avseende vissa dödsfall ska överföras till en ny lag. De nya lagarna för inte med sig några ekonomiska konsekvenser i sig för aktörerna.
Utredningen lämnar förslag i syfte att skydda personuppgifter vid
samverkan mellan flera personuppgiftsansvariga. Samverkande aktörer
SOU 2014:23 Konsekvenser av våra förslag
1083
inom hälso- och sjukvård och socialtjänst som medger varandra direktåtkomst eller på annat sätt samarbetar vid behandling av personuppgifter ska göra en risk- och sårbarhetsanalys och komma överens om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Av överenskommelsen ska framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder. Utredningens uppfattning att det är kostnadsbesparande att redan innan ett samarbete komma överens om hur samarbetet ska kunna göras på ett säkert sätt.
Vidare lämnar utredningen förslag om uttryckliga bestämmelser om krav på behörighetsstyrning och åtkomstkontroll. För hälso- och sjukvårdens del är det ingen förändring jämfört med idag. För socialtjänstens del innebär förslagen en tydligare reglering jämfört med den nuvarande, där dessa krav endast framgår indirekt genom den praxis som har utvecklats vid tillämpningen av 31 § personuppgiftslagen (1998:204).
Utredningen lämnar förslag om förbättrade möjligheter till direk-
tåtkomst mellan vårdgivare inom en huvudmans ansvarsområde. Vi
föreslår att det ska vara tillåtet för vårdgivare inom en huvudmans ansvarsområde att under vissa villkor utbyta uppgifter om en patient med hjälpa av direktåtkomst med stöd av samma regler oavsett om verksameten är privat eller offentlig. I dag gäller olika regler för informationsutbyte inom en huvudmans ansvarsområde beroende på hur vården är organiserad. Det är frivilligt för vårdgivare att använda sig av denna möjlighet. Utredningen bedömer att vården kan bedrivas säkrare och mer effektivt genom denna form av informationsutbyte. I ett vidare perspektiv bedömer vi att arbetet kan effektiviseras genom samarbetet mellan olika vårdgivare. Det kan exempelvis handla om att patienter, när rätt information finns på rätt plats i rätt tid, slipper vad som visar sig vara onödiga undersökningar, provtagningar eller läkemedelsordinationer.
Samtidigt kräver all personuppgiftsbehandling och informationsutbyte att de ansvariga vårdgivarna hanterar uppgifter så att obehöriga inte kan komma åt dem. Detta yttersta ansvar för att uppfylla de regler som gäller för informationshanteringen kräver seriösa satsningar från vårdgivarnas sida. Detta ansvar har vårdgivarna oberoende av detta förslag, men innan nya former av informationsutbyten tas i bruk krävs att vårdgivare analyserar om verksamheten kan uppfylla säkerhetskraven även fortsättningsvis.
Konsekvenser av våra förslag SOU 2014:23
1084
Det är vårdgivarens ansvar att ta ställning till vilka åtgärder som är nödvändiga för att kunna uppfylla de bestämmelser som finns och överväga vilka investeringar det kan kräva.
Utredningen föreslår att en privat vårdgivare ska ha en skyldighet
att lämna ut de uppgifter till huvudmannen som behövs för att denne ska kunna leva upp till sitt ansvar som huvudman enligt hälso- och
sjukvårdslagen (1982:763). Motsvarande föreslås även gälla för enskilda verksamheter på socialtjänstens område. Förslaget syftar till att förbättra kommuner och landstings möjligheter att planera, följa upp och kvalitetssäkra den hälso- och sjukvård och socialtjänst kommunen eller landstinget har huvudmannaansvaret för. Genom förslaget får kommuner och landsting samma förutsättningar att ta ansvar för hälso- och sjukvården och socialtjänsten oberoende av om verksamheten drivs av kommunen eller landstinget själv eller av en privat utförare med offentlig finansiering. Det blir möjligt att följa upp kvaliteten i patientens eller den enskilde i socialtjänstens process oavsett hur verksamheten i landstinget eller kommunen är organiserad. Det ger också förutsättningar för huvudmannen att planera och erbjuda preventiva insatser på ett jämlikt sätt till alla invånare. I viss utsträckning kan utredningens förslag medföra en ökad uppgiftslämnarbörda för privata vårdgivare och enskilda verksamheter i socialtjänsten. I praktiken synes det redan idag förekomma ett förhållandevis omfattande utbyte av uppgifter, t.ex. inom ramen för regleringen av de ekonomiska förhållandena mellan beställare och utförare. Vidare erfar utredningen att många landsting och kommuner har tekniska möjligheter att inhämta de aktuella uppgifterna på ett sätt som inte föranleder någon nämnvärt ökad administration vare sig för den utlämnande eller den mottagande verksamheten.
Vi lämnar också förslag som gör det möjligt för vårdgivare att använda sig av sammanhållen journalföring även i vården av vuxna
som inte endast tillfälligt har nedsatt beslutsförmåga. Förslagen gör
det också möjligt att behandla personuppgifter avseende personer med
nedsatt beslutsförmåga i kvalitetsregister. Patienter med nedsatt
beslutsförmåga får med utredningens förslag en möjlighet att dra nytta av fördelarna med sammanhållen journalföring och får möjlighet att bidra till och dra nytta av registrering i nationella och regionala kvalitetsregister. Det innebär att förutsättningarna för vård på lika villkor för hela befolkningen ökar. Vidare bedömer vi att utredningens förslag kan bidra till såväl ökad kvalitet och patientsäkerhet som kostnadseffektivitet i vården. Vårdgivarna
SOU 2014:23 Konsekvenser av våra förslag
1085
berörs av förslagen på så sätt att personuppgiftsbehandlingen avseende uppgifter om personer med inte endast tillfälligt nedsatt beslutsförmåga kommer att likna den som redan gäller för andra patienter. Bedömningen av patientens besluts förmåga måste ändå göras för att kunna erbjuda de konkreta vårdinsatserna. Därför krävs inte några nämnvärda ytterligare insatser eller investeringar från vårdgivarnas sida. Utredningen kan därför inte se att förslagen kommer att innebära några ökade kostnader för vårdgivarna.
Utredningen lämnar även förslag till nya former för informa-
tionsutbyte inom socialtjänsten. Vi föreslår att det i en kommun som
väljer att organisera socialtjänsten i flera olika nämnder och bolag ska vara tillåtet lämna ut personuppgifter mellan nämnderna och bolagen genom direktåtkomst. Vi föreslår också att det under vissa förutsättningar ska vara tillåtet med direktåtkomst mellan olika utförare av socialtjänst oavsett om de är kommunala eller privata. Direktåtkomsten får endast omfatta det informationsutbyte som behövs i samband med genomförandefasen i socialtjänsten. Dessa nya former för informationsutbyte är frivilliga och kan bland annat medföra en ökad effektivitet och säkerhet i verksamheten. Innan en myndighet eller en någon annan som bedriver socialtjänst går in sådana samarbeten om personuppgifter krävs ställningstaganden till vilka möjligheter verksamheten har att göra det på ett sätt som uppfyller lagstiftningens krav på säkerhet. Även vid dessa former av samarbete vid behandling av personuppgifter ska en risk- och sårbarhetsanalys och en överenskommelse om informationssäkerhet och skydd för personuppgifterna göras. Dessa ställningstaganden får bland andra överväganden ligga till grund för om verksamheten har förutsättningar att delta i samarbetet.
Våra förslag till förbättrade möjligheter till informationsutbyte inom socialtjänsten ger också på olika sätt bättre möjligheter till
kvalitetssäkring och verksamhetsuppföljning inom socialtjänstens område. Förslagen ger ökade möjligheter såväl till ett lokalt
kvalitetsarbete exempelvis hos enskilda utförare av socialtjänst, som till ett mer övergripande kvalitetsarbete hos den ansvariga kommunen. I praktiken innebär våra förslag även förutsättningar för att implementera system för kvalitetssäkring och uppföljning som gör det möjligt att följa upp och jämföra socialtjänstens verksamhet i olika delar av landet.
Våra förslag i fråga om direktåtkomst och gemensam vård- och
omsorgsjournal innebär en möjlighet för vårdgivare och de som
bedriver verksamhet inom socialtjänsten att på frivillig väg skapa
Konsekvenser av våra förslag SOU 2014:23
1086
system som medger elektronisk tillgång till varandras journaluppgifter i den individinriktade verksamheten. Förslagen innebär alltså inte någon skyldighet för aktörerna att delta i sådana samarbeten. Syftet är att aktörerna ska kunna välja vilket alternativ för informationshantering i den integrerade verksamheten som är mest ändamålsenlig i förhållande till individernas behov, vilka förutsättningar som i övrigt finns och vad man vill uppnå. Genom att tillämpa något av de föreslagna alternativen bedömer utredningen att verksamheterna som bedrivs integrerat mellan hälso- och sjukvård och socialtjänst har möjlighet att effektivisera sitt samarbete på ett sätt som är till nytta för den enskilde individen. Det är inte möjligt för oss att förutse i vilken utsträckning de integrerade verksamheterna kommer att tillämpa dessa regler eller hur dessa samarbeten kommer att utformas. Det är därmed inte heller möjligt att uppskatta kostnaderna för t.ex. de investeringar som kan komma att krävas. Samtidigt kommer en mer ändamålsenlig informationshantering att leda till effektivitetsvinster i form av minskad administration för personalen samt förbättrade möjligheter för olika aktörer att samarbeta och därigenom undvika dubbelarbete. Utredningen bedömer också att förslagen leder till en bättre vård och omsorg för den enskilde individen. Att beräkna storleken på dessa vinster är dock inte möjligt.
Utredningen lämnar förslag i syfte att ge förutsättningar till
säkra läkemedelsförskrivningar. Läkemedelsbehandling är förenat
med stora risker. För den enskilde patienten kan fel läkemedel eller en olämplig kombination av läkemedel föra med sig allvarliga konsekvenser för hälsa och livskvalitet. Det behov av vård som orsakas av felaktigt använda läkemedel utgör en allt större del av de samlade hälso- och sjukvårdskostnaderna. Utredningen föreslår att uppgifter om ordinerade läkemedel alltid ska få vara tekniskt åtkomliga så att de kan användas när patienten har behov av vård. En patient ska inte kunna motsätta sig detta. Förslagen syftar till att förbättra kvaliteten och patientsäkerheten i hälso- och sjukvården genom att möjliggöra en samlad, korrekt och aktuell information om patientens läkemedelsbehandling. Utredningen bedömer att förslaget ger förutsättningar till ett säkrare underlag i samband med förskrivning av läkemedel, vilket i sin tur innebär mindre lidande, säkrare vård och sannolikt lägre kostnader för skador i samband med felaktig läkemedelsanvändning.
SOU 2014:23 Konsekvenser av våra förslag
1087
Reglerna om sammanhållen journalföring i patientdatalagen
(2008:355), förkortad PDL, har gett upphov till tillämpningsproblem. Utredningen lämnar en rad förslag som ska göra regelverket tydligare och lättare att tillämpa. Utredningen bedömer att förslagen kommer att innebära mer ändamålsenliga rutiner i samband med vården av en patient. De förenklingar av de bestämmelser som reglerar sammanhållen journalföring som föreslås kan förenkla både administrativa insatser och det dagliga arbetet i vården. Vidare innebär utredningens förslag att tillämpningsområdet för sammanhållen journalföring minskar jämfört med vad som är fallet idag. Eftersom förutsättningarna för att få utbyta uppgifter genom sammanhållen journalföring är något mer komplicerade än för andra typer av direktåtkomst kan våra förslag därför innebära något mindre administration för vissa vårdgivare.
För den enskilde yrkesutövaren ska det endast vara tillåtet att ta
del av uppgifter om han eller hon behöver uppgifterna för sitt arbete och om uppgifterna ska användas för något av de ändamål som är tillåtna enligt lagen. Vårdgivaren och den som bedriver verksamhet
inom socialtjänsten måste på ett tydligt sätt beskriva för den anställde vilka arbetsuppgifter som han eller hon har och på vilket sätt arbetsgivaren förväntar sig att personuppgifter ska användas i verksamheten. På så vis kan yrkesutövaren känna trygghet i samband med hantering av information i sitt arbete. Utredningen anser att ju tryggare yrkesutövaren kan känna sig vid den dagliga hanteringen av personuppgifter, ju säkrare och effektivare kan verksamheten bedrivas.
Utredningen förslår att det ska framgå av hälso- och sjukvårdsdatalagen att vårdgivaren har det yttersta ansvaret för patient-
journalen. Vårdgivaren ansvarar för att journaler förs i verksam-
heten, för deras innehåll och för att de hanteras och förvaras i enlighet med lag. Vårdgivarens ansvar omfattar att de används på ett sådant sätt att de bidrar till en god och säker vård. Detta är enbart ett förtydligande av vad som redan gäller. Vidare föreslås att signeringskravet tas bort. Den som för journal ansvarar för sina uppgifter och ska enligt utredningens förslag kontrollera att de är korrekta. Något krav på en synlig kvittens som verifierar att kontrollen har gjorts ska dock inte finnas. Signeringskravet, som det är utformat i dag, anses bland annat föra med sig mycket administration i vården. Det återstår att se om det i sig innebär en minskad arbetsbörda att kontrollera sina journalanteckningar utan något krav på särskild signeringsåtgärd.
Konsekvenser av våra förslag SOU 2014:23
1088
Utredningen förslår att vårdgivare under vissa omständigheter ska få utplåna uppenbart felaktiga uppgifter i patientjournalen. Vårdgivaren ska enbart kunna göra detta om det är sannolikt att den uppgift som ska utplånas inte har använts som underlag för bedömningar och ställningstaganden i samband med patientens vård och behandling. Utöver detta ska det krävas att den uppgift som ska tas bort är uppenbart felaktig och att rättelse inte är en tillräcklig åtgärd för att tillgodose skyddet för den registrerades integritet. Vi gör bedömningen att denna nya möjlighet kan innebära mindre administrativa kostnader såväl för vårdgivaren, individen och staten. I stället för att patienten eller någon annan som omnämns i journalen ska ansöka om journalförstöring hos Inspektionen för vård och omsorg kan vårdgivaren snabbt rätta till uppenbara felaktigheter.
Utredningen föreslår förtydliganden i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen som innebär att tillsynsmyndigheten enligt personuppgiftslagen (1998:204) vid sin tillsyn över att dessa lagar följs får besluta om förelägganden och förbud. Utredningen föreslår även att tillsynsmyndigheten får förena sådana
förelägganden och förbud med vite. Om tillsynsmyndigheten vill
förverkliga vitessanktionen måste en ansökan göras hos förvaltningsdomstol om vitets utdömande. Utredningens bedömning är att förslaget inte innebär att domstolarna tillförs något större antal mål. Förslaget kan därför inte förväntas innebära någon betydelsefull ökning av domstolarnas arbetsbörda. I sin tillsyn ska tillsynsmyndighetens i första hand använda sig av påpekanden för att försöka åstadkomma rättelse.
40.3 Konsekvenser för små företags villkor
Vår bedömning: Flera av utredningens förslag syftar till att
reducera de negativa konsekvenserna av det organisatoriska fokus som nuvarande lagstiftning ger uttryck för. Det kommer att ge förutsättningar att bedriva en jämlik vård och omsorg oavsett om verksamheten drivs av en kommun eller ett landsting eller av en privat utförare med offentlig finansiering. Små företag kommer att få i princip samma möjligheter att hantera och utbyta information som de offentliga aktörerna har.
SOU 2014:23 Konsekvenser av våra förslag
1089
Utredningen lämnar flera förslag som syftar till att bryta den nuvarande lagstiftningens fokus och möjliggöra en ändamålsenlig och mer sammanhållen informationshantering, oavsett hur socialtjänsten och hälso- och sjukvården är organiserad. Förutom att det bidrar till att öka möjligheterna till en jämlik vård och omsorg i hela landet, innebär utredningens förslag att förutsättningarna för att hantera och utbyta information är likartade oavsett om en verksamhet drivs privat eller offentligt.
Utredningen föreslår att det under vissa villkor ska vara tillåtet med direktåtkomst mellan olika vårdgivare inom en huvudmans
ansvarsområde. Förslaget innebär att det för alla offentlig-
finansierade verksamheter ska vara tillåtet att utbyta nödvändiga uppgifter om en patient med stöd av samma regler oavsett om verksamheten drivs av kommunen eller landstinget själv eller av en privat vårdgivare. Utredningen gör bedömningen att förslaget innebär att de privata vårdgivarna genom förslaget får samma förutsättningar att delta i samarbetet i en patientsvårdprocess som de offentliga vårdgivarna. Det är från lagstiftarens perspektiv frivilligt för vårdgivarna att delta i samarbetet.
Vidare föreslås möjligheter att utbyta information genom
direktåtkomst mellan olika utförare av socialtjänst. Det gör att en
privat utförare får möjligheter till ett mer ändamålsenligt informationsutbyte i den individinriktade verksamheten.
Vi föreslår även nya möjligheter till direktåtkomst mellan hälso-
och sjukvården och socialtjänsten samt en möjlighet att samarbete
om en gemensam vård- och omsorgsjournal. Även denna möjlighet är frivillig och sätter upp samma villkor oavsett om aktören är offentlig eller privat.
Utredningen föreslår att en privat vårdgivare ska ha en skyldighet
att lämna ut de uppgifter till huvudmannen som behövs för att denne ska kunna leva upp till sitt ansvar som huvudman enligt hälso- och
sjukvårdslagen. Förslaget syftar till att förbättra kommuner och landstings möjligheter att planera, följa upp och kvalitetssäkra den hälso- och sjukvård kommunen eller landstinget har huvudmannaansvaret för. Vi föreslår också motsvarande uppgiftsskyldighet för privata utförare av socialtjänst och LSS-insatser. Vi gör bedömningen att denna uppgiftsskyldighet inte medför några omfattande administrativa kostnader för en privat utförare av hälso- och sjukvård eller socialtjänst.
Utredningen föreslår att huvudmannen ska ansvara för att den vårdgivare som ska ta över en verksamhet som huvudmannen driver
Konsekvenser av våra förslag SOU 2014:23
1090
får tillgång till den vårddokumentation som behövs för att bedriva verksamheten. Vi föreslår även att privata vårdgivare som avser att
upphöra med viss hälso- och sjukvårdsverksamhet ska ansvara för att den vårddokumentation som behövs för att bedriva verksamheten överlämnas till annan vårdgivare som ska överta ansvaret för patientens vård och behandling. Om det inte finns någon annan
vårdgivare som ska ta över ansvaret för patienternas vård och behandling ska den privata vårdgivaren istället överlämna vårddokumentationen till huvudmannen för hälso- och sjukvårdverksamheten i det landsting eller den kommun där verksamheten bedrivits. Vårdgivaren som upphör med en viss verksamhet kan välja mellan att överlämna kopior (elektroniska eller i pappersform) på de uppgifter som är nödvändiga för patientens vård eller att lämna över ansvaret för hela journalarkivet. Detta ansvar ska den privata utföraren kunna ta på flera olika sätt. Om den privata vårdgivaren tillåter andra vårdgivaren direktåtkomst till patientuppgifter enligt de regler som vi föreslår kan den nya vårdgivaren använda direktåtkomsten för att få till gång till nödvändig vårddokumentation. Enligt de bestämmelser som gäller i dag är det i praktiken inte tillåtet att överföra uppgifterna mellan vårdgivare i samband med verksamhetsövergångar utan att inhämta varje patients samtycke. Utredningen gör bedömningen att vårt förslag både ger bättre förutsättningar för kontinuitet i vården och minskar den administrativa bördan för små företagare i samband med verksamhetsövergångar.
40.4 Våra förslag och dataskyddsdirektivet
Inom EU finns, genom dataskyddsdirektivet, en gemensam reglering av skyddet för personuppgifter.
1
Ett grundläggande syfte med
dataskyddsdirektivet är att garantera både en hög skyddsnivå vad gäller enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter och en likvärdig skyddsnivå i alla EU:s medlemsstater. Olika stater ska således inte kunna hindra det fria flödet av personuppgifter mellan dem med hänvisning till enskilda personers fri- och rättigheter. Dataskyddsdirektivet är i svensk rätt införlivat genom personuppgiftslagen (1998:204). Det
1 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).
SOU 2014:23 Konsekvenser av våra förslag
1091
är samtidigt möjligt att meddela avvikande bestämmelser i lag eller förordning som gäller i stället för personuppgiftslagens bestämmelser. Dock under förutsättning att de avvikande bestämmelserna inte strider mot dataskyddsdirektivet. På hälso- och sjukvårdens område kan patientdatalagen, i den mån den avviker från personuppgiftslagen, därmed sägas införliva direktivet. För socialtjänstens del gäller motsvarande för lagen om behandling av personuppgifter i socialtjänsten och den därtill hörande förordningen. Av den anledningen behöver förändringar i någon av dessa regelverk utformas på ett sådant sätt att de inte bedöms strida mot dataskyddsdirektivet.
En utgångspunkt i dataskyddsdirektivet är, enligt artikel 8.1, att det föreligger ett generellt förbud mot behandling av hälsorelaterade personuppgifter. Det gör det också enligt artikel 6 i Europarådets konvention nr 108. Det finns dock undantag från detta principiella förbud, exempelvis i dataskyddsdirektivets artikel 8.3.
Enligt artikel 8.3 får känsliga personuppgifter behandlas om tre villkor samtliga är uppfyllda. Behandlingen av uppgifterna måste för
det första vara nödvändig, för det andra avse förebyggande hälso-
och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård, och för det tredje måste uppgifterna behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt.
I sammanhanget kan nämnas att den s.k. Artikel 29-gruppen har gett ut ett arbetsdokument med riktlinjer för hur dataskyddsdirektivet ska tolkas när det gäller ”elektroniska patientjournaler”.
2
I arbetsdokumentet anförs bl.a. att undantaget i artikel 8.3 ska tillämpas restriktivt.3
Med stöd av artikel 8.4 får medlemsstaterna även göra ytterligare undantag från förbudet mot behandling av känsliga kategorier av personuppgifter. Av artikeln följer att under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse får medlemsstaterna antingen i sin nationella lagstiftning
2 Artikel 29-gruppen består av företrädare för alla medlemsstaternas dataskyddsmyndigheter. Gruppen är rådgivande och oberoende och har till uppgift att se till att dataskyddsdirektivet tillämpas enhetligt i medlemsstaterna. 3 WP 131, Arbetsdokument om behandling av hälsorelaterade personuppgifter i elektroniska
patientjournaler (antaget den 15 februari 2007), s. 11.
Konsekvenser av våra förslag SOU 2014:23
1092
eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag än de som nämns i artikel 8.2. Följande, som sägs i skäl 34 i dataskyddsdirektivets ingress, kan användas vid tolkningen av artikel 8.4.
När det av hänsyn till viktiga allmänna intressen är nödvändigt, måste medlemsstaterna kunna avvika från förbudet mot att behandla känsliga kategorier av uppgifter på sådana områden som exempelvis folkhälsa och socialskydd, särskilt för att säkerställa kvalitet och lönsamhet när det gäller förfaranden som används i samband med ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, i samband med vetenskaplig forskning och i samband med offentlig statistik. Dock åligger det medlemsstaterna att sörja för att det finns lämpliga och konkreta garantier för att skydda enskilda personers grundläggande rättigheter och privatliv.
Frågor om patientdatalagens förenlighet med dataskyddsdirektivet har noga utretts och redovisats av Patientdatautredningen i betänkandet Patientdatalag.
4
Som huvudregel gäller att personuppgifts-
behandling som är tillåten enligt patientdatalagen får utföras även om den enskilde motsätter sig det (jfr 2 kap. 2 § PDL). Bestämmelsen ska enligt förarbetena ses mot bakgrund av artikel 14 a i dataskyddsdirektivet, som föreskriver att den enskilde åtminstone i vissa fall ska garanteras en rätt att motsätta sig en personuppgiftsbehandling, om inte annat föreskrivs i nationell lagstiftning. Även om huvudregeln i patientdatalagen är att personuppgiftsbehandling är tillåten även om den enskilde motsätter sig den, finns det bestämmelser i lagen som ger enskilda en möjlighet att med rättslig verkan motsätta sig viss personuppgiftsbehandling som i och för sig regleras av patientdatalagen.
5
Sådana bestämmelser finns
exempelvis med avseende på personuppgiftsbehandling som innebär att uppgifter görs tillgängliga i system för sammanhållen journalföring eller att uppgifter behandlas i nationella kvalitetsregister. Patientdatautredningen bedömde således att det var förenligt med direktivet att ge patienten en rätt att motsätta sig viss personuppgiftsbehandling. Som stöd för bedömningen anförde utredningen bl.a. följande med avseende på nationella kvalitetsregister.
6
SOU 2014:23 Konsekvenser av våra förslag
1093
När det gäller frågan hur förslaget förhåller sig till dataskyddsdirektivet följer av direktivets artikel 14 a att den registrerade skall tillförsäkras rätten att – bl.a. då personuppgifter får behandlas utan samtycke för att en arbetsuppgift av allmänt intresse skall kunna utföras (artikel 7 e –” … när som helst av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat. När invändningen är berättigad får den behandling som påbörjats av den registeransvarige inte längre avse dessa uppgifter.”) Vi har i avsnitt 8.5.3 föreslagit att det förtydligandet i patientdatalagen att huvudregeln är att personuppgiftsbehandling med stöd av patientdatalagen får utföras även om den enskilde motsätter sig den. Vårt förslag när det gäller nationella och regionala kvalitetsregister är ett undantag från denna huvudregel. Mot bakgrund av bl.a. dataskyddsdirektivets artikel 14 a bedömer vi att undantaget är förenligt med dataskyddsdirektivet. Det torde inte vara nödvändigt att föreskriva någon prövning av huruvida den enskildes invändningar är berättigade eller inte (jfr dataskyddsdirektivets artikel 14 a). Behandlingen gäller i allmänhet uppgifter om hälsa, vilka är känsliga enligt såväl personuppgiftslagen som direktivet. Det bör därmed kunna anses ligga i sakens natur att den registrerade kan ha berättigade skäl att motsätta sig behandlingen.
Vi ansluter oss till patientdatautredningens bedömning ovan och anser att de förslag som utredningen lägger i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen på motsvarande sätt är förenliga med dataskyddsdirektivets bestämmelser.
När den enskilde inte kan ta ställning
På samma sätt anser vi att det är förenligt med dataskyddsdirektivet att i motsvarande situationer, om den enskilde saknar förmåga att ta ställning till personuppgiftsbehandlingen, på andra sätt tillförsäkra den enskilde ett integritetsskydd. Det kan exempelvis, vad gäller personuppgiftsbehandling i nationella kvalitetsregister, handla om att ställa krav på att den enskildes inställning ska klarläggas och vara vägledande. Det kan även handla om att det som framkommer om den enskildes inställning ska beaktas, t.ex. genom att föreskriva att personuppgiftsbehandling som den enskilde uppenbart hade motsatt sig ska vara otillåten. Utredningens bedömning är således att det är förenligt med dataskyddsdirektivet att, som utredningen föreslår i hälso- och sjukvårdsdatalagen, begränsa vårdgivares möjligheter behandla personuppgifter rörande vuxna som inte endast
Konsekvenser av våra förslag SOU 2014:23
1094
tillfälligt saknar förmåga att ta ställning till personuppgiftsbehandling i nationella kvalitetsregister.
Därutöver bedömer vi även att de föreslagna reglerna om direktåtkomst och gemensam vård- och omsorgsjournal rörande personer som inte endast tillfälligt saknar förmåga att ta ställning till personuppgiftsbehandlingen, är förenliga med dataskyddsdirektivet.
Övriga förslag
Till stora delar föreslår utredningen att bestämmelser i de nuvarande regelverken för hälso- och sjukvårdens och socialtjänstens personuppgiftsbehandling överförs till hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen. De förändringar och förtydliganden som utredningen därutöver föreslår är också förenliga med dataskyddsdirektivet.
40.5 Andra konsekvenser
Utredningen har i arbetet med att ta fram och formulera förslag som åstadkommer en ändamålsenlig informationshantering inom och mellan hälso- och sjukvård och socialtjänst särskilt beaktad vad som krävs för att äldre personer, personer med missbruk eller beroenden, personer med psykisk sjukdom och funktionsnedsättning samt barn ska få en god och säker vård och omsorg. Vi bedömer att de förslag vi lämnat ger vården och socialtjänsten bättre möjligheter att tillgodose behoven hos individer som har sammansatta behov av hälso- och sjukvård och socialtjänst. Genom förbättrade förutsättningar för informationsöverföring får aktörerna bättre möjligheter att tillgodose individens behov. När det gäller individer med omfattande behov av insatser är det särskilt viktigt med fungerande samverkan mellan olika aktörer.
Utredningen föreslår att personer med nedsatt beslutsförmåga ska kunna dra nytta av sammanhållen journalföring och kvalitetsregister. I samband med att en patient ska fortsätta att få vård av en annan vårdgivare uppstår inte sällan risker på grund av att överföring av nödvändig information inte fungerar. Detta är en särskild risk för patienter som inte själva kan föra sin information vidare. Sammanhållen journalföring innebär att journalinformation
SOU 2014:23 Konsekvenser av våra förslag
1095
kan överföras mellan olika vårdgivare under säkra former och att informationen kan finnas tillgänglig där den behövs. Sådana risker i vården som beror på att viktig information inte finns tillgänglig kan därför undvikas om sammanhållen journalföring kan användas även för gruppen patienter med nedsatt beslutsförmåga.
Vidare bedömer vi att utredningens förslag om möjligheter att utveckla och säkra kvaliteten i vården även av personer med nedsatt beslutsförmåga kan bidra till såväl ökad kvalitet och patientsäkerhet som kostnadseffektivitet i vården.
Det övergripande syftet med utredningens förslag är alltså att öka säkerheten och kvaliteten i hälso- och sjukvården och socialtjänsten. En säkrare vård och omsorg innebär minskade kostnader för samhället och ökad trygghet för individerna.
Utöver vad som anförts tidigare om att våra förslag generellt ger bättre förutsättningar till en mer jämlik vård och omsorg gör utredningen bedömningen att våra förslag inte har några konsekvenser när det gäller den kommunala självstyrelsen, brottsligheten och det brottsförebyggande arbetet, sysselsättning och offentlig service i olika delar av landet, jämställdheten mellan kvinnor och män eller möjligheten att nå de integrationspolitiska målen.
1097
41 Författningskommentar
41.1 Förslag till hälso- och sjukvårdsdatalag
1 kap. Lagens tillämpningsområde m.m.
Lagens innehåll
1 §
Paragrafen är ny och utgör en översiktlig beskrivning av vilka områden som lagen reglerar. Den har behandlats i avsnitt 7.2.2.
2 §
Paragrafen, som behandlas i avsnitt 7.2.2, redogör för lagens struktur och syftar till att ge en överblick över de olika kapitlens innehåll.
Lagens tillämpningsområde
3 §
Paragrafen, som har behandlats i avsnitt 7.2.2, anger i första stycket hälso- och sjukvårdsdatalagens tillämpningsområde. Paragrafen motsvarar i sak 1 kap. 1 § patientdatalagen (2008:355), förkortad PDL, förutom tillägget att lagen i tillämpliga delar också ska gälla huvudmans behandling av personuppgifter. Det innebär exempelvis att de grundläggande ändamålsbestämmelserna i 2 kap. och bestämmelserna i samma kapitel om vilka personuppgifter som får behandlas samt om sökbegrepp även gäller vid en huvudmans behandling av personuppgifter inom hälso- och sjukvården. Vidare gäller bestämmelserna i 4 kap. om inre sekretess, behörighetsstyrning och åtkomstkontroll i samma utsträckning också för en huvudman.
Lagen ska tillämpas vid behandling av personuppgifter inom hälso- och sjukvården. Det innebär att den är tillämplig i en vårdgi-
Författningskommentar SOU 2014:23
1098
vares kärnverksamhet; alltså då vårdgivaren tillhandahåller hälso- och sjukvård respektive tandvård åt patienter. Till kärnverksamheten räknas bl.a. administration och utveckling av verksamheten, se närmare om detta i 2 kap. 5 §, 8 kap. 9 § samt 10 kap. 7 § om för vilka ändamål som personuppgiftsbehandling får äga rum.
Vårdgivare och andra centrala begrepp i hälso- och sjukvårdsdatalagen definieras i 5 §. Förutom landsting och kommuner finns det privata vårdgivare som tillhandahåller hälso- och sjukvård. Hälso- och sjukvård förekommer också hos statliga myndigheter som t.ex. Kriminalvården och Totalförsvarets pliktverk.
Till kärnverksamheten hör åtgärder för att förebygga, utreda och behandla sjukdomar och skador hos människor vare sig den verksamheten utförs enligt hälso- och sjukvårdslagen (1982:763), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1944:133) om kastrering, lagen (1972:119) om fastställande av könstillhörighet i vissa fall eller enligt lagen (2006:351) om genetisk integritet m.m. Även när en vårdgivare behandlar personuppgifter i annan närliggande patientverksamhet som insemination, abort, sterilisering, omskärelse, transplantationsingrepp på givare och blodgivning m.m. ska hälso- och sjukvårdsdatalagen tillämpas.
Personuppgiftsbehandling för den rent administrativa verksamheten utan direkt koppling till patientverksamheten – t.ex. personaladministration – faller dock utanför lagens tillämpningsområde. Detsamma gäller forskning, såvida det inte är fråga om en vårdgivares s.k. patientnära eller kliniska forskning som innefattar patientjournalföring eller annan dokumentation som hör till vården. Inte heller är hälso- och sjukvårdsdatalagen tillämplig vid utbildning t.ex. av blivande läkare och sjuksköterskor. I den del dessa deltar i den faktiska patientvården är lagen dock tillämplig.
Hälso- och sjukvårdsdatalagen ska inte tillämpas av sådana myndigheter som agerar inom hälso- och sjukvårdssektorn men som inte bedriver patientvård, som t.ex. Socialstyrelsen, Läkemedelsverket, Smittskyddsinstitutet och Hälso- och sjukvårdens ansvarsnämnd. Även verksamhet vid sjukvårdshuvudmännens läkemedelskommittéer och patientnämnder faller utanför lagens tillämpningsområde.
Av andra stycket framgår att vissa bestämmelser i hälso- och sjukvårdsdatalagen kan bli tillämpliga när det gäller avlidna personer. Bestämmelser som ska tillämpas på avlidna är sådana som avser
SOU 2014:23 Författningskommentar
1099
ändamål, sökbegrepp och åtkomst till uppgifter om avlidna. Däremot är lagens bestämmelser om samtycke inte tillämpliga på avlidna.
Förarbeten till paragrafen finns i prop. 2007/08:126, s. 48 f. och 222 f.
Lagens syfte
4 §
Paragrafen som anger lagens syfte motsvarar i vissa delar syftesbestämmelsen i 1 kap. 2 § patientdatalagen. Syftesparagrafen har behandlats i avsnitt 7.2.3.
I första stycket slås fast att lagen ska främja en informationshantering som tillgodoser god kvalitet, patientsäkerhet och kostnadseffektivitet i hälso- och sjukvården. Bestämmelsen ger uttryck för att lagens syfte är att främja en god, säker och kostnadseffektiv vård. Genom att vårdgivare och yrkesutövare följer lagen ska hälso- och sjukvården bli säkrare för patienten. Patientsäkerhet innefattar i hälso- och sjukvårdsdatalagens mening både skydd mot vårdsskada och skydd för den personliga integriteten.
Lagens syfte förtydligas ytterligare i paragrafens andra stycke, som specificerar att lagen syftar till att tillgodose både att nödvändiga uppgifter finns tillgängliga för behöriga och att skydda uppgifterna från obehörig åtkomst. Första punkten är ny. Den uttrycker att lagen syftar till att främja att nödvändiga uppgifter finns tillgängliga på ett ändamålsenligt sätt för den som arbetar i hälso- och sjukvården. Rätt information ska finnas tillgänglig för rätt person i rätt tid.
I andra stycket andra punkten anges att personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Det fanns motsvarande paragraf i 4 § patientjournallagen (1985:562) och 1 kap. 2 § 2 st. PDL. Bestämmelsen avser inte bara journalföring utan utformning och övrig behandling av personuppgifter inom all verksamhet som regleras av hälso- och sjukvårdsdatalagen. Det är inte bara är patientens integritet som ska respekteras. Hänsyn ska också tas till andra personer, exempelvis anhöriga, om vilka det kan finnas uppgifter hos hälso- och sjukvården.
Förarbeten till första stycket och andra stycket 2 p. finns i prop. 2007/08:126 s. 223.
Författningskommentar SOU 2014:23
1100
Definitioner
5 §
Paragrafen innehåller definitioner av i hälso- och sjukvårdsdatalagen viktiga begrepp.
Begreppen hälso- och sjukvård, journalhandling och patientjour-
nal överensstämmer med hur de definieras i patientdatalagen. För-
arbeten finns i prop. 2007/08:126 s. 49 f. och 224.
Innebörden av begreppen huvudman, informationssystem, kvalitetsregister, nationella och regionala kvalitetsregister, vårddokumentation, vårdgivare och sammanhållen journalföring behandlas närmare i avsnitt 7.2.4.
Förhållande till personuppgiftslagen och tillsynsmyndighetens befogenheter
6 §
I paragrafens första stycke, som behandlas i avsnitt 7.2.2, anges förhållandet mellan personuppgiftslagen (1998:204), förkortad PUL, och hälso- och sjukvårdsdatalagen på så sätt att personuppgiftslagen gäller vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier om inget annat sägs i patientdatalagen eller i föreskrifter som meddelats med stöd av denna lag. Hälso- och sjukvårdsdatalagen innehåller enbart de särbestämmelser och förtydliganden som det bedömts föreligga behov av. I övrigt ska personuppgiftslagen tillämpas. Följaktligen kan åtskilliga bestämmelser i personuppgiftslagen bli tillämpliga vid personuppgiftsbehandling inom hälso- och sjukvården. Det innebär exempelvis att de begrepp som används i hälso- och sjukvårdsdatalagen, t.ex. ”behandling” av personuppgifter och ”personuppgifter” har den innebörd som framgår av definitioner i 3 § PUL. Hälso- och sjukvårdsdatalagen ska dock i tillämpliga delar gälla uppgifter om avlidna personer, se 3 §.
I patientdatalagen finns motsvarande paragraf om förhållandet till personuppgiftslagen. Förarbeten till den bestämmelsen finns i prop. 2007/08:126 s. 52 och 225.
SOU 2014:23 Författningskommentar
1101
Andra och tredje styckena är nya och har behandlats i avsnitt
37.4. Datainspektionen får vid tillsyn enligt hälso- och sjukvårdsdatalagen förena förelägganden och förbud med vite. Denna bestämmelse innebär inget undantag från vad som gäller enligt personuppgiftslagen om hur myndigheten ska använda sina befogenheter. Tillsynsmyndigheten ska i första hand försöka åstadkomma rättelse genom påpekanden eller liknande förfaranden. Det förutsätts i förarbetena (prop. 2007/08:126 s. 216) till patientdatalagen att Datainspektionen och Inspektionen för vård och omsorg ska samverka i tillsynsfrågor.
2 kap. Grundläggande bestämmelser om behandling av personuppgifter
Kapitlets tillämpningsområde
1 §
Paragrafen överensstämmer med 2 kap. 1 § patientdatalagen och har behandlats i prop. 2007/08:126 s. 226. Enligt paragrafen, som har behandlats i avsnitt 8.2.1, ska vissa grundläggande bestämmelser om personuppgiftsbehandling – nämligen bestämmelser om den enskildes inställning till personuppgiftsbehandling, ändamål för personuppgiftsbehandlingen, personuppgiftsansvar, personuppgifter som får behandlas och sökbegrepp – som finns intagna i detta kapitel tillämpas vid sådan behandling av personuppgifter som är helt eller delvis automatiserad. Bestämmelserna ska tillämpas inte bara på personuppgiftsbehandling i särskilda register eller databaser utan omfattar all helt eller delvis automatiserad behandling av personuppgifter som förekommer inom hälso- och sjukvården. Bestämmelserna ska vidare tillämpas på viss manuell behandling i register, nämligen om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Förhållandet till personuppgiftslagen behandlas i 1 kap. 6 § hälso- och sjukvårdsdatalagen, se författningskommentaren till sistnämnda bestämmelse.
Författningskommentar SOU 2014:23
1102
Personuppgiftsansvar
2 §
Paragrafen har behandlats i avsnitt 8.2.2 och motsvarar till stora delar nuvarande bestämmelse i 2 kap. 6 § patientdatalagen. Enligt
första stycket är en vårdgivare ansvarig för den behandling av
personuppgifter som vårdgivaren utför. Med detta menas den personuppgiftsbehandling som görs inom ramen för vårdgivarens verksamhet och som vårdgivaren ansvarar för. Av definitionen av begreppet vårdgivare i 1 kap. 5 § framgår, när det gäller den hälso- och sjukvård som landstingen och kommunerna bedriver, att med vårdgivare avses den juridiska personen som sådan, dvs. landstinget och kommunen, inte den eller de myndigheter inom landstinget och kommunen som bedriver hälso- och sjukvård. Enligt denna paragraf är det dock inte landstinget eller kommunen som är personuppgiftsansvarig. I stället är det den myndighet, nämnd, som behandlar personuppgifterna som är personuppgiftsansvarig. Sådan myndighet omfattar också sådana kommunala företag som avses i 2 kap. 3 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, dvs. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande. När det gäller den enskilda hälso- och sjukvården avses med vårdgivare inte den enskilde yrkesutövaren utan den juridiska eller fysiska person som bedriver hälso- och sjukvårdsverksamheten.
Av andra stycket, som endast avser att utgöra ett förtydligande av personuppgiftsansvaret enligt vad som gäller enligt första stycket, framgår att ansvaret omfattar sådana åtgärder som en vårdgivare eller myndighet inom ett landsting eller en kommun som ansvarar för hälso- och sjukvården vidtar i samband med att vårdgivaren eller myndigheten i enskilda fall utnyttjar sin möjlighet att via direktåtkomst söka bland och läsa uppgifter i sådan vårddokumentation som andra vårdgivare, eller andra myndigheter är ansvariga för. Bestämmelsen är tillämplig på behandling av personuppgifter vid användning av alla former av direktåtkomst enligt denna lag.
I tredje stycket, som är nytt i jämförelse med patientdatalagen, regleras att hos en huvudman är den myndighet som ansvarar för att erbjuda vård enligt hälso- och sjukvårdslagen (1982:763), förkortad HSL, personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt hälso- och sjukvårdsdatalagen.
SOU 2014:23 Författningskommentar
1103
Av fjärde stycket framgår att det finns särskilda bestämmelser om personuppgiftsansvar vid personuppgiftsbehandling i nationella och regionala kvalitetsregister, 10 kap. 2 och 3 §§.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 61 f. och 230.
Den enskildes inställning till personuppgiftsbehandlingen
3 §
Paragrafen har behandlats i avsnitt 8.2.1 och överensstämmer i sak med 2 kap. 2 § patientdatalagen. Enligt paragrafen får som huvudregel personuppgiftsbehandling, som är tillåten enligt hälso- och sjukvårdsdatalagen, utföras även om den enskilde motsätter sig den. Bestämmelsen ska ses mot bakgrund av artikel 14 a dataskyddsdirektivet, som föreskriver att den enskilde åtminstone i vissa fall ska garanteras en rätt att motsätta sig en personuppgiftsbehandling, om inte annat föreskrivs i nationell lagstiftning. Här föreskrivs alltså som huvudregel i första stycket första meningen att personuppgiftsbehandling enligt hälso- och sjukvårdsdatalagen är tillåten även om den enskilde motsätter sig den. Av paragrafen framgår dock att det kan finnas bestämmelser som ger enskilda en möjlighet att med rättslig verkan motsätta sig en personuppgiftsbehandling som i och för sig regleras av hälso- och sjukvårdsdatalagen. I första stycket andra meningen görs en uttömmande uppräkning av sådana bestämmelser i lagen.
I 7 kap. finns bestämmelser om att en patient har möjlighet att begränsa hälso- och sjukvårdspersonalens elektroniska åtkomst till uppgifter om patienten (inre sekretess). Av 8 kap. framgår att en patient har inflytande över om uppgifter om patienten ska vara tillgängliga vid sammanhållen journalföring. I 9 kap. finns bestämmelser som ger den enskilde inflytande över direktåtkomst mellan hälso- och sjukvård och socialtjänst. I 10 kap. 4 och 5 §§ föreskrivs att en patient kan motsätta sig att uppgifter om patienten behandlas i ett nationellt eller regionalt kvalitetsregister. Ytterligare exempel på bestämmelser om att en enskild kan motsätta sig personuppgiftsbehandling finns i förordningen (2008:363) om provtagning för hivinfektion. Enligt förordningen ska föreskriften i nu gällande 3 kap. 6 § andra stycket 1 patientdatalagen om identitetsuppgifter i en patientjournal inte tillämpas i samband med provtagning för hivinfektion, om patienten begär att sådant prov tas anonymt.
Författningskommentar SOU 2014:23
1104
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 64 f. och 226 f.
4 §
Paragrafen har behandlats i avsnitt 8.2.1 och överensstämmer i sak med 2 kap. 3 § patientdatalagen. Första stycket innebär ett klargörande av att även sådan personuppgiftsbehandling som i och för sig inte är tillåten enligt hälso- och sjukvårdsdatalagen får genomföras om den enskilde uttryckligen har samtyckt till det och inte annat följer av 8 kap. 11 § hälso- och sjukvårdsdatalagen eller av annan lag eller av förordning. Paragrafen kan sägas ge uttryck för principen att en enskilds uttryckliga samtycke till en viss personuppgiftsbehandling normalt ska respekteras. Huvudregeln i denna paragraf innebär således exempelvis att personuppgifter kan samlas in och behandlas för ett ändamål som inte anges i hälso- och sjukvårdsdatalagens ändamålsbestämning, se 5 §, om den enskilde har lämnat ett uttryckligt samtycke till detta. Något skriftligt samtycke från den enskilde fordras i och för sig inte, men det kan många gånger vara lämpligt att ha ett sådant för att förebygga eventuella framtida tvister. Huvudregeln gäller dock inte om annat framgår av hälso- och sjukvårdsdatalagen, annan lag eller förordning. I andra meningen erinras om en sådan bestämmelse i hälso- och sjukvårdsdatalagen. Bestämmelsen i 8 kap. 11 § hälso- och sjukvårdsdatalagen anger att en patient inte kan samtycka till att den som arbetar hos en vårdgivare får bereda sig tillgång till personuppgifter som är tillgängliga genom sammanhållen journalföring annat än under de förutsättningar som anges i 8 kap. 8, 9 och 10 §§.
Enligt andra stycket får regeringen meddela ytterligare undantag som upphäver verkan av den enskildes samtycke till personuppgiftsbehandling i strid mot hälso- och sjukvårdsdatalagen.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 66 och 227.
Ändamål med personuppgiftsbehandlingen
5 §
I jämförelse med 2 kap. 4 § patientdatalagen har paragrafen ändrats endast på så vis att en ny första punkt och att nya bestämmelser i andra och tredje stycket har införts. Bestämmelsen har behandlats
SOU 2014:23 Författningskommentar
1105
utförligare i avsnitt 8.2.4 och ska tillämpas av vårdgivare. Vidare ska bestämmelsen tillämpas på en huvudmans behandling av personuppgifter i hälso- och sjukvården. I paragrafens första stycke anges de primära ändamålen, alltså sådana ändamål som tar sikte på den egentliga kärnverksamheten inom hälso- och sjukvården. De primära ändamålen beskriver personuppgiftsbehandlingar som normalt äger rum i varje vårdgivares verksamhet. De angivna ändamålen avser inte bara den individinriktade hälso- och sjukvårdsverksamheten utan också sådana särskilda ändamål som faller vid sidan av den individinriktade verksamheten. Syftet med att ange ändamål är att slå fast en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas. Utgångspunkten är således att endast sådan personuppgiftsbehandling får äga rum som inryms i något eller några av de uppräknade ändamålen, se dock 6 §. Inom denna ram måste vårdgivaren i allmänhet bestämma mer konkreta och preciserade ändamål. Det följer av 9 § första stycket c PUL om att ändamålen ska vara särskilda. Hur långt konkretionen och preciseringen ska sträcka sig får bedömas från fall till fall. Det är naturligtvis skillnad om ett enda gemensamt journal- och patientadministrativt system införs eller om ett tillfälligt uppföljningsregister inrättas. I det sistnämnda fallet bör uttryckligen bestämmas att registret får användas endast som underlag för den aktuella uppföljningen.
Första punkten är ny, men innebär enbart ett förtydligande av
vad som redan anses följa av ändamålsbestämmelsen i patientdatalagen. De punkter i paragrafen som beskriver att det är tillåtet att behandla uppgifter för ändamålet vårddokumentation anses innebära att uppgifter får behandlas för den individinriktade hälso- och sjukvårdsverksamheten även om behandlingen av uppgifter enbart består i att en yrkesutövare tar del av redan dokumenterade uppgifter. I förtydligande syfte uttrycks i första punkten att en vårdgivare får behandla personuppgifter för att förebygga, utreda eller behandla sjukdomar och skador hos patienter.
De ändamål som anges i punkterna 2 och 3 kan beskrivas som
vårddokumentation. Att ändamålen tas upp i två punkter och inte i
en enda har ingen saklig betydelse. Det är enbart av språkliga skäl som uppdelningen i två punkter har gjorts. Båda punkterna tar sikte på den individinriktade patientverksamheten. En viktig bas i denna informationshantering är patientjournalhanteringen och den administration som behövs av patientvården. Med administration i punkt 2 avses såväl patientrelaterad ekonomiadministration som
Författningskommentar SOU 2014:23
1106
annan administration som behövs för eller föranleds av vård i enskilda fall. Begreppet vårddokumentation har definierats i 1 kap. 5 § som personuppgifter som behandlas för ändamålen i punkterna 1 och 2. Flera bestämmelser i hälso- och sjukvårdsdatalagen är knutna till ändamålet vårddokumentation, se t.ex. 3 kap. 5 §.
Punkt 4 avser annan dokumentation än vårddokumentation som
hälso- och sjukvården är skyldig att utföra enligt olika författningar. Ett exempel på detta är dokumentation enligt bestämmelsen om rapporteringsskyldighet (lex Maria) till vårdgivare i 6 kap. 4 § patientsäkerhetslagen (2010:659), förkortad PSL. Det finns vidare en rad författningar som föreskriver att hälso- och sjukvården ska lämna ut uppgifter till olika myndigheter. I allmänhet rör det sig här om utlämnande av uppgifter som primärt har samlats in som vårddokumentation. Uppgifterna kan då normalt tillhandahållas utan någon föregående bearbetning av dem. I dessa fall handlar det endast om en behandling för det ändamål som anges i 6 §, alltså behandling för att fullgöra uppgiftslämnande som görs i överensstämmelse med lag eller förordning. Ibland kan uppgiftsskyldigheten förutsätta en viss särskild personuppgiftsbehandling där dokumentationen utformas utifrån hur uppgiftsskyldigheten ska fullgöras. I sådana fall är det inte fråga om en ren ”återanvändning” av redan insamlade personuppgifter. Personuppgiftsbehandling av nu beskrivet slag kan bli aktuell exempelvis då uppgiftsskyldighet ska fullgöras enligt 14 kap. 1 § socialtjänstlagen (2001:453), förkortad SoL, samt 4 och 6 §§ förordningen (2001:707) om patientregister hos Socialstyrelsen.
Punkten 5 avser kvalitetssäkring. Kravet på hälso- och sjukvår-
den att kvalitetssäkra framgår av 31 § HSL, som föreskriver att kvaliteten inom hälso- och sjukvården systematiskt och fortlöpande ska utvecklas och säkras. I 16 § tandvårdslagen finns en motsvarande bestämmelse om kvalitetssäkring när det gäller tandvården. Att kvalitetssäkring tas upp som en särskild punkt beror bl.a. på den centrala roll som kvalitetssäkringsarbetet har inom hälso- och sjukvården. Kvalitetssäkringsarbete kan göras i många former och med olika metoder. En speciell form är verksamheten med hälso- och sjukvårdens kvalitetsregister.
Punkten 6 innebär att den personuppgiftsansvarige fortlöpande
eller vid särskilda tillfällen kan administrera, planera, följa upp, utvärdera och utöva tillsyn av verksamheten på olika nivåer. Den administration och planering som avses här görs på ett mer övergripande plan än vad som avses med den patientadministration som
SOU 2014:23 Författningskommentar
1107
omfattas av ändamålet vårddokumentation (punkterna 2 och 3). Punkten 6 gör det möjligt för hälso- och sjukvården att bedriva verksamhetsuppföljning med individuppgifter. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestämts för denna. Personuppgiftsbehandling får också förekomma för att vård-givaren ska kunna bedriva tillsyn av sin verksamhet.
Enligt punkten 7 får personuppgifter behandlas för statistikändamål. Här åsyftas inte s.k. verksamhetsstatistik, som ryms inom ändamålet i punkt 6, utan annan statistik, exempelvis sådan som landstingen tar fram för att informera befolkningen om hälso- och sjukvårdsverksamheten.
Inget hinder möter mot att samköra personuppgifter i olika register eller datasystem inom hälso- och sjukvården, om samkörningen görs för något eller några av de ändamål som anges i paragrafen. Detsamma gäller om samkörningen görs för ändamål som inte är oförenliga med de ändamål som anges i första stycket, se 6 §.
Andra stycket är nytt. Bestämmelsen har behandlats i avsnitt
8.2.5. Det är ett tillåtet ändamål att behandla personuppgifter för att antalsberäkna möjliga deltagare för forskning inom hälso- och sjukvården. Det är även tillåtet att behandla personuppgifter för att identifiera möjliga deltagare som kan erbjudas medverkan i sådan forskning, under förutsättning att den aktuella studien är godkänd av regional eller central etikprövningsnämnd. I tredje stycket anges under vilka villkor som en personuppgiftsbehandling enligt andra stycket får genomföras. En sådan behandling är enbart tillåten om vårdgivaren tagit fram och infört närmare riktlinjer som anger hur personuppgiftsbehandlingen ska utföras för att skydda de registrerades personliga integritet. I fjärde stycket erinras om att det finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i samband med sammanhållen journalföring och i nationella och regionala kvalitetsregister, se 8 kap. 9 § samt 10 kap. 7 och 8 §§. Förarbeten till motsvarande bestämmelse om tillåtna ändamål för behandling av personuppgifter i patientdatalagen finns i prop. 2007/08:126 s. 55 f. och 227 f.
6 §
Paragrafen har behandlats i avsnitt 8.2.4 och överensstämmer med 2 kap. 5 § patientdatalagen. Paragrafen reglerar till en början sådant utlämnande av personuppgifter som redan finns i verksamheten
Författningskommentar SOU 2014:23
1108
därför att de har samlats in för primära ändamål, vanligtvis för vårddokumentation. Sådant uppgiftslämnande kan göras med stöd av 10 kap. 28 § OSL som föreskriver att sekretess inte hindrar att uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Ett annat exempel är 25 kap. 12 § OSL, som bl.a. tillåter myndigheter inom hälso- och sjukvården att under vissa förutsättningar lämna ut personuppgifter till andra myndigheter. Här kan också nämnas 6 kap. 5 § OSL, som innebär att en myndighet på begäran av en annan myndighet ska lämna ut uppgift som den förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Vidare finns i patientsäkerhetslagen bestämmelser om utlämnande av uppgifter, se 6 kap. 12 och 13 §§. Självklart ska bestämmelserna i 2 kap. tryckfrihetsförordningen om skyldigheten att lämna ut allmänna handlingar tillämpas före hälso- och sjukvårdsdatalagen, se 8 § PUL.
I paragrafen klargörs vidare genom en uttrycklig hänvisning till personuppgiftslagen att den s.k. finalitetsprincipen gäller även vid personuppgiftsbehandling enligt hälso- och sjukvårdsdatalagen. Att finalitetsprincipen är tillämplig innebär att personuppgifter som redan finns i hälso- och sjukvårdsverksamheten får behandlas för andra ändamål än dem för vilka de har samlats in under förutsättning att de nya ändamålen är förenliga med de tidigare ändamålen.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 59 f. och 229.
Personuppgifter som får behandlas
7 §
Paragrafen har behandlats i avsnitt 8.2.1 och överensstämmer med 2 kap. 7 § patientdatalagen. Enligt paragrafen får endast sådana personuppgifter som behövs för ändamål som anges i 5 § samlas in och vidare behandlas med stöd av hälso- och sjukvårdsdatalagen. Alla personuppgifter som behövs för det ändamål för vilket en behandling utförs får alltså behandlas. Kravet på att personuppgifterna ska behövas för att få behandlas innebär att endast sådana uppgifter som behövs för att uppfylla de aktuella ändamålen med personuppgiftsbehandlingen får behandlas. Uppgifter som inte behövs för ändamålen får alltså inte behandlas. De personuppgifter som får behandlas enligt paragrafen gäller även sådana
SOU 2014:23 Författningskommentar
1109
personuppgiftskategorier som särregleras i PUL, dvs. känsliga personuppgifter, 13 §, personuppgifter om lagöverträdelser m.m. 21 § och uppgifter om personnummer, 22 §. I paragrafen nämns särskilt sådana personuppgifter som avses i 21 § PUL. Syftet med detta är att klargöra att uppgifter som avses i 21 § PUL endast får behandlas om det är absolut nödvändigt för ett sådant ändamål som avses i 2 kap. 5 § hälso- och sjukvårdsdatalagen. Syftet är också att reglera att även en privat vårdgivare ska kunna behandla personuppgifter av detta slag under förutsättning att det är absolut nödvändigt för ett sådant ändamål.
När det gäller frågan vilka personuppgifter som får behandlas måste även personuppgiftslagens grundläggande krav på att personuppgifterna ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen iakttas. Kraven innebär också att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen samt att personuppgifter som behandlas ska vara riktiga och, om nödvändigt, aktuella, se 9 § e-g PUL. Ovidkommande eller onödigt många personuppgifter i förhållande till ändamålen får alltså inte behandlas. Inte heller får uppgifter som direkt pekar ut enskilda, t.ex. personnummer, användas om det är tillräckligt för ändamålet att använda uppgifter som bara indirekt kan härledas till en viss person.
Särskilt viktig är bestämmelsen i personuppgiftslagen att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen vid sammanhållen journalföring, som innebär att en vårdgivare under vissa förutsättningar har direktåtkomst till andra vårdgivares vårddokumentation, se 8 kap. Konstruktionen med direktåtkomst vid sammanhållen journalföring innebär att det normalt inte ska vara nödvändigt att ladda ner kopior av andra vårdgivares journalhandlingar och bifoga dem till den egna journalföringen. Om en sådan nedladdning och lagring inte bedöms som nödvändig, är den inte tillåten på grund av den aktuella bestämmelsen i personuppgiftslagen. Begreppen ”behövs” i förevarande paragraf och ”nödvändig” i personuppgiftslagen har i huvudsak samma innebörd. Om bevarande och gallring vid sammanhållen journalföring se 12 kap. 2 § hälso- och sjukvårdsdatalagen.
Bestämmelsen ska även tillämpas vid en huvudmans behandling av personuppgifter inom hälso- och sjukvården.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 63 och 230 f.
Författningskommentar SOU 2014:23
1110
Sökbegrepp
8 §
Paragrafen motsvarar i huvudsak 2 kap. 8 § patientdatalagen. Den språkliga utformningen har ändrats och en sökbegränsning har tagits bort i den nya paragrafen. Ändringen har behandlats i avsnitt 8.2.3. I första stycket anges att uppgifter som avslöjar ras etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter sexualliv inte får användas som sökbegrepp. Förbjudna sökbegrepp är vidare personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövande, se 21 § PUL. Inte heller får uppgifter om att någon varit föremål för åtgärder enligt utlänningslagen (2005:716) användas som sökbegrepp. Med sökbegrepp brukar man i den s.k. registerlagstiftningen avse begrepp som används som urvalskriterier för att söka fram handlingar som innehåller det aktuella begreppet eller för att med begreppet som utgångspunkt göra sammanställningar av olika slag.
I hälso- och sjukvårdsdatalagen ska det inte längre vara otillåtet att som sökbegrepp använda uppgift om någon har fått bistånd eller varit föremål för andra insatser inom socialtjänsten. De krav på samverkan som finns mellan hälso- och sjukvården och socialtjänsten samt de förbättrade möjligheter för sådan samverkan som hälso- och sjukvårdsdatalagen reglerar medför att vårdgivare kan behöva använda uppgifter om att någon har insatser inom socialtjänsten som sökbegrepp.
I andra stycket föreskrivs ett undantag från förbudet i första stycket. Det är trots detta förbud tillåtet att som sökbegrepp använda uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.
Det finns således inget förbud mot att som sökbegrepp använda uppgifter som rör hälsa. Uppgifter som rör hälsa kan behöva användas som sökbegrepp för att man snabbt och effektivt ska kunna finna relevanta journalanteckningar från en patients tidigare vårdtillfällen. Förutom i det individinriktade arbetet kan det vid t.ex. verksamhetsuppföljningar vara nödvändigt att göra sammanställningar utifrån sökkriterier som diagnoser och liknande. I sådana sammanhang kan det också vara nödvändigt att som sökbegrepp använda uppgifter om frihetsberövande inom psykiatrin och
SOU 2014:23 Författningskommentar
1111
inom rättspsykiatrin. Även vid verksamhetsplanering – t.ex. då man undersöker framtida tillströmningar av olika patientkategorier – kan det vara nödvändigt att använda sökbegrepp som rör hälsa.
Enligt tredje stycket får regeringen, trots förbudet i första stycket, meddela föreskrifter om att en vårdgivare får använda uppgifter om etnicitet eller uppgifter av betydelse för smittskyddet eller uppgifter om att någon varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar. Bakgrunden till att etnicitet ska kunna få användas som sökbegrepp är att t.ex. en enskild vårdgivare kan behöva planera, utföra och följa upp hälso- och sjukvård som en del invandrargrupper behöver. Behov kan också uppstå att använda uppgifter av betydelse för smittskyddet som sökbegrepp. Sammanställningar som grundar sig på åtgärder enligt utlänningslagen kan behöva göras för att landstingen ska kunna begära ersättning av staten för vårdinsatser åt asylsökande m.fl. enligt förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande eller förordningen (2002:1118) om statlig ersättning för asylsökande m.fl.
Bestämmelsen om sökbegrepp ska även tillämpas vid en huvudmans behandling av personuppgifter i hälso-och sjukvården.
Förarbeten till motsvarande bestämmelse i patientdatalgen finns i prop. 2007/08:126 s. 67 f. och 231 f.
Överenskommelse om informationssäkerhet
9 §
Paragrafen är ny och har behandlats i avsnitt 10.4.1. Vårdgivare som medger andra vårdgivare direktåtkomst enligt 6 kap. eller 8 kap. eller på annat sätt samarbetar med andra vårdgivare vid behandling av personuppgifter enligt denna lag, ska enligt första
stycket genom en överenskommelse fastställa hur informations-
säkerhet och skyddet för personuppgifterna ska tillgodoses. En sådan överenskommelse ska föregås av att vårdgivaren gör en risk- och sårbarhetsanalys rörande de samverkande vårdgivarnas organisatoriska och tekniska förutsättningar att skydda personuppgifterna. Risk- och sårbarhetsanalysen ska därmed utgöra en grund för överenskommelsens innehåll och omfattning. Risk- och sårbarhetsanalysen och överenskommelsen ska göras innan samarbetet inleds.
Författningskommentar SOU 2014:23
1112
Av andra stycket framgår att det av överenskommelsen ska framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder. Både för de registrerade och för de samverkande vårdgivarna är det viktigt att det är tydligt hur det övergripande ansvaret för att exempelvis styra, förvalta, utveckla, uppgradera eller avveckla centrala tjänster och säkerhetsfunktioner är fördelat.
3 kap. Patientjournalen
Inledande bestämmelser
1 §
Paragrafen, som är ny, har behandlats i avsnitt 12.4.1. Den inleder kapitlet med materiella bestämmelser om journalföring. För att underlätta för den som ska tillämpa bestämmelserna inleds kapitlet med en definition av begreppet patientjournal.
Syftet med en patientjournal
2 §
Paragrafen, som i huvudsak överensstämmer med 3 kap. 2 § patientdatalagen, beskriver syftet med att föra patientjournal. Den har behandlats i avsnitt 12.4.3. Undervisning och utbildning anges som ytterligare ett syfte i bestämmelsen i jämförelse med motsvarande bestämmelse i patientdatalagen. Patientjournalen ska även kunna användas som informationskälla i samband med undervisning och utbildning. Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 88 f. och 233.
En vårdgivares ansvar för patientjournalen
3 §
Paragrafens första mening överensstämmer i stort sett med 3 kap. 1 § patientdatalagen och 1 § patientjournallagen. Bestämmelsen, som behandlas i avsnitt 12.4.6, tydliggör vårdgivarens ansvar för att se till att det förs patientjournal vid vård av patienter. Detta är en grundläggande skyldigheten för vårdgivaren En enskild person anses vara patient när hon eller han har kontakt med hälso- och
SOU 2014:23 Författningskommentar
1113
sjukvården. Journalföringsplikten omfattar alltså individinriktad hälso- och sjukvård. Med hälso- och sjukvård avses enligt 1 § HSL åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Till hälso- och sjukvård hör även sjuktransporter samt att ta hand om avlidna.
Vårdgivaren har det yttersta ansvaret för att se till att hälso- och sjukvårdpersonalen och andra som deltar i vården av patienten för patientjournal enligt de rutiner som gäller för det i verksamheten.
Förarbeten till motsvarande bestämmelser i patientjournallagen respektive patientdatalagen finns i prop. 1984/95:189 s. 36 f. och prop. 2007/08:126 s. 90 f.
Paragrafens andra mening överensstämmer i huvudsak med 3 kap. 9 § PDL och 3 § patientjournallagen. Den har ändrats endast på så vis att ordet antecknas har tagit bort. I bestämmelsen används det teknikneutrala begreppet föra in uppgifter i stället för ordet anteckna. Med hänsyn till säkerheten i vården är det nödvändigt att viktiga uppgifter som ska journalföras förs in i journalen så snart som möjligt. Uppgifterna behöver finnas snabbt tillgängliga för den som ska ge vård och behandling i nästa steg i patientens vårdprocess. Det är vårdgivaren som ansvarar för att detta skyndsamhetskrav upprätthålls i verksamheten.
Förarbeten till motsvarande bestämmelse i patientjournallagen finns i prop. 1984/85:189 s. 41.
Personer som är skyldiga att föra en patientjournal
4 §
Paragrafen motsvarar 3 kap. 3 § patientdatalagen. Det framgår av avsnitt 12.4.1. att bestämmelsen förs över helt oförändrad. Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 90 f. och 233. Förarbeten till motsvarande bestämmelse i patientjournallagen finns i prop. 1984/85:189 s. 45 f.
En patientjournals innehåll och utformning
5 §
Paragrafen motsvarar i huvudsak 3 kap. 5 § patientdatalagen, vilket framgår av avsnitt 12.4.1. Paragrafen anger vilken information som en patientjournal maximalt får innehålla. En patientjournal får
Författningskommentar SOU 2014:23
1114
innehålla endast de uppgifter som behövs för ändamålet vårddokumentation. Den här paragrafen innebär att en journal givetvis får innehålla alla de uppgifter som enligt hälso- och sjukvårdsdatalagen, annan lag eller annan författning ska antecknas i en patientjournal. Hit hör även sådana handlingar som inkommer från patienten eller andra i samband med vården och som innehåller uppgifter som rör vården av patienten. Av paragrafen följer vidare att även andra uppgifter som behövs för vårddokumentationen får antecknas i en journal. Uppgifter som inte behövs för vårddokumentation får däremot inte föras in i en journal, t.ex. uppgifter som kan vara bra att ha för andra ändamål. Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 91 f. och 233.
6 §
Paragrafen, som har behandlats i avsnitt 12.4.1, överensstämmer i huvudsak med 3 kap. 6 § patientdatalagen och anger vilken information som en patientjournal minimalt ska innehålla. Den har ändrats endast på så vis att ordet anteckning har tagits bort i sista stycket. Kraven på att journalen ska innehålla de uppgifter som behövs för en god och säker vård innebär inget krav på att varje vårdgivare vid sammanhållen journalföring måste ha kompletta uppgifter. En av poängerna med den sammanhållna journalföringen är att dubbeldokumentation ska undvikas. Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 91 f. och 234.
Förarbeten till motsvarande bestämmelse i patientjournallagen finns i prop. 1984/85:189 s. 38 f.
7 §
Paragrafen motsvaras av 3 kap. 7 § patientdatalagen. Det framgår av avsnitt 12.4.1 att bestämmelsen överförs oförändrad. Syftet med bestämmelsen är att ange hur mycket information som en patientjournal får innehålla. En patientjournal får innehålla de uppgifter som enligt lag eller annan författning ska antecknas i en patientjournal. Exempel på sådana författningar är 3 kap. 7 § lagen (2002:297) om biobanker i hälso- och sjukvården, 4 kap. 2 § smittskyddslagen (2004:168) och 2 § förordningen (1991:1472) om psykiatrisk tvångsvård och rättspsykiatrisk vård.
SOU 2014:23 Författningskommentar
1115
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 93 och 234.
8 §
Paragrafen, som har behandlats i avsnitt 12.4.4, motsvaras i huvudsak av 3 kap. 8 § patientdatalagen. Vårdgivare har lagts till som ansvarigt subjekt. För att rättelse av en journaluppgift ska göras på patientens begäran krävs att patienten och den som ansvarar för uppgiften är ense om felaktigheten. En patients möjlighet att få journaluppgifter förstörda är i realiteten ganska små eller i vart fall omständliga, se 11 kap. 4 § om förstörande av patientjournal. Den här bestämmelsen kompletterar bestämmelserna om rättelse och journalförstöring. Den ger den enskilda patienten en möjlighet att markera att han eller hon har en avvikande uppfattning från vad som har antecknats i journalen. Det är fullt tillräckligt att det av anteckningen framgår att patienten har en avvikande uppfattning. Vilken uppfattning patienten har behöver således inte på grund av denna bestämmelse redovisas. Bestämmelsen innebär ingen rätt för patienten att själv skriva i sin journal eller bestämma vad som ska stå i den. Vårdgivaren är ansvarig för att se till att det finns rutiner i verksamheten för att föra in en patients avvikande mening i patientjournalen.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 93 f. och 234.
9 §
Paragrafen motsvarar delvis 3 kap. 11 § patientdatalagen och har behandlats i avsnitt 12.4.1. Om en journalhandling eller en avskrift eller kopia av handlingen i en patientjournal har lämnats ut till någon, följer av första meningen ett krav på att i journalen dokumentera vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Bestämmelsen syftar till att underlätta utredningen om var det finns journalhandlingar för att kunna verkställa ett beslut om journalförstöring, se prop. 1984/85:189 s. 43 f. Andra meningen innehåller två undantag från denna huvudregel, nämligen för utlämnande genom direktåtkomst och utlämnande till nationella eller regionala kvalitetsregister. Någon anteckning i patientjournalen om sådana utlämnanden behöver till följd av andra meningen inte ske. Av tredje meningen följer att en sådan anteckning inte heller behöver ske vid utlämnanden till patienten själv.
Författningskommentar SOU 2014:23
1116
Förarbeten till motsvarande bestämmelse i patientdatalagen respektive patientjournallagen finns i prop. 2007/08:126 s. 99 f., 140 f. och 235 och prop. 1984/85 s. 43 f.
10 §
Paragrafen har behandlats i avsnitt 12.4.7. Den överensstämmer i huvudsak med 3 kap. 13 § patientdatalagen (prop. 2007/08:126 s. 94 f.) och 5 § patientjournallagen (prop. 1984/85:189 s. 42 f).
Bestämmelsen i första stycket ställer krav på vårdgivaren att se till att patientjournalerna förs på svenska språket och är tydligt utformade så att förståelse och utbyte av uppgifter underlättas. Patientjournalen ska vara så lätt som möjligt att förstå för patienten. Vårdgivaren ansvarar såväl för att journalen är begriplig som för att den är utformad så att utbyte av uppgifter är möjligt. En ändamålsenlig utformning handlar både om språk och också struktur.
Bestämmelsen i andra stycket bemyndigar regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om att en patientjournal får vara upprättad på ett annat språk än svenska. Förarbeten till motsvarande bestämmelse i patientdatalagen respektive patientjournallagen finns i prop. 2007/08:126 s. 95 och i prop. 1984/85:189 s. 51.
11 §
I första stycket bemyndigas regeringen eller den myndighet regeringen bestämmer att meddela undantag från bestämmelsen att en patientjournal alltid ska innehålla uppgift om en patients identitet såvitt gäller provtagning för viss sjukdom. Det förstnämnda bemyndigandet motsvaras av 3 kap. 12 § patientdatalagen. Förabeten till den bestämmelsen finns i prop. 2007/08:126 s. 235. Motsvarande bemyndigande fanns även patientjournallagen, se bl.a. SoU 1985/86:15 s. 23.
I andra stycket bemyndigas regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter om en patientjournals innehåll och utformning. Med stöd av detta bemyndigande kan t.ex. föreskrifter om en ändamålsenlig och strukturerad dokumentation meddelas. En säker och enkel tillgång till relevant information som rör en individ är en nyckel till att personalen inom hälso- och sjukvården ska kunna erbjuda insatser av hög kvalitet. Att informationen ska vara ändamålsenlig och användbar förutsätter att en nationell informationsstruktur, enhetlig terminologi och standarder finns och tillämpas inom hälso- och sjukvården. Beho-
SOU 2014:23 Författningskommentar
1117
vet av gemensamt språk och struktur i patientjournaler behandlas ytterligare i avsnitt 12.4.7.
Bestämmelsen motsvarar 3 kap. 12 § patientdatalagen, se prop. 2007/08:126 s. 103 och 236. Förarbeten till motsvarande bestämmelse i patientjournallagen finns i prop. 1984/85:189 s. 51.
När det gäller bemyndigande att meddela föreskrifter om hantering och förvaring av journalhandlingar se 17 §.
