SOU 2014:45

Unik kunskap genom registerforskning

Till statsrådet och chefen för Utbildningsdepartementet

Regeringen beslutade den 17 januari 2013 att tillkalla en särskild utredare med uppdrag att utreda förutsättningarna för registerbaserad forskning. Utredaren fick i uppdrag att lämna författningsförslag och andra förslag i syfte att registeransvariga myndigheter i större utsträckning ska kunna lämna ut uppgifter för forskningsändamål med hänsyn tagen till skyddet för den enskildes integritet och att sambearbetning av registeruppgifter för forskningsändamål ska underlättas. Utredaren fick vidare i uppdrag att lämna författningsförslag och andra förslag i syfte att göra det möjligt att på ett integritetssäkert sätt samla in personuppgifter till register som förs för särskilda och uttryckligt angivna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål. I uppdraget ingick också att undersöka om det befintliga sekretesskyddet för uppgifter som hanteras inom forskning är tillräckligt för att skydda den enskildes integritet vid forskning (Dir 2013:08).

Som särskild utredare anställdes förra statsrådet Bengt Westerberg från och med den 17 januari 2013. Som experter förordnades från och med den 22 januari 2013 professorn Björn Halleröd, professorn Mats G Hansson, tillsynschefen Erik Janzon, professorn Cecilia Magnusson-Sjöberg, chefsjuristen Eva Nilsson, professorn Peter Nilsson, rättschefen Karin Nylén, avdelningschefen Petra Otterblad-Olausson och docenten Magnus Stenbeck. Som sakkunniga förordnades den 5 mars 2013 kanslirådet Elin Feldt, departementssekreteraren Ann-Sofie Hollsten-Yamamoto och departementssekreteraren Maria Wästfelt. Från och med den 11 juni 2013 förordnades även kanslirådet Per Eriksson som sakkunnig. Erik Janzon ersattes den 3 september 2013 av juristen Victoria Söderqvist. Elin Feldt ersattes den 1 mars 2014 av departementsrådet Petter Odmark, som förordnades som expert.

Som sekreterare i utredningen anställdes från och med den 18 februari 2013 hovrättsassessorn Magdalena Petersson. Professorn Robert Erikson anställdes för ett särskilt uppdrag från och med den 1 augusti 2013 till och med den 30 november 2013.

Utredningen har antagit namnet Registerforskningsutredningen. Utredningen överlämnar härmed betänkandet Unik kunskap

genom registerforskning (SOU 2014:45). Utredningens uppdrag är

därmed slutfört.

Stockholm i juni 2014

Bengt Westerberg

/ Magdalena Petersson

Sammanfattning

I 2012 års forskningsproposition (prop. 2012/12:30) konstaterade regeringen att de svenska registren i många avseenden är unika. Att kombinera uppgifter från dem ger stora möjligheter för forskningen. Det finns ett antal viktiga frågeställningar som kan besvaras med hjälp av olika register och datamaterial.

Mot den bakgrunden har regeringen uppdragit åt Vetenskapsrådet att inrätta en funktion med uppgift att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål.

Uttalanden i propositionen är också bakgrunden till denna utredning. I utredningsdirektiven framhålls att det kan finnas rättsliga hinder för registerbaserad forskning. Mitt uppdrag har varit att analysera dessa och att lämna författningsförslag och andra förslag i syfte att

  • registeransvariga myndigheter i större utsträckning ska kunna lämna ut uppgifter för forskningsändamål med hänsyn tagen till skyddet för den enskildes integritet,
  • sambearbetning av registeruppgifter för forskningsändamål ska underlättas, och
  • göra det möjligt att på ett integritetssäkert sätt samla in personuppgifter till register som förs för särskilda och uttryckligt angivna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål.

På den sistnämnda punkten specificeras uppdraget ytterligare i direktiven. Det talas där om ett behov av att kunna skapa ”nya databasinfrastrukturer för bestämda, men relativt allmänt hållna, forskningsändamål”. Jag ska föreslå hur sådana infrastrukturer ska kunna byggas, som kan användas av forskare i olika forskningsprojekt och

som kan uppdateras och tillföras nya uppgifter vid till exempel longitudinella studier.

Jag har även haft till uppgift att undersöka om det befintliga sekretesskyddet för uppgifter som hanteras inom forskning är tillräckligt för att skydda den enskildes integritet vid forskning.

Till min hjälp i utredningsarbetet har jag haft en sekreterare, Magdalena Petersson, som är hovrättsassessor, samt en grupp av experter och sakkunniga med företrädare för departement, myndigheter och forskarsamhället. Jag har under arbetets gång haft ett stort antal kontakter med forskare med omfattande erfarenheter av registerbaserad forskning och med flertalet berörda myndigheter.

Vad menas med register?

Med register avses i detta sammanhang i första hand strukturerade samlingar av personuppgifter som har upprättats inom myndigheter för primärt andra ändamål än forskning. Som exempel kan nämnas register hos statliga myndigheter som har tillkommit för administrativa eller statistiska ändamål och register hos regioner och landsting som har skapats för utvärdering och kvalitetssäkring av hälso- och sjukvården. Även biobanker, som är samlingar av biologiska prover från individer tagna huvudsakligen i samband med vård och behandling, är i sammanhanget av stort intresse.

Med register avses i utredningsdirektiven dock även vissa uppgiftssamlingar som primärt är skapade för forskningsändamål. Uppgifterna i dessa kan hämtas direkt från individer eller från de nämnda registren. Oftast skapas sådana forskningsregister för ett specifikt forskningsprojekt, men det förekommer också att register byggs för att kunna ge underlag för flera framtida, från början inte definierade, forskningsprojekt. I den här utredningen kallar jag sådana forskningsregister för forskningsdatabaser. De utgör en sådan infrastruktur som omnämns i utredningsdirektiven.

Varför är registeruppgifter bra för forskning?

Det är i många sammanhang en stor fördel för forskningen att få tillgång till omfattande datamaterial. Myndighetsregister som i regel innehåller uppgifter om alla invånare i landet, eller i vart fall alla som är i något avseende berörda, är ovärderliga när man önskar be-

skriva tillståndet i befolkningen. Genom att alla finns med kan även minoriteter och ovanliga företeelser fångas in. Ett exempel på det sistnämnda kan vara ovanliga sjukdomar.

Alternativet till att använda uppgifter från register är i regel att samla in uppgifter direkt från ett urval av individer. Sådana urvalsundersökningar är ibland nödvändiga eftersom alla uppgifter som forskarna är intresserade av inte finns i register. Men urvalsundersökningar kan innebära vissa problem. Ofta är de forskningspersoner som väljs ut inte särskilt representativa. Även när urvalen är representativa måste de om inte annat av ekonomiska skäl ofta begränsas och man måste dessutom alltid räkna med ett bortfall, det vill säga att några av dem som tillfrågas av olika skäl inte vill medverka. Både representativiteten, urvalets storlek och bortfallet ökar osäkerheten i forskningsresultaten. Det finns flera exempel på att slutsatser som har dragits på grundval av mindre urvalsstudier har visat sig felaktiga när de testats på hela den berörda populationen.

Även i andra sammanhang än när det gäller att studera ovanliga företeelser är forskare beroende av omfattande datamaterial. När de vill studera hur en viss åtgärd påverkar olika individer kan en urvalsstudie vara tillräcklig, men om de vill finna olika orsaker till ett komplext samhällsfenomen krävs ett mer omfattande datamaterial. Vid longitudinella studier, då man följer individer eller studerar en och samma företeelse över tid, är register en särskild tillgång. Om individerna gång på gång ska kontaktas finns en stor risk att urvalet krymper ganska snabbt, till exempel därför att de tröttnar på att delta.

Ofta är det en fördel att kunna kombinera uppgifter som forskarna själva har samlat in vid urvalsstudier med uppgifter från register. Om vissa uppgifter kan hämtas ur register kan antalet frågor som forskaren behöver ställa till sina intervjupersoner begränsas. För att få fram historiska uppgifter om en individ som ingår i ett urval kan register ofta innehålla mer pålitlig information än den individen kan ge ur minnet. För att följa upp hur det går för individer som deltagit i en urvalsstudie kan registeruppgifter användas för att slippa besvära individerna med upprepade frågor. Uppgifter om alla de olika individer som finns med i olika urvalsundersökningar kan bara återfinnas i heltäckande register.

Uppgifter om individer, också känsliga uppgifter, är ofta nödvändiga för forskningen. Det gäller inte minst inom medicinsk forskning där syftet är att förstå sjukdomars uppkomst och utveckling och att finna botemedel. Samtidigt innebär all behandling av person-

uppgifter vissa risker för individers personliga integritet. Den största risken är att någon blir utsatt för andra missaktning om hans eller hennes personliga förhållanden blir kända. Det är bakgrunden till att det finns en omfattande lagstiftning som syftar till att skydda individers personliga integritet och att hantera den avvägning mellan olika intressen som kan behöva göras.

Rättsliga förutsättningar för registerbaserad forskning

Flera internationella organisationer, Förenta nationerna (FN), Europarådet, Organisationen för ekonomiskt samarbete och utveckling (OECD) och Europeiska Unionen (EU), har utarbetat riktlinjer för hur personuppgifter får hanteras. Av särskild betydelse för svensk del är Europakonventionen om mänskliga rättigheter, som sedan 1995 är inkorporerad i svensk lag, och EU:s dataskyddsdirektiv, som i Sverige har implementerats genom personuppgiftslagen (PUL). Inom EU pågår för närvarande en diskussion om en ny dataskyddsförordning, som, om den beslutas, blir direkt tillämplig i alla medlemsländer och således för svensk del ersätter PUL. Det är oklart när ett sådant beslut kan komma att fattas och denna utredning utgår därför från gällande rätt.

I regeringsformen (RF) anges att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Bestämmelsen får begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle.

PUL reglerar behandlingen av personuppgifter. Sådana får bara samlas in bara om det är lagligt och bara för särskilda, uttryckligt angivna och berättigade ändamål. De får inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. För myndigheterna finns oftast det lagliga stödet för personuppgiftsbehandlingen i särskilda registerförfattningar, som bland annat anger ändamålet och vilka uppgifter som får behandlas. Behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål ska enligt PUL inte anses vara oförenligt med de ändamål för vilka uppgifterna samlades in. Det sistnämnda innebär att det är möjligt att i till exempel forskning sekundäranvända uppgifter som har samlats in för andra ändamål.

För att få behandla uppgifterna krävs antingen att de berörda individerna har samtyckt till behandlingen eller att den är nödvändig för att till exempel en arbetsuppgift av allmänt intresse ska kunna utföras. Forskning kan vara ett exempel på en sådan arbetsuppgift.

Vissa personuppgifter klassificeras i PUL som känsliga, och är förbjudna att behandla. Det gäller uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa och sexualliv. Sådana uppgifter, liksom uppgifter som rör lagöverträdelser av vissa slag och biologiska prover, kan emellertid efter etikgodkännande behandlas i forskning. Etikgodkännande ges enligt lagen om etikprövning av forskning som avser människor (etikprövningslagen) av en etikprövningsnämnd, med av regeringen utsedda representanter för forskning och allmänhet. Etikprövningsnämnden ska också bedöma om samtycke ska inhämtas eller om uppgifterna kan behandlas utan samtycke. När det är fråga om omfattande uttag från myndighetsregister är praxis att inte kräva samtycke eftersom det skulle förutsätta en oproportionerlig resursinsats.

Myndigheters insamling och övriga behandling av personuppgifter motiveras ofta med att de behöver uppgifterna för att kunna fullgöra sina administrativa uppgifter. Det kan handla om att hålla reda på landets invånare, att upprätta vallängder inför allmänna val, att bedöma hur mycket skatt medborgarna ska betala och vilka bidrag de har rätt till, och så vidare. I många fall används uppgifterna för beslut som avser enskilda personer. I de fall myndigheterna har fått i uppdrag att behandla personuppgifter har fördelen med denna behandling bedömts överväga riskerna för den personliga integriteten.

Ett annat syfte med myndigheters behandling av personuppgifter är att upprätta statistik eller att utvärdera och kvalitetssäkra verksamheter. Statistikproduktion baseras ofta på uppgifter ur administrativa register, men i vissa fall samlas uppgifter in särskilt för statistiska ändamål.

Allmänna handlingar hos svenska myndigheter är i princip offentliga, men allmänhetens rätt att ta del av sådana handlingar kan begränsas om det är påkallat av hänsyn till exempelvis den enskildas personliga och ekonomiska förhållanden. I sådana fall råder ofta varierande grad av sekretess. Den starkaste sekretessen gäller för uppgifter som har samlats in för statistiska ändamål. Då är sekretessen absolut, vilket innebär att uppgifterna i princip inte lämnas ut.

Det finns emellertid även för dessa uppgifter vissa sekretessbrytande regler. Uppgifterna kan till exempel lämnas ut för forskningsändamål om det kan ske utan risk för skada eller men för den som uppgifterna avser eller dennas anhöriga. Om sekretessbelagda uppgifter lämnas ut till en annan myndighet, till exempel ett universitet eller en högskola, för forskningsändamål följer sekretessen automatiskt med. Om utlämnande sker till annan sker det i regel med särskilda förbehåll som syftar till att ge motsvarande skydd.

Det är den registerhållande myndigheten som har att pröva om personuppgifter kan lämnas ut. Vid utlämnande till forskning är det vanliga att uppgifterna lämnas ut i anonymiserad form. Det innebär att forskare inte vet vilka individer uppgifterna avser. Anonymiserade uppgifter kan vara kodade eller avidentifierade. Att uppgifterna är kodade innebär att forskaren får ut uppgifter med en icke identitetsbärande beteckning, till exempel ett löpnummer, medan myndigheten behåller en kodnyckel som kopplar löpnummer till personnummer och som gör det möjligt att senare komplettera uppgifterna. Att en sådan möjlighet finns är viktigt vid till exempel longitudinella studier. När uppgifterna är avidentifierade finns inte denna möjlighet.

Även om uppgifterna är anonymiserade kan det finnas en risk för så kallad bakvägsidentifiering, det vill säga att man genom att sammanställa en rad uppgifter om en individ kan identifiera denna. Det är förbjudet och har så vitt känt aldrig förekommit inom forskningen, men det är likväl en potentiell risk som rent av kan öka med utvecklingen av datatekniken. Därför är det viktigt att det finns ett tydligt regelverk och säkerhetsmässiga arrangemang kring personuppgifterna även i forskningsmiljöer.

I vissa fall, särskilt i medicinsk forskning, förekommer att identifierbara uppgifter lämnas ut. Syftet är ofta att forskare ska kunna kontakta individerna i fråga eller att de ska kunna kontrollera registeruppgifter med uppgifter från patientjournaler.

Integritet och registerbaserad forskning

Ansvaret för den personuppgiftsbehandling som sker inom forskningen åvilar forskningshuvudmännen, det vill säga i regel universitet och högskolor. Ansvaret är ytterst styrelsernas. Det har inte förekommit att uppgifter läckt ut från forskningsmiljöer. De regler för sekretess och säkerhetsmässig hantering som gäller är en viktig

förklaring till det. Men universitet och högskolor liksom forskare har också andra starka incitament att se till att reglerna följs, nämligen för att de ska kunna få del av uppgifter och bedriva forskning. Till det kommer att forskare inte i första hand är intresserade av individer utan av mönster i populationer.

Gällande regel i regeringsformen om den enskildes skydd gentemot det allmänna mot betydande intrång i den personliga integriteten om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden tillkom år 2011. Frågan har väckts om sekundäranvändning av personuppgifter i myndighetsregister som sker utan samtycke skulle kunna stå i strid med denna grundlagsbestämmelse. Effekten av insamlingen av uppgifter för forskning skulle, oavsett avsikten, kunna anses vara åtminstone kartläggning av enskildas personliga förhållanden.

Regeringen har i propositionen om grundlagsändringen konstaterat att man vid bedömningen av vad som är betydande intrång måste se till bland annat ändamålet med behandlingen av uppgifter. Syftet med forskning är inte att kartlägga enskilda individer utan att finna mönster i en population. Behandlingen av uppgifterna ur myndighetsregister har sin rättsliga grund i de särskilda registerförfattningar som finns för myndighetsregistren och i PUL:s bestämmelse att behandling för vetenskapliga ändamål inte är oförenligt med de ursprungliga ändamålen för behandlingen av uppgifterna.

Lagstiftarens avsikt torde inte ha varit att förhindra en sådan behandling av personuppgifter i forskningen. Regeringen har också i propositionen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU) konstaterat att den så kallade IFAU-databasen inte står i strid med grundlagen. Däremot har regeringen bedömt att det med hänsyn till att det i detta fall handlar om många uppgifter som bevaras under lång tid är rimligt att det finns ett lagstöd för databasen.

Min slutsats är att registerbaserad forskning, forskningsregister och forskningsdatabaser inte innebär betydande intrång i enskildas personliga integritet, men att det är angeläget att det finns ett tydligt lagligt stöd för denna verksamhet.

Enligt proportionalitetsprincipen ska staten inte införa restriktioner eller skyldigheter utöver vad som är nödvändigt för att uppnå målet med en åtgärd. Målet med registerbaserad forskning är att vinna kunskap om hur samhället fungerar och den åtgärd som prövas i sammanhanget alltså användningen av bland annat registeruppgifter som har samlats in för andra ändamål.

Att kunna använda registeruppgifter i forskningen har stora fördelar. Det finns kunskaper som kan uppnås genom sådan forskning, som är svårt att uppnå med andra metoder. Risken för läckor och åtföljande men för uppgiftslämnarna är liten. Det gäller särskilt när uppgifter lämnas ut i anonymiserad form, men även annars. När fördelarna vägs mot riskerna framstår registerbaserad forskning en i hög grad proportionell åtgärd.

Erfarenheter från de nordiska länderna

Förutsättningarna för registerbaserad forskning är mycket likartade i de övriga nordiska länderna. Även de har att utgå från gällande internationella regelverk. Deras motsvarigheter till svenska PUL är, liksom PUL, baserade på EU:s dataskyddsdirektiv och därmed mycket likartade. I vissa avseenden har de valt andra lösningar än Sverige för att underlätta registerbaserad forskning. Som exempel kan nämnas att man i Danmark har skapat ett väl utvecklat system för fjärråtkomst av hälsodata och att man i Norge en fristående organisation för deponering och arkivering av forskarmaterial. Sådana exempel kan tjäna som inspirationskällor när systemen ska utvecklas i Sverige.

Bakgrund, nuläge och utmaningar

Det finns fyra viktiga datakällor för registerbaserad forskning: myndighetsregister, hälso- och sjukvårdens kvalitetsregister, biobanker och forskningsregister av olika slag.

Myndighetsregistren är skapade för primärt andra ändamål än forskning. Kvalitet och dokumentation kan inte alltid möta forskningens behov. Ofta krävs bearbetning av data innan de kan användas i forskningen. Här finns en potential för utveckling.

Kvalitetsregistren inom hälso- och sjukvården är uppbyggda utifrån interventioner, sjukdomsepisoder eller kroniska sjukdomar. De är av varierande kvalitet, men en stor satsning sker nu från regeringens och huvudmännens sida att öka kvalitet och tillgänglighet. För närvarande finns ett 80-tal certifierade kvalitetsregister, vilket innebär att de lever upp till vissa kvalitetskrav. Nuvarande utvecklingsprogram avser perioden 2013–16. När det löper ut får bedömas hur man ska gå vidare.

Biobanker innehåller biologiska prover. Det finns cirka 600 biobanker i Sverige varav hälften hos hälso- och sjukvårdshuvudmännen och ett 50-tal på universitet med medicinsk forskning. En utmaning är att öka spårbarheten av biobanksprover för att de ska bli mer tillgängliga för forskning.

Forskningsregister finns av många olika slag. Flertalet har tillkommit för konkreta forskningsprojekt. Svensk Nationell Datatjänst (SND) är en nationell resurs för samordning av existerande och nya forskningsregister inom samhällsvetenskap, humaniora och medicin. SND är för närvarande ett samarbetsprojekt mellan Vetenskapsrådet och Göteborgs universitet. Ett syfte är att data som har samlats in för viss forskning ska göras tillgängliga och kunna återanvändas i nya forskningsprojekt. Datainspektionen har emellertid beslutat att SND inte har rätt att bevara register med personuppgifter, varmed avses uppgifter som på något sätt kan identifieras (till exempel där en kodnyckel finns bevarad). Det innebär en allvarlig begränsning av SND:s verksamhet.

Vid användning i forskning av känsliga personuppgifter eller biologiska prover krävs etiktillstånd. När uppgifterna ska tillhandahållas i anonymiserad form bedömer etikprövningsnämnderna riskerna som små och tillstånd beviljas rutinmässigt. Denna bedömning står väl i överensstämmelse med den som har gjorts i vissa mål och ärenden som har behandlats i domstol eller av regeringen. I Danmark och Finland har man valt att vid utlämnande av sådana data arbeta med generella etiktillstånd för vissa auktoriserade organisationer. I Sverige borde det vara möjligt att pröva en förenklad process. Många av de berörda uppfattar också att de blanketter som forskarna har att fylla i vid etikansökan är mer detaljerade än nödvändigt. Det kan finnas skäl se över dessa blanketter, till exempel inom ramen för det av Vetenskapsrådet nyligen tillsatta registerdatarådet.

Inom Statistiska centralbyrån (SCB) har under de senaste tio åren ett system för fjärråtkomst av uppgifter utvecklats. Det kallas MONA, Micro On-line Access. Det används för att tillgängliggöra data inte bara från SCB utan från flertalet statistikansvariga statliga myndigheter. Systemet innebär att forskaren från en terminal i sin arbetsmiljö kopplar upp sig mot MONA och kan bearbeta data utan att de lämnar SCB. Bearbetade data, i form av till exempel tabeller, kan senare skickas till forskaren med e-post. En utvärdering av MONA-systemet har nyligen initierats av Vetenskapsrådet. Något motsvarande system för hälsodata från Socialstyrelsen finns ännu

inte, men möjligheten att skapa ett sådant kommer att prövas inom ramen för utvärderingen av MONA.

Det synes inte finnas några rättsliga hinder för att tillhandahålla uppgifter för forskning. De problem som kan finnas ligger snarare på det administrativa planet. För SCB, och även andra myndigheter, är inte forskning en prioriterad uppgift. Statistikutredningen föreslog i december 2012 att det i SCB:s instruktion skulle skrivas in att det ska vara en prioriterad uppgift att bistå forskningen med data. Finansdepartementet har meddelat att man har för avsikt att föreslå en sådan ändring, men något beslut har ännu inte fattats. Det är angeläget att det sker snarast. Det kan också finnas skäl att göra motsvarande justering i instruktioner till andra myndigheter.

Inom Socialstyrelsen har en registerserviceenhet numera skapats. För närvarande pågår inom SCB en intern utredning som syftar till något liknande. Det är angeläget att det även inom SCB skapas en central forskningsserviceenhet.

Mycket av dagens forskning sker i internationellt samarbete. Utlämnande av data över nationsgränser är en utmaning. Det är dock komplicerade frågor som inte kunnat analyseras inom ramen för denna utredning. Diskussioner mellan de statistiska centralbyråerna i Norden har dock nyligen initierats av Nordiska Rådet och dess forskningsråd, Nordforsk, och pågår för närvarande.

Sambearbetning av data från olika register är ofta nödvändigt inom forskning. Sambearbetningen synes, även när flera myndigheter är inblandade, fungera relativt väl. Den rättsliga grunden för att lämna känsliga personuppgifter mellan statistikansvariga myndigheter för att möjliggöra sambearbetning för forskningshuvudmans räkning har i något fall ifrågasatts. Det har vidare ifrågasatts om det finns stöd i sekretesslagstiftningen för statistikansvariga myndigheterna att skicka sekretessbelagda uppgifter till en annan myndighet i syfte att möjliggöra sambearbetning av uppgifter för en tredje myndighets räkning. Min bedömning är dock att detta förfarande har stöd i nuvarande lagstiftning.

Sambearbetning skulle kunna underlättas genom utveckling av ett så kallat federerat system. Det innebär att uppgifter hämtas från olika datakällor till en federationsserver (trusted location), en institution som alla dataägare litar på och vilken de kan ge tillgång till uppgifter utan oro för spridning. Forskaren arbetar mot en sådan federationsserver på samma sätt som mot dagens MONA. Till denna federationsserver hämtas uppgifter på elektronisk väg direkt från källorna utan att någon överföring av uppgifter mellan myndig-

heterna sker. Regeringen har i forskningspropositionen uttryckt sig positivt om en sådan lösning och uttalat att den ska utredas i särskild ordning. Något sådant initiativ har emellertid inte tagits. En federerad lösning kräver en omfattande teknisk utveckling. Om en sådan ska komma till stånd krävs sannolikt ett initiativ från regeringen, eventuellt i samarbete med Umeå universitet som nyligen har inlett ett utvecklingsarbete inom området.

SND är en viktig infrastruktur för svensk forskning. Det är angeläget att SND blir en permanent verksamhet och att den får rimliga förutsättningar att sköta sina uppgifter. I dag deponerar forskare kopior på sina data hos SND. Det skulle vara en fördel om SND kunde bli en arkivmyndighet där originaldata kunde deponeras. Som arkivmyndighet skulle SND också bli personuppgiftsansvarig för de uppgifter som finns där, vilket innebär att Datainspektionens invändningar mot rådande ordning skulle kunna hanteras. I Norge och Danmark har man organiserat motsvarande verksamhet på ett annat sätt: i Norge i en självständig organisation under Utdannings- og Forskningsdepartementet och i Danmark som en del hos Statens Arkiver. Den norska lösningen förefaller vara den mest attraktiva för verksamhetens självständighet och utveckling. Regeringen bör tillsätta en utredning för att utarbeta en långsiktig lösning för SND.

Bedömningar och förslag

Etikprövningen

För att förenkla handläggningen av ärenden där syftet är att i forskningen endast använda anonymiserade uppgifter från myndighetsregister föreslås att nämnderna ska kunna delegera sådana ärenden till ordföranden.

Det föreslås vidare att forskare ska få rätt att få ett yttrande från etikprövningsnämnden över forskningsprojekt som inte faller under etikprövningslagen. Det finns i dag en möjlighet att begära ett sådant yttrande, men nämnden avgör själv om den vill avge ett yttrande eller inte.

Det föreslås också att utlämnande från forskningsdatabaser alltid ska kräva etiktillstånd, oavsett om det handlar om känsliga personuppgifter eller inte.

Kodnyckelförfarande

När uppgifter lämnas ut i anonymiserad form kan utlämnande myndighet bevara en kodnyckel som gör det möjligt att senare komplettera uppgifterna. Denna möjlighet har tillkommit främst för att möjliggöra longitudinella studier, där samma individer eller företeelser följs under lång tid, och liknande studier.

Vid longitudinella studier kommer utlämnande myndighet och forskarna överens om hur länge kodnyckeln ska bevaras. Normalt bevaras den i tre år med möjlighet till förlängning. Utlämnande myndighet kan dock vara obenägen att behålla kodnyckeln om den upplever att forskningsfrågorna förändras.

Även i andra forskningsprojekt kan en kodnyckel upprättas och bevaras, men normalt under betydligt kortare tid, vanligen tre månader. Syftet är kunna komplettera utlämnande uppgifter om något har blivit fel eller om forskaren har missat något i sin ansökan.

Det finns flera skäl för att regelmässigt bevara kodnycklar under längre tid. Att koppla bevarandet till att det är samma forskningsfrågor som ställs synes inte vara rimligt. Det är naturligt att forskningsfrågorna i en longitudinell studie successivt modifieras. Forskare kan under ett pågående projekt finna att data skulle behöva kompletteras även om detta inte förutsågs när uppgifterna begärdes ut. I all forskning är det dessutom angeläget att ge möjligheter till replikation eller till förnyad analys av samma uppgifter eller efter viss komplettering.

Det föreslås mot denna bakgrund att kodnycklar ska bevaras hos den utlämnande myndigheten under tjugo år från dagen för utlämnande av uppgifterna och med möjlighet till förlängning därefter.

En ny sekretessbestämmelse

För att upprätthålla allmänhetens förtroende för forskningen är det viktigt att regelverket tillgodoser den enskilda individens integritetsskydd. Det finns i dag flera olika bestämmelser som innebär sekretess för personuppgifter som behandlas i forskningen. Regelverket är emellertid inte lätt att överblicka, vilket kan skapa oklarhet.

I offentlighets- och sekretesslagen finns en särskild bestämmelse avseende statistiksekretess. Uppgifter som samlas in för statistiska ändamål skyddas av absolut sekretess. De skäl som i förarbetena till lagstiftningen åberopats för statistiksekretessen är tre. Offentlighets-

intresset för sådana uppgifter anses väga lätt. En sammanställning av i och för sig harmlösa uppgifter kan ibland vara integritetskänslig. Och uppgiftslämnaren ska känna sig säker på hans eller hennes uppgifter inte kommer ut. Dessa skäl talar också för ett motsvarande sekretesskydd för uppgifter som samlas in för forskning.