Ansvaret för uppgifterna i en patientjournal
12 §
Paragrafen som är ny behandlas i avsnitt 12.4.8. Bestämmelsen utgör ett förtydligande av att vårdgivarens yttersta ansvar för patientjournalen också innefattar ett ansvar för att uppgifterna i journalen är korrekta liksom ett ansvar för att felaktiga uppgifter rättas. Vårdgivaren ansvarar alltså för att tillhandahålla en administrativ, organisatorisk och teknisk infrastruktur som ger hälso- och sjukvårdspersonalen förutsättningar att dokumentera korrekta och relevanta uppgifter på ett ändamålsenligt sätt. I detta ansvar ingår också att det finns ändamålsenliga rutiner för hur rättelse ska göras.
Det är upp till vårdgivaren att ha tydliga rutiner för ansvaret för uppgifternas riktighet ska upprätthållas generellt i verksamheten. Det är nödvändigt för informationsöverföringen inom och mellan verksamheter och vårdgivare att det finns tillit till att dokumentationen är korrekt och användbar. Detta ställer stora krav på vårdgivare och yrkesutövare (se 13 §) när det gäller ansvaret för uppgifterna i patientjournalen. Detta innebär att vårdgivaren får ta ansvar för om det behövs någon synlig kvittering av att yrkesutövaren har kontrollerat sina anteckningar. Vårdgivaren kan ställa krav på sådan signering av vissa anteckningar om det är motiverat med hänsyn till verksamhetens krav på patientsäkerhet och kvalitet.
13 §
Paragrafen är delvis ny och har behandlats i avsnitt 12.4.9. Bestämmelsen har förtydligats i förhållande till motsvarande bestämmelse i 3 kap. 4 § patientdatalagen. Den uttrycker att den som för patientjournal ansvarar för sina uppgifter i journalen och för att de är korrekta. Detta ansvar har yrkesutövaren oavsett om en administrativ kvittens i form av signering är synlig eller inte. Den som för patientjournal ska kontrollera att uppgifterna är riktiga. Denna
Författningskommentar SOU 2014:23
1118
kontroll görs antingen i direkt anslutning till att yrkesutövaren själv för in sin anteckning eller i samband med genomläsning av vad t.ex. en läkarsekreterare fört in.
Förarbeten till motsvarande bestämmelse i patientjournallagen finns i prop. 1984/85:189 s. 46.
14 §
Paragrafen, som motsvaras i huvudsak av 3 kap. 14 § första stycket patientdatalagen, har behandlats i 12.4.8. Enligt bestämmelsen ansvarar vårdgivaren för att journaluppgifter inte utplånas eller görs oläsliga annat än med stöd av bestämmelserna om utplåning (16 §) eller journalförstöring (11 kap. 4 §).
Förarbeten till motsvarande paragraf i 3 kap. 14 § patientdatalagen finns i prop. 2007/08:126 s. 95 f. och 99 f.
15 §
Paragrafen motsvarar i huvudsak 3 kap. 14 § andra stycket patientdatalagen. Bestämmelsen beskriver hur en rättelse av en journalanteckning ska gå till. Den har behandlats i avsnitt 12.4.8. En rättelse ska göras så att den ursprungliga texten inte blir oläslig eller oåtkomlig.
I 11 kap. 3 § finns bestämmelser om att en personuppgiftsansvarig på begäran av en registrerad ska rätta personuppgifter som inte har behandlats i enlighet med hälso- och sjukvårdsdatalagen. I 9 § första stycket h PUL finns en bestämmelse om att den personuppgiftsansvarige på eget initiativ ska vidta alla rimliga åtgärder för att bl.a. rätta sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Sådana rättelser får dock inte strida mot bestämmelserna i denna paragraf.
Förarbeten till motsvarande paragraf i patientdatalagen finns i prop. 2007/08:126 s. 95. Förarbeten till motsvarande bestämmelse i patientjournallagen finns i prop. 1984/85:189 s. 44.
16 §
Paragrafen är ny och har behandlats i avsnitt 12.4.10. Vårdgivaren får utplåna uppenbart felaktiga uppgifter i en patientjournal under vissa specifika omständigheter. Bestämmelsen ska tillämpas endast om det, av hänsyn till den registrerades integritet, inte är tillräckligt att åtgärda felet genom rättelse enligt 15 §. En uppgift får inte
SOU 2014:23 Författningskommentar
1119
utplånas om den legat till grund för bedömningar och ställningstaganden i samband med patientens vård och behandling.
Enligt andra stycket ska bestämmelsen om utplåning inte tillämpas på uppgifter i en gemensam vård- och omsorgsjournal enligt 9 kap. Detta undantag har behandlats i avsnitt 32.3.11.
17 §
Paragrafen överensstämmer helt med 3 kap. 15 § patientdatalagen. Genom bestämmelsen bemyndigas regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om hur journalhandlingar ska hanteras och förvaras. Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 102 f. och 236.
Skyldighet att utfärda intyg om vården
18 §
Paragrafen har behandlats i avsnitt 12.4.1. Den överensstämmer helt med 3 kap. 16 § patientdatalagen och 10 § patientjournallagen (prop. 1984/85:189 s. 47). Även uppgifter som finns tillgängliga genom den sammanhållna journalföringen får användas vid utfärdande av intyg, se 8 kap. Den som på patientens begäran ska utfärda intyg om vården får således bereda sig tillgång till uppgifter som finns tillgängliga i det sammanhållna journalföringssystemet, se 8 kap. 9 §.
Patientjournaler i krig m.m.
19 §
Paragrafen överensstämmer helt med 3 kap. 19 § patientdatalagen (prop. 2007/08:126 s. 238) och 20 § patientjournallagen (prop. 1984/85:189 s. 52).
Författningskommentar SOU 2014:23
1120
4 kap. En säker och ändamålsenlig hantering av personuppgifter
Ansvar för den som arbetar inom hälso- och sjukvården (inre sekretess)
1 §
Paragrafen som i huvudsak motsvarar 4 kap. 1 § patientdatalagen, har behandlats i avsnitt 9.2.1. Paragrafen omfattar både manuellt och elektroniskt förda patientjournaler och annan dokumentation om patienter. Bestämmelsen är således teknikoberoende och tillämplig på alla slags dokumenterade personuppgifter om en patient. Den som arbetar hos en vårdgivare får enligt paragrafen ta del av dokumenterade uppgifter om en patient endast om han eller hon behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Med vård avses även undersökning och behandling, se 1 § HSL. Regelns tillämpningsområde är inte begränsat enbart till hälso- och sjukvårdspersonal vid en viss enhet och dess arbete på enheten. Bestämmelsen har generell räckvidd och omfattar all personal oavsett var den tjänstgör. Bestämmelsen är även tillämplig vid en huvudmans behandling av personuppgifter i hälso- och sjukvården.
För att åtkomsten ska vara tillåten ska uppgifterna även behövas för något av de tillåtna ändamålen som anges i 2 kap. 5 och 6 §§.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 141 f. och 238 f. Förarbeten till motsvarande bestämmelse i patientjournallagen och i vårdregisterlagen finns i prop. 1984/85:189 s. 43 respektive prop. 1997/98:108 s. 76.
En vårdgivares övergripande ansvar
2 §
Paragrafen är ny och behandlas i avsnitt 9.2.2. Bestämmelsen uttrycker vårdgivarens ansvar för att se till att dokumenterade personuppgifter är tillgängliga för den som arbetar i hälso- och sjukvården när uppgifterna behövs i och för vården av en patient. Detta ansvar knyter an till syftet med hälso- och sjukvårdsdatalagen (1 kap. 4 §) och syftet med att föra patientjournal (3 kap. 2 §). För att hälso- och sjukvården ska kunna bedrivas på ett säkert sätt måste uppgifterna finnas tillgängliga för dem som behöver dessa för att utföra sina arbetsuppgifter hos vårdgivaren.
SOU 2014:23 Författningskommentar
1121
3 §
Paragrafen är delvis ny och har behandlats i avsnitt 9.2.3.
Första stycket motsvarar i huvudsak 1 kap. 2 § 3 stycket
patientdatalagen och 7 § patientjournallagen. Förarbeten till dessa bestämmelser finns i prop. 2007/08:126 s. 141 f. och 223, respektive prop. 1984/85:189 s. 43. Vårdgivaren har enligt bestämmelsen ett grundläggande ansvar för att skydda dokumenterade personuppgifter mot obehörig åtkomst.
Andra stycket är nytt och reglerar vårdgivarens ansvar för att
uppgifterna skyddas mot obehörig åtkomst om internet eller andra jämförliga nät används för att överföra personuppgifter.
Bestämmelsen är tillämplig även vid en huvudmans behandling av personuppgifter inom hälso- och sjukvården.
4 §
Paragrafen är ny och har behandlats i avsnitt 9.2.4. Bestämmelsen anger vårdgivarens ansvar för att de informationssystem som hanterar personuppgifter inom hälso- och sjukvården lätta att använda, stödjer det kliniska arbetet, underlättar kvalitetsarbetet, underlättar samverkan och är utformade så att integritetsskyddet tillgodoses. Detta ansvar följer av vårdgivarens yttersta ansvar för att erbjuda en god och säker vård. Vårdgivaren ansvarar enligt 3 kap. PSL för att planera, leda och kontrollera verksamheten på ett sätt som leder till att ansvaret för god vård enligt hälso- och sjukvårdslagen och tandvårdslagen upprätthålls. Vårdgivaren har också ansvar för att det där det bedrivs hälso- och sjukvård finns den personal, de lokaler och den utrustning som behövs för att god vård ska kunna ges (2 e HSL). Vårdgivaren är skyldig att arbeta systematiskt med att förbättra kvaliteten i verksamheten (SOSFS 2011:9). I bestämmelsen förtydligas att dessa skyldigheter innefattar ett ansvar för att de informationssystem som används är ändamålsenliga, säkra och kan användas som stöd i arbetet.
Författningskommentar SOU 2014:23
1122
En vårdgivares ansvar för tilldelning av behörigheter för elektronisk åtkomst
5 §
Paragrafen motsvarar, med några språkliga ändringar, 4 kap. 2 § patientdatalagen. Den har behandlats i avsnitt 9.2.5.
Enligt första stycket ska en vårdgivare bestämma villkoren för hur personalen ska tilldelas behörighet för elektronisk åtkomst till uppgifter om patienter. Bestämmelsen är tillämplig på elektronisk patientjournalföring och övrig elektronisk patientdokumentation. Begreppet direktåtkomst används för att definiera sättet för det elektroniska utlämnandet. Direktåtkomst används vid sammanhållen journalföring samt när det är fråga om en speciell form av elektroniskt utlämnande av personuppgifter till en extern mottagare, t.ex. direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde. När det gäller personalens möjligheter att elektroniskt och automatiskt bereda sig tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation används i stället begreppet elektronisk åtkomst. Begreppen elektronisk åtkomst och direktåtkomst behandlas i avsnitt 11.2.2.
Av första stycket framgår att det alltså ingår i vårdgivarens ansvar att närmare bestämma villkoren för personalens åtkomst till uppgifterna. Detta gäller oavsett om landstinget eller kommunen bedriver hälso- och sjukvård genom en eller flera myndigheter. Detta gäller också om en vårdgivare ingår i ett samarbete om direktåtkomst mellan olika vårdgivare inom en huvudmans ansvarsområde. Vid sammanhållen journalföring, se 8 kap. 12 §, tilldelas behörighet enligt samma principer, nämligen att varje vårdgivare prövar sin personals åtkomst till andra vårdgivares journaluppgifter i den sammanhållna journalföringen. Behörigheten ska anpassas och begränsas till vad som behövs för att befattningshavaren ska kunna utföra sina arbetsuppgifter inom hälso- och sjukvården. En vårdgivare måste först fastställa vilka behov som finns innan behörighetsrutinerna bestäms. Bestämmelsen innebär att en vårdgivare ska göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken närmare information olika personalkategorier och olika slags verksamheter behöver för att kunna utföra sina arbetsuppgifter. När villkoren för behörighetstilldelning bestäms måste också riskanalyser göras. Analysen måste beakta konsekvenserna av utformningen av behörigheten både ur patientsäkerhetsaspekter och ur aspekten att skydda patientens integritet.
SOU 2014:23 Författningskommentar
1123
En närmare reglering som tar sikte på behörighetstilldelning ska finnas i författningar av lägre valör än lag, se tredje stycket.
Bestämmelsen är också tillämplig i samband med en huvudmans utformning av behörighet för åtkomst till personuppgifter inom hälso- och sjukvården.
Av tredje stycket framgår att regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter i ämnet. Det är förutsatt att Socialstyrelsen ska meddela dessa föreskrifter efter samråd med Datainspektionen.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 143 f. och 239 f.
En vårdgivares ansvar för kontroll av elektronisk åtkomst (loggar)
6 §
Paragrafen, som behandlas i avsnitt 9.2.6 motsvarar 4 kap. 3 § patientdatalagen.
Av första stycket följer att en vårdgivare är skyldig att dokumentera personalens elektroniska åtkomst samt att systematiskt och fortlöpande kontrollera om obehörig åtkomst till uppgifter om patienter har förekommit. Genom att vårdgivaren är skyldig att dokumentera all elektronisk åtkomst (den s.k. behandlingshistoriken eller loggen) är det möjligt att göra kontroller i efterhand. Det räcker inte med att göra uppföljningskontroller bara då misstanke kan finnas om obehörigt intrång. Uppgiftskontroller ska göras systematiskt och fortlöpande.
När det gäller sammanhållen journalföring, se kommentaren till 8 kap. 12 §. Av 11 kap. 5 § framgår att en patient har rätt att på begäran få information om vilken elektronisk åtkomst som har förekommit till elektroniskt behandlade uppgifter om honom eller henne. Med stöd av 5 kap. 7 § får patienten medges direktåtkomst till sådan dokumentation (loggar).
Bestämmelsen är också tillämplig för en huvudman. Denne är ansvarig för att kontrollera åtkomst till sådana personuppgifter som huvudmannen behandlar i enlighet med hälso- och sjukvårdsdatalagen.
Hälso- och sjukvårdsdatalagen anger inte närmare hur åtkomstkontrollerna ska göras. Sådana föreskrifter ska meddelas på myndighetsnivå. Av tredje stycket framgår att ytterligare föreskrifter i
Författningskommentar SOU 2014:23
1124
ämnet får meddelas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att det ska vara Socialstyrelsen som meddelar dessa föreskrifter efter samråd med Datainspektionen.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 143 f. och 240 f.
Landstingens ansvar för att skydda identiteten i vissa fall
7 §
Paragrafen överensstämmer helt med bestämmelsen i 4 kap. 6 § patientdatalagen.
I första stycket finns en upplysning om att eHälsomyndigheten enligt 14 § lagen (1996:1156) om receptregister, i fortsättningen benämnd receptregisterlagen, är skyldig att lämna ut uppgifter om förskrivning av läkemedel och andra varor till landstinget och att uppgifter om patientens identitet ska vara krypterade vid utlämnandet.
I andra stycket finns ett förbud mot viss behandling av sådana personuppgifter hos ett landsting som eHälsomyndigheten lämnat ut till landstinget i krypterat skick. Behandling av sådana uppgifter i syfte att röja patientens identitet får enligt bestämmelsen inte göras utan dennes samtycke. Bestämmelsen medför alltså att krypteringen ska bestå hos landstingen.
I tredje stycket anges att uppgifter om en patients identitet som har dokumenterats inom hälso- och sjukvården och som landstingen ska sambearbeta med sådana uppgifter som avses i första stycket, ska vara krypterade så att patientens identitet skyddas vid behandlingen.
Förarbeten till bestämmelsen finns i prop. 2009/10:138 s. 31 f, 37 och 66.
SOU 2014:23 Författningskommentar
1125
5 kap. Utlämnande av personuppgifter m.m.
Bestämmelser i andra lagar
1 §
Paragrafen som behandlats i avsnitt 11.2.1. har överförts oförändrad från 5 kap. 1 § patientdatalagen.
Bestämmelsen påminner om den enskildes rätt att ta del av allmänna handlingar hos den allmänna hälso- och sjukvården och hos sådana kommunala företag som avses i 2 kap. 3 § OSL och begränsningarna i denna rätt enligt tryckfrihetsförordningen och offentlighets- och sekretesslagen. Med kommunala företag åsyftas här bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 244.
2 §
Paragrafen, som överförs oförändrad från 5 kap. 2 § patientdatalagen, behandlas i avsnitt 11.2.1. Bestämmelsen hänvisar till att bestämmelser om tystnadsplikt finns i patientsäkerhetslagen, se t.ex. 6 kap. 12 §.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 244.
Utlämnande på medium för automatiserad behandling
3 §
Paragrafen överförs, med mindre språklig justering, från 5 kap. 6 § patientdatalagen och har behandlats i avsnitt 11.2.1. Paragrafen tar sikte på utlämnande på medium för automatiserad behandling. Sådant utlämnande kan avse utlämnande genom e-post, diskett, cdrom och filöverföring för att bara ta några exempel. Utmärkande för sådant utlämnande är att den som gör utlämnandet vid varje överföringstillfälle vidtar någon manuell aktivitet som kan jämställas med ett beslut om överföring och en sekretessprövning avseende den information som mottagaren får del av. Utlämnande av personuppgifter på medium för automatiserad behandling är en form av behandling av personuppgifter enligt 3 § PUL som är tillåten förutsatt att utlämnandet görs i enlighet med de ändamål som är bestämda för personuppgiftsbehandlingen och att kraven på en
Författningskommentar SOU 2014:23
1126
god informationssäkerhet upprätthålls. Direktåtkomst har ansetts vara en så integritetskänslig form av elektroniskt utlämnande att det anges i lagen när det får förekomma, se 4 och 5 §§. När det gäller annat elektroniskt utlämnande på medium för automatiserad behandling finns däremot inga begränsningar i lagen. Av tydlighetsskäl föreskrivs i den här paragrafen att en personuppgift kan lämnas ut på medium för automatiserad behandling under förutsättning att personuppgiften får lämnas ut. Det sistnämnda villkoret syftar på att uppgiften inte kan lämnas ut om sekretess gäller för uppgiften. Möjligheten att lämna ut en personuppgift på medium för automatiserad behandling innebär således inte att sekretessen bryts.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 70 f. och 246 f.
Tillåten direktåtkomst regleras i lag eller förordning
4 §
Paragrafen motsvarar i huvudsak 5 kap. 4 § första stycket PDL. Den har behandlats i avsnitt 11.2.2.
I paragrafen föreskrivs att en vårdgivare inte får lämna ut personuppgifter genom att medge direktåtkomst till personuppgifterna i annan utsträckning än som följer av lag eller förordning. Skälet till denna bestämmelse är att direktåtkomst är en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter.
Direktåtkomst används i lagen för att beskriva en viss form av elektroniskt utlämnande till en extern mottagare och när den som är ansvarig för informationen inte har kontroll över vilka uppgifter som en mottagare vid ett visst tillfälle tar del av – automatiserad tillgång – och att mottagaren av informationen inte kan påverka innehållet i det informationssystem eller register som informationen lämnas ut från. Mottagaren har möjlighet att ta del av innehållet i t.ex. en elektronisk handling utan att för den skull kunna ändra i eller tillföra ny information till de uppgifter som utlämnaren ansvarar för.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 70 och f. 244.
SOU 2014:23 Författningskommentar
1127
5 §
Paragrafen, som har behandlats i avsnitt 11.2.2, motsvarar i huvudsak 5 kap. 4 § tredje stycket patientdatalagen.
Bestämmelsen påminner om att direktåtkomst får förekomma mellan vårdgivare inom en huvudmans ansvarsområde samt mellan myndigheter i landsting och kommuner (6 kap.), att direktåtkomst får förekomma vid sammanhållen journalföring (8 kap.), att direktåtkomst får förekomma mellan vårdgivare och den som bedriver verksamhet inom socialtjänst (9 kap.) samt att en vårdgivare får ha direktåtkomst till uppgifter i ett nationellt eller regionalt kvalitetsregister (10 kap.).
Bestämmelsen hänvisar också till bestämmelser i detta kapitel om att en enskild kan medges direktåtkomst till uppgifter om sig själv (6 §) och om att en vårdgivare får medge direktåtkomst för källdatagranskning (7 §).
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 245.
Direktåtkomst för enskilda
6 §
Bestämmelsen motsvarar med vissa ändringar 5 kap. 5 § patientdatalagen. Den behandlas i avsnitt 33.5.2. Andra stycket som är nytt behandlas i avsnitt 33.5.11. Formuleringen har anpassats till att bestämmelserna om sekretess och tystnadsplikt mot patienten själv har tagits bort. Även begränsningen om att patienten endast får medges direktåtkomst till uppgifter som behandlas för ändamålet vårddokumentation har tagits bort i jämförelse med motsvarande bestämmelse i patientdatalagen.
Av första stycket framgår att en enskild får medges direktåtkomst till uppgifter om sig själv. Paragrafen innebär ingen skyldighet för en vårdgivare att tillhandahålla enskildas direktåtkomst utan endast en möjlighet till detta. Paragrafen syftar till att en vårdgivare ska kunna ge en patient direktåtkomst till uppgifter om sig själv, oavsett för vilka ändamål som uppgifterna har behandlats. Det är förutsatt att den som begär och medges åtkomst till sina journaluppgifter också informeras om vart han eller hon kan vända sig för att få hjälp att tyda journaluppgifterna. Det är vårdgivaren som avgör vilka uppgifter som ska lämnas ut på detta sätt. En direktåtkomst
Författningskommentar SOU 2014:23
1128
behöver inte innebära en tillgång till samtliga journaluppgifter om den enskilde.
I avsnitt 33.5.2 behandlas även att bestämmelserna i 25 kap. 6 § OSL och i 6 kap. 12 § andra stycket PSL om sekretess och tystnadsplikt till skydd för patienten själv inte längre ska gälla. Det innebär att en vårdgivare inte kan neka en patient att ta del av uppgifter om sig själv om patienten begär att få ta del av dem.
Andra stycket är nytt. Enligt den enskildes anvisning får en vård-
givare medge en annan fysisk person direktåtkomst till sådana uppgifter och sådan dokumentation som får lämnas ut till den enskilde genom direktåtkomst. Det innebär en möjlighet för patienten att dela ut rättigheter till andra att ta del av vårddokumentation genom direktåtkomst. Det kan exempelvis handla om närstående som hjälper till att stödja familjemedlemmar eller andra i sådant som har med hälso- och sjukvård att göra. Den närstående kan exempelvis vara delaktig och behjälplig i den enskildes medicinering och annan egenvård och därmed ha ett behov av att ta del av aktuella uppgifter genom direktåtkomst. Vidare kan det handla om att boka tider, förnya recept, följa en remiss eller helt enkelt att bara ta del av och hålla sig uppdaterad om de journalanteckningar som görs om den enskilde.
Av tredje stycket framgår att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst som avses i första stycket. En direktåtkomst förutsätter att det finns tillräckligt säkra tekniska lösningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Det är förutsatt att det ska vara Socialstyrelsen som meddelar dessa föreskrifter efter samråd med Datainspektionen.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 156 f. och 245 f.
Direktåtkomst för källdatagranskning vid forskning inom hälso- och sjukvården
7 §
Paragrafen är ny och har behandlats i avsnitt 11.2.3. Utlämnande genom direktåtkomst till den som utför källdatagranskning får endast förekomma avseende patienter som har samtyckt till deltagande i forskningsstudien och till den personuppgiftsbehandling
SOU 2014:23 Författningskommentar
1129
som görs inom ramen för studien, samt till utlämnandet av uppgifter för källdatagranskningen. Hälso- och sjukvårdssekretess ska inte vara något hinder för sådant utlämnande genom direktåtkomst som görs med stöd av denna bestämmelse, se kommentaren till 25 kap. 11 § 3 d OSL.
Myndighets skyldighet att lämna uppgift ur journal upprättad inom enskild hälso- och sjukvård
8 §
Paragrafen motsvarar 5 kap. 3 § patientdatalagen och 15 § andra stycket patientjournallagen. Bestämmelsen har behandlats i avsnitt 11.2.1 och i prop. 1991/92:104 s. 24f.
6 kap. Direktåtkomst inom en huvudmans ansvarsområde
Direktåtkomst mellan vårdgivare
1 §
Paragrafen är ny och behandlas i avsnitt 13.4.2. Bestämmelsen innebär att samtliga vårdgivare med offentlig finansiering som verkar inom en kommun eller inom en landstingskommuns ansvarsområde ska kunna utbyta vårddokumentation genom direktåtkomst utan att tillämpa reglerna om sammanhållen journalföring. Villkoren för direktåtkomsten regleras i 2 § och patientens möjlighet att begränsa åtkomsten regleras i 7 kap.
Av andra stycket framgår att direktåtkomst endast är tillåtet mellan den hälso- och sjukvårdsverksamhet som vårdgivarna bedriver inom samma huvudmans ansvarsområde. Genom denna begränsning anpassas möjligheterna till direktåtkomst till de verksamheter som landstinget eller kommunen har huvudmannaansvaret för. För en privat vårdgivare som bedriver verksamhet i olika delar av landet och som finansieras av olika huvudmän, är det således endast den hälso-och sjukvårdsverksamhet (t.ex. en vårdcentral eller ett sjukhus) som finansieras av en viss huvudman som får ha direktåtkomst till uppgifter hos andra offentliga eller privata vårdgivare som också driver verksamhet som finansiseras av samma huvudman.
Författningskommentar SOU 2014:23
1130
2 §
Paragrafen är ny och behandlas i avsnitt 13.4.2. I bestämmelsen anges under vilka förutsättningar vårdgivare inom en huvudmans ansvarsområde får behandla varandra personuppgifter om patienter genom direktåtkomst. Två villkor ska vara uppfyllda för att en vårdgivare med stöd av denna bestämmelse genom direktåtkomst ska få ta del av uppgifter hos en annan vårdgivare, nämligen att de aktuella uppgifterna rör en patient som vårdgivaren har eller har haft en patientrelation med samt att uppgifterna behövs för något av de i lagen tillåtna ändamålen för personuppgiftsbehandling. Det innebär att direktåtkomsten bara får användas för att ta del av uppgifter avseende enskilda som är eller har varit patienter i verksamheten och under förutsättning att uppgifterna behövs för t.ex. vård och behandling eller kvalitetssäkring. Ytterligare en förutsättning är att patienten inte har spärrat uppgifter, se 3 § och 7 kap.
3 §
Paragrafen är ny. Bestämmelsen hänvisar till att regler om patientens rätt att begränsa åtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för finns i 7 kap.
4 §
Paragrafen är ny. Den hänvisar till att det finns bestämmelser om krav på risk- och sårbarhetsanalys och om överenskommelser mellan vårdgivare som medger varandra direktåtkomst i 2 kap. 9 §. Denna bestämmelse har behandlats i avsnitt 10.4.1.
Direktåtkomst mellan myndigheter i landsting och kommuner
5 §
Bestämmelsen motsvarar helt 5 kap. 4 § andra stycket patientdatalagen och har behandlats i avsnitt 11.2.2 och 13.4.2. Myndigheter som bedriver hälso- och sjukvård i ett landsting får ha direktåtkomst till varandras personuppgifter. Motsvarande gäller för myndigheter som bedriver hälso- och sjukvård i en kommun. Bestämmelsen innebär således att uppgifter får lämnas ut i elektronisk form automatiserat, dvs. utan sekretessprövning i varje enskilt fall, mellan myndigheter som bedriver hälso- och sjukvård inom ett landsting eller en kommun. För att hälso- och sjuk-
SOU 2014:23 Författningskommentar
1131
vårdsmyndigheter inom en vårdgivare ska kunna ges elektronisk tillgång till varandras personuppgifter enligt bestämmelserna i 6 kap. är det i praktiken en förutsättning att ett utlämnande genom direktåtkomst tillåts.
Bestämmelsen om direktåtkomst har inte i sig någon sekretessbrytande verkan. Det följer dock av bestämmelsen i 25 kap. 11 § 1 och 2 OSL att uppgifter ska kunna lämnas ut mellan myndigheter utan att hindras av sekretess i dessa fall.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 70 f, 170 f. och 244 f.
7 kap. En patients rätt att begränsa åtkomst inom en huvudmans ansvarsområde
Patientens rätt att begränsa elektronisk åtkomst och direktåtkomst inom och mellan vårdgivare
1 §
Paragrafen är ny och behandlas i avsnitt 13.4.3. I bestämmelsen regleras patientens rätt att spärra uppgifter. Patienten har rätt att begränsa elektronisk åtkomst eller direktåtkomst till hans eller hennes vårddokumentation inom och mellan vårdgivare som bedriver hälso- och sjukvård inom en huvudmans ansvarsområde. Patienten får spärra åtkomst för de vårdenheter eller vårdgivare som på grund av patientens aktuella behov av vård inte kan antas behöva ha tillgång till dokumentationen. Det innebär exempelvis att patienten kan spärra uppgifter som dokumenterats av en vårdenhet hos en viss vårdgivare mot andra vårdenheter hos samma vårdgivare samt mot vårdenheter hos andra vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för.
Patienten ges genom denna regel ett inflytande över tillgängligheten till uppgifter om honom eller henne inom en huvudmans ansvarsområde. Denna möjlighet ska ses som ett utflöde av föreskriften i 2 a § HSL om att verksamheten ska bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten. Att hänsyn ska tas till patientens integritet vid personuppgiftsbehandling framgår även av 1 kap. 4 § hälso- och sjukvårdsdatalagen som anger syftet med lagen. Det är en förtroendefråga att regleringen av personuppgiftsbehandlingen står i samklang med dessa principer.
Författningskommentar SOU 2014:23
1132
Begreppet vårdenhet överförs från motsvarande bestämmelser i 4 kap. 4 § patientdatalagen och är inte definierat i lagstiftning. Det är därmed en organisatorisk enhet som vårdgivaren själv fastställer. Hur stora olika vårdenheter är och vad som karaktäriserar dem kan skilja sig åt mellan olika vårdgivare. En vanligt förekommande definition idag är att vårdenhet avser ”den organisatoriska enhet som leds av en verksamhetschef eller motsvarande”. Det innebär exempelvis att en vårdcentral eller en mindre privat vårdgivare ofta utgörs av en enda vårdenhet medan ett sjukhus eller en privat vårdgivare som har verksamhet i flera olika delar av landet har många olika vårdenheter. Inom den kommunala hälso- och sjukvården finns ofta flertalet vårdenheter, bland annat beroende på kommunens storlek och de olika verksamheternas karaktär.
Patienten får bara begränsa åtkomst till uppgifter som dokumenterats för ändamålet vårddokumentation. Det är uppgifter som har dokumenterats för ändamålen i 2 kap. 5 § första stycket 2 och 3.
I andra stycket finns en påminnelse om att det i 2 § finns en bestämmelse som begränsar vilka uppgifter som en patient får spärra.
Paragrafen motsvarar i vissa delar bestämmelsen i 4 kap. 4 § patientdatalagen om patientens möjlighet att begränsa elektronisk åtkomst till vårddokumentation inom en vårdgivares verksamhet. Förarbeten till den bestämmelsen finns i prop. 2007/08:126 s. 151 f. och 241 f.
2 §
Paragrafen är ny. Första stycket har behandlats i avsnitt 15.7.3 och innebär att uppgifter om ordinerade läkemedel är undantagna från patientens rätt att begränsa elektronisk åtkomst inom en vårdgivares verksamhet eller direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde. De uppgifter om ordinerade läkemedel som undantas från rätten att spärra uppgifter är ordinationsorsak, läkemedlets namn, läkemedlets form, mängden läkemedel, dosering, administrationssätt, och tidpunkter för administrering. Sådana uppgifter får därmed alltid vara tekniskt åtkomliga för att kunna användas exempelvis i situationer när patienten är i behov av vård.
Enligt andra stycket, som har behandlats i avsnitt 16.2.1, får patienten inte heller begränsa elektronisk åtkomst eller direktåtkomst till uppgifter som ger en varning om att patienten har visat intolerans eller har en överkänslighet som innebär en allvarlig risk för
SOU 2014:23 Författningskommentar
1133
patientens liv eller hälsa. Sådan information som hälso- och sjukvårdspersonalen behöver uppmärksammas på kallas ofta för varningsinformation. Det kan exempelvis vara information om att patienten är överkänslig för läkemedel, födoämnen, djur, växter eller kemikalier. Vidare kan det handla om att patienten lider av ett, särskilt allvarligt tillstånd, exempelvis att patienten är blödningsbenägen eller svårintuberad vid narkos. Det kan även vara fråga om att patienten står under en pågående allvarlig behandling med exempelvis blodförtunnande eller immunsupprimerande (immunförsvarsnedsättande) läkemedel. Det är sådan information som, om den inte är känd för hälso- och sjukvårdspersonalen, kan leda till livshotande eller mycket allvarliga konsekvenser för patienten.
3 §
Paragrafen är ny och har behandlats i avsnitt 13.4.3. I bestämmelsen anges att vårdgivaren ska informera patienten om spärrens omfattning och dess konsekvenser innan hans eller hennes begäran om att spärra vissa uppgifter tillgodoses. Det är viktigt för att patienten ska kunna fatta ett informerat beslut och få närmare kännedom om effekterna av en spärr. Patienten bör exempelvis få information om vilka vårdenheter eller vårdgivare som en spärr inte gäller mot samt hur en spärr kan hävas. Dessutom bör patienten få information om den möjlighet den vårdgivare som har dokumenterat uppgifterna har att, trots en spärr, behandla uppgifterna för andra ändamål än sådant som rör patientens vård och behandling (se vidare 7 §).
4 §
Paragrafen är ny och har behandlats i avsnitt 13.4.3. En vårdgivare ska skyndsamt tillgodose en patients begäran om spärr. En spärr får inte läggas eller tas bort utan att patientens identitet har säkerställts.
En patient kan när som helst begära att uppgifterna spärras, alltså även efter det att uppgifterna har gjorts tillgängliga utanför vårdenheten. Uppgifterna får då inte längre behandlas av andra vårdenheter eller vårdgivare än de som behöver har tillgång till uppgifterna i samband med patientens aktuella behov av vård.
Författningskommentar SOU 2014:23
1134
5 §
Paragrafen är delvis ny och har behandlats i avsnitt 13.4.3. Uppgifter om att det finns spärrade uppgifter om en patient och en uppgift om vilken vårdgivare som har spärrat uppgifterna får vara tillgänglig för andra vårdenheter eller vårdgivare inom huvudmannens ansvarsområde. Syftet med detta är att kännedomen om att det finns spärrade uppgifter kan initiera en önskvärd dialog mellan en patient och hälso- och sjukvårdspersonal i en enskild vårdsituation.
Förarbeten till motsvarande bestämmelse avseende spärr inom en vårdgivares verksamhet finns i prop. 2007/08:126 s. 242.
6 §
Paragrafen är ny och har behandlats i avsnitt 13.4.3. En patient kan när som helst begära att en spärr tas bort.
7 §
Paragrafen är ny och har behandlats i avsnitt 13.4.3. Bestämmelsen påminner om att den vårdgivare som har dokumenterat uppgifterna får behandla dem för ändamål som anges i 2 kap. 5 § första stycket 4–7 och 2 kap. 6 § även om patienten har spärrat uppgifterna. Uppgifterna får alltså vara tillgängliga om vårdgivaren behöver dem exempelvis för kvalitetssäkring av hälso- och sjukvården eller för administration, planering etc. av verksamheten, jämför 2 kap. 5 § första stycket 5 och 6. Detta följer av nuvarande bestämmelser i patientdatalagen, men uttrycks där endast indirekt genom att det i 4 kap. 4 § talas om ”vårdenhet” och ”vårdprocess”. För förarbeten se prop. 2007/08:126 s. 241.
Förbud för vårdnadshavare att spärra ett barns journal
8 §
Paragrafen är delvis ny och har behandlats i avsnitt 13.4.3. Vårdnadshavare till ett barn får inte begränsa elektronisk åtkomst eller direktåtkomst till uppgifter om barnet. Med barn avses den som är under 18 år. Avsikten med bestämmelsen är att öka vårdpersonalens möjligheter att upptäcka barn som far illa och att bedöma om anmälan ska göras till socialnämnden för att barnet ska få erforderligt skydd, 14 kap. 1 § SoL. Detta skäl har ansetts väga över den integritetskränkning som kan uppstå till följd av att vårdnadshavare inte kan spärra sitt barns uppgifter. I takt med barnets stigande
SOU 2014:23 Författningskommentar
1135
ålder och utveckling får barnet själv spärra uppgifterna. Beträffande barnets mognadsgrad att själv få avgöra om uppgifter ska spärras föreslås inte några särskilda bestämmelser. Barn och tonåringar bör hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården. I takt med den underåriges stigande ålder och utveckling ska allt större hänsyn tas till barnets önskemål och vilja, jämför 6 kap. 11 § föräldrabalken.
Förarbeten till motsvarande bestämmelse i 4 kap. 4 § patientdatalagen om att vårdnadshavare inte får spärra barnets uppgifter inom en vårdgivares verksamhet finns i prop. 2007/08:126 s. 152 f. och 242 f.
Hur uppgifterna görs åtkomliga igen
9 §
Paragrafen är ny och har behandlats i avsnitt 13.4.3. Paragrafen motsvarar i vissa delar bestämmelsen i 4 kap. 5 § patientdatalagen om hävning av spärrar inom en vårdgivares verksamhet. Förarbeten till den bestämmelsen finns i prop. 2007/08:126 s. 152 och 243.
Paragrafen reglerar förutsättningarna för att ta bort en spärr
inom och mellan vårdgivare som bedriver hälso- och sjukvård som
samma huvudman ansvarar för. En sådan spärr får tas bort av den som behöver uppgifterna för sitt arbete i hälso- och sjukvården, om patienten samtycker till det, eller om patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.
Spärren kan hävas när patienten själv samtycker till det. Här räcker det alltså inte med att patienten inte motsätter sig att behörig personal vid en annan vårdenhet eller hos en annan vårdgivare tar del av uppgifterna. Det fordras ett samtycke från patientens sida. Det ska vara ett sådant samtycke som avses i personuppgiftslagen, dvs. det ska vara frivilligt, särskilt och otvetydigt. Samtycket kan lämnas när som helst av patienten. Det behöver alltså inte göras i samband med något vårdtillfälle.
Vidare kan spärren forceras hos en annan vårdenhet eller vårdgivare, t.ex. akutmottagningen, om informationen kan antas ha betydelse för den vård eller behandling som patienten oundgängligen behöver. Förutsättning är alltså att något samtycke inte kan inhämtas. Det kan bero på att patienten är medvetslös eller alltför medtagen för att kunna ta ställning till frågan. Vidare kan
Författningskommentar SOU 2014:23
1136
saken brådska så att det inte finns någon tid att inhämta samtycke. Om patienten i ett sådant läge är oundgängligen i behov av vård eller behandling, får alltså spärren hävas av den som behöver uppgifterna vid en annan vårdenhet eller hos en annan vårdgivare inom huvudmannens ansvarsområde. Det ska i princip vara fråga om en akutsituation, då patienten på grund av sitt hälsotillstånd eller andra skäl inte kan ta ställning till samtyckesfrågan och då uppgifterna bedöms vara nödvändiga för de vård- eller behandlingsinsatser som omgående måste sättas in. Det ska alltså av hänsyn till patientsäkerheten inte vara möjligt att avvakta en tid för att patienten ska kunna lämna sitt samtycke. Det är viktigt att kunna tillgodose patientens bästa i en situation när patienten själv saknar möjlighet att häva spärren.
8 kap. Sammanhållen journalföring
Inledande bestämmelser
1 §
Paragrafen är ny och har behandlats i avsnitt 14.2.1. Bestämmelsen beskriver innehållet i kapitlet.
2 §
Paragrafen är ny och har behandlats i avsnitt 14.2.1. För att underlätta för den som ska tillämpa bestämmelserna i kapitlet finns i
första stycket en definition av begreppet sammanhållen journalfö-
ring. Genom definitionen tydliggörs att tillämpningsområdet för reglerna om sammanhållen journalföring är det informationsutbyte genom direktåtkomst som kan göras mellan vårdgivare som bedriver hälso- och sjukvård som olika huvudmän ansvarar för, eller som är privat finansierad. Det innebär exempelvis att reglerna om sammanhållen journalföring gäller för informationsutbytet mellan en landstingsfinansierad vårdgivare och en kommunalt finansierad vårdgivare eller mellan vårdgivare som finansieras av olika landsting eller kommuner.
I andra stycket finns en hänvisning till att det finns bestämmelser om direktåtkomst mellan vårdgivare som bedriver verksamhet som samma huvudman ansvarar för i 6 kap. 1 och 2 §§.
SOU 2014:23 Författningskommentar
1137
Sammanhållen journalföring har ett mindre tillämpningsområde enligt bestämmelserna i hälso- och sjukvårdsdatalagen jämfört med patientdatalagen.
Villkor för att göra personuppgifter tillgängliga för andra vårdgivare genom sammanhållen journalföring (skede 1)
3 §
Paragrafen är ny, men motsvarar i huvudsak 6 kap. 1 § och 6 kap. 2 § tredje stycket. Paragrafen har behandlats i avsnitt 14.2.3.
Grundförutsättningarna för att få tillgängliggöra personuppgifter för andra vårdgivare genom sammanhållen journalföring är att patienten först får information om vad det innebär och om sin rätt att motsätta sig. Patienten ska informeras innan tillgängliggörandet. Att patienten på detta tidiga stadium ska informeras om den sammanhållna journalföringen bygger på respekten för patientens självbestämmande och integritet och att vården och behandlingen så långt som möjligt ska utformas och genomföras i samråd med patienten. Hur informationen ska lämnas överlåts åt varje personuppgiftsansvarig att bestämma. Något krav på att informationen ska ges i viss form – muntlig eller skriftlig – finns inte. Det är dock viktigt att den personuppgiftsansvarige utarbetar rutiner för hur informationsskyldigheten ska fullgöras. Förutom riktad information vid möten med patienter och närstående och i samband med kallelser till vård, kan information hållas tillgänglig exempelvis på hemsidor och i sjukvårdens lokaler samt spridas genom massmedia.
Bestämmelsen kräver inte att den enskilde ska lämna ett uttryckligt och informerat samtycke till att uppgifter om honom eller henne får göras tillgängliga för andra vårdgivare genom sammanhållen journalföring utan innebär endast att patienten har en möjlighet att motsätta sig detta. Bestämmelsen ger uttryck för vad man kan kalla för en opt-out-modell eller, om man så vill, en ordning i vilket ett tyst samtycke gäller för att journaluppgifter görs tillgängliga för andra vårdgivare. Att patienten kan motsätta sig ett tillgängliggörande innebär inte att han eller hon har rätt att motsätta sig att uppgifter journalförs i det elektroniska system som vårdgivaren använder. Det innebär bara att uppgifterna på den enskildes begäran inte får vara tillgängliga för andra vårdgivare.
De uppgifter som får lämnas ut genom sådan direktåtkomst är uppgifter som dokumenterats för ändamålet vårddokumentation.
Författningskommentar SOU 2014:23
1138
Det är sådana uppgifter som anges i 2 kap. 5 § 2 och 3. Detta steg för att åstadkomma sammanhållen journalföring kallas skede 1.
Förarbeten till motsvarande bestämmelser i patientdatalagen finns i prop. 2007/08:126 s. 107 f, 206 f. och 248 f.
4 §
Paragrafen är ny och har behandlats i avsnitt 14.2.4. Motsvarande bestämmelse har behandlats i utredningens delbetänkande Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45) s. 80 f. och 127 f.
Det finns inte något krav på aktivt samtycke från den enskilde för att en vårdgivare ska kunna tillgängliggöra hans eller hennes personuppgifter genom sammanhållen journalföring. Det som krävs enligt huvudregeln i 3 § är att den enskilde fått information och en möjlighet att motsätta sig. Förutom riktad information vid möten med patienter och närstående och i samband med kallelser till vård, kan information hållas tillgänglig exempelvis på hemsidor och i sjukvårdens lokaler samt spridas genom massmedia. Eftersom det inte finns något krav på att informera varje patient individuellt har vårdgivaren inte alltid någon kännedom om den enskildes beslutsförmåga innan uppgifterna tillgängliggörs.
Ett villkor för att en vårdgivare, med stöd av denna bestämmelse, ska få göra uppgifter om en patient tillgänglig för de vårdgivare som är anslutna till systemet med sammanhållen journalföring är för det första att patientens beslutsförmåga inte endast tillfälligt är nedsatt. Mer om beslutsförmåga och bedömningen av den redovisas i SOU 2013:45 s. 30 och 67. I situationer där det är praktiskt möjligt ska bedömningen göras i samband med att det blir aktuellt att tillgängliggöra personuppgifterna i systemet för sammanhållen journalföring.
Om hälso- och sjukvårdspersonalen kan förutse att förmågan kommer att återvinnas inom en kortare tid blir bestämmelsen inte tillämplig. En tillfälligt nedsatt beslutsförmåga kan t.ex. bero på medvetslöshet, drogpåverkan, chock eller någon form av akut skada eller sjukdomstillstånd. Dessa personer omfattas ändå av möjligheterna att ingå i sammanhållen journalföring, eftersom de i regel har blivit informerade tidigare och då haft möjlighet att motsätta sig.
All hälso- och sjukvård ska dock erbjudas med respekt för patientens självbestämmande och integritet. Mot den bakgrunden får uppgifterna för det andra inte tillgängliggöras om det är uppenbart
SOU 2014:23 Författningskommentar
1139
för vårdgivaren att patienten skulle ha motsatt sig detta. En vårdgivare kan t.ex. genom närstående ha fått välgrundad information om att den enskilde aldrig skulle ha godtagit ett sådant tillgängliggörande. Sådan information kan exempelvis lämnas inför planerad hälso- och sjukvård, vid val av vårdgivare, vid vårdplanering eller i samband med inflyttning till särskilt boende eller beviljande av hemsjukvård. Vårdgivarna bör därför i dessa olika möten med patienter och närstående informera om sammanhållen journalföring och försöka ta reda på den enskildes inställning till det. Närstående har ingen formell rätt att besluta i den enskildes ställe, utan personuppgiftsbehandlingen ska ytterst göras utifrån vad som är känt om den enskildes inställning och hälso- och sjukvårdspersonalens bedömning av vad som är det bästa för den enskilde.
En patients rätt att motsätta sig sammanhållen journalföring
5 §
Paragrafen är ny och har behandlats i avsnitt 14.2.5. Bestämmelsen motsvarar i huvudsak 6 kap. 2 § första, andra och fjärde stycket PDL.
En vårdgivare får enligt första stycket inte göra uppgifter tillgängliga i system för sammanhållen journalföring, om en patient motsätter sig detta. Patientens uppgifter får då inte vara tekniskt åtkomliga för andra vårdgivare. En konsekvens av det är bland annat att informationen inte kan läsas av hälso- och sjukvårdspersonal hos andra vårdgivare. Uppgifterna är inte heller utlämnade i offentlighets- och sekretesslagens mening.
Av andra stycket framgår att det i ett system för sammanhållen journalföring däremot får ingå uppgift om att patienten motsatt sig och vilken vårdgivare som ansvarar för uppgifterna. Syftet med detta är att kännedomen om att det finns spärrade uppgifter kan initiera en önskvärd dialog mellan en patient och hälso- och sjukvårdspersonal i en enskild vårdsituation. Det gör även att personalen i en nödsituation där patienten inte kan kommunicera kan få kännedom om vilken vårdgivare som kan ha relevanta uppgifter om patienten och som kan behöva kontaktas med en begäran om utlämnande.
Enligt tredje stycket kan en patient när som helst begära att den vårdgivare som ansvarar för uppgifterna gör uppgifterna tillgängliga igen. En patient kan även begära att uppgifter om honom eller
Författningskommentar SOU 2014:23
1140
henne tas bort från systemet med sammanhållen journalföring även efter det att uppgifterna har gjorts tillgängliga för andra vårdgivare. Patienten har därmed alltid en rätt att motsätta sig.
Vårdgivaren får enligt fjärde stycket inte tillgodose en patients begäran utan att patientens identitet har säkerställts.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 107 f. och 248 f.
6 §
Paragrafen är ny. Enligt första stycket, som har behandlats i avsnitt 15.7.3, får en patient inte motsätta sig att uppgifter om ordinerade läkemedel görs tillgängliga genom sammanhållen journalföring. Det är således ett undantag från bestämmelsen i 5 §. De uppgifter om ordinerade läkemedel som undantas är ordinationsorsak, läkemedlets namn, läkemedlets form, mängden läkemedel, dosering, administrationssätt, och tidpunkter för administrering.
Enligt andra stycket, som har behandlats i avsnitt 16.2.1, får patienten inte heller motsätta sig att uppgifter som ger en varning om att patienten har visat intolerans eller har en överkänslighet som innebär en allvarlig risk för patientens liv eller hälsa, görs tillgängliga i sammanhållen journalföring. Sådan information som hälso- och sjukvårspersonalen behöver uppmärksammas på kallas ofta för varningsinformation. Det kan exempelvis vara information om att patienten är överkänslig för läkemedel, födoämnen, djur, växter eller kemikalier. Vidare kan det handla om att patienten lider av ett, särskilt allvarligt tillstånd, exempelvis att patienten är blödningsbenägen eller svårintuberad vid narkos. Det kan även vara fråga om att patienten står under en pågående allvarlig behandling med exempelvis blodförtunnande eller immunsupprimerande (immunförsvarsnedsättande) läkemedel. Det är sådan information som, om den inte är känd för hälso- och sjukvårdspersonalen, kan leda till livshotande eller mycket allvarliga konsekvenser för patienten.
Undantagen i första och andra styckena innebär endast att uppgifterna får vara tekniskt åtkomliga, dvs. potentiellt tillgängliga. Bestämmelserna medför ingen ökad rätt för yrkesutövare att ta del av de aktuella uppgifterna. För att hälso- och sjukvårdspersonal ska få ta del av sådana uppgifter gäller samma grundläggande krav som gäller för åtkomst till andra uppgifter i system för sammanhållen journalföring, se 8 och 9 §§.
SOU 2014:23 Författningskommentar
1141
Förbud för vårdnadshavare att motsätta sig
7 §
Paragrafen motsvarar i huvudsak 6 kap. 3 § fjärde stycket andra meningen patientdatalagen. Den har behandlats i 14.2.6.
Vårdnadshavare till ett barn får inte motsätta sig att barnets uppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring. I takt med ett barns stigande ålder och mognad ska vårdgivaren ge barnet möjlighet att själv ta ställning enligt 3 §.
Vårdnadshavare till ett barn har alltså inte rätt att motsätta sig sammanhållen journalföring när det gäller uppgifter om barnet. Med barn avses den som är under 18 år. Skälet till detta är att öka vårdpersonalens möjligheter att upptäcka barn som far illa och att bedöma om anmälan ska göras till socialnämnden för att barnet ska få erforderligt skydd, se 14 kap. 1 § SoL. Dessa skäl har ansetts väga över den integritets kränkning som kan uppstå till följd av att vårdnadshavare inte kan motsätta sig när det gäller barnet. I takt med barnets stigande ålder och utveckling får barnet själv möjlighet att motsätta sig sammanhållen journalföring. Beträffande barnets mognadsgrad att själv få avgöra om uppgifter ska vara tillgängliga eller inte i system för sammanhållen journalföring föreslås inte några särskilda bestämmelser. Barn och tonåringar bör hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården. I takt med den underåriges stigande ålder och utveckling ska allt större hänsyn tas till barnets önskemål och vilja, jämför 6 kap. 11 § föräldrabalken.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 107 f. och 248 f.
Villkor för att ta del av personuppgifter hos andra vårdgivare (skede 2)
8 §
Paragrafen, som är ny har behandlats i avsnitt 14.3.2. Bestämmelsen motsvarar till viss del 6 kap. 3 § första punkten patientdatalagen.
En vårdgivare får enbart behandla uppgifter genom sammanhållen journalföring om uppgifterna avser en patient som vårdgivaren har eller har haft en patientrelation med.
Författningskommentar SOU 2014:23
1142
Jämfört med motsvarande bestämmelse i patientdatalagen har ordet aktuell tagits bort i beskrivningen av patientrelationen. Villkorets innebörd är inte förändrat på annat än att även en tidigare patientrelation kan berättiga till åtkomst. Sammanhållen journalföring enligt hälso- och sjukvårdsdatalagen får användas även för kvalitetssäkring och kvalitetsutveckling. Åtkomst är därför tillåten även avseende en tidigare patientrelation. Syftet med bestämmelsen är att avgränsa rätten till åtkomst till sådana uppgifter som avser personer som är eller har varit patienter hos vårdgivaren.
Kravet på patientrelation är en allmän förutsättning för när en vårdgivare ska få behandla uppgifter som vårdgivaren har tillgång till genom sammanhållen journalföring.
Det bör understrykas att det är vårdgivaren som sådan som ska ha en patientrelation, inte hälso- och sjukvårdspersonalen. En patientrelation kan t.ex. uppstå genom att patienten bokar ett besök, kommer till en vårdinrättning och söker vård, remitteras till vårdgivaren, kommer på planerat besök, vårdas inneliggande på en avdelning eller genom att patienten kommunicerar med vårdgivaren elektroniskt m.m. En patientrelation kan uppstå på en mängd olika sätt. Det krävs inte något fysiskt möte med personal hos en vårdgivare för att patientrelationen ska inledas. Exempelvis måste den vårdgivare som tar emot en elektronisk remiss från en annan vårdgivare anses ha en patientrelation med den patient som omfattas av remissen. När en patient vänder sig till en vårdgivare för att få ett intyg uppstår också en patientrelation.
En vårdgivare som har behov av att ta del av personuppgifter genom sammanhållen journalföring för ändamålet att systematiskt och fortlöpande utveckla och säkra kvaliteten av sådan vård som patienten fått, får ta del av uppgifterna även på den grunden att vårdgivaren har haft en patientrelation med honom eller henne.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 115 f. och 252.
9 §
Paragrafen är ny och har behandlats i avsnitt 14.3.2. Bestämmelsen motsvarar till viss del 6 kap. 3 § första stycket 2 och andra stycket 2.
Bestämmelse beskriver för vilka ändamål sammanhållen journalföring får användas. En vårdgivare får ta del av uppgifter genom sammanhållen journalföring för ändamålen att förebygga, utreda eller behandla sjukdomar och skador hos patienten, systematiskt
SOU 2014:23 Författningskommentar
1143
och fortlöpande utveckla och säkra kvaliteten av sådan vård som patienten fått, samt utfärda intyg som avses i 3 kap. 18 §.
Förarbeten till motsvarande bestämmelser i patientdatalagen finns i prop. 2007/08:126 s. 117 f. och 252.
10 §
Paragrafen är ny och har behandlats i avsnitt 14.3.5. Om patienten motsatt sig att uppgifter görs tillgängliga i system för sammanhållen journalföring ska en vårdgivare under vissa förutsättningar ändå få ta del av uppgift om vilken vårdgivare, som har uppgifter som inte har gjorts tillgängliga. Sådan åtkomst är tillåten om patienten saknar förmåga att själv begära att uppgifterna ska göras tillgängliga och det föreligger fara för patientens liv eller hälsa. När vårdgivaren under dessa förutsättningar får ta del av vilken vårdgivare som har de aktuella uppgifterna kan denne vända sig till vårdgivaren som ansvarar för uppgifterna och begära att denne tar ställning till om uppgifterna får lämnas ut.
Den som ansvarar för uppgifterna kan sannolikt lämna ut uppgifterna med stöd av 25 kap. 13 § OSL. Enligt den bestämmelsen hindrar inte hälso- och sjukvårdssekretess att uppgift lämnas ut, om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en sådan uppgift lämnas ut, som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd.
Förarbeten till motsvarande bestämmelsen om åtkomst vid nödsituationer i patientdatalagen 6 kap. 4 § PDL finns i prop. 2007/08:126 s. 118 f. och 253 f.
11 §
Paragrafen, som har behandlats i avsnitt 14.3.7, motsvarar i 6 kap. 5 § patientdatalagen. Enligt 2 kap. 4 § får även sådan personuppgiftsbehandling som i och för sig inte är tillåten enligt lagen får utföras, om den enskilde uttryckligen har samtyckt till det och inte annat följer av andra bestämmelser i hälso- och sjukvårdsdatalagen eller av annan lag eller av förordning. I aktuell paragraf föreskrivs ett undantag från denna princip. Enligt undantaget får en vårdgivare inte behandla en annan vårdgivares uppgifter om en patient i systemet med sammanhållen journalföring under andra förutsättningar än dem som anges i 8, 9 och 10 §§ även om patienten uttryckligen samtycker till det. Eftersom direktåtkomst är en särskilt integritetskänslig form av elektroniskt utlämnande av
Författningskommentar SOU 2014:23
1144
personuppgifter är det viktigt att den inte används för andra ändamål än de angivna, inte ens med patientens samtycke.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 254.
Behörighetstilldelning och åtkomstkontroll
12 §
Bestämmelsen, som har behandlats i 14.3.7, motsvarar 6 kap. 7 § patientdatalagen. Bestämmelsen hänvisar till 4 kap. 5 §, som ålägger en vårdgivare att bestämma villkor för tilldelning av behörighet för åtkomst till uppgifter om patienter som förs helt eller delvis automatiserat och till 4 kap. 6 §, som bl.a. ålägger en vårdgivare att genomföra åtgärder som innebär att åtkomsten till sådana uppgifter dokumenteras och kan kontrolleras. Dessa bestämmelser har behandlats i avsnitt 9.2.5 och 9.2.6. Av den aktuella paragrafen framgår att en vårdgivare har samma skyldigheter när det gäller direktåtkomst till andra vårdgivares patientuppgifter genom sammanhållen journalföring. Socialstyrelsen förutsätts efter samråd med Datainspektionen meddela närmare föreskrifter om behörighetstilldelning och åtkomstkontroll även vid sammanhållen journalföring.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 148 f. och 255.
Krav på överenskommelse om informationssäkerhet m.m.
13 §
Paragrafen är ny. Den hänvisar till att det finns bestämmelser om krav på risk- och sårbarhetsanalys och om överenskommelser mellan vårdgivare som medger varandra direktåtkomst i 2 kap. 9 §. Denna bestämmelse gäller även vid direktåtkomst genom sammanhållen journalföring och innebär att en vårdgivare som deltar i system för sammanhållen journalföring ska göra en risk- och sårbarhetsanalys och komma överens med de andra vårdgivarna om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Vidare ska det av överenskommelsen framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande
SOU 2014:23 Författningskommentar
1145
frågor om tekniska och organisatoriska säkerhetsåtgärder. Bestämmelserna har behandlats i 10.4.1 och 14.3.7.
9 kap. Informationsutbyte mellan hälso- och sjukvård och socialtjänst
Inledande bestämmelser
1 §
Paragrafen är ny och har behandlats i avsnitt 32.3.3. Bestämmelsen beskriver innehållet i kapitlet. I paragrafen lämnas en hänvisning till de möjligheter enligt socialtjänstdatalagen den som bedriver verksamhet inom socialtjänsten har att lämna ut personuppgifter genom direktåtkomst till en vårdgivare. I 7 § regleras för vilka ändamål en vårdgivare får ta del av sådana personuppgifter som den som bedriver verksamhet inom socialtjänsten har lämnat ut genom direktåtkomst.
2 §
Paragrafen är ny och har behandlats i avsnitt 32.3.16. Den är en påminnelse om att en vårdgivare har ansvar för behörighetstilldelning och åtkomstkontroll enligt bestämmelserna i 4 kap. 5 och 6 §§ även när det gäller behandling av personuppgifter enligt detta kapitel. Det innebär att en vårdgivare som har direktåtkomst till personuppgifter som den som bedriver verksamhet i socialtjänsten har lämnat ut, ska följa bestämmelsen i 4 kap. 5 § vid behörighetstilldelningen och att 4 kap. 6 § gäller för kontroll av åtkomst till sådana uppgifter. Motsvarande gäller för vårdgivares behandling av personuppgifter i en gemensam vård- och omsorgsjournal.
Utlämnande genom direktåtkomst till den som bedriver verksamhet inom socialtjänsten
3 §
Paragrafen, som är ny, har behandlats i avsnitt 32.3.4. En vårdgivare får medge den som bedriver verksamhet inom socialtjänsten direktåtkomst till vårddokumentation om uppgifterna rör en patient som har behov av både socialtjänst och hälso- och sjukvård och om uppgifterna kan antas ha betydelse för att genomföra beslut om bistånd, stödinsats, vård eller behandling. En ytterligare
Författningskommentar SOU 2014:23
1146
förutsättning är att patienten samtycker till utlämnandet genom direktåtkomst.
Vårdgivare får, enligt bestämmelsen, medge den som bedriver verksamhet inom socialtjänst direktåtkomst till vårddokumentation avseende den som är föremål för insatser inom socialtjänsten. Med vårddokumentation avses personuppgifter som behandlas för ändamål som avses i 2 kap. 5 § 2 och 3. Det är uppgifter som behövs för att fullgöra journalföringsplikten och upprätta annan dokumentation som behövs i och för vården av patienter samt för administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall.
Förutsättningarna för utlämnande genom direktåtkomst är knuten till genomförande av insatser i socialtjänsten antingen med stöd av beslut om insats eller med stöd av att den enskilde samtyckt till insatser i form av råd och stöd och samtyckt till att personuppgifter behandlas. Direktåtkomsten ska enbart vara tillåten under den tid som den enskilde får de planerade insatserna (5 § ).
I jämförelse med reglerna för sammanhållen journalföring är det utlämnande som kan göras med stöd av denna bestämmelse således betydligt mer begränsat. Det kan exempelvis aldrig bli fråga om att den som bedriver verksamhet inom socialtjänsten får en potentiell tillgång till uppgifter om enskilda som inte är får insatser hos den som bedriver socialtjänst. Det handlar således om ett utlämnande genom direktåtkomst som endast kan påbörjas när den enskilde väl får insatser i socialtjänsten och behovet av uppgifter från sjukvården finns. Ytterligare en skillnad jämfört med reglerna om sammanhållen journalföring är att den enskilde ska samtycka till det utlämnande som är tillåtet enligt denna paragraf.
4 §
Paragrafen är ny. Den har behandlats i avsnitt 32.3.5. En vårdgivare får medge den som bedriver verksamhet inom socialtjänsten direktåtkomst till uppgifter avseende en patient, som inte endast tillfälligt saknar förmåga att lämna samtycke enligt 3 §, om patienten har behov av insatser både från hälso- och sjukvården och från socialtjänsten, och uppgifterna kan antas ha betydelse för att genomföra de insatser som är nödvändiga med hänsyn till hans eller hennes behov.
I 25 kap. 13 § OSL finns en bestämmelse om undantag från sekretess vid utlämnande av uppgift om den som har nedsatt beslutsförmåga. Av denna bestämmelse framgår att om den enskilde på
SOU 2014:23 Författningskommentar
1147
grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar hälso- och sjukvårdssekretessen inte att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården. På motsvarande sätt, som enligt detta undantag från sekretessen, får vårdgivaren lämna ut uppgifter genom direktåtkomst, om uppgifterna kan antas behövas för att en patient som inte endast tillfälligt saknar förmåga att lämna samtycke ska få nödvändiga insatser från socialtjänsten.
För att paragrafen ska bli tillämplig ska patienten bedömas sakna förmåga att lämna det samtycke som i normalfallet är ett villkor för att vårdgivaren ska få medge direktåtkomst enligt 3 §. Vidare ska den enskildes beslutsförmåga vara inte endast tillfälligt nedsatt. Om beslutsförmågan är tillfälligt nedsatt på grund av t.ex. medvetslöshet, alkohol- eller narkotikapåverkan eller någon form av chock får man avvakta tills detta tillstånd upphör så att den enskilde kan ta ställning till deltagande i en integrerad verksamhet och till direktåtkomst mellan hälso- och sjukvård och socialtjänst.
5 §
Paragrafen är ny och har behandlats i avsnitt 32.3.6. Vårdgivaren får enbart medge den som bedriver socialtjänst direktåtkomst till uppgifter som avser en patient med behov av både hälso- och sjukvård och socialtjänst under den tid den enskilde är föremål för genomförande av beslut om bistånd, stödinsatser, vård eller behandling hos den som bedriver verksamhet inom socialtjänsten. Den ömsesidiga åtkomsten av uppgifter är enbart motiverad av ett konkret samarbete för att uppfylla den enskildes sammansatta behov. Möjligheten till direktåtkomst mellan hälso- och sjukvård och socialtjänst är alltså bara tillåtet under ett pågående samarbete mellan aktörerna. Genom paragrafen tydliggörs att den som bedriver verksamhet inom socialtjänsten aldrig kan ha en potentiell tillgång till uppgifter om enskilda som inte får insatser av den som bedriver socialtjänst.
6 §
Paragrafen, som är ny, har behandlats i avsnitt 32.3.7. Innan direktåtkomst får medges enligt 3 eller 4 §§ ska vårdgivaren komma överens med den som bedriver verksamhet inom socialtjänst om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Vårdgivaren ska ha genomfört en risk- och sårbarhets-
Författningskommentar SOU 2014:23
1148
analys när det gäller de åtgärder som krävs för att skydda personuppgifterna innan denne medger den som bedriver socialtjänst direktåtkomst till uppgifter. Risk- och sårbarhetsanalysen ska därmed utgöra en grund för överenskommelsens innehåll och omfattning.
Analysen ska gälla både den egna och den mottagande verksamhetens organisatoriska och tekniska förutsättningar att skydda personuppgifterna. Avsikten med bestämmelsen är att ställa krav på verksamheterna att samarbeta och ta ansvar för att åstadkomma en säkerhetsnivå som kan uppfyllas och som självklart följer de krav som gäller enligt lag, förordning och föreskrifter.
Av överenskommelsen ska framgå hur personuppgiftsansvaret är fördelat avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.
Krav på risk- och sårbarhetsanalys och överenskommelse om informationssäkerhet och skydd för personuppgifter behandlas särskilt i avsnitt 10.4.1.
Tillåtna ändamål vid direktåtkomst till uppgifter hos den som bedriver verksamhet inom socialtjänsten
7 §
Paragrafen är ny och har behandlats i avsnitt 32.2.13. Den beskriver för vilka ändamål en vårdgivare får behandla personuppgifter som den som bedriver verksamhet inom socialtjänsten gjort tillgängliga genom direktåtkomst i enlighet med bestämmelserna i socialtjänstdatalagen. Vårdgivaren får ta del av sådana uppgifter för att förebygga, utreda eller behandla sjukdomar och skador hos patienten, för att systematiskt och fortlöpande utveckla och säkra kvaliteten av sådan vård, samt för att utfärda intyg som avses i 3 kap. 18 §. Direktåtkomsten till uppgifter inom socialtjänsten får således användas för samma begränsade ändamål som direktåtkomst till system för sammanhållen journalföring. I socialtjänstdatalagen regleras förutsättningarna för den som bedriver verksamhet inom socialtjänsten att lämna ut personuppgifter genom direktåtkomst till en vårdgivare i hälso- och sjukvården.
SOU 2014:23 Författningskommentar
1149
Gemensam vård- och omsorgsjournal för personer med behov av insatser både från hälso- och sjukvården och socialtjänsten
8 §
Paragrafen är ny och har behandlats i avsnitt 32.3.10. En vårdgivare får komma överens med annan vårdgivare och den som bedriver verksamhet inom socialtjänsten om att behandla uppgifter som behandlas för ändamålet vårddokumentation tillsammans de personuppgifter som behandlas för genomförande av beslut om bistånd, stödinsatser, vård eller behandling inom socialtjänsten i en gemensam vård- och omsorgsjournal. En sådan gemensam journalföring är endast tillåten avseende personer som har behov av insatser både från hälso- och sjukvården och socialtjänsten. Dessutom krävs att uppgifterna kan antas ha betydelse för att genomföra beslut om bistånd, stödinsats, vård eller behandling och för att förebygga, utreda, eller behandla sjukdomar och skador inom hälso- och sjukvården. Genom detta förtydligas kravet på uppgifternas betydelse både för den hälso- och sjukvård och för den socialtjänst som individen har behov av.
Genom paragrafen tillhandahålls en möjlighet för exempelvis vårdgivare som står för hälso- och sjukvårdsinsatserna i ett särskilt boende för äldre att föra en gemensam vård- och omsorgsjournal tillsammans med den eller de utförare som bedriver socialtjänst i det särskilda boendet.
För att det ska vara tillåtet att föra en gemensam vård- och omsorgsjournal ska vårdgivare och den som bedriver socialtjänst göra en överenskommelse om detta (10 §).
I 9 § regleras vad en gemensam vård- och omsorgsjournal ska innehålla.
9 §
Paragrafen är ny och har behandlats i avsnitt 32.3.11. En gemensam vård- och omsorgsjournal ska innehålla de uppgifter som för en vårdgivares del ska dokumenteras i en patientjournal samt de uppgifter som den som bedriver verksamhet inom socialtjänsten ska dokumentera enligt socialtjänstlagen och lag (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS. Innebörden av detta är således att den gemensamma vård- och omsorgsjournalen ska innehålla de uppgifter som i annat fall hade dokumenterats i en patientjournal respektive i den sociala journalen.
Författningskommentar SOU 2014:23
1150
I övrigt ska de regler som finns i 3 kap. 12–15 och 17–19 §§ tillämpas för hanteringen av uppgifter i en gemensam vård- och omsorgsjournal. Bestämmelsen påminner också om att det i 2 kap. 5 och 6 §§ finns bestämmelser om tillåtna ändamål för vårdgivares behandling av personuppgifter i en gemensamma vård- och omsorgsjournal.
10 §
Paragrafen är ny och har behandlats i avsnitt 32.3.12. En eller flera vårdgivare och den eller de som bedriver verksamhet inom socialtjänsten ska, inför det att ett samarbete enligt 8 § inleds, komma överens om vem som ska ansvara för att tillgodose den enskildes rättigheter enligt personuppgiftslagen, hälso- och sjukvårdsdatalagen och socialtjänstdatalagen. För den enskilde ska det vara tydligt vem eller vilka som ska tillgodose den enskildes rättigheter i praktiken.
Enligt andra stycket får överenskommelsen omfatta att den enskilde ska medges direktåtkomst till uppgifter om sig själv enligt bestämmelserna i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen. En sådan överenskommelse ska fastställa hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses.
11 §
Paragrafen är ny och har behandlats i avsnitt 32.3.16. En vårdgivare får göra uppgifter i en vård- och omsorgsjournal tillgängliga i system för sammanhållen journalföring. Syftet med den gemensamma vård- och omsorgsjournalen är att det ska finnas goda förutsättningar att erbjuda den enskilde samordnade insatser i en verksamhet som gemensamt bedrivs av hälso- och sjukvården och socialtjänsten. Den hälso- och sjukvård som ges i denna verksamhet är som andra hälso- och sjukvårdsverksamheter beroende av informationsutbyte med andra vårdgivare. En vårdgivare som deltar i ett samarbete om en gemensam journal kan också delta i ett system för sammanhållen journalföring och exempelvis ta del av uppgifter om patienten i den nationella patientöversikten. Med stöd av denna paragraf får vårdgivaren också göra uppgifterna i den gemensamma vård- och omsorgsjournalen tillgängliga för andra vårdgivare genom sammanhållen journalföring, enligt de regler som gäller för ett sådant tillgängliggörande. Det kan t.ex. möjliggöra att primärvården eller akutsjukvården kan ta del av nödvändiga uppgifter om en patient som deltar i en integrerad verksamhet med insatser från både hälso- och sjukvården och socialtjänsten.
SOU 2014:23 Författningskommentar
1151
12 §
Paragrafen är ny och har behandlats i avsnitt 32.3.14. En handling i en gemensam vård- och omsorgsjournal ska bevaras i minst 10 år efter det att den sista anteckningen fördes in i handlingen. För allmänna handlingar gäller dessutom, med de undantag som följer av första meningen, arkivlagen (1990:782) och de bestämmelser som meddelas med stöd av arkivlagen.
När insatser från både hälso- och sjukvård och socialtjänst har slutat att ges till den enskilde ska den gemensamma vård-och omsorgsjournalen överlämnas till den kommun som ansvarar för insatserna enligt socialtjänstlagen. Eftersom uppgifterna rör en person som befunnits har rätt till kommunala insatser i socialtjänsten ska den kommun som ansvarat för och finansierat socialtjänstinsatserna också ta hand om arkiveringen av den gemensamma vård- och omsorgsjournalen.
10 kap. Nationella och regionala kvalitetsregister
Inledande bestämmelse
1 §
Paragrafen, som har behandlats i avsnitt 17.4.1 motsvarar helt 7 kap. 1 § patientdatalagen. I paragrafen definieras kvalitetsregister som en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. I lagen används alltså registerbegreppet för att beskriva här aktuella uppgiftssamlingar. Inom hälso- och sjukvården förs kvalitetsregister på olika nivåer. De kan föras lokalt av en vårdgivare men också gemensamt av flera vårdgivare. Särbestämmelserna, som finns intagna i detta kapitel, är bara tillämpliga på nationella och regionala kvalitetsregister. Med ett nationellt eller ett regionalt kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematisk och fortlöpande utveckla och säkra vårdens kvalitet. I sådana register samlas personuppgifter och annan information som rapporteras till registret från flera vårdgivare inom ett landsting, exempelvis landstinget och de privata vårdgivarna i landstinget, eller inom en eller flera av landets sex sjukvårdsregioner eller i hela landet. Utmärkande för dessa
Författningskommentar SOU 2014:23
1152
register är att de sammanställda uppgifterna kan användas för att på olika nivåer öka vårdens kvalitet genom jämförelser mellan olika vårdgivare. Särbestämmelserna i detta kapitel ska tillämpas på alla nationella och regionala kvalitetsregister. Det saknar således betydelse om ett kvalitetsregister får finansiellt stöd av staten och landstingen genom överenskommelsen mellan staten och Sveriges Kommuner och Landsting, SKL. De lokala kvalitetsregistren omfattas inte av särbestämmelserna i detta kapitel. De regleras av allmänna bestämmelser, se bl.a. 2 kap. 5 § 5. I system där den elektroniska journalföringen är integrerad med kvalitetsregisterrapporteringen är hälso- och sjukvårdsdatalagens bestämmelser om journalföring och annan vårddokumentation tillämpliga på den personuppgiftsbehandling som görs på den lokala vårdinrättningen för vårddokumentationsändamål medan särbestämmelserna för nationella och regionala kvalitetsregister är tillämpliga i fråga om den del av hanteringen som utgör eller syftar till central hantering, bearbetning, lagring m.m. i kvalitetsregistret.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 176 f. och 256 f.
Personuppgiftsansvar
2 §
Paragrafen är ny och har behandlats i avsnitt 17.4.3.
Enligt den grundläggande bestämmelsen i 2 kap. 2 § om personuppgiftsansvar vid behandling av personuppgifter enligt hälso- och sjukvårdsdatalagen, är varje vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I landsting och kommuner är dock en myndighet personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Bestämmelsen erinrar om att detta gäller även personuppgiftsbehandling i nationella och regionala kvalitetsregister.
Genom bestämmelsen förtydligas att en vårdgivare är personuppgiftsansvarig bland annat för den personuppgiftsbehandling som vårdgivaren utför när denne samlar in och registrerar uppgifter i ett nationellt kvalitetsregister. I detta ansvar ingår exempelvis ansvaret för att information om personuppgiftsbehandlingen har tillhandahållits patienterna, att patienterna inte motsatt sig registrering och att uppgifterna är korrekta.
SOU 2014:23 Författningskommentar
1153
Personuppgiftsansvar för central behandling av personuppgifter
3 §
Bestämmelsen, som har behandlats i avsnitt 17.4.3, motsvarar i huvudsak 7 kap. 7 § patientdatalagen. Regleringen innebär att för sådan personuppgiftsbehandling i nationella och regionala kvalitetsregister som görs på central nivå ska bara myndigheter få vara personuppgiftsansvariga. Den personuppgiftsbehandling som avses enligt paragrafen är central organisering, lagring, bearbetning eller annan central behandling. Personuppgiftsansvaret för administration och hantering av personuppgifter på central registernivå kan således inte ligga på någon enskild, exempelvis en specialistförening, se dock andra stycket. När det gäller annan personuppgiftsbehandling som vårdgivare utför i nationella och regionala kvalitetsregister – exempelvis insamling och rapportering – ska dock huvudregeln tillämpas, dvs. varje vårdgivare ansvarar för sin personuppgiftsbehandling, se 2 §.
I andra stycket finns ett undantag från huvudregeln i första stycket enligt vilket regeringen eller den myndighet som regeringen bestämmer får besluta om att även enskild verksamhet får vara personuppgiftsansvarig för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister. Möjligheten att få besluta om undantag har tillkommit av det skälet att det framstår som mindre lämpligt att stora samlingar av typiskt sett integritetskänsliga personuppgifter samlas i enskild verksamhet utan att förutsättningarna för detta närmare övervägs i varje särskilt fall.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 181 f. och 260.
Den enskildes inställning till behandling i kvalitetsregister
4 §
Paragrafen, som har behandlats i avsnitt 17.4.1, motsvarar helt 7 kap. 2 § patientdatalagen. Av första stycket framgår att en enskild har rätt att slippa bli registrerad i ett nationellt eller regionalt kvalitetsregister. I lagen uppställs inget krav på något samtycke från den enskilde i den mening som avses i personuppgiftslagen som förutsättning för personuppgiftsbehandling i ett nationellt eller regionalt kvalitetsregister. I stället ges den enskilde en möjlighet att motsätta sig personuppgiftsbehandlingen. Det är en
Författningskommentar SOU 2014:23
1154
ordning som i praktiken innebär att tyst samtycke räcker för personuppgiftsbehandling i ett kvalitetsregister. Inget hindrar naturligtvis en vårdgivare från att tillämpa en ordning där samtycke inhämtas. Den enskilde ska som huvudregel informeras före personuppgiftsbehandlingen, bl.a. om rätten att motsätta sig den, se 6 §.
Av andra stycket följer att uppgifterna i registret ska utplånas, om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats. Syftet med att uppgifterna ska utplånas är att den enskildes rätt att motsätta sig personuppgiftsbehandlingen annars riskerar att bli rent illusorisk med hänsyn till att personuppgiftsbehandlingen kan komma att påbörjas redan innan den enskilde informerats om registret, se 6 § andra stycket. Att uppgifterna ska utplånas innebär att de ska förstöras så att de inte kan återskapas, se 11 kap. 3 § och 28 § PUL. Det räcker således inte med att överföra den elektroniska informationen till pappershandlingar.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 186 f. och 257 f.
5 §
Paragrafen är ny och har behandlats i avsnitt 17.4.5. Bestämmelsen motsvarar i huvudsak utredningens förslag till 7 kap. 2 a § PDL, som har behandlats i utredningens delbetänkande SOU 2013:45 s. 103. Paragrafen innebär att det ska vara möjligt för personer med nedsatt beslutsförmåga att delta i och dra nytta av kvalitetsutveckling av vården genom nationella och regionala kvalitetsregister. Den som inte endast tillfälligt saknar förmåga att ta emot och förstå den personuppgiftsansvariges information om behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister ska ändå kunna bidra med sina personuppgifter. Villkoren för sådan personuppgiftsbehandling är att den enskildes inställning så långt möjligt klarlagts och att det inte är uppenbart att den enskilde skulle ha motsatt sig personuppgiftsbehandlingen.
Det är yrkesutövare hos den vårdgivare som vill inkludera patientens personuppgifter och använda ett nationellt kvalitetsregister som också har att bedöma om patienten har förmåga att ta emot information och ta ställning till medverkan. Om så inte är fallet ska patientens inställning så långt möjligt klarläggas. Det innebär exempelvis att närstående, i förekommande fall, bör tillfrågas om vad de vet om patientens inställning. Välgrundade uppfattningar från närstående ska tas om hand och beaktas, men
SOU 2014:23 Författningskommentar
1155
närstående har ingen formell rätt att besluta i den enskildes ställe. Registrering av uppgifter i ett kvalitetsregister är därmed även möjligt ifall det saknas närstående eller andra som kan höras i saken.
Mer om beslutsförmåga och bedömning av beslutsförmåga redovisas i SOU 2013:45 s. 30 och 67.
Information
6 §
Paragrafen motsvarar helt 7 kap. 3 § patientdatalagen. Den har behandlats i avsnitt 17.4.1. Av första stycket framgår att den enskilde ska informeras om personuppgiftsbehandlingen i ett nationellt eller regionalt kvalitetsregister. Det är den personuppgiftsansvarige som har ansvaret för att informationen lämnas, dvs. den vårdgivare eller myndighet som står i begrepp att registrera uppgifter om en patient i ett nationellt eller regionalt kvalitetsregister. Vem som faktiskt ska lämna informationen regleras inte i lagen. Informationsskyldigheten följer av lagens allmänna bestämmelser i 11 kap. 6 § om information som ska lämnas till den enskilde. Informationen ska lämnas innan personuppgiftsbehandlingen påbörjas. Som framgår av andra stycket kan dock informationen lämnas efter det att personuppgiftsbehandlingen har påbörjats, om det inte är möjligt att lämna den tidigare. I paragrafen föreskrivs att informationen ska ha det innehåll som framgår av 11 kap. 6 §. Därutöver ska den enskilde upplysas om hans eller hennes rätt att när som helst få uppgifter om sig själv utplånade ur registret. Denna rätt innefattar bl.a. en rätt att motsätta sig behandlingen även sedan den har påbörjats, se 4 §. Vidare ska den enskilde upplysas om i vilken utsträckning personuppgiftsbehandlingen avser uppgifter inhämtade från annan källa än den enskilde själv eller hans eller hennes patientjournal, t.ex. om uppgifter inhämtas genom samkörning med andra register. Den enskilde ska också upplysas om och i så fall till vilka kategorier av mottagare personuppgifter kan komma att lämnas ut, t.ex. att det kan bli aktuellt att uppgifterna lämnas ut för forskningsändamål. Det finns inga föreskrifter om hur informationen ska lämnas. Det har överlåtits åt varje personuppgiftsansvarig att bestämma. Det är förutsatt att varje personuppgiftsansvarig utarbetar rutiner för hur informationsskyldigheten ska fullgöras. Det åligger också den personuppgiftsansvarige
Författningskommentar SOU 2014:23
1156
att se till att informationen är utformad på ett sätt som kan förstås av den enskilde. När det gäller patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på flera språk.
Av andra stycket framgår att personuppgiftsbehandlingen kan påbörjas, om det inte är möjligt att lämna informationen dessförinnan. Det kan vara omöjligt att lämna information på grund av patientens hälsotillstånd. I sådana situationer ska informationen lämnas så snart som möjligt därefter.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 190 f. och 258.
Tillåtna ändamål
7 §
Bestämmelsen motsvarar i huvudsak 7 kap. 4 § patientdatalagen och har behandlats i avsnitt 17.4.1. Ändamålsbestämmelserna 2 kap. 5 och 6 §§ inte är tillämpliga vid personuppgiftsbehandling i nationella och regionala kvalitetsregister. I 31 § HSL föreskrivs att kvaliteten inom verksamheten systematiskt och fortlöpande ska utvecklas och säkras. Motsvarande bestämmelser om kvalitetssäkring finns även i 16 § tandvårdslagen. En speciell form av kvalitetssäkringsarbete är den som är knuten till kvalitetsregisterverksamheten. I denna paragraf slås fast att personuppgifter får behandlas i nationella och regionala kvalitetsregister för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Det ändamål som anges i paragrafen är det primära ändamålet med de nationella och regionala kvalitetsregistren. Ändamålet anger en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas i nationella och regionala kvalitetsregister. Eftersom det primära ändamålet är tämligen generellt utformat, är det förutsatt att det i sin tur bryts ner i mer preciserade ändamål. Att så görs är nödvändigt för att personuppgiftslagens krav på att ett ändamål ska vara särskilt uppfyllt. Det primära ändamålet är bestämmande för vilka personuppgifter som över huvud taget får behandlas i nationella och regionala kvalitetsregister, se 10 §. Av 8 § framgår att insamlade person-
SOU 2014:23 Författningskommentar
1157
uppgifter får behandlas också för vissa andra, efterkommande ändamål.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s.178 f. och 258 f.
8 §
Paragrafen motsvarar helt 7 kap. 5 § patientdatalagen och har behandlats i avsnitt 17.4.1. I bestämmelsen anges att personuppgifter i nationella och regionala kvalitetsregister som har samlats in för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet också får behandlas för vissa andra, sekundära ändamål. Dessa sekundära ändamål är framställning av sådan statistik rörande hälso- och sjukvård som inte är en del av kvalitetssäkringsarbetet, forskning inom hälso- och sjukvårdsområdet, utlämnande till tredje man samt fullgörande av viss uppgiftsskyldighet.
Med statistik avses här sådan statistik som ska användas för andra ändamål än att förbättra vårdens kvalitet. Det kan röra sig om statistik som framställs för att ge särskilt underlag åt politiker och administratörer för planering av verksamheten inom hälso- och sjukvården eller för att informera allmänheten om verksamheten. Om statistiken syftar till kvalitetssäkring, exempelvis återrapporteringar som framställs i kvalitetssäkringsarbetet, omfattas det av det primära ändamålet kvalitetssäkring. Det sekundära ändamålet forskning medger att personuppgifter, som har samlats in för kvalitetssäkringsarbete, också får användas i forskning inom hälso- och sjukvårdsområdet. Till forskning är också att hänföra epidemiologiska studier. Att det i paragrafen talas om hälso- och sjukvårdsområdet innebär att forskningen kan avse även sådana frågor som inte uteslutande tar sikte på medicinsk forskning. Till hälso- och sjukvårdsområdet hör också exempelvis hälsoekonomiska frågor. Ändamålet forskning i paragrafen utgör inget undantag från lagen (2003:460) om etikprövning av forskning som avser människor och den lagens krav på etikprövning. Utlämnande till tredje man får förekomma bara om mottagaren av uppgifterna ska använda dem för att själv systematiskt och fortlöpande utveckla och säkra vårdens kvalitet, framställa statistik eller bedriva forskning inom hälso- och sjukvårdsområdet. Fullgörande av uppgiftsskyldighet kan avse uppgiftsskyldighet enligt offentlighets- och sekretesslagen eller patientsäkerhetslagen. Utlämnande med stöd av 6 kap. 5 § OSL utgör dock inget sekundärt ändamål. Skälet härtill är att det är svårt att överblicka vilket uppgiftsutlämnande som en
Författningskommentar SOU 2014:23
1158
tillämpning av denna bestämmelse kan leda till. Utlämnande kan alltid göras med stöd av 2 kap. tryckfrihetsförordningen, se 8 § PUL.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 178 f. och 259 f.
9 §
Bestämmelsen motsvarar helt 7 kap. 6 § patientdatalagen och har behandlats i avsnitt 17.4.1. Av paragrafen framgår att de ändamål för vilka personuppgifter i ett nationellt eller regionalt kvalitetsregister får behandlas enligt 7 och 8 §§ är uttömmande. Det är av hänsyn till enskildas personliga integritet som inga andra ändamål är tillåtna. Detta innebär bl.a. att personuppgifter som redan har samlats in för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet i ett visst avseende inte får behandlas för något annat ändamål, även om det nya ändamålet i och för sig inte kan anses som oförenligt med det ursprungliga, jfr 9 § första stycket d PUL. Dock kan med den enskildes uttryckliga samtycke personuppgifter om honom eller henne behandlas för något annat ändamål än för vilka de har samlats in, se 2 kap. 4 §.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 178 f. och 260.
Personuppgifter som får behandlas
10 §
Paragrafen motsvarar i 7 kap. 8 § patientdatalagen och har behandlats i avsnitt 17.4.1. I första stycket föreskrivs att det bara är sådana uppgifter som får behandlas som behövs för det primära ändamålet att i nationella och regionala kvalitetsregister systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Någon närmare precisering än så finns alltså inte när det gäller vilka uppgifter som får tas in i ett nationellt eller regionalt kvalitetsregister, se dock andra och tredje styckena. Att endast uppgifter som behövs för det primära ändamålet får behandlas innebär att personuppgifter som inte direkt behövs för detta ändamål utan enbart skulle vara bra att ha i exempelvis framtida forskningsprojekt inte får samlas in och vidare behandlas.
Enligt andra stycket får en enskilds personnummer eller namn behandlas i ett nationellt eller regionalt kvalitetsregister endast om
SOU 2014:23 Författningskommentar
1159
det för ändamålet med behandlingen inte är tillräckligt att behandla kodade personuppgifter eller personuppgifter som endast indirekt utpekar den enskilde. Paragrafen utgår alltså från förutsättningen att kvalitetsregister i första hand ska bygga på användningen av kodade personuppgifter eller indirekt utpekande personuppgifter, t.ex. ålder, kön och hemort i kombination med sjukdomsrelaterade uppgifter, i stället för direkt utpekande personuppgifter. Exempel på då behandling av personnummer kan vara tillåten är att registeruppgifterna ska samköras med andra register för kvalitetssäkringsändamål. Ett annat skäl kan vara att patienter ska följas upp över lång tid.
I tredje stycket föreskrivs att känsliga personuppgifter som avses i 13 § PUL och som inte rör hälsa samt personuppgifter om lagöverträdelser m.m. som avses i 21 § PUL får behandlas endast om regeringen eller den myndighet som regeringen bestämmer för särskilt fall har medgett detta. Med känsliga personuppgifter avses enligt 13 § PUL uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Enligt den sistnämnda paragrafen är även personuppgifter som rör hälsa eller sexualliv känsliga personuppgifter. Uppgifter som rör hälsa får alltså behandlas i nationella och regionala kvalitetsregister, medan behandling av övriga känsliga personuppgifter kräver tillstånd av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att det blir Datainspektionen som, efter samråd med Socialstyrelsen, kommer att pröva dessa frågor. Av bestämmelserna i 2 kap. 4 §, som reglerar verkan av den enskilde registrerades uttryckliga samtycke, följer att andra känsliga personuppgifter än sådana som rör hälsa kan behandlas i ett kvalitetsregister utan stöd i förordning, om den enskilde uttryckligen samtycker till detta. Det är viktigt att det av informationen till den enskilde i ett sådant fall klart framgår att ett uttryckligt samtycke omfattar just dessa slags personuppgifter.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s.184 f. och 261.
Författningskommentar SOU 2014:23
1160
Direktåtkomst till personuppgifter
11 §
Paragrafen är delvis ny och har behandlats i 17.4.4. En vårdgivare får ha direktåtkomst till de uppgifter om en patient som vårdgivaren lämnat och till de uppgifter om patienten som en annan vårdgivare lämnat till samma nationella eller regionala kvalitetsregister. För att kunna följa patientens väg genom vården och i nationella kvalitetsregister kunna registrera och hänföra uppgifter till den enskilde patienten behöver en vårdgivare ha direktåtkomst även till uppgifter som andra vårdgivare lämnat ut till kvalitetsregistret.
Förarbeten till bestämmelsen i patientdatalagen som gav vårdgivaren rätt att ha direktåtkomst till sådana personuppgifter i ett kvalitetsregister som vårdgivaren tidigare har rapporterat in till registret finns i prop. 2007/08:126 s. 191 f. och 262.
Bevarande och gallring
12 §
Paragrafen motsvarar 7 kap. 10 § patientdatalagen och har behandlats i avsnitt 17.4.1. Enligt första stycket ska personuppgifter i ett nationellt eller regionalt kvalitetsregister gallras när de inte längre behövs för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kravet på gallring är uppfyllt om personuppgifterna avidentifieras så att de inte längre kan knytas till den enskilde. Handlar det om kodade uppgifter, kan det räcka med att kodnyckeln förstörs. Det får dock inte vara möjligt att med s.k. bakvägsidentifikation identifiera individerna. Informationen får inte heller på annat sätt indirekt kunna hänföras till en individ. Även i kvalitetsregister som förs fortlöpande och fylls på med nya personuppgifter, ska gallring regelbundet göras av äldre uppgifter så snart de inte längre behövs för verksamheten.
I andra stycket finns ett undantag från huvudregeln i första stycket om gallring. Enligt undantaget får arkivmyndigheten i det landsting eller den kommun till vilken den personuppgiftsansvariga myndigheten hör meddela föreskrifter om att personuppgifterna trots allt får bevaras under längre tid, om det görs för historiska, statistiska eller vetenskapliga syften.
Av tredje stycket framgår att regeringen eller den myndighet som regeringen bestämt kan meddela undantag från huvudregeln om
SOU 2014:23 Författningskommentar
1161
gallring samtidigt som det med stöd av 3 § andra stycket föreskrivs att en enskild ska få vara personuppgiftsansvarig för den personuppgiftsbehandling som görs på central nivå.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s.192 f. och 262.
11 kap. Rättigheter för den enskilde
Rätt att ta del av uppgifter
1 §
Paragrafen motsvarar helt 8 kap. 1 § patientdatalagen och har behandlats i avsnitt 7.2.5. Paragrafen innehåller en påminnelse om den enskildes rätt att ta del av allmänna handlingar hos den allmänna hälso- och sjukvården och begränsningarna i denna rätt. En begäran om att få ta del av en patientjournal som förs inom den offentliga hälso- och sjukvården ska alltså prövas med stöd av dessa bestämmelser. En begäran om att få del av en allmän handling kan också aktualiseras om en patient begär att få en utskrift av en logglista enligt 2 kap. 13 § tryckfrihetsförordningen. Någon motsvarande rätt har inte patienter att få logglistor från den enskilda hälso- och sjukvården. I 5 § finns dock en bestämmelse som är tillämplig på både den allmänna och enskilda hälso- och sjukvården och som ålägger vårdgivare att lämna patienter information om den elektroniska åtkomst och direktåtkomst som förekommit till uppgifter om patienten.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 263.
2 §
Paragrafen motsvarar helt 8 kap. 2 § patientdatalagen och har behandlats i avsnitt 7.2.5. En patient och en närstående till patienten har rätt att på begäran och efter att ha fått saken prövad få ta del av en journal inom den privata hälso- och sjukvården. Det är t.ex. inte ovanligt att en yrkesutövare inom hälso- och sjukvården får en begäran från t.ex. en närstående som önskar ta del av en avliden patients journalhandlingar.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 154 f. och 263. Förarbeten till tidigare reglering i patientjournallagen finns i prop. 1984/85:189.
Författningskommentar SOU 2014:23
1162
Rättelse
3 §
Paragrafen motsvarar helt 8 kap. 3 § patientdatalagen och har behandlats i avsnitt 7.2.5. Ansvaret för uppgifterna i en patientjournal har behandlats i avsnitt 12.4.8. Enligt första stycket är paragrafen tillämplig vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Personuppgiftslagens bestämmelser om rättelse gäller enbart vid rättelse av personuppgifter som har behandlats i enlighet med personuppgiftslagen. Genom denna paragraf görs bestämmelserna i personuppgiftslagen tillämpliga även då uppgifter behandlats i strid mot hälso- och sjukvårdsdatalagen.
Enligt andra stycket får en rättelse dock inte strida mot 3 kap. 14 §. Där föreskrivs bl.a. att uppgifter i en journalhandling inte får utplånas eller göras oläsliga i andra fall än då Inspektionen för vård och omsorg enligt 11 kap. 4 § beslutar att en patientjournal helt eller delvis ska förstöras.
I 9 § första stycket h PUL finns en bestämmelse om att den personuppgiftsansvarige på eget initiativ ska vidta alla rimliga åtgärder för att bl.a. rätta sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Inte heller en sådan rättelse får strida mot bestämmelserna i 3 kap. 14 §.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 95 f, 209 f. och 263 f. Förarbeten till motsvarande bestämmelse i vårdregisterlagen finns i prop. 1997/98:108 s. 87.
Förstörande av patientjournal
4 §
Paragrafen motsvarar 8 kap. 4 § patientdatalagen, men ett nytt tredje stycket har införts. Paragrafen har behandlats i avsnitt 7.2.5. I avsnitt 12.4.8 behandlas ansvaret för uppgifterna i en patientjournal. I 3 kap. 16 § regleras en vårdgivares rätt att under vissa omständigheter få utplåna uppenbara felaktigheter i en patientjournal.
SOU 2014:23 Författningskommentar
1163
Enligt tredje stycket ska bestämmelsen också tillämpas med avseende på uppgifter i en gemensam vård- och omsorgsjournal enligt 9 kap. Denna bestämmelse har behandlats i avsnitt 32.3.11.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s.99 f. och 264. Förarbeten till motsvarande bestämmelse i patientjournallagen finns i prop. 1984/85:189 s. 49 f.
Information
5 §
Paragrafen motsvarar helt 8 kap. 5 § patientdatalagen och har behandlats i avsnitt 7.2.5. Enligt första stycket har en patient rätt att få information om den direktåtkomst och elektroniska åtkomst som förekommit till patientens uppgifter. Paragrafen är tillämplig inom både den allmänna och enskilda hälso- och sjukvården. Skyldigheten att lämna information är mer långtgående än den skyldighet som den allmänna hälso- och sjukvården har enligt tryckfrihetsförordningen att lämna ut allmänna handlingar och 6 kap. 4 § OSL att lämna uppgifter ur allmänna handlingar. Avsikten är att informationen ska vara anpassad och klargörande för den enskilde i syfte att han eller hon enkelt ska kunna tillgodogöra sig den. Den information som lämnas måste alltså vara begriplig och vägledande för patienten när han eller hon själv ska bilda sig en uppfattning om åtkomsten varit befogad eller inte. Det bör t.ex. tydligt framgå när och från vilken enhet inom hälso- och sjukvården en slagning har gjorts. Hur informationen närmare ska utformas framgår dock inte av lagen. Den frågan har överlämnats till regeringen eller den myndighet som regeringen bestämmer, se andra stycket. Någon rätt för patienten att överklaga ett beslut med anledning av patientens begäran om information finns inte.
Enligt andra stycket får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om den information som ska ges till patienterna. Det är tänkt att Socialstyrelsen efter samråd med Datainspektionen ska meddela dessa föreskrifter.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 150 och 264 f.
Författningskommentar SOU 2014:23
1164
6 §
Paragrafen motsvarar helt 8 kap. 6 § patientdatalagen och har behandlats i avsnitt 7.2.5. Den som är personuppgiftsansvarig enligt hälso- och sjukvårdsdatalagen ska se till att den registrerade får information om personuppgiftsbehandlingen. Informationen ska innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålet med behandlingen och vilka kategorier av uppgifter som behandlas m.m. Den personuppgiftsansvarige bör skapa rutiner som garanterar att informationsskyldigheten fullgörs. Det krävs dock inte att vårdpersonalen i varje enskilt fall lämnar muntlig information innan personuppgiftsbehandlingen utan informationsskyldigheten kan fullgöras genom t.ex. broschyrer. Av informationen ska framgå vilka föreskrifter om uppgiftsskyldighet som kan bli aktuella. Det räcker således inte att allmänt informera om att uppgiftsskyldighet förekommer.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 206 f. och 265 f. Förarbeten till motsvarande bestämmelse i vårdregisterlagen finns i prop. 1997/98:108 s. 80 f.
Andra rättigheter enligt denna lag
7 §
I 11 kap. finns bestämmelser som påminner om och föreskriver om rättigheter av olika slag för den enskilde. I denna paragraf, som har behandlats i avsnitt 7.2.5, erinras om andra bestämmelser i hälso- och sjukvårdsdatalagen som innebär rättigheter för den enskilde. Enligt 3 kap. 8 § ska anteckning göras i en patientjournal, om patienten anser att en uppgift i journalen är oriktig. I 7 kap. finns bestämmelser om patientens rätt att begära att vårddokumentation spärras från elektronisk åtkomst mot de enheter eller vårdgivare som på grund av patientens aktuella behov av vård inte kan antas behöva ha tillgång till dokumentationen. I 8 kap. 3 § föreskrivs att en patient har möjlighet att motsätta sig att uppgifter om honom eller henne görs tillgängliga för andra vårdgivare i ett sammanhållet journalföringssystem och att patienten innan uppgifterna om honom eller henne görs tillgängliga för andra vårdgivare ska informeras om vad sammanhållen journalföring innebär och om att patienten kan motsätta sig den. Om patienten motsätter sig detta får uppgifterna inte göras tekniskt åtkomliga för andra vårdgivare
SOU 2014:23 Författningskommentar
1165
(8 kap. 5 §). Bestämmelserna i 10 kap. 4 och 6 §§ innebär att en enskild har rätt att inte bli registrerad i ett nationellt eller regionalt kvalitetsregister och att den enskilde ska informeras innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister.
12 kap. Överlämnande, omhändertagande och bevarande av journalhandlingar m.m.
Bevarande av journalhandlingar
1 §
Paragrafen motsvarar helt 3 kap. 17 § patientdatalagen och har behandlats i avsnitt 7.2.5. Enligt första stycket i paragrafen ska en journalhandling bevaras minst tio år efter det den sista uppgiften fördes in i handlingen. Bemyndigandet i första stycket gör det möjligt för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om att vissa slags journalhandlingar ska bevaras under längre tid än tio år.
I andra lagar eller författningar finns regler om att journalhandlingar ska bevaras under längre tid än tio år. Sådana regler finns exempelvis i 6 kap. 4 § och 7 kap. 6 § lagen (2006:351) om genetisk integritet m.m. och i Socialstyrelsens föreskrifter (SOSFS 2009:28) om blodverksamhet.
I andra stycket görs en hänvisning till 9 § om bevarande av journalhandlingar som tagits om hand efter beslut av Socialstyrelsen.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 97 f. och 238.
2 §
Paragrafen, som har behandlats i avsnitt 7.2.5, motsvarar 6 kap. 8 § patientdatalagen, men med den skillnaden att bestämmelsen reglerar vårdgivares ansvar för att bevara patientjournaler när patientjournaler eller andra handlingar är tillgängliga för en vårdgivare genom alla former av direktåtkomst, dvs. direktåtkomst inom en huvudmans ansvarsområde enligt 6 kap, direktåtkomst genom sammanhållen journalföring enligt 8 kap. och direktåtkomst enligt 9 kap. mellan vårdgivaren och den som bedriver verksamhet inom socialtjänst. Bestämmelsen har behandlats i avsnitt 13.4.7, avseende direktåtkomst inom en huvudmans ansvarsområde och beträffande sammanhållen journalföring i avsnitt 14.3.6.
Författningskommentar SOU 2014:23
1166
I 9 kap. 11 § finns regler för bevarande av en gemensam vård- och omsorgsjournal.
Grundregeln om bevarande och gallring av patientjournaler finns i 1 §. Där föreskrivs att en journalhandling ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. I vissa fall får föreskrivas om längre bevarandetid. För journalhandlingar som utgör allmänna handlingar gäller därutöver bl.a. arkivlagen.
Första stycket innebär att varje vårdgivare som utbyter person-
uppgifter genom direktåtkomst ansvarar för bevarandet av de journaluppgifter som vårdgivaren själv gör tillgängliga. Det innebär i princip att det är endast en, inte flera, vårdgivare som ansvarar för bevarandet och arkivbildningen av journalhandlingar. Detta gäller även om en vårdgivare bereder sig tillgång till en annan vårdgivares journalhandling eller handlingar från socialtjänsten, så länge inte journalhandlingen ”tankas hem” och lagras av den förstnämnde vårdgivaren. En sådan åtgärd innebär att vårdgivaren framställer en ny handling. Bevarandet och hanteringen av den nya handlingen följer samma regler som gäller för övriga journalhandlingar som har sitt ursprung i den egna verksamheten.
Enligt andra stycket får en myndighet gallra journalhandlingar och andra handlingar som är tillgängliga för myndigheten endast genom direktåtkomst. Denna gallringsregel behövs bl.a. för att inte en myndighet ska bli arkivansvarig för privata vårdgivares journalhandlingar eller andra handlingar som myndigheten har potentiell tillgång till, jfr 3 § första stycket arkivlagen.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 136 f. och 256.
3 §
Paragrafen, som har behandlats i avsnitt 7.2.5, motsvarar helt 3 kap. 18 § patientdatalagen och 8 § andra stycket patientjournallagen, se prop. 2007/08:126 s. 238, 1984/85:189 s. 45 och prop. 1989/90:72.
Ansvar för informationsöverföring vid verksamhetsövergångar
4 §
Paragrafen, som är ny, har behandlats i avsnitt 13.4.5. En huvudman ska se till att en vårdgivare som ska ta över en verksamhet som huvudmannen bedriver, får tillgång till de personuppgifter om patienterna som behövs för att bedriva verksamheten. Hur ansvaret
SOU 2014:23 Författningskommentar
1167
i praktiken ska tas regleras inte i detalj. Det är upp till hälso- och sjukvårdens aktörer att med hänsyn till behoven och förutsättningarna i enskilda fall finna lämpliga former för detta.
5 §
Paragrafen är ny. Den har behandlats i avsnitt 13.4.5. Privata vårdgivare med offentlig finansiering som avser att upphöra med viss hälso- och sjukvårdsverksamhet ska ansvara för att de personuppgifter om patienter som behövs för att bedriva verksamheten överlämnas till annan vårdgivare som ska överta ansvaret för patientens vård och behandling. Om det inte finns någon annan vårdgivare som ska ta över ansvaret för patienternas vård och behandling ska den privata vårdgivaren istället överlämna uppgifterna till huvudmannen för hälso- och sjukvårdverksamheten i det landsting eller den kommun där verksamheten bedrivits.
Genom paragrafen säkerställs att viktig journalinformation om patienterna inte går förlorad på grund av att ansvaret för driften av en offentligfinansierad verksamhet varierar över tid.
Omhändertagande av patientjournaler
6 §
Paragrafen, som behandlats i avsnitt 7.2.5, motsvarar helt 9 kap. 1 § patientdatalagen. Bestämmelsen är tillämplig på både manuella och elektroniska journalhandlingar.
Om det på sannolika skäl kan antas att patientjournaler inte kommer att tas om hand enligt lag eller föreskrifter får Inspektionen för vård och omsorg på eget initiativ besluta om att omhänderta ett journalarkiv. Svårigheterna med att ta hand om journalerna kan t.ex. bero på att yrkesutövaren blivit sjuk, avlidit, gått i konkurs, flyttat utomlands, förlorat sin yrkeslegitimation eller om verksamheten lagts ner av andra skäl.
Om en privat verksamhet inom hälso- och sjukvården upphör och vårdgivaren inte kan ta hand om patientjournalerna, kan den ansvarige ansöka hos Inspektionen för vård och omsorg för omhändertagande av journalerna. Det kan handla om olika privata verksamheter, t.ex. privatpraktiserande enskilda läkare, tandläkare, psykologer, fysioterapeuter och sjuksköterskor. Avsikten är inte att varje sådan ansökan ska beviljas. Det är i första hand vård-
Författningskommentar SOU 2014:23
1168
givaren som ansvarar för att fortsätta att förvara patientjournalerna på ett sätt som uppfyller de krav som ställs. För att inspektionen ska bevilja ansökan krävs att det finns ett påtagligt behov av att journalerna tas om hand.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 101 f. och 266. Förarbeten till motsvarande bestämmelse i patientjournallagen finns i prop. 1991/92:104 s. 22 f.
Återlämnande av patientjournaler
7 §
Paragrafen, som har behandlats i avsnitt 7.2.5, överensstämmer helt med 9 kap. 2 § patientdatalagen. Bestämmelsen reglerar när en omhändertagen patientjournal kan återlämnas. En första förutsättning är att ett återlämnande är praktiskt möjligt, det vill säga att journalhandlingarna inte förstörts efter det att bevarandetiden har gått ut. Vidare får det inte finnas kvar något skäl för omhändertagande enligt 6 §.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 101 f. och 266. Förarbeten till motsvarande bestämmelse i patientjournallagen finns i prop. 1991/92:104 s. 23 f.
Ansvaret för omhändertagna journaler
8 §
Paragrafen, som har behandlats i avsnitt 7.2.5. och 13.4.6. har ändrats genom att ett nytt första stycke har införts. Andra och tredje stycket motsvarar 9 kap. 3 § patientdatalagen. Enligt det första
stycket ska patientjournaler inom hälso- och sjukvårdsverk-
samheter, som bedrivits med en kommun som huvudman eller inom elevhälsan, efter ett omhändertagande förvaras avskilda hos arkivmyndigheten i den kommun där hälso- och sjukvården bedrivits.
Patientjournaler i övriga verksamheter ska enligt andra stycket förvaras avskilda hos arkivmyndighet i det landsting där hälso- och sjukvården bedrivits.
SOU 2014:23 Författningskommentar
1169
Inspektionen för vård och omsorg ska enligt tredje stycket i varje beslut om omhändertagande ange hos vilken arkivmyndighet journalerna ska förvaras.
Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 101 f. och 267. Förarbeten till motsvarande bestämmelse i patientjournallagen finns i prop. 1991/92:104 s. 24 f.
Bevarande av omhändertagna patientjournaler
9 §
Paragrafen, som har behandlats i avsnitt 7.2.5, överensstämmer helt med 9 kap. 4 § patientdatalagen. Omhändertagna patientjournaler ska bevaras i minst tio år efter det att de kommit in till arkivmyndigheten. Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 101 f. och 267. Förarbeten till motsvarande bestämmelse i patientjournallagen finns i prop. 1991/92:104 s. 24 f.
Verkställighet av beslut om omhändertagande av patientjournaler
10 §
Paragrafen, som har behandlats i avsnitt 7.2.5, överensstämmer helt med 9 kap. 5 § patientdatalagen. Ett beslut om omhändertagande får verkställas även om beslutet har överklagats till allmän förvaltningsdomstol (13 kap. 2 §). Polismyndigheten ska lämna den hjälp som behövs för att beslutet ska kunna verkställas. Förarbeten till motsvarande bestämmelse i patientdatalagen finns i prop. 2007/08:126 s. 101 f. och 267. Förarbeten till motsvarande bestämmelse i patientjournallagen finns i prop. 1991/92:104 s. 20 f.
Författningskommentar SOU 2014:23
1170
13 kap. Skadestånd och överklagande
Skadestånd
1 §
Paragrafen, som har behandlats i avsnitt 7.2.5, överensstämmer helt med 10 kap. 1 § patientdatalagen.
Bestämmelsen är tillämplig vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Personuppgiftslagens bestämmelser om skadestånd gäller enbart vid överträdelser av den lagen. Genom denna paragraf görs bestämmelserna tillämpliga även då uppgifter behandlas i strid mot hälso- och sjukvårdsdatalagen. Enligt 48 § PUL ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. Således är det den personuppgiftsansvarige som även enligt hälso- och sjukvårdsdatalagen har det skadeståndsrättsliga ansvaret för en behandling av personuppgifter som stått i strid med lagen. Som framgår av 2 kap. 2 § är det i landsting och kommuner en myndighet som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Talan om eventuellt skadestånd ska dock väckas mot den juridiska personen, dvs. landstinget eller kommunen. Vid sammanhållen journalföring ska lagens allmänna regler om personuppgiftsansvar gälla. Det innebär att myndigheter inom hälso- och sjukvården liksom privata vårdgivare är personuppgiftsansvariga för den behandling av personuppgifter som de utför. I avsnitt 10 har ansvaret för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder behandlats.
Om bestämmelser som avser verksamhetsregleringen i hälso- och sjukvårdsdatalagen inte följs, kan skadeståndsskyldighet uppstå till följd av reglerna i skadeståndslagen (1972:207). Ett exempel kan vara att någon anteckning inte görs om att en patient anser att en uppgift rörande honom eller henne i en journal är oriktig eller missvisande, se 3 kap. 8 §.
Förarbeten till motsvarande bestämmelse i patientdatalagen har behandlats i prop. 2007/08:126 s. 211 f. och 267 f. Förarbeten till
SOU 2014:23 Författningskommentar
1171
motsvarande bestämmelse i vårdregisterlagen finns i 1997/98:108 s. 86.
Överklagande
2 §
Paragrafen, som har behandlats i avsnitt 7.2.5, motsvarar helt 10 kap. 2 § patientdatalagen. Paragrafens första stycke överensstämmer i sak med 17 § tredje och fjärde styckena patientjournallagen, se prop. 1984/85:189 s. 49 f och prop. 1991/92:104, och med 14 § patientjournallagen. Sistnämnda paragraf behandlades i prop. 1991/92:104 s. 20 f.
Paragrafens andra stycke överensstämmer helt med 16 § fjärde stycket patientjournallagen, se prop. 1984/85:189 s. 49 och prop. 1991/92:104.
Paragrafens tredje stycke innehåller beträffande sådan behandling av personuppgifter som avses i 1 kap. 6 § hälso- och sjukvårdsdatalagen en upplysning om att också personuppgiftslagen innehåller bestämmelser om överklaganden.
Av vad som framgår av fjärde stycket får övriga beslut enligt denna lag inte överklagas. Ett exempel på det är Inspektionens för vård och omsorg beslut som innebär ett bifall till en ansökan om att en patientjournal helt eller delvis ska förstöras.
Förarbeten till motsvarande bestämmelse i patientdatalagen har behandlats i prop. 2007/08:126 s. 217 f. och 268.
Ikraftträdande
Bestämmelserna i den nya lagen träder i kraft den 1 januari 2016, då patientdatalagen (2008:355) upphör att gälla.
Ikraftträdandet behandlas närmare i avsnitt 49. Hälso- och sjukvårdsdatalagen ersätter den reglering som nu finns i patientdatalagen, som ska upphöra att gälla samtidigt som hälso- och sjukvårdsdatalagen träder i kraft.
Författningskommentar SOU 2014:23
1172
41.2 Förslag till Socialtjänstdatalag
1 kap. Lagens tillämpningsområde m.m.
Lagens innehåll
1 §
Paragrafen beskriver vilket område som lagen reglerar. Bestämmelsen har behandlats i avsnitt 22.2.1.
2 §
Paragrafen innehåller en redogörelse för lagens struktur och syftar till att ge en överblick över de olika kapitlens innehåll.
Lagens tillämpningsområde
3 §
Paragrafen, som har behandlats i avsnitt 22.2.3, anger i första stycket lagens tillämpningsområde. Lagen ska gälla behandling av personuppgifter inom socialtjänsten för kommunala myndigheter, enskilda verksamheter och Statens institutionsstyrelse. Det innebär bl.a. att lagen är tillämplig på den mer individinriktade verksamheten inom socialtjänsten. Vad som är att betrakta som verksamhet inom socialtjänsten framgår av 5 §.
Personuppgiftsbehandling för den rent administrativa verksamheten utan direkt koppling till verksamhet inom socialtjänsten faller utanför lagens tillämpningsområde. Som exempel kan personaladministration nämnas. Inte heller är lagen tillämplig vid forskning eller vid personuppgiftsbehandling i domstolar.
Lagen ska heller inte tillämpas av sådana myndigheter som agerar på socialtjänstens område, men som inte bedriver någon egentlig individinriktad verksamhet inom socialtjänsten, t.ex. Socialstyrelsen och Inspektionen för vård och omsorg. Sådant som i dag gäller för Socialstyrelsen enligt lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL, och förordningen (2001:637) om behandling av personuppgifter i socialtjänsten, förkortad SoLPULF, förs alltså ut till en annan lag om Socialstyrelsens behandling av personuppgifter.
Av andra stycket framgår att vissa bestämmelser i lagen är tillämpliga även när det gäller avlidna personer. Det innebär exempelvis att lagens bestämmelser om ändamål, sökbegrepp och åtkomst
SOU 2014:23 Författningskommentar
1173
till uppgifter även ska tillämpas på avlidna. I socialtjänsten kan förekomma uppgifter om avlidna. Inte minst inom ramen för den socialtjänst som bedrivs i äldreomsorgen kan även viss dokumentation göras i nära anslutning till att en person avlider.
Lagens syfte
4 §
I paragrafen, som behandlas i avsnitt 22.2.5, finns en mer övergripande regel som anger lagens syfte. Av paragrafens följer att informationshanteringen i socialtjänsten ska tillgodose god kvalitet, rättsäkerhet samt främja en kostnadseffektiv verksamhet. Bestämmelsen ger uttryck för att lagens syfte är att främja en god och kostnadseffektiv socialtjänst.
Lagens syfte förtydligas ytterligare genom att det i paragrafen specificeras att lagen syftar till att tillgodose både att nödvändiga uppgifter finns tillgängliga för behöriga och att skydda uppgifterna från obehörig åtkomst. Syftet med bestämmelsen är att lyfta fram att det är viktigt att den som arbetar inom socialtjänsten har nödvändig information för att kunna utföra sitt arbete. Rätt information ska finnas tillgänglig för rätt person i rätt tid. Att säkert, snabbt och enkelt ha tillgång till rätt information möjliggör att den enskilde får de insatser och den omsorg den enskilde har behov av.
Vidare anges att personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Det gäller oavsett för vilka ändamål personuppgifter utformas och behandlas. Dessutom framgår att bestämmelsen gäller till förmån för samtliga personer för vilka det kan finnas uppgifter om i socialtjänstens verksamhet, exempelvis anhöriga.
Definition av socialtjänst
5 §
I avsnitt 22.2.4 har vi redogjort för allmänna frågor om definitioner av begreppet socialtjänst. Socialtjänst definieras på delvis olika sätt i olika lagstiftning. Det saknas därmed en enhetlig definition. Samtidigt är det helt nödvändigt att definiera det område som lagen ska reglera. Den definition av begreppet socialtjänst som i dag före-
Författningskommentar SOU 2014:23
1174
kommer i SoLPUL ska, med ett undantag och vissa smärre justeringar, vara gällande. Undantaget består i att definitionen att såsom socialtjänst betrakta verksamhet enligt lag om utredningar avseende vissa dödsfall utgår och istället överförs till en särskild lag om Socialstyrelsens behandling av personuppgifter (se avsnitt 30).
Av första punkten följer att socialtjänst kan bestå av handläggning av ärenden och faktiskt handlande enligt socialtjänstlagen. Det kan röra socialnämndens ansvar för omsorg, service, upplysningar, råd, stöd, vård, ekonomiskt bistånd m.m. Punkten omfattar även verksamhet enligt lagen (1988:870) om vård av missbrukare i vissa fall, förkortad LVM, och lagen (1990:52) med särskilda bestämmelser om vård av unga, förkortad LVU. Även sådana servicetjänster åt äldre (jfr 2 kap. 7 § lagen [2009:47]om vissa kommunala befogenheter) ingår i definitionen socialtjänst. Kommunens uppgifter inom socialtjänsten fullgörs av den eller de nämnder som kommunfullmäktige bestämmer. Särskilda bestämmelser om gemensam nämnd finns i lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet. (Jfr 2 kap. 4 § SoL).
Av andra punkten följer att med socialtjänst avses övrig verksamhet som enligt lag eller förordning bedrivs av socialnämnd. Det inbegriper bl.a. de uppgifter socialnämnden har inom det familjerättsliga området. I föräldrabalken finns t.ex. regler om nämndens medverkan vid fastställande av faderskap, adoption m.m. Vidare ska nämnden enligt andra författningar komma in med yttranden till myndigheter eller motta underrättelser eller vidta åtgärder. Sådana bestämmelser finns t.ex. i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare, namnlagen (1982:670), körkortsförordningen (1998:980), lagen (1991:2041) om särskild personutredning i brottmål m.m., lagen (1991:1137) om rättspsykiatrisk undersökning och lagen (2007:606) om utredningar avseende vissa dödsfall.
Av tredje punkten följer att verksamhet som bedrivs av Statens institutionsstyrelse (SiS) är socialtjänst. SiS ansvar för särskilda ungdomshem enligt 12 § LVU och LVM-hem enligt 22 och 23 §§ LVM. Ytterligare uppgifter följer av förordningen (2007:1132) med instruktion för SiS. Även sådan verksamhet som bedrivs i enlighet med förordningen är att anse som socialtjänst vid tillämpningen av denna lag. SiS ansvarar även för verkställigheten av sluten ungdomsvård enligt 32 kap. 5 § brottsbalken som ska ges vid sådana särskilda ungdomshem som avses i 12 § LVU (1 § lagen [1998:603] om verkställighet av sluten ungdomsvård).
SOU 2014:23 Författningskommentar
1175
Av fjärde punkten framgår att verksamhet vid kommunal invandrarbyrå är att betrakta som socialtjänst. En invandrarbyrå är en frivillig kommunal serviceinrättning med uppgift att dels hjälpa invandrare till rätta i samhället, dels informera olika kommunala förvaltningar och kommuninvånare om invandrarnas bakgrund. I de kommuner som inte har en särskild invandrarbyrå, handläggs även frågor som rör invandrare inom ramen för socialtjänsten.
Av femte punkten framgår att med socialtjänst avses verksamhet enligt lagen om stöd och service till vissa funktionshindrade.
I sjätte punkten avses med socialtjänst också handläggning av ärenden om bistånd som lämnas av socialnämnd åt asylsökande och andra utlänningar. I lagen (1994:137) om mottagande av asylsökande m.fl., förkortad LMA, finns bestämmelser om sysselsättning för och bistånd till vissa utlänningar. En socialnämnds verksamhet enligt LMA ska därmed anses som socialtjänst enligt denna lag.
Av sjunde punkten följer att med socialtjänst avses handläggning av ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar.
Av åttonde punkten framgår att socialtjänst omfattar handläggning av ärenden om tillstånd till parkering för rörelsehindrade.
Förarbeten till motsvarande bestämmelse i SoLPUL finns i prop. 2000/01:80 s. 136 f. och173 f.
Definition av kommunal myndighet
6 §
Paragrafen, som behandlas i avsnitt 22.2.3, talar om vad som avses med kommunal myndighet inom socialtjänsten. För att öka tydligheten behöver en definition av vad som avses med kommunal myndighet tas in i lagen. Det är ett grundläggande begrepp inom socialtjänsten och av bestämmelsen framgår att den omfattar socialnämnd eller motsvarande nämnd som ansvarar för sådan socialtjänst som kommunen bedriver eller ansvarar för enligt socialtjänstlagen, lagen med särskilda bestämmelser om vård av unga och lagen om vård av missbrukare i vissa fall. Bestämmelsen omfattar även sådan behandling av personuppgifter som utförs hos den nämnd eller annan myndighet som utöver ledning av eller utför den faktiska socialtjänsten som regleras av lagen, dvs. även beställar- och utförarnämnder.
Författningskommentar SOU 2014:23
1176
Definition av enskild verksamhet
7 §
Av paragrafen, som har behandlats i avsnitt 22.2.3, framgår vad som avses med enskild verksamhet inom socialtjänsten. Definitionen motsvarar den som i dag finns i förordningen om behandling av personuppgifter i socialtjänsten. Definitionen gäller oavsett om den enskilda verksamheten är etablerad genom exempelvis lagen om offentlig upphandling eller lagen (2008:962) om valfrihetssystem, förkortad LOV.
Definition av den som bedriver verksamhet inom socialtjänsten
8 §
Syftet med definitionen är att underlätta hänvisningar i denna lag.
Förhållande till personuppgiftslagen och tillsynsmyndighetens befogenheter
9 §
Paragrafen, som behandlas i avsnitten 22.2.6 och 37.4, anger i första
stycket lagens förhållande till personuppgiftslagen. Det finns flera
sätt att reglera förhållandet mellan en registerförfattning och personuppgiftslagen. Av paragrafen följer att personuppgiftslagen gäller om inget annat sägs i denna lag eller i föreskrifter som meddelats med stöd av denna lag. Socialtjänstdatalagen innehåller därför endast de särbestämmelser och förtydliganden som det har bedömts finnas ett behov av. I övrigt ska personuppgiftslagen tillämpas. Det innebär exempelvis att begrepp som exempelvis ”behandling” av personuppgifter och ”personuppgifter” har samma innebörd i denna lag som begreppen har i personuppgiftslagen. När det gäller personuppgifter gäller dock att denna lag i tillämpliga delar även gäller i förhållande till avlidna. Vid tillämpningen av denna lag gäller även 8 § första stycket PUL om utlämnande av personuppgifter enligt 2 kap. tryckfrihetsförordningen. Ett uttryckligt förtydligande bl.a. härom har även tagits in i denna lag, se 4 kap. 1 §.
I andra stycket finns bestämmelser som tillsynsmyndighetens befogenheter. Grundläggande bestämmelser om tillsynsmyndighetens befogenheter finns i personuppgiftslagen. De bestämmelser
SOU 2014:23 Författningskommentar
1177
som regleras här är en utökning av tillsynsmyndighetens, dvs. Datainspektionens, befogenheter när det gäller socialtjänstområdet. Det är alltså fråga om nya möjligheter i socialtjänstdatalagen för Datainspektionen och gäller utöver vad som följer av personuppgiftslagen. Bestämmelsen innebär ett förtydligande av tillsynsmyndighetens befogenheter att besluta om de förelägganden eller förbud som behövs för att socialtjänstdatalagen ska följas.
I tredje stycket finns nya bestämmelser om att ett beslut om föreläggande eller förbud enligt andra stycket får förenas med vite. Tillsynsmyndigheten ska i första hand, i enlighet med nuvarande bestämmelser, försöka åstadkomma rättelse genom att göra ett påpekande eller något liknande förfaranden. Om detta inte följs har tillsynsmyndigheten möjlighet att förena beslut om föreläggande eller beslut med vite.
Bestämmelser i andra lagar
10 §
I bestämmelsen erinras om att bestämmelser om dokumentation finns i förvaltningslagen (1986:223), socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade.
2 kap. Grundläggande bestämmelser om behandling av personuppgifter
Kapitlets tillämpningsområde
1 §
Bestämmelsen har behandlats i avsnitt 23.2. Enligt paragrafen ska vissa grundläggande bestämmelser om personuppgiftsbehandling – nämligen bestämmelser om den enskildes inställning till personuppgiftsbehandling, ändamål för personuppgiftsbehandlingen, personuppgiftsansvar, personuppgifter som får behandlas och sökbegrepp – som finns intagna i detta kapitel tillämpas vid sådan behandling av personuppgifter som är helt eller delvis automatiserad. Bestämmelserna ska tillämpas inte bara på personuppgiftsbehandling i särskilda register eller databaser utan omfattar all helt eller delvis automatiserad behandling av personuppgifter som förekommer inom socialtjänsten. Vidare ska bestämmelserna tillämpas på viss manuell hantering i register, nämligen om
Författningskommentar SOU 2014:23
1178
personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Av paragrafen följer att manuell behandling av personuppgifter som inte ingår eller är avsedda att ingå i register inte omfattas av bestämmelserna i detta kapitel. Däremot finns andra bestämmelser i andra delar av lagen som även ska tillämpas på sådan personuppgiftsbehandling. Det gäller exempelvis bestämmelserna om inre sekretess.
Personuppgiftsansvar
2 §
Paragrafen, som har redovisats i avsnitt 23.2.6 och i 27.2.5, anger i
första stycket att den som bedriver verksamhet inom socialtjänsten
är personuppgiftsansvarig för den behandling av personuppgifter som utförs i verksamheten och som den som bedriver verksamhet inom socialtjänsten ansvarar för. Det innebär att kommunal myndighet, SiS och enskild verksamhet är personuppgiftsansvarig för personuppgiftsbehandling som utförs inom ramen för verksamhet och som ansvarar för. Av 1 kap. 7 § följer att med enskild verksamhet avses yrkesmässig verksamhet som bedrivs av en juridisk eller fysisk person med tillstånd av Socialstyrelsen enligt socialtjänstlagen eller enligt lagen om stöd och service till vissa funktionshindrade och sådan enskild verksamhet inom socialtjänsten som i övrigt bedrivs enligt avtal med kommunen. Personuppgiftsansvaret i enskilda verksamheter ligger således på den juridiska eller fysiska person som yrkesmässigt bedriver och ansvarar för socialtjänstverksamheten.
Av andra meningen framgår att det inte är kommunen som sådan som är personuppgiftsansvarig. Istället är det den myndighet, dvs. den kommunala nämnd, som behandlar personuppgifterna som är personuppgiftsansvarig. Sådan myndighet omfattar även sådana kommunala bolag som avses i 2 kap. 3 § OSL, dvs. bolag, föreningar och stiftelser där kommuner utövar ett rättsligt bestämmande inflytande.
I andra stycket, som endast avser att utgöra ett förtydligande av personuppgiftsansvaret enligt vad som gäller enligt första stycket, framgår att ansvaret omfattar sådana åtgärder som den personuppgiftsansvarige vidtar i samband med att den personuppgifts-
SOU 2014:23 Författningskommentar
1179
ansvarige lämnar ut uppgifter genom direktåtkomst eller i enskilda fall utnyttjar sin möjlighet att via direktåtkomst ta del av uppgifter hos andra som bedriver verksamhet inom socialtjänsten.
Den enskildes inställning till personuppgiftsbehandlingen
3 §
Paragrafen har behandlats i avsnitt 23.2.4 och motsvarar i huvudsak bestämmelsen i 6 § 3 st. SoLPUL. Enligt paragrafen får personuppgiftsbehandling som är tillåten enligt socialtjänstdatalagen utföras även om den enskilde motsätter sig det. Bestämmelsen ska ses mot bakgrund av artikel 14 a dataskyddsdirektivet, som föreskriver att den enskilde åtminstone i vissa fall ska garanteras en rätt att motsätta sig en personuppgiftsbehandling, om inte annat föreskrivs i nationell lagstiftning. Som huvudregel är således personuppgiftsbehandling enligt socialtjänstdatalagen tillåten även om den enskilde motsätter sig det. Av andra meningen framgår dock att det kan finnas bestämmelser i lag eller förordning som ger enskilda en möjlighet att med rättslig verkan motsätta sig en personuppgiftsbehandling som i och för sig regleras av socialtjänstdatalagen.
Förarbeten till motsvarande bestämmelse i SoLPUL finns i prop. 2000/01:80 s. 139 f.
4 §
Paragrafen har behandlats i avsnitt 23.2.5. Första stycket innebär ett klargörande av att även sådan personuppgiftsbehandling som i och för sig inte är tillåten enligt socialtjänstdatalagen får utföras om den enskilde uttryckligen har samtyckt till det och inte annat följer av annan lag eller förordning. Bestämmelsen ger därmed uttryck för principen att en enskilds uttryckliga samtycke till en viss personuppgiftsbehandling normalt ska respekteras. Av bestämmelsen följer exempelvis att personuppgifter kan samlas in och behandlas för ett ändamål som inte anges i lagens ändamålsbestämning, se 5 §, om den enskilde har lämnat ett uttryckligt samtycke till detta. Det finns inga formkrav för ett sådant samtycke, vilket t.ex. innebär att det inte behöver vara skriftligt.
För socialtjänstens del har bestämmelsen sannolikt störst betydelse för att vid behov dokumentera det som görs inom ramen för sådan service, råd och stöd som inte är individuellt behovsprövad.
Författningskommentar SOU 2014:23
1180
Bestämmelsen möjliggör således behandling av personuppgifter. Bestämmelser om dokumentation och diarieföring m.m. finns i bland annat socialtjänstlagen och offentlighets- och sekretesslagen.
Enligt andra stycket får regeringen meddela undantag som upphäver verkan av den enskildes samtycke till personuppgiftsbehandling i strid mot socialtjänstdatalagen. Syftet med bestämmelsen är att vid behov kunna vidta åtgärder för att skydda enskilda mot kränkningar av deras personliga integritet. Inte sällan kan en enskild som möter socialtjänsten befinna sig i ett utsatt läge och i en svag position i förhållande till socialtjänsten. Det finns därför risk för att den enskilde kan komma att samtycka till personuppgiftsbehandling på grund av en upplevd förväntan eller utan att vara helt på det klara med konsekvenserna.
Ändamål med personuppgiftsbehandlingen
5 §
Paragrafen har redovisats i avsnitt 23.2.1. I paragrafen redovisas de primära ändamål för vilka personuppgiftsbehandling inom socialtjänsten ska vara tillåtet. Ändamålen avser inte endast den individinriktade verksamheten utan tar även sikte på sådan personuppgiftsbehandling som utförs för andra syften, exempelvis planering av verksamheten och kvalitetssäkring. Syftet med att ange tillåtna ändamål är att slå fast en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas i socialtjänsten. Mot bakgrund av de integritetsintressen som finns vid behandling av sådana känsliga personuppgifter som det är fråga om i socialtjänsten utgör bestämmelsen en uttömmande uppräkning av de tillåtna ändamålen. Det innebär att bestämmelsen inte ger stöd för någon annan personuppgiftsbehandling än sådan som direkt faller inom ramen för de uppräknade ändamålen. Finalitetsprincipen i personuppgiftslagen gäller därmed inte vid behandling av personuppgifter på socialtjänstdatalagens område. Se dock 6 § om uppgiftsutlämnande och 4 § om verkan av den enskildes samtycke till sådan behandling av personuppgifter som inte är tillåten enligt denna lag.
Punkt 1 avser den behandling av personuppgifter som behövs
för att handlägga ärenden som rör enskilda och för att i nästa skede verkställa beslut om stödinsatser, vård och behandling. Det handlar exempelvis om den personuppgiftsbehandling som görs när beslut om individuellt behovsprövade insatser fattas. Till handläggning av
SOU 2014:23 Författningskommentar
1181
ett ärende avses här även att följa upp en insats så länge insatsen pågår, att göra en omprövning och att handlägga ett överklagande.
Vidare omfattar ändamålet sådan behandling av personuppgifter som görs inom ramen för verkställigheten, exempelvis när omsorg ges på ett särskilt boende eller olika hemtjänstinsatser genomförs. Eftersom bestämmelsen endast tar sikte på verkställighet av beslut omfattas inte sådan rådgivning eller sådant stöd som inte är biståndsbedömt av ändamålet i punkt 1. Sådan personuppgiftsbehandling kan dock utföras med stöd av den enskildes samtycke enligt 4 §. Begreppet ärende ska i bestämmelsen ges en vidare innebörd än vad som avses i förvaltningslagen och 11 kap. 1 SoL. Även när en socialnämnd ännu inte beslutat att inleda en utredning enligt 11 kap. 1 § SoL ska personuppgifter få behandlas. Det innebär exempelvis att socialnämnden får behandla personuppgifter inom ramen för den förhandsbedömning som görs innan nämnden fattat beslut om att inleda eller inte inleda en utredning.
Punkt 2 avser sådana fall då det enligt lag, förordning eller annan
författning, utöver punkten 1, uppkommer en skyldighet för socialtjänsten att exempelvis lämna ifrån sig uppgifter. I ett flertal författningar förekommer en skyldighet för socialtjänsten att lämna ut uppgifter till myndigheter, domstolar etc. Ofta är det fråga om att lämna ut sådana uppgifter som förekommer i ett ärende och uppgifterna kan då normalt lämnas ut utan någon annan bearbetning av uppgifterna. Ibland kan det dock vara fråga om en särskild personuppgiftsbehandling som utformas med ledning av hur den aktuella uppgiftsskyldigheten ska fullgöras. Det behövs därför ett särskilt ändamål som tillåter det.
Punkt 3 avser kvalitetssäkring. Kravet på socialtjänsten att
kvalitetssäkra verksamheten framgår bl.a. av 3 kap. 3 § SoL, som föreskriver att kvaliteten i verksamheten systematiskt och fortlöpande ska utvecklas och säkras. Även i lagen om stöd och service till vissa funktionshindrade finns motsvarande krav på kvalitetssäkring. Kvalitetssäkringsarbete kan göras enligt många olika metoder och i olika former. I allmänhet behöver dock arbetet inbegripa någon form av personuppgiftsbehandling. Mot bakgrund av det allmänna intresset och den stora betydelsen av att kvaliteten i socialtjänsten hela tiden utvecklas är det centralt att personuppgifter får behandlas för ändamålet.
Punkt 4 innebär att den som är verksam inom socialtjänsten
kontinuerligt eller vid särskilda tillfällen kan behandla personuppgifter för att administrera, planera, följa upp och utvärdera verk-
Författningskommentar SOU 2014:23
1182
samheten. Det kan röra allt ifrån att planera och dimensionera olika verksamheter till att fördela anslag inom det geografiska ansvarsområdet. Den administration och planering som avses i bestämmelsen görs på en mer övergripande nivå än vad som avses med ändamålet i punkten 1. Bestämmelsen gör det vidare möjligt att använda individuppgifter för att följa upp och utvärdera verksamheten. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av verksamheten i förhållande till de mål som bestämts för densamma. Inom socialtjänsten upprättas personakter men det görs även olika typer av sammanställningar av uppgifter om enskilda (från personakt). I nuvarande bestämmelser anges begreppet sammanställning av personuppgifter som ett ändamål (se avsnitt 23.2.2 angående sammanställningsregister). Med det avses sådana sammanställningar som görs i samband med socialtjänstens administration och planering. Med sådana sammanställningar avses således sådant som upprättas inom socialtjänsten bl.a. för att underlätta administrationen och vilka utgör ett slags register i mer inskränkt bemärkelse. Sammanställningarna används främst som stöd för handläggning, beslut och i samband med verkställigheten av besluten. En sådan sammanställning får anses ingå i begreppet administration och därför finns inte det begreppet med i uppräkningen i denna punkt.
Med tillsyn avses den interna tillsynen som den som bedriver verksamhet inom socialtjänsten har att göra i sin egen verksamhet. Det kan vara kontroll i individärenden och enskilda verksamheter.
Enligt punkten 5 får personuppgifter behandlas för statistikändamål. Här avses därmed inte sådan verksamhetsstatistik som ryms inom punkten 4, utan annan statistik. Det kan exempelvis vara sådan statistik som tas fram för att informera invånare om socialtjänstens verksamhet.
I andra stycket erinras om de särskilda bestämmelser om ändamål vid behandling av personuppgifter som finns i 5 kap. och 6 kap.
6 §
Paragrafen har behandlats i avsnitt 23.2.1. Genom paragrafen tydliggörs att personuppgifter som behandlas för ett tillåtet ändamål och får behandlas för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. I paragrafen regleras därmed sådant utlämnande av personuppgifter som redan finns i verksamheten därför att de samlats in för primära ändamål,
SOU 2014:23 Författningskommentar
1183
exempelvis vid handläggning av ärenden om enskilda. Sådant uppgiftsutlämnande kan göras med stöd av 10 kap. 28 § OSL som föreskriver att sekretess inte hindrar att uppgift lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. Dessutom ska bestämmelserna i 2 kap. tryckfrihetsförordningen om skyldigheten att lämna ut allmänna handlingar tillämpas före socialtjänstdatalagen, se 8 § PUL.
Personuppgifter som får behandlas
7 §
Paragrafen har redovisats i avsnitt 23.2.3. Enligt första stycket får endast sådana personuppgifter som behövs för ändamål som anges i 5 § samlas in och vidare behandlas med stöd av denna lag. Alla personuppgifter som behövs för det ändamål för vilket en behandling utförs får således behandlas. Det grundläggande kravet på att personuppgifterna ska behövas för att få behandlas innebär att endast sådana uppgifter som behövs för att uppfylla de aktuella ändamålen med personuppgiftsbehandlingen får behandlas.
Vidare nämns särskilt i paragrafen sådana personuppgifter som avses i 13 och 21 §§ PUL. Syftet med det är att klargöra att känsliga personuppgifter enligt 13 § och uppgifter om lagöverträdelser enligt 21 § endast får behandlas om det är nödvändigt för ett sådant ändamål som avses i 5 §. Bestämmelsen ger uttryck för den försiktighetsprincip som bör gälla vid behandling av så integritetskänsliga personuppgifter som det här är fråga om. Samtidigt finns det inom socialtjänsten ett behov av att behandla ett stort antal olika personuppgifter med olika grad av känslighet. Det är därför viktigt att det framgår att socialtjänsten, för att kunna utföra sina uppgifter på ett tillfredsställande sätt, får behandla integritetskänsliga uppgifter när det bedöms vara nödvändigt för verksamheten. Samtidigt gäller alltid de grundläggande kraven på att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen samt att inte fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen får behandlas. Ytterligare ett syfte är att reglera att även en enskild verksamhet ska få behandla uppgifter om lagöverträdelser under samma förutsättningar, dvs. att det är nödvändigt för ett av de tillåtna ändamålen.
Av andra stycket följer att sådana personuppgifter som avses i 13 och 21 §§ PUL alltid får behandlas om de förekommer i en ansö-
Författningskommentar SOU 2014:23
1184
kan, anmälan eller handling som inkommer till verksamheten. Detta undantag gäller inte om uppgifter på annat sätt, t.ex. genom egna iakttagelser, kommit till socialtjänstens kännedom. I sådana fall ska paragrafens första stycke tillämpas. Vad som avses med socialtjänst framgår av 1 kap. 5 §.
Enligt tredje stycket får inte andra känsliga personuppgifter som avses i 13 § PUL än uppgifter som rör hälsa, behandlas vid handläggning av ärenden om tillstånd till parkering för rörelsehindrade och ärenden som följer av bestämmelserna i körkortsförordningen.
Sökbegrepp
8 §
Paragrafen har behandlats i avsnitt 23.2.7. I första stycket anges vad som är otillåtna sökbegrepp. Det innebär att i princip de känsliga personuppgifter som avses i 13 § PUL inte får användas som sökbegrepp. Det handlar om personuppgifter som avslöjar ras eller etniskt ursprung, religiös eller filosofisk övertygelse, medlemskap i fackförening samt sådana personuppgifter som rör sexualliv. Däremot är sökbegrepp hälsa tillåtet för alla ändamål. Inom socialtjänsten finns kanske framför allt behov av att kunna använda uppgifter som rör hälsa som sökbegrepp för att exempelvis kunna göra sammanställningar vid verksamhetsuppföljning, kvalitetssäkring, planering av verksamheten m.m. Det är även tillåtet att använda uppgift om politiska åsikter som sökbegrepp.
Av andra stycket följer att regeringen, trots förbudet i första stycket, få meddela föreskrifter om att en kommunal myndighet får använda uppgifter om etnicitet som sökbegrepp för att göra vissa sammanställningar. Bakgrunden till att etnicitet ska kunna få användas som sökbegrepp är att en kommunal myndighet kan behöva planera, utföra och följa upp socialtjänstverksamheten utifrån invånarnas etniska ursprung. Med beaktande av de befogade integritetsskyddsintressen som finns vid behandling av sådana personuppgifter har vi däremot bedömt att det i dagsläget inte bör införas en generell möjlighet för kommunala myndigheter att använda etnicitet som sökbegrepp. Om det trots allt visar sig att det för kommuner finns ett väsentligt behov av att använda etnicitet som sökbegrepp innebär denna lösning att regeringen kan meddela föreskrifter som tillåter det. Enligt vår bedömning ger det en bra balans mellan enskildas behov av skydd för den personliga
SOU 2014:23 Författningskommentar
1185
integriteten och socialtjänstens behov av att behandla relevanta personuppgifter för att kunna planera och utföra verksamheten på ett tillfredsställande sätt.
Överenskommelse om informationssäkerhet m.m.
9 §
Paragrafen har behandlats i avsnitt 25.2.1. Motsvarande bestämmelse finns i hälso- och sjukvårdsdatalagen. I samband med att nya former av informationsutbyte möjliggörs är det viktigt att det inte uppstår några oklarheter när det gäller säkerhet och skyddet för personuppgifter. Bestämmelsen slår fast att när flera som bedriver verksamhet inom socialtjänst medger varandra direktåtkomst eller på annan sätt samarbetar enligt denna lag så ska den som bedriver verksamhet inom socialtjänsten träffa en överenskommelse med de andra som ingår i samarbetet om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Inför en överenskommelse ska den som bedriver verksamhet inom socialtjänsten göra en risk- och sårbarhetsanalys. Analysen ska avse de samverkande aktörernas organisatoriska och tekniska förutsättningar för att skydda personuppgifter. Analysen utgör en grund för överenskommelsens innehåll och omfattning. I överenskommelsen ska således fastställas hur skyddet för personuppgifterna ska tillgodoses. Det kan till exempel vara hur personuppgifterna ska behandlas så att inte obehöriga kan ta del av dem. Det är upp till parterna att avgöra hur en överenskommelse ska tecknas. Det kan exempelvis vara fråga om en kombination av flera åtgärder, t.ex. ett avtal som i vissa delar kompletteras av att parterna ansluter sig till ett eller flera utpekade regelverk för informationssäkerhet. Den som bedriver verksamhet inom socialtjänsten ska göra risk- och sårbarhetsanalysen och överenskommelsen innan samarbetet inleds.
I andra stycket ställs krav på att det av överenskommelsen ska framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder. Detta för att det inte ska uppkomma några oklarheter om vem eller vilka som har det ansvaret.
Författningskommentar SOU 2014:23
1186
3 kap. En säker och ändamålsenlig hantering av personuppgifter
Ansvar för den som arbetar inom socialtjänsten (inre sekretess)
1 §
Paragrafen, som har behandlats i avsnitt 24.2.1, utgör en precisering av den så kallade inre sekretessen. Paragrafen är teknikoberoende och tar sikte både på manuellt och på elektroniskt dokumenterade uppgifter om en enskild.
Den som arbetar hos någon som bedriver verksamhet inom socialtjänsten, vare sig det är i en kommunal myndighet eller i en enskild verksamhet eller på SiS, får ta del av dokumenterade uppgifter om en enskild endast om han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten. Paragrafen omfattar all personal eller motsvarande oavsett var han eller hon arbetar och oavsett för vilka syften uppgifterna behövs. Det är endast när en anställd eller en uppdragstagare behöver uppgifter för att kunna utföra sitt arbete som denne får ta del av uppgifter om enskilda individer. Av bestämmelsen följer även att den anställde eller motsvarande endast får ta del av just de uppgifter som i det enskilda fallet behövs. En ytterligare förutsättning är att uppgifterna ska användas för något av de i socialtjänstdatalagen tillåtna ändamålen för personuppgiftsbehandling. Bestämmelsen kan därmed sägas ge uttryck för den grundläggande balansen mellan behovet av integritetsskydd och behovet av att ta del av uppgifter om enskilda som gäller på socialtjänstens område.
Bestämmelsen kompletteras även av regler om tilldelning av behörighet för elektronisk åtkomst till uppgifter om enskilda. Av 5 § följer att personalens behörighet för åtkomst till uppgifter ska anpassas och begränsas till vad som behövs för att den enskilde anställde ska kunna fullgöra sina arbetsuppgifter inom socialtjänsten. Det innebär exempelvis att olika personalkategorier m.m. behöver ha olika behörigheter för elektronisk åtkomst till uppgifter om enskilda. Sådana uppgifter som en anställd över huvud taget inte har behov av att ta del av för att kunna utföra sitt arbete ska i normala fall inte heller vara elektroniskt tillgängliga för den anställde. Behörigheten handlar därmed om den tekniska möjlighet en anställd har att ta del av uppgifter. Hur behörigheten sedan får användas i enskilda situationer regleras i denna paragraf, nämligen om uppgifterna behövs för den anställdes arbete inom socialtjänsten. Den som olovligen bereder sig tillgång till en uppgift som är
SOU 2014:23 Författningskommentar
1187
avsedd för automatiserad behandling kan dömas för dataintrång enligt 4 kap. 9 c § brottsbalken. Bestämmelsen kan bli tillämplig när om en anställd i socialtjänsten använder sin behörighet för att ta del av uppgifter om en enskild utan att det behövs för arbetet.
Övergripande ansvar för den som bedriver verksamhet inom socialtjänsten
2 §
Paragrafen har behandlats i avsnitt 24.2.2. I paragrafen slås fast att den som bedriver verksamhet inom socialtjänsten ska se till att dokumenterade personuppgifter är tillgängliga för den som arbetar i socialtjänsten när uppgifterna behövs för arbetets utförande. Det här är ett sätt att tydliggöra vikten av att rätt information finns på rätt plats för att den enskilde ska kunna erbjudas de insatser som denne har behov av och för att sådana insatser ska kunna genomföras på bästa sätt. Tillgången till personuppgifter inom socialtjänsten vid rätt tillfälle är en förutsättning för att en enskild ska få säkra insatser av hög kvalitet. Bestämmelsen knyter an till syftet med socialtjänstdatalagen, 1 kap. 4 §.