Mot den bakgrunden föreslås en motsvarande forskningssekretess. Det innebär att personuppgifter som samlas in för forskning alltid är skyddade av absolut sekretess. Liksom när det gäller uppgifter som samlats in för statistiska ändamål ska för dessa uppgifter insamlade för forskningsändamål finnas en sekretessbrytande bestämmelse som innebär att de, om vissa villkor är uppfyllda, kan användas för annan forskning.

Med sekretessen följer också tystnadsplikt för dem har att hantera uppgifterna.

Det är angeläget inte bara att personuppgifter skyddas av sekretess utan också att de behandlas enligt gällande regler och i tekniskt säkra system. På alla stora universitet och på flertalet högskolor finns så kallade personuppgiftsombud, som har till uppgift att se till att den personuppgiftsansvarige, det vill säga universitetet eller högskolan, följer gällande regler. I många fall synes personuppgiftsombuden inte ha de resurser och den ställning som krävs för att på ett tillfredsställande sätt fullgöra uppgiften. Det är universitetens och högskolornas styrelser som har det yttersta ansvaret för att verksamheten fungerar tillfredsställande. Regeringen föreslås i regleringsbrev till statliga universitet och högskolor uppmana dessa att lägga större vikt vid skydd och säkerhet vid behandlingen av personuppgifter, bland annat genom att stärka personuppgiftsombudets ställning och att begära återrapportering om hur skyddet hanteras.

Forskningsdatabaser

I utredningsdirektiven framhålls svårigheterna att inom ramen för gällande rätt skapa forskningsdatabaser för bestämda men relativt allmänt hållna forskningsändamål. Datainspektionen har ställt sig tveksam till forskningsdatabaser med allmänt hållna ändamål. Den har också ifrågasatt lagligheten i det samtycke som enskilda ger när de lämnar uppgifter till sådana databaser. Etikprövningslagen medger bara att etikgodkännande ges till konkreta forskningsprojekt. Utlämnande myndigheter ser sig förhindrade att lämna ut uppgifter till databaser där de konkreta forskningsfrågorna är okända. Det

saknas alltså i dag rättsliga förutsättningar för sådana forskningsdatabaser.

Regering och riksdag har i några fall stiftat särskilda lagar för att möjliggöra forskningsdatabaser. Ett exempel är den lag som reglerar den så kallade IFAU-databasen och en annan den lag som reglerar vissa register för forskning om vad arv och miljö betyder för människors hälsa (”LifeGene-lagen”). Inom SCB finns också ett par sådana databaser som delvis används för forskning.

Enligt en inventering som gjorts på uppdrag av Vetenskapsrådet finns ytterligare ett femtiotal forskningsdatabaser i Sverige. De kan till exempel ha tillkommit långt tillbaka i tiden innan nuvarande regelverk fanns på plats, ha byggts upp kring ett konkret forskningsprojekt eller godkänts genom en generös tolkning av etikprövningslagen.

Det föreslås att det införs en särskild lag om forskningsdatabaser. Tanken är att i den ska anges vissa generella regler för forskningsdatabaser, men att varje databas ska kompletteras med en regeringsförordning som reglerar vad som närmare ska gälla, till exempel ändamål och innehåll. Forskningsdatabasernas ändamål är att skapa underlag för forskning och att lämna ut uppgifter till forskningsprojekt. För utlämnande ska alltid krävas etikgodkännande.

Med forskningsdatabas avses en infrastruktur som ska kunna användas av flera olika forskare, från olika universitet och högskolor och inom olika discipliner, i framtida forskningsprojekt. Vilka projekten är vet man inte när databasen skapas.

Forskningsdatabaser ska kunna skapas vid statliga universitet och högskolor samt vid andra statliga myndigheter som har i uppdrag att bedriva forskning. Det bör uppdras åt Vetenskapsrådet att föreslå regeringen vilka forskningsdatabaser som ska finnas. Vetenskapsrådet bör också träffa avtal med värduniversiteten om finansiering, organisation och tillgänglighet. Finansieringen bör vara säkerställd för åtta år framåt. Forskningsdatabaserna ska utvärderas vart åttonde år, företrädesvis av en internationell utvärderingsgrupp.

Den personuppgiftsansvarige, alltså myndigheten, ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om databasen. Forskningsdatabasen ska administreras i en särskild avgränsad enhet.

De uppgifter som samlas i forskningsdatabasen ska kunna hämtas ur olika källor. Vissa uppgifter kan samlas in direkt från individer, andra hämtas ur befintliga register. För att säkerställa att myndig-

heterna kan lämna uppgifter till forskningsdatabaserna behövs bestämmelser om uppgiftsskyldighet för dessa. Det bör regleras i de särskilda förordningar som ska gälla för respektive forskningsdatabas vilka myndigheter som ska vara skyldiga att lämna ut uppgifter och vilka uppgifter uppgiftsskyldigheten ska omfatta.

Enskilda ska kunna lämna uppgifter och ge ett informerat samtycke till att dessa behandlas för de ändamål som anges i förordningen för forskningsdatabasen.

Uppgifterna i en forskningsdatabas ska skyddas av absolut sekretess, men med vissa undantag. Enskilda ska ha rätt att på begäran få registerutdrag för identifierbara uppgifter som har registrerats i databasen.

Nationellt biobanksregister

Svenska biobanksregistret är i dag ett regionalt system. Registret finns hos sex regionala biobankscentra, som bedrivs av regioner och landsting. Det skulle i olika sammanhang underlätta spårbarheten av biobanksprover om det fanns ett nationellt biobanksregister. Ett sådant föreslogs för några år sedan av den statliga Biobanksutredningen. Dess förslag har av olika skäl inte lett till lagstiftning.

Utredningen föreslår mot den bakgrunden att Svenskt biobanksregister görs om till ett nationellt system för registrering av biobanksprover, Nationella biobanksregistret. Det föreslås att Socialstyrelsen blir personuppgiftsansvarig för registret.

Uppgifterna i registret ska få behandlas för att underlätta spårbarhet vid vård och behandling av den registrerade, vid forskning, kvalitetssäkring och framställning av statistik och vid förstörande eller avidentifiering av vävnadsprover när den registrerade har återkallat sitt samtycke.

De uppgifter som får registreras avser i första hand provgivarens identitet, provgivarens ställningstagande till hanteringen av proverna (samtycke), vävnadsprovernas karaktär, i vilken biobank de finns och uppgifter om diagnos och analysresultat.

Absolut sekretess ska gälla för de uppgifter som finns i registret, men med sekretessbrytande regler för till exempel forskning. Uppgifter ska också kunna lämnas ut när det handlar om den enskildes vård och behandling.

Registreringen bygger på samtycke, det vill säga att den enskilde när det biologiska provet sparas i en bank tar ställning till hur upp-

gifterna om provet får behandlas. Uppgifter om de prover som redan finns i biobanker får dock registreras utan särskilt samtycke. Det ska understrykas att de berörda har samtyckt till att proverna sparas i biobanken och hur de får användas. Avsaknaden av samtycke gäller endast själva registreringen i det nationella registret. Möjligheten att återkalla samtycke finns alltid och underlättas med den ökade spårbarhet som följer med det centrala registret.

Summary

The 2012 Research and Innovation Bill (Government Bill 2012/13:30) notes that Swedish registers are unique in many respects. Combining data from them yields great opportunities for research. There are a number of important questions that can be answered by means of various registers and bodies of data.

Against this background, the Government has commissioned the Swedish Research Council to institute a function with the task of improving access to register data and facilitating their use for research purposes.

Statements made in the bill also constitute the background to this committee of inquiry. The committee's terms of reference give prominence to the potential existence of legal impediments to registerbased research. My task has been to analyse these impediments and to submit legislative and other proposals in order to

  • increase the extent to which agencies responsible for registers may disclose data for research purposes with regard paid to the protection of the individual's privacy,
  • facilitate joint processing of register data for research purposes and
  • make possible the privacy-assured collection of personal data for registers maintained for specific and explicitly stated research purposes and for longitudinal studies confined to the scope of such purposes.

With regard to the last point, this task is further specified in the terms of reference. The terms speak of the need for being able to create “new database infrastructures for definite, but relatively general, research purposes”. I have been asked to make proposals for the building of these infrastructures that can be used by researchers in

various research projects and that can be updated and augmented with new data when performing, e.g. longitudinal studies.

I have also had the task of investigating whether the existing secrecy protection regarding data handled within research is adequate to protect the individual's privacy in research.

In the work on this inquiry, I have been assisted by Associate Judge Magdalena Petersson, in the capacity of secretary, and by an expert group with representatives from ministries, government agencies and the research community. During the work, I have had numerous contacts with researchers possessing extensive experience of register-based research and with many of the agencies concerned.

What is meant by a register?

In the present context, registers principally refer to structured collections of personal data that have been created at government agencies primarily for purposes other than research. Examples may be given of registers at central government agencies that have been created for administrative or statistical purposes and registers at regions and county councils that have been created for evaluation and quality assurance in health care. Also of great interest in this context are biobanks, which are collections of biological specimens from individuals taken mainly in connection with care and treatment.

However, in the committee's terms of reference, registers also denote certain collections of data that have been primarily created for research purposes. The data in these can be collected from individuals directly or from theagency registers in question. Research registers of this kind are usually created for a specific research project, but there are also instances of registers being constructed to provide a basis for a number of future research projects that have not initially been defined. In this inquiry, these research registers are called research databases. They are an example of the infrastructure mentioned in the terms of reference.

Why is register data good for research?

It is a great advantage in many contexts for research to have access to extensive bodies of data. Agency registers, which generally contain data on all Swedish residents, or at least all those relevant in some

respect, are invaluable when seeking to describe the state of the population. The inclusion of all residents means that minorities and unusual phenomena can also be captured. An example of the latter might be rare diseases.

As a rule, the alternative to using data from registers is the collection of data directly from a sample of individuals. Such sample surveys are sometimes necessary because registers do not contain all the data in which researchers are interested. However, sample surveys may entail certain problems. Often, the research subjects selected are not especially representative. Even when the samples are representative, they often have to be limited, if nothing else, for economic reasons, and a certain loss also has to be accommodated, i.e. that some of those approached do not wish to participate for various reasons. Representativeness, sample size and loss all increase the uncertainty of research results. There are numerous examples of conclusions that have been drawn on the basis of smaller sample studies and proven to be incorrect when tested on the entire population in question.

Researchers are also dependent on extensive bodies of data in contexts other than the study of unusual phenomena. When they want to study how a particular intervention affects different individuals, a sample study might be adequate, but if they want to identify the various causes of a complex social phenomenon, a more extensive body of data is required. In longitudinal studies, which follow individuals or study one and the same phenomenon over time, registers are a particular asset. If these involve repeated contact with the individuals, there is a great risk that the sample will dwindle fairly quickly, e.g. because they get tired of participating.

It is often advantageous to be able to combine data that researchers themselves have collected during sample studies with data from registers. If certain data can be retrieved from registers, researchers will be able to limit the number of questions that they need to ask their interviewees. To obtain historical data on an individual participating in a sample, registers can frequently contain more reliable information than the individual is able to provide from memory. To follow up on the progress of individuals who have participated in a sample study, register data can be used to avoid inconveniencing these individuals with repeated questions. Data on all the different individuals involved in various sample surveys can only be found in comprehensive registers.

Data on individuals, also sensitive data, is often necessary for research. This is especially true of medical research, whose aim is to

understand the origin and development of diseases and to find cures. At the same time, all processing of personal data entails certain risks to the personal privacy of individuals. The greatest risk is of someone being exposed to the contempt of others if his or her personal circumstances become known. This is the background to the extensive legislation that is designed to protect the personal privacy of individuals and to manage the weighing of various interests that may be required.

Legal prerequisites for register-based research

Several international organisations, the United Nations (UN), the Council of Europe, the Organisation for Economic Co-operation and Development (OECD) and the European Union (EU), have produced guidelines on how personal data must be handled. Of particular importance to Sweden is the European Convention on Human Rights, incorporated in Swedish law since 1995, and the EU Data Protection Directive, which in Sweden has been implemented through the Personal Data Act (PUL). The EU is currently discussing a new Data Protection Regulation, which, if adopted, will become directly applicable in all Member States and thus replace PUL in Sweden. It is unclear when this might be adopted, and this inquiry therefore proceeds on the basis of existing law.

The Instrument of Government states that everyone shall be protected against significant invasions of their personal privacy, if these occur without their consent and involve the surveillance or systematic monitoring of the individual’s personal circumstances. This provision may be restricted by law, but only to satisfy a purpose that is acceptable in a democratic society.

PUL governs the processing of personal data. Such data may be collected only if this is legal and only for specific, explicitly stated and justified purposes. It may not be processed for any purpose that is incompatible with that for which the information is collected. Government agencies usually have legal support for the processing of personal data in special register statutes, which, i.a. specify the purpose and the data that may be processed. Under PUL, the processing of data for historical, statistical or scientific purposes shall not be regarded as incompatible with the purposes for which the information was collected. The aforementioned means that it is

possible, e.g. in research, to make secondary use of data that has been collected for other purposes.

The processing of data for purposes other than the original requires either the consent of the persons concerned to this processing or its necessity for, e.g. being able to perform a task of public interest. Research might be an example of such a task.

PUL classifies certain personal data as sensitive and prohibited to process. This applies to data disclosing race or ethnic origin, political opinions, religious or philosophical beliefs, membership of a trade union or pertaining to health and sex life. However, following ethics approval, such data, as well as data pertaining to certain kinds of legal offence and biological specimens, may be processed in research. Ethics approval is granted pursuant to the Act concerning the Ethical Review of Research Involving Humans (Ethical Review Act) by an ethical review board consisting of government-appointed representatives of the research community and the general public. The ethical review board shall also assess whether consent should be obtained or whether the data can be processed without consent. Where utilisation of an agency register is extensive, the praxis is not to require consent, as this would presuppose a disproportionate investment of resources.

The collection and other processing of personal data by government agencies is often justified by their need of that data in being able to fulfil their administrative tasks. This may relate to keeping track of the country's residents, to producing electoral registers for general elections, to assessing how much tax citizens should pay and the grants they are entitled to, and so on. In many cases, the data is used for decisions concerning individuals. In cases where agencies have been instructed to process personal data, the benefits from this processing have been assessed to outweigh the risks to personal privacy.

Another aim involved in the processing of personal data by government agencies is the production of statistics or the evaluation and quality assurance of activities. The production of statistics is often based on data from administrative registers, but in some cases, data is collected specifically for statistical purposes.

Official documents held by Swedish agencies are in principle public, but the right of the general public to view such documents may be restricted if called for out of consideration to, e.g. the individual's personal and financial circumstances. In such cases, there are often varying degrees of secrecy. The strongest secrecy applies

to data that has been collected for statistical purposes. Here, secrecy is absolute, which means that the data is in principle not to be disclosed.

However, also for this data, there exist certain provisions that override secrecy. For example, the data may be disclosed for research purposes if this can be achieved without risk of damage or harm to the person – or relatives of the person – whom the data concerns. If secret data is disclosed to another agency, such as a university or a university college, for research purposes, secrecy automatically attaches to that data. Where the disclosure is made to another party, it is usually with special reservations designed to provide equivalent protection.

It is the duty of the agency holding the register to consider whether personal data may be disclosed. Where the disclosure is made for research, it is common for the data to be disclosed in anonymised form. This means that researchers do not know which individuals the data concerns. Anonymised data can be coded or de-identified. Coded data means that the researcher receives data with a designation, e.g. a serial number, that does not carry identity information, while the agency retains a code key that links serial numbers to personal identity numbers and that makes it possible to supplement the data later on. The existence of such a possibility is important, for example in the case of longitudinal studies. When data is de-identified, this possibility does not exist.

Even if data is anonymised, there may be a risk of ‘reverse identification’, i.e. identifying an individual by compiling a series of data about that person. This is prohibited and, as far as is known, has never occurred in research. It is nevertheless a potential risk that might even increase with advances in computer technology. For this reason, it is important to have a clear set of regulations and security arrangements regarding personal data in research environments as well.

In some cases, particularly in medical research, there are instances of the disclosure of identifiable data. Often, the purpose is to allow researchers to contact the individuals in question or to check register data with data from patient records.

Privacy and register-based research

Responsibility for the processing of personal data in research lies with the responsible research bodies; as a rule, universities and university colleges. This responsibility ultimately belongs to their boards. There have been no instances of data leaking from research environments. An important explanation for this is the rules for secrecy and secure management that are in force. But like researchers, universities and university colleges also have other strong incentives for ensuring compliance; namely, to allow them to obtain data and conduct research. In addition, researchers are not primarily interested in individuals, but in population patterns.

It was in 2011 that the current provision of the Instrument of Government was introduced regarding the individual's protection against significant invasions of personal privacy, where these occur without consent and involve the surveillance or systematic monitoring of the individual’s personal circumstances. The question has been raised of whether the secondary use of personal data in agency registers without consent could be in conflict with this constitutional provision. The effect of collecting data for research could, regardless of intention, be considered to at least constitute the mapping of personal circumstances.

The Government Bill on a reformed Constitution noted that any assessment of significant invasions must attend, inter alia, to the purpose of processing data. The aim of research is not to map individual persons, but to identify patterns in a population. The processing of data from agency registers has its legal basis in the special register statutes that exist for agency registers and in PUL's provision stating that processing for scientific purposes is not incompatible with the original purposes for the processing of that data.

The legislator's intention is not likely to have been to prevent this processing of personal data in research. Also in the bill concerning the processing of personal data at the Institute for Evaluation of Labour Market and Education Policy (IFAU), the Government noted that the ‘IFAU database’ is not in conflict with the Constitution. However, it was the Government's assessment that considering this case involves the retention of a lot of data for a long period, it is plausible that there is a legal basis for the database.

My conclusion is that register-based research, research registers and research databases do not entail significant invasions of the

personal privacy of individuals, but that it is important that there be clear legal support for this activity.

According to the proportionality principle, central government should not impose restrictions or obligations beyond what is necessary to achieve the goal of a measure. The goal of register-based research is to gain knowledge about how society works and the measure being considered in this context; that is, the use of e.g., register data that has been collected for other purposes.

There are great advantages to being able to use register data in research. There is knowledge to be gained through such research that is difficult to gain with other methods. The risk of leaks and attendant harm to respondents is small. This is particularly true when data is disclosed in anonymised form, but even otherwise. When the benefits are weighed against the risks, register-based research appears to be a largely proportionate measure.

Experience from the Nordic countries

The prerequisites for register-based research are very similar in the other Nordic countries. They too have to proceed from applicable international regulations. Their counterparts to Sweden's Personal Data Act are, like that law, based on the EU Data Protection Directive and thus very similar. In some respects, they have chosen different solutions to Sweden in order to facilitate register-based research. Examples that may be given are that Denmark has created a well-developed system for remote access to health data and that Norway has established an independent organisation for depositing and archiving research material. Such examples may serve as sources of inspiration when the systems are being developed in Sweden.

Background, present situation and challenges

There are four important sources of data for register-based research: agency registers, health care quality registers, biobanks and research registers of various kinds.

Agency registers have been created primarily for purposes other than research. It is not possible for quality and documentation to always meet the needs of research. Data often needs to be processed

before they can be used in research. There is potential for development in this respect.

Quality registers in health care are constructed on the basis of interventions, disease episodes or chronic illnesses. They are of varying quality, but a major investment is now being undertaken by the Government and health care providers to increase quality and accessibility. At present, there are around 80 certified quality registers. Certification means that they meet certain quality standards. The current development programme covers the period 2013-16. When this expires, an assessment will have to be made about how to proceed.

Biobanks contain biological specimens. There are about 600 biobanks in Sweden, of which half are with health care providers and around 50 at universities that conduct medical research. One challenge is to increase the traceability of biobank specimens to make them more available to research.

There are many different kinds of research register. Most have been created for specific research projects. The Swedish National Data Service (SND) is a national resource for the coordination of existing and new research registers in the social sciences, humanities and medicine. SND is currently a joint project between the Swedish Research Council and the University of Gothenburg. One of its aims is for data collected for specific research to be made available and to be reusable in new research projects. However, the Data Inspection Board has determined that SND does not have the right to maintain registers containing personal data, by which is meant data that can in some way be identified (e.g. where a code key is still held). This represents a serious limitation of SND's activities.

The use of sensitive personal data or biological specimens in research requires ethical permission. When data is to be provided in anonymised form, the ethical review boards assess the risks as minor and grant permission as a matter of routine. This assessment is well in line with that made in some appeal matters considered by a court or by the Government. For the disclosure of such data in Denmark and Finland, these countries have chosen to work with general ethical permissions for certain authorised organisations. In Sweden, it should be possible to test a simplified process. Many of those concerned also perceive the forms that researchers have to fill in for ethics applications to be more detailed than necessary. There may be reason to review these forms, e.g. under the Register Data Council recently created by the Swedish Research Council.

Over the past ten years, Statistics Sweden (SCB) has developed a system for remote access to data. It is called MONA, Microdata Online Access. The system is used to make data available, not only from SCB but from most central government agencies responsible for official statistics. Researchers use a terminal in their work environment to connect to MONA and can process data without this leaving SCB. Processed data, in the form of, e.g. tables, may then be sent to researchers by e-mail. An evaluation of the MONA system has recently been initiated by the Swedish Research Council. As yet, there is no corresponding system for health data from the National Board of Health and Welfare, but the possibility of creating one will be examined during the evaluation of MONA.

There appear to be no legal impediments to providing data for research. The problems that may exist are instead found at the administrative level. For SCB, and also other agencies, research is not a priority task. In December 2012, the Statistics Inquiry proposed that SCB be instructed to make it a priority to supply data for research. The Ministry of Finance has announced that it intends to propose such an amendment, but no decision has yet been made. It is urgent that this be done as soon as possible. There may also be reason to make corresponding adjustments to the instructions of other agencies.

A register service unit has now been created at the National Board of Health and Welfare. At present, SCB is conducting an internal investigation with a somewhat similar aim in view. It is urgent that SCB also should create a central research service unit.

Much of today's research takes place in international collaboration. The disclosure of data across national borders is a challenge. These are complicated issues that have not been possible to analyse within the scope of this inquiry. However, discussions between the central agencies for statistics in the Nordic countries have recently been initiated by the Nordic Council and its research council, NordForsk, and are in progress.

Joint processing of data from various registers is often necessary in research. Even when multiple agencies are involved, this joint processing appears to be functioning relatively well. Where statistical agencies disclose sensitive data among themselves to facilitate joint processing, the legal basis for doing so has been questioned on occasion. It has also been questioned if there is a legal basis with regard paid to secrecy to disclose secret data to another agency to faciliate joint processing of data on behalf of a third agency. My

conclusion is that this processing can be carried out according to existing law.

Joint processing could be facilitated through the development of a ‘federated system’. This involves the retrieval of data from various sources to a trusted location, an institution that all the data owners trust and to which they can provide access to data without concern for its being spread. Connected to a trusted location of this kind, researchers work in the same way as in the current MONA system. Data is retrieved electronically to this trusted location directly from the sources without any transfer of data among the agencies taking place. In its Research and Innovation Bill, the Government was positive towards such a solution and stated that this would be investigated separately. However, no such initiative has been taken. A federated solution requires extensive technological development. Achieving a solution of this kind is likely to require a government initiative, possibly in coopeartion with the University of Umeå which has recently initiated av development program in this field.

SND is an important infrastructure for Swedish research. It is important that SND should become a permanent activity and be given reasonable conditions to fulfil its tasks. Today, researchers deposit copies of their data with SND. It would be advantageous if SND could become an archiving agency where original data could be deposited. As an archiving agency, SND would also become the controller of personal data for the information held, which would tackle the Data Inspection Board's objections to the current order. Norway and Denmark have organised corresponding activities in another way: in Norway as an independent organisation under the Ministry of Education and Research, and in Denmark as part of the State Archives. The Norwegian solution appears to be the most attractive with respect to the independence and development of the activity. The Government should appoint a committee of inquiry to draft a long-term solution for SND.

Assessments and proposals

Ethical Review

To simplify the management of matters where the research aim is to use only anonymised data from agency registers, it is proposed that the boards be able to delegate such matters to the chair.

It is further proposed that researchers should have the right to receive an opinion from the ethical review board on research projects that do not fall under the Ethical Review Act. The opportunity to request such an opinion exists today, but the board itself determines whether or not it wants to give an opinion.

It is also proposed that disclosure from research databases should always require ethical permission, regardless of whether this involves sensitive personal data.

Code key procedure

When data is disclosed in anonymised form, the disclosing agency may retain a code key that makes it possible to supplement the data later on. This possibility has primarily arisen to enable longitudinal studies, where the same individuals or phenomena are followed for a long period, and similar studies.

In longitudinal studies, the disclosing agency and researchers agree on how long the code key is to be retained. Normally, it is retained for three years with the possibility of extension. The disclosing agency may, however, be reluctant to retain the code key if it feels that the research questions have changed.

A code key might also be created and retained for other research projects, but normally for a considerably shorter period, usually three months. The aim is to be able to supplement disclosed data if something has gone wrong or if the researcher has overlooked something in the application.

There are several reasons for the standard retention of code keys for a longer period. Linking retention to the posing of the same research questions does not seem to be reasonable. It is natural for the research questions in a longitudinal study to be successively modified. During an ongoing project, a researcher might find that data needs supplementing even if this was not anticipated when the data was requested. Besides this, it is important in all research to provide opportunities for replication or for re-analysis of the same, or supplemented, data.

In light of this, it is proposed that code keys be retained at the disclosing agency for twenty years from the date of disclosure with the possibility of prolongation.

A new secrecy provision

To maintain public confidence in research, it is important for the regulatory framework to provide for the protection of the individual's privacy. Today, there are several different provisions that entail the secrecy of personal data processed in research. However, the regulations are not easy to survey, which can create uncertainty.

The Public Access to Information and Secrecy Act contains a specific provision on statistical secrecy. Data collected for statistical purposes is protected by absolute secrecy. The preparatory works to the legislation invoke three reasons for statistical secrecy. The interest of public access to such data is considered to carry little weight. A compilation of data which is, in itself, innocuous can sometimes be sensitive with respect to privacy. And a respondent must feel confident that his or her information is not revealed. These reasons also speak in favour of a corresponding secrecy protection for data collected for research.

Against this background, a corresponding research secrecy is proposed. This entails that personal data collected for research is always protected by absolute secrecy. As is the case for data collected for statistical purposes, there should be a provision that overrides secrecy for this data collected for research purposes to the effect that it can be used for other research if certain conditions are met.

This secrecy also carries a duty of confidentiality for those handling the data.

It is not only important for personal data to be protected by secrecy, but also for it to be processed in accordance with existing rules and in technically secure systems. All major universities and most university colleges have personal data representatives, whose task is to ensure that the controller of personal data, i.e. the higher education institution, complies with existing rules. In many cases, personal data representatives do not appear to have the resources and status necessary to perform this task satisfactorily. It is the boards of the higher education institutions that have the ultimate responsibility for ensuring that this activity functions satisfactorily. I propose that the Government in its annual instructions to universities and university colleges should request them to give even more inportance to the protection and security of processing personal data, e.g. by strengthening the position of the personal data representatives, and report taken measures back to the Government.

Research databases

The committee's terms of reference give prominence to the difficulties under current law in creating research databases for definite, but relatively general, research purposes. The Data Inspection Board has taken a hesitant view towards research databases for general purposes. It has also questioned the legality of the consent given by individuals when supplying data to such databases. The Ethical Review Act only allows the granting of ethics approval to specific research projects. Disclosing agencies find themselves prevented from disclosing data to databases where the specific research questions are unknown. In other words, there are currently no legal prerequisites for such research databases.

The Government and the Riksdag have in some cases passed special enactments to make research databases possible. One example is the act governing the ‘IFAU database’ and another the act governing certain registers for research on the significance of heredity and environment for human health (the “LifeGene Act”). Statistics Sweden also has a couple of such databases that are partly used for research.

According to an inventory commissioned by the Swedish Research Council, there are about an additional fifty research databases in Sweden. These may, for example, have been created a long time ago, before the current regulations were in place, have been built around a specific research project or approved through a generous interpretation of the Ethical Review Act.

The introduction of a special act on research databases is proposed. The idea is that this will state some general rules for research databases, but that each database will be supplemented with a government ordinance to regulate what further details should apply, e.g. purpose and content. The purpose of the research databases is to create a basis for research and to disclose data for research projects. Disclosure will always require ethics approval.

A ‘research database’ is an infrastructure that will be capable of use in future research projects by several different researchers from different higher education institutions and within different disciplines. The projects are not known when the database is created.

It should be possible to create research databases at state universities, university colleges and other public agencies commissioned to do reserach. The Swedish Research Council should be commissioned to propose to the Government which research databases should

exist. The Swedish Research Council should also enter agreements with the host universities regarding funding, organisation and accessibility. Funding should be secured for eight years ahead. Research databases are to be evaluated every eight years, preferably by an international evaluation group.