3 §
Paragrafen har behandlats i avsnitt 24.2.3. I paragrafens första stycke regleras att dokumenterade personuppgifter ska hanteras och förvaras så att inte obehöriga kan komma åt dem. Det är dels ett uttryck för en regel om den inre sekretessen, dels en generell garanti för att enskildas integritet ska respekteras när personuppgifter hanteras och förvaras. Med hantering och förvaring avses här alla slags åtgärder som vidtas med personuppgifterna. Bestämmelsen är tillämplig på alla dokumenterade personuppgifter. Den gäller således alla personuppgifter om en individ. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person. Av 1 kap. 3 § framgår att lagen i tillämpliga delar gäller även avlidna personer. Obehöriga personer kan vara både utomstående och yrkesutövare inom socialtjänsten. När det gäller den sistnämnda kategorin utgör bestämmelsen en reglering av den inre sekretessen. En förutsättning för att en yrkesutövare inom socialtjänsten ska få ta del av uppgifterna om en enskild är att han eller hon behöver uppgifterna för sitt arbete inom
Författningskommentar SOU 2014:23
1188
socialtjänsten, se 3 kap. 1 § denna lag. Ytterligare bestämmelser om behörighetsstyrning och åtkomstkontroll finns i 3 kap. 5 och 6 §§.
I andra stycket finns bestämmelser som reglerar att den som bedriver verksamhet inom socialtjänsten har ett ansvar för att uppgifter skyddas mot obehörig åtkomst om internet eller andra jämförliga nät används för att överföra personuppgifter.
4 §
Paragrafen har behandlats i avsnitt 24.2.4. Bestämmelsen anger att den som bedriver verksamhet inom socialtjänsten har ett ansvar för att informationssystemen som hanterar personuppgifter är lätta att använda, stödjer arbetet i socialtjänsten, underlättar kvalitetsarbetet, underlättar samverkan och är utformade så att integritetsskyddet tillgodoses. Detta ansvar följer av socialtjänstens yttersta ansvar för att erbjuda det stöd och den hjälp som enskilda behöver. Den som bedriver verksamhet enligt socialtjänsten ansvarar enligt 3 kap. 3 § SoL för att insatser inom socialtjänsten ska vara av god kvalitet och för att det för utförande av uppgifter inom socialtjänsten ska finnas personal med lämplig utbildning och erfarenhet. Motsvarande bestämmelse finns i lagen om stöd och service till vissa funktionshindrade (6 §). Den som bedriver verksamhet inom socialtjänst är skyldig att arbeta systematiskt med att förbättra kvaliteten i verksamheten (SOSFS 2011:9). I bestämmelsen förtydligas att dessa skyldigheter innefattar ett ansvar för att de informationssystem som används är ändamålsenliga, säkra och kan användas som stöd i arbetet.
Ansvar för tilldelning av behörighet för elektronisk åtkomst
5 §
Paragrafen har behandlats i avsnitt 24.2.5. Enligt första stycket ska den som bedriver verksamhet inom socialtjänsten bestämma villkoren för hur personalen ska tilldelas behörighet för elektronisk åtkomst till uppgifter om enskilda. Vidare ska behörigheten anpassas och begränsas till vad som behövs för att en anställd ska kunna utföra sina arbetsuppgifter inom socialtjänsten. Detta gäller redan idag enligt personuppgiftslagen och den praxis som utarbetats vid tillämpningen av den lagen men tydliggörs här genom att föra in särskilda bestämmelser aktuell lag.
Bestämmelsen ställer krav på den som bedriver verksamhet inom socialtjänsten att fastställa de olika behov av tillgång till upp-
SOU 2014:23 Författningskommentar
1189
gifter som finns i verksamheten, exempelvis utifrån behoven hos olika personalkategorier och olika slags verksamheter. Frågan om behörighetsstyrning handlar inte endast om behovet av integritetsskydd utan i stor utsträckning även om att se till att personal har tillgång till all information som behövs. Behörighetstilldelningen ska sedan göras ur ett individuellt perspektiv där en anställd tilldelas en behörighet som är väl anpassad just till dennes behov. Sådana uppgifter som en anställd över huvud taget inte har behov av ska därmed normalt sett inte heller vara möjliga för den anställde att ta del av elektroniskt. Behörighetsstyrningen förutsätter därmed att såväl organisatoriska som tekniska åtgärder vidtas.
Av tredje stycket framgår att regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter i ämnet. Det är förutsatt att Socialstyrelsen ska meddela dessa föreskrifter i samråd med Datainspektionen.
Ansvar för kontroll av elektronisk åtkomst (loggar)
6 §
Paragrafen har behandlats i avsnitt 24.2.6. Av första stycket följer att den som bedriver verksamhet inom socialtjänsten ska dokumentera (logga) personalens elektroniska åtkomst till uppgifter om enskilda. Det innebär att det ska finnas en spårbarhet för de aktiviteter som görs i systemet. Av behandlingshistoriken (loggen) ska det gå att utläsa den information som behövs för att historiken ska kunna ligga till grund för den systematiska och återkommande kontrollen av obehörig åtkomst. Normalt ska loggen därför kunna svara på vilken användare som tagit del av uppgifter, vilken individs uppgifter det rör, vilka åtgärder som vidtogs med uppgifterna samt vid vilken tidpunkt det gjordes. Vidare i anges i andra stycket att systematiska och återkommande kontroller av om någon obehörigen kommit åt uppgifter om enskilda ska företas. Det räcker därmed inte att göra kontroller vid särskilda fall när obehörig åtkomst misstänkts, utan kontrollerna ska göras systematiskt och återkommande. Även här bör nämnas att den som bedriver verksamhet inom socialtjänsten redan i dag, genom den praxis som har utvecklats vid tillämpningen av 31 § PUL, ska ha en spårbarhet och kontroll av obehörig åtkomst. Genom bestämmelsen tydliggörs ansvaret för den som bedriver verksamhet inom socialtjänsten.
Författningskommentar SOU 2014:23
1190
I lagen anges inte närmare vilka uppgifter som ska gå att utläsa i behandlingshistoriken eller hur åtkomstkontrollen ska göras. Sådana föreskrifter meddelas med fördel på myndighetsnivå. Av
tredje stycket framgår därför att ytterligare föreskrifter i ämnet får
meddelas av regeringen eller den myndighet regeringen bestämmer. Det är förutsatt att det ska vara Socialstyrelsen som meddelar dessa föreskrifter efter samråd med Datainspektionen.
4 kap. Grundläggande bestämmelser om utlämnande av uppgifter och handlingar
Bestämmelser i andra lagar
1 §
I paragrafen erinras om den enskildes rätt att ta del av allmänna handlingar hos den allmänna socialtjänsten och hos sådana kommunala företag som avses i 2 kap. 3 § OSL, dvs. bolag, föreningar och stiftelser där kommuner utövar ett rättslig bestämmande inflytande.
2 §
I paragrafen hänvisas till att bestämmelser om tystnadsplikt i enskild verksamhet inom socialtjänsten finns i socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade.
Utlämnande av uppgifter till tredje land
3 §
Paragrafen, som har behandlats i avsnitt 26.2.3, motsvarar 16 § förordningen om behandling av personuppgifter inom socialtjänsten. Bestämmelsen ska med avseende på ärenden om fastställande av faderskap, vårdnad om barn och om internationella adoptioner tillämpas i stället för bestämmelserna om överföring av personuppgifter till tredje land i 33–35 §§ PUL. I andra stycket ges regeringen ett bemyndigande att meddela föreskrifter om när personuppgifter får föras över till tredje land.
SOU 2014:23 Författningskommentar
1191
Utlämnande på medium för automatiserad behandling
4 §
Paragrafen har behandlats i avsnitt 26.2.1. Genom bestämmelsen förtydligas att personuppgifter som får lämnas ut kan lämnas ut på medium för automatiserad behandling. Sådant utlämnande kan göras exempelvis genom e-post, diskett, cd, usb-minnen och filöverföring för att nämna några exempel. Utmärkande för sådant utlämnande är att den som gör utlämnandet vid varje överföringstillfälle vidtar någon aktivitet som kan jämställas med ett beslut om överföring och en sekretessprövning avseende den information som mottagaren får ta del av. För att uppgifter ska få lämnas ut på medium för automatiserad behandling måste det således vara tillåtet med hänsyn till de bestämmelser om sekretess och tystnadsplikt som gäller inom socialtjänsten. Utlämnande av personuppgifter på medium för automatiserad behandling är även en form av personuppgiftsbehandling som omfattas av denna lag och av personuppgiftslagen. Det innebär bl.a. att den personuppgiftsbehandling som utlämnandet innebär måste vara tillåten enligt de ändamålsbestämmelser m.m. som finns i denna lag samt i övrigt göras i enlighet med de informationssäkerhetskrav som följer av personuppgiftslagen. Det senare innebär exempelvis att utlämnande av känsliga personuppgifter över öppet nät, t.ex. internet, får göras om det endast är den avsedda mottagaren som kan ta del av uppgifterna och om uppgifterna är krypterade vid en eventuell överföring. Det är lämpligt att närmare krav på säkerhetsåtgärder vid utlämnande av uppgifter på medium för automatiserad behandling meddelas genom föreskrifter. Därför framgår av andra stycket att regeringen eller den myndighet som regeringen bestämmer, får meddela krav på säkerhetsåtgärder vid sådant utlämnande. Det är tänkt att Socialstyrelsen efter samråd med Datainspektionen ska meddela sådana föreskrifter.
Tillåten direktåtkomst regleras i lag eller förordning
5 §
Paragrafen har behandlats i avsnitt 26.2.2. Här anges att utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. Med direktåtkomst avses i denna lag en speciell form av elektroniskt utlämnande
Författningskommentar SOU 2014:23
1192
av personuppgifter till mottagare utanför den organisation som bedriver verksamhet inom socialtjänsten. Direktåtkomsten skiljer sig från andra typer av elektroniska utlämnanden genom att det är mottagaren av uppgifterna som bereder sig tillgång till informationen utan att den som lämnar ut informationen vidtar någon åtgärd med avseende på informationen vid överföringstillfället, t.ex. en sekretessprövning. Det handlar således om ett helt automatiskt utlämnande. Eftersom direktåtkomst medför andra risker för integritetsskyddet än andra former av utlämnanden klargörs i socialtjänstdatalagen att direktåtkomst endast är tillåten i den utsträckning som anges i lag eller förordning.
Direktåtkomst mellan myndigheter i samma kommun
6 §
Paragrafen har behandlats i avsnitt 27.2.1. Enligt första stycket får myndigheter, eller sådana kommunala bolag som avses i 2 kap. 3 § OSL, som bedriver socialtjänst i en kommun ha direktåtkomst till varandras personuppgifter. Det innebär att en kommun som väljer att organisera socialtjänsten på flera olika nämnder och bolag kan lämna ut personuppgifter mellan nämnderna och bolagen genom direktåtkomst. Genom den föreslagna ändringen i 26 kap. 8 § OSL följer att sekretess inte hindrar att uppgifter lämnas mellan myndigheterna och bolagen.
I andra stycket erinras om att det finns ytterligare bestämmelser om direktåtkomst i kapitel 5 när det gäller bestämmelser om direktåtkomst mellan kommunala myndigheter, Statens institutionsstyrelse och enskilda verksamheter.
Direktåtkomst till enskilda
7 §
Paragrafen har behandlats i avsnitt 33.5.1. Av första meningen följer att den enskilde kan medges direktåtkomst till uppgifter om den enskilde själv. Bestämmelsen innebär ingen skyldighet för den som bedriver verksamhet inom socialtjänsten att ge enskilda individer direktåtkomst till uppgifter utan endast en möjlighet till detta. När det gäller innebörden av begreppet direktåtkomst hänvisas till 5 § och avsnitt 11.2.2. Det finns naturligtvis inget hinder mot att
SOU 2014:23 Författningskommentar
1193
uppgifter om den enskilde även lämnas ut på medium för automatiserad behandling enligt 4 §.
Den som bedriver verksamhet inom socialtjänsten har frihet att själv avgöra om och i vilken omfattning enskilda ska erbjudas direktåtkomst. Det behöver således inte röra samtliga uppgifter rörande enskilda utan det kan mycket väl röra sig om avgränsade informationsmängder som exempelvis kontaktuppgifter till socialtjänsten, biståndsbeslut, genomförandeplaner, dokumentation av genomförande av beslutade insatser m.m.
Enligt bestämmelsen kan utlämnande genom direktåtkomst endast avse uppgifter om den enskilde själv. Det innebär att det saknas stöd för att till den enskilde lämna ut sådana uppgifter om andra personer som kan återfinnas i socialtjänstens dokumentation rörande den enskilde. Som exempel kan nämnas uppgifter rörande familjemedlemmar, närstående eller andra uppgiftslämnare.
Vidare framgår av bestämmelsen att den enskilde får medges direktåtkomst till sådan dokumentation som avser personalens elektroniska åtkomst till den enskildes uppgifter (behandlingshistorik, logglistor etc.).
I andra stycket finns bestämmelser som möjliggör att även andra personer än den enskilde själv kan medges direktåtkomst till sådan dokumentation som avses i första stycket. Den grundläggande förutsättningen för att sådant medgivande till direktåtkomst ska kunna göras är att den enskilde själv ger en anvisning om detta. Det kan till exempel röra sig om att en närstående till den som får insatser inom socialtjänsten får ett sådant medgivande.
I tredje stycket anges att regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om krav på säkerhetsåtgärder som ska gälla vid direktåtkomst. För att den enskilde ska kunna medges direktåtkomst krävs att det finns tillräckligt säkra tekniska lösningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Det är tänkt att Socialstyrelsen efter samråd med Datainspektionen ska meddela sådana föreskrifter.
Författningskommentar SOU 2014:23
1194
5 kap. Direktåtkomst mellan verksamheter inom socialtjänsten vid genomförandet av beslutade insatser
Utlämnande genom direktåtkomst till annan som bedriver verksamhet inom socialtjänsten
1 §
Paragrafen har behandlats i avsnitt 27.2.2. I paragrafen regleras under vilka förutsättningar den som bedriver verksamhet inom socialtjänsten får medge en annan sådan verksamhet direktåtkomst till personuppgifter som behandlas för genomförande av beslut om bistånd, stödinsatser, vård eller behandling. Genom bestämmelsen görs det exempelvis möjligt för olika verksamheter, kommunala som enskilda, att vid behov ha direktåtkomst till uppgifter rörande en enskild som är föremål för insatser av de olika verksamheterna. Direktåtkomst får dock endast medges till uppgifter som i den utlämnande verksamheten behandlas för genomförande av beslut om bistånd, stödinsatser, vård eller behandling. Det kan exempelvis handla om att företaget A som står för hemtjänstinsatser dagtid och företaget B som står för motsvarande insatser under kvällstid, kan medge varandra direktåtkomst till uppgifter om den enskilde brukaren som dokumenteras i respektive organisation. Det kan göras oavsett om insatser utförs till förmån för en enskild i ordinärt eller i särskilt boende. Under vilka förutsättningar direktåtkomsten får användas av socialtjänstpersonalen framgår dock av 5 §. Den nu aktuella bestämmelsen anger endast förutsättningarna för när direktåtkomst över huvud taget får medges, dvs. när uppgifter får göras potentiellt tillgängliga genom direktåtkomst för andra verksamheter.
För att den som bedriver verksamhet inom socialtjänsten ska få göra personuppgifter som behandlas för genomförande av beslut om bistånd, stödinsatser, vård eller behandling tillgängliga genom direktåtkomst för en annan sådan verksamhet krävs för det första att uppgifterna rör en enskild som är föremål för genomförande av sådana insatser hos både utlämnande och mottagande verksamhet inom socialtjänsten. Genom detta krav tydliggörs att direktåtkomst aldrig får medges till uppgifter rörande enskilda som vid utlämnandetillfället inte är föremål för insatser i respektive verksamhet. Den som bedriver verksamhet inom socialtjänsten får därmed inte genom direktåtkomst ha potentiell tillgång till uppgifter om individer som inte är aktuella i den egna verksamheten.
SOU 2014:23 Författningskommentar
1195
Vidare krävs för det andra att den enskilde har samtyckt till att direktåtkomst medges. Utredningens bedömning är att det är tillräckligt att inhämta samtycke från den enskilde när en insats påbörjas för att ändå få tillgång till behövlig information.
För att medge direktåtkomst enligt bestämmelsen ställs ett antal grundläggande krav för att skydda den enskildes personliga integritet. Bestämmelsen kan på inget sätt ge stöd för ett okontrollerat flöde av uppgifter mellan verksamheter som saknar eller har vaga behov av tillgång till uppgifterna. Tillämpningsområdet handlar snarast om de verksamheter som redan i dag kan utbyta uppgifter mellan varandra när bestämmelserna om sekretess och tystnadsplikt ger stöd för det, dvs. när utlämnandet bedöms kunna göras utan att den enskilde lider men av det. Precis som vid ett sådant uppgiftsutbyte ställs även enligt denna bestämmelse krav på verksamheterna att endast lämna ut de för ändamålet relevanta uppgifterna. Den enskildes samtycke ska vara en förutsättning för möjligheten att medge direktåtkomst mellan verksamheter. Det följer av det grundläggande kravet i socialtjänsten att bedriva verksamheten med respekt för den enskildes självbestämmande och integritet. En viktig faktor i sammanhanget är även att den enskilde i dag har stora möjligheter att själv välja vilka utförare som ska stå för socialtjänstinsatserna.
Den som bedriver verksamhet inom socialtjänsten ska vid olika situationer dels ta ställning till vilken typ av uppgifter som är nödvändiga att utbyta genom direktåtkomst, dels skapa tekniska förutsättningar för att lämna ut just den för ändamålet relevanta informationen. Bestämmelsen kan därför sägas ge uttryck för målsättningen att se till att rätt information finns på rätt plats, varken mer eller mindre.
2 §
Paragrafen har behandlats i avsnitt 27.2.3. I paragrafen regleras under vilka förutsättningar den som bedriver verksamhet inom socialtjänsten får medge en annan sådan verksamhet direktåtkomst till personuppgifter som behandlas för genomförandet av beslut om bistånd, stöd insatser, vård eller behandling för personer som inte endast tillfälligt saknar förmåga att samtycka enligt 1 §. Även denna bestämmelse uppställer krav på att uppgifterna rör en enskild som är föremål för genomförande av sådana insatser hos både den utlämnande och mottagande verksamheten inom socialtjänsten. Vidare krävs att uppgifterna som omfattas av utlämnande genom
Författningskommentar SOU 2014:23
1196
direktåtkomst kan antas ha betydelse för att genomföra de insatser som är nödvändiga med hänsyn till den enskildes behov.
Det handlar om att de uppgifter som lämnas ut ska bedömas vara nödvändiga med beaktande av den enskildes behov för att uppnå god kvalitet och i övrigt på bästa möjliga sätt. Detta ställer krav på att den som bedriver verksamhet inom socialtjänsten vid olika situationer dels tar ställning till vilken typ av uppgifter som är nödvändiga att utbyta genom direktåtkomst, dels skapar tekniska förutsättningar för att lämna ut just den för ändamålet relevanta informationen. Bestämmelsen kan därför sägas ge uttryck för målsättningen att se till att rätt information finns på rätt plats, varken mer eller mindre.
3 §
I paragrafen har tagits in en hänvisning till 2 kap. 9 §, som har behandlats i avsnitt 25.2.1, om att kraven på risk- och sårbarhetsanalys och överenskommelse om informationssäkerhet även gäller direktåtkomst som avses i detta kapitel. Det krävs således att den verksamhet som avser att ge en annan verksamhet direktåtkomst till personuppgifter har genomfört och en risk- och sårbarhetsanalys och i en överenskommelse fastställt hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Av överenskommelsen ska framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.
4 §
Paragrafen har behandlats i avsnitt 27.2.2. Paragrafen är ett förtydligande till vad som anges i 1 § och innebär att den som lämnar ut uppgifter om en enskild genom direktåtkomst enligt 1 § endast får göra det så länge den enskilde är föremål för genomförande av bistånd, stödinsatser, vård eller behandling hos den utlämnande verksamheten. När den enskilde inte längre är aktuell i verksamheten ska således utlämnande genom direktåtkomst upphöra. Syftet med bestämmelsen är att åstadkomma en situation som innebär att personuppgifter inte behandlas för utlämnande genom direktåtkomst längre än vad som behövs med hänsyn till ändamålet med behandlingen. Bestämmelsen förhindrar därmed att olika verksamheter har direktåtkomst till uppgifter i varandras system om enskilda som inte längre är föremål för de olika verksamheternas insatser.
SOU 2014:23 Författningskommentar
1197
Tillåtna ändamål vid direktåtkomst till uppgifter hos annan som bedriver verksamhet inom socialtjänsten
5 §
Paragrafen har behandlats i avsnitt 27.2.4. Paragrafen anger förutsättningar för när den som bedriver verksamhet inom socialtjänsten får ta del av sådana uppgifter som har lämnats ut genom direktåtkomst enligt 1 eller 2 §. Av första stycket följer att den som bedriver verksamhet inom socialtjänsten får ta del av sådana uppgifter om en enskild som gjorts tillgängliga genom direktåtkomst enligt 1 eller 2 § för ändamålet att genomföra beslut om bistånd, stödinsatser, vård eller behandling eller för att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. Det innebär således en begränsning av för vilka ändamål den som bedriver verksamhet inom socialtjänsten får använda direktåtkomst till uppgifter hos annan som bedriver sådan verksamhet.
I andra stycket erinras om att de grundläggande bestämmelserna om behörighetsstyrning och åtkomstkontroll även gäller för personalens åtkomst till uppgifter som annan verksamhet gjort tillgängliga genom direktåtkomst enligt 1 eller 2 §. Det innebär exempelvis att den som bedriver verksamhet inom socialtjänsten måste analysera vilka yrkesutövare som behöver tillgång till vilka uppgifter som gjorts tillgängliga av andra verksamheter enligt 1 eller 2 § och därefter utforma och tilldela behörigheter som är begränsade till den respektive anställdes behov av uppgifter. Vidare innebär hänvisningen till 3 kap. 5 och 6 §§ att samma krav på dokumentation av åtkomst och kontroll av åtkomst föreligger när personal genom direktåtkomst tar del av uppgifter som en annan verksamhet gjort tillgängliga enligt 1 eller 2 §.
Personuppgiftsansvar
6 §
Paragrafen har behandlats i avsnitt 27.2.5. Enligt 2 kap. 2 § är den som bedriver verksamhet inom socialtjänsten personuppgiftsansvarig för den behandling av personuppgifter som utförs i dess verksamhet. I en kommun är varje myndighet som bedriver socialtjänst personuppgiftsansvarig för sin behandling av personuppgifter. Bestämmelsen är även tillämplig vid sådan personuppgiftsbehandling som görs när den som bedriver verksamhet inom socialtjänsten
Författningskommentar SOU 2014:23
1198
genom direktåtkomst lämnar ut personuppgifter enligt 1 eller 2 § eller genom direktåtkomst tar del av personuppgifter som annan sådan verksamhet gjort tillgängliga enligt 1 eller 2 §. Regeln innebär bl.a. att den som gör en personuppgift tillgänglig genom direktåtkomst har personuppgiftsansvar för att det görs i enlighet med 1 och 2 §§ och i övrigt på ett korrekt sätt. På motsvarande sätt är den som bedriver verksamhet inom socialtjänsten och som genom direktåtkomst tar del av personuppgifter som gjorts tillgängliga enligt 1 eller 2 § personuppgiftsansvarig för den personuppgiftsbehandling som detta innebär. Det personuppgiftsansvaret omfattar således ett ansvar för att de grundläggande förutsättningarna enligt 5 § är uppfyllda vid personalens åtkomst samt att kraven på behörighetstilldelning och åtkomstkontroll tillgodoses.
Bevarande och gallring
7 §
Paragrafen har behandlats i avsnitt 27.2.6. Grundläggande bestämmelser om bevarande och gallring av uppgifter i socialtjänsten finns i socialtjänstlagen och i lagen om stöd och service till vissa funktionshindrade. Dessutom gäller bestämmelserna i arkivlagen (1990:782) för bevarande och gallring av allmänna handlingar.
Första stycket innebär att den som bedriver verksamhet inom soci-
altjänsten ansvarar för bevarandet av de uppgifter som verksamheten själv gör tillgängliga genom direktåtkomst enligt 1 eller 2 §. Sådant ansvar har alltså inte den som endast har potentiell tillgång till dessa uppgifter. Det innebär i princip att det för respektive uppgift som görs tillgänglig enligt 1 eller 2 § endast är en verksamhet som har ansvaret för att uppgiften bevaras, arkiveras och gallras.
Enligt andra stycket får en myndighet gallra uppgifter som är tillgängliga för myndigheten endast genom direktåtkomst enligt 1 eller 2 §. Denna gallringsregel behövs bl.a. för att inte någon av de deltagande myndigheterna ska bli arkivansvariga för enskilda verksamheters uppgifter som myndigheten har potentiell tillgång till.
SOU 2014:23 Författningskommentar
1199
6 kap. Informationsutbyte mellan hälso- och sjukvård och socialtjänst
Inledande bestämmelser
1 §
Paragrafen beskriver innehållet i kapitlet och har behandlats i avsnitt 32.3.3. I paragrafen lämnas en hänvisning till de möjligheter enligt hälso- och sjukvårdsdatalagen en vårdgivare har att lämna ut personuppgifter genom direktåtkomst till den som bedriver verksamhet inom socialtjänsten. I 8 § regleras för vilka ändamål den som bedriver verksamhet inom socialtjänsten får ta del av sådana personuppgifter som en vårdgivare har lämnat ut genom direktåtkomst.
2 §
I paragrafen, som har behandlats i avsnitt 32.3.16, finns en hänvisning till bestämmelserna i 3 kap. om att dessa bestämmelser om behörighetstilldelning och åtkomstkontroll även gäller behandling av personuppgifter enligt detta kapitel.
Utlämnande genom direktåtkomst till vårdgivare inom hälso- och sjukvården
3 §
Paragrafen har behandlats i avsnitt 32.3.4. Bestämmelsen reglerar ett av de alternativ som står till buds när det gäller informationshantering när det gäller personer med sammansatta behov av hälso- och sjukvård och socialtjänsten. Bestämmelsen innebär att det är tillåtet för de som bedriver verksamhet inom socialtjänsten att medge vårdgivare inom hälso- och sjukvården direktåtkomst. Den som bedriver verksamhet inom socialtjänsten får medge en vårdgivare direktåtkomst till uppgifter som behandlas för genomförande av bistånd, stödinsatser, vård eller behandling, om uppgifterna rör en enskild som har behov av både socialtjänst och hälso- och sjukvård. Uppgifterna ska även antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador inom hälso- och sjukvården.
Av bestämmelsen framgår även att ett grundläggande villkor för att den som bedriver verksamhet inom socialtjänsten ska få medge direktåtkomst är att den enskilde samtycker till det. Direktåtkomst
Författningskommentar SOU 2014:23
1200
ska enbart vara tillåten under den tid som den enskilde får de planerade insatserna (6 §).
4 §
Paragrafen, som har behandlats i avsnitt 32.3.4, möjliggör att direktåtkomst även får medges till dokumentation av råd och stöd om den enskilde samtycker till att insatsen dokumenteras. Det ska således vara fråga om sådana personuppgifter som med den enskildes samtycke kan behandlas med stöd av 2 kap. 4 §. För att utlämnande genom direktåtkomst till sådana uppgifter ska vara tillåtet måste förutsättningarna i 3 § vara uppfyllda.
5 §
Paragrafen har behandlats i avsnitt 32.3.5. Bestämmelsen reglerar förutsättningarna för när det är möjligt att medge direktåtkomst till uppgifter om enskilda, som inte endast tillfälligt har nedsatt beslutsförmåga, dvs. som inte kan samtycka enligt 3 §.
Villkoren för att direktåtkomst ska kunna medges i aktuella fall är för det första att den enskilde har behov av insatser både från socialtjänsten och hälso- och sjukvården. För det andra krävs att uppgifterna kan antas ha betydelse för den vård eller behandling som är nödvändig med hänsyn till den enskildes hälsotillstånd.
Utredningen har föreslagit en sekretessbrytande regel, se avsnitt 21.2.8, som gäller vid utlämnande av uppgift rörande den som har nedsatt beslutsförmåga. Av denna bestämmelse framgår att om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar inte socialtjänstsekretessen att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom socialtjänsten. På motsvarande sätt får den som bedriver verksamhet inom socialtjänsten lämna ut uppgifter genom direktåtkomst enligt 3 §, om uppgifterna kan antas ha betydelse för att en enskild som inte endast tillfälligt saknar förmåga att lämna samtycke ska få nödvändig vård eller behandling.
För att bestämmelsen ska tillämpas ska den enskildes bedömas sakna förmåga att lämna det samtycke som i normalfallet är ett villkor för att vårdgivare ska få medge direktåtkomst enligt 3 §. Vidare ska den enskildes beslutsförmåga inte endast vara tillfälligt nedsatt.
SOU 2014:23 Författningskommentar
1201
6 §
Paragrafen har behandlats i avsnitt 32.3.6. Bestämmelsen talar om under vilken tid utlämnande genom direktåtkomst är tillåten. Av bestämmelsen framgår således att när de planerade insatserna är genomförda ska direktåtkomsten upphöra och därefter får uppgifterna inte finnas tillgängliga för en vårdgivare inom hälso- och sjukvården.
7 §
Paragrafen, som har behandlats i avsnitt 32.3.7, reglerar hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Innan direktåtkomst får medges enligt 3 och 4 §§ ska den som bedriver verksamhet inom socialtjänsten komma överens med t.ex. en vårdgivare om hur informationssäkerheten och skyddet för personuppgifter ska tillgodoses. Den som bedriver verksamhet inom socialtjänsten ska ha genomfört en risk- och sårbarhetsanalys när det gäller de tekniska och organisatoriska säkerhetsåtgärderna. En risk- och sårbarhetsanalys ska avse de samverkande aktörernas organisatoriska och tekniska förutsättningar för att skydda personuppgifter. Analysen utgör en grund för överenskommelsens innehåll och omfattning. I överenskommelsen ska således fastställas hur skyddet för personuppgifterna ska tillgodoses. Det kan till exempel vara hur personuppgifterna ska behandlas så att inte obehöriga kan ta del av dem. Det är upp till parterna att avgöra hur en överenskommelse ska tecknas. Det kan exempelvis vara fråga om en kombination av flera åtgärder, t.ex. ett avtal som i vissa delar kompletteras av att parterna ansluter sig till ett eller flera utpekade regelverk för informationssäkerhet. Överenskommelsen ska visa hur personuppgiftsansvaret är fördelat mellan den egna verksamhetens och den mottagande verksamheten med avseende de organisatoriska och tekniska förutsättningarna att skydda personuppgifterna.
Tillåtna ändamål vid direktåtkomst till uppgifter hos en vårdgivare
8 §
Paragrafen har behandlats i avsnitt 32.3.13. Den handlar om under vilka förutsättningar den som bedriver verksamhet inom socialtjänst får behandla uppgifter som en vårdgivare gjort tillgänglig
Författningskommentar SOU 2014:23
1202
genom direktåtkomst enligt bestämmelser i hälso- och sjukvårdsdatalagen. Direktåtkomst till uppgifter inom hälso- och sjukvården får användas endast om uppgifterna behövs för att genomföra beslut om bistånd, stödinsatser, vård eller behandling eller för att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. Denna typ av direktåtkomst får således användas för samma begränsade ändamål som direktåtkomst till uppgifter hos annan som bedriver verksamhet inom socialtjänsten.
Gemensam vård- och omsorgsjournal för personer med behov av insatser från både socialtjänst och hälso- och sjukvård
9 §
Paragrafen har behandlats i avsnitt 32.2.10. I 9–12 §§ regleras det andra alternativet som görs möjligt i detta kapitel, en gemensam vård- och omsorgsjournal. Bestämmelsen reglerar att det finns en möjlighet till en gemensam vård- och omsorgsjournal i verksamhet där enskilda har behov av både vård och omsorg. Det är alltså fråga om en valfri form av dokumentation inom vård och omsorg i verksamhet där enskilda har sammansatta behov av vård och omsorg.
En sådan gemensam vård- och omsorgsjournal är endast tillåten avseende personer som har behov av insatser från både hälso- och sjukvården och socialtjänsten. Dessutom krävs att uppgifterna kan antas ha betydelse för att genomföra beslut om bistånd, stödinsats, vård eller behandling och för att förebygga, utreda, eller behandla sjukdomar och skador inom hälso- och sjukvården. Genom detta förtydligas kravet på uppgifternas betydelse både för den hälso- och sjukvård och för den socialtjänst som individen har behov av.
Genom paragrafen tillhandahålls en möjlighet för exempelvis en utförare av socialtjänst i ett särskilt boende för äldre att föra en gemensam vård- och omsorgsjournal tillsammans med den eller de vårdgivare som bedriver hälso- och sjukvård i det särskilda boendet.
För att det ska vara tillåtet att föra en gemensam vård- och omsorgsjournal ska vårdgivare och den som bedriver socialtjänst göra en överenskommelse om detta (11 §).
I 10 § regleras vad en gemensam vård- och omsorgsjournal ska innehålla.
SOU 2014:23 Författningskommentar
1203
10 §
Paragrafen har behandlats i avsnitt 32.3.11 och reglerar vad en gemensam vård- och omsorgsjournal ska innehålla. Av paragrafen framgår att den gemensamma vård- och omsorgsjournalen ska innehålla de uppgifter som för en vårdgivares del ska dokumenteras i en patientjournal samt de uppgifter som den som bedriver verksamhet inom socialtjänsten ska dokumentera enligt socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade. Innebörden av detta är således att den gemensamma vård- och omsorgsjournalen ska innehålla de uppgifter som i annat fall hade dokumenterats i en patientjournal respektive i den sociala journalen.
I övrigt ska de regler som finns i 3 kap. 12–15 och 17–19 §§ tillämpas för hanteringen av uppgifter i en gemensam vård- och omsorgsjournal. Bestämmelsen påminner också om att det i 2 kap. 5 och 6 §§ finns bestämmelser om tillåtna ändamål för vårdgivares behandling av personuppgifter i en gemensamma vård- och omsorgsjournal.
Bestämmelsen påminner också i tredje stycket om att det i 2 kap. 5 och 6 §§ finns bestämmelser om tillåtna ändamål för den som bedriver verksamhet inom socialtjänstens behandling av personuppgifter i den gemensamma vård- och omsorgsjournalen.
11 §
Paragrafen har behandlats i avsnitt 32.3.12. I bestämmelsen regleras vad en överenskommelse om gemensam vård- och omsorgsjournal ska innehålla. Den eller de som bedriver verksamhet inom socialtjänsten och en eller flera vårdgivare ska, inför det att ett samarbete enligt 9 § inleds, komma överens om vem som ska ansvara för att tillgodose den enskildes rättigheter enligt personuppgiftslagen, hälso- och sjukvårdsdatalagen och socialtjänstdatalagen. För den enskilde ska det vara tydligt vem eller vilka som ska tillgodose den enskildes rättigheter i praktiken.
Enligt andra stycket får överenskommelsen omfatta att den enskilde ska medges direktåtkomst till uppgifter om sig själv enligt bestämmelserna i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen. En sådan överenskommelse ska fastställa hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses.
Författningskommentar SOU 2014:23
1204
12 §
Paragrafen, som har behandlats i avsnitt 32.3.14, innehåller bestämmelser om bevarande och gallring när det gäller gemensam vård- och omsorgsjournal. Bestämmelsen innehåller ett stadgande om att handlingar i en gemensam vård- och omsorgsjournal ska bevaras minst tio år efter det att sista uppgiften fördes in i handlingen. I paragrafen finns en upplysning om att för allmänna handlingar gäller arkivlagen och de bestämmelser som har meddelats med stöd av arkivlagen. Detta gäller dock inte i de fall som omfattas av första meningen i bestämmelsen som säger att handlingar ska bevaras i minst tio år.
Bestämmelsen talar även om vem som ska ta hand om en vård- och omsorgsjournal när insatser har slutat att ges till den enskilde. När insatser från både hälso- och sjukvården och socialtjänsten har slutat att ges till den enskilde ska den gemenamma vård- och omsorgsjournalen överlämnas till den kommun som ansvarar för insatserna enligt socialtjänstlagen. Eftersom uppgifterna rör en person som befunnits har rätt till kommunala insatser i socialtjänsten ska den kommun som ansvarat för och finansierat socialtjänstinsatserna också ta hand om arkiveringen av den gemensamma vård- och omsorgsjournalen.
7 kap. Rättigheter för den enskilde
Rätt att ta del av uppgifter
1 §
Paragrafen har behandlats i avsnitt 29.2.1. I första stycket erinras om den enskildes rätt att ta del av allmänna handlingar hos den allmänna socialtjänsten och begränsningarna i denna rätt.
I andra stycket erinras om parts rätt att med stöd av förvaltningslagen ta del av uppgifter i samband med ärenden hos en socialnämnd som rör myndighetsutövning.
2 §
I bestämmelsen erinras om att bestämmelser om att ta del av handlingar i en personakt finns i socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade.
SOU 2014:23 Författningskommentar
1205
Rättelse
3 §
Paragrafen har behandlats i avsnitt 29.2.4. Enligt första stycket är paragrafen tillämplig vid sådan behandling av personuppgifter inom socialtjänsten som avses i 1 kap. 9 §, dvs. personuppgiftsbehandling som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Personuppgiftslagens bestämmelser om rättelse gäller endast vid rättelse av personuppgifter som har behandlats i enlighet med personuppgiftslagen. Genom denna paragraf görs bestämmelserna i personuppgiftslagen tillämpliga även då uppgifter behandlats i strid mot socialtjänstdatalagen.
I andra stycket erinras även om att bestämmelserna i 26 § förvaltningslagen om rättelse av skrivfel och liknande gäller i ärenden hos socialnämnden som avser myndighetsutövning.
Information
4 §
Paragrafen, som har behandlats i avsnitt 29.2.3, föreskriver i första
stycket att en enskild har rätt att få information om den åtkomst
som förekommit till den enskildes uppgifter. Paragrafen är tillämplig både inom allmänna och enskilda verksamheter inom socialtjänsten. Skyldigheten att lämna information är mer långtgående än den skyldighet som den allmänna socialtjänsten har enligt tryckfrihetsförordningen att lämna ut allmänna handlingar och offentlighets- och sekretesslagen att lämna uppgifter ur allmänna handlingar. Avsikten är att informationen ska vara anpassad och klargörande för den enskilde i syfte att han eller hon enkelt ska kunna tillgodogöra sig den. Den information som lämnas måste alltså vara begriplig och vägledande för den enskilde när han eller hon ska bilda sig en uppfattning om ifall åtkomsten varit befogad eller inte. Någon möjlighet för den enskilde att överklaga ett beslut med anledning av den enskildes begäran om information enligt denna paragraf finns inte.
Författningskommentar SOU 2014:23
1206
Enligt andra stycket får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om den information som ska ges till enskilda. Det är tänkt att Socialstyrelsen efter samråd med Datainspektionen ska meddela dessa föreskrifter.
5 §
Paragrafen har behandlats i avsnitt 29.2.2. Information till registrerade om den personuppgiftsbehandling som förekommer är nödvändigt för att den enskilde ska kunna ta tillvara sina rättigheter. I ett bredare sammanhang är information även viktig för att skapa en grund för allmänhetens förtroende för personuppgiftsbehandlingen. Att personuppgiftsansvariga informerar de registrerade är därmed centralt ur ett integritetsskyddsperspektiv. Avsikten med paragrafen är att ge tydlig vägledning till den som bedriver verksamhet inom socialtjänsten om vad de registrerade ska informeras om. I tillämpliga fall ska registrerade således få den information som framgår av paragrafen. Den personuppgiftsansvarige är skyldig att skapa rutiner som ser till att informationsskyldigheten kan fullgöras. Det krävs inte att personalen i verksamheten i varje enskilt fall informerar den registrerade, utan informationsskyldigheten kan fullgöras genom broschyrer som finns tillgängliga för de registrerade. Det kan även vara lämpligt att komplettera med information på verksamhetens hemsida eller i andra forum där enskilda möter verksamheten.
8 kap. Skadestånd
1 §
Paragrafen har behandlats i avsnitt 29.2.5. Paragrafen är tillämplig vid sådan personuppgiftsbehandling som avses i 1 kap. 9 §, dvs. behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Personuppgiftslagens bestämmelser om skadestånd gäller endast vid överträdelser av den lagen. Genom denna paragraf görs bestämmelserna tillämpliga även då uppgifter behandlas i strid med socialtjänstdatalagen. Enligt 48 § PUL ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. Såle-
SOU 2014:23 Författningskommentar
1207
des är det den personuppgiftsansvarige som även enligt socialtjänstdatalagen har det skadeståndsrättsliga ansvaret för en behandling av personuppgifter som stått i strid med lagen. Som framgår av 2 kap. 2 § är det i kommuner en myndighet som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Talan om eventuellt skadestånd ska dock väckas mot den juridiska personen, dvs. kommunen.
Ikraftträdande
Bestämmelserna i den nya lagen träder i kraft den 1 januari 2016, då lagen (2001:454) om behandling av personuppgifter inom socialtjänsten upphör att gälla.
Ikraftträdandet behandlas närmare i avsnitt 39. Socialtjänstdatalagen ersätter den reglering som nu finns i lagen om behandling av personuppgifter inom socialtjänsten, som ska upphöra att gälla samtidigt som socialtjänstdatalagen träder i kraft.
41.3 Förslag till lag om Socialstyrelsens behandling av personuppgifter i verksamhet avseende utredningar av vissa dödsfall
Lagens tillämpningsområde m.m.
1 §
Paragrafen, som har behandlats i avsnitt 30.2.2, anger lagens tillämpningsområde. Lagen ska gälla Socialstyrelsens behandling av personuppgifter i sådan verksamhet som avses i lagen (2007:606) om utredningar avseende vissa dödsfall.
2 §
Paragrafen har behandlats i avsnitt 30.2.2. Paragrafen anger lagens förhållande till personuppgiftslagen. Det finns flera alternativ att reglera förhållandet mellan en registerförfattning och personuppgiftslagen. Av denna bestämmelse följer att personuppgiftslagen gäller om inget annat sägas i denna lag. Lagen om Socialstyrelsens behandling av personuppgifter i verksamhet avseende utredning av vissa dödsfall innehåller därför endast de särbestämmelser och förtydliganden som det har bedömts finnas ett behov av. I övrigt ska personuppgiftslagen tillämpas.
Författningskommentar SOU 2014:23
1208
Personuppgiftsansvar
3 §
Paragrafen, som har redovisats i avsnitt 30.2.3, anger att Socialstyrelsen är personuppgiftsansvarig för den behandling av personuppgifter som utförs i aktuell verksamhet. Bestämmelsen motsvarar 22 § SoLPULF.
Tillåten personuppgiftsbehandling
4 §
Paragrafen har behandlats i avsnitt 30.2.4. I paragrafen redovisas de primära ändamålen för vilka Socialstyrelsens personuppgiftsbehandling är tillåten samt vilka personuppgifter som får behandlas för dessa ändamål. Syftet med att ange tillåtna ändamål är att tydligt slå fast en ram för när personuppgifter får samlas in och behandlas hos Socialstyrelsen. Mot bakgrund av de integritetsintressen som finns vid behandling av de känsliga personuppgifter som det är fråga om här utgör bestämmelsen en uttömmande uppräkning av de tillåtna ändamålen. Bestämmelsen motsvarar 6 § första stycket SoLPUL, och 23 § SoLPULF, dock med några språkliga justeringar.
5 §
Paragrafen, som har behandlats i avsnitt 30.2.4, reglerar sådant utlämnande av personuppgifter som redan finns i verksamheten därför att de har samlats in för primära ändamål. Sådant uppgiftsutlämnande kan göras med stöd av 10 kap. 28 § OSL. Den bestämmelsen föreskriver att sekretess inte hindrar att uppgift lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. Bestämmelsen motsvarar 6 § andra stycket SoLPUL, med någon språklig justering.
Den enskildes inställning till personuppgiftsbehandling
6 §
Paragrafen har behandlats i avsnitt 30.2.4. Enligt bestämmelsen får personuppgiftsbehandlingen som är tillåten enligt denna lag utföras även om den enskilde motsätter sig det. Bestämmelsen ska ses mot bakgrund av artikel 14 a dataskyddsdirektivet, som föreskriver att
SOU 2014:23 Författningskommentar
1209
den enskilde åtminstone i vissa fall ska garanteras en rätt att motsätta sig en personuppgiftsbehandling, om inte annat föreskrivs i nationell lagstiftning. Som huvudregel är således personuppgiftsbehandling tillåten även om den enskilde motsätter sig det. Bestämmelsen motsvarar 6 § tredje stycket SoLPUL.
Direktåtkomst
7 §
I paragrafen, som har behandlats i avsnitt 30.2.4, har tagits en uttrycklig bestämmelse om att Socialstyrelsen inte får medge andra myndigheter eller enskilda direktåtkomst till personuppgifter. Paragrafen motsvarar 24 § SoLPULF.
Sökbegrepp
8 §
Paragrafen har behandlats i avsnitt 30.2.4. I bestämmelsen anges att Socialstyrelsen får använda de sökbegrepp som behövs för utredningsverksamheten. Den sökning som här är aktuell är sökning efter uppgifter eller i samband med sammanställningar som Socialstyrelsen behöver göra för utredningsverksamheten. Bestämmelsen motsvarar 25 § SoLPULF.
41.4 Förslag till lag om ändring i lagen ( 1993:387 ) om stöd och service till vissa funktionshindrade
21 c §
Paragrafen har behandlats i avsnitt 23.2.2. Andra stycket ändras så att hänvisningen till sådan sammanställning av uppgifter som avses i lagen om behandling av personuppgifter inom socialtjänsten utgår. Ändringen innebär även att det nuvarande tredje stycket utgår. Med anledning av ändringarna kommer det bara att finnas en utgångspunkt för att beräkna gallringsfristen när det gäller anteckningar och andra uppgifter i en personakt hos den eller de nämnder som avses i 22 §. Sådana uppgifter ska gallras fem år efter det att sista anteckningen gjordes i akten.
Författningskommentar SOU 2014:23
1210
23 a §
Paragrafen har behandlats i avsnitt 23.2.2. I paragrafens första stycke föreskrivs att bestämmelserna i 21 a och 21 b §§ gäller i tillämpliga delar enskild verksamhet. Ändringarna innebär dels en ändring i andra stycket, dels att det nuvarande tredje stycket utgår. Ändringen innebär att den särskilda utgångspunkten för att beräkna gallringsfristen när det gäller sammanställningar av personuppgifter tas bort. Därmed finns det bara en utgångspunkt för att beräkna gallringsfristen när det gäller anteckningar och andra uppgifter i en personakt. Det innebär att anteckningar och andra uppgifter i en personakt ska bevaras och därefter gallras två år efter det att den sista anteckningen gjordes i akten.
23 f §
Paragrafen är ny och har behandlats i avsnitt 21.3.2. I paragrafen regleras en skyldighet för den som yrkesmässigt bedriver enskild verksamhet inom socialtjänsten att i vissa fall lämna ut uppgifter. Uppgiftsskyldigheten gäller till den kommunala nämnd som har beslutat om en insats som genomförs i den enskilda verksamheten och som nämnden behöver för de ändamål som anges i 2 kap. 5 § socialtjänstdatalagen.
41.5 Förslag till lag om ändring i lagen ( 1996:1156 ) om receptregister
6 §
Ändringen har behandlats i avsnitt 35.5.2 och innebär en utökning av när personuppgifter från receptregistret får lämnas ut till Socialstyrelsens läkemedelsregister. Utredningen har föreslagit att ändamålsbestämmelsen i förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen ska utökas till att omfatta även uppföljning, utvärdering och kvalitetssäkring inom hälso- och sjukvårdsområdet. eHälsomyndigheten lämnar ut de personuppgifter som avses i förordningen om läkemedelsregister hos Socialstyrelsen från receptregistret till läkemedelsregistret. Som en konsekvens av utökningen av ändamålen i läkemedelsregistret krävs en följdändring i aktuell bestämmelse. Ändringen möjliggör således att personuppgifter får behandlas för registrering och redovisning till Socialstyrelsen, förutom för epidemiologiska undersökningar och forskning inom hälso- och sjukvårdsområdet, även för ändamålen
SOU 2014:23 Författningskommentar
1211
uppföljning, utvärdering och kvalitetssäkring inom hälso- och sjukvårdsområdet.
I fjärde stycket, som behandlats i avsnitt 35.5.3., görs en hänvisning till första stycket punkten 7 vilket innebär att förskrivningsorsak får redovisas även för ändamålet registrering och redovisning till Socialstyrelsen av uppgifter för epidemiologiska undersökningar, forskning, framställning av statistik och för uppföljning, utvärdering och kvalitetssäkring inom hälso- och sjukvårdsområdet.
14 §
I paragrafen görs en följdändring med anledning av att patientdatalagen upphävs.
41.6 Förslag till lag om ändring i lagen ( 1998:603 ) om verkställighet av sluten ungdomsvård
23 a §
Paragrafen, som är ny, har behandlats i avsnitt 26.2.4. Bestämmelsen anger en uppgiftsskyldighet för Statens institutionsstyrelse att lämna ut uppgifter till Försäkringskassan, Pensionsmyndigheten och Rikspolisstyrelsen. Det gäller personer som är intagna i särskilt ungdomshem med stöd av lagen (1998:603) om verkställighet av sluten ungdomsvård. Uppgifterna som ska lämnas ut är dagen för verkställighetens början och slut samt eventuell ändrad slutdag. Till Rikspolisstyrelsen ska uppgifter om dagen för verkställighetens början lämnas ut, om den sammanlagda vårdtiden är minst ett år. I tredje stycket hänvisas till att andra bestämmelser om uppgiftsskyldighet finns i förordningen (1999:1134) om belastningsregister. Bestämmelsen motsvarar den som tidigare har funnits i 10 a § SoLPULF.
41.7 Förslag till lag om ändring i socialtjänstlagen (2001:453)
7 kap. 3 §
Paragrafen har behandlats i avsnitt 23.2.2. I paragrafens första stycke föreskrivs att bestämmelserna i 11 kap. 5 och 6 §§ gäller i tillämpliga delar enskild verksamhet som står under Inspektionen för vård och omsorgs tillsyn enligt socialtjänstlagen. Ändringarna
Författningskommentar SOU 2014:23
1212
innebär dels en ändring i andra stycket, dels att det nuvarande tredje stycket utgår. Ändringen innebär att den särskilda utgångspunkten för att beräkna gallringsfristen när det gäller sammanställningar av personuppgifter tas bort. Därmed finns det bara en utgångspunkt för att beräkna gallringsfristen när det gäller anteckningar och andra uppgifter i en personakt. Det innebär att anteckningar och andra uppgifter i en personakt ska bevaras och därefter gallras två år efter det att den sista anteckningen gjordes i akten.
7 kap. 7 §
Paragrafen har behandlats i avsnitt 21.3.2. Paragrafen är ny. I paragrafen regleras en skyldighet för den som yrkesmässigt bedriver enskild verksamhet inom socialtjänsten att i vissa fall lämna ut uppgifter. Uppgiftsskyldigheten gäller till den socialnämnd som har beslutat om en insats som genomförs i den enskilda verksamheten och som nämnden behöver för de ändamål som anges i 2 kap. 5 § socialtjänstdatalagen.
12 kap. 1 §
Paragrafen har behandlats i avsnitt 23.2.2. Andra stycket ändras så att hänvisningen till sådan sammanställning av uppgifter som avses i lagen om behandling av personuppgifter inom socialtjänsten utgår. Ändringen innebär även att nuvarande tredje stycket utgår. Med anledning av ändringarna kommer det bara att finnas en utgångspunkt för att beräkna gallringsfristen när det gäller anteckningar och andra uppgifter i en personakt hos socialnämnden. Sådana uppgifter ska gallras fem år efter det att sista anteckningen gjordes i akten.
SOU 2014:23 Författningskommentar
1213
41.8 Förslag till lag om ändring i lagen ( 2001:499 ) om omskärelse av pojkar
4 §
I paragrafen görs en följdändring med anledning av att patientdatalagen upphävs.
41.9 Förslag till lag om ändring i lagen ( 2002:546 ) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten
1 §
I paragrafen görs en följdändring med anledning av att patientdatalagen upphävs.
41.10 Förslag till lag om ändring i lagen ( 2005:258 ) om läkemedelsförteckningen
1 §
Ändringen, som har behandlats i avsnitt 15.7.5, innebär ett förtydligande av att eHälsomyndighetens register över köp av läkemedel också ska innefatta köp av läkemedel utomlands av läkemedel som förskrivits i Sverige. I avsnitt 34.3 behandlas de närmare förutsättningarna för att kunna hämta ut receptförskrivna läkemedel i andra länder.
3 §
Ändringen har behandlats i avsnitt 15.7.7. Farmaceuter som arbetar i hälso- och sjukvården får med den enskildes uttryckliga samtycke ha åtkomst till den enskildes uppgifter i läkemedelsförteckningen. Uppgifterna får användas för att åstadkomma en säker framtida förskrivning av läkemedel för den enskilde, för att komplettera den enskildes patientjournal eller för att underlätta den enskildes läkemedelsanvändning.
Författningskommentar SOU 2014:23
1214
41.11 Förslag till lag om ändring i lagen ( 2007:606 ) om utredningar avseende vissa dödsfall
9 §
Paragrafen som har behandlats i avsnitt 30.2. I paragrafen tas in en ny hänvisning till den nya lagen om Socialstyrelsens behandling av personuppgifter i verksamhet avseende utredningar av vissa dödsfall. Det är en följdändring med anledning av att lagen om behandling av personuppgifter inom socialtjänsten upphävs.
41.12 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
24 kap. 8 §
I paragrafen görs en följdändring med anledning av att patientdatalagen upphävs.
25 kap. 2 §
Paragrafen, har behandlats i avsnitt 13.4.2. Den har ändrats så att den gäller vid alla typer av direktåtkomst mellan vårdgivare. Inte bara vid sammanhållen journalföring, utan också vid direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde kan vårdgivaren ha potentiell tillgång till uppgifter som vårdgivaren inte får ta del av. För att vårdgivaren inte ska behöva använda direktåtkomsten för att sekretesspröva uppgifter som denne inte har rätt att ta del av behövs denna bestämmelse om absolut sekretess.
Absolut sekretess ska gälla hos en myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet för uppgift om enskilds personliga förhållanden om uppgiften har gjorts tillgänglig för myndigheten av en annan sådan myndighet eller av en enskild vårdgivare enligt vad som föreskrivs om direktåtkomst, och om förutsättningar för att myndigheten ska få behandla uppgiften enligt 6 kap. 2 § eller 8 kap.8–10 §§hälso- och sjukvårdsdatalagen inte är uppfyllda.
Om sådana förutsättningar föreligger eller myndigheten tidigare har behandlat uppgiften med stöd av nämnda bestämmelser gäller enligt andra stycket vanlig hälso- och sjukvårdssekretess. Bestämmelsen har införts mot bakgrund av att potentiellt tillgängliga uppgifter som huvudregel utgör allmänna handlingar hos vårdgivaren.
SOU 2014:23 Författningskommentar
1215
Förarbeten till motsvarande bestämmelser om absolut sekretess för uppgifter som gjorts tillgängliga genom sammanhållen journalföring finns i prop. 2007/08:126 s. 126 f. och 269 f.
25 kap. 11 §
Paragrafen har ändrats. Punkten 3 och 4 har bara ändrats på så sätt att hänvisning görs till hälso- och sjukvårdsdatalagen. De nya punkterna 3 a–4 a innebär att sex nya sekretessbrytande bestämmelser förs in i paragrafen.
Punkten 3 a innebär att sekretess inte ska hindra att uppgifter
lämnas till privata vårdgivare med stöd av bestämmelserna om direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård inom en huvudmans ansvarsområde (6 kap. 1 § hälso- och sjukvårdsdatalagen). Bestämmelsen har behandlats i avsnitt 13.4.2.
Punkten 3 b innebär att sekretess inte ska hindra att uppgifter
lämnas till en enskild vårdgivare eller till den som bedriver verksamhet inom socialtjänsten enligt vad som föreskrivs om direktåtkomst i 9 kap. hälso- och sjukvårdsdatalagen. Bestämmelsen har behandlats i avsnitt 32.3.12.
Punkten 3 c innebär att sekretess inte ska hindra att uppgifter
lämnas ut för att möjliggöra dokumentation i en gemensam vård- och omsorgsjournal enligt bestämmelserna i 9 kap. hälso- och sjukvårdsdatalagen. Bestämmelsen har behandlats i avsnitt 32.3.12.
Enligt punkten 3 d ska sekretess inte vara något hinder för utlämnande genom direktåtkomst till den som utför källdatagranskning enligt 5 kap. 7 § hälso- och sjukvårdsdatalagen. Bestämmelsen har behandlats i avsnitt 11.2.3.
Enligt punkten 3 e ska sekretess inte gälla om bestämmelserna om överföring av vårddokumentation i samband med verksamhetsövergångar följs (12 kap.4 och 5 §§hälso- och sjukvårdsdatalagen). Bestämmelsen har behandlats i avsnitt 13.4.5.
Enligt punkten 4 a ska sekretess inte hindra att uppgifter lämna ut från ett nationellt eller regionalt kvalitetsregister enligt vad som föreskrivs om direktåtkomst i 10 kap. hälso- och sjukvårdsdatalagen. Bestämmelsen har behandlats i avsnitt 17.4.4.
På grund av dessa bestämmelser om undantag från sekretess behövs det ingen särskild reglering för att en enskild vårdgivare ska kunna lämna ut uppgifter genom direktåtkomst, i en gemensam vård- och omsorgsjournal, för källdatagranskning eller i samband med verksamhetsövergångar. Ett sådant utlämnande kan inte anses som obehörigt i den mening som avses i patientsäkerhetslagen och
Författningskommentar SOU 2014:23
1216
innebär därmed inget brott mot tystnadsplikten. Jämför kommentaren till ändringen i 6 kap. 15 § PSL.
26 kap. 8 §
Paragrafen har ändrats på så vis att fyra nya sekretessbrytande bestämmelser införts. I punkten 2 anges att en uppgift kan lämnas ut, utan att socialtjänstsekretessen hindrar det, från en myndighet som bedriver verksamhet som avses i 1 §, dvs. socialtjänst, till en annan sådan myndighet i samma kommun. Bestämmelsen möjliggör att hantera och utbyta information oberoende av hur en kommun har valt att organisera sin verksamhet. Det kan till exempel vara så att en kommun har delat upp sin socialtjänstverksamhet på två eller flera nämnder med därtill hörande förvaltningar. Bestämmelsen innebär att sekretessgränser inte ska föreligga mellan de olika nämnderna. Bestämmelsen innebär dock inte någon generell lättnad av socialtjänstsekretessen och inte heller av det grundläggande synsättet i offentlighets- och sekretesslagen att det gäller sekretess mellan olika myndigheter. Bestämmelsen har behandlats i avsnitt 21.2.3.
I punkten 3 anges att socialtjänstsekretess inte hindrar att uppgifter lämnas till en myndighet som bedriver verksamhet som avses i 1 § eller till en enskild verksamhet på socialtjänstens område enligt vad som föreskrivs om direktåtkomst mellan verksamheter inom socialtjänsten i 5 kap. socialtjänstdatalagen. Bestämmelsen innebär att sekretessen bryts så att de myndigheter inom en kommun som bedriver socialtjänst kan ha direktåtkomst till varandras personuppgifter. Bestämmelsen innebär även att sekretessen bryts i de fall när olika utförare inom socialtjänsten avser att lämna ut personuppgifter genom direktåtkomst till annan som bedriver verksamhet inom socialtjänsten. Bestämmelsen har behandlats i avsnitt 27.2.7.
I punkten 4 anges att socialtjänstsekretess inte ska hindra att uppgift om en enskild lämnas från en myndighet inom socialtjänsten till en annan myndighet som avses i 1 §, till en myndighet inom hälso- och sjukvården eller till en enskild verksamhet enligt vad som föreskrivs om direktåtkomst mellan den som bedriver verksamhet inom socialtjänst och en vårdgivare i 6 kap. socialtjänstdatalagen. Bestämmelsen har behandlats i avsnitt 32.3.15.
I punkten 5 anges att socialtjänstsekretess inte ska hindra att uppgift om en enskild lämnas från en myndighet inom socialtjänsten till en myndighet inom hälso- och sjukvården eller till en
SOU 2014:23 Författningskommentar
1217
enskild verksamhet inom hälso- och sjukvården eller socialtjänsten enligt vad som föreskrivs om en gemensam vård- och omsorgsjournal i 6 kap. socialtjänstdatalagen. Bestämmelsen har behandlats i avsnitt 32.3.15.
26 kap. 9 a §
Paragrafen, som är ny, har behandlats i avsnitt 21.2.8. Paragrafen anger socialtjänstsekretessen inte hindrar att uppgift lämnas ut om en enskild på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut om en uppgift om honom eller henne behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd. Som förutsättning anges att uppgiften lämnas från en myndighet inom socialtjänsten till en annan myndighet inom socialtjänsten eller inom hälso- och sjukvården eller till en enskild verksamhet på socialtjänstens område eller en enskild vårdgivare.
Bestämmelsen motsvarar den bestämmelse i 25 kap. 13 § denna lag som gäller inom hälso- och sjukvården. Förarbeten till motsvarande bestämmelse i sekretesslagen (1980:100) finns i prop. 2007/08:126 s. 160 f. och 272.
41.13 Förslag till lag om ändring i patientsäkerhetslagen (2010:659)
6 kap. 12 §
Paragrafens andra stycke upphävs. Ändringen, som har behandlats i avsnitt 33.5.2, innebär att tystnadsplikt mot patienten avseende uppgifter om honom eller henne själv tas bort. Motsvarande bestämmelse i offentlighets- och sekretesslagen upphävs också. Ändringen innebär bl.a. att det blir enklare att erbjuda patienten direktåtkomst till uppgifter om sig själv. Men det innebär inte att patienten automatiskt, utan att själv ha efterfrågat det, ska få del av uppgifter från hälso- och sjukvården. Det innebär endast att en vårdgivare inte kan neka en patient att ta del av uppgifter om sig själv om patienten begär att få ta del av dem. Vårdgivaren bestämmer om uppgifter ska lämnas ut manuellt, genom direktåtkomst eller på medium för automatiserad behandling. Det står vårdgivare fritt att själv fatta beslut i frågor om tillvägagångssättet för utlämnande.
Författningskommentar SOU 2014:23
1218
6 kap. 15 §
I paragrafen införs en ny punkt 7. Ändringen har behandlats i avsnitt 13.4.4. Paragrafen innehåller bestämmelser om att hälso- och sjukvårdspersonal är skyldig att lämna ut vissa uppgifter som annars skulle omfattas av tystnadsplikt. Av 10 kap. 28 § OSL följer att en bestämmelse i lag eller förordning om uppgiftsskyldighet bryter sekretessen. Offentlighets- och sekretesslagen gäller bara för den allmänna hälso- och sjukvården. Personal inom enskild hälso- och sjukvård, dvs. hos privata vårdgivare, har tystnadsplikt enligt 6 kap. 12 § PSL. Tystnadsplikten innebär att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Vid tolkningen av detta obehörighetsrekvisit har det ansetts naturligt att söka ledning i offentlighets- och sekretesslagens regler (se prop. 2005/06:141 s. 63 och prop. 2005/06:161 s. 82 och 93).
I den nya punkten 7 föreskrivs att hälso- och sjukvårdspersonalen är skyldig att till den offentliga huvudman som finansierar hälso- och sjukvårdsverksamheten lämna ut uppgifter som huvudmannen behöver för ändamål som anges i 2 kap. 5 § hälso- och sjukvårdsdatalagen. Ändringen innebär att hälso- och sjukvårdspersonal hos en privat vårdgivare har en skyldighet att lämna ut sådana uppgifter som den offentliga huvudmannen behöver för något av de godkända ändamålen för behandling som anges i 2 kap. 5 § hälso- och sjukvårdsdatalagen.
1219
Särskilt yttrande
Särskilt yttrande av experten Maria Bergdahl
Vart tog patientens integritetsskydd vägen?
Utredningen har föreslagit så många förenklingar, förtydliganden och förändringar i förhållande till hur patientdatalagen ser ut i dag, att utredningen vill införa en ny lag som ersätter patientdatalagen;
Inledningsvis anser jag att det saknas en fullödig analys och beskrivning av förslagens konsekvenser för patienternas integritet. Det är inte helt lätt att ta in det omfattande materialet samt att förstå vad de sammantagna effekterna för patienterna kommer att bli totalt sett. Jag anser därför att det behövs en heltäckande analys som tydliggör hur alla dessa förslag sammantaget kommer att inverka på patienternas integritetsskydd. Behovet av en sådan analys följer också av den rätt till integritetsskydd som var och en är tillförsäkrad gentemot det allmänna i 2 kap. 6 § andra stycket regeringsformen.
Det finns flera förslag där jag ifrågasätter om patientens integritetsskydd har tillvaratagits, men på grund av materialets omfång och tidsbrist har jag valt att inte uttala mig i dessa delar. Jag har i huvudsak inriktat mig på nedanstående förslag:
• Förbättrade möjligheter till direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde.
• En ny sammanhållen journalföring samt en utvidgad direktåtkomst.
• Ändrade spärrmöjligheter för patienterna.
Särskilda yttranden SOU 2014:23
1220
Sammanfattning
Jag anser att förslagen ovan kommer att medföra ett försämrat integritetsskydd, inklusive ett försämrat medbestämmande, för patienterna. Utredningens förslag om förbättrade möjligheter till direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde, anser jag i praktiken kommer innebära att åtkomsten till patienternas vårddokumentation kommer att öppnas upp, dvs. det kommer att bli enklare för vårdpersonal att ta del av uppgifter om patienterna över t.ex. vårdgivargränser. Patienternas medbestämmande till vilken/vilka vårdgivare som får ta del av patientens ospärrade uppgifter i journalsystemen inom ramen för sammanhållen journalföring kommer att försvinna, i och med att patientens samtycke till personuppgiftsbehandlingen tas bort. Vidare begränsas patienternas spärrmöjligheter. Förslagen innebär generellt en större potentiell spridning av patientuppgifter, där många fler användare kommer att kunna ta del av patienternas uppgifter. Ska vi verkligen öppna upp systemen på detta sätt, innan vi vet att reglerna för t.ex. behörighetsstyrning och åtkomstkontroll efterföljs av vårdgivarna och faktiskt fungerar i praktiken? Borde inte vårdgivarna åtminstone kunna säkerställa att behörig personal inte har för vida behörigheter, utan att behörigheten är begränsad till vad som är nödvändigt för att ge en god och säker vård?
Jag anser att reglerna som rör patientens integritetsskydd måste fungera på en åtminstone acceptabel nivå innan systemen öppnas upp ännu mera. Har systemen väl öppnats upp är det näst intill omöjligt att gå tillbaka och ”göra om och göra rätt”. Visserligen kan man rent tekniskt ändra funktioner i systemen i efterhand, men vid denna tidpunkt kan integritetsskadan redan ha inträffat. Patientens vårddokumentation har ju redan tillgängliggjorts av vårdgivarna. Jag vill dock framhålla att jag inte anser att patientsäkerheten är mindre viktig än patientintegriteten. Dessa båda begrepp bör gå hand i hand. Patienten ska naturligtvis vara trygg i att denne får en god och säker vård, men inte på bekostnad av patientintegriteten. För att patienten ska känna sig trygg när denne besöker vården behövs fokus på båda begreppen. Jag anser dock att i de ovanstående förslagen har patientintegriteten fått stå tillbaka i alltför stor utsträckning i förhållande till patientsäkerheten, tillgängligheten och ”kvaliteten i vården”. Detta eftersom nyttan av dessa inskränkningar inte tillräckligt har analyserats och vägts mot patientens rätt till integritetsskydd.
SOU 2014:23 Särskilda yttranden
1221
Vidare saknas det djupare konsekvensanalyser beträffande hur de föreslagna försämringarna vad gäller patienternas integritetsskydd kan uppvägas på annat sätt. Detta gör att jag i de ovanstående delarna inte kan ställa mig bakom utredningens förslag.
Förbättrade möjligheter till direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde
Förslaget innebär att samtliga vårdgivare med offentlig finansiering som verkar inom samma kommuns eller landstingskommuns ansvarsområde ska kunna utbyta uppgifter genom direktåtkomst. Sådan direktåtkomst är enbart tillåten mellan den hälso- och sjukvårdsverksamhet som vårdgivarna bedriver inom samma huvudmans ansvarsområde. För att en vårdgivare ska få ta del av uppgifter som gjorts tillgängliga genom direktåtkomst ska uppgifterna röra en patient som vårdgivaren har eller har haft en patientrelation med och uppgifterna ska behövas för något av de i lagen tillåtna ändamålen för personuppgiftsbehandling. Det ovanstående förslaget ersätter i huvudsak det som vi i dag känner till som lokal-, och regional sammanhållen journalföring. Lokal-, och regional sammanhållen journalföring kommer i praktiken inte längre att existera.
I dag omfattar bestämmelserna rörande inre sekretess endast en vårdgivare. Ska patientuppgifter lämnas ut till en annan vårdgivare måste det ske i enlighet med reglerna om sammanhållen journalföring eller efter en sekretessprövning. Utredningens förslag kommer, beroende på var i landet patienten bor, medföra att många fler vårdgivare initialt får direktåtkomst till patientens vårddokumentation. Detta utan det integritetsskydd som reglerna för sammanhållen journalföring i dag borgar för, dvs. att det krävs samtycke innan vårdgivaren tar del av patientuppgifter. Om en patient bor i någon av de större regionerna, t.ex. i Stockholm, Västra Götalandsregionen eller i Region Skåne, blir konsekvensen att väldigt många fler vårdgivare kommer att ha direktåtkomst till patientens vårddokumentation.
Hur kommer patienternas integritet, inklusive medbestämmande, att tas tillvara inom ramen för det nya förslaget? Utredningen bedömer att de nuvarande bestämmelserna om inre sekretess m.m. bör föras över till den nya lagen endast med några mindre förändringar. Utredningen anför att ”Med regler om inre
Särskilda yttranden SOU 2014:23
1222
sekretess, behörighetsstyrning och åtkomstkontroll tydliggörs att det aldrig kan vara fråga om ett okontrollerat och fritt flöde av uppgifter inom hälso- och sjukvården.” Därutöver föreslås nya krav på vårdgivare som utbyter uppgifter genom direktåtkomst att göra risk- och sårbarhetsanalyser och att komma överens om hur informationssäkerheten och skyddet för personuppgifter ska tillgodoses. Vidare föreslås att vårdgivarna ska se till att informationssystemen är utformade på ett sådant sätt att patientens integritetsskydd tillgodoses.
Jag anser inte att det ovanstående är tillräckligt för att vårdgivarna i nuläget ska få använda sig av direktåtkomst på det föreslagna sättet. Datainspektionen har genom sitt tillsynsarbete kunnat konstatera att vårdgivarna för närvarande, i stor utsträckning, inte lever upp till bestämmelserna om behörighetsstyrning och åtkomstkontroll i enlighet med patientdatalagen. Många vårdgivare har i dag inte gjort den behovs- och riskanalys som de är skyldiga att göra inför behörighetstilldelningen till journalsystemen. Det innebär att personalen ofta tilldelas vida behörigheter, vilket medför att personalen kan ta del av långt fler patientuppgifter än vad de i praktiken behöver för att ge patienten en god och säker vård. Vidare har många vårdgivare inte riktlinjer som specificerar vad som utgör en obehörig åtkomst. Frånvaron av riktlinjer innebär i sin tur att de personer hos vårdgivarna som är ansvariga för att granska åtkomsten, inte har något egentligt underlag till stöd för sin bedömning. Sannolikheten för att bedömningarna blir mer eller mindre godtyckliga anser jag därför vara stor. Det innebär att patienten i praktiken faktiskt inte kan veta om personalens åtkomst till patientens uppgifter har varit befogad eller inte.
Vårdgivarna ska redan i dag göra risk- och sårbarhetsanalyser. Detta regleras i 31 § personuppgiftslagen. Att utredningen förtydligar att vårdgivarna ska se till att informationssystemen är utformade på ett sådant sätt att patientens integritetsskydd tillgodoses är bra, men även detta ska vårdgivarna redan i dag beakta. Vårdgivarna är ju personuppgiftsansvariga för sin behandling av patientuppgifter. Om utredningens förslag blir verklighet finns det en risk för både obefogad och okontrollerad spridning av patientuppgifter. Vidare har patienternas möjlighet till medbestämmande i form av samtycke till personuppgiftsbehandlingen tagits bort, i och med att det i praktiken inte längre kommer att finnas en lokal- och regional sammanhållen journalföring. Eftersom det
SOU 2014:23 Särskilda yttranden
1223
integritetsskydd den regeln ger i dag försvinner, anser jag att man borde överväga att införa ett krav på samtycke till personuppgiftsbehandlingen när det gäller åtkomst till patientuppgifter mellan vårdgivare inom en huvudmans ansvarsområde. Ett samtyckeskrav bör sannolikt inte medföra någon olägenhet för vårdgivarna eftersom dessa regler gäller mellan vårdgivare redan i dag.
En ny sammanhållen journalföring
Utredningen föreslår att bestämmelserna om sammanhållen journalföring enbart ska tillämpas vid direktåtkomst till vårddokumentation mellan vårdgivare som finansieras av olika huvudmän. Det ska även bli tillåtet att använda sammanhållen journalföring – under vissa förutsättningar – för att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. Vidare ska det nuvarande kravet på samtycke från patienten avseende personuppgiftsbehandlingen inte överföras från patientdatalagen. Istället ska patientens samtycke till själva hälso- och sjukvårdinsatserna utgöra grund för tillåten åtkomst till uppgifter hos andra vårdgivare.
När det gäller patientens möjlighet att ta ställning till om direktåtkomst ska få användas inom ramen för sammanhållen journalföring, anför regeringen i förarbetena till patientdatalagen bland annat att det ska finnas ett krav på aktivt samtycke från patienten, dvs. att det ska inhämtas ett samtycke till att direktåtkomst till annan vårdgivares vårddokumentation används. Vidare anför regeringen följande. ”Det främsta skälet till att möjliggöra sammanhållen journalföring är den stora nyttopotential för den enskilde patienten som en sådan journal innebär. Det är därför angeläget att patienten inte ”för säkerhets skull” motsätter sig att uppgifter görs tillgängliga i det sammanhållna journalföringssystemet. Ett sådant beteende kan motverkas om den enskilde patienten får ett inflytande även i det senare skedet då någon extern vårdgivare tar del av uppgifterna”. Regeringen föreslår därför att patienten också får rätt att bestämma om en vårdgivares hälso- och sjukvårdspersonal ska få ta del av annan vårdgivares vårddokumentation som finns tillgänglig i den sammanhållna journalföringen, dvs. bestämma över den faktiska spridningen.
Regeringens uppfattning är vidare att bestämmelsen i 6 kap. 3 § patientdatalagen tillsammans med bl.a. patientens rätt att
Särskilda yttranden SOU 2014:23
1224
kontrollera vilken åtkomst som faktiskt förekommit till vårddokumentationen, sammantaget ger ett fullgott integritetsskydd som klart uppväger den föreslagna lättnaden i sekretessen. Regeringen anför även att ”Något formellt krav på att samtycket ska vara uttryckligt eller att det ska dokumenteras bör dock inte uppställas”. Under förutsättning att personuppgiftslagens krav på att ett samtycke ska vara särskilt och otvetydigt uppfylls, menar regeringen emellertid att det även finns utrymme för patienten att i vissa fall lämna ett samtycke i förväg.
Utredningens förslag innebär att patienten inte längre kommer att kunna bestämma vilken eller vilka vårdgivare som ska få ta del av patientens uppgifter. Jag delar den uppfattning regeringen uttryckt ovan, där stor vikt lades vid att patienten skulle ha rätt att bestämma den faktiska spridningen av ospärrade uppgifter. Som jag uppfattar det var detta en av förutsättningarna för att vårdgivarna överhuvudtaget skulle få möjlighet att använda sig av system för sammanhållen journalföring.
Utredningen anför att innebörden och värdet av det samtycke till informationshantering som lagstiftningen i dag föreskriver behöver diskuteras. Utredningen ifrågasätter starkt om det samtycke som i dag ska inhämtas verkligen kan anses vara ett sådant samtycke som avses i personuppgiftslagens mening. I synnerhet rekvisitet ”frivilligt” analyseras och ifrågasätts. Utredningen anser inte att förslaget i praktiken försämrar patienternas integritetsskydd. Enligt utredningens bedömning har det nuvarande samtycket i praktiken en ringa betydelse för patientens integritetsskydd.
Som jag uppfattar regeringens uttalande ovan lade inte regeringen särskild vikt vid att samtycket skulle anses vara ”frivilligt” i personuppgiftslagens mening. Regeringen anser att samtycket, i enlighet med personuppgiftslagens krav, ska vara särskilt och otvetydigt.
Jag anser att det nuvarande samtycket har en stor betydelse för patienternas integritetsskydd. Jag anser därför, i motsatts till utredningens förslag, att det även i fortsättningen ska krävas ett ”särskilt och otvetydigt” samtycke från patienten, innan vårdgivarna tar del av patientens uppgifter inom ramen för sammanhållen journalföring. Patientens enda möjlighet att bestämma hur direktåtkomsten i praktiken ska se ut är uteslutande genom detta samtycke. Om samtycket plockas bort har patienten ingen möjlighet att begränsa vårdgivares direktåtkomst till patientens ospärrade
SOU 2014:23 Särskilda yttranden
1225
uppgifter. Att ta bort samtycket innebär enligt min mening inte endast att patientens medbestämmande försvinner, det innebär även en risk för obefogad och okontrollerad spridning av uppgifterna. Detta grundar sig på att vårdgivarna i dag inte lever upp till bestämmelserna om behörighetsstyrning och åtkomstkontroll. Det finns heller inte något i förslaget som väger upp denna inskränkning i patientens integritetsskydd.
Dessutom anser jag att man kan ifrågasätta om patientens samtycke till själva vårdinsatsen kan anses vara ”frivilligt”. Jag ifrågasätter inte det faktum att en person inte får behandlas mot sin vilja om det inte är föreskrivet i lag. Det jag ifrågasätter är om de situationer där patienten faktiskt inte har något val vad gäller att besöka hälso- och sjukvården kan anses vara frivilliga. Om patienten t.ex. blir akut sjuk, lider av en kronisk sjukdom eller har fått en cancerdiagnos, anser patienten sannolikt inte att denne har något val. Patienten ”måste” besöka hälso- och sjukvården för att kunna bli frisk. Jag anser inte att detta ”samtycke” enbart kan läggas till grund för att tillåta åtkomst till uppgifter hos andra vårdgivare. För att kunna tillvarata patientens integritet på bästa sätt, kan patientens rätt till samtycke i skede två inte tas bort.
En utvidgad direktåtkomst (sammanhållen journalföring)
I dag får direktåtkomst, inom ramen för sammanhållen journalföring, användas för ändamålen vårddokumentation och utfärdande av intyg. Utredningen föreslår att det även ska bli tillåtet att använda direktåtkomst för att kvalitetsutveckla vårdinsatser, dvs. att systematiskt och fortlöpande utveckla kvaliteten av vårdgivarens vårdinsatser. Utredningen anser att det finns starka patientsäkerhetsskäl som talar för att tillåta direktåtkomst till de uppgifter som behövs för att utveckla kvaliteten i vården även i dessa situationer.
Det är dock oklart vilken typ av personuppgifter som kommer att behandlas för detta ändamål. ”Utveckla kvaliteten i vården” måste enligt min mening på något sätt definieras så att det blir tydligt för vårdgivarna vad detta begrepp omfattar. I annat fall finns det risk för dels en obehörig spridning av uppgifter, dels en olaglig behandling av uppgifter. Det kan även ifrågasättas om det inom ramen för detta ändamål behövs identifierbara personuppgifter. Räcker det inte med avidentifierade uppgifter för att kvalitets-
Särskilda yttranden SOU 2014:23
1226
utveckla vårdinsatserna? Vidare saknas det tillräckliga analyser beträffande om detta skulle innebära en försämring för patientintegritetsskyddet, dvs. vilka eventuella risker för patienternas integritet skulle kunna uppstå med detta förslag och hur kan de i så fall uppvägas?
Ändrade spärrmöjligheter för patienterna
Utredningen föreslår att en patient ska ha rätt att begränsa elektronisk åtkomst eller direktåtkomst till hans eller hennes vårddokumentation inom och mellan vårdgivare som bedriver hälso- och sjukvård inom en huvudmans ansvarsområde. Patienten får spärra åtkomst mot de enheter eller vårdgivare som på grund av patientens aktuella behov av vård inte kan antas behöva ha tillgång till dokumentationen. Detta innebär att patienten inte bör ha möjlighet att spärra information mot de vårdenheter som deltar eller kan antas komma att delta i den pågående vården av patienten – oavsett om de vårdenheterna finns hos samma vårdgivare eller hos andra vårdgivare som finansieras av samma huvudman. Utredningen bedömer att den nya bestämmelsen kan vara lättare att tillämpa och uppmana till ett mer aktivt förhållningssätt i förhållande till de patienter som uttrycker en vilja om att spärra. Utredningen föreslår även att patientens rätt att spärra läkemedelsordinationer och varningsinformation ska tas bort.
Jag delar inte utredningens bedömning. I motsats till utredningens uppfattning tror jag att den nya bestämmelsen i praktiken kommer att bli svårare att tillämpa än de nuvarande reglerna. Såvitt jag förstår har många vårdgivare i nuläget inte ens definierat vad som innefattas i en vårdprocess hos vårdgivaren, då detta har varit ett komplicerat arbete i och med att en vårdprocess kan se ut på så många olika sätt. Med anledning av detta kan man ställa sig frågan på vilket sätt den nya bestämmelsen skulle vara enklare att tillämpa. I vilket skede vet vårdgivaren egentligen hur patientens resa genom vården kommer att se ut? I vilket skede kan vårdgivaren fatta beslut om att låta patienten spärra? I vilket skede kan de andra inblandade vårdgivarna fatta beslut om att låta patienten spärra? Vem ligger ansvaret hos? Hur ska patienten veta vad som gäller?
Som den föreslagna bestämmelsen är utformad kommer det att vara oklart vad som gäller. Detta kan leda till en godtycklig
SOU 2014:23 Särskilda yttranden
1227
tillämpning av bestämmelsen, som i sin tur kan leda till att patientens rättighet att spärra sin vårddokumentation åsidosätts. Det finns även en risk att patienten inte kommer att få den spärr som önskas skyndsamt. Det saknas en konsekvensanalys av hur denna bestämmelse kommer att påverka patientens integritetsskydd, samt hur inskränkningar i integritetsskyddet kan uppvägas på annat sätt. Det saknas även vägledning för vårdgivarna beträffande hur denna bestämmelse rent faktiskt ska tillämpas, vilket jag tror är en förutsättning för att bestämmelsen ska fungera i praktiken.
Utredningen har även anfört att patientens rätt att spärra läkemedelsordinationer och varningsinformation ska tas bort. Detta framför allt med hänsyn till patientsäkerheten.
I förarbetena till patientdatalagen diskuterades om exempelvis s.k. varningsinformation skulle ingå i patientens spärrmöjligheter eller inte. Regeringen kom dock fram till att patienten skulle kunna spärra all vårddokumentation, men uttalade att om det vid en framtida utvärdering skulle visa sig att många patienter spärrar sina uppgifter och att detta leder till problem utifrån patientsäkerhetssynpunkt vad gäller områden som exempelvis smitta, kan det finnas skäl att överväga ytterligare lagändringar som gör undantag från den ordning som regeringen föreslagit. Såvitt jag förstår är detta inte ett praktiskt problem i dag. Det har snart gått sex år sedan patientdatalagen trädde i kraft. I motsatts till vad regeringen befarade – att många patienter skulle komma att spärra sin vårddokumentation – är det procentuellt sett i dag inte många patienter som har valt att spärra sin vårddokumentation. Så varför vill utredningen införa dessa inskränkningar i patienternas spärrmöjligheter?
Skäl som ofta framförts i den allmänna debatten, att det skulle vara en patientsäkerhetsrisk om patienten spärrade läkemedelslistan och varningsinformation, har jag förståelse för. Patienten har dock alltid en möjlighet att häva spärren tillfälligt så att t.ex. den behandlande läkaren kan ta del av aktuell information. Jag ifrågasätter därför om det finns ett reellt behov av att försämra patientens integritetsskydd på det nu föreslagna sättet. Att försämra patientens integritetsskydd när det är tveksamt om det i praktiken egentligen har funnits ett patientsäkerhetsproblem, kan jag inte anse vara befogat.
När det gäller läkemedelsordinationer finns patientens uppgifter, såvitt jag förstår, i flera olika läkemedelslistor: lokalt, regionalt och nationellt. I dessa listor kommer patienten inte att
Särskilda yttranden SOU 2014:23
1228
kunna spärra uppgifterna överhuvudtaget. Vidare kommer uppgifterna i läkemedelslistorna att lagras i minst 10 år. Om vårdgivaren framöver väljer att gå med i t.ex. Nationell ordinationsdatabas (NOD) innebär detta att patienten dels inte kan spärra uppgifterna om läkemedelsordinationer, dels inte kan samtycka till att andra vårdgivare via direktåtkomst tar del av uppgifterna i NOD. Patientens möjlighet att ge ett samtycke har ju redan, enligt utredningens förlag, tagits bort. Patienten kommer således inte att kunna bestämma över den faktiska spridningen av dennes patientuppgifter, utan är utelämnad till att vårdgivarna ”gör rätt”. Väljer vårdgivaren att ansluta sig till NOD har patienten således ingenting att säga till om. Vidare uppkommer en fundering kring hur vårdgivarna ska lösa behörighetsstyrningen till NOD. Enligt uppgift kommer en majoritet av patienterna i Sverige att framöver ingå i NOD.
Som jag ser det kan ovanstående förslag medföra en obefogad och okontrollerad spridning av patientens känsliga uppgifter. Det saknas en analys av hur de föreslagna försämringarna vad gäller patienternas integritetsskydd kan uppvägas på annat sätt.
Bilaga 1
1229
Kommittédirektiv 2011:111
Förbättrad tillgång till personuppgifter inom och mellan hälso- och sjukvården och socialtjänsten m.m.
Beslut vid regeringssammanträde den 15 december 2011
Sammanfattning
En särskild utredare ska utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Utredaren ska bl.a.
efter en avvägning mellan verksamheternas behov av information och skyddet för den enskildes personliga integritet, kartlägga vilken typ av information som bedöms vara nödvändig att behandla genom t.ex. utlämnande genom direktåtkomst.
identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten samt vilka hinder (juridiska, tekniska etc.) för en sådan informationshantering som finns i dag och i förekommande fall i vilka lagar dessa hinder finns.
med utgångspunkt från kartläggningen och de identifierade förutsättningarna och hindren föreslå sådana lagstiftningsåtgärder som medger att behörig personal och beslutsfattare inom hälso- och sjukvården och socialtjänsten får ha tillgång till nödvändiga uppgifter för den aktuella behandlingen inom eller över både organisatoriska och nationella gränser.
Bilaga 1 SOU 2014:23
1230
Uppdraget ska redovisas i ett delbetänkande senast den 31 mars 2012 och resterande delar av uppdraget i ett slutbetänkande senast den 1 december 2013.
Utgångspunkter för uppdraget
Tillgång till personuppgifter är en förutsättning för att enskilda ska få säkra insatser av hög kvalitet
Människor i Sverige lever allt längre samtidigt som behovet av vård, omsorg och service ökar för många grupper. Hälso- och sjukvården och socialtjänsten är två mycket informationsintensiva sektorer. För att möta de utmaningar som hälso- och sjukvården och socialtjänsten står inför krävs dels samlade och koordinerade insatser, dels en utvecklad och mer kontinuerlig uppföljning av de insatser som ges. Stora strukturförändringar har skett inom hälso- och sjukvården och socialtjänsten de senaste åren. Reformer om bl.a. fritt vårdval och omreglering av apoteksmarknaden har lett till många nya vårdmottagningar, vårdcentraler och apotek där verksamheten i allt större utsträckning utförs av privata aktörer. Även inom socialtjänsten har andelen enskilda utförare ökat, bl.a. som en följd av lagen om valfrihet.
Sverige har kommit långt när det gäller användning av itsystem som stöd i den dagliga verksamheten och för utveckling samt när det gäller säkerhet och behörighet. Staten och huvudmännen har gjort stora investeringar för att skapa goda grundförutsättningar för en mer ändamålsenlig informationshantering. Satsningar har gjorts och görs på exempelvis itinfrastruktur, säkerhetslösningar och för att införa en nationell informationsstruktur och ett nationellt fackspråk. Vidare håller man nu på att införa bl.a. nationell patientöversikt, sammanhållna journalsystem och elektroniska beslutsstöd inom hela vård- och omsorgssektorn. Den tekniska utvecklingen har varit omfattande och tekniken skapar många nya möjligheter.
Den hälso- och sjukvård som landstingen och kommunerna ger samt de insatser inom socialtjänsten som kommunerna ger kräver fortlöpande samarbete i individuella vård- och omsorgssituationer. Tillgång till och behandling av personuppgifter inom och mellan myndigheter, landsting och kommuner samt privata verksamheter behöver begränsas till att gälla vissa situationer. Det kan bl.a. med
Bilaga 1
1231
hänsyn till den enskildes integritet inte bli fråga om att informationen ska flöda fullständigt fritt. De fördelar som ett utlämnande av eller tillgång till uppgifter får för den enskilde eller för personal eller beslutsfattare vid myndigheter, landsting och kommuner samt privata verksamheter måste alltid vägas mot de nackdelar som kan uppkomma.
Även efter en elektronisk överföring av uppgifter ska det finnas ett tillfredsställande sekretesskydd för informationen och ett motsvarande skydd för den personliga integriteten när den mottagande instansen behandlar uppgifterna.
Lagstiftning till skydd för den personliga integriteten
Frågan om myndigheters behandling av personuppgifter på automatiserad väg innefattar avvägningar mellan skyddet för den personliga integriteten å ena sidan och viktiga samhällsintressen å den andra. I regeringsformen (1974:152), (förkortad RF), anges bl.a. att det allmänna ska värna om den enskildes privatliv och familjeliv (1 kap. 2 § fjärde stycket RF). Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § RF). Denna fri- och rättighet kan under vissa förutsättningar begränsas genom lag (2 kap. 20–21 §§ RF).
Den europeiska konventionen om skydd för de mänskliga rättigheterna och grundläggande friheterna, förkortad EKMR, som har inkorporerats i svensk rätt innehåller bestämmelser till skydd för den enskildes rätt till respekt för privat- och familjelivet (art. 8.1 EKMR). Vidare följer av Europeiska unionens stadga om de grundläggande rättigheterna, förkortad EU-stadgan, att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer (artikel 7 EU-stadgan) och att var och en har rätt till skydd av de personuppgifter som rör honom eller henne och att dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund samt att var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem (artikel 8 EU-stadgan).
EU-stadgan är en del av unionsrätten som även innehåller bestämmelser om behandlingen av personuppgifter i Europaparla-
Bilaga 1 SOU 2014:23
1232
mentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Direktivets regler har i svensk rätt genomförts bl.a. genom personuppgiftslagen (1998:204). Personuppgiftslagen, förkortad PUL, är generellt tillämplig vid behandling av personuppgifter. Lagen är dock subsidiär i förhållande till avvikande bestämmelser i annan lag eller förordning (2 § PUL). Sådana avvikande bestämmelser måste dock vara förenliga med direktivet på dess tillämpningsområde.
Behandlingen av personuppgifter inom hälso- och sjukvården och socialtjänsten regleras också av särskilda s.k. registerlagar, patientdatalagen (2008:355) och lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Socialtjänstlagen (2001:453) innehåller särskilda regler om bl.a. behandling och gallring inom socialtjänsten.
Offentlighetsprincipen innebär att myndigheternas verksamhet ska bedrivas under insyn av allmänheten. I 2 kap. RF fastslås var och ens grundläggande fri- och rättigheter, bl.a. yttrandefrihet och informationsfrihet (2 kap. 1 § RF). När det gäller rätten att ta del av allmänna handlingar, den s.k. handlingsoffentligheten, hänvisar RF till tryckfrihetsförordningen, förkortad TF. Av TF följer att var och en har rätt att ta del av allmänna handlingar om inte denna rättighet begränsats genom bestämmelser i en särskild lag eller i lag vartill den särskilda lagen hänvisar (2 kap. 1 och 2 §§, jfr. 14 kap. 5 § TF). Rätten att få ta del av allmänna handlingar får begränsas med hänsyn till bl.a. skyddet för enskilds personliga eller ekonomiska förhållanden (2 kap. 2 § första stycket 6 TF). Offentlighets- och sekretesslagen (2009:400), förkortad OSL, innehåller begränsningar av rätten att ta del av allmänna handlingar. Begränsningar kan även finnas i andra lagar som OSL hänvisar till.
Sekretess innebär ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt (3 kap. 1 § OSL). Sekretess innebär således en inskränkning av både rätten att ta del av allmänna handlingar och yttrandefriheten. Sekretess gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap 1 § OSL). Det finns dock bestämmelser som bryter sekretessen. Exempelvis hindrar inte sekretessen att uppgifter lämnas mellan olika hälso- och sjukvårdsmyndigheter inom en kommun eller landsting och mellan
Bilaga 1
1233
allmänna och enskilda vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen (25 kap. 11 § 3 OSL). Om den enskilde p.g.a. av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar sekretessen inte heller att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område (25 kap. 13 § OSL).
I fråga om socialtjänsten finns de relevanta bestämmelserna om sekretess i 26 kap. OSL. Beträffande uppgifter som förekommer i sådan verksamhet saknas dock sekretessbrytande bestämmelser motsvarande de som angetts i det föregående.
När det gäller skyddet för uppgifter som förekommer inom hälso- och sjukvård som bedrivs av enskilda näringsidkare får den som tillhör eller har tillhört sådan verksamhet inte obehörigen röja vad han eller hon i denna verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden (6 kap. 12 § patientsäkerhetslagen 2010:659). Motsvarande tystnadsplikt gäller i enskilt bedriven verksamhet enligt socialtjänstlagen (2001:453) för uppgift om enskildas personliga förhållanden (15 kap 1 §).
Problembeskrivning
Lagstiftningen behöver medge ökad tillgång till nödvändiga personuppgifter på individnivå med bibehållet skydd för den enskildes integritet
En enskild som rör sig inom och mellan hälso- och sjukvården och socialtjänsten möter allt fler vårdgivare, utförare inom socialtjänsten etc., både nationellt och internationellt. Med nuvarande lagstiftning innebär fler aktörer fler gränser mellan aktörer, vilket kan skapa juridiska och andra hinder för tillgång till personuppgifter. Vidare kan nuvarande lagstiftning, som Riksrevisionen uppmärksammat (RiR 2011:19), inom hälso- och sjukvården leda till att förutsättningarna för en ändamålsenlig informationshantering varierar mellan landsting med få respektive många privata vårdgivare.
Bilaga 1 SOU 2014:23
1234
Den enskilde ska inte riskera att få mindre säkra insatser av lägre kvalitet inom hälso- och sjukvården och socialtjänsten för att en eller flera personalkategorier som utför insatserna inte har åtkomst till rätt information vid rätt tillfälle. Rätt information i rätt tid för rätt användare är en nyckel till personalens möjligheter att göra ett bra arbete för den enskilde. Bra samverkande verksamheter kan ge fördelar som exempelvis tvärprofessionella team sammansatta utifrån individens behov, tätt samarbete med övriga stödfunktioner, personal dygnet runt m.m. Detta kräver ett regelverk med individen och individens behov i centrum.
Behörig personal inom hälso- och sjukvården och socialtjänsten behöver ha tillgång till personuppgifter om den enskilde och information om de insatser (förskrivning av läkemedel, behandlingar etc.) som den enskilde fått tidigare. Utan sådan tillgång till uppgifter ökar risken för bl.a. felaktiga beslutsunderlag, felbehandlingar eller allvarliga interaktioner mellan läkemedel och andra insatser. Konkret innebär det exempelvis att förskrivare behöver ha en så samlad bild som möjligt av en individs läkemedelsordinationer, från såväl förskrivning på recept som på rekvisition från öppen och sluten vård. Sjuksköterskor i kommunal hälso- och sjukvård behöver veta vilka ordinationer den patient som varit på sjukhuset har fått. Farmacevtisk personal i hälso- och sjukvården eller på apotek behöver ha tillgång till informationen som finns i läkemedelsförteckningen. Utöver negativa konsekvenser för den enskilde kan brister i möjligheter att samverka och samarbeta genom att utbyta uppgifter utgöra ett hot mot vården och stödet på en övergripande nivå.
Vidare finns det behov av att kunna utbyta personuppgifter mellan länder både när det gäller vårdinsatser och läkemedel. Svenska medborgare kan t.ex. behöva söka vård när de är utomlands eller ha möjlighet att hämta ut recept som förskrivits i Sverige. Samtidigt är förstås den nationella lagstiftningen specifik för Sverige. Det finns därför skäl att utreda vilka rättsliga och andra hinder som finns för vårdgivare i Sverige att på elektronisk väg lämna ut uppgifter om patienter till vårdgivare i andra länder. Utredaren bör beakta det pågående projektet Smart Open Services for European Patients (epSOS), som är ett pilotprojekt för gränsöverskridande vårdtjänster. Syftet är att möjliggöra elektronisk överföring av recept och patientöversikter mellan länder i Europa. För närvarande deltar 23 europeiska länder i projektet.
Bilaga 1
1235
Informationshantering på övergripande nivå
Myndigheter på central, regional och lokal nivå gör i dag omfattande satsningar på exempelvis informationshantering, insamling av data, öppna jämförelser och statistik för att kunna utveckla verksamheter, informera eller jämföra. Följaktligen samlar många idag in stora mängder av olika sorters information för många ändamål.
Det behöver göras en analys av vilken information som myndigheter, landsting, kommuner eller privata verksamheter inom hälso- och sjukvården samt enskilda verksamheter inom socialtjänsten behöver för de relevanta ändamålen.
Ett sådant informationsutbyte som beskrivs ovan kan bara fungera om alla inblandade aktörer har säkerhets- och behörighetslösningar som ser till att behörig personal och beslutsfattare enbart har tillgång till för dem relevanta uppgifter. Det är också angeläget att skyddet för den enskildes integritet blir starkare ju fler som har tillgång till uppgifter om den enskilde, t.ex. genom att uppgifter kodas eller avidentifieras. En viktig förutsättning för ett fullgott integritetsskydd är tydlighet i fråga om personuppgiftsansvaret, som bl.a. innebär ett skadeståndsansvar gentemot individen. När det gäller exempelvis informations-, spärr- och samtyckesfrågor i förhållande till individer måste personuppgiftsansvaret därför vara tydligt. Personuppgiftsansvaret måste också vara tydligt med avseende på it-säkerhet inklusive organisatoriska och tekniska åtgärder, såväl på nationell nivå som i enskilda verksamheter.
Behov av ökade befogenheter för Datainspektionen
Datainspektionen saknar för närvarande möjlighet att t.ex. vid vite förelägga en vårdgivare att ge information till patienten. Det finns därför skäl att utreda om Datainspektionen behöver ytterligare befogenheter för att kunna förhindra att behandling av personuppgifter inleds eller fortsätter i strid med gällande författningsreglering.
Bilaga 1 SOU 2014:23
1236
Lagstiftningen behöver medge förbättrad tillgång till personuppgifter för fler ändamål
Personal och beslutsfattare inom hälso- och sjukvård och socialtjänst bör få använda uppgifter i olika stödsystem för att löpande kvalitetssäkra och förbättra insatserna som vänder sig direkt till enskilda. Även tillsynsmyndigheter och nationella myndigheter som arbetar med exempelvis öppna jämförelser måste få ha tillgång till uppgifter. Syftet är att förbättra kvalitet och säkerhet i insatserna för den enskilda individen.
Relevant lagstiftning måste reglera ändamål med personuppgiftshantering som främjar en effektiv och ständigt pågående förbättringsprocess inom hälso- och sjukvården respektive socialtjänsten med hänsyn tagen till den enskildes integritet. Regleringen av ändamålen med personuppgiftsbehandling i de lagar som styr hälso- och sjukvården och verksamheter inom socialtjänsten bör mot denna bakgrund vara överensstämmande.
De personuppgifter som här är aktuella finns på flera ställen hos privata aktörer, landsting och kommuner men också statliga aktörer som t.ex. Rättsmedicinalverket, Kriminalvården och Försvarsmakten som bedriver hälso- och sjukvård. Uppgifterna lagras och tillgängliggörs på flera ställen, bl.a. i patientjournal, dokumentation enligt socialtjänstlagen och lagen (1993:387) om stöd och service till vissa funktionshindrade, i läkemedelsförteckning, receptregister, hälsodataregister, nationella kvalitetsregister etc. och används av många personalkategorier. Det primära är dock inte var personuppgifterna finns utan i vilken vård- och omsorgssituation kring en enskild som uppgifterna behövs.
Ett flertal lagar och andra regler styr hur dessa uppgifter kan och får samlas in, behandlas och överföras, exempelvis patientdatalagen, lagen (2005:258) om läkemedelsförteckning, lagen (1996:1156) om receptregister, apoteksdatalagen (2009:367), socialtjänstlagen, lagen om personuppgiftsbehandling inom socialtjänsten, personuppgiftslagen och offentlighets- och sekretesslagen.
Om det ska vara möjligt att få en så samlad och aktuell bild av en enskilds läkemedelsordinationer som möjligt, behöver även bestämmelser i relevant lagstiftning om lagring och gallring av uppgifter i journaler och register harmoniseras så att inte kraven på gallring skiljer sig åt för uppgifter som bör hanteras samlat. Vidare bör uppgifter i läkemedelsregistret hos Socialstyrelsen kunna
Bilaga 1
1237
användas för uppföljning och kvalitetssäkring. Det förutsätter att ändamålen för behandling av personuppgifter i läkemedelsregistret anpassas till de ändamål som gäller för övriga hälsodataregister enligt lagen (1998:543) om hälsodataregister
Hur kan tillgång till personuppgifter vid verksamhetsövergång säkerställas?
Vid byte av driftsform eller byte av utförare t.ex. efter upphandling eller vid konkurs eller om en privat vårdgivare eller enskild verksamhet inom socialtjänsten av annat skäl avvecklar verksamheten, finns det anledning att säkerställa att personuppgifter hanteras på ett säkert sätt. Vidare bör säkerställas att informationen, om möjligt, på något sätt förs vidare till ny vårdgivare eller utförare. Den omständigheten att en privat vårdgivare eller enskild verksamhet inom socialtjänsten överlämnar sina handlingar till ett landsting eller en kommuns socialnämnd innebär att handlingarna blir inkomna till myndigheten och därmed allmänna i tryckfrihetsförordningens mening. Handlingarna omfattas i och med detta av de olika bestämmelser som gäller för hanteringen av allmänna handlingar, t.ex. offentlighetsprincipen, sekretess och arkivering.
En vårdgivare ska fortsätta att ansvara för sina patientjournaler även efter att verksamheten har upphört. Stora verksamheter bedöms som regel ha kapacitet och resurser att fortsätta att förvara och arkivera patientjournalerna i enlighet med gällande lagstiftning. I undantagsfall kan ansökan om omhändertagande av patientjournaler göras hos Socialstyrelsen enligt. 9 kap. patientdatalagen (jfr 7 kap. 5 § socialtjänstlagen). Det förekommer när mindre enskilda vårdföretag läggs ner eller när verksamheter går i konkurs, men inte i samband med verksamhetsövergångar eller nya upphandlingar.
Det finns anledning att utreda hur personuppgifter hanteras vid verksamhetsövergång m.m. Detta bör även omfatta hur en ny verksamhetsansvarig får tillgång till de uppgifter som behövs för att bl.a. säkerställa en god vård och omsorg. Det bör vidare utredas om det ska krävas samtycke från varje enskild patient eller klient inom socialtjänsten eller om detta ska tillgodoses genom bestämmelser som bryter tystnadsplikten.
Vidare behöver frågan om bevarande och gallring utredas, t.ex. om landstingen måste behålla handlingar som överlämnats och i så fall på vilket sätt gallring ska ske.
Bilaga 1 SOU 2014:23
1238
Det finns tillämpningsproblem med nuvarande lagstiftning
Datainspektionen har i granskningar, bl.a. av Nationell patientöversikt (NPÖ) och av nationella kvalitetsregister riktat kritik mot hur nuvarande lagstiftning tillämpas. Med nationella kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Datainspektionens kritik har när det gäller kvalitetsregister avsett brister som ofullständig information till patienterna, otillräcklig säkerhet när användarna tar del av uppgifterna via internet, felaktig användning av uppgifterna, utebliven gallring av uppgifter och otydlig ansvarsfördelning inom organisationer. När det gäller NPÖ har kritiken bl.a. avsett att uppgifter tillgängliggjorts för andra vårdgivare innan patienter informerats, att rutiner för inhämtning av samtycke från beslutsoförmögna inte varit tillräckliga samt att det i vissa fall saknats möjligheter att begränsa användarnas behörigheter till vad som behövs med hänsyn till varje användares behov. Datainspektionen har också konstaterat att vårdgivare i stor utsträckning lämnar ut uppgifter till kvalitetsregister utan att veta vem som tar emot patienternas uppgifter och ansvarar för den fortsatta hanteringen, vilket strider mot bestämmelser om sekretess och grundläggande krav i personuppgiftslagen. Även Socialstyrelsen har i tillsynsrapporter uppmärksammat bristande rutiner för informationsöverföring, mellan exempelvis sjukhus och primärvård.
Patientdatalagen ger vårdgivare möjlighet att på ett säkert sätt lämna ut relevant patientinformation i olika situationer. Det kan exempelvis avse utlämnande till andra vårdgivare inom ramen för sammanhållen journalföring. Vårdgivare har också möjlighet att lämna ut patientuppgifter på it-medium till mottagare och verksamheter som inte är specificerade på förhand, men det bör kartläggas i vilken utsträckning vårdgivare har system eller teknik för detta. Vidare måste den teknik och de system som utvecklas, och som bl.a. anges som krav när privata vårdgivare eller enskilda utförare ingår avtal med landsting eller kommuner, uppfylla de krav som anges i lagstiftningen.
Inom socialtjänsten hanteras en mängd mycket integritetskänslig information för olika syften. Det är rimligt att det finns ett samspel och en balans mellan frågor om vilka uppgifter man behöver för att ge god vård och omsorg. Detta är särskilt viktigt i de situationer där hälso- och sjukvårdens och socialtjänstens verksamheter
Bilaga 1
1239
behöver eller önskar samverka m.m. i exempelvis tvärprofessionella team.
Datainspektionen har i sitt yttrande över Socialtjänstdatautredningens betänkande Socialtjänsten – Integritet – effektivitet (SOU 2009:32) välkomnat att personuppgiftsbehandlingen inom socialtjänsten ges en noggrannare författningsreglering än idag. Den nuvarande regleringen består av lagen och förordningen om behandling av personuppgifter inom socialtjänsten.
Det finns behov av att se över och analysera vari tillämpningsproblemen ligger och hur dessa skulle kunna lösas. Inom ramen för en sådan översyn kan det finnas behov av att förtydliga eller förändra relevant lagstiftning. Det kan också behöva utredas vilka behov som finns av exempelvis information, utbildning eller kompetenshöjande insatser av olika slag om vad den berörda lagstiftningen innebär samt överväga andra åtgärder än lagändringar.
Särskilt om sekretess och personuppgiftsbehandling när det gäller beslutsoförmögna personer
Behandling av personuppgifter enligt patientdatalagen förutsätter som huvudregel dels att patienten inte motsatt sig ett tillgängliggörande av uppgifter till andra vårdgivare, dels att patienten samtycker vid varje tillfälle en personuppgiftsbehandling sker (6 kap.2 och 3 §§patientdatalagen). Undantag från kravet på samtycke finns dock i vissa situationer om det är fara för patientens liv eller det annars finns allvarlig risk för dennes hälsa (6 kap. 4 § patientdatalagen). Vidare får inte personuppgifter behandlas i ett nationellt eller ett regionalt kvalitetsregister om den enskilde motsätter sig detta (7 kap. 2 § patientdatalagen).
Dessa förutsättningar för behandling av personuppgifter kan i vissa fall skapa problem i vårdsituationer och i utvecklingen och säkringen av vårdens kvalitet när den som ska lämna samtycke eller motsätta sig behandling av olika skäl saknar förmåga att fatta ett beslut. Detta kan gälla exempelvis äldre personer med demenssjukdom, strokepatienter eller personer med allvarlig psykisk ohälsa. En stor del av dessa individer rör sig i dag inom och mellan hälso- och sjukvård och socialtjänst. I dessa fall finns en risk för att vården i avsaknad av samtycke får en sämre kvalitet eftersom vårdgivare inte får tillgång till den information som de behöver.
Bilaga 1 SOU 2014:23
1240
Som framgått i det föregående finns det bestämmelser som i avsaknad av patientens samtycke bryter sekretessen inom hälso- och sjukvården (25 kap. 11 och 13 §§ OSL). Motsvarande bestämmelser saknas för socialtjänstens del.
Mot bakgrund av hur de nu aktuella patientgrupperna rör sig inom och mellan olika sektorer inom vården och omsorgen kan avsaknaden av sekretessbrytande bestämmelser i dessa avseenden medföra en försämrad kvalitet i vården och omsorgen. Det kan därför finnas skäl att i det kapitel i OSL som reglerar sekretess till skydd för enskild inom socialtjänsten (26 kap. OSL) införa motsvarande sekretessbrytande bestämmelser för socialtjänstens del som finns för uppgifter inom hälso- och sjukvården. Utredningen behöver analysera om det finns behov av sådana bestämmelser och i så fall hur sådana ska utformas.
Sekretessbrytande bestämmelser är dock inte tillräckligt för att skapa ett effektivt informationsflöde enligt patientdatalagen för dessa personkategorier. Det finns nämligen inga särregler för beslutsoförmögna personer i patientdatalagen vilket gör att kravet på informerat och uttryckligt samtycke formellt gäller även för denna grupp (jfr Datainspektionens samrådsyttrande den 16 september 2011, dnr 708–2011 och beslut den 29 juni 2010, dnr 1392– 2009.). Det bör därför utredas om det är lämpligt att beträffande personer i dessa situationer införa undantag från kravet på samtycke i patientdatalagen så att uppgifter om sådana personer kan behandlas i sammanhållen journalföring m.m. trots att personerna i fråga inte har förmåga att motsätta sig eller samtycka till behandling.
Hur kan den enskildes tillgång till sina personuppgifter förbättras och förtydligas?
Utvecklingen har de senaste åren varit sådan att den enskilde på flera sätt fått en starkare ställning i förhållande till hälso- och sjukvården. Den enskilde har i många fall behov av att kunna registrera uppgifter för att exempelvis komplettera uppgifter eller förbereda ett läkarbesök. Den enskilde bör också som huvudregel kunna ha tillgång till sina egna uppgifter. Undantag finns bl.a. i 25 kap. 6 § OSL. I dag kan enskilda delvis ha tillgång till vissa uppgifter exempelvis via Mina vårdkontakter på 1177.se. Slutligen behöver den enskilde rent faktiskt kunna använda sig av de möjligheter som
Bilaga 1
1241
nuvarande reglering ger för att spärra uppgifter i journalen. Det kan vara svårt i dag, särskilt om många vårdgivare är inblandade.
Det är i nuvarande lagstiftning svårt att identifiera gränsen mellan patientens egen personuppgiftsbehandling och vårdgivarens personuppgiftsbehandling enligt dennes personuppgiftsansvar. För att patienten ska kunna vara en medproducent av information inom hälso- och sjukvården och rapportera in information som kan ligga till grund för s.k. patientrapporterade utfallsmått måste denna gräns tydliggöras i lagstiftningen. Patientrapporterade utfallsmått i exempelvis nationella kvalitetsregister syftar till att generera kunskap om utfallet av vårdens insatser.
Enligt patientdatalagen kan en enskild spärra uppgifter inom en vårdgivares verksamhet, men det saknas i dag enligt patientdatalagen möjligheter för den enskilde att överblicka en vårdprocess som sträcker sig över gränser mellan vårdgivare.
Möjligheter för vårdgivare att ansöka om journalförstöring
Enligt nuvarande lagstiftning får ansökan om förstörande av patientjournal göras till Socialstyrelsen, antingen av den enskilde själv eller av någon annan som omnämns i journalen. I de fall vårdpersonal för in felaktigheter i journalen av misstag finns två alternativa sätt att korrigera misstaget. Antingen görs en rättelse enligt patientdatalagen eller så kontaktar vårdgivaren patienten och ber denne ansöka om förstörande av journalanteckningen. Det första alternativet, en rättelse, innebär att den felaktiga uppgiften ändå finns kvar i journalen. För det andra alternativet kan det i vissa fall finnas omständigheter som gör att det inte är lämpligt att vårdgivaren kontaktar patienten.
HOSP-registret – frågor om tillgänglighet
Socialstyrelsen ansvarar för ett datoriserat register över legitimerad hälso- och sjukvårdspersonal (det s.k. HOSP-registret). Behandlingen av uppgifterna i registret regleras genom förordningen (2006:196) om register över hälso- och sjukvårdspersonal som innehåller bestämmelser om registrets ändamål, vilka uppgifter registret får innehålla, utlämnande, information m.m.
Bilaga 1 SOU 2014:23
1242
Socialstyrelsen har inkommit till Socialdepartementet med en hemställan om att ändringar bör göras i förordningen, i syfte att kunna tillhandahålla vissa uppgifter ur registret på Internet genom elektronisk direktåtkomst. Inera AB och Centrum för eHälsa i samverkan (CeHis) har inkommit med en hemställan om förordningsändringar i syfte att kunna använda HSA Nationell katalogtjänst som källa för behörighetsstyrning via elektronisk direktåtkomst.
Det är viktigt av patientsäkerhetsskäl att information om behörighetsinskränkningar för hälso- och sjukvårdspersonal är lätt tillgängliga för dem som har behov av det, bl.a. arbetsgivare. Ett välfungerande informationsutbyte också mellan de nordiska länderna är av stor betydelse för att upprätthålla en hög patientsäkerhet på den gemensamma arbetsmarknaden för legitimerad hälso- och sjukvårdspersonal. Samtidigt måste hälso- och sjukvårdspersonalens personliga integritet respekteras.
Utredningsfrågor
Utredaren ska i utredningsarbetet göra avvägningar mellan verksamheternas behov av information och skyddet för den personliga integriteten.
Kartlägga och identifiera förutsättningar
Utredaren ska
med utgångspunkt från Datainspektionens granskningar och Socialstyrelsens tillsynsrapporter kartlägga vilka behov hälso- och sjukvården och socialtjänsten har av att ta del av uppgifter från respektive verksamhet och vilka uppgifter som då behöver dokumenteras för att möjliggöra samverkan mellan socialtjänsten och hälso- och sjukvården. Vidare ska en avvägning mellan behoven och den enskildes intresse av integritet göras för att fastställa vilka uppgifter som bedöms vara nödvändiga att behandla genom t.ex. utlämnande
genom direktåtkomst. Vad gäller avvägningen mellan behovet av information och den enskildes intressen bör även särskild hänsyn tas till exempelvis att personer som ändrat, eller ansökt
Bilaga 1
1243
om att ändra, sin könstillhörighet och hur de kan komma att påverkas. Kartläggningen bör när det gäller socialtjänsten särskilt fokusera på grupperna äldre personer, personer med missbruk eller beroenden samt personer med psykisk sjukdom och funktionsnedsättning.
identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten samt vilka hinder (juridiska, tekniska etc.) som finns i dag för en sådan informationshantering och i förekommande fall i vilka lagar dessa hinder finns.
Tillgång till personuppgifter
Utredaren ska
om den ovan nämnda kartläggningen ger vid handen att det finns behov av lagändringar för att behörig personal och beslutsfattare inom hälso- och sjukvården och socialtjänsten ska få ha tillgång till nödvändiga uppgifter för den aktuella behandlingen eller det aktuella stödet inom eller över organisatoriska gränser lämna sådana förslag. I denna och den efterföljande utredningsfrågan bör fokus ligga på grupperna äldre personer, personer med missbruk eller beroenden samt personer med psykisk sjukdom och funktionsnedsättning.
om den ovan nämnda kartläggningen visar att det finns behov, föreslå lagstiftning eller andra åtgärder som medger att behörig personal får använda personuppgifterna för att löpande följa upp, kvalitetssäkra och utveckla verksamheterna.
utreda hur personuppgiftsansvaret bör regleras i framtiden samt vid behov lämna förslag på sådan reglering.
utreda om Datainspektionen behöver ytterligare befogenheter för att förhindra att behandling av personuppgifter inleds eller fortsätter i strid med gällande författningsreglering.
analysera och redovisa vilka rättsliga och andra hinder som finns för vårdgivare i Sverige att med en patients samtycke på elektronisk väg lämna ut uppgifter om patienten till vårdgivare i andra länder. Om gällande rätt hindrar sådant uppgiftslämnande ska
Bilaga 1 SOU 2014:23
1244
utredaren lämna författningsförslag som gör uppgiftslämnandet möjligt. Utredaren ska beakta det arbete som sker i projektet Smart Open Services for European Patients (epSOS).
undersöka om det finns skäl att i 26 kap. OSL införa sekretessbrytande bestämmelser som i relevanta delar motsvarar dem som redan gäller inom hälso- och sjukvården.
utreda om det är lämpligt att beträffande personer som saknar förmåga att motsätta sig eller samtycka till nödvändig behandling av personuppgifter införa regler i patientdatalagen som gör att de trots denna oförmåga kan ingå i sammanhållen journalföring m.m.
analysera om det vid verksamhetsövergång från enskild verksamhet till annan enskild verksamhet eller till offentlig verksamhet ska krävas samtycke från varje enskild individ för överlämnande av personuppgifter till den nya vårdgivaren/ utföraren eller om detta ska tillgodoses genom bestämmelser som bryter tystnadsplikten samt vid behov föreslå författningsändringar. I denna fråga ingår att lämna förslag som möjliggör för en ny verksamhetsansvarig att få tillgång till de uppgifter som behövs för att bl.a. säkerställa en god vård och omsorg.
föreslå hur bestämmelser om gallring av personuppgifter i relevant lagstiftning kan harmoniseras.
analysera vilka nationella kontrollmekanismer som måste finnas för att nödvändiga säkerhets- och behörighetslösningar ska användas.
föreslå hur ändamålen för behandling av personuppgifter i läkemedelsregistret kan anpassas till de ändamål som gäller för övriga hälsodataregister enligt lagen (1998:543) om hälsodataregister.
Den enskildes tillgång till sina personuppgifter
Utredaren ska
analysera och lämna förslag som juridiskt tydliggör gränsen mellan patientens egen personuppgiftsbehandling och vårdgivarens personuppgiftsbehandling enligt dennes personuppgiftsan-
Bilaga 1
1245
svar för sådana känsliga uppgifter som den enskilde själv rapporterar in till hälso- och sjukvården eller socialtjänsten.
överväga behovet av lagreglering av personuppgiftsansvar för säkerhetsåtgärder vid it-kommunikation med enskilda individer.
föreslå nationella kriterier för vad som kan betecknas som patientrapporterade utfallsmått.
föreslå förändringar i lagstiftningen och andra nödvändiga åtgärder som ökar patientsäkerheten och stärker den enskildes faktiska möjligheter att utöva sin rätt att spärra hela eller delar av sin journal. I denna del bör utredaren särskilt beakta den analys av frågan som Patientmaktsutredningen (dir. 2011:25) har i uppdrag att utföra.
Möjlighet för vårdgivare att ansöka om journalförstöring
Utredaren ska överväga om det bör införas en möjlighet för vårdgivare att ansöka om journalförstöring och, om det bedöms som lämpligt, lämna förslag till en sådan reglering.
HOSP-registret
Utredaren ska
analysera förutsättningarna för att vissa personuppgifter som rör hälso- och sjukvårdspersonal ska kunna göras tillgängliga på internet eller genom elektronisk direktåtkomst. Utredaren ska förhålla sig till vad Socialstyrelsen, Inera AB och CeHis framfört i sina hemställningar. Utredaren ska särskilt bedöma vilka aktörer som har behov av informationen och hur deras informationsbehov kan tillgodoses samt, efter en avvägning mellan behoven och integritetsaspekterna, föreslå vilka personuppgifter som ska få behandlas för att tillgodose behoven.
överväga andra alternativ än de ovan angivna som kan tillgodose behoven, bedöma och redovisa alla alternativs för- och nackdelar samt föreslå författningsändringar för det alternativ som bedöms lämpligast.
Bilaga 1 SOU 2014:23
1246
Övrigt
Utredaren är oförhindrad att ta upp frågor som inte nämns i dessa direktiv, men som utredaren anser behöver analyseras eller regleras för att utredaren ska kunna fullgöra sitt uppdrag på ett tillfredsställande sätt.
Konsekvensbeskrivningar
Utredarens förslag kan komma att få konsekvenser för landsting, kommuner, privata vårdgivare och enskilda utförare inom socialtjänsten som måste anpassa sina verksamheter och system efter reviderad eller ny lagstiftning. Utredaren måste således göra en ingående konsekvensanalys av sina förslag utifrån att förslagen genomförs respektive inte genomförs. I konsekvensbeskrivningen ska även ingå att granska förslagens konsekvenser för den personliga integriteten. Vidare ska utredaren utarbeta en plan för hur tillämpningen av lagstiftningen inom hälso- och sjukvården och socialtjänsten kan underlättas.
Om förslagen i slutbetänkandet påverkar kostnaderna eller intäkterna för staten, landstingen, kommunerna eller enskilda ska en beräkning av dessa konsekvenser redovisas. Om förslagen får samhällsekonomiska konsekvenser i övrigt ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, landstingen eller kommunerna ska utredaren föreslå en finansiering.
Sedan den 1 januari 2011 finns det i 14 kap. 2 § RF ett förtydligande av principen om att kommunalt självstyre gäller för all kommunal verksamhet. I 14 kap. 3 § RF har en bestämmelse införts om att en inskränkning av den kommunala självstyrelsen inte bör gå utöver vad som är nödvändigt med hänsyn till de ändamål som föranlett den, dvs. en proportionalitetsprövning ska göras under lagstiftningsprocessen. Om något av förslagen i denna utrednings betänkande påverkar det kommunala självstyret ska utredaren särskilt redovisa dess konsekvenser och de särskilda avvägningar som lett till förslagen.
Då barn berörs av förslagen ska utredaren särskilt analysera förslagens konsekvenser ur ett barn- och barnrättsperspektiv.
Bilaga 1
1247
Samråd och redovisning av uppdraget
Utredaren ska samråda med Utredningen om översyn av Statistiska centralbyrån och statistiksystemet (dir. 2011:32), Utredningen om integritet, effektivitet och öppenhet i en modern e-förvaltning (dir. 2011:86), Statens vård- och omsorgsutredning (dir. 2011:4), Socialstyrelsen, Datainspektionen, Läkemedelsverket, E-legitimationsnämnden, Apotekens Service AB, Sveriges Kommuner och Landsting, övriga relevanta myndigheter och aktörer (t.ex. Rättsmedicinalverket, Kriminalvården, Statens institutionsstyrelse och Försvarsmakten) samt med berörda arbetstagarorganisationer.
Utredaren ska särskilt samråda med Socialstyrelsen om uppdraget att tydliggöra rättsläget kring informationsutbyte inom äldreomsorgen (regeringens beslut den 16 juni 2011) samt med Patientmaktsutredningen (dir. 2011:25), som bl.a. ska undersöka hur informationsutbytet mellan patient och vårdgivare kan underlättas och utvecklas samt analysera hur patienten ska kunna utöva sin rätt att spärra hela eller enskilda delar av den egna journalen till andra vårdenheter.
Uppdraget ska redovisas i ett delbetänkande (enbart om HOSPfrågan) senast den 31 mars 2012 och resterande delar av uppdraget i ett slutbetänkande senast den 1 december 2013.
(Socialdepartementet)
Bilaga 2
1249
Kommittédirektiv 2012:23
Tilläggsdirektiv till Utredningen om förbättrad tillgång till personuppgifter inom och mellan hälso- och sjukvården och socialtjänsten m.m. (S 2011:13)
Beslut vid regeringssammanträde den 29 mars 2012
Bakgrund
Regeringen beslutade den 15 december 2011 kommittédirektiv om förbättrad tillgång till personuppgifter inom och mellan hälso- och sjukvården och socialtjänsten m.m. (dir. 2011:111). Den huvudsakliga inriktningen av detta uppdrag gäller även framgent. De delar av uppdraget som avser att förbättra och förtydliga den enskildes tillgång till sina personuppgifter överlappar delvis uppdraget till Utredningen om stärkt ställning för patienten genom ny patientlagstiftning (S 2011:03, dir. 2011:25). Det finns därför behov av att klargöra och delvis förändra gränsdragningen mellan de båda utredningsuppdragen och delvis förändra omfattningen av dem.
Ändring av uppdraget
Patientrapporterade utfallsmått
Utredaren har enligt dir. 2011:111 i uppdrag att föreslå nationella kriterier för vad som kan betecknas som patientrapporterade utfallsmått, dvs. mått som syftar till att generera kunskap om utfallet av vårdens insatser. Patienten ska enligt direktivet kunna vara medproducent av information inom hälso- och sjukvården.
Bilaga 2 SOU 2014:23
1250
Utredningen (S 2011:03) har enligt dir. 2011:25 i uppdrag att föreslå en modell för webbaserad inrapportering av patientupplevd kvalitet. Syftet är att alla patienter ska ges förutsättningar att dela med sig av sina upplevelser av vården genom en enkel webbaserad tjänst. Det är angeläget att på ett strukturerat sätt ta till vara patientens upplevelser av vården och att patienten ges förutsättningar att vara en medproducent av information i vården. Det är viktigt att tjänsten utformas så att olika kategorier av patienter kan använda sig av den, t.ex. barn, äldre, kvinnor och män, personer med funktionshinder och personer som inte talar svenska.
En modell för webbaserad inrapportering förutsätter kriterier för de patientrapporterade utfallsmått som ska rapporteras in. Utredningens (S 2011:03) uppdrag att föreslå en modell för webbaserad inrapportering av patientupplevd kvalitet förs därför över till utredaren för fortsatt hantering. Utredaren har enligt dir. 2011:111 redan i uppdrag att föreslå lagstiftning eller andra nödvändiga åtgärder som medger att behörig personal får använda personuppgifter för att löpande följa upp, kvalitetssäkra och utveckla verksamheterna. Det är angeläget att även den information som patienten själv rapporterar in kan och får användas för att löpande följa upp, kvalitetssäkra och utveckla verksamheterna.
Informationsutbytet mellan patient och vårdgivare
Utredaren har enligt dir. 2011:111 bl.a. i uppdrag att
analysera och lämna förslag som juridiskt tydliggör gränsen mellan patientens egen personuppgiftsbehandling och vårdgivarens personuppgiftsbehandling enligt dennes personuppgiftsansvar för sådana känsliga uppgifter som den enskilde själv rapporterar in till hälso- och sjukvården eller socialtjänsten,
överväga behovet av lagreglering av personuppgiftsansvar för säkerhetsåtgärder vid it-kommunikation med enskilda individer.
Utredningen (S 2011:03) har bl.a. i uppdrag att
undersöka de legala förutsättningarna för att patienten på ett strukturerat sätt ska kunna dela med sig av sin egen dokumentation till vårdgivaren,
Bilaga 2
1251
beakta erfarenheterna från Socialstyrelsens arbete med nationell informationsstruktur och nationellt fackspråk för vård och omsorg,
vid behov utarbeta nödvändiga författningsförslag.
De juridiska frågorna när det gäller patientens tillgång till sina egna uppgifter bör behandlas ur ett helhetsperspektiv. Personuppgiftsansvaret är en väsentlig del som måste klargöras men ett helhetsperspektiv på de legala förutsättningarna inbegriper även sådant som sekretessfrågor, patientens direktåtkomst till sina uppgifter och andra förvaltningsrättsliga frågor avseende exempelvis hantering av allmänna handlingar, diarieföring etc.
Utredningens (S 2011:03) ovan nämnda uppdrag bör därför föras över till utredaren. Utredaren ska i detta sammanhang beakta såväl Socialstyrelsens pågående arbete med nationell informationsstruktur och nationellt fackspråk som det gemensamma arbete med att utveckla ett hälsokonto för medborgaren som beskrivs i Dagmaröverenskommelsen för 2012.
Förlängd tid för delredovisning av uppdraget
Tiden för lämnande av delbetänkande avseende utredningsfrågorna om register över hälso- och sjukvårdspersonal (HOSPregistret) förlängs frånden 31 mars till den 31 maj 2012.
(Socialdepartementet)
Bilaga 3
1253
Kommittédirektiv 2013:43
Tilläggsdirektiv till Utredningen om rätt information i vård och omsorg (S 2011:13)
Beslut vid regeringssammanträde den 2 maj 2013
Förkortad tid för en viss del av uppdraget och förlängd tid för huvuddelen av uppdraget
Regeringen beslutade den 15 december 2011 kommittédirektiv om förbättrad tillgång till personuppgifter inom och mellan hälso- och sjukvården och socialtjänsten m.m. (dir. 2011:111).
En del av uppdraget handlar om att utreda om det är lämpligt att beträffande personer som saknar förmåga att motsäga sig eller samtycka till nödvändig behandling av personuppgifter införa regler i patientdatalagen som gör att de trots denna oförmåga kan ingå i sammanhållen journalföring m.m. Denna del av uppdraget ska redovisas i ett delbetänkande senast den 5 juni 2013.
I den del av uppdraget som handlar om att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten ska utredningen i en delredovisning beskriva de möjligheter som befintlig lagstiftning ger för att praktiskt kunna utbyta uppgifter där så anses nödvändigt. Delredovisningen ska lämnas tillregeringen senast den 31 december 2013.
Utredningstiden förlängs för huvuddelen av uppdraget som ska redovisas senast den 30 april 2014.
(Socialdepartementet)
Bilaga 4
7
Innehåll
Läsanvisning ..................................................................... 13
1 Frågor om viktiga begrepp ........................................... 14
Patient ................................................................................................ 16 Vårdgivare .......................................................................................... 18
Vårdenhet .......................................................................................... 21 Skillnad mellan samtycke och rätt att motsätta sig (opt-out) ........ 24
2 Frågor om patientjournalen ......................................... 25
Syftet med patientjournalen ............................................................. 27 Krav på journalföring – oavsett patientens inställning ................... 29
En patientjournal för varje patient ................................................... 31 Patientjournalens innehåll ................................................................ 33
Begreppet vårddokumentation ......................................................... 35 Varje vårdgivare måste föra sina egna journaler .............................. 37
Journalföringsplikten ........................................................................ 39 Patientens medverkan i journalföringen .......................................... 41
Andra än legitimerade kan föra journal ........................................... 43
3 Frågor om att ta del av uppgifter i en patientjournal ....... 44
Delta i vården av patienten ............................................................... 46
Tillåten åtkomst för den som inte deltar i vården ........................... 48
Bilaga 4 SOU 2014:23
8
Åtkomst för att förebereda sig inför t.ex. ett jourpass ................... 51 Vårdpersonal och åtkomst till egen journal ..................................... 53
De som medverkar vid en röntgenrond deltar i vården av patienten ............................................................................................. 55 Remisshantering inom samma vårdgivares verksamhet .................. 57
Att ta fram kliniska fallbeskrivningar för kvalitetsarbete ............... 59 Att ta fram kliniska fallbeskrivningar för utbildning ...................... 62
Ta del av uppgifter för att följa upp hur det gick för patienten ...... 65 I. Patientdatalagen och åtkomst för studenter ................................ 68
II. Patientdatalagen och åtkomst för studenter ............................... 71 Åtkomst under praktiken ................................................................. 74
Åtkomst vid monitorering i samband med kliniska prövningar .......................................................................................... 76
4 Frågor om patientens rättigheter och inflytande ............. 78
Inre spärrar ......................................................................................... 80
Inre spärrar i en nödsituation .......................................................... 83 Spärr av uppgifter om läkemedel och så kallad viktig medicinsk information ...................................................................... 85
Patientens rätt att ta del av journalen ............................................... 88 Patientens möjlighet till direktåtkomst ........................................... 91
5 Frågor om sammanhållen journalföring ......................... 93
I. Vad är sammanhållen journalföring? ............................................ 95 II. Vad är sammanhållen journalföring? ........................................... 98
III. Vad är sammanhållen journalföring? ....................................... 101 IV. Vad är sammanhållen journalföring? ....................................... 104
V. Vad är sammanhållen journalföring? ......................................... 107
Bilaga 4
9
Sammanhållen journalföring mellan primärvård och hemsjukvård ..................................................................................... 110 Villkor för att få göra uppgifter tillgängliga genom sammanhållen journalföring ........................................................... 112
Villkor för att få ta del av uppgifter genom sammanhållen journalföring .................................................................................... 115 Om patienten motsätter sig sammanhållen journalföring ............ 117
Spärr vid sammanhållen journalföring i en nödsituation .............. 119 Begreppet aktuell patientrelation ................................................... 121
Vårdgivaren ska ha en aktuell patientrelation ................................ 123 Vårdgivaren ska ha patientens samtycke........................................ 125
Omfattning i tiden av patientens samtycke ................................... 128 Samtycke på ett särskilt boende m.m. ............................................ 131
Samtycke i primärvården ................................................................ 134 Vårdnadshavare får inte motsätta sig ............................................. 137
Samtycke från vårdnadshavare behövs inte ................................... 139 Kravet på samtycke i en nödsituationer ......................................... 141
Remisshantering över vårdgivargränser ......................................... 143 Att hämta in samtycke i förväg ...................................................... 146
6 Frågor om dokumentation i socialtjänsten ................... 147
Dokumentationens innehåll ........................................................... 149 Olika utförare av socialtjänst ansvarar för sin egen dokumentation ................................................................................ 152
Krav på dokumentation – oavsett individens inställning .............. 154 Individens rätt att ta del av sina uppgifter inom socialtjänsten .... 156
Den enskildes möjlighet till direktåtkomst ................................... 158
Bilaga 4 SOU 2014:23
10
Direktåtkomst mellan olika utförare .............................................. 160 Direktåtkomst mellan biståndshandläggare och privat utförare ............................................................................................. 162
Kvalitetsutveckling inom socialtjänsten ......................................... 165 Sekretess mellan nämnder i socialtjänsten påverkar möjligheterna att utbyta information ............................................. 167
7 Frågor om integrerade verksamheter mellan socialtjänst och hälso- och sjukvård ............................ 168
Socialtjänstuppgifter i patientjournalen ......................................... 170 Direktåtkomst mellan hälso- och sjukvård och socialtjänst ......... 173
Biståndshandläggare och åtkomst till patientjournalen ................ 175 Olika dokumentationsregler och olika sekretessregler = gemensam dokumentation inte tillåten .......................................... 178
Personal på särskilda boenden och patientjournalen ..................... 181 Skillnad mellan sammanhållen journalföring och samordnad vårdplanering.................................................................................... 184
8 Frågor om nationella eller regionala kvalitetsregister i hälso- och sjukvården ............................................... 186
Betydelse av patientens inställning till registrering i kvalitetsregister ................................................................................ 188 Information till patienten ............................................................... 190
Myndighet med centralt ansvar ...................................................... 193 Patientens registrering av uppgifter ............................................... 195
Uppgifter skyddas på flera sätt ....................................................... 197 Direktåtkomst till inrapporterade uppgifter .................................. 200
Forskning tillåtet som sekundärt ändamål ..................................... 203
Bilaga 4
11
9 Frågor om informationssäkerhet ................................. 204
Stark autentisering .......................................................................... 206
Behörighet för åtkomst och behörighetsstyrning ......................... 208 Skillnad mellan vad användaren kan göra och vad användaren får göra ............................................................................................. 211
Mejla till sin patient ......................................................................... 214 Mejla till den enskilde ..................................................................... 217
10 Systematiskt kvalitetsarbete – att följa upp och förbättra resultatet för patienterna ............................. 218
11 Att ta del av patientuppgifter i system för sammanhållen journalföring ...................................... 226
12 Studerandens möjligheter att ta del av och använda patientuppgifter ....................................................... 234
Bilaga 4
13
Läsanvisning
Dessa frågor och svar är en del av utredningens delredovisning enligt direktiv 2013:43, enligt vilka utredningen ska beskriva de möjligheter som befintlig lagstiftning ger för att praktiskt kunna hantera och utbyta uppgifter. Utredningen har valt att ta fram ett praktiskt användbart verktyg i form av frågor och svar. Syftet med materialet är att ge stöd till den verksamhetsnära nivån i hälso- och sjukvården och socialtjänsten. Materialet speglar utredningen bedömning av gällande rätt den 31/12 2013.
Delredovisningen är framtagen tillsammans med utredningens expertgrupp där bl.a. myndigheter och organisationer som Datainspektionen, Socialstyrelsen, Sveriges Kommuner och Landsting, Inspektionen för vård och omsorg och Statens medicinsk-etiska råd finns representerade.
Svaren på frågorna tar endast hänsyn till de övergripande rättsliga aspekterna. Enskilda yrkesutövares faktiska möjligheter att använda och utbyta uppgifter är även beroende av den egna verksamhetens administrativa regelverk samt organisatoriska och tekniska förutsättningar m.m.
På regeringskansliets hemsida finns frågorna och svaren som ett material i powerpoint-format som går att ladda ner och använda i samband med undervisning eller föreläsningar.
Materialet i form av frågor och svar är fritt för var och en att använda och anpassa efter de behov och förutsättningar som finns i respektive verksamhet.
De tre promemoriorna i slutet av bilagan behandlar några frågor lite mer utförligt.
Bilaga 4 SOU 2014:23
14
1 Frågor om viktiga begrepp
Avsnittet innehåller frågor och svar om viktiga begrepp.
För att besvara frågorna har vi i första hand använt
• förarbetsuttalanden i prop. 1984/85:189 och prop. 2007/08:126.
Bilaga 4
15
Vem är
patient?
Det är en person som har
kontakt med hälso- och sjukvården. Kontakten kan vara
fysisk, äga rum på telefon eller
internet m.m. och avse sjukvård
eller sjukdomsförebyggande
åtgärder.
Bilaga 4 SOU 2014:23
16
Patient
Med patient avses ”den enskilde i kontakt med hälso- och sjukvården”. Innebörden är hämtad från förarbeten till den gamla patientjournallagen och är även den definition patientdatalagen bygger på.
Kontakter kan förekomma på många olika sätt
En patient kan vara i kontakt med hälso- och sjukvården på en mängd olika sätt. Kontakten kan exempelvis ske
fysiskt genom att patienten besöker en vårdgivares lokaler
på telefon vid kontakt med sjukvårdsrådgivningen
genom tjänster som t.ex. Mina vårdkontakter där patienter kan möta hälso- och sjukvården på internet
när patienter möter hälso- och sjukvården över videolänk, t.ex. i samband med rehabilitering när en remiss avseende en enskild inkommer till en vårdgivare
All individinriktad patientvård omfattas av patientdatalagen
Patientdatalagen är tillämplig för hantering av personuppgifter i all individinriktad patientverksamhet som innefattar vård, undersökning eller behandling. Det betyder att även sådan individinriktad patientvård som inte ryms i begreppet hälso- och sjukvård enligt hälso- och sjukvårdslagen omfattas av patientdatalagen.
Individinriktad verksamhet inom hälso- och sjukvården kan avse både sjukdomsförebyggande åtgärder, t.ex. allmänna och riktade hälsokontroller, och egentlig sjukvård, t.ex. undersökning, behandling och omvårdnad. Det saknar betydelse vem som har tagit initiativ till vården. Eftersom även undersökning utan egentligt vård- eller behandlingssyfte ingår i vårdbegreppet, blir även personer som t.ex. genomgår hälsoundersökning i samband med körkortstillstånd eller är föremål för blodprovstagning på polisens begäran att betrakta som patienter i patientdatalagens mening. Även en blodgivare som frivilligt lämnar blod är patient.
Bilaga 4
17
Vem är vårdgivare?
Det är den som bedriver hälso-
och sjukvård, t.ex. ett landsting,
en kommun, ett företag, en enskild firma eller en stiftelse.
Enskilda anställda är inte
vårdgivare.
Bilaga 4 SOU 2014:23
18
Vårdgivare
Med vårdgivare avses – med ett undantag – en fysisk eller juridisk person som yrkesmässigt bedriver hälso- och sjukvård. I hälso- och sjukvårdsbegreppet ingår även tandvård och optikerverksamhet m.m.
Kommuner och landsting
Inom den offentliga hälso- och sjukvården som kommuner och landsting själva driver är det den juridiska personen landstinget eller kommunen som är vårdgivare enligt patientdatalagen.
Kommunal- eller landstingsägda bolag
Sådana bolag, föreningar och stiftelser där kommuner och landsting utövar ett rättsligt bestämmande inflytande (äger mer än 50 %) är dock egna juridiska personer och utgör därför självständiga vårdgivare. Som exempel kan nämnas Södersjukhuset och Danderyds sjukhus.
Privata vårdgivare
Juridiska personer, t.ex. bolag eller stiftelser, som bedriver hälso- och sjukvård med privat eller offentlig finansiering är självständiga vårdgivare. Som exempel kan nämnas Capio, Aleris, Attendo, Praktikertjänst med flera privata vårdgivare.
Fysisk person i enskild firma m.m. (t.ex. etablering enligt nationella taxan)
En fysisk person som bedriver hälso- och sjukvårdsverksamhet i en enskild firma eller ett aktiebolag, en stiftelse, ett handelsbolag eller liknande är också en privat vårdgivare. Som exempel kan nämnas en mottagning där en fysisk person etablerat sig med stöd av lagen om läkarvårdsersättning.
Bilaga 4
19
Staten
Undantaget i patientdatalagen från huvudregeln om att vårdgivaren ska vara en juridisk eller fysisk person avser hälso- och sjukvård som tillhandahålls av statliga myndigheter, t.ex. Statens institutionsstyrelse, Kriminalvården eller Totalförsvarets pliktverk. Dessa statliga myndigheter är vårdgivare.
Enskilda yrkesutövare är normalt sett inte vårdgivare
Ovanstående innebär bl.a. att enskilda läkare som exempelvis är anställda på ett sjukhus eller en vårdcentral inte är vårdgivare i lagens mening.
Bilaga 4 SOU 2014:23
20
Vad är en
vårdenhet?
Det är en organisatorisk enhet
som vårdgivaren själv fastställer,
ofta den verksamhet som leds av
en verksamhetschef.
Bilaga 4
21
Vårdenhet
Begreppet vårdenhet återfinns i patientdatalagens bestämmelse om rättigheten för patienten att spärra vårddokumentation mellan olika vårdenheter inom en och samma vårdgivare (4 kap. 4 § patientdatalagen). I Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring används begreppet vårdenhet bland annat i bestämmelsen som reglerar personalens åtkomst till patientuppgifter inom en vårdgivares verksamhet (2 kap. 7 §), men även i de bestämmelser som handlar om åtkomstkontroll (loggning) och patientens rätt att få information om den åtkomst som skett till hans eller henens uppgifter (2 kap. 11 och 12 §§).
Vårdgivaren fastställer själv verksamhetens vårdenheter
Varken i lag eller föreskrift är begreppet vårdenhet definierat, utan det är upp till respektive vårdgivare att fastställa begreppet utifrån de förutsättningar som finns i verksamheten. Hur stora olika vårdenheter är och vad som karaktäriserar dem kan därmed skilja sig mellan olika vårdgivare. En vårdcentral räknas ofta som en vårdenhet medan det finns många olika vårdenheter på ett sjukhus. Inom den kommunala hälso- och sjukvården finns vanligen flertalet vårdenheter, beroende på kommunens storlek och de olika verksamheternas karaktär.
Vanlig definition
En vanligt förekommande definition bland vårdgivare är att vårdenhet avser ”den organisatoriska enhet som leds av en verksamhetschef eller motsvarande”. Men även verksamheter som leds av samma verksamhetschef kan bestå av flera vårdenheter, t.ex. på grund av en geografisk spridning eller att verksamheterna har en sådan karaktär att de betraktas som enskilda enheter i förhållande till varandra.
Bilaga 4 SOU 2014:23
22
Varför måste begreppet fastställas?
För vårdgivare är det nödvändigt att fastställa vilka vårdenheter som finns i verksamheten, bl.a. för att kunna informera patienter om vilka möjligheter att spärra som finns och för att kunna lämna sådan information om åtkomst till patientens uppgifter som ska lämnas till patienten enligt 2 kap. 12 § SOSFS 2008:14. Det har även betydelse för vårdgivares möjligheter att anpassa journalsystemen och styra hälso- och sjukvårdspersonalens behörigheter på ett sådant sätt att personalen i första hand ges åtkomst till sådana patientuppgifter som återfinns i den egna verksamheten (vårdenheten).
Bilaga 4
23
Vad är det för skillnad på kravet på samtycke och rätten
att motsätta sig?
Vid krav på samtycke krävs ett aktivt ställningstagande från patientens sida för att vårdgivaren ska få vidta åtgärden, t.ex. ta del
av uppgifter i sammanhållen journalföring.
Rätten att motsätta sig innebär däremot att den som är tyst samtycker. Om en informerad
patient inte säger något annat kan vårdgivaren vidta åtgärder, t.ex. registrera
uppgifter i ett nationellt kvalitetsregister.
Bilaga 4 SOU 2014:23
24
Skillnad mellan samtycke och rätt att motsätta sig (opt-out)
Vid krav på samtycke krävs ett aktivt ställningstagande från patientens sida för att vårdgivaren ska få vidta den aktuella åtgärden. Om samtycket uteblir, t.ex. genom att patienten är passiv, får åtgärden inte vidtas. Samtycket ska vara frivilligt, särskilt och otvetydigt för att leva upp till personuppgiftslagens krav. Det innebär bl.a. att den som samtycker ska vara informerad och kunna förutse vad samtycket omfattar.
Att ta del av andra vårdgivares uppgifter i system för sammanhållen journalföring är ett exempel på en situation där patientdatalagen ställer krav på samtycke från patienten för att vårdgivaren ska få vidta åtgärden.
Rätten att motsätta sig (opt-out)
Rätten att motsätta sig, eller opt-out som det ibland kallas, innebär i praktiken att den som är tyst samtycker. Om en informerad patient är passiv och inte säger något får vårdgivaren vidta åtgärden.
Att göra patientuppgifter tillgängliga (skede 1) i system för sammanhållen journalföring är exempel på en situation där patientdatalagen ger vårdgivaren en rätt att vidta åtgärden (d.v.s. att göra uppgifterna tillgängliga) om en informerad patient inte ger uttryck för att vilja motsätta sig. Motsvarande gäller även för registrering i nationella kvalitetsregister, där vårdgivaren kan registrera uppgifter om en informerad patient inte aktivt motsatt sig.
Principen bygger på ett antagande om att en informerad patient som inte ger uttryck för sin vilja inte heller har något emot att den aktuella åtgärden, t.ex. medverkan i sammanhållen journalföring eller nationella kvalitetsregister. Det kan även uttryckas så att informationsplikten ligger på vårdgivaren och aktivitetsmöjligheten på patienten. Vårdgivaren behöver med andra ord inte aktivt försöka få patienten att ge uttryck för sin inställning, utan det är upp till patienten själv att ta ett sådant initiativ.
För den patient som aktivt motsätter sig, får vårddokumentation inte göras tillgänglig i system för sammanhållen journalföring eller registreras i nationella kvalitetsregister. Det innebär dock inte att patienten har rätt att motsätta sig att uppgifter journalförs eller används lokalt av en vårdgivare för att kvalitetssäkra vården.
Bilaga 4
25
2 Fr ågor om patientjournalen
Avsnittet innehåller frågor och svar om patientjournalen; syfte, innehåll, vem som ska föra journal m.m.
För att besvara frågorna har vi i första hand använt
• 3 kap. Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.
Bilaga 4 SOU 2014:23
26
Varför ska det
föras en patientjournal?
Huvudsyftet är att bidra
till en god och säker vård
av patienter.
Bilaga 4
27
Syftet med patientjournalen
Syftet med att föra patientjournal (3 kap. 2 § patientdatalagen) är i första hand att bidra till en god och säker vård av patienten. Patientjournalen är främst ett arbetsinstrument och stöd för dem som på olika sätt och vid olika tidpunkter deltar i patientens vård. En väl förd patientjournal har inte bara avgörande betydelse för vårdens kvalitet och säkerhet utan ökar även tryggheten för hälso- och sjukvårdspersonalen.