The controller of personal data, i.e. the higher education institution or other agency concernded, shall restrict its employees' electronic access to personal data to what each one needs to carry out tasks relating to the database. Administration of the research database shall be performed by a special and distinct unit.

The data collected in the research database will be retrievable from various sources. Certain data can be collected directly from individuals; other data can be retrieved from existing registers. Ensuring that the agencies are able to submit data to the research databases requires provisions on the obligation to provide information with respect to these. The special ordinances that will be in force for each research database should govern which agencies will be obligated to disclose data and which data this obligation will cover.

Individuals will be able to submit data and give informed consent to its being processed for the purposes specified in the ordinance for the research database.

The data in a research database will be protected by absolute secrecy, but with certain exceptions. Individuals will have the right to obtain, upon request, an extract of identifiable data registered in the database.

National biobank register

The Swedish biobank register is today a regional system. The register is held at six regional biobank centres operated by regions and county councils. The existence of a national biobank register would facilitate the traceability of biobank specimens in a variety of contexts. A register of this kind was proposed a few years ago by the state Biobank Inquiry. Its proposals have, for various reasons, not resulted in legislation.

In light of this, the present inquiry proposes that the Swedish biobank register be remodelled into a national system for the registration of biobank specimens, the National biobank register. It is proposed that the National Board of Health and Welfare become the register's controller of personal data.

Processing of data in the register will be allowed in order to facilitate traceability in the care and treatment of the registered person, in research, quality assurement and the production of statistics and in the destruction or de-identification of tissue specimens when the registered person has withdrawn his or her consent.

The data that may be registered relates primarily to the donor's identity, the donor's position on the handling of the specimens (consent), the nature of the tissue specimens, the biobank in which they are held and data on diagnosis and analysis results.

Absolute secrecy applies to the data contained in the register, but with provisions that override secrecy for, e.g. research. It will also be possible to disclose data in matters concerning the individual's care and treatment.

Registration is based on consent, i.e., when the biological specimen is stored in a bank, the individual takes a position on how it may be processed. However, the specimens already held in biobanks may be registered without specific consent. It should be emphasised that the persons concerned have consented to the specimens being stored in the biobank and how they may be used. The absence of consent applies only to the actual registration in the national register. The opportunity to withdraw consent always exists and is facilitated by the increased traceability that comes with the central register.

1. Författningsförslag

1.1. Förslag till lag om ändring av lagen (2001:99) om den officiella statistiken

Härigenom föreskrivs att 16, 17 och 18 §§ lagen (2001:99) om den officiella statistiken ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

16 §

När en statistikansvarig myndighet lämnar ut uppgifter som inte direkt kan hänföras till en enskild, får myndigheten i samband med utlämnandet förse uppgifterna med en beteckning som hos den statistikansvariga myndigheten kan kopplas till personnummer eller motsvarande för att göra det möjligt att senare komplettera uppgifterna. En så-

dan åtgärd får vidtas om den som uppgifterna lämnas ut till skall använda dessa för forskning eller statistik samt har ett särskilt behov av att senare kunna komplettera uppgifterna.

När en statistikansvarig myndighet lämnar ut uppgifter som inte direkt kan hänföras till en enskild för forskningsändamål ska myndigheten i samband med utlämnandet förse uppgifterna med en beteckning som hos den statistikansvariga myndigheten kan kopplas till personnummer eller motsvarande för att göra det möjligt att senare komplettera uppgifterna i ett forskningsprojekt

eller utföra uppföljning, replikation eller granskning av samma projekt.

En förteckning över beteckning och personnummer (kodnyckel) ska bevaras hos den utlämnande myndigheten i tjugo år från utlämnandet av de uppgifter som kodnyckeln avser. Tiden för beva-

Om en uppgift rättats, blockerats eller utplånats hos den statistikansvariga myndigheten skall myndigheten vidta de åtgärder som behövs för att uppgifterna

skall kunna ändras hos den som

uppgifterna lämnats ut till.

randet av kodnyckeln kan därefter förlängas av den myndighet som bevarar den eller på ansökan av forskningshuvudman som använder uppgifter som kodnyckeln är kopplad till.

Om en uppgift rättats, blockerats eller utplånats hos den statistikansvariga myndigheten ska myndigheten vidta de åtgärder som behövs för att uppgifterna

ska kunna ändras hos den som

uppgifterna lämnats ut till.

17 §

Uppgifter som lämnats ut i fall som avses i 16 § första stycket får av den som uppgifterna lämnas ut till behandlas endast för forskning eller statistik.

När en statistikansvarig myndighet lämnar ut uppgifter som inte direkt kan hänföras till en enskild för statistikändamål, får myndigheten i samband med utlämnandet förse uppgifterna med en beteckning som hos den statistikansvariga myndigheten kan kopplas till personnummer eller motsvarande för att göra det möjligt att senare komplettera uppgifterna. En sådan åtgärd får vidtas om den som uppgifterna lämnas ut till har ett särskilt behov av att senare kunna komplettera uppgifterna.

Om en uppgift rättats, blockerats eller utplånats hos den statistikansvariga myndigheten ska myndigheten vidta de åtgärder som behövs för att uppgifterna ska kunna ändras hos den som uppgifterna lämnats ut till.

18 §

Den som har fått personuppgifter som avses i 16 § första stycket behöver inte lämna information till den registrerade om att uppgifter behandlas, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Inte heller behöver den som behandlar uppgifterna på begäran av den registrerade rätta, blockera eller utplåna uppgifter.

Den som har fått personuppgifter som avses i 16 § första stycket och 17 § första stycket behöver inte lämna information till den registrerade om att uppgifter behandlas, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Inte heller behöver den som behandlar uppgifterna på begäran av den registrerade rätta, blockera eller utplåna uppgifter.

Denna lag träder i kraft den 1 januari 2016.

1.2. Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor

Härigenom föreskrivs i fråga om lagen (2003:460) om etikprövning av forskning som avser människor

dels att 3 och 27 §§ ska ha följande lydelse

dels att det i lagen ska införas en ny paragraf, 5 a §, av följande

lydelse.

Nuvarande lydelse Föreslagen lydelse

3 §1

Denna lag ska tillämpas på forskning som innefattar behandling av

1. känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204), eller

2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen.

1. känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204),

2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen,

eller

3. personuppgifter i en forskningsdatabas som förs med stöd av lagen ( 0000:00 ) om forskningsdatabaser.

5 a §

En regional etikprövningsnämnd ska på begäran lämna rådgivande yttranden över forskning som avser människor i de fall forskningen inte omfattas av denna lag. Nämnden får även lämna rådgivande yttranden över

1 Senaste lydelse SFS 2008:192

arbeten som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.

27 §

En avdelning är beslutför med ordföranden ensam vid – förberedande åtgärd, – rättelse av skrivfel och liknande,

– annat beslut som inte innebär något slutligt avgörande av ett ärende, och

– prövning av fråga om avvisning eller avskrivning av ärende.

Ordföranden får lämna över sådana uppgifter som avses i första stycket till en föredragande vid nämnden.

1. förberedande åtgärd,

2. rättelse av skrivfel och lik-

nande,

3. annat beslut som inte inne-

bär något slutligt avgörande av ett ärende,

4. prövning av fråga om avvis-

ning eller avskrivning av ärende,

och

5. prövning av ärende som avser forskning som endast innefattar behandling av personuppgifter som hämtats från myndighetsregister med uppgifter som primärt samlats in för andra ändamål än forskning och som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde.

Ordföranden får lämna över sådana uppgifter som avses i första stycket 1–4 till en föredragande vid nämnden.

En avdelning får lämna över till ordföranden eller någon annan ledamot att efter prövning i sak avgöra ett visst ärende eller ärenden som är sådana att tidigare vägledande avgöranden kan tillämpas eller som annars är av sådant slag att de inte behöver avgöras av avdelningen.

1. Denna lag träder i kraft den 1 januari 2016.

2. Bestämmelsen i 27 § gäller i sin äldre lydelse beträffande ärenden som inkommit till etikprövningsnämnden före ikraftträdandet.

1.3. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)

dels att 10 kap. 23 och 27 §§, 11 kap. 3 §, 24 kap. 1 och 9 §§ samt

25 kap. 11 och 18 §§ ska ha följande lydelse,

dels att 24 kap. 4 § ska upphöra att gälla,

dels att rubriken till 24 kap. 1 § ska ha följande lydelse,

dels att det i 24 kap. ska införas en ny paragraf, 15 a §, av följande

lydelse.

Nuvarande lydelse Föreslagen lydelse

10 kap.

23 §2

Om inte annat följer av 19– 22 §§ får en uppgift som angår misstanke om ett begånget brott och som är sekretessbelagd enligt 24 kap. 2 a eller 8 §, 25 kap. 1 §, 2 § andra stycket eller 3– 8 §§, 26 kap. 1–6 §§, 29 kap. 1 §, 31 kap. 1 § första stycket, 2 eller 12 §, 33 kap. 2 §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, polismyndighet eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår

Om inte annat följer av 19– 22 §§ får en uppgift som angår misstanke om ett begånget brott och som är sekretessbelagd enligt 24 kap. 1, 2 a eller 8 §, 25 kap. 1 §, 2 § andra stycket, 3– 8 eller 15 a §§, 26 kap. 1–6 §§, 29 kap. 1 §, 31 kap. 1 § första stycket, 2 eller 12 §, 33 kap. 2 §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, polismyndighet eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår

1. brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år,

2. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller

3. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till över-

2 Senaste lydelse SFS 2013:795.

föring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).

27 §3

Utöver vad som följer av 2, 3, 5 och 15–26 §§ får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.

Första stycket gäller inte i fråga om sekretess enligt 24 kap. 2 a och 8 §, 25 kap. 1–8 §§, 26 kap. 1–6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.

Första stycket gäller inte i fråga om sekretess enligt 24 kap.

1, 2 a och 8 §§, 25 kap. 1–8 och 15 a §§, 26 kap. 1–6 §§, 29 kap. 1

och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.

Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning eller föreskrift som har meddelats med stöd av personuppgiftslagen (1998:204).

11 kap.

3 §

Får en myndighet i sin forsk-

ningsverksamhet från en annan

myndighet en sekretessreglerad uppgift, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten.

Får en myndighet en uppgift

som är belagd med sekretess enligt 24 kap. 1 § från en annan myn-

dighet, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten.

Första stycket tillämpas inte på en uppgift som ingår i ett beslut hos den mottagande myndigheten.

24 kap.

1 §

Psykologisk undersökning Forskning

Sekretess gäller för uppgift som

hänför sig till psykologisk undersökning som utförs för forsknings-

Sekretess gäller i forsknings-

verksamhet för uppgift som avser en enskilds personliga eller ekono-

3 Senaste lydelse SFS 2013:795.

ändamål, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon närstående till denne lider men.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

miska förhållanden och som kan hänföras till den enskilde. Uppgift som behövs för forskningsändamål eller uppgift som behövs i en utredning av oredlighet i forskning eller för att yttrande ska kunna lämnas i samband med sådan utredning får dock lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.

Sekretess enligt första stycket gäller också i verksamhet som avser förande av eller uttag ur databaser enligt lagen ( 0000:00 ) om forskningsdatabaser.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år, om uppgiften avser en

enskilds personliga förhållanden, och annars i högst tjugo år.

Med forskning avses i denna paragraf detsamma som enligt lag ( 2003:460 ) om etikprövning av forskning som avser människor.

9 §4

Den tystnadsplikt som följer av 2 a och 8 §§ och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.

Den tystnadsplikt som följer av 1, 2 a och 8 §§ och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.

4 Senaste lydelse SFS 2013:795.

Den tystnadsplikt som följer av 2 § inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.

25 kap.

11 §5

Sekretessen enligt 1 § hindrar inte att uppgift lämnas

1. från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun,

2. från en myndighet som bedriver verksamhet som avses i 1 § i ett landsting till en annan sådan myndighet i samma landsting,

3. till en myndighet som bedriver verksamhet som avses i 1 § eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen (2008:355),

4. till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen,

5. från en myndighet som be-

driver verksamhet som avses i 1 § inom en kommun eller ett landsting till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs, eller

6. till en enskild enligt vad som

föreskrivs i

5. till register som förs med stöd av lagen ( 0000:00 ) om Nationella biobanksregistret,

6. från en myndighet som be-

driver verksamhet som avses i 1 § inom en kommun eller ett landsting till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs, eller

7. till en enskild enligt vad

som föreskrivs i

– lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål,

– lagen (1991:1129) om rättspsykiatrisk vård, – smittskyddslagen (2004:168), – 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.,

5 Senaste lydelse SFS 2010: 214

– lagen (2006:496) om blodsäkerhet, eller – lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler.

15 a §

Sekretess gäller i verksamhet som avser förande av eller uttag ur det register som förs enligt lagen ( 0000:00 ) om Nationella biobanksregistret vad gäller uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden.

Sekretessen hindrar inte att uppgift lämnas ut i den utsträckning som framgår av den lag som avses i första stycket, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

18 § 6

Den tystnadsplikt som följer av 7, 9, 16, 17 och 17 a §§ inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.

Den tystnadsplikt som följer av 7, 9, 15 a, 16, 17 och 17 a §§ inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.

Den tystnadsplikt som följer av 1–5 §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställigheten av beslut om omhändertagande eller beslut om vård utan samtycke.

Den tystnadsplikt som följer av 8 § inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift i anmälan till Inspektionen för vård och omsorg eller Hälso- och sjukvårdens ansvarsnämnd.

6 Senaste lydelse SFS 2013:626.

Denna lag träder i kraft den 1 januari 2016.

1.4. Förslag till lag om ändring i patientsäkerhetslagen (2010:659)

Härigenom föreskrivs att 6 kap. 12 § patientsäkerhetslagen (2010:659) att ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

12 §

Den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården får inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning.

Tystnadsplikt som gäller för en uppgift om en patients hälsotillstånd gäller även i förhållande till patienten själv, om det med hänsyn till ändamålet med hälso- och sjukvården är av synnerlig vikt att uppgiften inte lämnas till patienten.

Tystnadsplikt enligt första stycket hindrar inte att uppgift lämnas till register som förs med stöd av lagen ( 0000:00 ) om Nationella biobanksregistret.

För det allmännas verksamhet gäller offentlighets- och sekretesslagen (2009:400).

Denna lag träder i kraft den 1 januari 2016.

1.5. Förslag till lag (20xx:xx) om forskningsdatabaser

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Statliga universitet eller högskolor som omfattas av högskolelagen (1992:1434) och andra statliga myndigheter som har i uppdrag att bedriva forskning får utföra behandling av personuppgifter för de ändamål som anges i 5 §.

Lagen gäller bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Om personuppgifter samlas in direkt från den enskilde får personuppgifterna behandlas endast om han eller hon har fått den information som anges i 17 § och lämnat sitt uttryckliga samtycke till behandlingen. För återkallelse av ett lämnat samtycke tillämpas 12 § personuppgiftslagen (1998:204).

Definitioner

2 § I denna lag avses med

forskningsdatabas: en databas (uppgiftssamling) med uppgifter

som samlas in från enskilda individer eller från myndighetsregister och som är en nationell infrastruktur för att tillhandahålla uppgifter till flera olika framtida forskningsprojekt.

forskning: detsamma som enligt lag (2003:460) om etikprövning

av forskning som avser människor.

Förhållandet till personuppgiftslagen

3 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen.

Personuppgiftsansvar

4 § De statliga myndigheter som utför behandlingen av personuppgifter är personuppgiftsansvariga.

Ändamål

5 § Personuppgifter i en forskningsdatabas får behandlas för ändamålen att

1. skapa underlag för olika forskningsprojekt och

2. lämna ut uppgifter till forskningsprojekt, under förutsättning att såväl forskningen som behandlingen av uppgifterna i projektet har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

6 § Personuppgifter som behandlas för de ändamål som anges i 5 § får också lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning.

Personuppgifter som har registrerats enligt denna lag får alltid lämnas ut till den registrerade själv, dock inte i fråga om personuppgifter som inte direkt kan hänföras till en person.

7 § Personuppgifter som behandlas för de ändamål som anges i 5 § får, utöver vad som följer av 6§, lämnas ut om det finns en skyldighet enligt lag att göra det. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Behandlingen av personuppgifter i forskningsdatabasen

8 § Uppgifter som hämtats från andra myndighetsregister för de ändamål som anges i 5 § får behandlas under förutsättning att uppgifterna inte direkt kan hänföras till en person, om inte regeringen eller den myndighet regeringen bestämmer har meddelat föreskrifter om att behandling av identifierbara uppgifter får ske.

Kodnyckelförfarande

9 § Om de personuppgifter som lämnas ut från forskningsdatabasen inte direkt kan hänföras till en enskild ska den personuppgiftsansvarige i samband med utlämnandet förse uppgifterna med en beteckning som hos myndigheten kan kopplas till personnummer eller motsvarande identitetsbeteckning. En förteckning över beteckning och personnummer (kodnyckel) ska bevaras hos den personuppgiftsansvarige i tjugo år från utlämnandet av de uppgifter som kodnyckeln avser. Tiden för bevarandet av kodnyckeln kan därefter förlängas av den myndighet som bevarar den eller på ansökan av den forskningshuvudman som använder uppgifter som kodnyckeln är kopplad till.

Om en uppgift rättats, blockerats eller utplånats i forskningsdatabasen ska den personuppgiftsansvariga myndigheten vidta de åtgärder som behövs för att uppgifterna ska kunna ändras hos den som uppgifterna lämnats ut till.

Den som har fått personuppgifter enligt första stycket behöver inte lämna information till den registrerade om att uppgifter behandlas, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Inte heller behöver den som behandlar uppgifterna på begäran av den registrerade rätta, blockera eller utplåna uppgifter.

Innehåll

10 § En forskningsdatabas får innehålla endast de uppgifter som behövs för de ändamål för vilka personuppgifter får behandlas enligt 5 §.

Sökbegrepp

11 § Som sökbegrepp i en forskningsdatabas får användas uppgifter som enligt 10 § får ingå i en forskningsdatabas.

Utlämnande genom direktåtkomst

12 § Utlämnande genom direktåtkomst till personuppgifter i databasen får inte förekomma.

Förbud mot bakvägsidentifiering

13 § Personuppgifter som inte direkt kan hänföras till en person och som behandlas med stöd av denna lag får inte behandlas i syfte att röja en persons identitet.

Intern elektronisk åtkomst

14 § Den personuppgiftsansvarige ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om databasen.

Gallring

15 § Personuppgifter som inte längre behövs för de ändamål som avses i 5 § ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Information

16 § Bestämmelserna i 26 § personuppgiftslagen (1998:204) om information efter ansökan gäller inte i fråga om personuppgifter som inte direkt kan hänföras till en person.

17 § Innan en person lämnar sitt samtycke enligt 1 § tredje stycket ska han eller hon ha informerats om

1. att det är frivilligt att lämna uppgifter,

2. för vilka ändamål behandling kan ske enligt 5, 6 och 7 §§ och vilka uppgifter som får registreras enligt 10 §,

3. de sekretess- och säkerhetsbestämmelser som gäller för databasen,

4. vem som är personuppgiftsansvarig,

5. hur länge uppgifterna kan komma att sparas,

6. rätten till rättelse av uppgifterna,

7. rätten till information enligt 26 § personuppgiftslagen (1998:204),

8. rätten till skadestånd, och

9. rätten att få uppgifter utplånade.

Rättelse och skadestånd

18 § Bestämmelserna om rättelse och skadestånd i 28 och 48 §§personuppgiftslagen (1998:204) tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med denna lag.

Ansvar

19 § Den som bryter mot 13 § ska dömas för olovlig identifiering till böter eller fängelse i högst ett år, om gärningen inte är belagd med straff i brottsbalken eller personuppgiftslagen. I ringa fall döms inte till ansvar.

Ytterligare föreskrifter

20 § Regeringen meddelar ytterligare föreskrifter om

1. vilka statliga myndigheter som får föra forskningsdatabaser enligt denna lag och vilka forskningsdatabaser enligt lagen som får föras,

2. begränsning av de i 5 § angivna ändamålen,

3. begränsningar av de uppgifter som en forskningsdatabas enligt 10 § får innehålla,

4. begränsningar av behandling av uppgifter i en forskningsdatabas,

5. begränsningar vid behandling genom utlämnande av uppgifter från en forskningsdatabas

6. uppgiftsskyldighet och

7. begränsningar i rätten till intern elektronisk åtkomst.

Denna lag träder i kraft den 1 januari 2016.

1.6. Förslag till lag (20xx:xx) om Nationella biobanksregistret

Lagens tillämpningsområde

1 § Socialstyrelsen får utföra helt eller delvis automatiserad behandling av uppgifter i Nationella biobanksregistret.

Personuppgiftsansvar

2 § Socialstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i Nationella biobanksregistret.

Förhållande till personuppgiftslagen

3 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen.

Den registrerades inställning till personuppgiftsbehandling

4 § Uppgifter om vävnadsprover i en biobank enligt lag (2002:297) om biobanker i hälso- och sjukvården m.m. som behandlas när denna lag träder i kraft får inte behandlas i Nationella biobanksregistret om den registrerade motsätter sig det.

Uppgifter om vävnadsprover i en biobank som avses i första stycket som börjar behandlas efter ikraftträdandet av denna lag får inte registreras i Nationella biobanksregistret utan att den som uppgifterna avser har samtyckt till att personuppgifter behandlas enligt denna lag.

Underåriga

5 § Personuppgifter som avses i 4 § första stycket och som avser en underårig får inte behandlas i Nationella biobanksregistret om den underåriges vårdnadshavare motsätter sig det.

Personuppgifter som avses i 4 § andra stycket och som avser en underårig får inte registreras i Nationella biobanksregistret utan att

den underåriges vårdnadshavare fått sådan information som anges i 12 § och därefter lämnat sitt samtycke.

Har den underårige uppnått en sådan ålder och mognad att han eller hon kan ta ställning till frågan gäller vad som sagts den underårige själv.

Ändamål

6 § Uppgifter i Nationella biobanksregistret får behandlas för att säkerställa spårbarhet för vävnadsprover i sådan verksamhet som avses i 1 kap. 3 § lagen (2002:297) om biobanker i hälso- och sjukvården m.m. i syfte att möjliggöra

1. vård och behandling av den registrerade,

2. forskning, kvalitetssäkring och framställning av statistik, och

3. förstörande eller avidentifiering av vävnadsprover när den registrerade har återkallat sitt samtycke.

7 § Uppgifter som behandlas enligt 6 § får också lämnas ut om det finns en skyldighet enligt lag att göra det. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Innehåll

8 § Nationella biobanksregistret får endast innehålla uppgifter som avser

1. provgivares identitet,

2. vilka andra personer som har att ta ställning till bevarande av vävnadsprover,

3. ställningstaganden till bevarande av vävnadsprover,

4. vävnadsprovers identitet, karaktär och hantering,

5. vem som behandlar uppgifter eller vävnadsprover,

6. till vem vävnadsprover utlämnas eller överlåts och

7. uppgift om diagnos och analysresultat.

Sökbegrepp

9 § Som sökbegrepp i Nationella biobanksregistret får användas uppgifter som enligt 8 § får ingå i registret.

Intern elektronisk åtkomst

10 § Den personuppgiftsansvarige ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till uppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om registret.

Direktåtkomst

11 § Utlämnande genom direktåtkomst till uppgifter i registret får inte förekomma.

Information

12 § Innan en person lämnar sitt samtycke enligt 4 § andra stycket ska han eller hon ha informerats om

1. att det är frivilligt att lämna uppgifter,

2. för vilka ändamål behandling kan ske enligt 6 och 7 §§ och vilka uppgifter som får registreras enligt 8 §,

3. de sekretess- och säkerhetsbestämmelser som gäller för registret,

4. vem som är personuppgiftsansvarig,

5. hur länge uppgifterna kan komma att sparas,

6. rätten till rättelse av uppgifterna,

7. rätten till information enligt 26 § personuppgiftslagen (1998:204),

8. rätten till skadestånd, och

9. rätten att få uppgifter utplånade.

Utplåning av uppgifter

13 § Den registrerade har rätt att när som helst begära att uppgifter i registret om honom eller henne ska utplånas. En sådan begäran ska göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den registrerade själv. Uppgifterna ska utplånas så snart som möjligt.

Rättelse och skadestånd

14 § Bestämmelserna i 28 och 48 §§personuppgiftslagen (1998:204) om rättelse och skadestånd tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med denna lag.

Denna lag träder i kraft den 1 januari 2016.

2. Direktiv, arbetssätt och disposition

Vetenskapsrådet (VR) initierade i mitten av 00-talet en satsning på registerbaserad forskning. Resurser avsattes för att skapa en bättre infrastruktur och för forskningsprojekt baserade på registerstudier. I de senaste forskningspropositionerna, såväl 2008 som 2012, har regeringen uttalat sig positivt om registerbaserad forskning. Svensk registerforskning har i många avseenden varit framgångsrik, men dess fulla potential har enligt regeringen inte utnyttjats. Åtgärder har därför vidtagits i syfte att stimulera registerbaserad forskning.

Regeringen har uppdragit åt VR att inrätta en särskild funktion för att underlätta registerbaserad forskning. Som ett led i det arbetet har rådet under våren 2014 inrättat ett registerdataråd med representanter från berörda myndigheter och forskningen.

2.1. Direktiven

I januari 2013 beslutade regeringen om direktiv för den utredning som härmed presenterar sitt betänkande. I utredningsdirektiven framhålls att det kan finnas rättsliga hinder för registerbaserad forskning. Jag har därför fått i uppdrag att analysera dessa och att lämna författningsförslag och andra förslag i syfte att

  • registeransvariga myndigheter i större utsträckning ska kunna lämna ut uppgifter för forskningsändamål med hänsyn tagen till skyddet för den enskildes integritet,
  • sambearbetning av registeruppgifter för forskningsändamål ska underlättas, och
  • göra det möjligt att på ett integritetssäkert sätt samla in personuppgifter till register som förs för särskilda och uttryckligt an-

givna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål.

På den sistnämnda punkten specificeras uppdraget ytterligare i direktiven. Det talas där om ett behov av att kunna skapa ”nya databasinfrastrukturer för bestämda, men relativt allmänt hållna, forskningsändamål”. Jag ska föreslå hur sådana infrastrukturer ska kunna byggas, som kan användas av forskare i olika forskningsprojekt och som kan uppdateras och tillföras nya uppgifter vid till exempel longitudinella studier.

Jag har även haft till uppgift att undersöka om det befintliga sekretesskyddet för uppgifter som hanteras inom forskning är tillräckligt för att skydda den enskildes integritet vid forskning. Direktiven återfinns i bilaga 1.

2.2. Expertgruppen

Till min hjälp i utredningsarbetet har jag haft en expertgrupp med representanter från myndigheter och forskningen. I gruppen har ingått:

Björn Halleröd, professor i sociologi vid Göteborgs universitet.

Har forskat om levnadsförhållanden, fördelning av ekonomiska resurser och ekonomisk utsatthet. Leder i dag projekt om barns levnadsförhållanden i utvecklingsländer och forskning om äldres levnadsförhållanden, det senare inom ramen för forskningscentret AgeCap (Centrum för åldrande och hälsa vid Göteborgs universitet). Har under en följd av år haft uppdrag för VR och är nu vice ordförande i Rådet för infrastruktur.

Mats G Hansson, professor i biomedicinsk etik och föreståndare

för Centrum för forskningsetik & bioetik vid Uppsala universitet. Är sedan 1998 aktiv inom forskning kring etiska aspekter av register- och biobanksbaserad forskning. Leder ett flertal arbetspaket kring sådana frågor i europeiska forskningsprojekt och inom BBMRI.se. (Biobanking and Molecular Resource Infrastructure of Sweden).

Cecilia Magnusson Sjöberg, professor vid juridiska fakulteten vid

Stockholms universitet. Har lång erfarenhet av juridiken kring informationsteknologin. Är en internationellt etablerad forskare och har varit verksam vid bland annat King’s College i London. Var tidigare innehavare av Kungliga Vetenskapsakademiens forskartjänst i rättsvetenskap. Är ämnesföreträdare för rättsinformatik på bland annat

juristprogrammet på Stockholms universitet och medverkar i flera statliga utredningar.

Eva Nilsson, chefsjurist vid Statistiska centralbyrån (SCB). Har

mångårig erfarenhet från olika myndigheter av register- och annan integritetslagstiftning. Har medverkat i ett flertal lagstiftningsarbeten inom området. Leder SCB:s Dataskyddsråd och representerar Sverige i internationella sammanhang rörande konfidentialitets- och tillgängliggörandefrågor inom det statistiska och vetenskapliga området.