Informationskälla för patienten
Patientjournalen är även en informationskälla för patienten och ger denne möjligheter till insyn, kunskap och ökad delaktighet i sin hälsa och vård.
Underlag för kvalitetssäkring
De uppgifter som dokumenteras i en patientjournal ligger även till grund för att följa upp, säkra och utveckla kvaliteten i hälso- och sjukvården. Även av denna anledning är det av avgörande betydelse att uppgifter i patientjournalen är korrekta.
Källmaterial för forskning och utbildning
Vidare används journaluppgifter som källmaterial vid forskning. Även i utbildningssammanhang är patientjournalen en viktig källa, även om det där många gånger handlar om att ta del av information som inte går att härleda till en specifik person.
Betydelse i rättsliga sammanhang
Patientjournalen används också i samband med kontroll, tillsyn och vid olika rättsliga sammanhang, t.ex. för att dokumentera sjukdomar eller skador i skadestånds- och försäkringssammanhang eller för att utreda anmälningar mot hälso- och sjukvårdspersonal. Uppgifterna i patientjournalen kan alltså få både rättsliga och ekonomiska betydelser för patienter och yrkesutövare.
Bilaga 4 SOU 2014:23
28
Kan patienten
förhindra att en
patientjournal
förs?
Nej. Patienten får inte bestämma om det eller på
vilket sätt journal förs.
Bilaga 4
29
Krav på journalföring – oavsett patientens inställning
Vid vård av patienter ska det föras patientjournal och det finns ett antal yrkesgrupper som är skyldiga att journalföra. En patient kan inte motsätta sig att en journal förs eller att personuppgifter behandlas, vare sig det sker manuellt på papper eller i ett elektroniskt patientjournalsystem. Patienten kan inte heller bestämma i frågor som rör vem som ska dokumentera i patientjournalen. Det är ytterst vårdgivaren som, utifrån regelverket i patientdatalagen och Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring, avgör formerna för journalföringen.
Patientens rätt till självbestämmande och integritet
I samband med journalföring och annan informationshantering i hälso- och sjukvården ska patientens rätt till självbestämmande och personlig integritet iakttas. Vid journalföring innebär det exempelvis att uppgifter om patienten ska vara korrekta och relevanta i förhållande till syftet med journalföringen. Dokumenterade uppgifter om patienten ska också hanteras och förvaras så att obehöriga inte kan komma åt dem. Om patienten anser att en uppgift är oriktig eller missvisande så ska det antecknas i journalen.
Även om patienten inte kan bestämma om journal ska föras har patienten ändå en viss rätt att påverka hur uppgifter som är journalförda hanteras inom och mellan vårdgivares verksamheter. Patienten kan exempelvis begära att den elektroniska tillgången till patientens uppgifter begränsas mellan olika vårdenheter eller vårdprocesser inom en vårdgivares verksamhet. Närmare bestämmelser om patientens rättigheter att spärra uppgifter finns i 4 kap. 4 § patientdatalagen.
Bilaga 4 SOU 2014:23
30
Kan en journal föras gemensamt för flera
patienter, t.ex. en gemensam journal för
föräldrar och barn?
Nej. En patientjournal ska föras för varje patient och
får inte vara gemensam.
Bilaga 4
31
En patientjournal för varje patient
En patientjournal ska enligt 3 kap. 1 § patientdatalagen föras för varje patient och får inte vara gemensam för flera patienter.
Det är viktigt att den som genomför en behandling som gäller barn eller föräldrar håller reda på vem som får behandling och i vilken journal olika uppgifter ska dokumenteras. Det har betydelse för en säker vård, men kan också ha betydelse i sekretesshänseende m.m.
Bilaga 4 SOU 2014:23
32
Vad ska en patientjournal
innehålla?
De uppgifter som behövs för en god och säker vård av
patienten.
Bilaga 4
33
Patientjournalens innehåll
En patientjournal ska innehålla de uppgifter som behövs för en god och säker vård av patienten (3 kap. 6 § 1 st. patientdatalagen). Det är exempelvis uppgift om patientens identitet, väsentliga uppgifter om bakgrunden till vården, uppgifter om ställda diagnoser, anledning till mer betydande åtgärder, väsentliga uppgifter om vidtagna och planerade åtgärder m.m. (3 kap. 6 § 2 st. patientdatalagen)
Patientjournalen är främst ett arbetsinstrument för den som ansvarar för patientens vård, men även någon som inte har träffat patienten tidigare ska kunna använda den för att bedöma vilka åtgärder som kan behöva vidtas. Journalen ska därför kunna användas av hälso- och sjukvårdspersonalen för planering, genomförande och uppföljning av vården. En väl förd patientjournal har stor betydelse för patientsäkerheten och ökar tryggheten för personalen inom hälso- och sjukvården och tandvården. I en patientjournal ska det vara lätt att följa vilka bedömningar och överväganden som gjorts liksom eventuella komplikationer som förekommit samt prognosen för den utförda behandlingen. En bra journalföring minskar risken för onödiga missförstånd om vården ifrågasätts eller om någon annan tar över ansvaret för en behandling med mera. Av samma skäl som redovisats är det viktigt att journalen inte fylls med information som inte behövs för en god och säker vård.
Begränsning av vad patientjournalen får innehålla
För att tydliggöra att en patientjournal inte får innehålla irrelevanta uppgifter följer av patientdatalagen att journalen endast får innehålla de uppgifter som behövs för vården av en patient eller för administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall (3 kap. 5 § patientdatalagen). Dessutom får journalen innehålla de uppgifter som enligt lag eller annan författning ska antecknas i en patientjournal.
I patientdatalagen, Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring och i andra föreskrifter finns bestämmelser om vad som ska dokumenteras.
Bilaga 4 SOU 2014:23
34
Vad menas med vårddokumentation?
Med begreppet avses patientjournalen och övriga uppgifter som behövs i och för vården av en patient eller som behövs för den administration
som rör patientens vård.
Bilaga 4
35
Begreppet vårddokumentation
Vårddokumentation är ett samlingsbegrepp för de uppgifter som behövs och som måste dokumenteras i och för vården av patienter (patientjournalföring) samt de uppgifter som behövs för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall. Det handlar i princip om alla uppgifter som behövs i den individinriktade patientverksamheten, d.v.s. även sådana uppgifter som faller vid sidan av skyldigheten att föra patientjournal.
Även ekonomiadministration m.m. är vårddokumentation
Det innebär exempelvis att begreppet vårddokumentation täcker både patientjournalföringen och all patientrelaterad administration som äger rum i hälso- och sjukvården, t.ex. ekonomiska regleringar mellan patienter och vårdgivare, kontaktuppgifter, individuella väntetider eller köplaceringar, tidbokningar, olika former av interndebiteringar, ekonomiska regleringar mellan kommuner och landsting i egenskap av huvudmän och privata vårdgivare m.m.
Bilaga 4 SOU 2014:23
36
Får olika vårdgivare
dokumentera i
samma patientjournal?
Nej. Varje vårdgivare för sin
egen journal. Vårdgivare kan dock dokumentera i samma
IT-system så länge de olika
vårdgivarnas uppgifter
separeras från varandra.
Bilaga 4
37
Varje vårdgivare måste föra sina egna journaler
Vid vård av patienter ska det föras patientjournal (3 kap. 1 § patientdatalagen) Varje vårdgivare eller myndigheter inom en vårdgivare är personuppgiftsansvarig för de patientuppgifter som behandlas i verksamheten. Vårdgivaren ansvarar alltså för att journaler upprättas och hanteras på ett ändamålsenligt och säkert sätt i verksamheten. I det ansvaret ligger också ett ansvar för gallring och arkivering. Det innebär att varje vårdgivare måste föra sina egna journaler. En privat vårdgivare får exempelvis inte föra journal i ett landstings eller en kommuns journaler.
Mellan vårdgivare råder som huvudregel även sekretess, vilket bland annat innebär att särskilda villkor måste vara uppfyllda för att uppgifter ska få vara tillgängliga för flera olika vårdgivare.
Möjlighet att dokumentera i samma IT-system
Kravet på att vårdgivare ansvarar för sin egen journal och att en patientjournal inte kan vara gemensam för flera vårdgivare hindrar däremot inte att flera vårdgivare använder samma journalsystem för sin journalföring.
Så länge de olika vårdgivarnas uppgifter är separerade från varandra, logiskt eller fysiskt, och vårdgivarna i övrigt kan leva upp till sina skyldigheter enligt patientdatalagen, offentlighets- och sekretesslagen, patientsäkerhetslagen, arkivlagen m.fl. är det möjligt att föra journal i samma system.
Vårdgivare som för patientjournal i samma system har således ingen annan legal rätt eller möjlighet att ta del av varandras uppgifter än vad som gäller för vårdgivare som använder olika journalsystem. De faktiska möjligheterna att effektivt utbyta uppgifter mellan vårdgivare som samarbetar i vården av patienter ökar dock generellt om samma journalsystem, eller system som kan kommunicera med varandra, används.
Bilaga 4 SOU 2014:23
38
Vem ska föra patientjournal och vem får göra det?
Hälso- och sjukvårdspersonal är
skyldig att föra patientjournal.
Andra yrkesgrupper får föra
patientjournal i enlighet med
vårdgivarens rutiner.
Bilaga 4
39
Journalföringsplikten
Vid vård av patienter ska det föras patientjournal. I 3 kap. 3 § patientdatalagen anges vilka som är skyldiga att föra patientjournal. Skyldigheten gäller främst den som har legitimation eller ett särskilt förordnande att utöva ett visst yrke inom hälso- och sjukvården eller tandvården. Den som är verksam som kurator i den allmänna hälso- och sjukvården är också skyldig att föra journal.
Den som biträder legitimerad personal
I vissa fall måste även icke-legitimerad personal föra patientjournaler, exempelvis personal inom hälso- och sjukvården som biträder en legitimerad yrkesutövare.
Vårdgivaren avgör vem som får föra patientjournal
Även andra personalkategorier än de som räknas till hälso- och sjukvårdspersonal får dokumentera i en patientjournal om det följer av arbetsuppgifterna. Det kan exempelvis handla om undersköterskor och skötare som på olika sätt deltar i patientens vård och behandling. Det är viktigt att vårdgivaren, när denne organiserar och fördelar arbetet, tydliggör hur samtliga medarbetare ska agera i frågor som rör dokumentation och informationshantering.
Bilaga 4 SOU 2014:23
40
Får patienten bidra med
uppgifter till journalen
t.ex. genom att fylla i
elektroniska formulär?
Ja. Vårdgivaren ansvarar för patientjournalens innehåll och
utformning. Vårdgivaren kan bestämma att patienten själv kan
fylla i vissa uppgifter och under
vilka former det ska ske.
Bilaga 4
41
Patientens medverkan i journalföringen
Vårdgivaren ansvarar för att det förs journal i enlighet med patientdatalagen och att journalföringen är ändamålsenlig. Om vårdgivaren anser att uppgifter som patienten bidrar med är av värde för vården kan vårdgivaren bestämma om detta. För att elektroniska blanketter ska kunna användas måste även bestämmelser om informationssäkerhet vara uppfyllda.
Vårdgivaren kan göra det möjligt för patienten att bidra med information elektroniskt
Olika former av hälsodeklarationer som patienter kan fylla i t.ex. inför en kontakt med vården är exempel på sådan informationsinhämtning som kan ske elektroniskt och på ett effektivt sätt bidra till innehållet i patientjournalen. Det kan även handla om att patienter registrerar och elektroniskt rapporterar in olika mätvärden till en vårdgivare.
Att patienter med hjälp av den tekniska utvecklingen elektroniskt kan bidra med sådana uppgifter som har betydelse för en god och säker vård innebär dock inte att det är patienten som för journalen. Det bör i stället betraktas som att vårdgivaren i sina rutiner för att inhämta den information som behövs för god och säker vård tillhandahåller definierade möjligheter för patienten att bidra med viktig information. Ur ett journalföringsperspektiv är det heller ingen egentlig skillnad mellan en hälsodeklaration som förut inkom på papper och tillfogades journalen och en hälsodeklaration som lämnas in elektroniskt och tas om hand elektroniskt i journalen.
Elektronisk kommunikation ställer krav på säkerhet
En större del av den elektroniska kommunikationen mellan vårdgivare och patienter sker i dag via internet. Av den anledningen är det nödvändigt att vårdgivare som tillhandahåller dessa möjligheter även ser till att vidta de säkerhetsåtgärder som krävs, t.ex. för att skydda uppgifterna från obehörig åtkomst. Såväl ur ett patientsäkerhetsperspektiv som ur integritetshänseende är det även viktigt att patientens identitet säkerställs vid sådan elektronisk kommunikation som går över internet.
Bilaga 4 SOU 2014:23
42
Får undersköterskor, t.ex.
på ett särskilt boende,
föra patientjournal?
Ja. Det finns inga legala hinder mot det. Det är vårdgivaren, t.ex.
kommunen, som avgör hur arbetet ska bedrivas och vilka
utöver de journalföringspliktiga
som ska dokumentera i
patientjournalen.
Bilaga 4
43
Andra än legitimerade kan föra journal
Skyldigheten att föra patientjournal gäller främst den som har legitimation eller ett särskilt förordnande att utöva ett visst yrke inom hälso- och sjukvården. I vissa fall måste även icke-legitimerad personal föra journal, exempelvis den som biträder en legitimerad yrkesutövare.
Vårdgivaren avgör vilka, utöver de journalföringspliktiga, som ska journalföra
Vårdgivaren ska ha rutiner för journalföring som ser till att sådana uppgifter som behövs för en god och säker vård dokumenteras i patientjournalen och att de yrkesutövare som behöver uppgifterna får tillgång till dem. Det innebär att det är vårdgivaren som, t.ex. i särskilt boende eller i hemsjukvården, bestämmer vilka utöver sjuksköterskor och annan legitimerad personal som ska dokumentera i och kunna ta del av uppgifter patientjournaler.
Den som deltar i vården av en patient kan behöva dokumentera uppgifter som har betydelse för patientens fortsatta vård och behandling, även om den anställde inte är journalföringspliktig enligt lag. Det kan dessutom vara svårt att särskilja socialtjänstens omvårdnadsdokumentation från vad som ska betraktas som hälso- och sjukvårdsdokumentation, framförallt när det gäller verksamheter där den enskilde har ett sammansatt behov av vård och omsorg. Var ska exempelvis uppgifter om kost, sömn, aktiviteter, förändringar i funktionsnivåer, humör etc. dokumenteras? I patientjournalen, i socialtjänstens journaler eller på båda ställena? Här är det viktigt med ett individfokus. Var behöver uppgifterna finnas för att göra nytta för individen i vård och omsorg? Vilken personal behöver uppgifterna för att kunna utföra sitt arbete?
Bilaga 4 SOU 2014:23
44
3 Frågor om att ta del av uppgifter i en patientjournal
Avsnittet innehåller frågor och svar om att ta del av och använda uppgifter i en patientjournal.
För att besvara frågorna har vi i första hand använt
• 2 kap. 4 § och 4 kap. 1 §patientdatalagen (2008:355), och
• förarbetsuttalanden i prop. 2007/08:126.
Bilaga 4
45
Vad innebär det att delta i
vården av patienten?
Om du bidrar med din kompetens i samband med vården av en patient så deltar du
i vården – även om du inte har
träffat patienten.
Bilaga 4 SOU 2014:23
46
Delta i vården av patienten
Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården (4 kap. 1 § patientdatalagen).
Vårdgivaren organiserar arbetet
Vårdgivaren har ett övergripande ansvar för att organisera det dagliga arbetet. Det innebär t.ex. att vårdgivaren måste använda den kompetens som finns i verksamheten effektivt och i övrigt organisera arbetet på ett ändamålsenligt sätt som garanterar kvaliteten och säkerheten i verksamheten.
Många vårdgivare har därför organiserat olika former av arbetslag som består av medarbetare med flera olika kompetenser och erfarenheter, som samarbetar med varandra i den patientnära vården. Det är också vanligt att olika yrkesutövare bidrar med sin kompetens genom att delta i olika typer av ronder, t.ex. röntgenronder eller motsvarande konferenser. De som medverkar i en sådan rond för att deras kompetens behövs deltar därmed i patientens vård och behandling. De behöver alltså inte delta i patientens vård på något annat sätt, t.ex. personligen ha träffat patienten eller vara dennes ansvarige behandlande läkare, för att få ta del av de patientuppgifter som behövs. Det är nämligen tillåtet för alla som deltar i vården av patienten att ta del av de uppgifter man själv behöver för att kunna utföra sitt arbete. På motsvarande sätt är det tillåtet för t.ex. den som har jour att inför sitt arbetspass förbereda sig genom att ta del av relevanta patientuppgifter rörande de patienter som finns i verksamheten just då, exempelvis ligger inne på avdelningen. Här är några exempel på när någon deltar i vården av patienten:
träffa patienten personligen
bli konsulterad av en kollega
delta i en multiprofessionell rond
ge patienten sjukvårdsrådgivning på telefon
kommunicera med patienten över Internet
ta emot en remiss rörande patienten
Bilaga 4
47
Får den som inte deltar
i vården ta del av patientuppgifter?
Ja. Förutom att användas i vården av
en patient får uppgifter t.ex. användas av den som har i uppdrag
att arbeta med administration, kvalitetssäkring, uppföljning, statistik
m.m. De uppgifter som behövs för
sådant arbete får användas.
Bilaga 4 SOU 2014:23
48
Tillåten åtkomst för den som inte deltar i vården
Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården (4 kap. 1 § patientdatalagen).
Vilka sådana andra skäl som är tillåtna framgår huvudsakligen av bestämmelsen i 2 kap. 4 § patientdatalagen, men även av de enskilda medarbetarnas arbetsuppgifter och arbetsbeskrivningar eller motsvarande.
Patientuppgifter får användas för flera syften
Av 2 kap. 4 § patientdatalagen följer att uppgifter om patienter får användas om det behövs för
1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta
annan dokumentation som behövs i och för vården av patienter (journalföring),
2. administration som rör patienter och som syftar till att ge vård i
enskilda fall eller som annars föranleds av vård i enskilda fall,
3. att upprätta annan dokumentation som följer av lag, förordning
eller annan författning,
4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i
verksamheten,
5. administration, planering, uppföljning, utvärdering och tillsyn
av verksamheten, eller
6. att framställa statistik om hälso- och sjukvården.
Uppdrag och arbetsuppgifter påverkar vem som får göra vad
Den personal som har i uppdrag att utföra arbetsuppgifter som t.ex. kräver att statistik tas fram eller att vårdprocesser utvärderas får därmed ta del av de patientuppgifter som behövs för de syftena. På samma sätt får personal, med stöd av det som ingår i deras arbetsuppgifter och vårdgivarens övriga riktlinjer, ta del av de patientuppgifter som behövs för att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten.
Bilaga 4
49
Det som får ta del av patientuppgifter för något av dessa andra skäl behöver alltså inte dessutom delta eller ha deltagit i patientens vård. Det räcker att medarbetaren behöver uppgifterna för något av dessa tillåtna skäl och har till uppgift att utföra sådana arbetsuppgifter.
Bilaga 4 SOU 2014:23
50
Är det tillåtet för en läkare
att läsa journaler för att
förbereda sig inför ett
jourpass?
Ja. Det är tillåtet att ta del av
de uppgifter som läkaren behöver för att förbereda sitt
arbete med patienterna.
Bilaga 4
51
Åtkomst för att förebereda sig inför t.ex. ett jourpass
Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården (4 kap. 1 § patientdatalagen).
Att ta del av patientuppgifter för att kunna förbereda sitt arbete är ett tillåtet ändamål enligt 2 kap. 4 § 1 och 2 patientdatalagen (vårddokumentation). Med ändamålet vårddokumentation avses inte bara själva insamlandet och registreringen av uppgifterna t.ex. i patientjournalen, utan även senare användning av uppgifterna i den omfattning som behövs i patientvården eller patientadministrationen.
En skyldighet och en rätt att förbereda sig inför arbetet
För den läkare som har i uppdrag att tjänstgöra som jour är det tillåtet att ta del av de uppgifter som behövs för att kunna förbereda och genomföra jourtjänstgöringen. Det kan t.ex. handla om att ta del av viktig information om de patienter som är inneliggande på en avdelning. Det kan även uttryckas som en skyldighet eftersom hälso- och sjukvårdspersonal är skyldiga att utöva sitt arbete i enlighet med vetenskap och beprövad erfarenhet.
På motsvarande sätt är det också tillåtet för läkare, eller andra yrkesutövare, som tar emot bokade patientbesök att ta del av de uppgifter om de inbokade patienterna som är nödvändiga för att vara förberedd och kunna genomföra besöket på ett bra sätt.
Bilaga 4 SOU 2014:23
52
Får den som arbetar i
vården gå in i
journalsystemet för att
läsa sin egen journal?
Nej. Den som arbetar i
vården får bara ta del av
de uppgifter som behövs
för arbetet inom hälso-
och sjukvården.
Bilaga 4
53
Vårdpersonal och åtkomst till egen journal
Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården (4 kap. 1 § patientdatalagen). Det innebär att det är arbetet inom hälso- och sjukvården som är avgörande för vilka uppgifter en anställd får ta del av. Det faktum att den som arbetar i hälso- och sjukvården kan ha tekniska möjligheter att ta del av uppgifter om sig själv har ingen betydelse i sammanhanget.
Eftersom den som arbetar i vården sannolikt inte har något uppdrag att delta i vården av sig själv eller av andra skäl ta del av uppgifter om sig själv, får denne inte logga in i journalsystemet och ta del av dessa uppgifter.
Motsvarande resonemang gäller för åtkomst till vänners, släktingars och familjemedlemmarnas journaler. Den som arbetar i vården får endast ta del av vänners, släktingars eller familjemedlemmars uppgifter om han eller hon i enlighet med sina arbetsuppgifter deltar i vården av dessa eller av annat skäl behöver uppgifterna för sitt arbete i hälso- och sjukvården.
Utlämnande av uppgifter kan ske
Hälso- och sjukvårdspersonal har samma rätt som andra patienter att få sin patientjournal utlämnad. Han eller hon får vända sig till vården och begära att få ta del av uppgifterna. Det är sedan upp till vårdgivaren att avgöra hur uppgifterna ska lämnas ut. Det kan ske manuellt, genom elektroniskt utlämnande eller genom direktåtkomst.
Bilaga 4 SOU 2014:23
54
Är röntgenronder
lagliga?
Ja. Vårdgivaren bestämmer hur
vården av en patient ska vara
organiserad för att ta tillvara
den kompetens som finns.
Bilaga 4
55
De som medverkar vid en röntgenrond deltar i vården av patienten
Vårdgivaren ansvarar för att organisera det dagliga arbetet på ett ändamålsenligt och säkert sätt. Det innebär t.ex. att vårdgivaren måste använda den kompetens som finns i verksamheten på ett effektivt sätt. Många vårdgivare har därför organiserat arbetslag som består av flera medarbetare med olika kompetenser och erfarenheter som samarbetar med varandra i den patientnära vården.
Det är också vanligt att olika yrkesutövare bidrar med sin kompetens genom att delta i olika typer av ronder, t.ex. röntgenronder. Den som medverkar i en sådan rond för att bidra med sin kompetens behöver inte delta i patientens vård på något annat sätt för att få medverka under ronden och ta del av nödvändiga uppgifter om patienten.
Eftersom det är vårdgivaren som organiserar arbetet och bestämmer vad som ingår i medarbetarnas arbetsuppgifter kan medarbetarna känna sig trygga med den personuppgiftshantering som är nödvändig även i sådana sammanhang.
Bilaga 4 SOU 2014:23
56
Får den som remitterat en
patient inom samma
vårdgivares verksamhet gå in i
journalen och följa upp hur det
gick?
Ja. Enligt de rutiner för
hantering av remisser
som finns.
Bilaga 4
57
Remisshantering inom samma vårdgivares verksamhet
Frågan handlar om en situation där remitterande och remissmottagande verksamhet befinner sig inom en och samma vårdgivare, t.ex. en landstingsdriven vårdcentral och ett landstingsdrivet sjukhus.
Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården (4 kap. 1 § patientdatalagen). I 2 kap. 4 § patientdatalagen regleras för vilka ändamål som vårdgivaren får behandla patientuppgifter.
Den remitterande läkaren deltar i vården av patienten och har fortfarande ansvar för att patienten blir omhändertagen på den mottagande enheten och måste få bevaka och ta del av remissvar enligt de rutiner som vårdgivaren har för detta.
Vårdgivare kan även utforma riktlinjer som ger uttryck för remitterande personals behov av att ta del av remissmottagarens journalanteckningar för ett systematiskt kvalitetsarbete. Det kan exempelvis handla om öka kvaliteten och säkerheten i vårdgivarens remisshantering genom att på ett systematiskt och fortlöpande sätt följa upp om remittenters bedömningar och åtgärder är korrekta m.m.
När det gäller hantering av remisser ska även Socialstyrelsens föreskrifter (SOSFS 2004:11) om ansvar för remisser för patienter inom hälso- och sjukvård, tandvården m.m. följas.
Bilaga 4 SOU 2014:23
58
Är det tillåtet att gå in i journalsystemet och ta fram kliniska fallbeskrivningar för
kollegiala
kvalitetsdiskussioner?
Ja, för den som har i uppdrag att
göra det som ett led i vårdgivarens systematiska
kvalitetsarbete. När
fallbeskrivningarna används ska
patientens namn och
personnummer inte finnas med.
Bilaga 4
59
Att ta fram kliniska fallbeskrivningar för kvalitetsarbete
Frågan handlar dels vem som får gå in i journalsystemet för att identifiera och ta fram relevanta fallbeskrivningar för kvalitetsarbetet, dels hur sådana underlag i nästa skede får användas i verksamheten.
Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården (4 kap. 1 § patientdatalagen). I 2 kap. 4 § patientdatalagen regleras för vilka ändamål som patientuppgifter får behandlas. Bland dessa ändamål finns t.ex. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. Ett moment som kan ingå i kvalitetsarbetet är att dra lärdom av kliniska fallbeskrivningar och återföra kunskap till de som arbetar i vården. Det kan vara en del i strävan efter att ständigt utveckla verksamhetens kvalitet och personalens kompetens. Vårdgivaren måste också vara tydlig med vad som förväntas av medarbetarna vad gäller kvalitetsarbetet och var gränserna går för den informationshantering som ska ligga till grund för arbetet.
Behov av rutiner och uppdrag till personal som ska ta fram fallbeskrivningar
All hantering av personuppgifter ska ske med beaktande av patienternas behov av integritetsskydd. Det innebär bl.a. att inte fler uppgifter än nödvändigt ska användas med hänsyn till det syfte och de behov som finns i enskilda situationer. Vid hantering av personuppgifter för syften som inte rör enskilda patienters vård och behandling, t.ex. kvalitetssäkring, är det särskilt angeläget att vårdgivare tar ställning till vilka uppgifter som är motiverade att hantera och hur hanteringen i övrigt kan utformas så att patienternas personliga integritet respekteras. Vid en sådan bedömning kan det inte anses motiverat att samtliga som har tillgång till ett journalsystem ska ha möjlighet att fritt leta efter intressanta fallbeskrivningar.
Ett sätt att balansera behovet av fallbeskrivningar för verksamhetens kvalitetsarbete och patienternas behov av integritetsskydd är att vårdgivaren lägger uppdraget att ta fram fallbeskrivningar på den som är ansvarig för patientens vård. Den som redan känner till
Bilaga 4 SOU 2014:23
60
patientens situation och har tillgång till uppgifterna i den individinriktade verksamheten torde även ha bäst förutsättningar att avgöra vad som i enskilda fall kvalificerar som underlag till kvalitetsarbetet och vad som inte är relevant. Ett annat sätt kan vara att vårdgivaren utser ett fåtal personer som i sina verksamhetsområden får i uppdrag att uppmärksamma och se till att viktiga patientfall kommer upp till diskussion.
Oavsett vilka rutiner en vårdgivare tar fram och vilka uppdrag medarbetare tilldelas ska skarpa identitetsuppgifter om en patient, t.ex. namn och personnummer, inte förekomma vid kollegiala kvalitetsdiskussioner. De uppgifterna behövs för att ta fram underlaget, men sedan inte under själva diskussionen.
Bilaga 4
61
Är det tillåtet att gå in i journalsystemet och ta fram kliniska fallbeskrivningar för att
använda i undervisningen av
studenter?
Ja, för den som har i uppdrag att
ta fram underlag för undervisning.
Patientens namn och
personnummer ska inte finnas
med i materialet som används i
undervisningen.
Bilaga 4 SOU 2014:23
62
Att ta fram kliniska fallbeskrivningar för utbildning
Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården (4 kap. 1 § patientdatalagen). I 2 kap. 4 § patientdatalagen regleras för vilka ändamål som patientuppgifter får behandlas.
Renodlad utbildningsverksamhet är inte hälso- och sjukvård och anses vara en självständig verksamhetsgren, skild från hälso- och sjukvård, även om den bedrivs inom en och samma myndighet som bedriver hälso- och sjukvården. I patientdatalagens tillämpningsområde ingår alltså inte utbildningsverksamheten som sådan. För att patientuppgifter ska få användas i ren utbildning och undervisning krävs således att sekretessen för uppgifterna bryts så att ett utlämnande kan göras. Patienten kan själv bryta sekretessen genom att lämna sitt samtycke. Ett annat sätt är att uppgifterna, innan de lämnas ut för att användas i utbildningssammanhang, rensas från sådant som kan identifiera patienten, exempelvis namn, personnummer och annat som är mer direkt utpekande.
Uppdrag till den personal som ska ta fram fallbeskrivningar
Även om utbildning är en självständig verksamhetsgren ingår det i vissa medarbetares arbetsuppgifter att medverka till och delta i utbildning av läkare, sjuksköterskor, tandläkare, barnmorskor m.fl. Dokumentation i patientjournaler är en viktig kunskapskälla i utbildningsverksamheten. En uppgift att ta fram och lämna ut relevanta patientfall kan därför ses som en arbetsuppgift som kan tilldelas vissa personer inom olika verksamhetsområden där utbildning och undervisning bedrivs. Hanteringen av personuppgifterna kan anses göras som ett led i ett tillåtet utlämnande av uppgifter. Ändamålet med hanteringen omfattas därmed av de i 2 kap.4 och 5 §§patientdatalagen tillåtna ändamålen.
All hantering av personuppgifter ska göras med beaktande av patienternas behov av integritetsskydd. Vid hantering av personuppgifter för syften som inte rör enskilda patienters vård och behandling är det särskilt angeläget att vårdgivare tar ställning till vilka uppgifter som är motiverade att hantera och hur hanteringen i övrigt kan utformas så att patienternas personliga integritet respek-
Bilaga 4
63
teras. Vid en sådan bedömning kan det inte anses motiverat att samtliga som har tillgång till ett journalsystem ska ha möjlighet att fritt leta efter intressanta fallbeskrivningar. En sådan arbetsuppgift bör tilldelas endast ett fåtal medarbetare, exempelvis utbildningsansvarig sjuksköterska, läkare m.fl. yrkeskategorier inom olika verksamhetsområden.
Bilaga 4 SOU 2014:23
64
Får den som deltagit i vården
av en patient gå in i journalen för att följa upp
hur det gick?
Ja, med stöd av uppdrag och riktlinjer. Det ingår normalt sett i
arbetsuppgifterna att följa upp
resultatet för patienterna. Vårdgivaren ska närmare beskriva
hur det systematiska kvalitetsarbetet ska gå till.
Bilaga 4
65
Ta del av uppgifter för att följa upp hur det gick för patienten
I en vårdgivares verksamhet får uppgifter om patienter bl.a. användas för att ”systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten (2 kap. 4 § patientdatalagen). Vidare får den som arbetar hos en vårdgivare ta del av uppgifter om en patient antingen om man deltar i vården av patienten eller om man av ”annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården” (4 kap. 1 § patientdatalagen). Ett exempel på ett sådant skäl är när personal behöver patientuppgifter för att kunna kvalitetssäkra sina insatser och bedömningar.
Uppdrag och riktlinjer för ett systematiskt kvalitetsarbete
Det innebär att det generellt är tillåtet för personal att ta del av patientuppgifter för att säkra och utveckla kvaliteten i verksamheten. Lagstiftaren har dock i detalj inte reglerat hur det ska göras, vilken personal som ska göra det, vilka uppgifter som behöver användas etc. Här har vårdgivare och hälso- och sjukvårdspersonal ett ansvar för att ta fram uppdrag och verksamhetsnära riktlinjer för hur man arbetar med att systematiskt följa upp resultatet för patienterna. Kvalitetsarbetet kan göras på många olika sätt och på olika nivåer, men det ställs krav på en systematik i arbetet. Att ta del av patientuppgifter för kvalitetssäkring ska ha stöd i medarbetares uppdrag och vårdgivarens riktlinjer.
Uppföljning av enskilda fall kan vara en del av det systematiska kvalitetsarbetet
Vårdgivare behöver tillsammans med professionerna ta fram verksamhetsnära riktlinjer som på ett systematiskt sätt beskriver hur kvalitetssäkringen ska gå till, vilka uppgifter om vilka patienter som behöver användas och hur kunskap ska återföras till verksamheten. Riktlinjerna bör tydlig ge stöd för personal att följa upp resultatet för patienter de behandlat. Det kan handla om att anestesiläkaren behöver följa upp om bedömningen läkaren gjorde kring en narkos föll väl ut eller om resultatet för patienten blev sämre än förväntat. Det kan handla om att läkaren som opererade ett barns benbrott behöver ta del av röntgenbilder m.m. från återbesöket för att kvalitetssäkra sin insats vid operationen, alldeles oavsett om det är
Bilaga 4 SOU 2014:23
66
en annan läkare som träffar barnet vid återbesöket. Det kan handla om att akutläkaren som bedömt en patient med diffusa magsmärtor behöver följa upp om bedömningen var korrekt. Vårdgivaren har ett ansvar för att tydliggöra att den typ av återkoppling som hälso- och sjukvårdspersonal har behov av kan vara en del i vårdgivarens arbete med att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten.
Som alltid ska personal endast ta del av de personuppgifter som behövs för kvalitetssäkringen.
Bilaga 4
67
Varför har patientdatalagen försämrat möjligheterna för
utbildning och undervisning i
hälso- och sjukvården?
Det stämmer inte. Reglerna för hur
personuppgifter får användas i undervisning
var samma innan patientdatalagen trädde ikraft. För att få använda patientuppgifter i
ren undervisning behövs patientens
samtycke eller att uppgifterna
avidentifieras. Uppgifter som får användas i
undervisning får också lämnas ut
elektroniskt.
Bilaga 4 SOU 2014:23
68
I. Patientdatalagen och åtkomst för studenter
Patientdatalagen har inte försämrat möjligheterna för utbildning och undervisning i hälso- och sjukvården. Reglerna för hur personuppgifter får användas i undervisning var samma i den lagstiftning som gällde innan patientdatalagen.
Ren utbildningsverksamhet regleras inte i patientdatalagen
Patientdatalagen reglerar hur vårdgivare får använda personuppgifter inom hälso- och sjukvården. Det är därmed vårdgivares individinriktade arbete med patienter och sådant som knyter an till det, t.ex. verksamhetsutveckling och kvalitetssäkring, som i första hand avses. Renodlad undervisnings- och utbildningsverksamhet är inte hälso- och sjukvård och omfattas därmed inte av patientdatalagens tillämpningsområde. Utbildningsverksamhet är i förhållande till den individinriktade hälso- och sjukvården i sekretesshänseende att betrakta som en självständig verksamhetsgren skild från hälso- och sjukvården. För att uppgifter ska kunna användas i undervisning måste de lämnas ut antingen med patientens samtycke eller efter att uppgifterna bearbetats så att patientens identitet inte röjs.
När studenter deltar i den faktiska patientvården omfattas däremot deras arbete av patientdatalagen. I sådana fall kan vårdgivare låta studenter ta del av och dokumentera i patientjournaler. Normalt sett förutsätter det patientens samtycke och att arbetet sker under handledares uppsikt.
Uppgifterna får lämnas ut om sekretessen bryts
Eftersom renodlad utbildningsverksamhet inte räknas som en del av den individinriktade hälso- och sjukvården måste sekretessen brytas för att uppgifterna ska få lämnas ut till studerande i rena undervisningssituationer. Det kan patienten själv göra genom att ge sitt samtycke. Ett annat alternativ är att avidentifiera de uppgifter som ska användas i undervisningen så att patientens identitet inte röjs.
Vårdgivare som i stor omfattning medverkar i utbildningsverksamhet behöver rutiner och tekniska stöd för att tillhandahålla relevant information i utbildningssituationer. Att införa ett särskilt IT-stöd för utlämnande som möjliggör att patientjournaler av-
Bilaga 4
69
identifieras och tillhandahålls elektroniskt skulle kunna bidra till en informationshantering som tillgodoser utbildningens behov av uppgifter och patienternas behov av integritetsskydd.
Bilaga 4 SOU 2014:23
70
Får studenter läsa journaler
direkt i journalsystemet som
ett led i utbildningen, t.ex.
studera diagnoser och
behandling?
Nej. Åtkomst till uppgifter i journalsystemet är inte tillåtet för ren undervisning. För att uppgifter ska kunna användas i undervisning måste de lämnas ut antingen med patientens samtycke eller efter att
uppgifterna bearbetats så att patientens identitet inte röjs.
Bilaga 4
71
II. Patientdatalagen och åtkomst för studenter
Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården (4 kap. 1 § PDL). Det innebär exempelvis att en studerande som ett led i sin praktik deltar i vården av patienten och har patientens samtycke och vårdgivarens tillåtelse till det, anses delta i vården av patienten precis som övrig personal. I sådant fall kan studenten i den utsträckning det behövs för arbetet ta del av och dokumentera i patientjournalen.
Ren utbildningsverksamhet regleras inte i patientdatalagen
När det gäller att ta del av patientuppgifter för andra syften än sådan som rör patientens vård och behandling finns i patientdatalagen bestämmelser som anger vad som är tillåtet och inte. Bestämmelserna återfinns i 2 kap. 4 och 5 §§ och innebär bl.a. att det är tillåtet att använda patientuppgifter för att verksamhetsuppföljning, internt tillsyn, systematiskt kvalitetsarbete, planering av verksamheten etc. Renodlad undervisning och utbildning faller dock utanför dessa tillåtna syften. Undervisning och utbildning betraktas i sekretesshänseende inte heller som en del av hälso- och sjukvården.
Uppgifterna får lämnas ut om sekretessen bryts
Eftersom utbildningsverksamhet i detta avseende inte betraktas som en del av den individinriktade hälso- och sjukvården måste sekretessen brytas för att uppgifterna ska få lämnas ut till studerande i rena undervisningssituationer. Det kan patienten själv göra genom att ge sitt samtycke. Ett annat alternativ är att avidentifiera de uppgifter som ska användas i undervisningen så att patientens identitet inte röjs.
Vårdgivare som i stor omfattning medverkar i utbildningsverksamhet behöver rutiner och tekniska stöd för att tillhandahålla relevant information i utbildningssituationer. Att införa ett särskilt IT-stöd för utlämnande som möjliggör att patientjournaler avidentifieras och tillhandahålls elektroniskt skulle kunna bidra till en
Bilaga 4 SOU 2014:23
72
informationshantering som tillgodoser utbildningens behov av uppgifter och patienternas behov av integritetsskydd.
Bilaga 4
73
Får studenter ta del av journalerna under sin praktik?
Ja. Om patienten samtyckt till att vårdas av en student
och studenten deltar i
vården av patienten.
Bilaga 4 SOU 2014:23
74
Åtkomst under praktiken
Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården (4 kap. 1 § patientdatalagen).
Patientens samtycke
Det innebär exempelvis att en studerande som ett led i sin praktik deltar i vården av patienten och har patientens samtycke och vårdgivarens tillåtelse till det, anses delta i vården av patienten precis som övrig personal. I sådant fall kan studenten i den utsträckning det behövs för arbetet ta del av och dokumentera i patientjournalen. Med stöd av vårdgivarens riktlinjer för ett systematiskt kvalitetsarbete kan den studerande även ta del av patientuppgifter för att följa upp resultatet av sina bedömningar och åtgärder.
Under handledares uppsikt
Precis som gäller för utförandet av själva hälso- och sjukvårdsinsatserna ska den studerandes journalföring och övrig informationshantering stå under handledares uppsikt och ledning.
Promemoria om studerandes tillgång till journaluppgifter
Frågorna om studerandes tillgång till journaluppgifter är många. I syfte att ytterligare belysa förutsättningarna för studerande att ta del av och använda journaluppgifter har Utredningen om rätt information i vård och omsorg tagit fram en kortfattad promemoria. Promemorian, liksom dessa frågor och svar, ingår i utredningens delredovisning enligt dir. 2013:43.
Bilaga 4
75
Får den som ska sköta
monitorering av en läkemedelsstudie gå in i
journalsystemet?
Nej. Direktåtkomst till uppgifter
i forskningssyfte är inte tillåtet
om forskningen i
sekretesshänseende är en självständig verksamhetsgren.
Bilaga 4 SOU 2014:23
76
Åtkomst vid monitorering i samband med kliniska prövningar
I samband med forskning inom hälso- och sjukvården, t.ex. kliniska prövningar, ska en granskning göras av att studiedata överensstämmer med uppgifter i patientjournalen. Källdatagranskningen kallas för monitorering.
Sekretess mellan hälso- och sjukvård och forskning
Även om forskning är nära förknippat med hälso- och sjukvårdsaktörernas uppdrag anses forskning och den individinriktade hälso- och sjukvården i regel vara skilda verksamheter i sekretesshänseende. Det innebär att det normalt sett gäller sekretess mellan en vårdgivares vårdinriktade verksamhet och den verksamhet som en vårdgivare bedriver när denne genomför forskning på uppdrag av ett läkemedelsföretag (sponsor).
Utlämnande kan göras elektroniskt – dock inte genom direktåtkomst
Om det föreligger sekretess mellan dessa verksamheter måste uppgifterna ur patientjournalen formellt sett lämnas ut till den som ska utföra monitoreringen. I ett sådant fall saknar det betydelse om den som ska utföra monitoreringen är anställd hos vårdgivaren eller om det är någon annan person som sponsorn utsett. Ett utlämnande kan göras antingen manuellt på papper eller elektroniskt på medium för automatiserad behandling. Det finns dock ingen bestämmelse i patientdatalagen som särskilt tillåter att uppgifterna lämnas ut genom direktåtkomst. Den som ska utföra monitoreringen kan alltså inte ges inloggningsuppgifter till journalsystemet och själv leta efter de relevanta uppgifterna. Däremot kan vårdgivaren på elektronisk väg lämna ut just de uppgifter om just de patienter som ingår i studien och som behövs för monitoreringen.
Bilaga 4
77
Patientens samtycke bryter sekretessen
Oavsett om utlämnandet sker manuellt eller elektroniskt krävs att uppgifterna kan lämnas ut utan hinder av sekretess. Vanligtvis görs detta genom att den enskilde samtycker till att den som är sponsor för en läkemedelsstudie tar del av de uppgifter t.ex. i patientjournalen som behövs för studiens genomförande.
Avgränsning
Ovanstående gäller endast om det bedöms vara sekretess mellan den aktuella forskningen och den vårdinriktade verksamheten. Forskning som bedrivs som ett led i vården och behandlingen av en patient med vårdgivaren som huvudman anses i sekretesshänseende normalt vara samma verksamhet som den vårdinriktade (se bl.a. prop. 2007/08:126 s. 201-203).
Bilaga 4 SOU 2014:23
78
4 Frågor om patientens rättigheter och inflytande
Avsnittet innehåller frågor och svar om patientens inflytande över vem som får ta del av uppgifter (spärr) och om patientens rätt att ta del av uppgifter.
För att besvara frågorna har vi i första hand använt
• 4, 5 och 8 kap. patientdatalagen (2008:355),
Bilaga 4
79
Kan en patient bestämma över hur journaluppgifter
får användas inom en vårdgivares verksamhet?
Ja, patienten får motsätta sig att
uppgifter görs elektroniskt
tillgängliga för en annan vårdenhet eller vårdprocess
(inre spärr).
Bilaga 4 SOU 2014:23
80
Inre spärrar
Patienten har viss rätt att påverka hur vårddokumentation görs elektroniskt tillgänglig inom en vårdgivares verksamhet. Patientdatalagen ger patienten en rätt att motsätta sig att uppgifter görs elektroniskt tillgängliga för andra vårdenheter eller vårdprocesser utanför den till vilka uppgifterna hör (inre spärr). I sådant fall ska uppgifterna spärras. Patienten kan när som helst begära att uppgifter spärras, d.v.s. även efter det att uppgifterna varit tillgängliga för andra vårdenheter eller vårdprocesser.
Innebörden av en spärr
En sådan spärr medför att yrkesutövare hos andra vårdenheter eller vårdprocesser inte elektroniskt får ta del av de spärrade uppgifterna för syften som rör patientens vård. Spärren hindrar dock inte att uppgifterna är tillgängliga om de behövs för andra ändamål än för vården av patienten, t.ex. uppföljning, kvalitetssäkring eller administration, planering av verksamheten etc.
Viktigt att fastställa de vårdenheter och/eller vårdprocesser som finns i verksamheten
För att kunna fullgöra skyldigheten att spärra uppgifter behöver vårdgivare fastställa vilka vårdenheter och vårdprocesser som finns i verksamheten. I en vårdprocess kan flera vårdenheter hos vårdgivaren ingå, vilket exempelvis betyder att en uppgift som är dokumenterad i en sådan vårdprocess inte ska spärras mot de ingående vårdenheterna, utan endast mot vårdenheter utanför den aktuella vårdprocessen.
En spärr får hävas genom samtycke eller i nödsituationer
En spärr får hävas av en behörig befattningshavare hos vårdgivaren om patienten samtycker till det. Det får även ske om samtycke inte kan inhämtas och uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Det ska alltså vara fråga om en allvarlig akutsituation då patienten inte kan ge sitt samtycke, t.ex. på grund av att patienten är medvetslös eller alltför medtagen.
Bilaga 4
81
I akutsituationer där patienten har förmåga att lämna eller avstå från att lämna samtycke ska patientens inställning respekteras. Om patienten i denna situation håller fast vid en spärr och alltså motsätter sig att någon utanför vårdenheten eller vårdprocessen tar del av uppgifterna måste personalen respektera det beslutet, hur ogrundat eller irrationellt det än kan tyckas vara (prop. 2007/08:126 s. 243).
Bilaga 4 SOU 2014:23
82
Hur ska en spärr inom en
vårdgivares verksamhet hanteras i en nödsituation om patienten inte kan begära
att den hävs?
Spärren får hävas om uppgifterna kan antas ha betydelse för den vård som
patienten oundgängligen
behöver.
Bilaga 4
83
Inre spärrar i en nödsituation
Om patienten själv inte kan samtycka till att spärren hävs, t.ex. på grund av att patienten är medvetslös eller alltför medtagen, får en ”behörig befattningshavare” häva spärren om uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver.
Akuta situationer
Det ska alltså vara fråga om en allvarlig akutsituation, då patienten inte kan ta ställning till samtyckesfrågan och då uppgifterna bedöms vara av betydelse för de vård- eller behandlingsinsatser som omgående måste sättas in. Med tanke på patientens säkerhet ska det alltså inte vara möjligt att avvakta en tid för att han eller hon ska kunna lämna sitt samtycke.
Vem är behörig befattningshavare?
Vem som är behörig befattningshavare bestäms av vårdgivaren. En definition är att det med behörig befattningshavare avses den som arbetar hos en vårdgivare och har tilldelats en behörighet att ta del av patientuppgifter och som i ett enskilt fall deltar i vården av patienten och av det skälet behöver uppgifterna för att kunna utföra sitt arbete. Normalt sett är det alltså den hälso- och sjukvårdspersonal som i det enskilda fallet deltar i patientens vård som är behörig att häva spärr i nödsituationer.
Bilaga 4 SOU 2014:23
84
Får en patient spärra uppgifter om läkemedel och
om annan viktig medicinsk
information inom en vårdgivares verksamhet?
Ja, det finns ingen begränsning när det gäller vilka uppgifter patienten får spärra.
Bilaga 4
85
Spärr av uppgifter om läkemedel och så kallad viktig medicinsk information
Patientdatalagen ger patienten en rätt att motsätta sig att uppgifter görs elektroniskt tillgängliga för andra vårdenheter eller vårdprocesser utanför den till vilka uppgifterna hör (inre spärr). I sådant fall ska uppgifterna spärras. Patienten kan när som helst begära att uppgifter spärras, d.v.s. även efter det att uppgifterna varit tillgängliga för andra vårdenheter eller vårdprocesser.
Alla uppgifter kan spärras – men alla önskemål behöver inte tillgodoses
Det finns inga bestämmelser som hindrar att en patient väljer att spärra uppgifter om ordinerade läkemedel eller om viktig medicinsk information (VMI). Samtidigt finns det heller inga bestämmelser som ger patienten en rätt, eller vårdgivaren en skyldighet, att spärra endast utvalda delar av de uppgifter som dokumenterats hos en vårdenhet eller inom en vårdprocess.
Patientens rättighet innebär en skyldighet för vårdgivare att kunna spärra alla uppgifter som dokumenterats hos en vårdenhet eller inom en vårdprocess. Vårdgivare inte behöver tillmötesgå varje patients individuella önskemål, exempelvis om patienten önskar att endast spärra vissa uppgifter hos en vårdenhet. I en sådan situation är vårdgivaren endast skyldig att erbjuda patienten att de önskade uppgifterna spärras tillsammans med alla andra uppgifter som dokumenterats hos den aktuella vårdenheten.
Vårdgivare kan tillhandahålla mer detaljerade spärrmöjligheter
Samtidigt finns det inget som hindrar att vårdgivare på eget initiativ tar fram rutiner och IT-stöd som gör det möjligt att erbjuda patienter att på en mer detaljerad nivå välja vilka uppgifter som ska spärras och vilka som ska vara elektroniskt tillgängliga. Av patientsäkerhetsskäl kan det exempelvis finnas anledning att ge patienter som vill spärra viss information en möjlighet att samtidigt låta just viktiga uppgifter om läkemedelsordinationer, allergier, överkänsligheter m.m. fortfarande vara elektroniskt tillgängliga för andra vårdenheter och vårdprocesser.
Bilaga 4 SOU 2014:23
86
Information till patienten
Det är viktigt att en patient som framför önskemål om att spärra uppgifter får information om vilka spärrar som kan erbjudas, hur spärrar kan hävas samt vilka eventuella risker som kan uppstå för patienten och hälso- och sjukvårdspersonalen om viss information inte finns tillgänglig i samband med vård och behandling.
Bilaga 4
87
Har patienten rätt att få ut
all information som finns
om honom eller henne i
patientjournalen?
Ja, i praktiken. Det finns dock bestämmelser
om sekretess mot patientens som gäller i
sällsynta fall. Sekretess kan gälla mot patienten om det skulle innebära fara för någon annan att uppgiften lämnades ut. Sekretess kan också gälla mot patienten om det med hänsyn till ändamålet med vården är
av synnerlig vikt att uppgiften inte lämnas till
patienten själv.
Bilaga 4 SOU 2014:23
88
Patientens rätt att ta del av journalen
Patientjournaler i den offentliga hälso- och sjukvården utgör allmänna handlingar. Den enskilde har vanligtvis rätt att ta del av uppgifterna om sig själv. Som huvudregel gäller inte sekretessen i förhållande till personen själv.
Offentlighets- och sekretesslagen – sekretess mot patienten i vissa fall
Av 25 kap. 6 § följer att sekretessen gäller i förhållande till den vård- eller behandlingsbehövande själv för uppgift om hans eller hennes hälsotillstånd, om det (med hänsyn till ändamålet med vården eller behandlingen) är av synnerlig vikt att uppgiften inte lämnas till honom eller henne. Det ska vara en medicinskt betingad anledning med hänsyn till pågående vård. Bestämmelsen får tillämpas endast när det verkligen är nödvändigt.
Sekretess kan även gälla för uppgifter som lämnats av en annan enskild person om uppgiften rör hälsotillstånd eller andra personliga förhållanden och om det kan antas att det är fara för att uppgiftslämnaren blir utsatt för våld eller annat allvarligt men om uppgiften röjs. Om någon t.ex. har uppmärksammat vården om att en anhörig har behov av psykiatrisk vård, kan uppgifterna i utsagan omfattas av sekretess om det föreligger någon hotbild mot den som lämnat uppgiften. Sekretesskyddet inträder endast om det behövs för att skydda någon mot repressalier av mera allvarligt slag. Uppgifter om anmälares och uppgiftslämnares identitet kan inte rutinmässigt undanhållas den som berörs av anmälningen eller utsagan.
Inom den privata hälso- och sjukvården är journalerna inte allmänna handlingar. I stället finns en särskild huvudregel i patientdatalagen: en journalhandling inom enskild hälso- och sjukvård ska tillhandahållas så snart som möjligt om patienten eller en närstående begär det. Det kan till exempel vara i form av en kopia. I patientsäkerhetslagen finns sedan bestämmelser om tystnadsplikt, som i dessa fall i princip motsvarar bestämmelserna ovan. Tystnadsplikten gäller därmed även i förhållande till patienten själv om det med hänsyn till ändamålet med hälso- och sjukvården är av synnerlig vikt att uppgiften inte lämnas till patienten. Det finns
Bilaga 4
89
även en tystnadspliktsbestämmelse som skyddar uppgiftslämnare motsvarande den som gäller i offentlig vård.
Information kan lämnas ut på olika sätt
Sammanfattningsvis har en patient i princip rätt att få ta del av all information som finns i patientjournalen, men eftersom det finns bestämmelser om sekretess och tystnadsplikt som ibland kan gälla gentemot patienten behöver en bedömning göras innan informationen lämnas ut. Information som får lämnas ut kan t.ex. lämnas ut muntligt, på papper eller på olika sätt elektroniskt. Det är viktigt att se till att utlämnandet görs till rätt person.
Bilaga 4 SOU 2014:23
90
Har patienten rätt att få
direktåtkomst till sin
journal eller att få den utlämnad elektroniskt på
annat sätt?
Nej, det finns ingen sån rättighet för patienten, men
det finns möjlighet för vårdgivaren att erbjuda det.
Bilaga 4
91
Patientens möjlighet till direktåtkomst
Patienten har ingen rätt att kräva att information lämnas ut genom direktåtkomst eller på annat sätt elektroniskt (utlämnande på medium för automatiserad behandling). Vårdgivaren har dock själv en möjlighet att erbjuda sådana typer av utlämnanden. I dag görs sådana utlämnanden t.ex. inom ramen för Mina vårdkontakter.
Utlämnande på medium för automatiserad behandling
Om uppgifter får lämnas ut till patienten kan vårdgivaren lämna ut uppgifterna elektroniskt på olika sätt. Det kan exempelvis handla om utlämnande på cd, usb eller genom en säker elektronisk överföring av information. Den som lämnar ut uppgifterna måste alltid försäkra sig om att utlämnandet sker på ett sådant sätt att ingen obehörig kan ta del av dem. Det innebär dels att uppgifterna kan behöva skyddas (t.ex. genom kryptering) vid en eventuell överföring, dels att endast den avsedda mottagaren kan ta del av dem.
Direktåtkomst
Enligt patientdatalagen får vårdgivaren ge en patient direktåtkomst till hela eller delar av sin patientjournal. Vårdgivaren har ingen skyldighet att erbjuda detta, utan det är en möjlighet.
Krav på vårdgivare som lämnar ut genom direktåtkomst
Vid utlämnanden genom direktåtkomst ställs höga krav på säkerheten, så att ingen obehörig kan ta del av uppgifterna. I Socialstyrelsens föreskrifter (SOSFS 2008:14) finns närmare reglerat under vilka förutsättningar enskilda patienter får medges direktåtkomst till sina uppgifter. Av 2 kap. 13 § följer att enskilds direktåtkomst till sina patientuppgifter ska föregås av att den enskilde har identifierats genom stark autentisering.
I 2 kap. 14 § anges vidare att vårdgivare ska ansvara för att det finns ett system för bedömning av de uppgifter som kräver ett särskilt skydd i förhållande till den enskilde och som inte ska kunna lämnas ut genom direktåtkomst. Det handlar alltså om sådana uppgifter som omfattas av sekretess gentemot den enskilde själv.
Bilaga 4 SOU 2014:23
92
Vårdgivare är även skyldig att informera den enskilde ifall vårdgivaren endast medger direktåtkomst till delar av patientuppgifterna. Dessutom ska vårdgivaren informera den enskilde om vart han eller hon kan vända sig för att få hjälp med att förstå dokumentationen.
Bilaga 4
93
5 Frågor om sammanhållen journalföring
Avsnittet innehåller frågor och svar om sammanhållen journalföring; vad det är och vilka förutsättningar som gäller m.m.
För att besvara frågorna har vi i första hand använt
• förarbetsuttalanden i prop. 2007/08:126.
Bilaga 4 SOU 2014:23
94
Vad är sammanhållen journalföring?
Det är ett sätt för olika vårdgivare, t.ex.
sjukhus i olika landsting, att dela vårddokumentation med varandra
genom direktåtkomst. Genom sammanhållen journalföring kan viktig information om en patient alltid finnas
åtkomlig för behörig personal oavsett
var patienten söker vården.
T.ex. mellan olika landsting
Bilaga 4
95
I. Vad är sammanhållen journalföring?
Sammanhållen journalföring ger en möjlighet för olika vårdgivare att ta del av varandras vårddokumentation genom direktåtkomst. Genom att tillämpa reglerna för sammanhållen journalföring finns viktig information om en patient alltid tillgänglig i den stund patienten får behov av vård alldeles oavsett var patienten söker vården. Det gör att behörig personal hos den vårdgivare som möter patienten omgående kan ta del av viktig information om patientens sjukdomshistoria, läkemedelsordinationer, allergier m.m. för att ge en god och säker vård. Det kan exempelvis handla om att behörig personal på ett universitetssjukhus i ett landsting själv kan ta del av patientuppgifter som dokumenterats på ett sjukhus i ett annat landsting, utan att först kontakta det sjukhuset och be att få journalkopior.
Jämfört med att utbyta information på mer traditionellt sätt, d.v.s. att information lämnas ut med en tidsfördröjning enligt en administrativ utlämnandeprocess och på begäran av den som har behov av informationen, ger sammanhållen journalföring ökade möjligheter att se till att rätt information finns på rätt plats i rätt tid. Reglerna om sammanhållen journalföring är indelade i två steg. I skede 1 finns regler om hur uppgifterna får göras tillgängliga för andra vårdgivare. Och i skede 2 finns regler om hur och när andra vårdgivare faktiskt får ta del av uppgifterna.
Skede 1 – att göra uppgifter tillgängliga för andra vårdgivare
Det är endast uppgifter som är dokumenterade i vårdsyfte som får delas mellan vårdgivare på detta sätt. Innan uppgifterna görs tillgängliga ska patienten ha fått information om vad sammanhållen journalföring innebär och att patienten har rätt att motsätta sig att delta. Om patienten inte har motsatt sig får uppgifterna göras tillgängliga i system för sammanhållen journalföring. Det innebär endast att uppgifterna finns potentiellt tillgängliga, d.v.s. åtkomliga, för de som ingår i samarbetet om ett system för sammanhållen journalföring. För att en vårdgivare ska få titta på uppgifterna måste förutsättningarna i skede 2 vara uppfyllda.
Bilaga 4 SOU 2014:23
96
Skede 2 – att ta del av uppgifter hos andra vårdgivare
En vårdgivare får ta del av andra vårdgivares uppgifter om uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten eller för att utfärda intyg om vården. Vårdgivaren måste dessutom ha en aktuell patientrelation med patienten och patientens samtycke till att ta del av uppgifterna.
Bilaga 4
97
Vad är sammanhållen journalföring?
Det är ett sätt för olika vårdgivare att dela vårddokumentation med varandra genom
direktåtkomst. Genom sammanhållen
journalföring kan t.ex. den kommunala
hälso- och sjukvården på ett särskilt boende eller i hemsjukvården ta del av
vårddokumentation som förs av den landstingsutdrivna vården. Och tvärtom.
T.ex. mellan kommun och landsting
Bilaga 4 SOU 2014:23
98
II. Vad är sammanhållen journalföring?
Sammanhållen journalföring innebär en möjlighet för olika vårdgivare att ta del av varandras vårddokumentation genom direktåtkomst. Genom att tillämpa reglerna för sammanhållen journalföring finns viktig information om en patient alltid tillgänglig i den stund patienten får behov av vård alldeles oavsett var patienten söker vården. Det gör t.ex. att primärvårdsläkaren som möter en äldre person på vårdcentralen direkt kan ta del av det som är dokumenterat på ett särskilt boende eller i specialist- och slutenvården, utan att först kontakta dessa och begära journalkopior. På motsvarande sätt är det möjligt för t.ex. en sjuksköterska på det särskilda boendet att själv ta del av uppgifter från primärvården om provsvar, ordinerade läkemedel m.m.
Jämfört med att utbyta information på mer traditionellt sätt, d.v.s. att information lämnas ut med en tidsfördröjning enligt en administrativ utlämnandeprocess och på begäran av den som har behov av informationen, ger sammanhållen journalföring ökade möjligheter att se till att rätt information finns på rätt plats i rätt tid. Reglerna om sammanhållen journalföring är indelade i två steg. I skede 1 finns regler om hur uppgifterna får göras tillgängliga för andra vårdgivare. Och i skede 2 finns regler om hur och när andra vårdgivare faktiskt får ta del av uppgifterna.
Skede 1 – att göra uppgifter tillgängliga för andra vårdgivare
Det är endast uppgifter som är dokumenterade i vårdsyfte som får delas mellan vårdgivare på detta sätt. Innan uppgifterna görs åtkomliga ska patienten ha fått information om vad sammanhållen journalföring innebär och att patienten har rätt att motsätta sig att delta. Om patienten inte har motsatt sig får uppgifterna göras tillgängliga i system för sammanhållen journalföring. Det innebär endast att uppgifterna finns potentiellt tillgängliga, d.v.s. åtkomliga, för de som ingår i samarbetet om ett system för sammanhållen journalföring. För att en vårdgivare ska få titta på uppgifterna måste förutsättningarna i skede 2 vara uppfyllda.
Bilaga 4
99
Skede 2 – att ta del av uppgifter hos andra vårdgivare
En vårdgivare får ta del av andra vårdgivares uppgifter om uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten eller för att utfärda intyg om vården. Vårdgivaren måste dessutom ha en aktuell patientrelation med patienten och patientens samtycke till att ta del av uppgifterna.
Bilaga 4 SOU 2014:23
100
Vad är sammanhållen journalföring?
Det är ett sätt för olika vårdgivare att dela vårddokumentation med varandra genom
direktåtkomst. Genom sammanhållen
journalföring kan offentliga och privata vårdgivare utbyta vårddokumentation med
varandra. Det innebär t.ex. att ett
landstingsdrivet sjukhus kan dela information med en privat driven
vårdcentral. Och tvärtom.
T.ex. mellan privata och offentliga vårdgivare
Bilaga 4
101
III. Vad är sammanhållen journalföring?
Sammanhållen journalföring innebär en möjlighet för olika vårdgivare att ta del av varandras vårddokumentation genom direktåtkomst. Genom att tillämpa reglerna för sammanhållen journalföring finns viktig information om en patient alltid tillgänglig i den stund patienten får behov av vård alldeles oavsett var patienten söker vården. Det gör t.ex. att primärvårdsläkaren som möter patienten på en privatdriven vårdcentral direkt kan ta del av det som är dokumenterat på det landstingsdrivna sjukhuset. Och tvärtom.
Jämfört med att utbyta information på mer traditionellt sätt, d.v.s. att information lämnas ut med en tidsfördröjning enligt en administrativ utlämnandeprocess och på begäran av den som har behov av informationen, ger sammanhållen journalföring ökade möjligheter att se till att rätt information finns på rätt plats i rätt tid.
Reglerna om sammanhållen journalföring är indelade i två steg. I skede 1 finns regler om hur uppgifterna får göras tillgängliga för andra vårdgivare. Och i skede 2 finns regler om hur och när andra vårdgivare faktiskt får ta del av uppgifterna
Skede 1 – att göra uppgifter tillgängliga för andra vårdgivare
Det är endast uppgifter som är dokumenterade i vårdsyfte som får delas mellan vårdgivare på detta sätt. Innan uppgifterna görs tillgängliga ska patienten ha fått information om vad sammanhållen journalföring innebär och att patienten har rätt att motsätta sig att delta. Om patienten inte har motsatt sig får uppgifterna göras tillgängliga i system för sammanhållen journalföring. Det innebär endast att uppgifterna finns potentiellt tillgängliga, d.v.s. åtkomliga, för de som ingår i samarbetet om ett system för sammanhållen journalföring. För att en vårdgivare ska få titta på uppgifterna måste förutsättningarna i skede 2 vara uppfyllda.
Skede 2 – att ta del av uppgifter hos andra vårdgivare
En vårdgivare får ta del av andra vårdgivares uppgifter om uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten eller för att utfärda
Bilaga 4 SOU 2014:23
102
intyg om vården. Vårdgivaren måste dessutom ha en aktuell patientrelation med patienten och patientens samtycke till att ta del av uppgifterna.
Bilaga 4
103
Vad är sammanhållen journalföring?
Det är ett sätt för olika vårdgivare att
dela vårddokumentation med
varandra genom direktåtkomst. Genom sammanhållen journalföring
kan t.ex. olika privata vårdgivare som samarbetar i en vårdprocess ta
del av varandras vårddokumentation.
T.ex. mellan privata vårdgivare
Bilaga 4 SOU 2014:23
104
IV. Vad är sammanhållen journalföring?
Sammanhållen journalföring innebär en möjlighet för olika vårdgivare att ta del av varandras vårddokumentation genom direktåtkomst. Genom att tillämpa reglerna för sammanhållen journalföring finns viktig information om en patient alltid tillgänglig i den stund patienten får behov av vård alldeles oavsett var patienten söker vården. Det gör t.ex. att olika privata vårdgivare kan ta del av varandras vårddokumentation när det behövs för vården av en patient, utan att först behöva kontakta varandra och begära journalkopior.
Jämfört med att utbyta information på mer traditionellt sätt, d.v.s. att information lämnas ut med en tidsfördröjning enligt en administrativ utlämnandeprocess och på begäran av den som har behov av informationen, ger sammanhållen journalföring ökade möjligheter att se till att rätt information finns på rätt plats i rätt tid.
Reglerna om sammanhållen journalföring är indelade i två steg. I skede 1 finns regler om hur uppgifterna får göras tillgängliga för andra vårdgivare. Och i skede 2 finns regler om hur och när andra vårdgivare faktiskt får ta del av uppgifterna.
Skede 1 – att göra uppgifter tillgängliga för andra vårdgivare
Det är endast uppgifter som är dokumenterade i vårdsyfte som får delas mellan vårdgivare på detta sätt. Innan uppgifterna görs tillgängliga ska patienten ha fått information om vad sammanhållen journalföring innebär och att patienten har rätt att motsätta sig att delta. Om patienten inte har motsatt sig får uppgifterna göras tillgängliga i system för sammanhållen journalföring. Det innebär endast att uppgifterna finns potentiellt tillgängliga, d.v.s. åtkomliga, för de som ingår i samarbetet om ett system för sammanhållen journalföring. För att en vårdgivare ska få titta på uppgifterna måste förutsättningarna i skede 2 vara uppfyllda.
Skede 2 – att ta del av uppgifter hos andra vårdgivare
En vårdgivare får ta del av andra vårdgivares uppgifter om uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten eller för att utfärda
Bilaga 4
105
intyg om vården. Vårdgivaren måste dessutom ha en aktuell patientrelation med patienten och patientens samtycke till att ta del av uppgifterna.
Bilaga 4 SOU 2014:23
106
Vad är sammanhållen journalföring?
Det är ett sätt för olika vårdgivare att dela vårddokumentation med varandra genom
direktåtkomst. Genom sammanhållen
journalföring kan t.ex. ett landstingsägt
sjukhus som drivs i bolagsform (t.ex.
Danderyds sjukhus) utbyta
vårddokumentation med verksamheter som
drivs direkt av landstinget (t.ex. Karolinska
Universitetssjukhuset).
T.ex. mellan olika driftsformer
Bilaga 4
107
V. Vad är sammanhållen journalföring?
Sammanhållen journalföring innebär en möjlighet för olika vårdgivare att ta del av varandras vårddokumentation genom direktåtkomst. Genom att tillämpa reglerna för sammanhållen journalföring finns viktig information om en patient alltid tillgänglig i den stund patienten får behov av vård alldeles oavsett var patienten söker vården. Det gör att t.ex. landstingsägda verksamheter som drivs antingen i bolagsform eller direkt av landstinget kan utbyta vårddokumentation med varandra när det behövs för vården av en patient, d.v.s. utan att först behöva ta en kontakt och begära journalkopior.
Jämfört med att utbyta information på mer traditionellt sätt, d.v.s. att information lämnas ut med en tidsfördröjning enligt en administrativ utlämnandeprocess och på begäran av den som har behov av informationen, ger sammanhållen journalföring ökade möjligheter att se till att rätt information finns på rätt plats i rätt tid.
Reglerna om sammanhållen journalföring är indelade i två steg; skede 1 och skede 2. I skede 1 finns regler om hur uppgifterna får göras tillgängliga för andra vårdgivare. Och i skede 2 finns regler om hur och när andra vårdgivare faktiskt får ta del av uppgifterna.
Skede 1 – att göra uppgifter tillgängliga för andra vårdgivare
Det är endast uppgifter som är dokumenterade i vårdsyfte som får delas mellan vårdgivare på detta sätt. Innan uppgifterna görs tillgängliga ska patienten ha fått information om vad sammanhållen journalföring innebär och att patienten har rätt att motsätta sig att delta. Om patienten inte har motsatt sig får uppgifterna göras tillgängliga i system för sammanhållen journalföring. Det innebär endast att uppgifterna finns potentiellt tillgängliga, d.v.s. åtkomliga, för de som ingår i samarbetet om ett system för sammanhållen journalföring. För att en vårdgivare ska få titta på uppgifterna måste förutsättningarna i skede 2 vara uppfyllda.
Bilaga 4 SOU 2014:23
108
Skede 2 – att ta del av uppgifter hos andra vårdgivare
En vårdgivare får ta del av andra vårdgivares uppgifter om uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten eller för att utfärda intyg om vården. Vårdgivaren måste dessutom ha en aktuell patientrelation med patienten och patientens samtycke till att ta del av uppgifterna.
Bilaga 4
109
Får primärvårdsläkaren titta på patientuppgifter i hemsjukvården
eller på särskilt boende med
direktåtkomst?
Ja, genom sammanhållen journalföring
kan primärvårdsläkaren ta del av vårddokumentation hos ett särskilt boende eller i hemsjukvården genom direktåtkomst. Ett exempel på system för
sammanhållen journalföring är den Nationella patientöversikten (NPÖ).
Sammanhållen journalföring mellan primärvård
och kommunal hälso- och sjukvård
Bilaga 4 SOU 2014:23
110
Sammanhållen journalföring mellan primärvård och hemsjukvård
Sammanhållen journalföring innebär en möjlighet för olika vårdgivare att ta del av varandras vårddokumentation genom direktåtkomst. Genom att tillämpa reglerna för sammanhållen journalföring finns viktig information om en patient alltid tillgänglig i den stund patienten får behov av vård alldeles oavsett var patienten söker vården. Jämfört med att utbyta information på mer traditionellt sätt, d.v.s. att information lämnas ut med en tidsfördröjning enligt en administrativ utlämnandeprocess och på begäran av den som har behov av informationen, ger sammanhållen journalföring ökade möjligheter att se till att rätt information finns på rätt plats i rätt tid.
Sammanhållen journalföring gör det t.ex. möjligt för primärvårdsläkaren som möter en äldre person på vårdcentralen att direkt kan ta del av det som är dokumenterat på ett särskilt boende och i hemsjukvården, utan att först kontakta dessa och be om journalkopior. Förutsättningarna nedan måste dock vara uppfyllda.
Villkor för att få ta del av uppgifter genom direktåtkomst
För att personal hos en vårdgivare genom direktåtkomst ska få ta del av uppgifter som dokumenterats hos en annan vårdgivare krävs att,
1. det rör en patient som vårdgivaren har en aktuell patientrelation
med,
2. uppgifterna kan antas ha betydelse för att förebygga eller
behandla sjukdomar och skador hos patienten, eller för att utfärda intyg om vården
3. patienten samtycker till det.
Om de tre förutsättningarna är uppfyllda kan exempelvis en primärvårdsläkare genom direktåtkomst att ta del av uppgifter som dokumenterats t.ex. i den kommunala hälso- och sjukvården. På motsvarande sätt kan sjuksköterskor m.fl. i den kommunala hälso- och sjukvården genom direktåtkomst ta del av uppgifter som dokumenterats i primär- eller slutenvården.
Bilaga 4
111
Hur får en vårdgivare göra uppgifter tillgängliga för andra
vårdgivare genom
sammanhållen journalföring?
Vårdgivaren måste först informera
patienterna om vad sammanhållen
journalföring är och att man kan
motsätta sig att delta i detta. Vårddokumentation om de patienter
som inte motsatt sig får sedan göras
åtkomliga för andra vårdgivare.
Sammanhållen journalföring skede 1
Bilaga 4 SOU 2014:23
112
Villkor för att få göra uppgifter tillgängliga genom sammanhållen journalföring
Sammanhållen journalföring innebär en möjlighet för olika vårdgivare att ta del av varandras vårddokumentation genom direktåtkomst. Genom att tillämpa reglerna för sammanhållen journalföring finns viktig information om en patient alltid tillgänglig i den stund patienten får behov av vård alldeles oavsett var patienten söker vården.