Peter Nilsson, professor i klinisk kardiovaskulär forskning vid

Lunds universitet och överläkare vid Skånes universitetssjukhus i Malmö. Har mångårig erfarenhet av epidemiologisk forskning med fokus på kardiovaskulär sjukdom, fetma och diabetes. Leder det strategiska forskningsområdet Epidemiologi för Hälsa (EpiHealth) vid Lunds och Uppsala universitet. Representerar Lunds universitet i BBMRI.se och har publicerat cirka 300 originalartiklar inom olika forskningsområden.

Karin Nylén, chefsjurist vid Myndigheten för vårdanalys. Har på

VR:s uppdrag skrivit rapporten Rättsliga förutsättningar för en databasinfrastruktur för forskning. Var tidigare enhetschef vid Socialstyrelsen och dessförinnan rättssakkunnig i frågor om bland annat etikprövning, personuppgiftsbehandling och sekretess. Har även arbetat vid Brottsförebyggande rådet (BRÅ) med den typen av integritetslagstiftning.

Petter Odmark, departementsråd och analyschef vid Social-

departementet. Har en bakgrund som enhetschef på Socialdepartementet och mångårig erfarenhet från kommittéväsendet i olika utredningar på socialförsäkringsområdet. Leder som analyschef en verksamhet med fokus på kvantitativa analyser inom välfärdspolitiken och med en särskild tyngdpunkt på mikrosimulering.

Petra Otterblad Olausson, avdelningschef vid Socialstyrelsen.

Har mångårig erfarenhet av utveckling och förvaltning av nationella register, registerbaserad forskning och statistikfrågor liksom av egen registerbaserad forskning. Är ansvarig för Socialstyrelsens verksamhet som rör service till forskare och utlämnande av data för forskningsändamål. Är ledamot av beslutgruppen för nationella kvalitetsregister och VR:s registerdataråd.

Magnus Stenbeck, docent i sociologi vid Stockholms universitet.

Har mångårig erfarenhet av forskning inom samhällsvetenskap och epidemiologi. Var tidigare ansvarig för analysverksamheten vid Epidemiologiskt centrum på Socialstyrelsen. Är sedan 2007 ansvarig

för Vetenskapsrådets infrastruktursatsning gällande registerdata. Var sekreterare i statistikutredningen för delbetänkandet om registerforskning och har författat ett femtiotal publikationer inom samhällsvetenskap och epidemiologi.

Victoria Söderqvist, jurist vid SCB. Har tidigare arbetat som

jurist vid Datainspektionen och vid Karolinska institutet (KI). Har lång efterenhet av att hantera juridiska frågeställningar som uppkommer vid utförande av forskning, särskilt när det gäller behandling av personuppgifter, sekretessfrågor och upprättande av avtal för forskningsfinansiering.

I expertgruppens arbete har också tre sakkunniga från Utbildningsdepartementet medverkat:

Per Eriksson, jur.kand. och kansliråd. Maria Wästfelt, med.dr. och departementssekreterare på forsk-

ningspolitiska enheten.

Ann-Sofie Hollsten-Yamamoto, fil.kand. och departementssekre-

terare på forskningspolitiska enheten.

Expertgruppen har sammanträtt fem gånger: vid ett första tillfälle våren 2013 för brain storming kring utredningsuppdraget, därefter vid tre tillfällen för att diskutera olika underlag som har tagits fram inom och för utredningen. Vid dessa tillfällen har också externa experter medverkat. Till sist har gruppen träffats en gång för att diskutera ett utkast till betänkande.

2.3. Kontakter

Jag har under utredningsarbetets gång haft omfattande kontakter med forskare, berörda myndigheter och också företrädare för registerbaserad forskning i våra nordiska grannländer.

Jag har gjort dryga tiotalet besök vid olika universitet och träffat ett åttiotal forskare, de flesta med omfattande erfarenheter av registerbaserad forskning. Jag har haft en överläggning med styrelsen för Svensk Nationell Datatjänst (SND). Jag har vidare träffat företrädare för (i bokstavsordning) BBMRI.se, BRÅ, Centrala etikprövningsnämnden (CEPN), Datainspektionen, Forskningsrådet för hälsa, arbetsliv och välfärd (FORTE), Nationellt Biobanksråd (NBR), regionala etikprövningsnämnder, Riksarkivet, VR, Rättsmedicinalverket, Socialstyrelsen, Statens Medicinsk-Etiska Råd (SMER), SCB, Sveriges Kommuners och Landstings och regeringens gemensamma kvalitetsregisterkansli samt Uppsala biobank.

I ett par hearings har såväl forskare som myndighetsföreträdare deltagit.

Jag har besökt våra nordiska grannländer och träffat företrädare för Ministeriet for Forskning, Innovation og Videregående Uddannelser, Köpenhamns universitet, Statens Serum Institut och Danmarks statistik i Danmark, Folkehelseinstituttet i Norge och Institutet för hälsa och välfärd (Terveyden ja hyvinvoinnin laitos, THL) i Finland.

Jag har därtill deltagit i en ett antal konferenser och seminarier om registerbaserad forskning i regi av Umeå och Lunds universitet, de regionala etikprövningsnämnderna, Nordforsk, Vetenskapsrådet, SCB, Studieförbundet Näringsliv och Samhälle (SNS) och bokförlaget Borea.

På mitt uppdrag har tre underlagsrapporter skrivits för utredningen. Professorerna Robert Erikson och Måns Rosén har skrivit rapporten Stora registermaterial bidrar till bättre forskning, Anders Ekholm med flera rapporten Vad är mikrosimulering? och Joanna Stjernschantz Forsberg rapporten Om registerforskning och integritet.

2.4. Disposition

Betänkandet är disponerat på följande sätt.

I kapitel 1 redovisas författningsförslagen. I kapitel 3 ges en kort introduktion om vad som i detta sammanhang ska förstås med register. Jag beskriver också, likaledes kort, varför myndigheter skapar register med personuppgifter.

I kapitel 4 redovisar jag varför uppgifter ur register kan vara värdefulla för forskningen. Vilka alternativa metoder finns att få fram uppgifter och vilka fördelar och nackdalar finns med olika metoder?

Kapitel 5 är en omfattande genomgång av de rättsliga förutsättningarna för registerbaserad forskning.

I kapitel 6 diskuterar jag förhållandet mellan personlig integritet och registerbaserad forskning. Vilka är riskerna? Vilka värden står på spel? Hur ska man se på intresseavvägningen mellan värdet av registerbaserad forskning och riskerna för den personliga integriteten?

I kapitel 7 redovisas situationen i våra nordiska grannländer. Mycket är ganska likt i dessa, men i några avseenden finns skillnader av intresse.

Kapitel 8 är en genomgång av bakgrunden, nuläget och utmaningarna för registerbaserad forskning. Hur stora är de problem som pekas ut i utredningsdirektiven? Vilka andra problem finns? Och vilka lösningar står till buds?

I kapitel 9 återfinns mina konkreta förslag. I kapitel 10 behandlas ikraftträdande och övergångsbestämmelser. I kapitel 11 redovisas ekonomiska och andra konsekvenser av förslagen och i kapitel 12 finns författningskommentarerna.

2.5. Terminologifrågor

Låt mig också redan inledningsvis beröra ett par terminologiska frågor. Det finns en lång rad begrepp som återkommer i diskussionen om registerbaserad forskning och som inte är helt entydiga. Låt mig därför redovisa hur jag i två avseenden har valt att använda begreppen.

Anonymiserade, kodade och avidentifierade uppgifter

Uppgifter som lämnas ut från ett myndighetsregister till en forskare kan vara identifierbara, till exempel innehålla personnummer, eller vara anonyma för forskaren. För anonyma uppgifter finns olika begrepp. Jag väljer att använda begreppet anonymiserade uppgifter för alla uppgifter som forskaren inte har möjlighet att koppla till specifika individer. Uppgifterna kan vara helt avidentifierade. Då har ingen möjlighet att göra en sådan koppling. Men de kan också vara kodade. Forskaren får då ut uppgifterna med till exempel ickeidentitetsbärande löpnummer och utlämnande myndighet behåller en kodnyckel som gör det möjligt att hos myndigheten koppla löpnumren till personnummer. Då kan utlämnade uppgifter vid behov kompletteras eller uppdateras. Definitionerna sammanfattas i Figur 1.

I den internationella diskussionen används ibland begreppet pseudonymiserade i stället för kodade. I Sverige avses ibland med avidentifierade uppgifter kodade uppgifter. Det kan också förekomma att begreppet anonymiserade används i stället för avidentifierade, det vill säga för uppgifter som inte kan identifieras. Det finns även de som förespråkar att man alltid ska använda begreppen kodade och avidentifierade och inte ska ha något samlande namn för uppgifter som för forskaren är anonyma.

Begreppsförvirringen blir inte mindre av att även anonymiserade, eller till och med avidentifierade, uppgifter ibland kan återidentifieras. Det kallas bakvägsidentifiering och bygger på att man har tillräckligt många uppgifter om en individ för att identifiera honom eller henne. Alla personuppgifter som kan knytas till en levande person är personuppgifter i personuppgiftslagens mening. Även avidentifierade uppgifter kan med andra ord vara personuppgifter.

Figur 1

Forskningsregister och forskningsdatabaser

Det andra området där begreppen blir viktiga gäller register som primärt upprättas för vetenskapliga ändamål. Uppgiftskällorna för sådana register är i princip desamma: antingen får forskaren uppgifterna direkt från enskilda individer (forskningspersoner) eller så hämtas de från register eller biobanker där uppgifterna/proverna primärt samlats in för andra ändamål än forskning.

Vad som kan skilja dessa vetenskapliga register åt är om de har skapats för ett specifikt forskningsprojekt eller om avsikten är att de ska kunna användas för flera framtida forskningsprojekt som inte är definierade när registret byggs upp. De senare registren utgör med andra ord ett slags infrastruktur för framtida forskning (och de nämns som framgått särskilt i utredningsdirektiven). Register som skapas för specifika forskningsprojekt kallar jag i detta betänkande forskningsregister och register av infrastrukturkaraktär, avsedda för framtida forskning, för forskningsdatabaser. Definitionerna sammanfattas i Figur 2.

Det ska dock noteras att uppgifter i ett forskningsregister som har skapats för ett specifikt forskningsprojekt kan komma att användas i andra forskningsprojekt. I Sverige finns en särskild organisation,

Identifierbara

uppgifter

Anonymiserade

uppgifter

Kodade Avidentifierade

SND, där forskare kan deponera sina forskningsmaterial för att de ska kunna komma till användning i andra projekt.

Figur 2

2.6. Förkortningar

Till sist något om förekommande förkortningar.

De flesta namn på myndigheter, institutioner och författningar kommer i det följande att skrivas ut, men vissa förkortningar förekommer, i huvudsak följande:

AKU Arbetskraftsundersökningarna BBMRI.se Biobanking and Molecular Resource Infrastructure

of Sweden

CEPN Centrala etikprövningsnämnden DISC Data Infrastructure Committee ERIC European Research Infrastructure Consortium EU Europeiska Unionen FASIT Fördelnings Analytiskt Statistiksystem för Inkomster och Transfereringar FN Förenta Nationerna IFAU Institutet för arbetsmarknads- och utbildningspolitisk utvärdering IVO Inspektionen för vård och omsorg KI Karolinska Institutet

Forskningsregister: ett register skapat för ett specifikt

forskningsprojekt

Forskningsdatabas: ett register av infrastrukturkaraktär, avsett

att ge underlag för flera olika framtida forskningsprojekt

LIS Luxemburg Income Study LISA Longitudinell Integrationsdatabas för Sjukförsäkrings- och Arbetsmarknadsstudier MONA Microdata Online Access NBR Nationellt biobanksråd NSD Norsk samfunnsvitenskapelig datatjeneste OECD The Organisation for Economic Co-operation and Development OSF Offentlighets- och sekretessförordningen OSL Offentlighets- och sekretesslagen PKU Fenylketonuri (Phenylketonuria) PUL Personuppgiftslagen RBC Regionalt biobankscentrum RF Regeringsformen RMV Rättsmedicinalverket SBR Svenska Biobanksregistret SESIM Swedish Simulation Model SCB Statistiska centralbyrån SHARE Survey of Health, Ageing and Retirement in Europe SIMSAM Swedish Initiative for Research on Microdata in the Social and Medical Sciences SKL Sveriges Kommuner och Landsting SND Svensk Nationell Datatjänst SSB Statistisk Sentralbyrå (Norge) SSI Statens Serum Institut (Danmark) TF Tryckfrihetsförordningen THL Terrveyden ja hyvinvoinnin laitos, Institutet för hälsa och välfärd (Finland) UGU Utvärdering Genom Uppföljning

ULF Undersökningarna om levnadsförhållanden VR Vetenskapsrådet YGL Yttrandefrihetsgrundlagen

3. Vad menas med register?

Vilka faktorer påverkar uppkomsten av sjukdomar? Varför är vissa människor mer förskonade från sjukdomar än andra? Vilken betydelse har i sammanhanget ärftliga och miljömässiga faktorer? Hur kan sjukdomar förhindras? Eller om de ändå uppkommer, lindras eller i bästa fall botas? På vilket sätt bör insatserna ta hänsyn till individers olika förutsättningar? Hur kan elever med en besvärlig socioekonomisk bakgrund på bästa sätt stödjas i skolan för att få bättre utsikter till ett gott liv? Hur ska välfärdsprogram utformas för att nå bästa möjliga resultat för utsatta individer? Hur påverkar olika skatte- och bidragssystem inkomstfördelningen?

För att kunna svara på sådana frågor måste forskare i allmänhet ha tillgång till uppgifter om individer. De uppgifterna kan de få på i princip två sätt: antingen genom att samla in dem direkt från enskilda eller genom att återanvända uppgifter som redan har samlats in för andra ändamål och som återfinns i myndighetsregister av olika slag.

I det här kapitlet kommer jag att kortfattat beskriva först vad det finns för typer av register med personuppgifter, som har skapats för

andra ändamål än forskning, men som kan vara till nytta i forskningen.

I kapitel 3 kommer jag att gå närmare in på varför det i många sammanhang är värdefullt för forskningen att kunna använda uppgifter från sådana register. I slutet av det här kapitlet ska jag också i all korthet beskriva några olika typer av register som har skapats för forskning.

3.1. Vad är registerbaserad forskning?

Ett syfte med den här utredningen är att undersöka hur registerbaserad forskning ska kunna underlättas i Sverige. Vad som avses med registerbaserad forskning är inte helt entydigt, men i utredningsdirektiven framhålls:

I dataskyddssammanhang används ofta begreppen register och databaser samt andra begrepp som avser avgränsade uppgiftssamlingar. I det följande avses med register även databaser, elektroniska ärendehanteringssystem eller motsvarande samlingar av uppgifter och med registerbaserad forskning den forskning som innefattar behandling av uppgifter som forskare dels hämtat från uppgiftssamlingar hos myndigheter, dels själva samlat in genom olika mätningar eller direkt från enskilda.

Med registerbaserad forskning avses i utredningsdirektiven således

såväl forskning som använder uppgiftssamlingar av olika slag hos

myndigheter som forskning baserad på uppgifter som forskare själva har samlat in.

3.2. Vad är ett register?

Ett register är en förteckning med uppgifter.1Uppgifterna kan avse individer, men naturligtvis också mycket annat, såsom företag, fordon, läkemedel, fastigheter, trossamfund, genetiskt modifierade mikroorganismer, patent, inteckningar eller fiskevårdsområden. I den här utredningen är fokus på register med personuppgifter, men det hindrar inte att även andra register kan vara av intresse för andra typer av forskning än den som här behandlas.

Som framgår av citatet från utredningsdirektiven finns det andra begrepp som används i det närmaste synonymt med register, exempelvis databas.2 Även begreppet datalager förekommer, i synnerhet när det gäller uppgiftssamlingar för statistikändamål. Personuppgiftslagen (PUL) talar om strukturerade samlingar av personuppgifter, som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 § PUL). Detta kan ses som en beskrivning av vad ett register, eller en databas eller ett datalager, med personuppgifter är. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en person som är i livet (3 § PUL).

1 Med register avses ofta en total förteckning av objekt i en viss mängd eller population. På grund av brister i kvalitet och insamlingsmetod kan uppgifter saknas eller vara för många. Detta brukar kallas under- respektive övertäckning i ett register. 2 I 1 kap. 1 § yttrandefrihetsgrundlagen definieras databas som en samling av information lagrad för automatiserad behandling. I flera s.k. registerförfattningar används uttrycket databas som en benämning på en samling uppgifter som med hjälp av automatiserad behandling används gemensamt. Uttrycket databas har dock ifrågasatts. Skälen är att uttrycket kan leda tanken till ett visst, i tekniskt avseende avgränsat, informationssystem där informationen har strukturerats på ett visst sätt. (En databas för övervakning av och tillsyn över finansmarknaderna, SOU 2012:79)

3.3. Varför skapar myndigheter register?

Register kan upprättas av olika huvudmän, såväl offentliga som privata, ha olika syften och innehålla uppgifter av olika slag. De register som i första hand är intressanta för den här utredningen är sådana som finns hos myndigheter.

Det finns en rad skäl för myndigheter att upprätta register med personuppgifter.

  • Administration. Myndigheter måste ofta för att kunna fullgöra sina uppgifter hålla reda på vilka som är medborgare i Sverige och vilka som i övrigt har rätt att uppehålla sig i landet. Det är viktigt till exempel för att veta vilka som har rätt att rösta i allmänna val, vilka som är skattskyldiga och hur mycket de ska betala i skatt och vilka som har rätt till ersättningar och förmåner av olika slag.
  • Statistik. Vissa myndigheter har till uppgift att sammanställa statistik som speglar tillståndet och utvecklingen inom olika samhällsområden. Statistik är ett viktigt underlag för allmän information och för politiska bedömningar och beslut. Ofta hämtas de uppgifter som behövs för statistik ur register som har upprättats för administrativa ändamål, men ibland måste uppgifter samlas in direkt från enskilda.
  • Utvärdering, uppföljning och kvalitetssäkring. Myndigheter, såväl statliga som kommunala och landstingskommunala, tillhandahåller tjänster av olika slag till invånarna. För att kunna bedöma tjänsternas kvalitet, om de når sitt syfte och hur de kan utvecklas, måste ofta uppgifter från individer användas. Det sker i betydande omfattning inom exempelvis hälso- och sjukvården. Såväl Socialstyrelsen som kommunala huvudmän sammanställer uppgifter för att möjliggöra utvärdering, uppföljning och kvalitetssäkring.
  • Effektbedömningar. Regeringen, riksdagen och olika myndigheter använder ofta registeruppgifter och statistiska metoder för att försöka bedöma effekterna av planerade och gjorda insatser, till exempel med hjälp av så kallade mikrosimuleringsmodeller som förutsätter tillgång till uppgifter om individer.

Uppgifter om individer, och sammanställningar av sådana uppgifter, är således nödvändiga för att kunna styra riket, bedöma samhällsutvecklingen och kvalitetssäkra verksamheter.

Det finns ett omfattande regelverk för behandlingen av personuppgifter. Vem har rätt att samla in uppgifter? Vilket rättsligt stöd krävs för att få göra det? Hur får personuppgifterna behandlas? Vem har rätt att få tillgång till uppgifterna? I vissa fall kan det vara känsligt om personuppgifter kommer i orätta händer, till exempel sådana uppgifter som samlas in inom hälso- och sjukvården. Därför finns särskilda regler för att skydda den personliga integriteten. I kapitel 5 kommer jag att närmare redovisa gällande regelverk.

Medverkan i register kan vara obligatorisk eller frivillig. Att finnas med i register som används för administrativa ändamål är i regel obligatoriskt. Det är också obligatoriskt att medverka med vissa uppgifter som samlas in inom vården i så kallade hälsodataregister. I andra register är medverkan frivillig, till exempel i de nationella och regionala kvalitetsregister, som upprättas inom hälso- och sjukvården, och där uppgifter om olika sjukdomar och behandlingar samlas. Det gäller också så kallade biobanker där vävnadsprover från patienter i sjukvården bevaras. Det är också frivilligt att medverka i vissa undersökningar där uppgifter samlas in för statistiska ändamål, till exempel de arbetskraftsundersökningar (AKU) som görs av Statistiska centralbyrån (SCB).

3.4. Hur ser ett register ut?

Ett personregister består typiskt sett av poster och uppgifter om dessa. Ett register med individer kan se ut så här:

Uppgifter

Poster A

B

C

D

E

1 a1

b1

c1

d1

e1

2 a2

b2

c2

d2

e2

3 a3

b3

c3

d3

e3

4 a4

b4

c4

d4

e4

5 a5

b5

c5

d5

e5

Posterna (1, 2, 3, 4, 5) är i de register som här diskuteras i första hand individer. Uppgifterna, eller variablerna, (A, B, C, D, E) kan i register med individer avse till exempel kön, ålder, födelseort, bostadsort, yrke, utbildning, inkomst eller olika hälsokriterier. Den viktiga

informationen i registret är i regel de värden a1, b3, c2, d5, e4 etc., som anges i tabellens ”celler”.

När posterna är individer är de vanligen försedda med unika identitetsbeteckningar i form av personnummer för att säkert kunna identifieras. På motsvarande sätt har företag, organisationer och fastigheter specifika identitetsbeteckningar i andra register. Det är tämligen unikt för de nordiska länderna att samma identitetsbeteckningar används i snart sagt alla register. Det innebär en rad fördelar. Framförallt underlättar det spårbarheten. Det gör det exempelvis enklare för en enskild att ta reda på vilka uppgifter om honom eller henne som finns i olika register. Det gör det också förhållandevis enkelt att för en och samma individ hämta och sammanställa uppgifter från olika register.

Värdet i vissa celler är givet en gång för alla, till exempel födelseort, medan andra, såsom inkomst och hälsotillstånd, kan variera över tid. Förändringarna kan registreras löpande eller vid återkommande insamlingstillfällen. Det kan vara väsentligt att spara de historiska värdena och att registrera tidpunkterna för förändringar för att till exempel kunna följa utvecklingen över tid.

Värdena kan delvis vara ett resultat av gällande regelsystem och således ändras om reglerna ändras. När till exempel regeringen överväger att ändra skatte- eller bidragsregler är den intresserad av hur detta påverkar värdena. För att undersöka det används som nämnts ofta så kallade mikrosimuleringsmodeller som kräver en omfattande tillgång till individuppgifter.

3.5. Olika typer av myndighetsregister

3.5.1. Register för administrativa ändamål

I Sverige torde det finnas över hundra administrativa register med personuppgifter av olika slag. Ett tjugotal av dessa omfattar en stor del av befolkningen, ofta i princip alla eller alla som är berörda. Ett exempel är Skatteverkets folkbokföringsdatabas som i princip omfattar alla. Skatteverket för också skatteregistret med bland annat taxerade och pensionsgrundande inkomster. Andra exempel på administrativa register är Rikspolisstyrelsens register över nationella identitetskort och pass, Totalförsvarets pliktverks över totalförsvarspliktiga och Centrala studiestödsnämndens över personer som får studiestöd eller har studieskulder. Äktenskap och partnerskap finns

i särskilda register. I socialförsäkringsdatabasen finns flera socialförsäkringsregister samlade. Uppgifterna där används för att kunna administrera olika förmåner och bidrag.

Utöver dessa register finns ett stort antal register med andra uppgifter än sådana som är knutna till personer, till exempel företag, anläggningar och kemikalier. Även dessa regleras i författningar. Totalt finns det drygt 200 registerförfattningar.

3.5.2. Uppgiftssamlingar för statistiska ändamål

För forskningen är ofta de uppgifter som utgör underlag för den

officiella statistiken av särskilt intresse. Det är SCB och 26 andra sta-

tistikansvariga myndigheter som har i uppdrag att producera officiell statistik. En stor del, enligt vissa uppskattningar så mycket som 95 procent, av uppgifterna är sådana som ursprungligen har samlats in för administrativa ändamål. Resten samlas in direkt för statistiska ändamål. Regeringen beslutar vilka myndigheter som ska producera officiell statistik och inom vilka ämnesområden. Sammantaget ska det finnas officiell statistik inom 22 ämnesområden som här exemplifieras med tio områden där statistiken till stor del baseras på personuppgifter.3 Inom parentes ges exempel på statistikområden inom respektive ämnesområde.4

  • Arbetsmarknad (sysselsättning, förvärvsarbete och arbetstider, vakanser och arbetslöshet, arbetsmiljö, arbetsskador, löner och arbetskostnader)
  • Befolkning (befolkningens storlek och förändringar, befolkningens sammansättning)
  • Demokrati (allmänna val, partisympatier)
  • Hushållens ekonomi (inkomster och inkomstfördelning, hushållens utgifter)
  • Hälso- och sjukvård (hälsa och sjukdomar, hälso- och sjukvård, dödsorsaker)
  • Levnadsförhållanden (jämställdhet, levnadsförhållanden)

3 År 2011 fanns det inom de 22 ämnesområdena för officiell statistik 112 statistikområden och 356 statistikprodukter (i regel tabeller), SOU 2012:83. 4 www.scb.se.

  • Rättsväsende (brott, för brott lagförda, kriminalvård, återfall i brott)
  • Socialförsäkring med mera (stöd till barnfamiljer, stöd vid sjukdom och handikapp, stöd vid ålderdom)
  • Socialtjänst med mera (individ- och familjeomsorg, stöd och service till personer med funktionsnedsättning, äldre- och handikappomsorg)
  • Utbildning och forskning (skolväsende och barnomsorg, högskoleväsende, studiestöd, forskning, befolkning och utbildning)

I Statistikutredningens delbetänkande Registerdata för forskning redovisas ett femtiotal befolkningsbaserade register hos myndigheter, vilka bedömdes vara av särskilt intresse för forskningen.5 Det är huvudsakligen register som är underlag för statistik. Merparten av registren nedan finns hos SCB eller Socialstyrelsen. Vissa av dem hanteras av SCB på uppdrag av andra myndigheter, såsom Skolverket, Universitetskanslersämbetet och Arbetsmiljöverket. Här ges exempel på sådana befolkningsbaserade register. Alla är totalregister över befolkningen eller den del av befolkningen som är berörd utom de tre sistnämnda, som är baserade på ett mindre urval av befolkningen.

  • Registret över totalbefolkningen (RTB)
  • Flergenerationsregistret
  • Registret över inkomster och taxeringar
  • Registret över befolkningens utbildning
  • Skolverkets elevregister
  • Registret över betyg i årskurs 9
  • Registerbaserad arbetsmarknadsstatistik (RAMS)
  • Patientregistret
  • Cancerregistret
  • Läkemedelsregistret
  • Registret över socialtjänstinsatser till äldre och personer med funktionsnedsättning

5SOU 2012:36.

  • Registret över anmälda och uppklarade brott, misstänkta personer
  • Registret med mikrodata för analys av socialförsäkringen

(MiDAS)

  • Arbetskraftsundersökningarna (AKU)
  • Undersökningarna av levnadsförhållanden (ULF/SILC6)
  • Valundersökningarna

Ett register som ofta kommer till användning i forskning är det först nämnda i denna uppräkning, det vill säga Registret över totalbefolk-

ningen (RTB), som finns hos SCB. Som exempel på vad ett register

kan innehålla redovisas här de uppgifter om individer som finns i RTB7.

  • Personnummer, kön, ålder
  • Namn, Adress
  • Folkbokföringsförhållanden (län, kommun, församling och fastighet)
  • Civilstånd
  • Medborgarskap
  • Födelseland
  • Utländsk/svensk bakgrund
  • Födda
  • Döda
  • Civilståndsändring
  • Inrikes flyttning
  • Invandring
  • Utvandring
  • Relationer (maka/make, registrerad partner, biologiska föräldrar, adoptivföräldrar, vårdnadshavare)
  • Föräldrarnas födelseland

6 Statistics on Income and Living Conditions, SILC, är en undersökning som görs i EU:s medlemsländer av levnadsförhållanden. 7 SCB:s data för forskning 2013.

  • Grund för bosättning (för personer som beviljats uppehållstillstånd eller fått uppehållsrätt i Sverige)

Det finns också register som skapas med hjälp av uppgifter från flera andra register. Syftet kan vara att kunna följa utvecklingen inom ett visst område. Ett sådant är SCB:s Longitudinell integrationsdatabas

för sjukförsäkrings- och arbetsmarknadsstudier (LISA). I databasen

finns uppgifter om samtliga personer som är 15 år och äldre som varit folkbokförda i Sverige den 31 december det aktuella året. Genom att databasen uppdateras varje år kan utvecklingen för enskilda individer följas, till exempel perioder med förvärvsarbete, arbetslöshet och sjukdom kopplade till ett stort antal bakgrundsvariabler. Uppgifterna i LISA hämtas ur ett tiotal olika register.8

  • Registret över totalbefolkningen (RTB)
  • Folk- och bostadsräkningen 1990
  • Registerbaserad arbetsmarknadsstatistik (RAMS)
  • Registret över befolkningens utbildning
  • Registret över personer i utbildning
  • Inkomst- och Taxeringsregistret (IoT)
  • Arbetsförmedlingens sökanderegister
  • Försäkringskassans datalager (STORE-databasen)
  • Registret över företagens ekonomi
  • Registret med ekonomiska data för kommuner
  • Registret med ekonomiska data för landsting

3.5.3. Kvalitetsregister och biobanker

Utöver dessa befolkningsbaserade register hos centrala myndigheter finns ett stort antal kvalitetsregister inom hälso- och sjukvården för vilka sjukvårdshuvudmännen – landstingen – är ansvariga. Det finns ett 80-tal certifierade nationella register som samlar data om interventioner, sjukdomsepisoder eller kroniska sjukdomar.9

8 SCB:s data för forskning 2013. 9 Se vidare avsnitt 8.2.2.

Det finns också en annan form av uppgiftssamlingar som jag kommer att beröra i utredningen, nämligen biobanker. I biobanker samlas och bevaras vävnadsprover, som framförallt har tagits på patienter i hälso- och sjukvården, men i vissa fall också på individer inom ramen för forskning. Sammantaget finns i Sverige cirka 600 biobanker. En biobank är inte i sig ett register, men det finns i anslutning till biobankerna register med uppgifter om provgivarna, var i kroppen proverna är tagna, hur de förvaras med mera. I Svenska Biobanksregistret (SBR), som är under uppbyggnad, samlas uppgifter om vilka vävnadsprover på individnivå som finns i de olika biobankerna. SBR är än så länge ett regionalt och lokalt system. Det finns alltså inget centralt register med dessa uppgifter. Däremot finns det hos Inspektionen för vård och omsorg (IVO) ett register över vilka biobanker som finns i Sverige. Det registret innehåller dock inga personuppgifter.10

3.6. Register för forskningsändamål

Som jag har konstaterat behöver forskare ofta uppgifter om individer för att kunna belysa och skaffa nya kunskaper om olika samhällsfenomen. Uppgifterna kan samlas in av forskarna direkt från individerna (forskningspersonerna) eller hämtas ur uppgiftssamlingar av det slag som jag här har gett exempel på och som primärt har skapats för andra ändamål än forskning. Uppgifter från sådana källor kan sammanföras i särskilda register för forskningsändamål. När forskare samlar in uppgifter direkt från individer är uppgiftslämnarens medverkan alltid frivillig.

De flesta register som skapas för forskning är knutna till ett specifikt forskningsprojekt. Uppgifterna samlas in för att besvara vissa konkreta forskningsfrågor och förstörs eller arkiveras när projektet är slutfört. Sådana register kallar jag forskningsregister. Det finns också register som snarare kan betecknas som ett slags infrastruktur. Syftet är de ska kunna tjäna flera olika forskningsprojekt, ibland till och med inom olika vetenskapliga discipliner, som inte är kända när registret börjar byggas upp. Ett par exempel på sådana register av infrastrukturkaraktär som är i bruk är Utvärdering Genom Uppföljning (UGU), en av Sveriges äldsta forskningsdatabaser som avser utbildningsområdet och som finns vid Göteborgs universitet, och Svenska Tvillingregistret, som finns vid Karolinska Institutet. Några

10 Se vidare avsnitt 8.2.3.

sådana forskningsdatabaser har skapats efter beslut i riksdagen, till exempel IFAU-databasen, som finns hos Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU) i Uppsala, och LifeGene, som är på väg att byggas upp vid Karolinska Institutet i samarbete med flera andra universitet. Sådana register av infrastrukturkaraktär, avsedda att betjäna flera framtida forskningsprojekt, har jag valt att kalla forskningsdatabaser.

3.6.1. Kodade och avidentifierade uppgifter

När forskare får ut uppgifter från myndighetsregister är dessa i regel anonymiserade. Anonymiserade uppgifter kan vara kodade eller helt avidentifierade. Att uppgifterna är kodade innebär att forskaren får ut dem anonymiserade, det vill säga utan att individerna direkt kan identifieras, men att den utlämnande myndigheten behåller en kodnyckel som gör det möjligt att senare komplettera uppgifterna. För avidentifierade uppgifter finns inte denna möjlighet. Myndigheterna kan i undantagsfall också lämna ut uppgifter med identitet till forskare. Det kan handla exempelvis om att forskarna behöver kontakta de personer uppgifterna avser eller om att uppgifter ur ett register måste kontrolleras mot eller kompletteras med uppgifter från patienters sjukjournaler.

För behandlingen av personuppgifter finns särskilda regler i PUL. Med personuppgifter avses i PUL all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det innebär att alla kodade uppgifter är personuppgifter, men att även avidentifierade uppgifter kan vara personuppgifter om det är möjligt att med utgångspunkt i dessa återidentifiera individerna. Man måste alltså skilja mellan i vilka former uppgifter kan lämnas ut till forskare och vad som är personuppgifter.

Forskare som använder uppgifter från SCB och flera andra statistikansvariga myndigheter kan använda SCB:s så kallade MONAsystem. MONA står för Microdata Online Access. Genom MONA får användaren tillgång till uppgifter som finns i SCB:s och andra myndigheters datalager. Ett forskningsregister, med de uppgifter forskaren behöver, skapas hos SCB. Forskaren kan via Internet göra bearbetningar och har också möjlighet att bevara tabeller för vidare bearbetning, men fysiskt återfinns forskningsregistren hos

SCB. Resultaten av bearbetningarna kan dock i aggregerad form skickas via e-post till användaren.11

MONA är ett system som möjliggör fjärråtkomst till uppgifter på ett smidigt och säkert sätt. I vissa fall kan systemet dock inte tillgodose forskarens behov. Viss bearbetning av data låter sig inte göras utan att forskaren får fullständig tillgång till uppgifterna. För närvarande ges inte heller åtkomst inom ramen för MONA-systemet till de hälsodataregister som Socialstyrelsen ansvarar för. Jag ska återkomma till dessa frågor i kapitel 8.

11 www.scb.se.

4. Varför är registeruppgifter bra för forskning?

Regeringen har i de senaste forskningspropositionerna framhållit den roll som ett utnyttjande av svenska befolkningsbaserade register kan spela för kunskapsutvecklingen och forskningen. I 2008 års forskningsproposition konstaterades att ”registerhållningen över hela befolkningen och systemet med personnummer ger unika förutsättningar för att studera angelägna, tvärvetenskapliga frågor kring sambandet mellan samhällsförhållanden, ekonomi och hälsa”.1 I den senaste forskningspropositionen 2012 framhölls att ”det finns ett antal viktiga frågeställningar som kan besvaras genom forskning om man kan kombinera olika register och datamaterial”.2Regeringen noterade också att man med hjälp av så kallade mikrosimuleringsmodeller, som använder uppgifter från olika register, kan beräkna effekten av olika insatser och policyförändringar.

I det följande ska jag ge exempel på när stora datamaterial som återfinns i register av olika slag kan vara särskilt värdefulla för forskningen och också på forskning som har utnyttjat sådana material. Dessa exempel är endast tänkta som illustrationer och är inte nödvändigtvis de bästa som kan ges.

Det är viktigt framhålla att registerbaserad forskning är en sedan länge etablerad metod i Sverige. Exemplen i detta kapitel är ett uttryck för det. En omfattande forskning har kunnat bedrivas och bedrivs inom ramen för gällande regelverk. Uppgiften för denna utredning är således inte att bryta ny mark utan att undersöka vilka möjligheter som finns att underlätta för registerbaserad forskning och därmed skapa förutsättningar för en expansion av den.

Tack vare registren kan forskare i Sverige, liksom i de övriga nordiska länderna, till måttliga kostnader genomföra många studier som i andra länder kräver utomordentligt stora satsningar, om de

1Prop. 2008/09:50. 2Prop. 2012/13:30.

överhuvudtaget kan genomföras. Myndighetsregistren omfattar som regel hela befolkningen eller i vilket fall den del av befolkningen, som berörs av det förhållande som registret avser. I den mån forskarna kan utnyttja registren får de därför tillgång till uppgifter om hela (den aktuella) befolkningen.

Stora datamaterial förbättrar ofta möjligheterna att påvisa och finna orsaker till varför ekonomiska och sociala förhållanden varierar i samhället och gör det möjligt att påvisa effekter av olika åtgärder, vare sig de rör hälso- och sjukvård, socialtjänst eller ekonomiska och andra sociala interventioner. Register har även ett stort användningsområde när det gäller att kartlägga hur hälsa och sociala förhållanden utvecklas över tid och att identifiera problem som kan behöva åtgärdas.

Inledningsvis (avsnitt 4.1–4.2) beskriver jag betydelsen av att deskriptivt kunna visa på förhållanden i samhället för att därefter (4.3–4.4) komma in på förutsättningarna för en mer analytisk och orsaksinriktad forskning.3

4.1. Att följa samhällsförändringar över tid och i olika grupper

Av en rad olika skäl är det viktigt att kunna följa hur samhället förändras. Vilka positiva och negativa trender finns för hälsa och sociala förhållanden? Finns det grupper som erfar en utveckling som påtagligt avviker från den för majoriteten? Varierar hälsa och sociala förhållanden mellan olika delar av Sverige? Ges vård eller omsorg till alla på lika villkor? Har kvinnor och män samma möjligheter? Hur går det för invandrare och för barn med ensamstående föräldrar?

För att få svar på frågor som dessa behövs stora datamaterial som täcker hela landet och i vilka man kan följa utvecklingen för de enskilda individerna. För att kunna avgöra om det är 10 personer som har behandlats en gång eller en person som har behandlats 10 gånger behöver man veta vilka som har fått behandlingen. För att kunna avgöra om den del av befolkningen som har lägst inkomster består av samma individer från år till år eller om de successivt byts ut måste man kunna följa individer över tid. För att kunna beskriva förhållandena för personer med olika utbildning, födelseland och familjeför-

3 Kapitlet bygger huvudsakligen på en underlagsrapport till utredningen författad av Robert Erikson och Måns Rosén, Stora registermaterial bidrar till bättre forskning.

hållanden måste ofta uppgifter från olika register kopplas samman. I praktiken finns det inget annat sätt att få fram sådana uppgifter.

Utvecklingen av öppna jämförelser i hälso- och sjukvården är ett bra exempel på värdet av att kunna följa upp behandlingar i kliniska register. Genom att följa och mäta skilda kvalitetsindikatorer och jämföra resultaten mellan olika landsting, sjukhus och andra vårdinrättningar har man skapat incitament att höja kvaliteten. Flera exempel visar att detta arbetssätt har räddat liv och förbättrat livskvaliteten för många patienter.

Kliniska kvalitetsregister och öppna jämförelser har till exempel bidragit till stora förbättringar i hjärtinfarktvården4 och visat att vissa höftproteser är betydligt hållbarare än andra och därmed minskat behovet av reoperationer.5 Öppna jämförelser har också visat att långtidsöverlevnad och patienttillfredsställelse är bättre för patienter som vårdats på särskilda strokeenheter.6 Antalet infektioner efter kataraktoperationer har halverats och uppvisar nu en internationellt sett särklassigt låg frekvens.7

För att följa utvecklingen över tid och mellan olika grupper i samhället och för att mäta kvaliteten i vården behövs många gånger heltäckande individregister. När det gäller forskning om orsaker till sjukdomar eller effekter av åtgärder är detta ofta nödvändigt.

4.2. Beskrivning och förklaring

Innan man försöker finna en förklaring till ett samhällsfenomen måste detta beskrivas. Beskrivningen syftar till att visa att det faktiskt existerar. Innan man försöker förklara varför det finns skillnader mellan män och kvinnor måste man visa i vilka avseenden det faktiskt finns sådana skillnader. En god beskrivning är således en första förutsättning för att det ska vara meningsfullt att försöka förklara ett fenomen.

4 Stenestrand, U. et al. Hjärtinfarktvården kraftigt förbättrad 1995–2005. Kvalitetsregister, öppna redovisningar och tydliga terapimål har gett resultat. Läkartidningen 2007;104:1580-3. 5 Haller, N. P. et al. Uncemented and cemented primary total hip arthroplasty in the Swedish Hip Arthroplasty Register. Acta Ortohop 2010;81:34-41. 6 Terent, A. et al. Stroke unit care revisted: who benefits the most? A cohort study of 105 043 patients in Riks-Stroke, the Swedish Stroke Register. J Neurol Neurosurg Psychiatry 2009;80:881-7; Asplund, K. et al. Patient dissatisfaction with acute stroke care. Stroke 2009;40:3851-6. 7 Lundström, M. et al. Endophthalmitis after cataract surgery: a nationwide prospective study evaluating incidence in relation to incision type and location. Ophtomology 2007;114:866-70.

Figur 4.1 Dödsrisk (y-axeln) efter ålder (x-axeln) och utbildningsnivå för män 1991–1996

En studie av sambandet mellan utbildning och dödsrisk kan ses som ett illustrativt exempel på värdet av en beskrivning. Den är baserad på uppgifter för hela befolkningen i de aktuella åldersgrupperna.8

Att det föreligger skillnader i dödsrisk mellan grupper med lägre respektive högre utbildning går att visa med hjälp av många datamaterial, men att visa att sådana skillnader föreligger också mellan dem med olika lång högskoleutbildning kräver ett mycket stort material. Av Figur 4.1 framgår att dödsrisken för män med forskarexamen är påfallande låg liksom att skillnaderna i dödsrisker mellan utbildningsgrupperna systematiskt återkommer i alla åldersgrupper. Detta torde kunna visas bara om materialet innehåller uppgifter för hela befolkningen. I detta fall har uppgifter om utbildning hämtats från folk- och bostadsräkningen 1990 och om dödlighet från dödsorsaksregistret. Även så var, när studien gjordes, antalet kvinnor med forskarutbildning alltför litet för att dödsriskerna bland dem på ett tillförlitligt sätt skulle kunna jämföras med andra gruppers.

En så pass detaljerad jämförelse av dödsrisker mellan olika utbildningsgrupper ökar möjligheterna att i nästa steg förstå bakgrunden till skillnaderna. Ett vanligt antagande är att hälsoskillnader sammanhänger med skillnader i ekonomiska resurser. Att män med doktorsexamen hade lägre dödsrisk än dem med en lång högskoleutbildning

8 Ojämlikhet i hälsa. Ett nationellt forskningsprogram. Socialvetenskapliga forskningsrådet 1998.

0 0,02 0,04 0,06 0,08

0,1 0,12 0,14 0,16

26 31 36 41 46 51 56 61

Elementär Yrkesutb treårig teor Kort högsk Högskola forskarutb

är därför av särskilt intresse, eftersom den senare gruppen faktiskt i genomsnitt hade högre inkomster än doktorerna. Tack vare det stora materialet blir det uppenbart att en förklaring till skillnader i dödsrisk delvis måste sökas i andra förhållanden än ekonomiska resurser.

4.3. Observationsstudier och randomiserade experiment

För att få insikt om vilka konsekvenser som en viss åtgärd får har studier där försökspersoner slumpmässigt placeras i experiment- och kontrollgrupper (på engelska RCT = Randomised Controlled Trials) på goda grunder ofta ansetts vara den bästa metoden. Man ger deltagarna i experimentgruppen en viss behandling och kan därefter, genom att jämföra utfallet med motsvarande för kontrollgruppen, bedöma vad behandlingen hade för effekt. Den slumpmässiga fördelningen av personer till försöks- och kontrollgrupper, randomiseringen, gör att man på det hela taget kan utesluta att eventuella effekter beror på andra orsaker än den man önskar studera.

Ett antal omständigheter gör dock att sådana randomiserade studier inte alltid är tillräckliga eller möjliga att genomföra. Den viktigaste har att göra med vad som kallas extern validitet. Med det avses med vilken säkerhet man kan generalisera resultaten från undersökningsgruppen till hela befolkningen. I vilken utsträckning det kan ske beror vanligen på hur representativ den studerade gruppen är för befolkningen.

Några exempel på vad som kan bidra till osäkerhet på denna punkt: Även om de undersökta grupperna sinsemellan är lika har de i många fall en från befolkningen avvikande sammansättning. Deltagandet i experiment är i regel frivilligt. Det kan till exempel innebära att viktiga patientgrupper exkluderas vid klinisk forskning. Experiment inom psykologisk forskning genomförs i många fall med universitetsstuderande som försökspersoner eftersom de är lätta att rekrytera till studier. Dessa skiljer sig rimligtvis i många avseenden från den övriga befolkningen. Studier av läkemedelsverkningar görs, åtminstone inledningsvis, i regel på begränsade patientgrupper. Det kan också vara svårt att följa försökspersonerna under tillräckligt lång tid för att se de långsiktiga effekterna.

Till det kommer att kostnaden för en omfattande, randomiserad studie i många fall kan uppgå till så höga belopp att bara ett fåtal

tillförlitliga studier kan genomföras. Det finns således starka skäl att komplettera randomiserade studier, och i många fall att helt ersätta dem, med studier som utgår från uppgifter i myndighetsregister, vilka primärt har insamlats för andra ändamål än forskning.

Ett särskilt problem vid alla undersökningar baserade på urval är att alla tillfrågade inte deltar. Detta bortfallsproblem i samband med exempelvis intervju- och enkätundersökningar tenderar att växa. Även i vissa centrala undersökningar som görs av Statistiska Centralbyrån (SCB) är bortfallet förhållandevis stort vilket ökar osäkerheten i utfallet (i Arbetskraftsundersökningarna, AKU, ligger svarsfrekvensen kring 70 procent, i Undersökningarna om levnadsförhållanden, ULF, under 60 procent). En fördel med många register är att de är fullständiga vilket innebär att alla aktuella individer finns med. Det talar för att använda registeruppgifter när sådana finns att tillgå. Registeruppgifter kan emellertid också användas för att analysera bortfallet i urvalsundersökningar. Genom att jämföra ett antal uppgifter, till exempel kön, ålder, typ av bostadsort, utbildning, födelseland, civilstånd och sysselsättning, mellan dem som har svarat och dem som inte har gjort det finns en möjlighet att bedöma hur representativ svarandegruppen är.9

I många fall uppfattas det dessutom som otillräckligt att känna till vilka effekter en viss åtgärd får. En djupgående förståelse för ett samhällsfenomen kräver ofta en uppfattning om vad som kan tänkas påverka detta och det rör sig då oftast om flera faktorer. Snarare än att söka efter effekter av en åtgärd är man ute efter att förstå vilka olika faktorer som ligger bakom ett visst samhällsfenomen.

Ett exempel på hur man kan söka orsaker bakom ett fenomen är ett pågående forskningsprojekt på Karolinska Institutet (KI). Forskarna är på jakt efter olika faktorer som kan påverka uppkomsten och utbredningen av psykiska sjukdomar. De konstaterar att orsakerna till psykisk ohälsa/psykiatrisk sjuklighet är multifaktoriell med varierande inslag av genetisk sårbarhet och påverkan av omgivningsfaktorer under såväl fostertiden som senare i livet. Exempel på omgivningsfaktorer som har visat sig vara associerade med ökad risk för psykiatrisk sjukdom är svår stress och infektioner under graviditeten, tillväxthämning under fostertiden, för tidig födelse, infektioner i hjärnan under uppväxten, uppväxt i socialt utsatt miljö, cannabisbruk, hög pappaålder och immigration. Det är viktigt att

9 Se vidare avsnitt 8.3.2.

förstå mer om mekanismerna bakom dessa iakttagelser för att på sikt kunna lägga grunden för förebyggande program.10

Utbildning anses vara en viktig mekanism genom vilken ungdomar från mindre gynnade klasser kan förbättra sin sociala position. Trots stora förändringar av utbildningsfördelningen har dock den sociala rörligheten endast ökat obetydligt. Det gör det angeläget att söka efter andra och uppenbarligen mer grundläggande orsaker till social rörlighet. För att kunna göra det krävs observationer av material på befolkningsnivå.

Observationsstudier kan också vara den enda framkomliga vägen till fördjupad kunskap när det inte är möjligt eller etiskt acceptabelt att bestämma vilka som ska utsättas för en viss behandling och vilka som inte ska få den. Ofta uppfattas det som stötande att slumpmässigt lotta personer till försöks- och kontrollgrupper. Samtidigt pågår i samhället hela tiden olika ”behandlingar” vars effekter kan studeras. Behandlingarna har inte lottats fram slumpmässigt, men med tillräckligt stort underlag finns metoder att eliminera effekterna av andra omständigheter som kan påverka utfallet.

Heltäckande register utgör således viktiga baser för observationsstudier, men de kan också vara bas för randomiserade experiment.11Om man till exempel inte vet vilken av två behandlingar som är bäst utan bedömer dem som likvärdiga, kan läkaren med patientens samtycke slumpmässigt avgöra vilka som ska få behandling A respektive B. En sådan studie har gjorts i Sverige med hjälp av kvalitetsregistret för angiografi och dödsorsaksregistret. När patienter kom in för angiografi och registrerades i angiografiregistret slumpades de till att endast få ballongvidgning (PCI = Percutan Coronar Interven-

tion) eller att få ballongvidgning som föregicks av blodproppsutdrag-

ning vid akuta hjärtbesvär. Man fann att blodproppsutdragning inte reducerar risken att dö inom 30 dagar jämfört med endast ballongvidgning. Studien publicerades i den högt rankade tidskriften New

England Journal of Medicine och följdes av en kommentar om att

denna metod innebar ett paradigmskifte i forskningen.12Studien kunde med detta upplägg genomföras betydligt snabbare och för en bråkdel av vad den annars skulle ha kostat.

10 Institutionen för folkhälsovetenskap, Karolinska institutet, Ansökan om etikprövning samt intervju med Christina Dalman 2013-12-19. 11 Fröbert O. et al. Thrombus aspiration during ST-segment elevation myocardial infarction. NEJM 2013;DOI:10.1056/NEJMoa308789. 12 Lauer M. S., D'Agostino R. B. The randomized registry trial – The next disruptive technology in clinical research? NEJM 2013;DOI:10.1056/NEJMp1310102.

4.4. När behöver man stora och kanske heltäckande datamaterial?

Ett enda myndighetsregister är sällan av större intresse i forskningssammanhang. Det är möjligheten att koppla individuppgifter i olika register, och kanske än mer möjligheten att koppla uppgifter som forskare själva samlat in till uppgifter i myndighetsregister, som ger dessa register deras stora potential. Jag ska här redovisa ett antal förhållanden som gör att tillgång till stora registermaterial är ett önskvärt, och i många fall nödvändigt, villkor för tillförlitliga forskningsresultat. Det illustreras också med ett antal exempel på sådana forskningsresultat.

4.4.1. Ovanliga företeelser

Det mest uppenbara fallet då mycket stora datamaterial krävs för tillförlitliga resultat är när det endast är få personer som karakteriseras av det tillstånd man vill studera.

I ett forskningsprojekt inom ramen för en statlig utredning från början av 1990-talet kunde barn till invandrare delas upp i ett relativt stort antal grupper efter faderns ursprungsland. Som framgår av Tabell 4.1 visade det sig att det fanns stora skillnader i utbildning beroende på från vilket land, eller i några fall vilken världsdel, fadern hade kommit. Barn till fäder från Polen och Baltikum gick i cirka dubbelt så stor utsträckning som barn till infödda genom universitet, medan barn till fäder från Danmark, Finland och Jugoslavien gjorde det i endast hälften så stor utsträckning. Barn till invandrare från Grekland och Turkiet avslutade i många fall sin utbildning direkt efter grundskolan, men tog samtidigt, när hänsyn hade tagits till föräldrarnas sociala position, i stor utsträckning universitetsexamen.

En sådan beskrivning ger förutsättningar för en fördjupad analys. De låga andelarna med universitetsutbildning bland barn till invandrare från vissa länder förefaller inte bero på invandrarbakgrunden i sig, utan kan kanske snarare förklaras av dessa gruppers socioekonomiska position.

Exemplet visar att även med fullständiga material kan grupperna ibland bli små. De fanns så få individer från länderna i Latinamerika, Afrika och Asien att dessa fick klumpas ihop på världsdelsnivå i stället för landsnivå.13

13SOU 1993:85.

Tabell 4.1 Utbildning över den obligatoriska, tre/fyraårig teoretisk gymnasieutbildning och universitetsutbildning bland barn till invandrare från olika länder i förhållande till motsvarande utbildning bland barn till infödda svenskar (referens = 1.0). Relativa chanser (A) utan kontroll för bakgrundsfaktorer och (B) med kontroll för familjesammansättning, kön, födelsekohort, föräldrarnas klasstillhörighet och utbildning. Endast personer födda i Sverige åren 1953–70 (för universitet 1953–64).

Mer än obl. utbildning 3–4 årigt gymnasium Universitet

Faders ursprungsland A

B

A

B

A

B

Polen

1.09 1.07 1.81 1.53 2.27 1.91

Baltikum

1.31 1.18 1.94 1.53 2.03 1.49

Latinamerika 0.85 0.74 1.30 1.19 1.91 1.49 Grekland 0.62 0.78 0.88 1.71 0.75 1.47 Turkiet 0.55 0.64 0.59 1.16 0.60 1.26 Öv. Östeuropa 1.16 1.05 1.57 1.28 1.49 1.16 Afrika 1.07 0.70 1.67 1.12 1.96 1.13 Öv. Sydeuropa 0.97 0.89 1.27 1.40 0.90 1.06 Sverige 1.00 1.00 1.00 1.00 1.00 1.00 Västeuropa (inkl USA) 1.24 0.91 1.70 1.15 1.51 0.99 Norge 0.90 0.84 1.12 0.96 1.18 0.98 Asien + Oceanien

1.17 0.75 1.73 1.11 2.01 0.94

Jugoslavien 1.06 1.12 1.08 1.64 0.59 0.88 Finland 0.82 0.95 0.69 1.02 0.53 0.87 Danmark + Island 0.61 0.64 0.60 0.69 0.62 0.71

Not: Länderna är rangordnade efter universitetsparametern från modell B med kontroll för familjesammansättning, kön, födelsekohort, föräldrarnas klasstillhörighet och utbildning.

Detta exempel visar hur det tack vare stora datamaterial är möjligt att studera utfall även för små grupper. Ett annat visar på möjligheten att undersöka sällsynta utfall. Robert Erikson och Jenny Torssander kunde visa att skillnaderna mellan samhällsklasserna bland kvinnor var obefintliga för cancer i huden, äggstockarna och brösten medan det förelåg betydande skillnader i fråga om cancer i munhålan och svalget. I de sistnämnda fallen var risken för icke yrkesutbildade arbetare mer än en och en halv gång så hög som för högre tjänste-

män.14Att hela befolkningen utgjorde underlaget i studien gav möjlighet att skilja mellan cancer i olika organ (och även andra dödsorsaker) och att visa i vilka avseenden skillnaderna mellan samhällsklasserna var påtagliga. Därmed förbättrades också möjligheterna att förstå bakgrunden till dessa skillnader.

En dansk studie, som omfattade alla barn födda i Danmark under åren 1991–1998, gav möjlighet att pröva den på basis av några mindre studier framförda hypotesen att vaccination mot mässling, påssjuka och röda hund ökade risken för autism. Genom att sammanföra information i olika register kunde de danska forskarna identifiera 316 barn med diagnosen autism och visa att det inte fanns något samband mellan vaccinationen och denna diagnos.15 Resultatet är utomordentligt viktigt eftersom man utan denna kunskap kunde ha avstått från att vaccinera barnen, med åtföljande risker. I praktiken hade det inte varit omöjligt att få fram denna kunskap utan en heltäckande studie. En liknande studie men byggd på ett urval skulle inte kunna få tillräcklig statistisk kraft vid ett så sällsynt utfall som autism.

Ytterligare ett exempel är när man inom den medicinska forskningen önskar studera samsjuklighet. Fang Fang med flera undersökte risken för självmord och död i hjärtkärlsjukdom direkt efter en cancerdiagnos. Studien använde de svenska hälso- och sjukvårdsregistren och inkluderade alla personer som drabbades av cancer mellan 1991 och 2006. Det var bara en liten andel av cancerpatienterna som begick självmord direkt efter att de hade fått diagnosen, men jämfört med personer utan cancer hade de en klart förhöjd risk för såväl självmord som att dö i hjärtkärlsjukdom. En viktig slutsats var att nydiagnostiserade cancerpatienter behöver ett förbättrat omhändertagande.16

14 Erikson, R., Torssander, J. Social class and cause of death. The European Journal of Public Health, 2008 Vol. 18: 473–478. 15 Madsen, M. et al. A population-based study of measles, mumps, and rubella vaccination and autism N Engl J Med 2002; 347:1477–1482. 16 Fang Fang et al. Suicide and Cardiovascular Death after Cancer Diagnosis. New Engl J Med 2012:366; 14.

4.4.2. Kopplingar mellan urvalsundersökningar och registermaterial

Alla uppgifter som forskare är intresserade av finns inte i myndighetsregister. Ofta måste de därför själva samla in uppgifter direkt från individer, till exempel om livsstil eller familjehistoria för sjukdom. Men de insamlade uppgifterna kan i många fall kompletteras med uppgifter ur myndighetsregister. Det kan innebära en rad fördelar.