Reglerna om sammanhållen journalföring är indelade i två steg. I skede 1 finns regler om hur uppgifterna får göras tillgängliga för andra vårdgivare. Och i skede 2 finns regler om hur och när andra vårdgivare faktiskt får ta del av uppgifterna
Skede 1 – att göra uppgifter tillgängliga för andra vårdgivare
Det är endast uppgifter som är dokumenterade i vårdsyfte som får delas mellan vårdgivare på detta sätt. Innan uppgifterna görs tillgängliga ska patienten ha fått information om vad sammanhållen journalföring innebär och att patienten har rätt att motsätta sig att delta.
Vårdgivarens informationsskyldighet
Det är i lagen inte reglerat hur informationen till patienterna ska lämnas. Även om vårdgivaren inte behöver se till att alla patienter faktiskt tar del av informationen har vårdgivaren ett ansvar för att försöka nå alla patienter vars uppgifter är på väg att inkluderas i system för sammanhållen journalföring. Patienterna ska ha haft en rimlig möjlighet att ta del av informationen. Ofta kan en kombination av flera olika informationsinsatser vara nödvändig. Det kan exempelvis handla om information i länstidningar som går ut till alla hushåll, på vårdgivarens webbsidor, i samband med kallelser till vårdgivaren och som olika former av anslag i vårdgivarens lokaler. De vårdgivare som även har för avsikt att göra uppgifter om utomlänspatienter tillgängliga i systemet för sammanhållen journalföring behöver se till att även försöka nå dessa. Det kan då innebära att t.ex. rikstäckande media behöver användas.
Om patienten efter fullgjord informationsinsats inte har motsatt sig får uppgifterna göras tillgängliga i system för sammanhållen
Bilaga 4
113
journalföring. Det innebär endast att uppgifterna finns potentiellt tillgängliga, d.v.s. åtkomliga, för de som ingår i samarbetet om ett system för sammanhållen journalföring. För att en vårdgivare ska få titta på uppgifterna måste förutsättningarna i skede 2 vara uppfyllda.
Bilaga 4 SOU 2014:23
114
Under vilka villkor får en vårdgivare ta del av uppgifter
genom sammanhållen
journalföring?
Vårdgivaren får ta del av en annan vårdgivares uppgifter i samband med
vården av en patient eller för att skriva
ett intyg om vården, om uppgifterna rör
en patient som vårdgivaren har en aktuell
patientrelation med och patienten
samtycker till det.
Sammanhållen journalföring skede 2
Bilaga 4
115
Villkor för att få ta del av uppgifter genom sammanhållen journalföring
Sammanhållen journalföring innebär en möjlighet för olika vårdgivare att ta del av varandras vårddokumentation genom direktåtkomst. Genom att tillämpa reglerna för sammanhållen journalföring finns viktig information om en patient alltid tillgänglig i den stund patienten får behov av vård alldeles oavsett var patienten söker vården. Det gör t.ex. att primärvårdsläkaren som möter patienten på en privatdriven vårdcentral direkt kan ta del av det som är dokumenterat på det landstingsdrivna sjukhuset. Och tvärtom.
Reglerna om sammanhållen journalföring är indelade i två steg. I skede 1 finns regler om hur uppgifterna får göras tillgängliga för andra vårdgivare. Och i skede 2 finns regler om hur och när andra vårdgivare faktiskt får ta del av uppgifterna
Skede 2 – att ta del av uppgifter hos andra vårdgivare
En vårdgivare får ta del av andra vårdgivares uppgifter om uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten eller för att utfärda intyg om vården. Vårdgivaren måste dessutom ha en aktuell patientrelation med patienten och patientens samtycke till att ta del av uppgifterna.
Bilaga 4 SOU 2014:23
116
Vad innebär det om en
patient motsatt sig att uppgifterna görs tillgängliga
genom sammanhållen
journalföring?
Om en patient motsatt sig får
uppgifterna inte finnas tillgängliga för de vårdgivare som deltar i den sammanhållna
journalföringen (yttre spärr).
Bilaga 4
117
Om patienten motsätter sig sammanhållen journalföring
Om patienten motsatt sig att delta i sammanhållen journalföring kommer uppgifter om patienten inte att finnas tillgängliga för de vårdgivare som deltar i samarbetet om sammanhållen journalföring. Detta brukar ibland kallas för att patienten lagt en hård spärr eftersom uppgifterna inte finns potentiellt tillgängliga för de andra vårdgivarna.
Uppgift om själva spärren får finnas tillgänglig
Även om en patient motsätter sig sammanhållen journalföring får systemet innehålla uppgift om att det finns spärrade uppgifter om patienten samt vilken vårdgivare som har spärrat dem.
En användare ska kunna se i systemet att det finns spärrade patientuppgifter hos en annan vårdgivare, men det är endast i nödsituationer tillåtet att ta del av uppgift om vilken eller vilka vårdgivare som spärrat de aktuella uppgifterna.
Även spärrade patientuppgifter vid sammanhållen journalföring ska således under vissa förutsättningar gå att hämta in i en nödsituation. Då ska en behörig användare först kunna se vilken eller vilka vårdgivare som har spärrat uppgifterna, och med ledning av detta sedan bedöma om de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Om uppgifterna bedöms ha sådan betydelse får den behörige användaren begära att den vårdgivare som har spärrat uppgifterna häver spärren.
Bilaga 4 SOU 2014:23
118
Hur ska en spärr i
sammanhållen journalföring
hanteras i en nödsituation om
patienten inte kan begära att
den hävs?
Spärren får hävas av den vårdgivare som lagt den om det föreligger fara för patientens liv eller allvarlig risk för dennes hälsa
och de spärrade uppgifterna kan
antas ha betydelse för patientens
vård.
Bilaga 4
119
Spärr vid sammanhållen journalföring i en nödsituation
Om patienten motsatt sig att delta i sammanhållen journalföring kommer uppgifter om patienten inte att finnas tillgängliga för de vårdgivare som deltar i samarbetet om sammanhållen journalföring. Detta brukar ibland kallas för att patienten lagt en hård spärr eftersom uppgifterna inte finns potentiellt tillgängliga för de andra vårdgivarna.
Även om en patient motsätter sig sammanhållen journalföring får systemet innehålla uppgift om att det finns spärrade uppgifter om patienten samt vilken vårdgivare som har spärrat dem. En användare ska kunna se i systemet att det finns spärrade patientuppgifter hos en annan vårdgivare, men det är endast i nödsituationer tillåtet att ta del av uppgift om vilken eller vilka vårdgivare som spärrat de aktuella uppgifterna.
Att häva spärr i nödsituation
Även spärrade patientuppgifter vid sammanhållen journalföring ska under vissa förutsättningar gå att hämta in i en nödsituation. Om patienten inte själv kan begära att spärren hävs får behörig användare först se vilken eller vilka vårdgivare som har spärrat uppgifterna och med ledning av detta bedöma om de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Om uppgifterna bedöms ha sådan betydelse får den behörige användaren begära att den vårdgivare som har spärrat uppgifterna häver spärren.
Själva beslutet att häva en spärr fattas således av den vårdgivare som har lagt spärren.
Bilaga 4 SOU 2014:23
120
Vad menas med
aktuell
patientrelation?
Vårdgivaren har en aktuell patientrelation med de patienter som vårdas eller behandlas
inom den egna verksamheten.
Patientrelationen kan t.ex. uppstå genom att
patienten bokar ett besök, kommer till en vårdinrättning och söker vård, blir remitterad
till vårdgivaren, kommer på planerat besök,
vårdas inneliggande på en avdelning eller genom att patienten kommunicerar med
vårdgivaren elektroniskt.
Sammanhållen journalföring:
Vårdgivaren får ta del av en annan vårdgivares uppgifter i samband med vården av en patient om uppgifterna rör en patient som vårdgivaren har en
aktuell patientrelation med och patienten
samtycker till det.
Bilaga 4
121
Begreppet aktuell patientrelation
Det är vårdgivaren som sådan som ska ha en aktuell patientrelation, inte hälso- och sjukvårdspersonalen.
En patientrelation kan uppstå på många olika sätt
En patientrelation kan uppstå på en mängd olika sätt och bestå under kortare eller längre tidsperioder. Patientrelationen kan t.ex. uppstå när patienten
bokar ett besök hos en vårdgivare,
kommer till en vårdinrättning och söker vård,
blir remitterad till en vårdgivare,
vårdas inneliggande på avdelning,
får beslut om särskilt boende för äldre,
blir beviljad hemsjukvård,
kommunicerar elektroniskt med vårdgivare.
En patientrelation kan uppstå på flera olika sätt inte bara genom ett fysiskt möte med personal hos en vårdgivare. Exempelvis måste den vårdgivare som tar emot en remiss från en annan vårdgivare , vare sig den är elektronisk eller i pappersform, anses ha en aktuell patientrelation med den patient som omfattas av remissen.
Att det föreligger en aktuell patientrelation hos en viss vårdgivare har ingenting att göra med vilken personal hos vårdgivaren som har rätt att ta del av uppgifter om patienten. Den senare frågan styrs, precis som vid åtkomst av uppgifter i den egna verksamheten, framför allt av personalens behov i förhållande till deras arbetsuppgifter och deltagande i vården och behandlingen av patienten.
Bilaga 4 SOU 2014:23
122
Vem är det som ska
ha en aktuell patientrelation?
Det är vårdgivaren som sådan som ska ha en aktuell patientrelation, inte
hälso- och sjukvårdspersonalen. Personalens rätt och skyldighet att ta
del av uppgifter beror på vilka
arbetsuppgifter personalen har.
Sammanhållen journalföring:
Vårdgivaren får ta del av en annan vårdgivares uppgifter i samband med vården av en patient om uppgifterna rör en patient som vårdgivaren har en
aktuell patientrelation med och patienten
samtycker till det.
Bilaga 4
123
Vårdgivaren ska ha en aktuell patientrelation
Det är vårdgivaren som sådan som ska ha en aktuell patientrelation, inte hälso- och sjukvårdspersonalen.
Skillnad på krav på patientrelation och villkor för enskilda yrkesutövares åtkomst
Att det föreligger en aktuell patientrelation hos en viss vårdgivare har ingenting att göra med vilken personal hos vårdgivaren som har rätt att ta del av uppgifter om patienten. Den senare frågan styrs, precis som vid åtkomst av uppgifter i den egna verksamheten, framför allt av personalens behov i förhållande till deras arbetsuppgifter och deltagande i vården och behandlingen av patienten.
Hos den vårdgivare som har en aktuell patientrelation med en patient, som samtyckt till att vårdgivaren får ta del av uppgifter i system för sammanhållen journalföring, är det således den personal som deltar i vården av patienten och som av dessa skäl behöver uppgifterna som rent faktiskt får ta del av patientens uppgifter.
Situationen då den som arbetar åt en vårdgivare ska ta ställning till om han eller hon har rätt att ta del av uppgifter som tillgängliggjorts av en annan vårdgivare har därmed stora likheter med situationen då den som arbetar åt en vårdgivare överväger att ta del av uppgifter som finns tillgängliga inom den egna verksamheten.
Bilaga 4 SOU 2014:23
124
Måste yrkesutövaren ha patientens samtycke
för att titta i NPÖ eller
annat system för
sammanhållen journalföring?
Nej, det är vårdgivaren som sådan
som ska patientens samtycke till att
behandla uppgifter hos en annan vårdgivare. Personalen ska kontrollera
att samtycket finns och vid behov inhämta det för vårdgivarens räkning.
Sammanhållen journalföring:
Vårdgivaren får ta del av en annan vårdgivares uppgifter i samband med vården av en patient om uppgifterna rör en patient som vårdgivaren har en
aktuell patientrelation med och patienten
samtycker till det.
Bilaga 4
125
Vårdgivaren ska ha patientens samtycke
Det är vårdgivaren som sådan som ska ha patientens samtycke, inte de enskilda yrkesutövarna.
Samtycket är beroende av situationen
Samtycke från patienten ska finnas för att vårdgivaren ska få ta del av uppgifter i systemet för sammanhållen journalföring. Samtycket kan lämnas på många olika sätt och vid flera olika typer av situationer. Det kan exempelvis lämnas inför en kontakt med en vårdgivare, d.v.s. på förhand, eller i den stund patienten har fysisk eller elektronisk kontakt med vårdgivaren och dess personal. Hur länge ett samtycke gäller är beroende av den aktuella situationen. Det skiljer sig exempelvis väsentligt åt mellan ett samtycke som lämnas för ett enstaka besök på en mottagning och ett samtycke för en återkommande informationsinhämtning under en vårdprocess i ett visst sjukdomsförlopp.
Personal ska i första hand kontrollera om samtycke finns
Det är vårdgivarens arbetsledning och organisatoriska förutsättningar i kombination med patientens hälsoproblem som i det enskilda fallet avgör vilken personal som har ett behov av att ta del av uppgifter i systemet för sammanhållen journalföring. Den eller de yrkesutövare som i dessa situationer är inblandade i patientens vård och behandling behöver därmed i första hand kontrollera om patienten redan har lämnat ett samtycke. Om det inte finns blir det hans eller hennes uppgift att be patienten om ett samtycke för vårdgivaren att ta del av journaluppgifter hos en annan vårdgivare. Denna bestämmelse handlar inte om inre sekretess utan om under vilka förutsättningar vårdgivaren som sådan får behandla uppgifterna.
Behov av riktlinjer i verksamheten och IT-stöd för samtycken
Praktiskt innebär detta bl.a. att vårdgivare behöver ta fram riktlinjer för verksamhetens samtyckeshantering. Riktlinjerna bör bland annat ge personalen stöd i hur de ska agera i frågor som rör
Bilaga 4 SOU 2014:23
126
inhämtande av samtycke, registrering av samtycke, kontroll av samtycke, samtyckets omfattning etc.
Vidare kan hälso- och sjukvårdspersonal behöva en informationskälla för patienternas samtycken. Det kan utgöras av ett ITstöd där personal kan kontrollera om samtycke finns , hur länge det sträcker sig m.m. Genom IT-stödet bör det även vara möjligt för personal att vid behov inhämta och registrera samtycke för vårdgivarens räkning. Förutom att det gynnar integritetsskyddet och minskar administrationen behöver inte patienten få frågan om samtycke fler gånger än vad som är motiverat.
Bilaga 4
127
Hur länge gäller
patientens samtycke?
Det beror på den aktuella situationen,
t.ex. om det är en enstaka kontakt
eller om patienten befinner sig i en vårdprocess under en kortare eller
längre tid. Det viktiga är att det är tydligt för patienten och personalen
vad samtycket innefattar.
Sammanhållen journalföring:
Vårdgivaren får ta del av en annan vårdgivares uppgifter i samband med vården av en patient om uppgifterna rör en patient som vårdgivaren har en
aktuell patientrelation med och patienten
samtycker till det.
Bilaga 4 SOU 2014:23
128
Omfattning i tiden av patientens samtycke
Det är vårdgivaren som sådan som ska ha patientens samtycke, inte de enskilda yrkesutövarna.
Hur samtycke lämnas är beroende av situationen
Samtycke från patienten ska finnas för att vårdgivaren ska få ta del av uppgifter i systemet för sammanhållen journalföring. Ett sådant samtycke kan lämnas på många olika sätt och vid flera olika typer av situationer. Samtycket kan exempelvis lämnas inför en kontakt med en vårdgivare, d.v.s. på förhand, eller i den stund patienten har fysisk eller elektronisk kontakt med vårdgivaren och dess personal.
Hur länge samtycke ska gälla är beroende av situationen
Även hur länge ett samtycke ska gälla beror på omständigheterna i den aktuella situationen. Bedömningen skiljer sig exempelvis väsentligt åt mellan ett enstaka besök på en mottagning och en längre vårdprocess under ett visst sjukdomsförlopp. För patienter som möter hälso- och sjukvårdspersonal varje dag, t.ex. inneliggande på vårdavdelning eller äldre på ett särskilt boende, behöver inte ett nytt samtycke inhämtas varje gång behovet av att ta del av andra vårdgivares uppgifter uppstår. För den enskilde patienten ska det i olika situationer vara tydligt vad samtycket omfattar och hur länge det gäller.
Behov av riktlinjer i verksamheten och IT-stöd för samtycken
Praktiskt innebär detta bl.a. att vårdgivare behöver ta fram riktlinjer för verksamhetens samtyckeshantering. Riktlinjerna bör bland annat ge personalen stöd i hur de ska agera i frågor som rör inhämtande av samtycke, registrering av samtycke, kontroll av samtycke, samtyckets omfattning etc.
Vidare kan hälso- och sjukvårdspersonal behöva en informationskälla för patienternas samtycken. Det kan exempelvis utgöras av ett IT-stöd där personal kan kontrollera om samtycke finns , hur länge det sträcker sig m.m. Genom IT-stödet bör det även vara möjligt för personal att vid behov inhämta och registrera samtycke för
Bilaga 4
129
vårdgivarens räkning. Förutom att det gynnar integritetsskyddet och minskar administrationen behöver inte patienten få frågan om samtycke fler gånger än vad som är motiverat med hänsyn till den enskilda situationen.
Bilaga 4 SOU 2014:23
130
Kan ett samtycke
gälla för tiden vård
ges på ett särskilt
boende eller
hemsjukvård?
Ja, om det är tydligt för
patienten vad samtycket omfattar.
Sammanhållen journalföring:
Vårdgivaren får ta del av en annan vårdgivares uppgifter i samband med vården av en patient om uppgifterna rör en patient som vårdgivaren har en
aktuell patientrelation med och patienten
samtycker till det.
Bilaga 4
131
Samtycke på ett särskilt boende m.m.
Det är vårdgivaren som sådan, t.ex. en kommun som bedriver hälso- och sjukvård i särskilt boende och i hemsjukvården, som ska ha patientens samtycke till att ta del av uppgifter i system för sammanhållen journalföring, t.ex. den Nationella patientöversikten (NPÖ).
Hur länge samtycke ska gälla är beroende av situationen
Hur länge ett samtycke ska gälla beror på omständigheterna i den aktuella situationen. Bedömningen skiljer sig väsentligt åt mellan ett samtycke som lämnas vid ett enstaka besök på en mottagning och ett samtycke för en återkommande informationsinhämtning vid en längre vårdprocess under ett visst sjukdomsförlopp.
För patienter som möter hälso- och sjukvårdspersonal varje dag, t.ex. inneliggande på vårdavdelning eller äldre på ett särskilt boende, behöver inte ett nytt samtycke inhämtas varje gång behovet av att ta del av andra vårdgivares uppgifter uppstår. Exakt hur länge ett samtycke ska gälla är dock en fråga för vårdgivaren att avgöra utifrån patienternas situationer och förutsättningarna i verksamheten. Eftersom patientdatalagen är en ramlag måste vårdgivarna vara konstruktiva och tillämpa den på ett sätt så att lagens intentioner kan uppfyllas i deras verksamhet. Om det går att förklara för patienten hur vårdperioden och den planerade vården ser ut och vad samtycket omfattar kan det vara rimligt att hämta in ett samtycke för t.ex. en episod av hemsjukvård eller en vistelse på ett särskilt boende. För den enskilde patienten ska det vara tydligt vad samtycket omfattar och hur länge det gäller. Det är då också viktigt att patienten vet att hon eller han kan dra tillbaka samtycket.
Behov av riktlinjer i verksamheten och IT-stöd för samtycken
Praktiskt innebär detta bl.a. att vårdgivare behöver ta fram riktlinjer för verksamhetens samtyckeshantering. Riktlinjerna bör bland annat ge personalen stöd i hur de ska agera i frågor som rör inhämtande av samtycke, registrering av samtycke, kontroll av samtycke, samtyckets omfattning etc.
Bilaga 4 SOU 2014:23
132
Vidare kan hälso- och sjukvårdspersonal behöva en informationskälla för patienternas samtycken. Det kan utgöras av ett IT-stöd där personal kan kontrollera om samtycke finns , hur länge det sträcker sig m.m. Genom IT-stödet bör det även vara möjligt för personal att vid behov inhämta och registrera samtycke för vårdgivarens räkning. Förutom att det gynnar integritetsskyddet och minskar administrationen behöver inte patienten få frågan om samtycke fler gånger än vad som är motiverat.
Bilaga 4
133
Kan ett samtycke gälla under tiden
patienten besöker samma vårdcentral?
Ja, under förutsättning att det är tydligt för patienten vad samtycket
omfattar. Om det går att avgränsa vårdepisoden antingen till att avse
en viss tidsperiod eller till en viss typ
av behandling är det lättare för
patienten att överblicka vad
samtycket gäller.
Sammanhållen journalföring:
Vårdgivaren får ta del av en annan vårdgivares uppgifter i samband med vården av en patient om uppgifterna rör en patient som vårdgivaren har en
aktuell patientrelation med och patienten
samtycker till det.
Bilaga 4 SOU 2014:23
134
Samtycke i primärvården
Det är vårdgivaren som sådan, t.ex. landstinget eller den privata aktör som driver vårdcentralen, som ska ha patientens samtycke till att ta del av andra vårdgivares uppgifter i system för sammanhållen journalföring.
Hur länge samtycke ska gälla är beroende av situationen
Hur länge ett samtycke ska gälla beror på omständigheterna i den aktuella situationen. Endast det förhållandet att en patient är listad på en vårdcentral utgör dock inte stöd för synsättet att ett samtycke skulle gälla på obestämd tid framåt till dess patienten listar sig på en annan vårdcentral. Det samtycke patienten lämnar måste vara tydligt, förståeligt och överblickbart både för patienten och för personalen. Om patienten exempelvis befinner sig i en situation med kontinuerliga besök på vårdcentralen torde patienten kunna överblicka innebörden av ett samtycke som gäller under den vårdprocessen. På samma sätt bör samtycket för den patient som besöker vårdcentralen vid ett enstaka tillfälle utan planerade återbesök endast omfatta det aktuella besöket.
Exakt hur länge ett samtycke ska gälla är därför en fråga för vårdgivaren att avgöra utifrån patientens situation och förutsättningarna i verksamheten. Eftersom patientdatalagen är en ramlag måste vårdgivarna vara konstruktiva och tillämpa den på ett sätt så att lagens intentioner kan uppfyllas i deras verksamhet. Om det går att förklara för patienten hur vårdperioden och den planerade vården ser ut och vad samtycket omfattar kan det vara rimligt att hämta in ett samtycke för t.ex. en episod av upprepade besök på vårdcentralen. För den enskilde patientens del ska det vara tydligt vad samtycket omfattar och hur länge det gäller. Det är då också viktigt att patienten vet att hon eller han kan dra tillbaka samtycket.
Behov av riktlinjer i verksamheten och IT-stöd för samtycken
Vårdgivare behöver alltså ta fram riktlinjer för verksamhetens samtyckeshantering. Riktlinjerna bör ge personalen stöd i hur de ska agera i frågor som rör inhämtande av samtycke, registrering av samtycke, kontroll av samtycke, samtyckets omfattning etc. Vidare
Bilaga 4
135
kan personalen behöva en informationskälla för patienternas samtycken. Det kan exempelvis utgöras av ett IT-stöd där personal kan kontrollera om samtycke finns, hur länge det gäller m.m. Genom IT-stödet bör det även vara möjligt för personal att vid behov inhämta och registrera samtycke för vårdgivarens räkning. Förutom att det gynnar integritetsskyddet och minskar administrationen behöver inte patienten få frågan om samtycke fler gånger än vad som är motiverat.
Bilaga 4 SOU 2014:23
136
Nej. Föräldrar får inte bestämma om detta. I takt
med barnets stigande ålder
och mognad ska barnets
samtycke inhämtas.
Sammanhållen journalföring:
Vårdgivaren får ta del av en annan vårdgivares uppgifter i samband med vården av en patient om uppgifterna rör en patient som vårdgivaren har en
aktuell patientrelation med och patienten
samtycker till det.
Behövs föräldrarnas samtycke för att titta i andra vårdgivares journaler
i samband med vård av
barn?
Bilaga 4
137
Vårdnadshavare får inte motsätta sig
När det gäller barns journaluppgifter har lagstiftaren valt en lösning som innebär att vårdnadshavare inte kan motsätta sig att barnets uppgifter görs tillgängliga i system för sammanhållen journalföring. Inte heller krävs det något samtycke från vårdnadshavare för att vårdgivare genom direktåtkomst ska få ta del av andra vårdgivares uppgifter om barnet. Denna konstruktion har lagstiftaren motiverat med hänsyn till behovet av skydd för barn som riskerar att fara illa. En grundtanke är att hälso- och sjukvårdspersonal lättare ska kunna upptäcka barn som far illa och bedöma om saken ska anmälas till socialnämnden.
Barnets rättigheter ska tillgodoses i takt med stigande ålder och mognad
I takt med barns stigande ålder och mognad ska barn omfattas av samma regler som gäller för vuxna patienter. Bedömningen av barns och ungdomars mognadsgrad kan hanteras på motsvarande sätt som är brukligt inom hälso- och sjukvården. En individuell mognadsbedömning ger svar på frågan om barnet har förmåga att tillgodogöra sig relevant information och överblicka konsekvenserna av sitt beslut. Olika mognadsgrad kan dock krävas för olika beslut. Frågans art och komplexitet samt beslutets konsekvenser måste också vara styrande för bedömningen av om barnet ska ha en självbestämmanderätt.
I takt med underårigas stigande ålder och mognad måste vårdgivaren generellt ta allt större hänsyn till deras önskemål och vilja, till exempel när det gäller om personuppgifter ska vara tillgängliga för andra vårdgivare. Det innebär t.ex. att barn som bedöms själva kunna förstå vad sammanhållen journalföring är och innebörden av olika alternativ ska ges rätt att själv besluta i dessa frågor. Ett barn som uppnått en sådan mognadsgrad ska då själv få ta ställning såväl till medverkan i sammanhållen journalföring som till frågan om samtycke för åtkomst till uppgifter hos andra vårdgivare.
Bilaga 4 SOU 2014:23
138
Ska barnet lämna samtycke
för åtkomst till andra
vårdgivares uppgifter i
sammanhållen journalföring?
Ja, men endast om barnet
bedöms ha uppnått en sådan ålder och mognad att barnet själv kan ta ställning
till det.
Sammanhållen journalföring:
Vårdgivaren får ta del av en annan vårdgivares uppgifter i samband med vården av en patient om uppgifterna rör en patient som vårdgivaren har en
aktuell patientrelation med och patienten
samtycker till det.
Bilaga 4
139
Samtycke från vårdnadshavare behövs inte
När det gäller barns journaluppgifter har lagstiftaren valt en lösning som innebär att vårdnadshavare inte kan motsätta sig att barnets uppgifter görs tillgängliga i system för sammanhållen journalföring. Inte heller krävs det något samtycke från vårdnadshavare för att vårdgivare genom direktåtkomst ska få ta del av andra vårdgivares uppgifter om barnet. Denna konstruktion har lagstiftaren motiverat med hänsyn till behovet av skydd för barn som riskerar att fara illa. En grundtanke är att hälso- och sjukvårdspersonal lättare ska kunna upptäcka barn som far illa och bedöma om saken ska anmälas till socialnämnden.
Barnets samtycke ska inhämtas om barnet bedöms kunna ta ställning till saken
För mindre barn behöver samtycke inte inhämtas, men i takt med barns stigande ålder och mognad ska barn omfattas av samma regler som gäller för vuxna patienter. Bedömningen av barns och ungdomars mognadsgrad kan hanteras på motsvarande sätt som är brukligt inom hälso- och sjukvården. En individuell mognadsbedömning ger svar på frågan om barnet har förmåga att tillgodogöra sig relevant information och överblicka konsekvenserna av sitt beslut. Olika mognadsgrad kan dock krävas för olika beslut. Frågans art och komplexitet samt beslutets konsekvenser måste också vara styrande för bedömningen av om barnet ska ha en självbestämmanderätt.
I takt med underårigas stigande ålder och mognad måste vårdgivaren generellt ta allt större hänsyn till deras önskemål och vilja, till exempel när det gäller om personuppgifter ska vara tillgängliga för andra vårdgivare. Det innebär t.ex. att barn som bedöms själva kunna förstå vad sammanhållen journalföring är och innebörden av olika alternativ ska ges rätt att själv besluta i dessa frågor. Ett barn som uppnått en sådan mognadsgrad ska då själv få ta ställning såväl till medverkan i sammanhållen journalföring som till frågan om samtycke för åtkomst till uppgifter hos andra vårdgivare.
Bilaga 4 SOU 2014:23
140
Patienten kommer in omtöcknad och
starkt smärtpåverkad p.g.a. en fraktur
och behöver opereras. Något samtycke
för vårdgivaren finns inte registrerat och
det går inte att få någon bra kontakt
med patienten. Får personalen på akuten använda NPÖ för att kolla ev.
allergier innan narkos?
Ja, om det föreligger fara
för patientens liv eller
allvarlig risk för dennes hälsa får personalen ta del av de uppgifter som kan ha betydelse för den vård som
patienten oundgängligen
behöver.
Sammanhållen journalföring:
Vårdgivaren får ta del av en annan vårdgivares uppgifter i samband med vården av en patient om uppgifterna rör en patient som vårdgivaren har en
aktuell patientrelation med och patienten
samtycker till det.
Bilaga 4
141
Kravet på samtycke i en nödsituationer
Om det föreligger fara för patientens liv eller allvarlig risk för dennes hälsa och det p.g.a. patientens tillstånd inte går att få ett samtycke, får vårdgivaren ta del av uppgifter i system för sammanhållen journalföring (exempelvis NPÖ) om uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Det ska alltså vara fråga om mera akuta nödsituationer.
Åtkomst till patientens uppgifter ska ske i två steg
I dessa situationer ska åtkomsten till patientens uppgifter ske i två steg. Först får vårdgivaren ta del av uppgift om vilken eller vilka andra vårdgivare som har gjort uppgifter om patienten tillgängliga. Om vårdgivaren med ledning av det bedömer att uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren behandla de ospärrade uppgifterna.
Om patienten motsatt sig sammanhållen journalföring kan spärren inte forceras av akuten
Frågan ovan avser en situation där andra vårdgivare gjort uppgifter om patienten tillgängliga i systemet för sammanhållen journalföring. Om patienten däremot motsatt sig medverkan i sammanhållen journalföring och uppgifterna därmed är spärrade kan personalen på akuten inte forcera denna spärr för att ta reda på eventuella allergier.
Om det finns spärrade uppgifter om en patient och det föreligger fara för dennes liv eller allvarlig risk för dennes hälsa och patienten saknar möjlighet att själv häva spärren, får vårdgivaren ta del av uppgift om vilken eller vilka vårdgivare som har spärrat uppgifterna. Om vårdgivaren med ledning av det bedömer att de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren.
Bilaga 4 SOU 2014:23
142
Får en remissmottagare gå
in i patientens journal hos remitterande vårdgivare?
Ja. Enligt reglerna för
sammanhållen journalföring och de rutiner för hantering av
remisser som finns.
Sammanhållen journalföring:
Vårdgivaren får ta del av en annan vårdgivares uppgifter i samband med vården av en patient om uppgifterna rör en patient som vårdgivaren har en
aktuell patientrelation med och patienten
samtycker till det.
Bilaga 4
143
Remisshantering över vårdgivargränser
Får personal hos remissmottagande vårdgivare genom direktåtkomst ta del av remitterande vårdgivares journalanteckningar för att kunna bedöma och besvara en remiss?
Det handlar bl.a. om att följa reglerna om sammanhållen journalföring. För att remissmottagande vårdgivare som sådan ska få ta del av patientuppgifter hos andra vårdgivare genom direktåtkomst krävs att
1. uppgifterna rör en patient som vårdgivaren har en aktuell
patientrelation med,
2. uppgifterna kan antas ha betydelse för att förebygga, utreda eller
behandla sjukdomar och skador hos patienten inom hälso- och sjukvården, och
3. patienten samtycker till det.
Kravet på att vårdgivaren ska ha en aktuell patientrelation är uppfyllt redan genom att en remiss avseende patienten inkommer till vårdgivaren. Kravet i punkten 2 blir uppfyllt eftersom det är fråga om vård och behandling av en patient och genom att endast relevanta uppgifter används.
Samtycket behövs för direktåtkomsten
När det gäller samtycke har det traditionellt sett förutsatts att en patient som blir remitterad också har samtyckt till remitteringen och till det informationsutbyte som behövs för hanteringen av remissen ,t.ex. att remitterande läkare bifogar journalkopior med remissen. I detta fall handlar det dock om att remissmottagaren själv går in i remitterande vårdgivares journalanteckningar. För denna direktåtkomst krävs ett särskilt samtycke av patienten. Det är uppfyllt antingen genom att patienten, när denne besöker remissmottagande vårdgivare, lämnar sitt samtycke till direktåtkomsten eller genom att patienten redan hos remitterande vårdgivare lämnar samtycke för remissmottagande vårdgivares räkning. Om det av remissen framgår att patienten lämnat ett sådant samtycke i förväg är det alltså möjligt för personal hos remissmottagande vårdgivare att börja hantera remissen och ta del av remitterande vårdgivares journalanteckningar redan när remissen inkommer.
Bilaga 4 SOU 2014:23
144
Den personal som ska hantera remissen deltar i vården av patienten och har ansvar för att patienten blir omhändertagen och att remissen blir besvarad enligt de rutiner som finns för detta. När det gäller remisser ska Socialstyrelsens föreskrifter (SOSFS 2004:11) om ansvar för remisser för patienter inom hälso- och sjukvård, tandvården m.m. följas.
Bilaga 4
145
Om en patient remitteras till en vårdgivare från en annan – måste
personalen ändå be om patientens
samtycke för att få gå in i den remitterande vårdgivarens journal?
Det krävs ett samtycke, men det kan
inhämtas redan i samband med att
remissen skrivs. Om remittenten inhämtat samtycke i förväg behöver
personalen bara kontrollera att
samtycket finns. I sådant fall kan personal börja bedöma remissen och ta
del av relevanta uppgifter hos den förste
vårdgivaren innan personalen träffat
patienten.
Sammanhållen journalföring:
Vårdgivaren får ta del av en annan vårdgivares uppgifter i samband med vården av en patient om uppgifterna rör en patient som vårdgivaren har en
aktuell patientrelation med och patienten
samtycker till det.
Bilaga 4 SOU 2014:23
146
Att hämta in samtycke i förväg
Frågan handlar om personal hos remissmottagande vårdgivare genom direktåtkomst får ta del av remitterande vårdgivares journalanteckningar för att kunna bedöma och besvara remissen. Det handlar bl.a. om att följa reglerna om sammanhållen journalföring.
Samtycke krävs – men det kan inhämtas i förväg
En förutsättning för åtkomsten är att patienten har lämnat sitt samtycke. Däremot är det vårdgivaren som sådan som ska ha patientens samtycke, inte de enskilda yrkesutövarna.
Ett sådant samtycke kan lämnas på många olika sätt och vid flera olika typer av situationer. Samtycket kan exempelvis lämnas inför en kontakt med en vårdgivare, d.v.s. på förhand, eller i den stund patienten har fysisk eller elektronisk kontakt med vårdgivaren och dess personal.
I samband med att en patient remitteras till en annan vårdgivare kan det vara smidigt att inhämta patientens samtycke till att remissmottagaren får ta del av vårdgivarens uppgifter om patienten redan då remissen skrivs. Samtycket följer då med remissen och den som tar emot remissen kan förbereda sig för att ta emot patienten genom att ta del av de uppgifter som finns. Om det av remissen, eller på annat sätt, framgår att patienten lämnat ett sådant samtycke i förväg är det alltså möjligt för personal hos remissmottagande vårdgivare att börja hantera remissen och ta del av remitterande vårdgivares journalanteckningar redan när remissen inkommer.
Den personal som ska hantera remissen deltar i vården av patienten och har ansvar för att patienten blir omhändertagen och att remissen blir besvarad enligt de rutiner som finns för detta. När det gäller remisser ska Socialstyrelsens föreskrifter (SOSFS 2004:11) om ansvar för remisser för patienter inom hälso- och sjukvård, tandvården m.m. följas.
Bilaga 4
147
6 Frågor om dokumentation i socialtjänsten
Avsnittet innehåller frågor och svar om dokumentation i verksamheter som omfattas socialtjänstlagstiftning.
För att besvara frågorna har vi i första hand använt
• lagen om stöd och service till vissa funktionshindrade (1993:387)
• lagen (2001:454) om behandling av personuppgifter inom hälso- och sjukvården, och
• Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2006:5) om dokumentation vid handläggning av ärenden och genomförande av insatser enligt SoL, LVU, LVM och LSS.
Bilaga 4 SOU 2014:23
148
Vad ska personakt och
journal innehålla hos
den som genomför
insatser i socialtjänsten?
Faktiska omständigheter och händelser
av betydelse för genomförandet ska dokumenteras. Det ska gå att följa vad
som görs och hur situationen för den
enskilde utvecklas. I föreskrifter och
allmänna råd från Socialstyrelsen
preciseras detta ytterligare.
Bilaga 4
149
Dokumentationens innehåll
Enligt grundläggande bestämmelser ska dokumentationen i socialtjänsten utvisa beslut och åtgärder som vidtas i ärendet samt faktiska omständigheter och händelser av betydelse (11 kap. 5 § socialtjänstlagen och 21 a § lagen om stöd och service till vissa funktionshindrade). Dokumentationen i socialtjänsten ska tillgodose flera syften, bland annat behovet av rättssäkerhet för enskilda. För de som arbetar i socialtjänsten är dokumentationen ett viktigt arbetsinstrument bl.a. för den individuella planeringen, för handläggning av ärenden, för genomförandet och för uppföljning av handläggning och genomförandet av insatserna. När det gäller dokumentation vid genomförande av insatser är det därför viktigt att dokumentera händelser som har betydelse för genomförandet. Det ska gå att följa vad som faktiskt görs och hur situationen utvecklas för den enskilde. Vilka uppgifter det rör sig om är beroende av vilken insats det gäller och omständigheterna i det enskilda fallet.
Genomförandeplan
I Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2006:5) om dokumentation vid handläggning av ärenden och genomförande av insatser enligt SoL, LVU, LVM och LSS preciseras vad dokumentationen i socialtjänsten bör innehålla. Av de allmänna råden till 6 kap. 1 § följer bland annat att det i en genomförandeplan bör dokumenteras hur en beslutad insats praktiskt ska genomföras. Av planen bör bl.a. framgå vilka insatser eller delar av insatser som ingår, hur insatser ska genomföras och vilka mål som gäller. Genom planen tydliggörs både för den enskilde och för personalen vad som ska göras, vem som ska göra vad, när och hur.
Personakt och journal hos den som genomför insatsen
I 6 kap. 2 § SOSFS 2006:5 anges att genomförandet av ett beslut om en insats ska dokumenteras fortlöpande. Av de allmänna råden framgår att dokumentationen bör hållas samman i en personakt.
Vidare framgår att dokumentationen bör föras i en journal i den verksamhet som genomför insatsen. Av journalen bör det bl.a. framgå när insatsen eller olika delar av insatsen har påbörjats och
Bilaga 4 SOU 2014:23
150
när insatsen har avslutats och av vilka skäl. Även uppgifter om omständigheter som medfört att insatsen inte har kunnat genomföras som planerat bör framgå. Vidare bör journalen utvisa när genomförandeplanen har upprättats, följts upp och reviderats, Dokumentationen bör också kunna svara på vad som har uppnåtts i förhållande till de uppsatta målen för insatsen och om den enskildes behov har förändrats. Ytterligare allmänna råd om dokumentationens innehåll finns i SOSFS 2006:5.
Bilaga 4
151
Får olika utförare av socialtjänst dokumentera
i samma akt?
Nej, varje utförare av socialtjänst
ska ansvara för sin egen dokumentation. Men det är möjligt utbyta information om
reglerna om sekretess och
tystnadsplikt tillåter det.
Bilaga 4 SOU 2014:23
152
Olika utförare av socialtjänst ansvarar för sin egen dokumentation
Genomförandet av ett beslut om en insats ska dokumenteras fortlöpande. Om en beslutad insats genomförs av den beslutande nämnden, bör dokumentationen som rör handläggningen av ärendet och genomförandet av insatsen hållas samman i en och samma personakt. Om en beslutad insats däremot genomförs i privat verksamhet bör dokumentationen under genomförandet hållas samman i en personakt hos den utförare som genomför insatsen. (11 kap. socialtjänstlagen och 6 kap. SOSFS 2006:5).
Om olika utförare (t.ex. olika privata aktörer som bedriver socialtjänst) deltar i genomförandet av beslutade insatser i socialtjänsten ska respektive utförare således ansvara för sin egen dokumentation och hålla den separerad från övriga utförares.
Bilaga 4
153
Kan individen förhindra
att genomförda insatser i
socialtjänsten
dokumenteras?
Nej. Individen får inte
bestämma om det eller
på vilket sätt
dokumentationen görs.
Bilaga 4 SOU 2014:23
154
Krav på dokumentation – oavsett individens inställning
I socialtjänsten finns krav på att handläggning av ärenden som rör enskilda samt genomförande av beslut om stödinsatser, vård och behandling ska dokumenteras (11 kap. 5 § socialtjänstlagen och 21 a § lagen om stöd och service till vissa funktionshindrade). En individ kan inte motsätta sig att dokumentation görs eller att personuppgifter hanteras, vare sig det görs manuellt på papper eller elektroniskt.
Individen kan inte heller bestämma i frågor som rör vem inom socialtjänsten som ska dokumentera. Det är ytterst den som bedriver socialtjänst som har att avgöra formerna för dokumentationen, självklart med beaktande av de krav som finns i lagstiftning och Socialstyrelsens föreskrifter på området.
Individens rätt till självbestämmande och integritet
Vid informationshantering i socialtjänsten ska individens rätt till självbestämmande och personlig integritet beaktas. Vid dokumentation innebär det exempelvis att uppgifter om individen ska vara korrekta och relevanta i förhållande till syftet med dokumentationen. Dokumenterade uppgifter om individen ska också hanteras och förvaras så att obehöriga inte kan komma åt dem. Individen bör också hållas underrättad om de journalanteckningar och andra anteckningar som förs om honom eller henne. Om individen anser att en uppgift är oriktig ska det antecknas.
Bilaga 4
155
Har en enskild rätt att få
ut all information som
finns om honom eller
henne i socialtjänstens
dokumentation?
Ja, förutom att det i vissa fall
kan gälla sekretess mot den
enskilde för uppgifter som andra personer lämnat till
socialtjänsten.
Bilaga 4 SOU 2014:23
156
Individens rätt att ta del av sina uppgifter inom socialtjänsten
Inom hälso- och sjukvården kan det ibland gälla sekretess gentemot patienten själv om det (med hänsyn till ändamålet med vården eller behandlingen) är av synnerlig vikt att uppgiften inte lämnas till honom eller henne. Men i socialtjänsten gäller inte sekretess till skydd för den enskilde i förhållande till den enskilde själv.
Sekretess i förmån för andra än den enskilde själv
Sekretess kan dock gälla till förmån för någon annan än den enskilde som är primärt berörd, t.ex. om det bland uppgifterna om den enskilde även finns information om någon annan person. För socialtjänstens del gäller sekretess för uppgifter i en anmälan i förhållande till den som anmälan avser, men endast om det kan antas att fara uppkommer för att den som har lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
Frånsett sådana uppgifter som kan omfattas av sekretess enligt ovan har den enskilde rätt att få ta del av alla uppgifter som finns om honom eller henne i socialtjänstens dokumentation.
Privat verksamhet i socialtjänsten
För enskild verksamhet inom socialtjänsten, som inte omfattas av offentlighets- och sekretesslagen, finns särskilda bestämmelser i 7 kap. 4 § socialtjänstlagen och i 23 c § i lag om stöd och service till vissa funktionshindrade (LSS) om att den enskilde ska få del av uppgifter rörande sig själv. Om den enskilde begär att få del av uppgifter i sin egen personakt i en enskild verksamhet ska en handling i personakten så snart som möjligt tillhandahållas den enskilde om inte annat följer av bestämmelserna om tystnadsplikt i 15 kap 1 § socialtjänstlagen eller 29 § LSS.
Bilaga 4
157
Har den enskilde rätt att få
direktåtkomst till sin
dokumentation inom socialtjänsten eller att få den
utlämnad elektroniskt?
Det finns ingen sån rättighet
för den enskilde, men det
finns möjlighet för den som
bedriver socialtjänst att
erbjuda det.
Bilaga 4 SOU 2014:23
158
Den enskildes möjlighet till direktåtkomst
Den enskilde har ingen rätt att kräva att information lämnas ut genom direktåtkomst eller på annat sätt elektroniskt (utlämnande på medium för automatiserad behandling). Den som bedriver socialtjänst har dock själv en möjlighet att erbjuda sådana typer av utlämnanden.
Utlämnande på medium för automatiserad behandling och genom direktåtkomst
Uppgifter som får lämnas ut till den enskilde kan lämnas ut på olika sätt elektroniskt. Det kan exempelvis handla om utlämnande på cd, usb eller genom en säker elektronisk överföring av information. För socialtjänstens del kan utlämnande även ske genom direktåtkomst, t.ex. att den enskilde loggar in på socialtjänstens hemsida för att ta del av uppgifter om sig själv.
Krav på säkerhetsåtgärder
Den som lämnar ut uppgifterna måste alltid försäkra sig om att utlämnandet sker på ett sådant sätt att ingen obehörig kan ta del av dem. Det gäller oavsett om utlämnandet sker genom direktåtkomst eller på annat sätt elektroniskt. Det innebär dels att uppgifterna kan behöva skyddas (t.ex. genom kryptering) vid en eventuell överföring, dels att säkerställa endast den avsedda mottagaren kan ta del av dem.
Om socialtjänsten erbjuder enskilda att logga in på en hemsida på Internet för att ta del av känsliga personuppgifter om hälsa eller personuppgifter som annars är integritetskänsliga måste den enskildes identitet säkerställas genom stark autentisering, t.ex. elegitimation eller motsvarande.
Bilaga 4
159
Får olika utförare av socialtjänst ha direktåtkomst
till varandras dokumentation?
Nej, sådan
direktåtkomst är inte
tillåten.
Bilaga 4 SOU 2014:23
160
Direktåtkomst mellan olika utförare
Dagens regelverk medger inte att olika utförare (fysiska eller juridiska personer som bedriver socialtjänst, t.ex. kommunala och privata utförare) har direkt tillgång till varandras dokumentation och dokumentationssystem. Direktåtkomst mellan olika verksamheter med sekretessgränser mellan sig är därmed inte möjligt i socialtjänsten. Det saknas exempelvis bestämmelser som motsvarar hälso- och sjukvårdens möjligheter att i system för sammanhållen journalföring hålla uppgifter från flera olika vårdgivare tillgängliga för varandra genom direktåtkomst. Olika privata utförare av socialtjänst kan således inte ta del av varandras uppgifter om individen genom direktåtkomst. Inte heller kan en kommunal utförare av socialtjänst få tillgång till en privat utförares dokumentation om den enskilde med direktåtkomst.
Möjliga sätt att lämna ut information mellan utförare
Ett sätt att lösa behovet av informationsöverföring har därför under lång tid varit att, med stöd av individens samtycke, anteckna det viktigaste i en pärm eller dagbok som förvaras hos individen. Ett sådant sätt att överföra information kan fungera i vissa situationer och för vissa ändamål. Men det är samtidigt ett informationsutbyte som har betänkligheter ur såväl kvalitets- som integritetsperspektiv. Dessutom görs informationsutbytet inte på ett sätt som ger utförarna möjlighet att i förväg beakta informationen och anpassa sina insatser efter den. Informationen kommer ju nämligen utföraren till del först i mötet med den enskilde individen.
Även om direktåtkomst inte är tillåtet kan uppgifter lämnas ut på annat sätt elektroniskt mellan olika utförare inom socialtjänsten om personuppgiftsbehandlingen som sådan är tillåten samt sekretessen för uppgifterna bryts, t.ex. genom den enskildes samtycke. Ett sådant utlämnande kan t.ex. ske genom filöverföring eller på annat elektroniskt sätt. Då måste de krav på säkerhetsåtgärder som elektronisk kommunikation omgärdas av följas.
Bilaga 4
161
Får biståndshandläggare i en
kommun ta del av privata utförares dokumentation om genomförda insatser med hjälp
av direktåtkomst?
Nej, det är inte tillåtet
med direktåtkomst över
sekretessgränser i
socialtjänsten.
Bilaga 4 SOU 2014:23
162
Direktåtkomst mellan biståndshandläggare och privat utförare
I socialtjänsten gäller sekretess mellan kommunala myndigheter och mellan kommunala myndigheter och privata utförare av socialtjänst. En sådan sekretessgräns medför att sekretessbelagda uppgifter inte får lämnas ut över sekretessgränsen om inte en sekretessbrytande bestämmelse eller en sekretessprövning tillåter det.
Direktåtkomst
Direktåtkomst är ett sätt att lämna ut uppgifter över sekretessgränser utan att det görs en sekretessprövning i varje enskilt fall. Den som formellt ansvarar för utlämnandet gör därmed inte någon manuell aktivitet vid varje överföringstillfälle som kan jämställas med ett beslut om utlämnande och en sekretessprövning. Vid direktåtkomst är det i stället mottagaren som själv genom en manuell aktivitet och tekniska förutsättningar bereder sig åtkomst till uppgifter i den utlämnande verksamheten.
En grundläggande förutsättning för att direktåtkomst ska vara tillåten är att det finns en bestämmelse som bryter sekretessen eller tystnadsplikten för uppgifterna. Någon sådan bestämmelse mellan den privata utföraren och kommunens biståndshandläggare finns inte. Biståndshandläggaren får därför inte på eget initiativ genom direktåtkomst ta del av uppgifter som privata utförare av socialtjänst dokumenterar vid genomförandet av insatser.
Alternativa möjligheter – elektroniskt utlämnande på annat sätt
Även om direktåtkomst inte är tillåtet kan andra former av elektroniska utlämnanden vara möjliga. Det kan exempelvis handla om att lämna ut uppgifter på cd, usb eller genom en säker filöverföring. En förutsättning för ett sådant utlämnande är dock att den utlämnande verksamheten, t.ex. en privat utförare, antingen har individens samtycke eller vid en sekretessprövning kommer fram till att uppgifterna kan lämnas ut utan att den enskilde lider men.
Vid alla former av elektroniska utlämnanden måste de integritetsskyddande säkerhetskraven iakttas. Det kan, beroende på hur utlämnandet görs, exempelvis innebära krav på kryptering av uppgifterna och stark autentisering av mottagaren. För socialtjänstens
Bilaga 4
163
del framgår kraven på säkerhetsåtgärder av personuppgiftslagen och Datainspektionens praxis på området.
Bilaga 4 SOU 2014:23
164
Får socialtjänsten upprätta nationella kvalitetsregister för att utveckla kvaliteten i
socialtjänsten?
Nej. För socialtjänstens del saknas ett motsvarande regelverk om individbaserade
nationella register för kvalitetsuppföljning,
som finns för hälso- och sjukvården. En
kommun kan dock själv använda personuppgifter som finns i den egna verksamheten för att utveckla och säkra
verksamhetens kvalitet.
Bilaga 4
165
Kvalitetsutveckling inom socialtjänsten
Hälso- och sjukvården har genom ett särskilt regelverk i patientdatalagen möjligheter att upprätta individbaserade nationella register för utveckla och säkra vårdens kvalitet. Det innebär bland annat att uppgifter från flera vårdgivare i olika delar av landet kan registreras och hanteras i ett och samma register. Ansvaret för nationella kvalitetsregister ligger inte på en statlig myndighet, utan det är hälso- och sjukvården och dess egna myndigheter som har ansvaret. För varje nationellt kvalitetsregister är vanligtvis en landstingsstyrelse formellt ansvarig. Nationella kvalitetsregister är frivilligt både för vårdgivare och för patienter och omfattas av samma regelverk för sekretess och integritetsskydd som uppgifter i patientjournaler. Registren har en lång tradition och har funnits i omkring 40 år.
Motsvarande regelverk saknas i socialtjänsten
På socialtjänstens område finns inget motsvarande regelverk om individbaserad kvalitetsuppföljning på nationell nivå. Däremot finns vissa möjligheter för Socialstyrelsen att samla in uppgifter från kommunernas socialtjänstverksamheter.
Andra alternativ
Även om det saknas regler för nationell kvalitetsuppföljning kan en kommun använda de personuppgifter som finns i den egna verksamheten för att säkra och utveckla verksamhetens kvalitet. Det följer av lagen och förordningen om behandling av personuppgifter inom socialtjänsten.
Det finns heller inget hinder mot att kommuner sammanställer uppgifter om verksamhetens resultat och kvalitet och sedan jämför sig med andra kommuner. Sammanställningarna ska vara utformade på ett sådant sätt att enskilda individer inte kan identifieras. Om kommunerna kommit överens om vilka termer och begrepp som ska användas, hur kvaliteten i verksamheten ska mätas, vad som ska sammanställas och hur det ska göras m.m., kan en stor likhet med de nationella kvalitetsregistren uppnås utan att personuppgifter lämnar de enskilda kommunerna.
Bilaga 4 SOU 2014:23
166
I en kommun funderar man på att
organisera socialtjänsten i olika nämnder för att höja kvaliteten och servicen gentemot invånarna. Påverkar det möjligheterna till en ändamålsenlig
informationshantering?
Ja. Mellan olika nämnder i socialtjänsten
gäller sekretess. Det påverkar kommunens
möjligheter att hantera information i
socialtjänsten. Det gör t.ex. att de som
arbetar i verksamheter som leds av olika
nämnder inte kan ha direktåtkomst till
varandras information, oavsett om
individerna ofta är aktuella i båda
verksamheterna.
Bilaga 4
167
Sekretess mellan nämnder i socialtjänsten påverkar möjligheterna att utbyta information
Genom regler i offentlighets- och sekretesslagen uppstår sekretess runt olika myndigheter. I en kommunal nämndorganisation ses varje nämnd med underlydande förvaltning som en egen myndighet i sekretesshänseende. För en kommun som överväger att organisera socialtjänsten i olika nämnder, t.ex. efter geografisk uppdelning eller utifrån olika sakområden, är det nödvändigt att uppmärksamma att en sådan förändring gör att det uppstår sekretessgränser mellan nämnderna. För att en sekretessbelagd uppgift ska få lämnas ut från den ena nämnden till den andra krävs antingen att det finns en sekretessbrytande bestämmelse som tillåter det, att den enskilde samtycker eller att en sekretessprövning resulterar i att uppgifterna kan lämnas ut.
Om en uppgift får lämnas ut mellan verksamheter som leds av de olika nämnderna, t.ex. med stöd av den enskildes samtycke, kan utlämnandet göras på flera olika sätt. Det kan exempelvis göras muntligt, på papper eller genom elektroniskt utlämnande som t.ex. cd, usb eller filöverföring. Uppgifterna får dock inte lämnas ut genom direktåtkomst.
Direktåtkomst inte tillåten
Direktåtkomst är ett sätt att lämna ut uppgifter över sekretessgränser utan att det görs en sekretessprövning i varje enskilt fall. Den som formellt ansvarar för utlämnandet gör därmed inte någon manuell aktivitet vid varje överföringstillfälle som kan jämställas med ett beslut om utlämnande och en sekretessprövning. Vid direktåtkomst är det i stället mottagaren som själv direkt bereder sig åtkomst till uppgifter i den utlämnande verksamheten. För att det ska vara tillåtet att lämna ut uppgifter genom direktåtkomst krävs att det finns en sekretessbrytande bestämmelse som tillåter det. Någon sådan bestämmelse finns inte på socialtjänstens område. Inte heller den enskildes samtycke gör det tillåtet med direktåtkomst. Till skillnad från socialtjänsten finns det för kommunens hälso- och sjukvård sekretessbrytande bestämmelser som gör det möjligt att organisera sjukvården i flera nämnder utan att det uppstår sekretess mellan dem. Genom bestämmelser i patientdatalagen är direktåtkomst mellan nämnderna också tillåtet.
Bilaga 4 SOU 2014:23
168
7 Frågor om integrerade verksamheter mellan socialtjänst och hälso- och sjukvård
Avsnittet innehåller frågor och svar om hantering av personuppgifter i verksamheter som omfattas både av hälso- och sjukvårds- och socialtjänstlagstiftning.
För att besvara frågorna har vi i första hand använt
• lagen (2001:454) om behandling av personuppgifter inom socialtjänsten,
• Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården,
• Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2006:5) om dokumentation vid handläggning av ärenden och genomförande av insatser enligt SoL, LVU, LVM och LSS, och
• förarbetsuttalanden i prop. 2007/08:126.
Bilaga 4
169
Får uppgifter från socialtjänsten finnas
i patientjournalen?
Ja, om det är uppgifter som har betydelse för en
god och säker vård av
patienten.
Bilaga 4 SOU 2014:23
170
Socialtjänstuppgifter i patientjournalen
Patientjournalen är främst ett arbetsinstrument för den som ansvarar för patientens vård. Även någon som inte har träffat patienten tidigare ska kunna använda den för att bedöma vilka åtgärder som kan behöva vidtas och för att kunna ge patienten ett så bra omhändertagande som möjligt. En väl förd patientjournal har viktig för patientsäkerheten och ökar tryggheten för patienter, närstående och personal.
Patientjournalen ska innehålla de uppgifter som behövs för god och säker vård
En patientjournal ska innehålla de uppgifter som behövs för en god och säker vård av patienten. Det är t.ex. uppgift om patientens identitet, väsentliga uppgifter om bakgrunden till vården, uppgifter om ställda diagnoser, anledning till mer betydande åtgärder, väsentliga uppgifter om vidtagna och planerade åtgärder m.m. Journalen får också innehålla de uppgifter som behövs för den administration som sker i den patientinriktade verksamheten.
Uppgifter i patientjournalen kommer från olika källor – bl.a. socialtjänsten
De uppgifter som dokumenteras i en patientjournal kan komma från olika källor. Förutom det som personalen själv dokumenterar med anledning av vad som framkommer vid undersökning m.m. av patienten kan patienter, närstående och andra bidra med viktig information för att patienten ska få bästa möjliga vård och omhändertagande. Även sådant som dokumenterats inom ramen för socialtjänstens verksamhet kan ha stor betydelse i vården av patienter i hälso- och sjukvården och därmed dokumenteras i patientjournalen. Inte minst kan sådana basala uppgifter som att en äldre person bor på ett särskilt boende, är beviljad hemsjukvård och hemtjänst m.m. vara av vikt för den personal som t.ex. inom slutenvården möter patienten och ska ta initiativ till samordnad vårdplanering. Sådana uppgifter kan även vara tillgängliga för personal i primär- eller slutenvård i system för sammanhållen journalföring, om de dokumenterats i patientjournalen i den kommunala hälso- och sjukvården.
Bilaga 4
171
I integrerade verksamheter för personer med sammansatta behov av vård och omsorg är det ofta svårt att bedöma vad som är hälso- och sjukvård och vad som är socialtjänst. Det medför självklart även svårigheter vad gäller dokumentationen i dessa verksamheter. Det kan visa sig att uppgifter som är noterade i den sociala dokumentationen även är viktiga att ha tillgång till för att ge patienten bästa möjliga vård. I sådana fall finns det inget rättsligt hinder för personalen i den integrerade verksamheten att dokumentera dessa uppgifter även i patientjournalen. Det är mot bakgrund av kraven på patientjournalens innehåll snarare en skyldighet.
Bilaga 4 SOU 2014:23
172
Får socialtjänsten och hälso-
och sjukvården ha
direktåtkomst till varandras
dokumentation?
Nej, det finns i dagsläget inga
bestämmelser som medger
sådan direktåtkomst.
Bilaga 4
173
Direktåtkomst mellan hälso- och sjukvård och socialtjänst
I patientdatalagen är det uttömmande reglerat under vilka omständigheter direktåtkomst är tillåtet. Det är tillåtet mellan olika myndigheter som bedriver hälso- och sjukvård inom samma landsting eller kommun, det är tillåtet enligt reglerna om sammanhållen journalföring och det finns även regler som reglerar direktåtkomst i samband med nationella kvalitetsregister. Det finns också bestämmelser som gör det möjligt för vårdgivaren att medge direktåtkomst till patienten själv.
Bestämmelser om direktåtkomst saknas
I dagsläget saknas däremot bestämmelser som tillåter direktåtkomst mellan hälso- och sjukvård och socialtjänst. Det finns varken i hälso- och sjukvårdslagstiftningen eller i socialtjänstlagstiftningen.
Annat elektroniskt utlämnande möjligt
Även om direktåtkomst inte är tillåtet finns det möjligheter att på annat sätt lämna ut uppgifter elektroniskt mellan hälso- och sjukvården och socialtjänsten. Uppgifter, som med stöd av den enskildes samtycke eller efter en sekretessprövning, får lämnas ut kan också lämnas ut på medium för automatiserad behandling. Det innebär att uppgifter kan lämnas ut elektroniskt t.ex. på cd, usb eller genom filöverföring. Vid ett sådant elektroniskt utlämnande av känsliga uppgifter måste gällande säkerhetskrav iakttas. Det innebär bland annat att uppgifterna måste överföras på ett sådant sätt att inte obehöriga kan ta del av dem.
Samordnad vårdplanering i samband med att den som skrivs ut från slutenvården har behov av insatser från socialtjänsten, primärvården och den kommunala hälso- och sjukvården är ett exempel på en process där uppgifter kan lämnas ut elektroniskt på annat sätt än genom direktåtkomst.
Bilaga 4 SOU 2014:23
174
Får kommunens
biståndshandläggare logga in
och ta del av uppgifter i ett
patientjournalsystem?
Nej, det är bara de som arbetar hos en vårdgivare i hälso- och sjukvården som
får göra det.
Biståndshandläggaren
arbetar i socialtjänsten.
Bilaga 4
175
Biståndshandläggare och åtkomst till patientjournalen
Den som arbetar hos en vårdgivare får ta del av patientuppgifter om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete i hälso- och sjukvården. En biståndshandläggare kan inte anses arbeta hos en vårdgivare och behöva patientuppgifter för arbete inom hälso- och sjukvården. Eftersom biståndshandläggaren arbetar inom den kommunala socialtjänsten hamnar biståndshandläggaren utanför de personalkategorier som får logga in i ett journalsystem och ta del av uppgifter om enskilda patienter.
Utlämnande genom direktåtkomst är inte tillåtet
En annan fråga är om den kommunala hälso- och sjukvården genom direktåtkomst skulle kunna lämna ut uppgifter till exempelvis en biståndshandläggare i socialtjänsten. I patientdatalagen är det emellertid uttömmande reglerat under vilka omständigheter utlämnande genom direktåtkomst är tillåtet. Sådan direktåtkomst är tillåten mellan olika myndigheter som bedriver hälso- och sjukvård inom samma landsting eller kommun samt enligt reglerna om sammanhållen journalföring. Det finns även bestämmelser som reglerar direktåtkomst i samband med nationella kvalitetsregister och regler som gör det möjligt för en vårdgivare att lämna ut uppgifter till patienten själv genom direktåtkomst.
Det finns alltså inga bestämmelser som tillåter direktåtkomst mellan hälso- och sjukvård och socialtjänst.
Annat elektroniskt utlämnande kan vara tillåtet
Även om det inte är tillåtet med direktåtkomst mellan hälso- och sjukvård och socialtjänst kan det vara möjligt att på annat sätt elektroniskt lämna ut uppgifter mellan dessa verksamheter, d.v.s. genom utlämnande på medium för automatiserad behandling. Ett sådant utlämnande är bara tillåtet om sekretessen för uppgifterna bryts, t.ex. genom den enskildes samtycke eller genom menprövning. Om sekretessen inte hindrar ett utlämnande från hälso- och sjukvården till socialtjänsten kan utlämnandet således ske t.ex. genom filöverföring eller annat elektroniskt sätt. Vid sådana utlämnanden är det även nödvändigt att iaktta de krav på säkerhets-
Bilaga 4 SOU 2014:23
176
åtgärder som gäller när så känsliga personuppgifter hanteras elektroniskt mellan två aktörer.
Bilaga 4
177
Får kommunens hemsjukvård
och kommunens hemtjänst
dokumentera i samma
journal?
Nej, gemensam dokumentation för sjukvård och socialtjänst är inte tillåtet.
I kommunens hemsjukvård ska
patientjournal föras enligt patientdatalagen. I kommunens
hemtjänst ska insatserna dokumenteras i
enlighet med socialtjänstlagen och Socialstyrelsens föreskrifter på området.
Bilaga 4 SOU 2014:23
178
Olika dokumentationsregler och olika sekretessregler = gemensam dokumentation inte tillåten
För hemsjukvårdens del gäller patientdatalagen med bland annat krav på dokumentation i en patientjournal. Uppgifter i hemsjukvården omfattas av hälso- och sjukvårdssekretessen i offentlighets- och sekretesslagen samt av tystnadsplikt i patientsäkerhetslagen. Hur dokumentationen ska göras i hemtjänsten styrs av socialtjänstlagen, lagen om stöd och service till vissa funktionshindrade (LSS) och Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2006:5). För hemtjänstens del gäller även lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Uppgifter i hemtjänst omfattas av socialtjänstsekretess i offentlighets- och sekretesslagen samt av tystnadsplikt i socialtjänstlagen och LSS.
Ovanstående innebär bland annat att den kommunala hemsjukvården ska föra patientjournal, medan hemtjänsten ska föra en social journal. I de regelverk som styr dokumentationen i hälso- och sjukvården respektive socialtjänsten finns inga bestämmelser som gör det möjligt med en gemensam dokumentation. Även bestämmelser om sekretess och tystnadsplikt hindrar en sådan gränsöverskridande dokumentation.
Direktåtkomst mellan sjukvård och socialtjänst inte möjlig
Ett alternativ till gemensam dokumentation är att hemsjukvården och hemtjänsten skulle ha direktåtkomst till varandras dokumentation. Regler som tillåter direktåtkomst mellan sjukvård och socialtjänst finns dock inte i dag.
Alternativa möjligheter – elektroniskt utlämnande på annat sätt
Även om direktåtkomst inte är tillåtet kan andra former av elektroniska utlämnanden vara möjliga, t.ex. att lämna ut uppgifter på cd, usb eller genom en säker filöverföring. En förutsättning för ett sådant utlämnande är att den utlämnande verksamheten, t.ex. den som bedriver hemsjukvård, antingen har individens samtycke eller vid en sekretessprövning kommer fram till att uppgifterna kan lämnas ut till den som bedriver hemtjänst utan att den enskilde lider men. Vid elektroniskt utlämnande måste integritetsskyddande
Bilaga 4
179
säkerhetskrav iakttas, vilket kan innebära krav på kryptering av uppgifterna och stark autentisering av mottagaren.
Utredning pågår
Utredningen om rätt information i vård och omsorg överväger förslag för en mer ändamålsenlig och samman-hållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Utredningens huvudbetänkande ska överlämnas den 30 april 2014.
Bilaga 4 SOU 2014:23
180
Får den som jobbar på ett särskilt boende och inte är legitimerad hälso-
och sjukvårdspersonal ta del av uppgifter som har dokumenterats i
primärvården eller slutenvården?
Ja, den som arbetar hos en vårdgivare får ta del av uppgifter om man deltar i
vården av patienten eller behöver
uppgifterna för att kunna utföra sitt arbete. Frågan om legitimation är inte
avgörande, utan det är vårdgivaren som bestämmer hur arbetet ska läggas upp.
Bilaga 4
181
Personal på särskilda boenden och patientjournalen
Personal som arbetar på särskilda boenden arbetar både inom hälso- och sjukvården och inom omsorgen. I den utsträckning en medarbetare som inte är legitimerad, exempelvis en undersköterska, deltar i vården av patienter får medarbetaren ta del av de uppgifter som behövs för att kunna utföra sitt arbete.
Av patientdatalagen följer att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
Legitimation inte avgörande – vårdgivaren organiserar arbetet
Skyldigheten att föra patientjournal gäller främst den som har legitimation eller ett särskilt förordnande att utöva ett visst yrke inom hälso- och sjukvården eller tandvården. I vissa fall måste även icke-legitimerad personal föra patientjournaler, exempelvis personal inom hälso- och sjukvården som biträder en legitimerad yrkesutövare. Vårdgivaren ska ha rutiner för journalföring som ser till att sådana uppgifter som behövs för en god och säker vård dokumenteras i patientjournalen och att de yrkesutövare som behöver uppgifterna får tillgång till dem. Den som deltar i vården av en patient kan behöva ta del av och dokumentera uppgifter som har betydelse för patientens fortsatta vård och behandling, även om den anställde inte är journalföringspliktig enligt lag.
Det innebär i ett särskilt boende att det är vårdgivaren som bestämmer vilka utöver legitimerad personal som ska skriva i och ha tillgång till journalen. När det gäller personalens tillgång till uppgifter behöver vårdgivaren bestämma vilka medarbetare som har behov av att kunna läsa uppgifter som är dokumenterade i den egna verksamheten och vilka som har behov av att läsa uppgifter hos andra vårdgivare, t.ex. i primär- eller slutenvården. Det finns därmed inga rättsliga hinder för en undersköterska att ta del av andra vårdgivares uppgifter exempelvis i NPÖ eller andra system för sammanhållen journalföring. Det kan däremot finnas praktiska hinder, som t.ex. att undersköterskan inte är upplagd i HSA-katalogen och saknar SITHS-kort.
Bilaga 4 SOU 2014:23
182
Reglerna om åtkomst till uppgifter i sammanhållen journalföring ska självklart tillämpas oavsett vilken medarbetare som ska ta del av uppgifter.
Bilaga 4
183
Vad är skillnaden mellan
samordnad vårdplanering
och sammanhållen
journalföring?
Samordnad vårdplanering innefattar ett
utbyte av information i samband med utskrivning från slutenvården. Det kräver
patientens samtycke och kan göras elektroniskt till de aktuella mottagarna.
Men det får inte göras genom sådan
direktåtkomst som kännetecknar
sammanhållen journalföring.
Bilaga 4 SOU 2014:23
184
Skillnad mellan sammanhållen journalföring och samordnad vårdplanering
Samordnad vårdplanering ska genomföras för patienter som efter att ha vårdats inom den slutna vården bedöms ha ett behov av fortsatt vård och stöd av primärvård samt kommunens hälso- och sjukvård och socialtjänst. Den samordnade vårdplaneringen genomförs med stöd av individens samtycke och ofta med delaktighet från anhöriga. Syftet med planeringen är att ta fram en vårdplan som beskriver vilka insatser som behövs efter utskrivningen från den slutna vården för att en hälso- och sjukvård och socialtjänst av god kvalitet ska uppnås. Det ska även framgå vilken aktör som ansvarar för vad. I samband med vårdplaneringen behöver de inblandade aktörerna utbyta information om individen för att kunna ta fram en vårdplan som tillgodoser individens behov av fortsatt vård och omsorg. Informationsutbytet kan göras på flera olika sätt. I dag är det vanligast med ett elektroniskt utlämnande av uppgifterna. Ett sådant utlämnande kännetecknas bl.a. av att det är den som lämnar ut uppgifter som avgör vilka uppgifter som ska lämnas ut, till vem de ska ske och när. Ytterligare en omständighet är att den som tar emot uppgifterna ska ta emot dem, förvara dem och i övrigt hantera dem i enlighet med de regler som gäller för mottagarens verksamhet.
Sammanhållen journalföring
Sammanhållen journalföring innebär en möjlighet för olika vårdgivare i hälso- och sjukvården att utbyta information genom direktåtkomst i konkreta situationer där en patient är i behov av vård. Till skillnad från ett vanligt elektroniskt utlämnande innebär direktåtkomsten bl.a. att den som är i behov av information själv kan bereda sig åtkomst till andra vårdgivares uppgifter utan att begära ut dem. Många gånger innebär sammanhållen journalföring endast att mottagaren tar del av informationen utan att sedan på annat sätt hantera den vidare i sin egen verksamhet. Det informationsutbytet är särskilt reglerat i patientdatalagen och omfattar inte socialtjänsten.
Bilaga 4
185
Några skillnader mellan samordad vårdplanering och sammanhållen journalföring
Vid en jämförelse blir det tydligt att samordnad vårdplanering och sammanhållen journalföring är två skilda företeelser där syftena och sättet för informationsutbyte skiljer sig åt. Ytterligare en skillnad är att den samordnade vårdplaneringen inkluderar socialtjänsten medan sammanhållen journalföring är ett sätt att utbyta information endast mellan vårdgivare i hälso- och sjukvården. Det är nödvändigt för hälso- och sjukvården och socialtjänsten att vara medvetna om dessa skillnader för att kunna utforma ändamålsenliga IT-stöd som lever upp till regelverkens krav på informationshantering.
Bilaga 4 SOU 2014:23
186
8 Frågor om nationella eller regionala kvalitetsregister i hälso- och sjukvården
Avsnittet innehåller frågor och svar om nationella kvalitetsregister.
För att besvara frågorna har vi i första hand använt
• förarbetsuttalanden i prop. 2007/08:126.
Bilaga 4
187
Måste patienten ge sitt samtycke till medverkan i nationella kvalitetsregister?
Nej, men patienten ska ha fått information och har rätt
att motsätta sig att delta i
registret.
Bilaga 4 SOU 2014:23
188
Betydelse av patientens inställning till registrering i kvalitetsregister
Vid registrering i ett nationellt eller regionalt kvalitetsregister i hälso- och sjukvården ska den enskilde få information om vad registreringen innebär och en möjlighet att motsätta sig denna.
Inget krav på samtycke, men patienten har rätt att motsätta sig
Det krävs alltså inget sådant uttryckligt samtycke som avses i personuppgiftslagen för personuppgiftsbehandling i nationella eller regionala kvalitetsregister. I stället ges den enskilde en möjlighet att motsätta sig registreringen. Det innebär i praktiken att ett tyst samtycke gäller för personuppgiftsbehandling i ett kvalitetsregister. Precis som vid hantering av vårddokumentation i system för sammanhållen journalföring gäller därutöver regler om inre sekretess, behörighetsstyrning, åtkomstkontroll etc. även när vårdgivare hanterar personuppgifter i nationella kvalitetsregister.
Vårdgivarens informationsplikt
För att patienten ska bli medveten om rätten att motsätta sig en medverkan i ett nationellt kvalitetsregister krävs att vårdgivaren informerar patienten om detta och tillhandahåller den information som i övrig ska ges enligt patientdatalagen. Det är den vårdgivare som vill inkludera en patients uppgifter i ett kvalitetsregister som ska fullgöra informationsplikten. Informationen ska som huvudregel lämnas innan uppgifter om patienten registreras.