Forskaren kan begränsa antalet frågor till forskningspersonerna genom att hämta vissa uppgifter ur register. När det gäller uppgifter om förhållanden långt tillbaka i tiden är register ofta mer pålitliga än individernas minnesbild. Man kan också genom myndighetsregister följa utvecklingen framåt i tiden efter det att uppgifterna samlats in och på det sättet få en uppfattning om hur det går för individerna. Användningen av registeruppgifter är vid sådana longitudinella ansatser av särskilt värde (se vidare avsnitt 4.4.7).

För att kunna komplettera de uppgifter som kommer fram från olika urval av individer med uppgifter från befolkningsregister krävs att registren är fullständiga och att individerna från urvalet kan identifieras. Det är dessutom en fördel om förändringar i registret sparas så att man kan få kännedom om exempelvis när ett sjukfall har inträffat.

Genom personnummersystemet är det också lättare att via register följa individer som flyttar runt i landet. I en studie som görs i samarbete mellan SCB och pedagogiska institutionen vid Göteborgs universitet, Utvärdering Genom Uppföljning (UGU), görs ett urval av elever, vanligen i årskurs 3. Eleverna har i ett par av dessa urval hämtats från ett 30-tal kommuner. Sex år senare, när en uppföljning skulle göras, fanns samma elever spridda i cirka 200 kommuner. Utan personnummer och register hade det varit svårt att spåra dem.17

Bengt Haglund med flera kopplade samman information om att röka och använda snus från SCB:s ULF-material (en urvalsundersökning som görs av SCB) med uppgifter om sjuklighet och död i kranskärlsjukdom och stroke från slutenvårdsregistret och dödsorsaksregistret (fullständiga register som förs av Socialstyrelsen).18Medan överrisken för sjukdom och död som väntat var påtaglig för

17 Berggren, I. SCB:s elevpaneler för longitudinella studier, s. 58, i Svensson, A. (red) Utvärdering Genom Uppföljning, Göteborgs universitet 2011 18 Haglund, B., Eliasson, M., Stenbeck, M., Rosén, M. Is moist snuff use associated with excess risk of IHD and stroke? A longitudinal follow-up of snuff users in Sweden. Scand J Public Health 2007 Sep 6:1–5.

dem som rökte, kunde forskarna inte finna några överrisker bland snusare. Även om man från studien inte kan dra slutsatsen att ingen sådan överrisk finns, måste den vara mycket liten. Studien visar att om en rökare förmår att sluta röka genom att övergå till att snusa så sänker hon eller han risken för infarkt i hjärta och hjärna.

Figur 4.2 Genomsnittsbetyg (x-axeln) och övergångssannolikheter till teoretisk gymnasieutbildning (P = y-axeln) för varje betygsnivå i olika sociala klasser. Flickor födda 1972.

Robert Erikson och Frida Rudolphi kopplade uppgifter om elever från UGU-registret med registerdata om gymnasieutbildning och föräldrarnas yrken (fullständiga register som förs av SCB).19De kunde därigenom visa att i vilken utsträckning eleverna efter avslutad grundskola fortsatte med teoretiska gymnasiestudier berodde på dels hur väl de hade presterat i skolan, dels i vilken utsträckning de vid ett givet betyg valde en teoretisk linje. De klockformade kurvorna i Figur 4.2 visar betygsfördelningarna för barn till arbetare respektive högre tjänstemän, medan de S-formade visar sannolikheten att vid ett visst genomsnittsbetyg övergå till en teoretisk gymnasielinje. Som framgår fick barn från högre tjänstemannafamiljer i genom-

19 Erikson, R., Rudolphi, F. Change in social selection to upper secondary school – primary and secondary effects in Sweden. Eur Sociolo Rev, 2010, 26: 291–305.

0,0 0,1 0,2 0,3 0,4 0,5 0,6 0,7 0,8 0,9 1,0

1,0 1,3 1,5 1,8 2,0 2,3 2,5 2,8 3,0 3,3 3,5 3,8 4,0 4,3 4,5 4,8 5,0

Betyg högre tjm Betyg arbetare P (högre tjm) P (arbetare)

snitt bättre betyg i grundskolan än barn från arbetarklassen, men de S-formade kurvorna visar också att vid samma betyg fortsatte tjänstemannabarnen i större utsträckning än arbetarbarnen på en teoretisk gymnasielinje. Det är särskilt tydligt vid genomsnittliga betyg (2,8– 3,8). I den mån man önskar minska snedrekryteringen måste man således ta hänsyn både till prestationsskillnader och till skillnader i hur barn med olika social bakgrund väljer fortsatt utbildning.

4.4.3. Biobanksrelaterad medicinsk forskning

Den traditionella svenska registerforskningen kan belysa ohälsans utbredning och utveckling över tid, men också dess sociala stratifiering, dess beroende av individegenskaper, hur patienter svarar på behandling och samband som kan finnas mellan sjukdomar.20Men denna forskning behöver i många sammanhang kompletteras med uppgifter från analys av biologiska prover.

Möjligheterna att koppla ihop genetiskt material med uppgifter från register är, och kommer i framtiden än mer att vara, viktiga för att förstå hur arv och miljö interagerar. Sådana kopplingar kan till exempel göras för att hitta undergrupper som svarar, respektive inte svarar, på en viss behandling. Exempelvis visades med hjälp av Svensk Reumatologis kvalitetsregister att rökare inte svarade lika bra på behandling med biologiska läkemedel (TNF-hämmare; TNF = Tumor

Necrosis Factor) mot reumatism som icke-rökare, vilket har resulterat

i att rökstoppsprogram rekommenderas innan man startar behandling.21

Medicinens utveckling har under senare decennier varit språngartad och ny kunskap har vunnits som gör det möjligt att utveckla diagnostik, behandling och uppföljning av viktiga sjukdomsgrupper. Detta har bidragit till en bättre överlevnad och högre livskvalitet för stora patientgrupper. Men fortfarande återstår en rad vetenskapliga och kliniska problem att lösa. Man känner fortfarande inte mekanismerna i detalj bakom viktiga folksjukdomar.

Dagens framgångsrika medicinska behandling kan visserligen ofta behandla dessa sjukdomars yttringar, symptom och skadeverkningar, men det blir allt viktigare att också skapa en grundläggande förståelse för de biologiska mekanismerna bakom utvecklingen av till exem-

20 Rosén, M. Översyn av de nationella kvalitetsregistren. Guldgruvan i hälso- och sjukvården. Förslag till gemensam satsning 2011–2015. Stockholm 2010. 21 Klareskog L. et al. Smoking as a trigger for inflammatory rheumatic diseases. Curr Opin Rheumatolol 2007;19:49–54.

pel hjärtkärlsjukdomar. Även om risken att insjukna och dö i sådana sjukdomar har minskat i relation till åldern utgör de alltjämt den största kategorin av dödsorsaker i befolkningen. Problematiken är likartad när det gäller andra viktiga diagnosgrupper, såsom demenssjukdomar, cancersjukdomar och åldersdiabetes.

Den viktigaste metoden för att öka förståelsen om dessa mekanismer är genom så kallade befolkningsstudier, det vill säga genom att följa stora befolkningsgrupper över tid. Vid en inledande undersökning samlar man information om kroppsfunktioner, molekylärbiologiska karakteristika (blodprov), livsstil, social bakgrund, tidigare sjukdomar och familjehistoria. Sedan följer man individerna i olika register för sjukdomar och beräknar riskerna för sjukdomsutveckling i relation till de olika bakgrundsfaktorerna. Genom genetiska analysmetoder kan man fastställa hur kausala samband kan se ut, från genetisk markör, via epigenetisk påverkan, till olika mätbara biomarkörer och till sist manifesta sjukdomsyttringar.22Om en sådan kausalitet kan identifieras avslöjas viktiga mekanismer i sjukdomsprocessen, vilka sedan kan bli föremål för åtgärder. Med en grundläggande förståelse för biologiska sjukdomsprocesser, vilka i sig kan vara en konsekvens också av livsstil och psykosocial påverkan, kan man utveckla nya, mer effektiva, läkemedel och behandlingar, som kan sättas in tidigt, till exempel riktade vacciner.

Motsvarande studier av patienter som redan har sjukdomen ger inte ett tillräckligt underlag för att finna sjukdomsorsaker. Biologin hos dessa har ofta redan förändrats av sjukdomen och även av den behandling de har fått.

Ytterligare ett område som kommer att få växande betydelse och där samspelet mellan register och biobanker spelar en viktig roll är epigenetiken. Den utgår ifrån att icke-genetiska faktorer, såsom miljö, näringstillförsel, psykosocial stress och omvårdnaden under småbarnstiden, kan påverka de uttryck (aktiviteter) som generna får. Generna är med andra ord inte en på förhand given storhet som samspelar med miljön utan deras uttryck kan också påverkas av miljön. Med den utgångspunkten har man till exempel studerat de långsiktiga effekterna på barn till kvinnor som har utsatts för svält under graviditeten.23 En sådan effekt är ökad risk för schizofreni. Även allergier kan delvis vara en effekt av epigenetiska mekanismer. Epigenetiken

22 Burgess, S., Butterworth, A., Malarstig, A., Thompson, S.G. Use of Mendelian randomisation to assess potential benefit of clinical intervention. BMJ. 2012;345:e7325. 23 Hult, M., Tornhammar, P., Ueda, P., Cima, C., Bonamy, A.K., Ozumba, B., Norman, M. Hypertension, diabetes and overweight: looming legacies of the Biafran famine. PloS One. 2010; 5:e13582. doi: 10.1371/journal.pone.0013582.

öppnar vägar för att förstå och förbättra den sociala miljön men också för att utveckla farmakologiska behandlingar.24

4.4.4. Att följa upp konsekvenserna av tidigare händelser

Att följa upp konsekvenserna av en genomförd åtgärd är viktigt och borde göras oftare än vad som i dag är fallet. Vad en åtgärd får för konsekvenser kan dock i många fall inte avgöras förrän efter lång tid, ibland decennier. Om emellertid effekten för personer, som i någon form tidigare har utsatts för åtgärden, eller liknande åtgärder, kan bedömas med hjälp av register, kan det vara möjligt att få en indikation på vilka konsekvenserna kan bli av den aktuella åtgärden utan att man behöver vänta flera år. För att kunna göra det är det väsentligt att de register där tidigare åtgärder och konsekvenser registrerats är fullständiga.

I en studie av konsekvenserna av den svenska grundskolereformen kopplade Costas Meghir och Mårten Palme uppgifter från UGU-registret till utbildningsregistret och taxeringsregistret (fullständiga register som förs av SCB).25Genom denna sammankoppling kunde de visa att i en jämförelse mellan barn som gått i folkskola respektive enhetsskola (grundskola), fick, bland dem som hade fäder med låg utbildning, de sistnämnda i större utsträckning utbildning utöver den obligatoriska och också högre inkomster i vuxen ålder. Enhetsskolans införande innebar alltså att elever med den minst resursstarka sociala bakgrunden fick förbättrade möjligheter senare i livet.

I en amerikansk studie hävdades att gallstensoperationer ökade risken för cancer i tjocktarmen26, men Anders Ekbom med flera kunde, tack vare möjligheten att sammanställa slutenvårdsregistret med cancerregistret (fullständiga register som bägge förs av Socialstyrelsen), visa att denna oro var obefogad.27På motsvarande sätt kunde Hans Ekelund med flera visa att farhågan, enligt en brittisk fall-kontrollstudie, att injektioner av vitamin K som gavs till ny-

24 Hansson, M.G., opublicerad PM 2013-09-24. 25 Meghir, C., Palme, M. Educational Reform, Ability, and Family Background. The American Economic Review, 2005. 95(1): 414–424. 26 Linos, D., Beard, C.M., O'Fallon, W.M., Dockerty, M.D., Beart, R.W., Kurland, L.T. Cholecystectomi and carcinoma of the colon, Lancet, 1981 2: 379–381. 27 Ekbom, A., Yuen, J., Adami, H-A, McLaughlin, J.K., Chow, W-H., Persson, I., Fraumeni, J.F. Cholecystectomy and Colorectal Cancer, Gastroenterology, 1993 105: 142–147.

födda ökade risken för cancer i barndomen var obefogad.28Genom att koppla samman uppgifter från samtliga förlossningskliniker med uppgifter i cancerregistret kunde de visa att något sådant samband inte fanns.

Dessa studier visar att forskning som görs med hjälp av registeruppgifter kan ha en direkt praktisk betydelse för hälso- och sjukvårdens verksamhet.

Genom att koppla ihop olika typer av registeruppgifter har man också kunnat visa hur det går för barn i familjehems- och institutionsvård. Dels har man på detta sätt kunnat identifiera vilka bakgrundsfaktorer som påverkar risken för att barnen ska placeras i familjehems- och institutionsvård, dels har man försökt bedöma vilka effekterna blir av familjehems- och institutionsvård. Slutsatsen i Socialstyrelsens

Social rapport 2006 var att utvecklingen för de barn som hamnar i

social dygnsvård är så dyster att man måste ställa frågan om sådana interventioner över huvud taget har någon positiv påverkan på barnens utveckling.29

4.4.5. Den sociala omgivningens betydelse för individuella handlingar

Vilka vi omges av, umgås med och arbetar tillsammans med har stor betydelse för våra handlingar. För att kunna studera omgivningens påverkan på det egna beteendet behöver vi uppgifter om flera och helst alla individer i sociala nätverk. I många studier har man kunnat ta in uppgifter om exempelvis andra familjemedlemmar, men att kunna bedöma betydelsen av ett mer fullständigt socialt nätverk har sällan varit möjligt. Om emellertid registermaterial innehåller information om samtliga individer i olika sociala kontexter blir det möjligt att bättre förstå hur vi påverkas av vår sociala omgivning. På grund av svårigheterna att samla in sådana material är dock relativt få studier av detta slag genomförda.

Peter Hedström med flera kunde emellertid, med hjälp av ett material som sammanställts om alla som levde i Stockholm under 1990-talet, studera hur självmord inom familjen eller på arbets-

28 Ekelund H, Finnström O, Gunnarskog J, Källén B., Larsson Y. Administration of vitamin K to newborn infants and childhood cancer, BMJ 1993; 307:89–91. 29 Vinnerljung, B. et al. Utsatthet bland barn och unga. Social rapport 2006. Socialstyrelsen 2006.

platsen påverkar risken för att individen själv ska begå självmord.30De fann att framför allt självmord inom familjekretsen ökar risken, men att även när arbetskamrater begått självmord ökar den egna risken. Studien hade inte varit möjlig att genomföra om inte alla individer i populationen ingått i registermaterialet.

4.4.6. Policyskillnader mellan administrativa enheter

Som jag tidigare konstaterat är det ovanligt att åtgärder för enskilda som genomförs av till exempel myndigheter eller kommuner sätts in i statistisk mening helt slumpmässigt. Det förekommer dock att praxis varierar från enhet till enhet, till exempel från kommun till kommun, vilket, i en annan mening, kan sägas innebära att det för den enskilde i viss mån är slumpen som avgör vilken insats han eller hon får. Man kan hävda att det hela tiden pågår ett slags sociala experiment även om de inte utformas på ett sätt som gör att det är enkelt att mäta effekterna. Eventuella skillnader i utfall kan emellertid studeras genom jämförelser mellan exempelvis kommuner. De öppna jämförelser som tidigare har nämnts är ett bidrag till sådana jämförelser, men för att förstå innebörden av variationerna krävs givetvis djupare analyser.

Sten-Åke Stenberg kunde genom att sammanställa uppgifter från kronofogdedistrikten visa att andelen vräkningar visserligen varierade mellan kommuner, men att skillnaderna föll bort när han kontrollerade för ett antal relevanta faktorer.31Socialtjänsten i de olika kommunerna föreföll att agera ungefär lika, givet de vräkningshotades egenskaper. Stenbergs studie hade inte kunnat genomföras på ett tillförlitligt sätt om han inte fått tillgång till information om samtliga vräkningar från kronofogdedistrikten. Studien visade i detta fall således att det inte var några stora skillnader mellan kommunerna trots att den ojusterade statistiken indikerade det.

Det finns en potential att analysera sådana här ”naturliga experiment” i långt större utsträckning än vad som hittills har skett. Till exempel kan den diskussion som sedan ett drygt årtionde pågår om evidensbaserad socialtjänst tänkas stimulera sådana studier.

30 Hedstrom, P., Liu, K-Y., Nordvik, M. K. Interaction Domains and Suicide: A Populationbased Panel Study of Suicides in Stockholm, 1991–1999. Social Forces 2008, 87(2). 31 Stenberg, S-Å. Vräkt ur folkhemmet. Carlssons 2009.

4.4.7. Longitudinella studier

Vid tvärsnittsstudier kan man fånga en ögonblicksbild. Det hindrar naturligtvis inte att den kan innehålla frågor till intervjupersonerna om vad som har varit och om deras tro om framtiden. Men svaren speglar vad de just nu minns eller tror om framtiden. Både minnesbilder och framtidsförhoppningar kan förändras över tid. Vid longitudinella studier följer man samma individer över en längre tid för att fånga förändringar i deras liv eller av ett samhälle där befolkningens sammansättning förändras. Det kan handla om förändringar i allt från social status och hälsa till åsikter och värderingar. Den tid de följs kan variera från ett par år till ett helt återstående liv. Flera av de forskningsexempel som ges i detta kapitel bygger på en longitudinell design. Likväl finns det skäl att särskilt uppmärksamma registrens betydelse för longitudinell forskning.

En form av longitudinella studier är befolkningsstudier eller, som man ofta säger inom medicinsk och epidemiologisk forskning, kohortstudier. Dessa studier är prospektiva till sin karaktär, det vill säga man väljer ut en grupp individer och följer dem ett antal år framåt för att till exempel lära mer om uppkomsten av sjukdomar. I projekten LifeGene och EpiHealth är man på väg att samla in uppgifter och prover från flera tiotusentals individer och familjer för att på sikt kunna undersöka hur arv och miljö påverkar hälsan.32De uppgifter som samlas in direkt från individer kan i forskningsprojekt kompletteras med uppgifter från register.

I andra fall kan ett forskningsregister ha skapats för ett mer kortsiktigt projekt, men många år senare visa sig vara användbart för helt nya forskningsfrågor. Det kanske äldsta forskningsregistret i Sverige, och ett av de äldsta i världen, är den så kallade Malmöstudien. Den gjordes 1938 då en forskare gjorde intelligenstester på alla tioåringar i staden. Från början användes registret för att studera bland annat ”kvarsittningsfrågan” som var aktuell på 1940-talet. Senare har det använts för att studera intelligensens konstans, det vill säga effekterna av utbildning på de kognitiva färdigheterna (cognitive

skills), vart 1938 års 10-åringar senare tog vägen i arbetslivet och, i

en avhandling från 2011, sambandet mellan de kognitiva färdigheterna tidigt i livet och dödsrisker. I den sistnämnda studien följdes individerna från Malmöstudien upp med hjälp av dödsorsaksregistret.33

32 Se vidare avsnitt 8.4.2. 33 Broady, D. Longitudinella studier. PM april 1983; Lager, A. The Role of Education and Cognitive Skills in Understanding Moratlity Inequalities, Karolinska Institutet 2011.

En alternativ design för longitudinell forskning är att med hjälp av register få fram uppgifter om personers förflutna. Om man vill finna förklaringar till en sjukdom som manifesteras i dag, men som kan ha orsakats av händelser långt tillbaka i tiden, kan uppgifter från vårdregister eller gamla prover från biobanker ge viktig information. På det sättet kunde forskare finna ett samband mellan livmoderhalscancer och så kallade HPV-infektioner (HPV = Human Papilloma

Virus). Det har lett fram till utvecklingen av ett vaccin mot HPV

som i dag bara i Sverige beräknas spara ett par hundra liv per år.34

Ett liknande exempel avser patienter som nyligen fått diagnosen reumatoid artrit (RA). I Umeå finns sedan många år en biobank som ursprungligen startades med utgångspunkt i frågeställningar rörande hjärtkärlsjukdomar. Forskarna kunde i denna hitta prover från de aktuella patienterna som var tagna för 10–15 år sedan och som innehöll så kallade pre-RA-faktorer. Med hjälp av dessa prover kan man nu arbeta vidare med att försöka utveckla mediciner som kan förebygga sjukdomen långt innan den brutit ut.35

En tredje kategori av longitudinell forskning är där man helt använder redan insamlade uppgifter. Peter Fredriksson, Björn Öckert och Hessel Oosterbeek matchade UGU-data med registerdata om klasstorlek (ett fullständigt register som förs av Skolverket). Vid den tid som undersökningen avsåg var skolorna tvingade att dela på klasser som annars skulle ha fått fler än 30 elever. Forskarna kunde således jämföra elever som hade gått i skolklasser med strax under 30 elever respektive i klasser som på grund av delningen hade betydligt färre elever, och därigenom bedöma betydelsen av klasstorlek i åldrarna 10–13 år för barnens kognitiva och övriga utveckling. De fann att barn som gått i mindre klasser hade en mer positiv utveckling än barn som gått i större. Även i vuxen ålder hade barn från de mindre klasserna i genomsnitt något högre utbildning och högre inkomster.36

När longitudinella studier görs på ett begränsat urval av personer förvärras ofta det problem med bortfall som finns vid tvärsnitts-

34 Lehtinen, M., J. Dillner, P. Knekt, et al. Serologically diagnosed infection with human papillomavirus type 16 and risk for subsequent development of cervical carcinoma: Nested case-control study. British Medical Journal 1996:312(7030): 537–539; Wallin, K.L., F. Wiklund, T. Angström et al. Type-specific persistence of human papillomavirus DNA before the development of invasive cervical cancer. New England Journal of Medicine 1999:341(22): 1633–1638, National Board of Health and Welfare. 2008. Background to a human papillomavirus vaccination in Sweden. Stockholm: National Board of Health and Welfare. 35 Eriksson C. et al. Arthritis Res Ther. 2011:13(1):R30.E-pub 36 Fredriksson, P., Oosterbeek, H., Öckert, B. Långsiktiga effekter av mindre klasser, IFAU rapport 2012:5

studier och som jag tidigare har berört. Bortfallet tenderar av olika skäl att öka över tid. Därmed ökar också osäkerheten i resultaten. Detta talar för att man där det är möjligt bör göra longitudinella studier med hjälp av registeruppgifter.

4.4.8. Mikrosimulering

I utredningsdirektiven nämns att registeruppgifter kan användas för mikrosimulering.37De exempel på forskning som hittills har redovisats syftar i regel till att förstå de mekanismer som påverkar hälsa och välfärd. Vid mikrosimulering driver man förståelsen ett steg längre och försöker förutsäga möjliga eller sannolika effekter av en planerad åtgärd, exempelvis en förändring av skatter eller bidrag. Med hjälp av mikrosimuleringsmodeller kan man beräkna åtgärdens effekter både för olika typer av hushåll och för hela befolkningen.38Med mikro avses att dataunderlaget utgörs av uppgifter om individer (eller till exempel hushåll, arbetsplatser eller bostäder). Med simule-

ring avses att man undersöker hur individernas situation påverkas

av ändrade regelsystem, till exempel ändrade skatter eller bidrag.

Mikrosimuleringsmodeller har utvecklats bland annat för att kunna göra mer tillförlitliga beräkningar än vad som är möjligt när man utgår från genomsnittliga förhållanden. Ett exempel kan belysa problemet.

För några år sedan fördes en diskussion om möjligheten att genom skattesänkningar minska kostnaderna för socialbidrag. Diskussionen utgick från ett genomsnittligt hushåll som betalar inkomstskatt och också får socialbidrag. En sänkning av skatten för detta tänkta hushåll skulle således sänka behovet av socialbidrag med lika mycket. Förutsatt att skattesänkningen inte överstiger det genomsnittliga socialbidraget blir med en sådan beräkning en hundraprocentig verkningsgrad på socialbidraget av skattesänkningen. Inom ramen för en utredning om socialtjänstlagen vid slutet av 1990-talet gjordes en beräkning med hjälp av mikrosimulering. Verkningsgraden på socialbidragen blev då knappt 10 procent. Den minskade skatteintäkten resulterade med andra ord i att kostnaderna för socialbidrag minskade med bara en tiondel därav. Resultatet har sin förklaring i att de hushåll som hade socialbidrag ofta inte betalade någon skatt,

37 Anders Ekholm m fl har bidragit till utredningen med en underlagsrapport, Vad är mikrosimulering? 38 Se http://www.scb.se/Pages/Standard__195232.aspx eller http://www.stat.fi/tup/mikrosimulointi/esittely_sv.html.

något som mikrosimuleringsmodellen beaktade men inte kalkylen baserad på genomsnitt.39

Mikrosimuleringsmodeller har ofta tagits fram inom regeringsadministrationer för att beräkna effekter av planerade politiska åtgärder, men har också utvecklats och använts i forskningen. Sedan slutet av 1980-talet finns i Sverige en skatte-bidrags-modell, FördelningsAnalytiskt Statistiksystem för Inkomster och Transfereringar (FASIT), som har utvecklats, förvaltas och vidareutvecklas av SCB. Den används flitigt i Regeringskansliet för att bedöma effekterna av olika planerade reformer, men har även, om än i blygsam omfattning, använts i samhällsvetenskaplig forskning.

FASIT är en så kallad statisk tvärsnittsmodell. Det innebär att man inte antar några förändringar i beteenden över tid. För att komma åt detta problem har andra modeller av dynamisk karaktär utvecklats. I en översiktsartikel från 2013 redovisar Jinjing Li och Cathal O’Donoghue ett sextiotal så kallade dynamiska mikrosimuleringsmodeller med inriktning på ekonomi och välfärd som för närvarande används i olika delar av världen.40Några av dessa har tagits fram i Sverige, bland andra Swedish Simulation Model (SESIM). SESIM utvecklades ursprungligen inom finansdepartementet för att analysera studiemedelssystemets långsiktiga effekter, men den har senare kommit att användas för andra analyser, också av forskare. Anders Klevmarken med flera har använt den för att analysera effekter av en åldrande befolkning.41

De har till exempel i sina analyser pekat på risken för att antalet fattiga äldre (med inkomster under 50 procent av medianinkomsten) kommer att öka kraftigt fram till år 2020 för att sedan fortsätta uppåt till år 2040. De har också visat att kostnaderna för äldreomsorgen som andel av summan av de direkta skatter som hushållen betalar kan komma att öka från strax över 20 procent i dag till 25 procent år 2020 och drygt 36 procent år 2040.

Detta slags beräkningar säger naturligtvis inte hur det kommer att bli. Men de utgör ett viktigt underlag när politiken ska utformas.

Ett annat exempel på användning av mikrosimuleringsmodeller är de beräkningar som Smittskyddsinstitutet har gjort av effekterna av vaccinationskampanjen mot influensa 2009. Man sökte där med

39SOU 1999:46. 40 Li, J. & O’Donoghue. A survey of dynamic mivrosumulation models: uses, model structure and methodology, International Journal of Microsimulation 2013:6(2) 3-55. 41 Klevmarken, A., Lindgren, B. (ed). Simulating an Ageing Population. A microsimulation approach applied to Sweden. Contribution to Economic Analysis No 285, Emerald Group Publishing Lmtd, Bingley, United Kingdom 2008; ISBN 978-0-444-53253-4.

hjälp av en annan modell, Mikrosim, beräkna vad som skulle ha hänt utan vaccinering. Slutsatsen blev att vaccinationen hade sparat hundratalet liv och drygt 1 700 inläggningar i slutenvård, men också att den hade lett till cirka 150 fall av narkolepsi.42

Mikrosimuleringsmodeller kräver stora datamängder för att fungera väl. I själva verket är det just datas omfattning som bestämmer hur väl variationsanalysen kan göras. I en rapport till Finanspolitiska rådet skriver professor Daniel Waldenström: ”Om man exempelvis är intresserad av analyser av invandrare uppdelade på födelseland och ålder blir grupperna snart så små att den statistiska osäkerheten gör det svårt att dra meningsfulla slutsatser. Om undersökningen därutöver har ovanligt höga bortfall, vilket särskilt är fallet med gruppen unga invandrare, omöjliggörs praktiskt all form av statistisk analys.”43

4.5. Sammanfattning

Som har framgått av detta kapitel innebär det ofta en förutsättning, och än oftare en fördel, för forskare att ha tillgång till stora datamaterial, till exempel i form av befolkningsregister. Det ger möjligheter att få kunskaper som kan vara svåra eller omöjliga att vinna med andra forskningsmetoder.

Att använda personuppgifter av det slag som forskarna behöver kan emellertid i vissa situationer uppfattas som ett hot mot individers personliga integritet. Hur man ska se på dessa risker och den avvägning mellan intressen som måste göras ska jag återvända till i kapitel 6. Dessförinnan ska jag emellertid, i kapitel 5, redovisa de rättsliga förutsättningarna för registerbaserad forskning.

42 Vaccinationskampanjen mot influensa A(H1N1) 2009, Utvärdering av hälsoeffekter säsongerna 2009/2010 och 2010/2011. Smittskyddsinstitutet 2013; Brouwers, L., Cakici, B., Camitz, M., Tegnell, A., Boman, M. Economic consequences to society of pandemic H1N1 influenza 2009 – premininary results for Sweden. Euro Surveill. 2009:43(37):pii=19333. www.eurosurveillance.org/ViewArticle.aspx?ArticleId=19333. 43 Waldenström, D. Regeringen och ojämlikheten, En granskning av budgetens fördelningspolitiska redogörelser 1992–2011. Rapport till Finanspolitiska Rådet 2012/6.

5. Rättsliga förutsättningar för registerbaserad forskning

5.1. Inledning

I detta kapitel ska jag redovisa de bestämmelser som är av betydelse för förutsättningarna för registerbaserad forskning och som därmed är relevanta för utredningen. De bestämmelser som behandlas motsvarar i stort de som finns upptagna i kommittédirektiven (Dir. 2013:8, se bilaga 1). Målet är att ge en översiktlig beskrivning av det rättsliga regelverk som reglerar registerforskningen i dag.

Jag har i föregående kapitel visat på vinsterna för forskningen med att använda registeruppgifter. Användningen av personuppgifter för forskningsändamål kan emellertid vara känsligt för individerna. Det finns en omfattande lagstiftning som har till syfte att skydda den personliga interiteten. Samtidigt ger lagstiftningen stöd för forskare att behandla personuppgifter för forskningsändamål.

Kapitlet inleds med en genomgång av de regelverk som styr behandlingen av personuppgifter och skyddet för den personliga integriteten. Här finns reglering på både internationell och nationell nivå. Därefter beskrivs några av de internationella instrument som införts till skydd för enskilda inom hälso- och sjukvård samt forskning. För att möta Sveriges internationella åtaganden på detta område infördes 2004 en särskild lag om etikprövning av forskning som avser människor. Forskares möjlighet att få tillgång till personuppgifter och skyddet för personuppgifterna hos forskningshuvudman som är en statlig myndighet regleras av bestämmelserna om offentlighet och sekretess och av personuppgiftslagen (1998:204) (PUL). Sättet för utlämnande av personuppgifter regleras bland annat i en särskild bestämmelse i lagen (2001:99) om den officiella statistiken som beskrivs översiktligt i kapitlet. I det avslutande avsnittet redogörs närmare för de bestämmelser som bland annat rör bevarandet av allmänna handlingar, däribland forskningsunderlag.

5.2. Internationell reglering till skydd för den personliga integriteten vid behandling av personuppgifter

5.2.1. FN:s allmänna förklaring om de mänskliga rättigheterna m.m.

Den allmänna förklaringen om mänskliga rättigheter antogs år 1948 av FN:s generalförsamling. Förklaringen omfattar politiska och medborgerliga rättigheter men även sociala, ekonomiska och kulturella. Den allmänna förklaringen är inte bindande för medlemsstaterna men ses numera som ett uttryck för sedvanerättsliga regler. Skyddet för den personliga integriteten behandlas i artikel 12. Där stadgas att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. Vidare anges i artikel 29 att en person endast får underkastas sådana inskränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.

FN har också antagit den internationella konventionen om medborgerliga och politiska rättigheter. Konventionen antogs 1966 och trädde i kraft 1976. För närvarande är cirka 150 stater, däribland Sverige, anslutna till konventionen. I artikel 17 i konventionen upprepas innehållet i ovannämnda artikel 12 i den allmänna förklaringen. För att öka respekten för konventionens rättigheter har vissa kontroller införts, band annat rapporteringsskyldighet för medlemsstaterna. Kommittén för mänskliga rättigheter (Human Rights Committee) har inrättats för att övervaka att medlemsstaterna efterlever sina skyldigheter enligt konventionen.

I sammanhanget bör också nämnas att FN:s generalförsamling år 1990 antog riktlinjer om datoriserade register med personuppgifter (Guidelines concerning computerized personal data files). Riktlinjerna anger tio grundläggande principer som medlemsstaterna ska ta hänsyn till vid lagstiftning avseende datoriserade register med personuppgifter. Det anges bland annat att personuppgifter inte får samlas in eller behandlas på ett olagligt sätt eller användas för syften som står i strid med FN:s stadga. Ändamålet med registret ska vara specificerat, berättigat och på något sätt uttryckligt angivet för den

som berörs. Detta är för att försäkra att alla personuppgifter som samlas in och behandlas är relevanta och adekvata för det angivna ändamålet, att uppgifterna inte används i strid med det angivna ändamålet och att uppgifterna inte bevaras längre än som krävs för att uppfylla det angivna ändamålet. Enligt riktlinjerna ska var och en ha rätt att få reda på om information om henne eller honom är registrerad och i så fall vilken. Var och en ska vidare ha rätt till rättelse eller utplåning av onödiga eller felaktiga uppgifter. Uppgifter som kan ge upphov till diskriminering, till exempel information om ras eller etniskt ursprung, sexualliv, politiska åsikter eller religiös eller filosofisk övertygelse bör inte registreras. Den som för registret ansvarar för att tillbörliga åtgärder vidtas för att skydda uppgifterna från obehörig åtkomst, missbruk och smitta av datavirus. Det ska i varje land finnas en myndighet med ansvar att övervaka att lagstiftningen på området efterlevs. Överträdelse av bestämmelserna ska leda till sanktioner.

5.2.2. Europakonventionen

Den europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) inkorporerades i svensk rätt den 1 januari 1995 och gäller sedan dess som lag i Sverige. Av 2 kap. 19 § regeringsformen framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

Det är framför allt artikel 8 i konventionen som har betydelse för skyddet av den personliga integriteten. I bestämmelsen anges att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Av andra punkten följer att en offentlig myndighet inte får inskränka denna rätt annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förbyggande av oordning eller brott eller till skydd för hälsa och moral eller för andra personers fri och rättigheter.

Behandling av personuppgifter kan falla inom tillämpningsområdet för artikel 8 i Europakonventionen, dock endast i de fall behandlingen avser uppgifter om privatliv, familjeliv, hem eller korrespondens. Artikel 8 innebär att staten ska avhålla sig från ingrepp i den skyddade rättigheten, men också en skyldighet för staten att

vidta åtgärder för att skydda den enskildes privata sfär.1 Bestämmelsen innebär således en skyldighet att upprätthålla skyddet för privatlivet genom lagstiftning, men kan också medföra en skyldighet för myndigheter att agera i enskilda fall.

För att vara förenligt med artikel 8 måste ett ingrepp i den konventionsskyddade rättigheten ha stöd i inhemsk lag. Lagen ska vara tillgänglig för allmänheten och utformad med sådan precision att inskränkningarna är förutsebara.2Ingreppet ska vidare vara nödvändigt. Det krävs således att det finns ett ”angeläget samhälleligt behov”. Slutligen ska inskränkningen i den grundläggande rättigheten stå i rimlig proportion till det syfte som ska tillgodoses genom inskränkningen. Varje konventionsstat har viss frihet att avgöra om en inskränkning är nödvändig, men Europadomstolen förbehåller sig rätten att övervaka om friheten utnyttjas på ett rimligt sätt.

5.2.3. Europarådets Dataskyddskonvention

Europarådets ministerkommitté antog år 1981 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter, den så kallade dataskyddskonventionen. Konventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i EU har ratificerat konventionen. Konventionen är bindande för de länder som tillträtt den. Till konventionen ansluter en rad rekommendationer om hur personuppgifter bör behandlas inom olika områden, till exempel rekommendation nr R (83) 10 till skydd för personuppgifter som används för vetenskaplig forskning och statistik. Rekommendationerna är inte direkt bindande.

Konventionen har enligt artikel 1 till syfte att säkerställa respekten för grundläggande fri- och rättigheter, särskilt rätten till personlig integritet i samband med automatisk databehandling av personuppgifter.3Konventionens tillämpningsområde är enligt artikel 2 automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet. Varje konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet. Den centrala delen av konventionen är kapitel II (artikel 4–11) som innehåller de grundläggande principerna för dataskydd. Det finns bland annat krav på att personuppgifter

1 Danelius, H., Mänskliga rättigheter i europeisk praxis, 4 uppl., 2012, s. 347 f. 2 Danelius, H., Mänskliga rättigheter i europeisk praxis, 4 uppl., 2012 s. 351. 3 Begreppet ”automatisk databehandling” behandlas i avsnitt 5.3.4.4.

som undergår automatisk databehandling ska erhållas och behandlas på ett korrekt och lagligt sätt, vara ändamålsenliga, relevanta och inte onödiga för de ändamål för vilka de lagras och inte bevaras längre tid än nödvändigt (artikel 5). Uppgifter som avslöjar ras, politiska åsikter, hälsa och sexualliv samt att någon dömts för brott får inte behandlas om inte nationell lag ger ett ändamålsenligt skydd (artikel 6). Konventionen innehåller också bestämmelser om bland annat krav på säkerhetsåtgärder, information till den registrerade samt sanktioner och rättsmedel.

Europarådet inledde år 2010 en översyn av konventionen som fortfarande pågår.

5.2.4. OECD:s riktlinjer

Inom Organisationen för ekonomiskt samarbete och utveckling (OECD) har en expertgrupp utarbetat riktlinjer avseende integritetsskyddet och flödet av personuppgifter över gränserna: Guidelines

Governing the Protection of Privacy and Transborder Flows of Personal Data. Riktlinjerna antogs år 1980 av OECD:s råd. Samtidigt antogs

en rekommendation till medlemsländernas regeringar att beakta riktlinjerna i nationell lagstiftning. Sverige har liksom samtliga andra medlemsländer godtagit rekommendationerna och därmed åtagit sig att följa riktlinjerna. Syftet med dessa är att försöka undvika de risker för intrång i den personliga integriteten och individens frihet som personuppgifter kan utgöra på grund av det sätt på vilket de behandlas, deras natur eller det sammanhang i vilket de används.4 Riktlinjerna är tillämpliga på personuppgifter inom både den offentliga och den privata sektorn och avser både uppgifter som lagras automatiskt och uppgifter som förs manuellt. Riktlinjerna är att uppfatta som minimiregler. Det är således inget som hindar att det nationella skyddet görs mer omfattande än riktlinjerna anger. Riktlinjerna innehåller en särskild avdelning som anger åtta grundläggande principer till skydd för den personliga integriteten på det nationella planet. Här anges bland annat att personuppgifter ska vara relevanta för de ändamål för vilka de ska användas och vara riktiga och fullständiga samt hållas aktuella. En annan grundläggande princip är att de ändamål för vilka personuppgifterna samlades in ska vara preciserade senast vid insamlingen.

4SOU 1997:39 s. 170 f.

5.2.5. Europeiska unionens stadga om de grundläggande rättigheterna

Vid Europeiska rådets möte i Nice år 2000 antog medlemsstaterna Europeiska unionens stadga om de grundläggande rättigheterna (EUstadgan).5 Stadgans syfte är att kodifiera de grundläggande fri-och rättigheter som EU redan dessförinnan har erkänt. I stadgan anges de grundläggande rättigheterna under sex huvudrubriker: värdighet, frihet, jämlikhet, solidaritet, medborgarskap och rättvisa. Liksom Europakonventionen förbjuder stadgan bland annat tortyr, slaveri och tvångsarbete och ger ett skydd för människans rätt till frihet och säkerhet och rätten till en rättvis rättegång. Stadgan innehåller dessutom ytterligare rättigheter som inte finns med i Europakonventionen, till exempel personuppgiftsskydd och rätten till god förvaltning.

När det gäller skyddet för den personliga integriteten anges i stadgan att var och en har rätt till fysisk och mental integritet (artikel 3). Alla har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer (artikel 7) samt skydd för personuppgifter som rör honom eller henne (artikel 8). I artikel 8 anges vidare att personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim grund. Vidare ska var och en ha rätt att få tillgång till insamlade uppgifter och att få rättelse av dem. I artikeln stadgas också att en oberoende myndighet ska kontrollera att reglerna efterlevs.

Enligt artikel 35 har var och en rätt till tillgång till förebyggande hälsovård och till medicinsk vård på de villkor som fastställs i nationell lagstiftning och praxis. En hög nivå av skydd för människors hälsa ska säkerställas vid utformning och genomförande av all unionspolitik och alla unionsåtgärder.

Lissabonfördraget innebär att Europeiska unionens stadga om de grundläggande rättigheterna numera är rättligt bindande när EU-institutionerna och medlemsländerna tillämpar EU:s lagar och regler.6

5SOU 2010:4 s. 104. 6Prop. 2007/08:168 s. 58.

5.2.6. Sammanfattning

Av redogörelsen framgår att Sverige förbundit sig att säkerställa respekten för grundläggande fri- och rättigheter, däribland rätten till personlig integritet i samband med automatisk databehandling av personuppgifter. När det gäller hur skyddet för den personliga integriteten i samband med databehandling ska utformas är det vissa principer som återkommer i de olika dokumenten och riktlinjerna. Av central betydelse är kravet att personuppgifter endast får samlas in för ett eller flera angivna ändamål. Uppgifterna ska erhållas och behandlas på ett korrekt och lagligt sätt, vara ändamålsenliga, relevanta och inte onödiga för de ändamål för vilka de lagras och inte bevaras längre tid än nödvändigt. Uppgifter av särskilt känslig natur, vanligtvis sådana som avslöjar ras eller etnicitet, politiska åsikter, facklig tillhörighet, hälsa och sexualliv eller att någon har dömts för brott, får endast behandlas under särskilda omständigheter som regleras i lag. Vanligtvis finns också krav på bestämmelser om bland annat säkerhetsåtgärder, information till den registrerade samt sanktioner och rättsmedel. I sammanhanget bör påpekas att det i vissa av de angivna dokumenten också finns rättigheter som delvis måste tillgodoses genom forskning, till exempel rätten till förebyggande hälsovård och till medicinsk vård i EU-stadgan.

De principer som redovisas ovan återkommer i dataskyddsdirektivet som redovisas i avsnitt 5.3.2.

5.3. Nationell reglering till skydd för den personliga integriteten vid behandling av personuppgifter

5.3.1. Regeringsformen

Regeringsformen (RF) innehåller vissa grundläggande bestämmelser till skydd för den personliga integriteten. Enligt målsättningsstadgandet i 1 kap. 2 § första stycket ska den offentliga makten utövas med respekt band annat för den enskilda människans frihet. I fjärde stycket samma paragraf anges att det allmänna ska värna om den enskildes privat- och familjeliv. Målsättningsstadgandet anger några av de viktigaste målen för samhällets verksamhet men har inte någon bindande verkan för det allmänna.7Bestämmelsen kan således inte ligga till grund för några individuella rättigheter. I 2 kap. 4 och 5 §§

7Prop. 1975/76:209 s. 128, prop. 2009/10:80 s. 173.

finns bestämmelser om förbud mot allvarliga fysiska integritetsintrång såsom döds- och kroppsstraff och enligt 2 kap. 6 § är var och en skyddad gentemot det allmänna mot påtvingade kroppsliga ingrepp.

För att stärka skyddet för den personliga integriteten infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § RF. I bestämmelsen anges att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Bestämmelsen får enligt 2 kap. 20 § RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen (2 kap. 21 § RF). Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

I förarbetena till grundlagsändringen anförs att resultatet av Integritetsskyddskommitténs kartläggning och analys av lagstiftning som rör den personliga integriteten ger belägg för slutsatsen att lagstiftning som innefattar intrång i den enskildes personliga integritet i viss utsträckning uppvisar brister, bland annat i att de avvägningar mellan olika motstående intressen som normalt ska göras i lagstiftningsärenden i vissa fall är bristfälligt redovisade.8Det anförs vidare att kommittén konstaterar att grundlagarna starkt betonar vikten av yttrande- och informationsfrihet och att den fria åsiktsbildningen intar en privilegierad ställning. När det gäller grundlagsbestämmelser som har betydelse för integritetsskyddet finns endast förbud mot politisk åsiktsregistrering och ett förbud mot husrannsakan, hemlig avlyssning med mera utan stöd i lag, bestämmelser vars främsta syfte är att skydda den fria åsiktsbildningen. Kommittén konstaterar att lagstiftaren inte lägger tillräcklig vikt vid integritetsskyddsaspekterna när ny lagstiftning arbetas fram.

I propositionen anförs att respekten för individens självbestämmande är grundläggande för en demokrati. Vidare anges att vikten av respekt för individens rätt att själv förfoga över och ta ställning till det allmännas tillgång till sådan information som rör hans eller hennes privata förhållanden kommer att betonas på ett tydligare sätt om skyddet för den personliga integriteten i 2 kap. RF stärks. En

8Prop. 2009/10:80 s. 176.

sådan förstärkning kan även förväntas främja intresset av en fri åsiktsbildning och antas öka Sveriges trovärdighet som fördragsslutande part till Europakonventionen. Målet med regleringen är enligt propositionen att tvinga lagstiftaren att tydligt redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen och att öka förutsättningarna för att avvägningarna i fråga om identitetsintrånget blir mer ingående belysta.9

Bestämmelserna i 2 kap. 6 § andra stycket RF medför att behandlingar av information om enskildas personliga förhållanden som sker utan den enskildes samtycke som innebär övervakning eller kartläggning av den enskilde och som innebär ett betydande intrång i den personliga integriteten måste anges i lag. Med enskildas personliga förhållanden avses enligt förarbetena vitt skilda slag av information som är knuten till den enskildes person, till exempel uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel.10Även fotografisk bild samt uppgifter som inte är direkt knutna till den enskildes privata sfär, exempelvis uppgift om anställning, omfattas av uttrycket. Även en uppgift om en persons ekonomi torde omfattas.

När det gäller frågan om samtycke anförs i motiven att integritetsskyddet bör ta sikte på sådana åtgärder som den enskilde själv inte kan få kännedom om eller påverka genom ett krav på frivilligt godkännande.11 Om åtgärderna däremot förutsätter den enskildes godkännande kan det intrång som åtgärden innebär normalt inte anses vara av så allvarlig beskaffenhet att det bör omfattas av ett stärkt grundlagsskydd. Detta gäller oberoende av vilka slags uppgifter åtgärden eller behandlingen avser. PUL bör enligt förarbetena kunna tjäna som vägledning vid bedömningen av vad som krävs för att en åtgärd ska falla utanför grundlagsskyddet redan på grund av att den vidtas med den enskildes samtycke.

Avseende begreppen övervakning och kartläggning anförs i förarbetena att en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall, exempelvis insamling av uppgifter av visst slag för beslut om beskattning eller liknande, i många fall kan anses innebära kartläggning av enskildas förhållanden även om avsikten inte är att kartlägga enskilda.12 Så torde fallet vara i fråga om ett stort antal uppgifts-

9Prop. 2009/10:80 s. 177. 10 Ibid. 11Prop. 2009/10:80 s. 178 f. 12Prop. 2009/10:80 s. 180.

samlingar som det allmänna förfogar över. En mycket stor mängd information som rör enskildas personliga förhållanden finns till exempel lagrad i Skatteverkets, Tullverkets, Försäkringskassans och Kronofogdemyndighetens olika databaser. Även Statistiska centralbyrån (SCB) och andra statistikansvariga myndigheter lagrar och bearbetar stora mängder uppgifter om enskildas personliga förhållanden i sina databaser.13 Flera av dessa uppgiftssamlingar omfattar en stor andel av landets hela befolkning och flera av dem innehåller också till viss del mycket integritetskänsliga uppgifter. Myndighetsspecifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering förekommer inom i stort sett all statlig och kommunal förvaltning. Särskilda föreskrifter som anger de närmare förutsättningarna för informationshanteringen finns för till exempel socialtjänsten, studiestödsverksamheten, Kriminalvården och den brottsbekämpande verksamheten hos såväl polismyndigheterna, Tullverket och åklagarmyndigheterna som Skatteverket och Kustbevakningen samt hos domstolarna. I flertalet fall är uppgifterna tillgängliga för myndigheterna på sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat. Det förekommer även att uppgiftssamlingar inrättas och utformas i syfte att fungera som mer utpräglade personregister. Som exempel nämns polisens belastningsregister. Vidare konstateras att en rad åtgärder som innefattar insamling av information om enskildas personliga förhållanden i andra situationer kan anses innebära övervakning, till exempel hemlig kameraövervakning, teleavlyssning och teleövervakning. Det betonas att det är åtgärdens effekter som är av avgörande betydelse vid bedömningen av om den ska anses falla under grundlagsbestämmelsens tillämpningsområde, inte det huvudsakliga syftet med åtgärden.

Grundlagsskyddet omfattar endast betydande integritetsintrång och i förarbetena betonas att grundlagsbestämmelsen bara omfattar vissa kvalificerade intrång i den personliga integriteten.14 Vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden är det enligt förarbetena naturligt att stor vikt läggs vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även

13 Se kapitel 3. 14Prop. 2009/10:80 s. 183.

hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan således normalt anses vara mer känslig än till exempel en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Därutöver kan givetvis mängden uppgifter vara en betydelsefull faktor i sammanhanget. I detta sammanhang anförs det att konstitutionsutskottet i flera lagstiftningsärenden som rört myndigheters personuppgiftsbehandling framfört att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i form av lag och att regeringen vid flera tillfällen har instämt i denna bedömning.15 Regeringen har också uttalat att behovet av lagstiftning är särskilt stort om uppgifterna sprids externt i en inte obetydlig omfattning.16

Vid bedömningen av vad som kan anses utgöra ett betydande intrång bör flera omständigheter vägas in. Förutom de ovan angivna nämns i förarbetena att även omfattningen av utlämnandet av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen kan vara av betydelse vid bedömningen. Däremot bör den närmare avgränsningen av grundlagsbestämmelsens tillämpningsområde inte påverkas av sekretesslagstiftningens utformning. Den omständigheten att sekretesslagstiftningen innehåller en presumtion för offentlighet, det vill säga ett rakt skaderekvisit, för uppgifter i en viss myndighets verksamhet bör således inte i sig utgöra skäl för bedömningen att myndighetens behandling av uppgifterna faller utanför det utvidgade grundlagsskyddet. Även om intresset av insyn är så stort att det inte är motiverat att införa långtgående begränsningar i allmänhetens rätt att få tillgång till handlingar, kan uppgifterna och hanteringen av dem således vara så integritetskänslig att den bör omfattas av grundlagsskyddet. Det förhållandet att de uppgifter som behandlas av en myndighet omfattas av sekretess med ett omvänt skaderekvisit bör inte heller utgöra en omständighet som med automatik innebär att en bestämmelse om uppgiftsskyldighet måste anses omfattas av den nya grundlagsbestämmelsens tillämpningsom-

15Prop. 1990/91:60 s. 58, bet. 1990/91:KU 11 s. 11, bet. 1997/98:KU 18 s.43, prop. 1997/98:44 s. 41 och prop. 1999/2000:39 s. 78. Se även till exempel prop. 1990/91:60 s. 58, prop. 1997/98:108 s. 39 och prop. 2011/12:176 s.20. 16Prop. 1990/91:60 s. 58.

råde. Även andra omständigheter måste beaktas vid bedömningen av hur långtgående intrång uppgiftsskyldigheten innebär när ställning tas till om föreskrifterna omfattas av den nya bestämmelsen. En sådan omständighet kan vara på vilket sätt och för vilka syften mottagaren av uppgifterna hanterar utlämnade uppgifter.

I förarbetena anges att det är förenat med svårigheter att peka ut vilka specifika företeelser som är av sådant slag att de innebär ett betydande intrång i integriteten.17I sista hand är det riksdagen som får avgöra vilka företeelser som är av så ingripande karaktär att de inte bör kunna begränsas på annat sätt än genom lag.

5.3.2. Dataskyddsdirektivet

5.3.2.1 Syfte

Inom EU regleras behandling av personuppgifter i Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter, det så kallade dataskyddsdirektivet. Syftet med direktivet är enligt artikel 1.1 att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter. Det anges i artikel 1.2 att medlemsstaterna inte får begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna på grund av detta skydd. Målet med direktivet är att skapa en gemensam, hög nivå på integritetsskyddet för att därigenom möjliggöra ett fritt flöde av personuppgifter mellan medlemsländerna.18 Medlemsstaterna får inom den ram som ges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Dessa preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen.

5.3.2.2 Huvuddragen i direktivet

Huvuddragen i direktivet är sammanfattningsvis följande.19 Direktivet är tillämpligt på all behandling av personuppgifter som sker helt eller delvis på automatisk väg. Direktivet omfattar även icke automatisk behandling av personuppgifter om de ingår eller är avsedda att

17Prop. 2009/10:80 s. 185. 18Prop. 1997/98:44 s. 34. 19Prop. 1997/98:44 s. 35

ingå i ett register. Med register avses i sammanhanget varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.20Direktivet är inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskapsrätten, till exempel den som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område och inte heller på register för privat bruk. Även behandling av personuppgifter för uteslutande journalistiska, konstnärliga och litterära ändamål undantas.

Personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och uppgifterna får inte senare användas på ett sätt som är oförenligt med ursprungsändamålet. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål ska inte anses oförenlig med dessa ändamål, förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder.

Personuppgifter får behandlas när den enskilde lämnat sitt samtycke. Därutöver får personuppgifter behandlas endast när det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part, när det finns en författningsreglerad förpliktelse att behandling av uppgifterna ska ske, när det är nödvändigt för att skydda den enskildes grundläggande intressen, när det är nödvändigt att utföra en arbetsuppgift i det allmännas intresse eller om det i övrigt skett en intresseavvägning som resulterat i att behandling av personuppgifter ska få ske.

Medlemsstaterna ska förbjuda behandling av känsliga personuppgifter, det vill säga uppgift som avslöjar ras21, religion, politisk åsikt, facklig tillhörighet eller som rör hälsa och sexualliv. Det finns dock vissa undantag från denna huvudregel, bland annat vid den enskildes uttryckliga samtycke, för ideella föreningars medlemsregister och för hälso- och sjukvårdens administration. Medlemsstaterna får i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag från förbudet än dem som anges i direktivet, dock endast under förutsättning att det sker av hänsyn till ett viktigt allmänt intresse och att lämpliga skyddsåtgärder vidtas. Medlemsstaterna ska vidare bestämma på vilka villkor nationella identifikationsnummer får behandlas.

20 I punkt 27 i ingressen till direktivet anges att innehållet i ett register måste vara strukturerat enligt särskilda kriterier som avser den enskilda personen, för att lätt ge tillgång till personuppgifterna. Akter eller grupper av akter eller deras omslag som inte är strukturerade efter särskilda kriterier faller inte inom direktivets tillämpningsområde. 21 Användningen av begreppet ”ras” kommenteras i avsnitt 5.3.4.8.

När personuppgifter samlas in ska den registrerade informeras om bland annat vem som är registeransvarig och vad uppgifterna ska användas till. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige emellertid inte lämna någon information, om den registrerade redan känner till informationen eller om det skulle visa sig omöjligt eller innebära en arbetsinsats som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Den registrerade har också rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade. Direktivet innehåller vidare regler om säkerhet vid behandlingen.

All behandling av personuppgifter ska enligt huvudregeln anmälas till en tillsynsmyndighet. Medlemsstaten kan dock genom bransch- och sektorsreglering eller motsvarande undanta sådan behandling av personuppgifter som inte kränker enskildas fri- och rättigheter från anmälningsskyldigheten. Behandling av personuppgifter som innebär särskilda integritetsrisker får inte förekomma utan att tillsynsmyndigheten först gett tillstånd till detta.

Den registrerade ska ha rätt att få sina rättigheter enligt den nationella lagen prövad av tillsynsmyndigheten och av domstol. Tillsynsmyndigheten ska vara ett oberoende organ. Den ska ha undersökningsbefogenheter och befogenheter att effektivt ingripa mot otillåten behandling av personuppgifter.

Överföring av personuppgifter till ett tredje land, som i detta sammanhang innebär ett land utanför EU, får i princip endast ske om det mottagande landet har en acceptabel skyddsnivå.

5.3.2.3 Kompletterande rättsakter

Inom EU finns också vissa kompletterande rättsakter till dataskyddsdirektivet, bland annat rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) med särskilda regler om skydd för personuppgifter i frågor som rör polisiärt och straffrättsligt samarbete.

5.3.2.4 Reformarbete

Europeiska kommissionen presenterade i november 2010 meddelandet Ett samlat grepp på skyddet av personuppgifter i Europeiska

unionen (KOM/2010/0609) som innehöll en strategi för att stärka

EU:s regler om dataskydd. Både rådet och parlamentet uttryckte sitt stöd för kommissionens strategi. I januari 2012 lade kommissionen fram ett förslag till reform av EU:s regler om skydd för personuppgifter. Förslaget innebär bland annat att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning. En förordning har direkt effekt i medlemsländerna. Det innebär att förslaget, om det genomförs, inte bara kommer att ersätta dataskyddsdirektivet utan även PUL.