Det finns inget krav på att patienten måste ha tagit del av informationen om ett kvalitetsregister, men vårdgivaren ska ha gjort patienten medveten om att informationen finns och var den finns tillgänglig samt om att registrering görs för det fall patienten inte motsätter sig.
Bilaga 4
189
Måste vårdgivaren försäkra
sig om att patienten läser information om nationella
kvalitetsregister?
Nej, men vårdgivaren måste ha säkra rutiner för att se till
att informationen når ut till
alla berörda och går att
förstå.
Bilaga 4 SOU 2014:23
190
Information till patienten
Från integritetssynpunkt är det viktigt att patienten tillhandahålls utförlig information om den hantering av personuppgifter som registrering i ett nationellt kvalitetsregister innebär. Informationen behövs för att patienten ska bli medveten om rätten att motsätta sig medverkan och i övrigt kunna ta tillvara sina rättigheter. Det är den vårdgivare som vill inkludera en patients uppgifter i ett kvalitetsregister som ska fullgöra informationsplikten. Informationen ska som huvudregel lämnas innan uppgifter om patienten registreras.
Det finns inget krav på att informationen till patienten ska lämnas på ett särskilt sätt, t.ex. skriftligt. Det har överlämnats till varje vårdgivare att bestämma hur informationen ska ges. Informationen ska dock vara utformad på ett sätt som kan förstås av patienten och som uppfyller kraven på innehåll enligt patientdatalagen.
Inte heller finns det krav på att patienten måste ha tagit del av informationen om ett kvalitetsregister, men vårdgivaren ska ha gjort patienten medveten om att informationen finns och var den finns tillgänglig samt om att registrering görs för det fall patienten inte motsätter sig. Det är sedan upp till den enskilde patienten att själva avgöra om informationen ska läsas eller inte. Om patienten haft en möjlighet att ta del av fullständig information och därefter inte motsatt sig medverkan i registret genom att meddela vårdgivaren det, får vårdgivaren inkludera patientens uppgifter i kvalitetsregistret.
Behov av säkra och verksamhetsanpassade rutiner
Det är därför nödvändigt att ha säkra rutiner både för att information faktiskt tillhandahålls och att den uppfyller patientdatalagens krav på innehåll. Vårdgivaren behöver därför tillhandahålla informationen på ett sådant sätt att den kommer samtliga patienter som registreras i ett kvalitetsregister till del. Det är i allmänhet inte tillräckligt att vårdgivaren endast informerar på internet eller genom broschyr eller annat anslag i väntrum, OM inte detta kompletteras med någon form av hänvisning till patienten att ta del av informationen.
Bilaga 4
191
Eftersom hänsyn ska tas till den enskilde patientens möjligheter att tillgodogöra sig informationen kan vårdgivaren även behöva olika informationsrutiner för olika situationer. Tillvägagångssättet för att informera patienter kan även skilja sig åt mellan olika typer av verksamheter hos en vårdgivare, bland annat beroende på hur många kvalitetsregister som är relevanta i olika verksamheter. Vårdgivare kan därför behöva utforma rutiner som är anpassade efter förutsättningarna i respektive verksamhet.
Bilaga 4 SOU 2014:23
192
Vem har ansvaret för
nationella kvalitetsregister?
För varje nationellt kvalitetsregister finns
en myndighet som har det centrala ansvaret för inrapporterade uppgifter.
Det är vanligtvis en landstingsstyrelse
eller motsvarande. Sedan är varje vårdgivare ansvarig för sin hantering av
uppgifter i samband med registrering
m.m.
Bilaga 4
193
Myndighet med centralt ansvar
För varje nationellt kvalitetsregister finns en myndighet som har det centrala ansvaret för inrapporterade uppgifter. Enligt 7 kap. 7 § patientdatalagen får endast myndigheter inom hälso- och sjukvården vara personuppgiftsansvarig för central behandling av personuppgifter i ett nationell eller regionalt kvalitetsregister. Det är vanligtvis en landstingsstyrelse eller motsvarande som formellt har detta centrala ansvar.
I det centrala ansvaret ligger bland annat ett ansvar för den övergripande säkerheten kring kvalitetsregistret och för att felaktiga uppgifter rättas. Uppgifter i kvalitetsregister ska enligt lagstiftningen skyddas på ett flertal olika sätt. Generellt gäller exempelvis samma krav på sekretess och säkerhet för uppgifter i kvalitetsregister som för uppgifter i patientjournaler.
Varje vårdgivare ansvarar för sin hantering i samband med registrering m.m.
Den vårdgivare som registrerar uppgifter i ett kvalitetsregister är dock själv ansvarig för sin egen hantering av uppgifterna i samband med att de registreras eller i ett senare skede används för lokal kvalitetssäkring. Det innebär bl.a. ett ansvar för att patienterna informerats på ett korrekt sätt, att det är rätt uppgifter som registreras, att uppgifterna används på rätt sätt, att behörigheten för åtkomst till registret är anpassad efter personalens behov m.m.
Bilaga 4 SOU 2014:23
194
Får patienten själv registrera uppgifter i
ett nationellt kvalitetsregister?
Ja, det kan ske efter vårdgivarens
anvisningar. En vårdgivare kan bestämma att patienten själv kan
fylla i vissa uppgifter och tillhandahålla formerna för detta,
t.ex. elektroniska formulär.
Bilaga 4
195
Patientens registrering av uppgifter
Den vårdgivare som registrerar uppgifter i ett kvalitetsregister ansvarar för ett ändamålsenligt insamlande av uppgifterna. Om vårdgivaren anser att uppgifter som patienten bidrar med är av värde för ändamålet med kvalitetsregistret kan denne bestämma om detta och hur det ska gå till.
Vårdgivaren bestämmer och tillhandahåller möjligheter
Att patienter med hjälp av den tekniska utvecklingen elektroniskt kan bidra med uppgifter till ett kvalitetsregister innebär inte att patienten har någon ovillkorlig rätt att på eget initiativ registrera uppgifter i ett kvalitetsregister. Men vårdgivaren kan i sina rutiner för att inhämta den information som behövs för kvalitetsutvecklingen av vården tillhandahålla definierade möjligheter för patienten att bidra med viktig information.
På samma sätt som att en vårdgivare kan be en patient fylla i en pappersenkät som sedan manuellt registreras i ett kvalitetsregister, kan en patient tillhandahållas ett elektroniskt formulär som efter vårdgivarens anvisning kan fyllas i av patienten och elektroniskt överföras till kvalitetsregistret.
Vidare är det, både ur ett kvalitets- och ur ett integritetsperspektiv, viktigt att de elektroniska formulären som patienter ska fylla i utformas på ett sådant sätt att det så långt möjligt endast är de efterfrågade uppgifterna som kan registreras.
Krav på säkerhetsåtgärder
En allt större del av den elektroniska kommunikationen mellan vårdgivare och patienter går i dag via internet. Av den anledningen är det nödvändigt att vårdgivare som tillhandahåller dessa möjligheter även ser till att vidta de säkerhetsåtgärder som krävs, t.ex. för att skydda uppgifterna från obehörig åtkomst.
Även med hänsyn till behovet av tillförlitliga uppgifter och hög datakvalitet kan vårdgivare behöva vidta lämpliga åtgärder. Det kan exempelvis handla om att säkerställa att det verkligen är den avsedda patienten som bidrar med information till kvalitetsregistret.
Bilaga 4 SOU 2014:23
196
Hur skyddas personuppgifter i
nationella kvalitetsregister?
Den för registret ansvariga myndigheten
ansvarar för att uppgifter hanteras och förvaras så att obehöriga inte kan komma
åt dem. Det gäller samma sekretess och
regler för behörighetsstyrning och åtkomstkontroll för kvalitetsregister som
för uppgifter i patientjournalen.
Bilaga 4
197
Uppgifter skyddas på flera sätt
Uppgifter i kvalitetsregister ska enligt lagstiftningen skyddas på ett flertal olika sätt. Generellt gäller exempelvis samma krav på sekretess och säkerhet för uppgifter i kvalitetsregister som för uppgifter i patientjournaler.
Sekretess för uppgifterna
Utlämnande av uppgifter från ett kvalitetsregister får exempelvis göras med stöd av den enskildes samtycke. I övrigt får det endast göras om det står klart att den enskilde eller någon denne närstående inte lider men av utlämnandet. I annat fall får uppgifter endast lämnas ut i avidentifierad form.
När det gäller sammanställning av uppgifter som ska presenteras öppet, t.ex. för att informera allmänheten om kvaliteten i hälso- och sjukvården, måste det göras på ett sådant sätt att individernas identitet inte röjs.
Skydd mot intrång och krav på stark autentisering
Säkerhetskraven innebär också att den myndighet som är centralt ansvarig för registret har att skydda uppgifter i registret från intrång och att se till att utlämnande av uppgifter görs på ett säkert sätt. Det senare innebär t.ex. att personal hos en vårdgivare ska logga in med SITHS-kort eller annan lösning för stark autentisering för att över internet ta del av inrapporterade uppgifter på individnivå.
Behörighetsstyrning och åtkomstkontroll
När det gäller vilken personal hos såväl inrapporterande vårdgivare som inom den centrala myndigheten som ska ha tillgång till personuppgifter i ett kvalitetsregister gäller patientdatalagens allmänna bestämmelser om inre sekretess och tilldelning av behörighet för elektronisk åtkomst till personuppgifter. Av dessa bestämmelser följer att endast den som behöver tillgång till personuppgifter i ett nationellt eller regionalt kvalitetsregister för att utföra arbete för ändamål för vilka registren är tillåtna, får ha åtkomst till
Bilaga 4 SOU 2014:23
198
sådana uppgifter. Det innebär att det vanligtvis endast är ett fåtal personer hos den centralt ansvariga myndigheten som har tillgång till identifierbara uppgifter. Vårdgivaren ska ha rutiner för tilldelning av behörighet för åtkomst och för åtkomstkontroll.
Bilaga 4
199
Vem får ha direktåtkomst
till uppgifter i att
nationellt kvalitetsregister?
Den som arbetar hos en vårdgivare och
som behöver uppgifter i ett nationellt kvalitetsregister för sitt arbete med t.ex. kvalitetssäkring får ha direktåtkomst till de uppgifter vårdgivaren rapporterat in.
Bilaga 4 SOU 2014:23
200
Direktåtkomst till inrapporterade uppgifter
En vårdgivare får, enligt 7 kap. 9 § patientdatalagen, ha direktåtkomst till de personuppgifter som vårdgivaren rapporterat till ett nationellt eller regionalt kvalitetsregister. Direktåtkomsten till ett nationellt kvalitetsregister får bara användas för sådana ändamål för vilka registren är tillåtna.
Vilka medarbetare får ha direktåtkomst?
När det gäller vilka medarbetare hos en vårdgivare som får ta del av inrapporterade personuppgifter genom direktåtkomst gäller patientdatalagens allmänna regler om inre sekretess, behörighetsstyrning och åtkomstkontroll. Det innebär att den som arbetar hos en vårdgivare och som behöver uppgifter i ett nationellt kvalitetsregister för sitt arbete inom hälso- och sjukvården får ha direktåtkomst till de uppgifter vårdgivaren rapporterat in.
Vad får medarbetaren använda direktåtkomsten till?
Direktåtkomsten får bara användas för sådana ändamål för vilka kvalitetsregistren är tillåtna. I detta fall innebär det i praktiken att direktåtkomsten får användas för att säkra och utveckla vårdens kvalitet, framställa statistik och lämna ut uppgifter i enlighet med lag eller förordning. Det går inte att uttömmande ange i vilka situationer det är tillåtet för en medarbetare att ha direktåtkomst till uppgifter, men några konkreta exempel är:
a) för att registrera uppgifter i ett kvalitetsregister,
b) för att kontrollera och validera registrerade uppgifter, t.ex. jäm-
föra med patientjournal,
c) för att arbeta med vårdgivarens kvalitetssäkringsarbete, t.ex.
göra sammanställningar och beräkningar som ger underlag för att kunna följa upp och jämföra medicinsk och annan kvalitet,
d) för att framställa statistik, t.ex. för att informera allmänheten
om vårdgivarens kvalitet och resultat
e) för att kunna administrera ett lagligt utlämnande av uppgifter,
m.m.
Bilaga 4
201
Ovanstående gäller endast direktåtkomst till själva personuppgifterna. Tillgång till rena statistiska uppgifter som registret genererar och som presenteras utan att de registrerades identitet röjs, är en annan sak. Sådana uppgifter kan i regel tillhandahållas öppet och exempelvis publiceras för att informera allmänheten om verksamhetens kvalitet och resultat.
Bilaga 4 SOU 2014:23
202
Krävs etikprövning för
forskning på uppgifter i
nationella kvalitetsregister?
Ja. Det är tillåtet att använda uppgifter
i kvalitetsregister för forskning, men det innebär i sig inget undantag från kravet på etikprövning. All forskning
på känsliga personuppgifter ska
etikprövas.
Bilaga 4
203
Forskning tillåtet som sekundärt ändamål
Det är enligt patientdatalagen tillåtet att använda personuppgifter som behandlas inom hälso- och sjukvården för forskningsändamål. När det gäller nationella eller regionala kvalitetsregister framgår av 7 kap. 5 § patientdatalagen att uppgifter som samlats in i ett kvalitetsregister för kvalitetssäkringsändamål också får användas för forskning inom hälso- och sjukvården. För att det ska vara tillåtet krävs dock ett etikgodkännande och i förekommande fall att uppgifterna kan lämnas ut utan hinder av sekretess.
Krav på etikgodkännande
Det förhållande att det är tillåtet att behandla uppgifterna för forskningsändamål innebär inte att det görs något undantag från lagen (2003:460) om etikprövning av forskning som avser människor och den lagens krav på etikprövning. För forskning på känsliga personuppgifter krävs alltid ett godkännande från en etikprövningsnämnd, oavsett om uppgifterna finns i en patientjournal, i ett nationellt kvalitetsregister eller i någon annan uppgiftssamling i hälso- och sjukvården.
Sekretessprövning och utlämnande av uppgifter
Att ett forskningsprojekt blivit godkänt av en etikprövningsnämnd innebär att forskningen får bedrivas under de förutsättningar som beskrivits i etikansökan och enligt vad som i övrigt framgår av etikprövningsnämndens beslut. Ett etikgodkännande har dock ingen sekretessbrytande effekt, vilket innebär att en vårdgivare som har att lämna ut uppgifter för forskning alltid måste bedöma om uppgifterna kan lämnas ut med hänsyn till bestämmelser om sekretess och tystnadsplikt. Om den aktuella forskningsverksamheten ska bedrivas av en självständig verksamhetsgren inom myndigheten, av en annan myndighet eller av en enskild eller ett enskilt organ, krävs därför att en sekretessprövning resulterar i att uppgifterna kan lämnas ut till forskningsverksamheten.
Bilaga 4 SOU 2014:23
204
9 Frågor om informationssäkerhet
Avsnittet innehåller frågor och svar om krav på informationssäkerhet i hälso- och sjukvården och socialtjänsten
För att besvara frågorna har vi i första hand använt
• Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården, och
• praxis från Datainspektionen.
Bilaga 4
205
Vad är stark autentisering?
Det är ett sätt att elektroniskt kontrollera
en individs identitet. Kontrollen ska ske
genom två faktorer, t.ex. något som individen känner till (sitt lösenord) och
något som individen har (en e-
legitimation).
Bilaga 4 SOU 2014:23
206
Stark autentisering
Stark autentisering är ett begrepp som används för att beskriva ett sätt att elektroniskt kontrollera en individs identitet, exempelvis i samband med att individen tar del av uppgifter över internet.
Stark autentisering kännetecknas av att identiteten kontrolleras på minst två olika sätt. Det kan exempelvis ske genom
något som användaren känner till (t.ex. sitt lösenord)
något som användaren har (t.ex. smart kort, engångskod)
användaren själv (t.ex. fingeravtryck, avläsning av iris).
E-legitimation som ett exempel
En etablerad metod för autentisering är att använda en e-legitimation. Det är i dagsläget ett certifikat som man antingen sparar på sin dator (certifikat på fil), på ett smartkort eller i en mobiltelefon. Med hjälp av certifikatet och det tillhörande lösenordet skapas förutsättningar för stark autentisering. Denna metod används exempelvis i hälso- och sjukvården, där SITHS-kort är en lösning för stark autentisering av personal.
I egenskap av privatperson finns också behov av att i olika sammanhang använda lösningar för stark autentisering, t.ex. vid kontakt med banker, Skatteverket eller Försäkringskassan. Även när enskilda kontaktar hälso- och sjukvården elektroniskt, t.ex. för att ta del av uppgifter i Mina vårdkontakter, behöver den enskildes identitet kontrolleras med en metod för stark autentisering.
Stark autentisering bidrar till att säkerställa att ingen obehörig kan ta del av känslig information.
Bilaga 4
207
Vad är behörighet och
behörighetsstyrning?
Behörighet är den faktiska möjlighet till
åtkomst till uppgifter i ett IT-system som
en användare har. Behörighetsstyrning är
de organisatoriska, administrativa och
tekniska åtgärder som vidtas för att anpassa och begränsa behörigheten efter
användarens behov av uppgifter för att
kunna utföra sitt arbete.
Bilaga 4 SOU 2014:23
208
Behörighet för åtkomst och behörighetsstyrning
Behörighet för åtkomst är en användares faktiska möjlighet att ta del av uppgifter exempelvis i ett journalsystem i hälso- och sjukvården eller socialtjänsten. Behörighetsstyrning är de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete.
Krav på behörighetsstyrning
I verksamheter som hanterar en stor mängd mycket integritetskänsliga uppgifter, som t.ex. socialtjänsten och hälso- och sjukvården, ställs stora krav på en ändamålsenlig behörighetsstyrning. För hälso- och sjukvårdens del finns uttryckliga krav i patientdatalagen och i Socialstyrelsens föreskrifter SOSFS 2008:14. Där regleras bland annat att vårdgivare ska göra en individuell behörighetstilldelning utifrån varje användares behov att kunna utföra sina arbetsuppgifter och ge en god och säker vård. För socialtjänstens del gäller motsvarande krav på behörighetsstyrning utifrån användarnas behov av uppgifter för att kunna utföra sitt arbete i socialtjänsten. Kraven finns inte uttryckligt angivna i författningsbestämmelser, utan har sin grund i personuppgiftslagens säkerhetsbestämmelser och Datainspektionens praxis på området.
Vid behörighetsstyrning är det svårt att vid varje givet tillfälle uppnå ett exakt förhållande mellan en användares behov och användarens behörighet för åtkomst, men ambitionen måste vara att komma så nära som möjligt. En del av utmaningen ligger i att det i vissa verksamheter är svårt att förutse vilka individer som en användare kommer att möta i sitt yrke. I vissa delar av hälso- och sjukvården är den osäkerheten ett naturligt inslag som måste vägas in i styrningen av behörigheterna. Det är viktigt att behörigheten är anpassad till de tänkbara behov som finns, så att inte kvaliteten och säkerheten i vården av patienterna riskeras. Dessa svårigheter utgör dock inget skäl för att låta bli att göra de begräsningar av behörigheterna som är motiverade. Sådana uppgifter som en användare inte alls har något behov av ska inte heller ska vara tekniskt åtkomliga för användaren, d.v.s. inte ligga inom användarens behörighet. Vid en väl fungerande behörighetsstyrning ska behörigheten inte heller endast vara begränsad till vissa individer i systemet utan också till
Bilaga 4
209
vilka uppgifter om vilka individer. Vid behörighetsstyrning måste hänsyn därför tas till medarbetarnas arbetsuppgifter och verksamhetens karaktär. Det finns exempelvis i regel behov av en vidare behörighet för en läkare verksam i akutsjukvård än en barnmorska på en kvinnoklinik. Ett annat exempel är att administrativ personal i en verksamhet kanske inte behöver en behörighet som omfattar samtliga uppgifter om individer som hanteras i andra verksamheter.
Bilaga 4 SOU 2014:23
210
Talar behörigheten om
vad en användare får
ta del av i ett enskilt
fall?
Nej, generellt anger behörigheten endast
vad användaren kan ta del av, inte vad användaren får ta del av. Vad användaren
får ta del av styrs av arbetsuppgifterna och
behovet i det enskilda fallet. Den som kan ta del av uppgifter om en individ men som
inte har behov att göra det, får alltså inte
ta del av uppgifterna.
Bilaga 4
211
Skillnad mellan vad användaren kan göra och vad användaren får göra
Det är inte endast användarens behörighet för åtkomst till uppgifter som avgör vad som är tillåtet och inte tillåtet i enskilda fall. Behörigheten anger generellt endast vad användaren kan göra, d.v.s. vilka tekniska möjligheter användaren har att ta del av uppgifter. För att en användare ska få ta del av uppgifter krävs dessutom att han eller hon har behov av de aktuella uppgifterna för att kunna utföra sina arbetsuppgifter. Naturligtvis krävs även att uppgifterna ska användas för ett syfte som är lagligt. Den som kan ta del av uppgifter om en individ men som inte har behov av att göra det, får oavsett behörigheten inte ta del av uppgifterna.
Ju vidare användarens behörighet är, desto större kan utrymmet sägas bli mellan vad användaren kan göra och vad denne får göra. En sådan situation ställer även stora krav på olika former av integritetsskyddande åtgärder som verkar både preventivt och reaktivt. Det handlar exempelvis om kontinuerlig information till användarna om vilka förväntningar ledningen har på hur uppgifterna ska användas i verksamheten, om vad som är tillåtet och inte, systematiska och fortlöpande kontroller av användarnas åtkomst till uppgifter, information till användarna om de åtkomstkontroller som genomförs m.m. Andra åtgärder kan vara att bygga in integritetsskyddande funktioner i IT-systemen som dels gör det lätt för användarna att göra rätt, dels vid behov uppmärksammar användarna på behovet av motiverade ställningstaganden för att ta del av information. En annan sak som kan motverka otillåten åtkomst är att lämna ut information om den åtkomst som förekommit till individerna själva, exempelvis patienter i sjukvården och individer i socialtjänsten.
Frågor som rör informationshantering bör ha en naturlig plats i ledningens strategier för kunskapsstyrning. Riktlinjer för hantering av uppgifter behöver utformas tillsammans med dem som arbetar i verksamheterna. Övergripande riktlinjer på ledningsnivå kan behöva konkretiseras i respektive verksamhet.
För hälso- och sjukvårdens del uttrycks den tillåtna åtkomsten till stor del i bestämmelsen om inre sekretess (4 kap. 1 § patientdatalagen) som reglerar att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete i hälso- och sjukvården. I socialtjänsten gäller mot-
Bilaga 4 SOU 2014:23
212
svarande princip, även om den inte är uttryckt i lag på samma sätt, d.v.s. att endast den som behöver uppgifterna för sitt arbete i socialtjänsten får ta del av dem.
Bilaga 4
213
Får en yrkesutövare skicka mejl
till sin patient, t.ex. med journalkopior eller svara på
patientens frågor om sin sjukdom? Patienten vill det!
I praktiken, nej. Det är svårt att uppfylla
gällande säkerhetskrav när så känslig information mejlas. Vid vanlig e-post kan
yrkesutövaren inte vara säker på att det är
patienten som är mottagare av informationen. Det spelar ingen roll att patienten ändå vill att uppgifterna mejlas. Patienten kan inte samtycka till en osäker
överföring av patientuppgifterna.
Bilaga 4 SOU 2014:23
214
Mejla till sin patient
När känsliga uppgifter, t.ex. om en persons hälsa, kommuniceras över internet eller annat öppet nät är det viktigt att skydda uppgifterna så att obehöriga inte kan komma åt dem. Det ställs krav både på att uppgifterna skyddas vid överföringen och att endast den avsedda mottagaren kan ta del av uppgifterna.
Ingen obehörig ska kunna ta del av uppgifterna
För hälso- och sjukvårdens del regleras kraven i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring. Av föreskrifterna följer bl.a. att vårdgivare som använder öppna nät (t.ex. internet) för att hantera patientuppgifter ansvarar för att det finns rutiner som säkerställer att överföring av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna.
Dessa krav är svåra att uppfylla vid e-postkommunikation mellan hälso- och sjukvårdspersonal och patienter. När ett epostmeddelande skickas mellan olika e-postservrar över ett öppet nät passerar det andra servrar på vägen. Om informationen i epostmeddelandet är okrypterad eller på annat sätt oskyddad finns det inget som hindrar att kopior av informationen sparas undan vid var och en av dessa servrar. Det finns heller inga möjligheter att utan särskilda åtgärder säkerställa att adressaten verkligen är den tänkta mottagaren.
Slutsatsen är att hälso- och sjukvården endast får skicka e-post med känsliga uppgifter till patienter om det görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna. I praktiken är e-post därför inte lämpligt för kommunikation mellan hälso- och sjukvården och patienterna. Vissa möjligheter till undantag finns för påminnelser och kallelser som skickas till patienter (2 kap. 5 § SOSFS 2008:14).
Även om patienten vill att känsliga uppgifter skickas via e-post utan att säkerhetskraven är uppfyllda, får hälso- och sjukvården inte göra det. Säkerhetskraven är skyddsregler som individen själv inte kan samtycka bort.
Bilaga 4
215
Andra alternativ
I stället för e-post har hälso- och sjukvården bland annat utvecklat funktioner för kommunikation genom Mina vårdkontakter. Där kan en patient, efter att ha loggat in med stark autentisering, ta del av uppgifter och kommunicera med hälso- och sjukvården. Motsvarande lösningar finns exempelvis även vid kontakter med Försäkringskassa eller kommunala myndigheter.
Bilaga 4 SOU 2014:23
216
Får personalen mejla klienten –
t.ex. för att skicka information om beviljande bistånd enligt LSS
eller SOL eller begära in
kompletterande information i ett
sådant ärende?
I praktiken, nej. Det är svårt att uppfylla
gällande säkerhetskrav när så känslig information mejlas. Vid vanlig e-post kan
socialtjänsten inte vara säker på att det är
den enskilde som är mottagare av informationen. Det spelar ingen roll att klienten vill att uppgifterna ska mejlas. Han
eller hon kan inte samtycka till en osäker
överföring av personuppgifterna.
Bilaga 4
217
Mejla till den enskilde
De uppgifter som hanteras inom ramen för socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade är integritetskänsliga och rör ofta enskildas hälsa, vilka är att betrakta som känsliga personuppgifter i personuppgiftslagens mening. Uppgifterna omfattas även av bestämmelser om sekretess och tystnadsplikt. När så känsliga uppgifter kommuniceras över internet eller annat öppet nät är det nödvändigt att skydda uppgifterna så att obehöriga inte kan komma åt dem. Det ställs krav både på att uppgifterna skyddas vid överföringen och att endast den avsedda mottagaren kan ta del av uppgifterna.
Säkerhetskrav
Genom Datainspektionens praxis har det slagits fast att känsliga personuppgifter och personuppgifter som av andra skäl är särskilt integritetskänsliga endast får lämnas ut via öppna nät till användare vars identitet är säkerställd med stark autentisering, t.ex. e-legitimation eller motsvarande. Uppgifterna ska också krypteras vid överföringen.
Svårigheter att uppfylla kraven vid e-post
Dessa krav är svåra att uppfylla vid e-postkommunikation mellan socialtjänsten och enskilda individer. När ett e-postmeddelande skickas mellan olika e-postservrar över ett öppet nät passerar det andra servrar på vägen. Om informationen i e-postmeddelandet är okrypterad eller på annat sätt oskyddad finns det inget som hindrar att kopior av informationen sparas undan vid var och en av dessa servrar. Det finns heller inga möjligheter att utan särskilda åtgärder säkerställa att adressaten verkligen är den tänkta mottagaren.
Slutsatsen är att socialtjänsten endast får skicka e-post med känsliga uppgifter till enskilda om det görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna. I praktiken är e-post därför inte lämpligt för kommunikation mellan socialtjänsten och den enskilde. Även om den enskilde vill att känsliga uppgifter skickas via e-post utan att säkerhetskraven är uppfyllda, får socialtjänsten inte göra det. Säkerhetskraven är skyddsregler som individen själv inte kan samtycka bort.
Bilaga 4 SOU 2014:23
218
10 Systematiskt kvalitetsarbete – att följa upp och förbättra resultatet för patienterna
Promemorians syfte och avgränsning
Frågan om det är tillåtet för hälso- och sjukvårdspersonal att del av uppgifter för att följa upp utfallet för en patient man vårdat har debatterats under de senaste åren. Röster har höjts för att lagstiftningen borde ändras och det har spridits en osäkerhet och otrygghet hos personalen om vad som egentligen gäller. Vår uppfattning är att osäkerheten till stor del bottnar i en okunskap om lagstiftningens möjligheter och i en avsaknad av aktiv rättstillämpning från vårdgivarnas sida. Syftet med denna promemoria är därför att belysa de legala förutsättningarna för att ta del av och använda patientuppgifter som ett led i vårdgivares arbete med att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten.
Promemorian tar endast sikte på vad som gäller för att ta del av patientuppgifter inom en och samma vårdgivares verksamhet. För utbyte av information över vårdgivargränser i syfte att säkra och utveckla kvaliteten i verksamheten gäller andra förutsättningar än vad som anges i denna promemoria. I promemorian berörs inte heller frågor om nationella eller regionala kvalitetsregister. Med en vårdgivares verksamhet avses exempelvis den hälso- och sjukvårdsverksamhet som ett landsting eller en kommun själv bedriver i egen regi eller som en privat vårdgivare bedriver.
Bilaga 4
219
Vårdgivarens ansvar för kvaliteten
Vårdgivaren ska enligt hälso- och sjukvårdslagstiftningen planera, leda och kontrollera verksamheten på ett sätt som leder till att kravet på god vård i upprätthålls. Det innebär att vårdgivaren har det yttersta ansvaret för att en god och säker vård bedrivs i verksamheten. Vårdgivarens ansvar för kvaliteten innefattar bl.a. ett ansvar för hur personuppgifter ska hanteras och ett ansvar för personalens kompetens.
Vårdgivaren är skyldig att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. I Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete finns bestämmelser om hur detta kvalitetsarbete ska bedrivas. Tanken är att vårdgivaren med hjälp av processer och rutiner samt ett systematiskt förbättringsarbete ska uppnå kvalitet i verksamheten. Det systematiska förbättringsarbetet ska bestå av riskanalys, egenkontroll och hantering av avvikelser.
Vårdgivare fullgör således sitt ansvar för att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten genom en antal olika aktiviteter, som alla tillsammans bidrar till en övergripande systematik och en struktur för ledning av kvalitetsarbetet. Att ta del av patientuppgifter för att säkra och följa upp vårdens resultat är endast en av många saker som görs inom ramen för det systematiska kvalitetsarbetet.
Hälso- och sjukvårdspersonalens ansvar för kvaliteten
Enligt hälso- och sjukvårdslagstiftningen har den som tillhör hälso- och sjukvårdspersonalen ett personligt yrkesansvar och ska bland annat bidra till att hög patientsäkerhet upprätthålls. Hälso- och sjukvårdspersonalen ska utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet. Patienten ska ges sakkunnig och omsorgsfull hälso- och sjukvård som uppfyller dessa krav. Vården ska så långt som möjligt utformas och genomföras i samråd med patienten. Patienten ska visas omtanke och respekt.
Det innebär ett ständigt lärande att arbeta inom hälso- och sjukvården. Hälso- och sjukvårdspersonalen behöver kontinuerligt få återkoppling på sina egna och andras bedömningar och insatser för att bli bättre yrkesutövare och på så sätt öka säkerheten och kvaliteten i vården. För att utveckla sin kliniska förmåga kan det vara
Bilaga 4 SOU 2014:23
220
nödvändigt att följa upp hur det gick för patienten. Utan att veta vad man gör och vilket resultat det medför för patienterna är det inte möjligt att bedriva ett systematiskt kvalitetsarbete. En sådan uppföljning är också ett sätt att visa omtanke och respekt för patienten.
Ett sätt att arbeta med kvalitet är att följa upp de bedömningar och insatser som görs, för att på sådant sätt få underlag för att initiera förbättringsarbeten m.m. Att personal som deltagit i vården av en patient följer upp sina egna bedömningar och insatser är därför många gånger en naturlig utgångspunkt för ett systematiskt och fortlöpande kvalitetsarbete. Ur ett medborgarperspektiv har patienter och närstående även rätt att förutsätta att läkare, sjuksköterskor, sjukgymnaster, barnmorskor och tandläkare med flera vet vilka resultat de är med och skapar för sina patienter.
Lagstiftningen ger möjligheter till kvalitetssäkring och kvalitetsutveckling
Av patientdatalagen följer bland annat att uppgifter om patienter får användas för att ”systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten” (2 kap. 4 § punken 4 PDL). Detta syfte knyter an till vårdgivarens grundläggande skyldighet enligt hälso- och sjukvårdslagen att vara aktiv inom detta område.
Den som arbetar hos en vårdgivare får ta del av uppgifter om en patient antingen om man deltar i vården av patienten eller om man av ”annat skäl behöver uppgifterna för sitt arbete” (4 kap. 1 § PDL). Ett exempel på ett sådant annat skäl är just att personal kan behöva ta del av uppgifter för sitt arbete med att kvalitetssäkra sina insatser och bedömningar m.m.
Detta innebär att det på en generell nivå är tillåtet för personal att ta del av patientuppgifter för att följa upp, säkra och utveckla kvaliteten i verksamheten. I lagen anges dock inte närmare hur detta ska gå till. Patientdatalagen är i detta avseende, precis som annan lagstiftning på hälso- och sjukvårdens område, en ramlag. Tanken bakom valet av denna lagstiftningsteknik är att det är svårt för lagstiftaren att detaljreglera en sådan komplex verksamhet som hälso- och sjukvården. Därför måste lagarna fyllas ut av föreskrifter och vägledning på myndighetsnivå. Men även sådana riktlinjer är ofta inte tillräckligt verksamhetsnära för att ge bra vägledning. Lagstiftningen måste också få ett konkret innehåll genom en aktiv
Bilaga 4
221
tillämpning av de som ska använda lagstiftningen, det vill säga vårdgivare och hälso- och sjukvårdspersonal. Ett exempel på ett sådant område är just kvalitetssäkring och kvalitetsutveckling.
Här finns ett behov av en aktiv tillämpning som resulterar i verksamhetsnära riktlinjer för hur respektive vårdgivare vill arbeta med att säkra och utveckla kvaliteten i verksamheten.
Behov av riktlinjer för det systematiska kvalitetsarbetet
Patientdatalagen gör det möjligt för vårdgivare att använda patientuppgifter för att följa upp, säkra och utveckla kvaliteten i verksamheten. Det är dock inte i detalj reglerat hur det ska göras, vilken personal som ska göra det eller vilka uppgifter som behöver användas. Här förlitar sig lagstiftaren på kompetensen som finns hos hälso- och sjukvårdens aktörer. Det är där kunskapen finns om hur man på bästa sätt mäter, följer och utvecklar kvaliteten i verksamhetens olika delar. I vårdgivarens ansvar för att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten ligger alltså även ett ansvar för att närmare avgöra hur det ska gå till, samt vilka uppgifter om vilka patienter som behöver användas och hur kunskap ska återföras till verksamheten.
Att använda patientuppgifter inom ramen för vårdgivarens systematiska kvalitetsarbete kan ske på en många olika sätt. Det kan handla såväl om att de enskilda yrkesutövarna kontinuerligt följer upp resultaten av sina bedömningar och åtgärder som att vårdgivaren initierar särskilt inriktade kvalitetsarbeten med fokus på avgränsade delar av verksamheten t.ex. en viss process eller en viss intervention.
I den allmänna debatten hörs ibland att enskilda yrkesutövares uppföljning av enstaka patienter inte skulle vara ett sådant systematiskt kvalitetsarbete som lagstiftaren angett i hälso- och sjukvårdslagen och patientdatalagen. Utredningens uppfattning är dock att sådana åtgärder mycket väl kan utgöra en del av vårdgivarens arbete med att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten. Sådan kvalitetssäkring som sker när den som deltagit i vården av patienten följer upp resultatet av sina bedömningar och åtgärder blir tillsammans med övriga yrkesutövares motsvarande uppföljningar av patienter ett omfattande och ständigt pågående kvalitetsarbete.
Bilaga 4 SOU 2014:23
222
Genom att formulera närmare riktlinjer för hur kvalitetsarbetet ska gå till uppnås även en tydlig systematik. Systematiken handlar i detta fall bland annat om att avgöra vad som ska följas upp, när det ska göras, hur det ska göras, vem som ska göra det, vilka uppgifter som är relevanta för uppföljningen samt hur erfarenheterna ska återföras. Om exempelvis en vårdgivares akutläkare har som rutin att efter en bedömning av blindtarm följa upp detta när patienten flyttats för vidare vård och behandling på avdelning uppnås en systematik. Om respektive akutläkare även noterar de variationer som tydliggörs vid uppföljningen och vårdgivaren sedan tillhandahåller möjligheter för gemensam återföring till verksamheten uppnås en ännu tydligare struktur för ett ständigt förbättringsarbete för ökad kvalitet.
Lagstiftaren hindrar inte den anestesiläkare som vill ta del av information om patienten för att ta reda på om bedömningen läkaren gjorde kring en narkos föll väl ut eller om resultatet för patienten blev sämre än förväntat. Det finns inte heller rättsliga hinder för ortopeden som opererade ett barns benbrott att – oavsett om det är en annan läkare som träffar barnet vid det kommande återbesöket – ta del av röntgenbilderna med mera från återbesöket för att kvalitetssäkra sin insats vid operationen. Tvärtom kräver lagstiftaren att det bedrivs ett kvalitetsarbete av detta slag i verksamheten, d.v.s. ett arbete som på något sätt tydliggör vilka resultat som skapas för patienterna.
Det är därmed inte regelverket som hindrar akutläkare, kirurger, ortopeder, sjukgymnaster, sjuksköterskor, tandläkare med flera från att följa upp sina bedömningar och åtgärder. Det som hindrar och skapar osäkerhet är att det saknas tydliga riktlinjer från vårdgivaren som beskriver att detta kan vara en del av vårdgivarens arbete med att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. Utan sådana riktlinjer riskerar enskilda yrkesutövares ansträngningar att följa upp hur det går för patienterna även att bedömas som otillåtna.
Riktlinjerna bör vara verksamhetsnära
Rutiner och riktlinjer för kvalitetsarbetet behöver utformas nära och tillsammans med professionsföreträdare för respektive verksamhet. Det går säkert att ha en övergripande riktlinje på vårdgivarnivå som generellt beskriver hur man arbetar med kvalitetssäkring,
Bilaga 4
223
men sannolikt behöver den sedan konkretiseras i respektive verksamhet. Åtminstone om vi ser framför oss en effektiv uppföljning med förutsättningar för jämförelser och bredare slutsatser.
Systematiken, det vill säga när uppföljning ska ske och vilka uppgifter som behövs, kan skilja sig åt beroende på verksamhetens karaktär, till exempel akutsjukvård, anestesi- och intensivvård jämfört med psykiatri, reumatologi och så vidare. Den kan också skilja sig åt beroende på enskilda yrkesutövares kompetens och erfarenhet. På samma sätt kan formerna för återföring av erfarenheter och kunskap variera. Den gemensamma faktorn är dock alltid behovet av att följa upp och säkra kvaliteten.
Riktlinjerna ska inte beskriva vad personalen får göra, utan vad vårdgivaren förväntar sig att personalen ska göra. Det bör med andra ord inte vara upp till enskilda medarbetare att själv avgöra om hon eller han ska arbeta med kvalitetssäkring. Det berättigade intresset från patienter, närstående, kollegor och ledning är att kvaliteten i verksamheten ständigt följs upp och utvecklas.
Juristens roll som stöd i riktlinjearbetet
Frågor om vad som är angeläget att följa upp, när det bör göras och vilka patientuppgifter som behöver hanteras för att i olika verksamheter säkra och följa upp resultatet för patienterna, är inte i första hand frågor som ska avgöras av jurister. Det är i stället ett uppdrag för de som har kompetens i frågor om hur kvaliteten i verksamheten säkras och hur resultatet för patienterna förbättras, det vill säga vårdprofessionerna och personer med särskild kunskap i frågor om kvalitetsutveckling och förbättringsarbete.
En jurist bör däremot vara delaktig i processen och vara ett konkret stöd i arbetet med att finna lösningar för hur kvalitetsarbetet rent praktiskt får gå till. I sin roll bör juristen även granska riktlinjerna så att de bland annat ger uttryck för
1. en systematik för hur kvalitetsarbetet ska gå till,
2. hur kunskap ska föras tillbaka till verksamheten,
3. vilken typ av uppgifter som ska hanteras, samt
4. vilka personalkategorier som omfattas.
Bilaga 4 SOU 2014:23
224
IT-systemen bör utvecklas
För att arbetet med att följa upp, säkra och utveckla verksamhetens kvalitet ska bli så effektiv och ändamålsenlig som möjligt, samtidigt som patienternas behov av integritetsskydd tillgodoses, behöver sannolikt även IT-systemen i hälso- och sjukvården utvecklas. Det bör exempelvis i större utsträckning än i dag vara möjligt för personal att ta del av de uppgifter om patienterna som behövs för kvalitetssäkringen utan att samtidigt bli exponerad för information som inte är relevant i sammanhanget.
Genom att ta fram verksamhetsnära riktlinjer som så långt som möjligt ger vägledning kring vad som ska följas upp och hur det ska gå till borde förutsättningarna att utveckla ändamålsenliga funktioner i IT-systemen bli bättre.
Dra lärdom av nationella kvalitetsregister
Mycket av den systematik som saknas i kvalitetsarbetet på den verksamhetsnära nivån finns redan på en nationell och regional nivå genom de nationella kvalitetsregistren.
I de registren har hälso- och sjukvården tagit ställning till vad som ska mätas, vilka uppgifter som behövs för att göra det, hur det ska göras, vilka mätpunkter och uppföljningsintervall som ska gälla, vilka patientrapporterade utfallsmått som ska användas och vilken personal som ska ha tillgång till uppgifterna etc.
Till skillnad från verksamhetens journalsystem, som kan innehålla information som inte har relevans för personalens behov vid kvalitetssäkringen, har även systemstöd för respektive register byggts upp. Det gör det möjligt för personalen att endast ta del av det som behövs i det enskilda fallet. Förutom att det möjliggör en mer effektiv och kvalitetssäkrad uppföljning är det självklart även positivt för patienterna ur ett integritetsperspektiv.
Frågan om kvalitetssäkring över vårdgivargränser utreds
Som nämns i promemorians inledning gäller andra förutsättningar för kvalitetssäkring över vårdgivargränser. Det är exempelvis inte tillåtet att genom direktåtkomst till en annan vårdgivares journalsystem eller motsvarande ta del av patientuppgifter för att säkra och utveckla kvaliteten i den egna verksamheten. Inte heller är det
Bilaga 4
225
tillåtet för vårdgivare att ha direktåtkomst till uppgifter som en annan vårdgivare registrerat i nationella kvalitetsregister, även om patienten varit föremål för vård hos båda vårdgivarna.
Detta innebär bland annat att vårdens organisation exempelvis i frågor om antal vårdgivare, nivå av specialisering och mått av patientrörlighet, har stor betydelse för möjligheterna att använda patientuppgifter för att kvalitetssäkra vården och patienternas processer. Dagens regelverk medför att landsting eller kommuner som har få privata vårdgivare i sitt offentligfinansierade system ges bättre förutsättningar att säkra och utveckla kvaliteten i verksamheten än vad landsting och kommuner med en större mångfald av aktörer ges.
Dessa och andra frågor relaterade till informationshantering i hälso- och sjukvården utreds för närvarande av Utredningen om rätt information i vård och omsorg. Utredningens huvuduppdrag är att öka förutsättningarna för en mer ändamålsenlig och sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Utredningens huvudbetänkande ska överlämnas den 30 april 2014.
Bilaga 4 SOU 2014:23
226
11 Att ta del av patientuppgifter i system för sammanhållen journalföring
Promemorians syfte och avgränsning
Syftet med promemorian är att belysa förutsättningarna för vårdgivare att ta del av patientuppgifter som andra vårdgivare har gjort tillgängliga i system för sammanhållen journalföring. Det handlar om sådant informationsutbyte mellan vårdgivare som görs med direktåtkomst enligt regelverket i 6 kap. patientdatalagen (2008:355).
Inom den offentliga hälso- och sjukvården som kommuner och landsting själva driver är det den juridiska personen landstinget eller kommunen som är vårdgivare enligt patientdatalagen. Privata företag som bedriver hälso- och sjukvård med privat eller offentlig finansiering är däremot självständiga vårdgivare. Även sådana bolag, föreningar och stiftelser där kommuner och landsting utövar ett rättsligt bestämmande inflytande (äger mer än 50 %) är egna juridiska personer och utgör därför självständiga vårdgivare.
Promemorian tar enbart sikte på att redogöra för de förutsättningar som gäller för att en vårdgivare i en konkret situation ska få ta del av uppgifter som gjorts tillgängliga genom sammanhållen journalföring (skede 2). Villkoren för att i ett första skede få göra uppgifter tillgängliga i systemet berörs endast översiktligt (skede 1).
Bilaga 4
227
Vad är sammanhållen journalföring?
Sammanhållen journalföring innebär att olika vårdgivare, privata som offentliga, kommun- som landstingsfinansierade och helt privata, kan dela med sig av sin vårddokumentation till varandra genom direktåtkomst.
Lagstiftaren har delat in sammanhållen journalföring i två olika skeden. Det första handlar om att vårdgivare lämnar ut uppgifter så att de blir potentiellt tillgängliga för andra vårdgivare i systemet för sammanhållen journalföring (skede 1). Det andra skedet handlar om att vårdgivare, i konkreta situationer när patienten är i behov av vård, tar del av de aktuella uppgifterna (skede 2).
I stället för att som tidigare, på ett mer tidskrävande och ibland osäkert sätt, begära att journalkopior lämnas ut från en vårdgivare till en annan, kan vårdgivarna hålla vårddokumentation ständigt åtkomlig för varandra så att den som är behörig och som behöver informationen i samband med vård kan ta del av den. Informationsutbytet görs genom så kallad direktåtkomst, där den som har behov av informationen själv kan ta del av den utan att först göra en formell begäran hos den som dokumenterat uppgifterna. Det kan exempelvis handla om att behörig personal på ett landstingsdrivet sjukhus själv kan ta del av patientuppgifter som dokumenterats på en privat driven vårdcentral, utan att först kontakta den vårdgivare som driver vårdcentralen och be att få journalkopior.
Innan vårddokumentation görs tillgänglig (skede 1) för andra vårdgivare i system för sammanhållen journalföring ska patienten enligt 6 kap. 2 § patientdatalagen få information om vad den sammanhållna journalföringen innebär och om rätten att motsätta sig att uppgifterna blir åtkomliga på det sättet. Om patienten motsätter sig får uppgifterna inte göras tillgängliga i systemet för sammanhållen journalföring.
Det är endast vårddokumentation som får delas mellan vårdgivare i sammanhållen journalföring. Med vårddokumentation avses dels de uppgifter som behövs för att fullgöra de skyldigheter som anges i 3 kap. patientdatalagen och annan dokumentation som behövs i och för vården av patienter (journalföringen), dels den administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall.
I ett system för sammanhållen journalföring behöver vårdgivare inte dela all vårddokumentation om alla patienter, utan det är upp
Bilaga 4 SOU 2014:23
228
till de samverkande vårdgivarna att avgöra vilka uppgiftsmängder systemet ska innehålla.
Vilka villkor gäller för att få ta del av uppgifter genom sammanhållen journalföring?
För att en vårdgivare ska få använda uppgifter som en annan vårdgivare gjort åtkomlig i systemet för sammanhållen journalföring måste uppgifterna röra en patient som vårdgivaren har en aktuell
patientrelation med. Uppgifterna ska även antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten
eller för att utfärda intyg om vården. Vidare måste även patienten samtycka till att uppgifterna används hos vårdgivaren. Dessa förutsättningar regleras i dag av 6 kap. 3 § patientdatalagen och berörs närmare nedan.
Samtliga bestämmelser om tillåtna ändamål och tillåten behandling vänder sig till vårdgivaren.
1. Det ska röra en patient som vårdgivaren har en aktuell patientrelation med
Det är vårdgivaren som ska ha en aktuell relation med patienten för att få ta del av hans eller hennes uppgifter. Bestämmelsen handlar alltså inte om vilka yrkesutövare hos vårdgivaren som får ta del av uppgifter utan anger endast under vilka förutsättningar vårdgivaren som sådan får använda direktåtkomsten till systemet för sammanhållen journalföring. Vårdgivaren får alltså bara ta del av uppgifter från andra vårdgivare om det handlar om patienter som också vårdas eller behandlas inom den egna verksamheten.
En patientrelation kan uppstå på en mängd olika sätt, exempelvis genom att patienten kommer på ett planerat besök eller kommer till en vårdinrättning och söker vård. Patientrelationen kan även uppstå t.ex. när patienten remitteras till vårdgivaren, bokar ett besök, vårdas inneliggande på en avdelning, beviljas hemsjukvård, flyttar in på särskilt boende eller genom att patienten kommunicerar med vårdgivaren elektroniskt m.m. Patientrelationen behöver inte uppstå genom ett fysiskt möte med personal hos en vårdgivare. Exempelvis måste den vårdgivare som tar emot en elektronisk remiss från en annan vårdgivare anses ha en aktuell patientrelation
Bilaga 4
229
med den patient som omfattas av remissen. Endast det faktum att en person listat sig på en vårdcentral innebär emellertid inte att det ständigt finns en aktuell patientrelation för vårdgivaren. Beträffande patienter som ofta och på regelbundet återkommande och planerade besök träffar t.ex. sin vårdcentralsläkare kan dock patientrelationen anses ha en pågående aktualitet.
Kravet riktar sig alltså inte till de enskilda yrkesutövarna. Det förhållande att en vårdgivare har en aktuell patientrelation med en patient har ingenting att göra med vilken personal som har rätt att ta del av uppgifter om patienten. Den senare frågan styrs, precis som vid åtkomst av uppgifter i den egna verksamheten, framför allt av personalens behov i förhållande till deras arbetsuppgifter och deltagande i vården och behandlingen av patienten.
Precis på samma sätt som en patientrelation kan uppstå på många olika sätt kan relationen även avslutas flera sätt. Om en person som vårdats inneliggande på sjukhus skrivs ut utan att det finns behov av några återbesök, efterkontroller eller liknande bör patientrelationen inte längre betraktas som aktuell. På motsvarande sätt upphör den aktuella patientrelationen när en person inte längre är i behov av hemsjukvård eller andra sjukvårdsinsatser i den kommunala hälso- och sjukvården.
Tekniska funktioner för att bekräfta den aktuella patientrelationen
Det kan i viss utsträckning vara möjligt att bygga in integritetsskyddande och behörighetsbegränsande funktioner i IT-systemen som gör att vårdgivarens relation med patienten kan kontrolleras automatiskt. Ett sätt att göra det kan vara att ta fram tekniska funktioner som gör att en vårdgivare inte når uppgifter om en patient i ett system för sammanhållen journalföring om inte patienten redan är registrerad hos vårdgivaren, d.v.s. har en patientjournal upprättad i vårdgivarens verksamhet. Vid en slagning mot systemet för sammanhållen journalföring kan därmed en kontroll göras mot vårdgivarens eget vårddokumentationssystem för att verifiera att patienten är aktuell i verksamheten. En sådan funktion kan exempelvis bidra till att en kommunal vårdgivare inte har teknisk möjlighet att ta del av uppgifter om andra patienter än de som är föremål för kommunens hälso- och sjukvård, t.ex. i särskilda boende eller i hemsjukvården. Genom sådana tekniska funktioner minskas risken för obehörig åtkomst samtidigt som systemet gör det lättare för
Bilaga 4 SOU 2014:23
230
yrkesutövarna att göra rätt. Inom ramen för utvecklingen av den Nationella Patientöversikten, NPÖ, har exempelvis en liknande funktion kallad ”tillgänglig patient”, TGP, framtagits. Såvitt utredningen förstår syftar den tekniska funktionen, TGP, till att begränsa urvalet av patienter som vårdpersonalen över huvud taget kan ta del av i NPÖ till att motsvara de patienter som redan finns registrerade i verksamheten.
2. Uppgifterna ska antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten
Förutom att vårdgivaren ska ha en aktuell patientrelation med patienten ska uppgifterna även kunna antas ha betydelse för vården av patienten eller för att utfärda intyg.
Bestämmelsen bör ses som ett uttryck för att direktåtkomsten till andra vårdgivares uppgifter inte får användas för andra syften än vård och behandling eller intygsutfärdande, d.v.s. som en grundläggande bestämmelse om tillåtna ändamål för personuppgiftsbehandlingen. Det innebär att det bara är tillåtet för vårdgivaren att använda uppgifterna för de uppräknade ändamålen. Det är den som behöver uppgifterna i sitt möte med patienten som bedömer om uppgifterna behövs för att ge vård i det enskilda fallet eller om de behövs för att utfärda ett intyg om vården, d.v.s. tar ställning till om ändamålen är uppfyllda.
Om man läser bestämmelsen i 6 kap. 3 § patientdatalagen ordagrant är det vårdgivaren som ska bedöma om uppgifterna behövs i vården av patienten. I praktiken är det sällan möjligt för en vårdgivare som sådan att ta ställning till om uppgifterna kan antas ha betydelse för vård i det enskilda fallet. Lagstiftaren har sannolikt avsett att det är hälso- och sjukvårdspersonalen eller andra som arbetar åt en vårdgivare som ska göra denna bedömning. Det är den som ska utföra vården som kan bedöma om uppgifterna behövs.
3. Patienten ska samtycka till att uppgifterna används hos vårdgivaren
För att vårdgivaren ska få ta del av uppgifter i systemet för sammanhållen journalföring måste det som ett tredje villkor också finnas ett samtycke från patienten. Genom samtycket ger patienten
Bilaga 4
231
sitt godkännande till vårdgivaren att ta del av den relevanta informationen genom direktåtkomst.
Det ska vara fråga om ett aktivt samtycke från patienten sida. För att vara giltigt ska det även vara frivilligt, särskilt och otvetydigt. Kravet på att det ska vara frivilligt ger uttryck för att patienten ska ha ett fritt val. Att samtycket ska vara särskilt innebär att det inte får vara för generellt eller oprecist. Patienten ska kunna förstå vad samtycket handlar om och omfattar. Kravet på att samtycket ska vara otvetydigt innebär att det inte får råda någon tvekan om att patienten verkligen godtar informationsinhämtningen.
Ett sådant samtycke kan lämnas på många olika sätt och vid flera olika typer av situationer. Samtycket kan exempelvis lämnas inför en kontakt med en vårdgivare, d.v.s. på förhand, eller i den stund patienten har fysisk eller elektronisk kontakt med vårdgivaren och dess personal. I samband med att en patient remitteras till en annan vårdgivare kan det till exempel vara smidigt att inhämta patientens samtycke till att remissmottagaren får ta del av vårdgivarens uppgifter om patienten redan då remissen skrivs. Samtycket följer då med remissen och den som tar emot remissen kan förbereda sig för att ta emot patienten genom att ta del av de uppgifter i systemet för sammanhållen journalföring som behövs.
Hur länge ett samtycke gäller är beroende av den aktuella situationen. Bedömningen av hur lång tid samtycket ska gälla blir olika beroende på om det gäller ett enstaka besök på en mottagning eller en längre vårdprocess under ett visst sjukdomsförlopp. Om det går att förklara för patienten hur vårdperioden och den planerade vården ser ut och vad samtycket omfattar kan det vara rimligt att hämta in ett samtycke för t.ex. en episod av hemsjukvård eller en vistelse på ett särskilt boende. För den enskilde patienten ska det vara tydligt vad samtycket omfattar och hur länge det gäller. Det är då också viktigt att patienten vet att hon eller han kan dra tillbaka samtycket.
Även när det gäller kravet på samtycke är det viktigt att understryka att ett samtycke till åtkomst av uppgifter i system för sammanhållen journalföring primärt ska rikta sig till vårdgivaren som sådan – inte till enskilda yrkesutövare. Det är vårdgivarens arbetsledning och organisatoriska förutsättningar samt patientens hälsoproblem som i det enskilda fallet avgör vilken hälso- och sjukvårdspersonal som har ett behov av att ta del av uppgifter i systemet för sammanhållen journalföring.
Bilaga 4 SOU 2014:23
232
Den eller de yrkesutövare som i dessa situationer är inblandade i patientens vård och behandling behöver därmed i första hand kontrollera om patienten har lämnat ett samtycke. Om det inte finns blir det hans eller hennes uppgift att be patienten om ett samtycke för vårdgivaren att ta del av journaluppgifter hos en annan vårdgivare.
Behov av IT-stöd för samtyckeshantering
Praktiskt innebär detta bl.a. att vårdgivare behöver ta fram riktlinjer för verksamhetens samtyckeshantering. Riktlinjerna bör bland annat ge personalen stöd i hur de ska agera i frågor som rör inhämtande av samtycke, registrering av samtycke, kontroll av samtycke, samtyckets omfattning m.m.
Vidare kan hälso- och sjukvårdspersonal behöva en informationskälla för patienternas samtycken. Det kan utgöras av ett IT-stöd där personal får reda på om samtycke finns, hur länge det sträcker sig m.m. Genom IT-stödet bör det även vara möjligt för personal att vid behov inhämta och registrera samtycke för vårdgivarens räkning. Förutom att det gynnar integritetsskyddet och minskar administrationen behöver inte patienten få frågan om samtycke fler gånger än vad som är motiverat.
Även när samtycke inhämtas i förväg, exempelvis när en remittent inhämtar samtycke å remissmottagande vårdgivares räkning, finns behov av att i ett IT-stöd tydliggöra om samtycke finns eller inte.
Personer med tillfälligt nedsatt beslutsförmåga – t.ex. medvetslösa
I patientdatalagen finns särskilda bestämmelser som tar sikte på vad som ska gälla om en person tillfälligt saknar möjlighet att lämna samtycke enligt ovan. Den bristande förmågan kan exempelvis bero på att individen är medvetslös, alkohol- eller narkotikapåverkade eller i någon form av chock.
I en sådan situation när samtycke inte kan inhämtas får vårdgivare använda sin direktåtkomst till systemet för sammanhållen journalföring om det föreligger fara för patientens liv eller allvarlig risk för dennes hälsa samt att det kan antas att uppgifterna har
Bilaga 4
233
betydelse för den vård eller behandling som omgående måste sättas in. Det handlar således om mer akuta nödsituationer. Åtkomsten ska ske i två steg där vårdgivaren i ett första steg tar del av uppgift om vilken eller vilka vårdgivare som har gjort uppgifter om patienten tillgängliga i systemet och sedan med ledning av det i ett andra steg bedömer vilka av dessa uppgifter som kan antas ha betydelse för den vård som patienten omgående behöver.
Personer med inte endast tillfälligt nedsatt beslutsförmåga
Kravet på samtycke medför att informationsutbyte rörande vuxna personer som inte endast tillfälligt har nedsatt beslutsförmåga inte kan göras genom sammanhållen journalföring, med mindre än att en legal ställföreträdare kan lämna samtycke i patienten ställe. I praktiken saknas dock den typen av ställföreträdare som kan anses ha i sitt uppdrag att agera i den enskildes ställe på hälso- och sjukvårdsområdet.
En konsekvens av dagens reglering är bland annat att den som saknar förmåga att ta ställning till informationshanteringen i sammanhållen journalföring ställs utanför de möjligheter till ett mer patientsäkert och effektivt informationsutbyte som lagstiftaren tillhandahåller alla andra medborgare. Personer som av olika skäl inte endast tillfälligt har nedsatt beslutsförmåga riskerar därför att få vård på osäkrare villkor och av lägre kvalitet än andra. Utredningen om rätt information i vård och omsorg har i delbetänkandet Rätt information – kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45) föreslagit förändrad lagstiftning så att sammanhållen journalföring ska vara tillåtet även i samband med vård av personer som av olika anledningar och över tid har nedsatt beslutsförmåga. Utredningens förslag bereds för närvarande i regeringskansliet.
Bilaga 4 SOU 2014:23
234
12 Studerandens möjligheter att ta del av och använda patientuppgifter
Promemorians syfte och avgränsning
Studeranden i hälso- och sjukvården kan ha behov av att använda patientuppgifter i olika situationer och för olika syften. Det kan exempelvis handla om att ta del av uppgifter för att kunna ge en god och säker vård av en patient som den studerande möter. På motsvarande sätt kan en studerande ha behov av att ta del av uppgifter för att i efterhand kvalitetssäkra sina bedömningar och åtgärder i konkreta patientmöten. Men det kan även handla om att ta del av patientuppgifter för ren utbildning som inte har något med den studerandes deltagande i vården av en patient att göra. Syftet med denna promemoria är att belysa de legala förutsättningarna för studeranden att använda patientuppgifter.
De olika situationerna kan grovt delas upp i sådana som föranleds av att en studerande utför arbetsuppgifter som kan jämställas med det som övriga yrkesutövare hos en vårdgivare utför och sådana som uteslutande föranleds av den studerandes behov av utbildning. I den första situationen omfattas den studerande av samma möjligheter och krav som gäller för övriga yrkesutövare, men när uppgifter ska användas för rena utbildningssyften får studeranden t.ex. inte logga in i journalsystemet och ta del av uppgifterna.
Nedan redogörs för vad som gäller dels när studeranden tar del av uppgifter som ett led i arbetet hos en vårdgivare, dels när uppgifter ska användas för rena utbildningssyften.
Bilaga 4
235
Grundläggande bestämmelser för alla som arbetar hos en vårdgivare
Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården (4 kap. 1 § patientdatalagen). Vilka sådana andra skäl som är tillåtna framgår av bestämmelserna i 2 kap.4 och 5 §§patientdatalagen och av enskilda medarbetares arbetsuppgifter, uppdrag eller motsvarande.
Av 2 kap. 4 § följer att uppgifter om patienter får användas om det behövs för
1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta
annan dokumentation som behövs i och för vården av patienter (journalföring),
2. administration som rör patienter och som syftar till att ge vård i
enskilda fall eller som annars föranleds av vård i enskilda fall,
3. att upprätta annan dokumentation som följer av lag, förordning
eller annan författning,
4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i
verksamheten,
5. administration, planering, uppföljning, utvärdering och tillsyn
av verksamheten
6. att framställa statistik om hälso- och sjukvården.
Detta kompletteras sedan i 2 kap. 5 § av en bestämmelse som bland annat tydliggör att patientuppgifter som behandlas för något av de ovan uppräknade ändamålen även får behandlas för sådant utlämnande som sker i överensstämmelse med lag eller förordning.
Åtkomst till journalsystemet är tillåtet när studerande deltar i vården eller på annat sätt behöver uppgifter för sitt arbete
Det innebär att när en studerande som ett led i sin praktik deltar i vården av patienten och har patientens samtycke och vårdgivarens tillåtelse till det, anses delta i vården av patienten precis som övrig personal. I sådant fall kan studenten i den utsträckning det behövs
Bilaga 4 SOU 2014:23
236
för arbetet ta del av uppgifter i journalsystemet och dokumentera i patientjournalen.
En yrkesutövare eller en student kan delta i vården av en patient på många olika sätt, exempelvis genom att träffa patienten personligen, bli konsulterad av en kollega, delta i en rond, ge sjukvårdsrådgivning på telefon, kommunicera med patienten över internet, m.m. Det är vårdgivaren som har det övergripande ansvaret för att organisera och fördela det dagliga arbetet så att yrkesutövare kan bidra med sin kompetens i vården av patienterna. När studeranden på olika sätt deltar i den patientnära verksamheten för att deras kompetens kan komma till användning deltar de således i patientens vård och behandling på precis samma sätt som övriga medverkande. Vårdgivare kan då låta studeranden få ta del av uppgifter och dokumentera i patientjournalen i den omfattning som behövs.
Normalt sett bör den studerandes åtgärder ske under en handledares uppsikt och ledning.
Studeranden kan följa upp sina bedömningar och insatser i enlighet med vårdgivarens riktlinjer
Förutom att ta del av uppgifter i konkreta vårdsituationer kan det även ingå i den studerandes arbetsuppgifter hos en vårdgivare att ta del av uppgifter för att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. Det kan handla om att den studerande som ett led vårdgivarens systematiska kvalitetsarbete ska följa upp resultatet av sina bedömningar och åtgärder. Vårdgivare bör ta fram verksamhetsnära riktlinjer för hur patientuppgifter ska hanteras för att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten.
Ren utbildningsverksamhet regleras inte i patientdatalagen – uppgifterna måste ”lämnas ut” för att användas i utbildningen
Patientdatalagen reglerar hur vårdgivare får använda personuppgifter inom hälso- och sjukvården. Det är framför allt vårdgivares individinriktade arbete med patienter och sådant som knyter an till det, t.ex. verksamhetsutveckling och kvalitetssäkring, som i första hand avses. Renodlad undervisnings- och utbildningsverksamhet är inte hälso- och sjukvård och omfattas därmed inte av patientdata-
Bilaga 4
237
lagens tillämpningsområde. Utbildningsverksamhet är i förhållande till den individinriktade hälso- och sjukvården i sekretesshänseende att betrakta som en självständig verksamhetsgren. Det innebär att uppgifter som ska användas i sådan utbildningsverksamhet formellt måste lämnas ut från hälso- och sjukvården. Processen för att ta fram, bearbeta, lämna ut och använda uppgifter i undervisning och utbildning kan därför sägas bestå av följande steg.
1. Att ta fram relevanta uppgifter.
2. Att inhämta patientens samtycke eller bearbeta underlaget så att patientens identitet inte röjs.
3. Att lämna ut uppgifterna för att användas i undervisning.
Nedan redogörs kort för vad som gäller och vad vårdgivare behöver tänka på i dessa tre olika steg.
1. Att ta fram relevanta uppgifter (”patientfall”)
Även om utbildning är en självständig verksamhetsgren i förhållande till den individinriktade patientverksamheten m.m. är utbildning en central uppgift för hälso- och sjukvården. I vissa medarbetares uppdrag ingår därför att medverka till och delta i utbildning av läkare, tandläkare, sjuksköterskor, barnmorskor m.fl. Dokumentation i patientjournaler är en viktig kunskapskälla i utbildningsverksamheten. En uppgift att ta fram relevanta patientfall kan därför ses som en arbetsuppgift som kan tilldelas vissa personer inom olika verksamheter i hälso- och sjukvården där undervisning bedrivs. Den hantering av personuppgifter som görs i samband med att underlag för undervisning tas fram kan därför anses utföras som ett led i ett tillåtet utlämnande av uppgifter.
All hantering av personuppgifter ska göras med beaktande av patienternas behov av integritetsskydd. Det innebär bl.a. att inte fler uppgifter än nödvändigt ska användas med hänsyn till det syfte och de behov som finns i enskilda situationer. Vid hantering av personuppgifter för syften som inte rör enskilda patienters vård och behandling, t.ex. utbildning, är det särskilt angeläget att vårdgivare tar ställning till vilka uppgifter som är motiverade att använda och hur hanteringen i övrigt kan utformas så att patienternas personliga integritet respekteras. Vid en sådan bedömning kan det inte anses motiverat att samtliga som har tillgång till ett journal-
Bilaga 4 SOU 2014:23
238
system ska ha möjlighet att fritt leta efter intressanta fallbeskrivningar. Inte heller är detta en uppgift som får läggas på de studerande själva.
Det finns sannolikt en mängd olika sätt att organisera detta på. Ett sätt kan vara att lägga uppgiften att ta fram fallbeskrivningar på ett fåtal personer för att balansera behovet av undervisningsmaterial och patienternas behov av integritetsskydd. De kan då inom ramen för sina verksamhetsområden få i särskilt uppdrag att uppmärksamma och se till att viktiga patientfall används för att utbilda kommande yrkesutövare. Dessa personer kan exempelvis vara handledare, utbildningsläkare, utbildningssjuksköterska etc. Ett annat sätt att lösa det på kan vara att ge den som är ansvarig för patientens vård i uppdrag att uppmärksamma de som arbetar närmare utbildningsverksamheten, t.ex. handledare, på relevanta patientfall.
2. Att inhämta patientens samtycke eller bearbeta uppgifterna så att patientens identitet inte röjs
Eftersom ren utbildningsverksamhet inte betraktas som en del i den individinriktade hälso- och sjukvården måste sekretessen brytas för att studerande ska få ta del av uppgifter om patienter i rena undervisningssituationer. Sekretessen kan patienten själv bryta genom att ge sitt samtycke till utlämnandet och användningen av uppgifterna. Ett annat alternativ är att avidentifiera de uppgifter som ska användas i undervisningen så att patientens identitet inte röjs.
3. Att lämna ut uppgifterna för att användas i utbildning – t.ex. elektroniskt
Om sekretessen har brutits kan uppgifterna lämnas ut för att användas i utbildning och undervisning. Ett sådant utlämnande kan ske på flera olika sätt, t.ex. manuellt på papper eller genom olika former av elektroniska utlämnanden.
Uppgifterna kan exempelvis lämnas ut elektroniskt genom cd, usb, filöverföring eller på annat sätt. Vårdgivare som i stor omfattning medverkar i utbildningsverksamhet behöver rutiner och tekniska stöd för att tillhandahålla relevant information i utbildnings-
Bilaga 4
239
situationer. Att införa ett särskilt IT-stöd för utlämnande som möjliggör att patientjournaler avidentifieras och tillhandahålls elektroniskt skulle kunna bidra till en informationshantering som tillgodoser både de studerandes behov av kunskapsunderlag och patienternas behov av integritetsskydd.
Det är däremot inte tillåtet att lämna ut uppgifterna genom direktåtkomst, d.v.s. på ett sådant sätt att de studerande själva direkt i journalsystemet kan söka fram och ta del av de relevanta uppgifterna. I patientdatalagen är det uttömmande reglerat under vilka omständigheter direktåtkomst är tillåtet. Det är tillåtet mellan olika myndigheter som bedriver hälso- och sjukvård inom samma landsting eller kommun, det är tillåtet enligt reglerna om sammanhållen journalföring och det finns även regler som reglerar direktåtkomst i samband med nationella kvalitetsregister. Det finns också bestämmelser som gör det möjligt för vårdgivaren att medge direktåtkomst till patienten själv. Men det finns inga bestämmelser som tillåter direktåtkomst i renodlat utbildnings- eller undervisningssyfte. Patientens inställning till direktåtkomst spelar inte någon roll. Direktåtkomst till journaluppgifter i utbildningssyfte är därför inte tillåtet. Ett utlämnande till en student måste därför göras på något annat sätt än genom direktåtkomst.
Hur skiljer man på vad som är vad – finns det en gråzon?
Sannolikt finns situationer där det krävs en noggrann bedömning av om tillgång till uppgifter behövs för syften som har att göra med studerandens arbete hos en vårdgivare eller om syftet är kopplat till behov av utbildning av blivande yrkesutövare. Det kan därför finnas visst utrymme för tolkning och behov av analys av vilken situation det egentligen handlar om.
Vårdgivare behöver därför ta ett aktivt ansvar för att tillhandahålla rutiner, riktlinjer, kunskaps- och kompetensstöd m.m. till de verksamheter som ska hantera sådana gråzoner. Både för ordinarie personal och för studerande bör det så långt möjligt vara tydligt vad som gäller.
Det är viktigt att göra en förutsättningslös bedömning utifrån vad verksamheten vill göra med uppgifterna och varför – inte vad verksamheten kallar det. Detta eftersom det i vardagligt tal ofta används ord som inte återfinns bland de tillåtna syftena för användning av patientuppgifter. Den verksamhet som säger att stude-
Bilaga 4 SOU 2014:23
240
randen måste få ta del av patientuppgifter för att ”lära sig” av sitt arbete bör därmed inte avvisas utan en närmare analys av vad det egentligen ger uttryck för. Bara för att uttryck som ”lära sig”, ”fortbilda sig”, ”utveckla sig” etc. används behöver det inte handla om sådant som faller utanför patientdatalagens tillämpningsområde. Det verksamheten och enskilda medarbetare ger uttryck för skulle exempelvis kunna vara aktiviteter som ryms inom ramen för vårdgivarens systematiska kvalitetsarbete. I sådant fall kan t.ex. studeranden med stöd av vårdgivarens riktlinjer, precis som andra som medverkar i vården av patienter, följa upp utfallet av sina bedömningar och åtgärder.
Har patientdatalagen försämrat möjligheterna för utbildning?
Ofta hörs uppfattningar om att patientdatalagen har försämrat möjligheterna för utbildning och undervisning i hälso- och sjukvården. Utredningens uppfattning är att så inte är fallet. Reglerna för hur uppgifter får användas i undervisning var samma i den lagstiftning som gällde innan patientdatalagen. När hälso- och sjukvården hade pappersjournaler var det exempelvis inte tillåtet att utan patienternas samtycke ge en studeranden en bunt journaler för att läsa i utbildningssyfte. På motsvarande sätt och av samma skäl är det i dag inte tillåtet att ge en studerande fri tillgång till uppgifter i ett journalsystem för att lära sig. Patientdatalagen har därmed inte försämrat möjligheterna för utbildning och undervisning i hälso- och sjukvården.
Även om patientdatalagen inte haft för avsikt att specifikt underlätta för utbildning har lagen faktiskt medfört möjligheter som tidigare inte fanns. I den lagstiftning som föregick patientdatalagen, d.v.s. bland annat vårdregisterlagen, fanns begränsningar i hur vårdgivare fick lämna ut personuppgifter. Det var exempelvis inte tillåtet att elektroniskt lämna ut personuppgifter från ett vårdregister (t.ex. patientjournal) för att användas i utbildningsverksamhet. Den begränsningen togs bort i och med patientdatalagen, vilket gör det möjligt (som ovan beskrivs) med olika former av elektroniska utlämnanden till den som ska använda uppgifter i utbildning och undervisning.
IT-stöd som på ett effektivt och säkert sätt kan administrera utlämnanden till utbildningsverksamheten skulle, tillsammans med en aktiv tillämpning från vårdgivares sida, kunna bidra till att stude-
Bilaga 4
241
randens behov av uppgifter tillgodoses på ett bättre sätt än vad som är fallet i dag.