I Europaparlamentet behandlades förslaget i LIBE-utskottet (Committee for Civil Liberties, Justice and Home Affairs). Rapportören Jan Philipp Albrecht lade fram ett förslag till betänkande i december 2012. Ett förslag med parlamentets ändringar antogs av parlamentet den 12 mars 2014 med 621 ja-röster mot 10 nej-röster och 22 nedlagda. I Ministerrådet behandlar rådsarbetsgruppen för dataskydd (DAPIX) kommissionens förslag. Ett stort antal möten har hållits under våren 2014. Det grekiska ordförandeskapet planerar att nå en partiell allmän inriktning om kapitlet som rör överföring av personuppgifter till tredje land till ministermötet i juni 2014. På grund av valet till Europaparlamentet i maj 2014 kommer förhandlingar mellan Ministerrådet och Europaparlamentet att inledas tidigast under andra halvan av 2014.

5.3.3. Kommissionens förordning om tillgång till konfidentiella uppgifter för vetenskapliga syften

EU-kommissionen antog 2013 en förordning om tillämpning av Europaparlamentets och rådets förordning om europeisk statistik vad gäller tillgång till konfidentiella uppgifter för vetenskapliga syften.22I ingressen (preamble) till förordningen slås fast att rättvisande svar på många ekonomiska, sociala, miljörelaterade och politiska frågor endast kan nås med hjälp av relevanta och detaljerade uppgifter som möjliggör djupgående analyser. Kvaliteten på och

22 Kommissionens förordning (EU) nr 557/2013 av den 17 juni 2013 om tillämpning av Europaparlamentets och rådets förordning (EG) nr 223/2009 om europeisk statistik vad gäller tillgång till konfidentiella uppgifter för vetenskapliga syften och om upphävande av kommissionens förordning (EG) nr 831/2002.

aktualiteten hos de detaljerade uppgifter som är tillgängliga för forskning har därför blivit ett viktigt inslag i en vetenskapligt underbyggd förståelse och styrning av samhället. Vidare anges att forskarvärlden därför bör få bättre möjligheter att ta del av konfidentiella uppgifter som används för utveckling, framställning och spridning av europeisk statistik, för analys i den vetenskapliga utvecklingens intresse, utan att det äventyrar den höga skyddsnivå som krävs för konfidentiella statistikuppgifter. I förordningen fastställs villkoren för när tillgång till konfidentiella uppgifter som översänts till EU:s statistikmyndighet Eurostat får beviljas för att möjliggöra statistiska analyser för vetenskapliga syften. I förordningen anges också reglerna för samarbetet mellan Eurostat och de nationella statistikansvariga myndigheterna för att underlätta sådan tillgång.

Enligt artikel 3 ska vissa krav vara uppfyllda för att Eurostat ska få lämna ut uppgifter för forskningsändamål. Den som begär tillgång till uppgifterna ska vara en erkänd forskningsenhet och ett lämpligt forskningsförslag ska lämnas in. I ansökan ska anges vilken typ av konfidentiella uppgifter för vetenskapliga syften som begärs. Tillgången ska ges antingen genom kommissionen (Eurostat) eller genom en annan åtkomstplats som kommissionen (Eurostat) godkänt. Den nationella statistikansvariga myndighet som lämnat uppgifterna ska också ge sitt medgivande till utlämnande. I artikel 4 anges vilka kriterier en forskningsenhet ska uppfylla för att bli en erkänd forskningsenhet. Förordningen innehåller också definitioner av vissa begrepp samt bestämmelser om vad forskningsförslag ska innehålla, de nationella statistikansvariga myndigheternas ståndpunkt, lämpliga skyddsåtgärder, tillgången till konfidentiella uppgifter genom åtkomstplatser och organisatoriska frågor. Till förordningen hör särskilda riktlinjer23 med närmare bestämmelser om den praktiska tillämpningen av förordningen när det gäller bland annat bedömning av forskningsenheter, upprättande av forskningsförslag och godkännande av åtkomstplatser och lämpliga säkerhetsåtgärder.

23 Guidelines for the assessment of research entities, reserach proposals and access facilities.

5.3.4. Personuppgiftslagen

5.3.4.1 Personuppgiftslagens syfte och förhållande till annan lagstiftning

Dataskyddsdirektivet har genomförts i svensk rätt genom PUL och personuppgiftsförordningen (1998:1191), PUF. PUL följer i stort sett dataskyddsdirektivets text och disposition och innehåller bland annat bestämmelser om behandling av personuppgifter, personuppgiftsansvar, information till den registrerade, skadestånd och straff. Syftet med PUL är, enligt 1 §, att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Av 2 § PUL framgår att lagen är subsidiär i förhållande till andra författningar. Det innebär att om det finns en annan lag eller förordning som avviker från PUL, ska de bestämmelserna tillämpas i stället. Sådana avvikande bestämmelser finns ofta i så kallade registerförfattningar som reglerar inrättandet och förfarandet av viktigare register på det offentliga området. Även bestämmelser som föreskriver att myndigheter eller enskilda får eller ska lämna ut uppgifter avses i paragrafen. Bestämmelser om så kallad uppgiftsskyldighet går således före bestämmelserna i PUL.

5.3.4.2 Några viktiga begrepp

3 § PUL innehåller definitioner av vissa grundläggande begrepp. Avsikten är att definitionerna i PUL ska ha samma innebörd som enligt dataskyddsdirektivet.24

Behandling (av personuppgifter) avser varje åtgärd eller serie av

åtgärder som vidtas i fråga om personuppgifter, oavsett om det sker på automatisk väg eller inte. Som exempel på behandling anges i bestämmelsen insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller sambearbetning, blockering, utplåning eller förstöring. Så snart personuppgifter på något sätt hanteras är det enligt förarbetena fråga om en behandling som faller inom PUL:s tillämpningsområde, om behandlingen är automatisk eller avser ett manuellt personregister.25 Avsikten är att alla former av hantering ska omfattas.

24SOU 1997:39 s. 327. 25SOU 1997:39 s. 332.

Mottagare definieras som den till vilken personuppgifter lämnas

ut. När personuppgifter lämnas ut för att en myndighet ska kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare.

Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Definitionen av personuppgifter innebär att behandling av uppgifter om avlidna eller ännu inte födda personer inte omfattas av lagen. Det bör dock tilläggas att en uppgift om en avliden person i vissa fall kan säga något om en levande person och därmed också utgöra en personuppgift. I förarbetena anförs att en uppgift om en persons arvsanlag (DNA) kan vara en uppgift som avser flera personer eftersom denna uppgift i kombination med andra uppgifter kan ge upplysning om den personens föräldrar och avkomma.26

Enligt förarbetena omfattas även kodade personuppgifter av PUL, så länge någon kan göra uppgifterna läsbara och därmed identifiera individer.27 Även sådana uppgifter som i sig är anonyma men som möjliggör identifikation genom så kallad bakvägsidentifikation av en fysisk person omfattas. I förarbetena tolkas begreppet så att det endast krävs att en fysisk person kan identifieras med hjälp av uppgifterna, inte att den personuppgiftsansvarige själv förfogar över samtliga uppgifter som gör identifieringen möjlig. I förarbetena anges som exempel ett trafikföretag som kan registrera när ett personligt och numrerat så kallat månadskort används vid resor. Även om trafikföretaget inte registrerat vem som innehar månadskortet, kan det ändå vara fråga om en personuppgift eftersom den uppgiften kan finnas registrerad på något annat håll, till exempel hos den skola eller socialförvaltning som delat ut kortet.

Som exempel på personuppgifter kan nämnas personnummer, registreringsnummer för fordon, kundnummer och lägenhetsnummer.

Personuppgiftsansvarig är den som ensam eller tillsammans med

andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Så snart det förekommer en behandling av personuppgifter i lagens mening finns det en eller flera personuppgiftsansvariga för den behandlingen. Den personuppgiftsansvarige har ett skadeståndssanktionerat ansvar för att behandlingen av personuppgifter sker i enlighet med bestämmelserna i PUL. Som huvudregel kan därför bara fysiska personer, juridiska personer, utländska

26SOU 1997:39 s. 338. 27 Ibid. I förarbetena används begreppet krypterade i stället för kodade.

filialer eller myndigheter betraktas som personuppgiftsansvariga, inte några andra ”organ” som saknar rättskapacitet och således inte kan ådömas skadestånd.28

Personuppgiftsbiträde är den som behandlar personuppgifter för

den personuppgiftsansvariges räkning. Både fysiska och juridiska personer kan vara personuppgiftsbiträde. Den personuppgiftsansvarige har skadeståndsansvar gentemot de registrerade för personuppgiftsbiträdets behandling av personuppgifter. Personuppgiftsbiträden har inte enligt lagen något eget skadeståndsansvar gentemot de registrerade, men de kan genom avtal eller allmänna regler bli skadeståndsskyldiga gentemot den personuppgiftsansvarige för sina handlingar.

Ett personuppgiftsombud är en fysisk person som, efter förordnande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt.

Den registrerade är den som en personuppgift avser. Av defini-

tionen av personuppgifter framgår att den registrerade måste vara en fysisk person som är i livet.

Med samtycke avses enligt definitionen varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Det krävs inte att samtycket är skriftligt.29Vid en tvist torde dock den personuppgiftsansvarige ha bevisbördan för att den registrerade har lämnat sitt samtycke. Ett skriftligt samtycke kan därför ändå vara lämpligt.

Enligt definitionen ska det vara den registrerade som blir informerad och godtar behandlingen av sina personuppgifter. Det är således den registrerade själv som ska lämna sitt samtycke. Att till exempel en organisation som den registrerade tillhör godtar behandling av uppgifter om sina medlemmar är inte tillräckligt. Samtycket måste vara individuellt.30

Frågan om samtycket i alla lägen måste avges personligen, det vill säga av den registrerade själv, har diskuterats i förarbetena.31Datalagskommittén konstaterade att det verkar klart att ett ombud, en ställföreträdare eller en god man kan framföra den registrerades frivilliga, särskilda och informerade viljeyttring till den personuppgiftsansvarige (eller dennes ombud), och enligt kommittén bör ett

28SOU 1997:39 s. 336. 29SOU 1997:39 s. 341. 30 Ibid. 31 Ibid.

ombud eller en ställföreträdare kunna lämna samtycke på den registrerades vägnar.

Det har inte ställts upp några särskilda, rättsliga krav för att någon ska få avge ett samtycke. Det anges i förarbetena att ett samtycke ska vara en informerad viljeyttring från den registrerade och att den som faktiskt kan tillgodogöra sig information om vad en behandling innebär och som faktiskt kan avge en frivillig viljeyttring, som innebär att han eller hon godtar behandlingen, kan lämna ett rättsligt giltigt samtycke. Det anses naturligt att en lagstiftning som avser att skydda och inskärpa respekt för individers rättigheter i fråga om personlig integritet också respekterar individen i den meningen att den som förstår vad det handlar om får bestämma själv.32Frågan om när någon har sådan mognad att han eller hon förstår vad samtycket innebär får avgöras med beaktande av omständigheterna i varje särskilt fall. Föräldrar och andra ställföreträdare bör kunna lämna samtycke för den som inte själv kan bli informerad eller kan avge en egen viljeyttring.

Datalagskommittén tar vidare upp frågan om vad kravet på frivillighet innebär. I förarbetena nämns som exempel den situation att samtycke till viss uppgiftsbehandling uppställs som en förutsättning för att den registrerade ska få något som han eller hon önskar eller behöver, till exempel ett telefonabonnemang, en livsnödvändig sjukvårdsbehandling eller en anställning. Det konstateras att om situationen är sådan att den registrerade i praktiken inte kan avstå, kan samtycket inte gärna vara ”frivilligt”. Det anförs dock att undantag får göras om det kan visas att den registrerade skulle ha lämnat samtycket även utan ”tvånget”. Även omständigheten att en registrerad kan ha en underordnad eller beroende ställning i förhållande till den personuppgiftsansvarige bör beaktas vid bedömningen av om ett samtycke har lämnats frivilligt.

Kravet på att samtycket ska vara särskilt medför att ett generellt samtycke till uppgiftsbehandling inte accepteras. Den registrerade ska informeras om vilken eller vilka behandlingar som ska göras och de är dessa, och inga andra, som det särskilda samtycket avser.33Definitionen av begreppet samtycke innebär också att ett så kallat hypotetiskt samtycke inte kan godtas. Med hypotetiskt samtycke avses att man på olika grunder antar att individen i fråga skulle ha samtyckt om han eller hon hade ställts inför frågan.

32 Ibid. 33SOU 1997:39 s. 342.

Tillsynsmyndigheten är den myndighet som regeringen utser för

att utöva tillsyn. Enligt 2 § PUF är Datainspektionen tillsynsmyndighet.

5.3.4.3 Det territoriella tillämpningsområdet

Det följer av 4 § PUL att lagen gäller för sådana personuppgiftsansvariga som är etablerade i Sverige. Det framgår vidare av bestämmelsen att lagen som huvudregel också tillämpas när den personuppgiftsansvarige är etablerad i en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Undantag gäller dock om utrustningen bara används för att överföra uppgifter mellan två sådana länder.

5.3.4.4 Behandling av uppgifter som omfattas av lagen

Det framgår av 5 § PUL vilka personuppgifter som omfattas av lagen. Bestämmelsen har följande lydelse.

5 §

Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad.

Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

I bestämmelsens första stycke slås det fast att lagen gäller för all behandling av personuppgifter som är helt eller delvis automatiserad. Enligt förarbetena är behandling i datorer av personuppgifter som finns i datorformat (i binär form), inklusive överföringen av personuppgifter till sådant format, som regel att betrakta som automatiserad behandling.34 Så snart en personuppgift har kommit in i en dator eller motsvarande maskin skulle det alltså vara fråga om sådan automatiserad behandling som omfattas av lagen. Av punkt 14 och 15 i ingressen till dataskyddsdirektivet framgår att även ljud- eller bilduppgifter om fysiska personer omfattas om det sker med hjälp av automatisk databehandling eller om uppgifterna ingår eller

34SOU 1997:39 s. 344.

avses att ingå i ett register. Däremot är det enligt förarbetena mera osäkert om och i vilken utsträckning reglerna om automatiserad behandling ska tillämpas på behandling av personuppgifter som inte finns i datorformat, till exempel bilder och ljud avseende individer som tas upp och lagras i något analogt format, såsom på ett negativ eller ett ljud- eller videoband.

Även delvis automatiserad behandling av personuppgifter omfattas av lagen. Det innebär bland annat att lagen tillämpas redan när någon samlar in personuppgifter manuellt, till exempel via enkäter, med syfte att senare registrera uppgifterna i datorformat. Det innebär vidare att muntligt utlämnande eller utlämnande på papper av personuppgifter som finns i datorformat omfattas av lagen. Det gör även manuell, intern användning av sådana personuppgifter.35

Av 5 § andra stycket PUL framgår att lagen i vissa fall gäller även för sådan behandling av personuppgifter som inte är automatiserad. Den behandling som avses är manuellt behandlade personuppgifter som ingår i eller är avsedda att ingå i ett register. I lagen används inte begreppet register utan i stället definitionen av ett register, det vill säga en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Ett register är enligt förarbetena en samling av personuppgifter.36Samlingen ska, för att utgöra ett register, innehålla uppgifter om fler än en person. En omfattande samling uppgifter om en enda person är således inte något register. För att något ska kunna sägas vara en samling krävs det vidare en viss beständighet. En hög med lösa papper på ett skrivbord omfattas således inte, även om papperen tillfälligtvis råkar vara sorterade i bokstavsordning efter efternamn. Däremot krävs det inte att alla handlingar i ett register finns på ett och samma ställe. Om personuppgifter i pappershandlingar som är utspridda, till exempel på olika håll i landet eller inom ett företag, är tillgängliga med hjälp av ett centralt index, kan det ändå vara fråga om ett enda register. Ett annat exempel är att ett företag kan ha ett kortregister som innehåller kundernas namn och en hänvisning till det ställe, till exempel en filial, där kundens akt med ytterligare personuppgifter finns.

35 Öman, S. och Lindblom, H.-O., Personuppgiftslagen En kommentar, 4 uppl., 2011, s. 122 f. 36SOU 1997:39 s. 339.

Uppgiftssamlingen måste också vara strukturerad.37Det innebär att uppgifterna måste vara sorterade enligt något slags system. Det krävs dessutom att uppgifterna i samlingen är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Man måste alltså kunna söka bland uppgifterna i samlingen för att det ska vara fråga om ett register. Av punkt 15 och 27 i ingressen till dataskyddsdirektivet framgår att kriterierna ska avse enskilda personer och vara utformade för att lätt ge tillgång till personuppgifterna. Ett manuellt register som visserligen innehåller personuppgifter men som inte är sökbart med hjälp av någon personuppgift (namn, personnummer et cetera) omfattas således inte. Det kan till exempel vara fråga om akter som har ordnats efter löpnummer utan möjlighet att söka fram uppgifter om enskilda personer.

I dataskyddsdirektivet och PUL talas det om kriterier i pluralis. Enligt förarbetena skulle det innebära att registret måste vara sökbart på mer än ett kriterium. En förteckning i bokstavsordning över personer skulle således inte vara ett register, om namnet är den enda sökingången. Om alla kriterier eller bara ett kriterium måste avse personuppgifter är dock mera oklart.38

5.3.4.5 Undantag från personuppgiftslagen

Undantag för behandling av personuppgifter i ostrukturerat material

Enligt 5 a § PUL behöver vissa i bestämmelsen angivna hanteringsregler i PUL inte tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, så kallat ostrukturerat material. Av andra stycket i samma bestämmelse framgår att sådan behandling emellertid inte får utföras om den innebär en kränkning av den registrerades personliga integritet.

Bestämmelsen infördes den 1 januari 2007 som ett resultat av en översyn av PUL. Personuppgiftslagsutredningens uppdrag var att analysera förutsättningarna för en reglering med inriktning på missbruk av personuppgifter snarare än varje slags hantering av sådana uppgifter. Syftet var att underlätta vardaglig hantering av person-

37SOU 1997:39 s. 339. 38SOU 1997:39 s. 340.

uppgifter samtidigt som den enskilde skulle ges ett effektivt skydd mot missbruk av uppgifterna.39

Bestämmelsen innebär en förenklad reglering för behandling av personuppgifter i ostrukturerat material såsom löpande text samt ljud och bild. Behandling får i sådana fall i princip utföras fritt så länge det inte uppkommer en kränkning av den registrerades personliga integritet.

Med ostrukturerat material avses sådant som inte framstår som något regelrätt personregister eller någon annan form av system som upprättats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter. I det undantagna området ingår till exempel produktion av löpande text i ordbehandlingsprogram, publicering av löpande text på Internet, användning av ljud- och bildupptagningar och korrespondens med e-post under förutsättning att materialet inte ingår i eller ska infogas i en databas med en personuppgiftsanknuten struktur såsom ett ärendehanteringssystem.40

Enligt bestämmelsens andra stycke får en sådan behandling av personuppgifter i ostrukturerat material som avses i första stycket inte utföras om den innebär en kränkning av den registrerades personliga integritet. Det har inte ansetts möjligt eller lämpligt att i lagen införa en uttömmande uppräkning av alla de fall av behandling av personuppgifter som kan utgöra missbruk av personuppgifter och därmed en kränkning av en enskilds personliga integritet. Det konstaterades i förarbetena att det är bäst att ha en allmänt hållen bestämmelse om vad som utgör missbruk, som mot bakgrund av förarbetena får uttolkas i rättspraxis och vägledning från till exempel Datainspektionen.41 Det har således lämnats åt rättstillämpningen att i varje enskilt fall, med beaktande av samtliga omständigheter, väga det intrång som kan ha skett i den personliga integriteten mot eventuella motstående intressen. I förarbetena lämnas ändå vissa riktlinjer för behandling av personuppgifter i ostrukturerat material. Av dessa framgår bland annat att personuppgifter inte ska behandlas för otillbörliga syften, så som förföljelse eller skandalisering, eller att man inte utan godtagbara skäl ska samla en stor mängd uppgifter om en person.42

39SOU 2004:6 s. 33. 40SOU 2004:6 s. 12, prop. 2005/06:173 s. 21. 41SOU 2004:6 s. 144. 42SOU 2004:6 s. 148, prop. 2005/06:173 s. 29.

Det bör i sammanhanget noteras att undantagsbestämmelsen i 5 a § PUL i princip aldrig torde bli tillämplig vid behandling av personuppgifter för registerforskning.

Undantag för privat behandling av personuppgifter

Det framgår av 6 § PUL att lagen inte gäller för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur.

Förhållandet till tryck- och yttrandefriheten

Enligt 7 § PUL tillämpas inte bestämmelserna i lagen i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL).

Genom bestämmelsen undantas den grundlagsskyddade rätten att framställa yttranden. Undantaget gäller för behandling av personuppgifter som syftar till att framställa ett sådant yttrande som avses i TF eller YGL, till exempel en tryckt skrift eller ett radioprogram. Behandling som syftar till att uppgifter samlas in av till exempel en journalist för att göra ett TV-program eller av en författare omfattas av undantaget.43 Även behandling av personuppgifter i utkast, koncept eller minnesanteckningar som upprättas i syfte att framställa ett yttrande omfattas. Det gör även behandling för bevarande och spridning av redan grundlagsskyddat material, till exempel klipparkiv.

Den behandling av personuppgifter som sker inom statistisk och vetenskaplig verksamhet har ofta som mål att utmynna i en publikation av resultaten. Regeringen har dock gjort den bedömningen att även om forskningsresultat ofta offentliggörs i olika publikationer, så kan inte forskningen sägas syfta till ett offentliggörande i grundlagens mening utan i stället till att nå ett visst resultat. Den bedrivna forskningen kan därför enligt regeringen inte anses åtnjuta grundlagsskydd under åberopande av att forskningsresultaten ska publiceras.44

43SOU 1997:39 s. 258 ff. 44Prop. 2002/03:50 s. 119, jämför Ds 2001:62 s. 54 och 128.

Bestämmelsen innebär vidare undantag för den grundlagsskyddade rätten att sprida yttranden, meddelarfriheten och anskaffarfriheten.

Enligt bestämmelsens andra stycke ska vissa bestämmelser i PUL inte tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Bestämmelsen innebär att endast de bestämmelser i lagen som rör säkerhet ska tillämpas på sådan behandling. I förarbetena betonas att det är viktigt att det även vid behandling för journalistiska ändamål eller konstnärligt eller litterärt skapande finns en lämplig säkerhetsnivå så att personuppgifter inte till exempel läcker ut eller annars sprids på ett icke avsett vis.45

Förhållandet till offentlighetsprincipen

Det följer av 8 § PUL att lagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt bestämmelserna om offentlighetsprincipen i 2 kap. TF att lämna ut personuppgifter.

Offentlighetsprincipen beskrivs närmare i avsnitt 5.6.2. Den innebär kortfattat bland annat en rätt för var och en att hos myndigheter ta del av allmänna handlingar med personuppgifter i den utsträckning handlingarna inte innehåller uppgifter som är sekretessbelagda. Av betydelse för principen är också myndigheternas skyldighet enligt lag och andra författningar att bevara allmänna handlingar. Den som begär att få ta del av allmänna handlingar har vidare i allmänhet rätt att få vara anonym. Offentlighetsprincipen innebär således att myndigheterna i vissa fall är skyldiga att ge ut personuppgifter till en obestämd krets av mottagare som kan utnyttja uppgifterna för okända ändamål.46

Förhållandet mellan dataskyddsdirektivet och offentlighetsprincipen diskuterades i förarbetena till PUL.47 Att personuppgifter lämnas ut med stöd av den grundlagsfästa offentlighetsprincipen är enligt propositionen i och för sig att anse som en sådan behandling av personuppgifter som omfattas av direktivet. En myndighets utlämnande av personuppgifter med stöd av offentlighetsprincipen kan dock inte anses vara oförenligt med de ändamål för vilka uppgifterna ursprungligen samlades in. Offentlighetsprincipen framgår av

45Prop. 1997/98:44 s. 52. 46 Öman, S. och Lindblom H.-O., Personuppgiftslagen En kommentar, 4 uppl., 2011, s. 184. 47Prop. 1997/98:44 s. 43 ff.

grundlagen och får anses utgöra en integrerad del av all förvaltningsverksamhet som myndigheterna ägnar sig åt. I propositionen anfördes ett antal ytterligare skäl för tolkningen att offentlighetsprincipen inte var oförenlig med dataskyddsdirektivet. Lagrådet invände mot att direktivet gick att förena med offentlighetsprincipen och anförde bland annat att det mot bakgrund av syftet med direktivet (skapandet av en gemensam hög skyddsnivå som skapar förutsättningar för ett fritt flöde av uppgifter mellan länderna) inte är sannolikt att EG-domstolen skulle godta en tolkning av direktivet i den riktning som regeringen har gjort och att det finns en påtaglig risk för att domstolen skulle finna offentlighetsprincipen oförenlig med direktivet. För att vara säker på att den svenska lagstiftningen står sig vid en prövning i EG-domstolen ansåg Lagrådet att bestämmelserna i TF och den dåvarande sekretesslagen (1980:100) behövde ändras.

Regeringen delade inte Lagrådets farhågor rörande EG-direktivets förenlighet med offentlighetsprincipen och anförde att det rörde sig om en svensk grundlagsskyddad rättighet med lång tradition som är en viktig del av det svenska statsskicket. Vidare anfördes att den svenska offentlighetsprincipens starka ställning och grundläggande betydelse för det svenska förvaltningssystemet också är väl känd i de övriga medlemsstaterna. Under det förhandlingsarbete som ägde rum efter att Sverige blivit medlem i EU förändrades direktivet på flera punkter av särskilt stor betydelse för frågan om hur det förhåller sig till offentlighetsprincipen. Det förslag till direktiv som Datalagsutredningen hade att ta ställning till skiljde sig alltså på avgörande punkter från direktivet i dess slutliga form. Det anförs vidare att det är av betydelse att förändringarna till stor del föranleddes av den svenska inställningen och att förändringarna alltså syftade till att göra det möjligt för medlemsstaterna att förena regler om skydd för personuppgifter med en offentlighetsprincip. Detta har slagits fast i punkt 72 i ingressen till direktivet.48Konstitutionsutskottet gjorde liksom regeringen bedömningen att det inte fanns någon bestämmelse i direktivet som inte gick att förena med offentlighetsprincipen, men framhöll att man först genom EG-domstolens prövning kan veta hur EG-direktivet egentligen ska tolkas och tillämpas.49

48 I punkt 72 anges att direktivet gör det möjligt att vid genomförandet av dessa bestämmelser ta hänsyn till principen om allmänhetens rätt till tillgång av allmänna handlingar. 49 1997/98:KU 18 s. 26 f.

Förhållandet till arkivlagstiftningen

Enligt 8 § andra stycket PUL hindrar inte bestämmelserna i lagen att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

Utgångspunkten i arkivlagstiftningen är att bevara uppgifter och att inte korrigera dem på ett sådant sätt att ursprungsuppgifterna utplånas. Myndigheternas skyldighet att spara allmänna handlingar i arkiv innebär att en stor mängd personuppgifter bevaras för evigt. Frågan är hur arkivlagens krav på bevarande kan förenas med PUL:s krav på att uppgifter som inte längre behövs för sitt ändamål ska förstöras och att uppgifter ska vara riktiga och aktuella.

I förarbetena till PUL anfördes att de ändamål som bevarandet av myndighetsarkiven ska tillgodose kan hänföras till vad som i EGdirektivet kallas ”historiska, statistiska och vetenskapliga ändamål”.50Det är således inte nödvändigt att myndigheterna redan när personuppgifterna samlas in uttryckligen anger arkivering och bevarande som ett ändamål för behandlingen. Är en myndighets primära hantering av uppgifterna tillåten, kan det inte anses oförenligt med den primära hanteringen att bevara uppgifterna. Det kan inte heller anses oförenligt med de ursprungligen angivna ändamålen att myndigheten efter en tid lämnar över sina handlingar till en arkivmyndighet för långtidsförvaring. Myndigheterna är rättsligt förpliktade att bevara allmänna handlingar och bevarandet är också en arbetsuppgift av allmänt intresse. Den behandling av icke känsliga personuppgifter som bevarandet utgör är således enligt propositionen tillåten enligt dataskyddsdirektivet. För myndigheternas bevarande av känsliga personuppgifter behövs det däremot ett undantag enligt artikel 8.4. I propositionen anförs att de svenska myndigheternas bevarande även av känsliga personuppgifter utgör ett sådant viktigt allmänt intresse som berättigar en medlemsstat att göra ett undantag. Detta undantag måste omfatta också den insamling och det långtidsbevarande av personuppgifter som sker vid de särskilda arkivmyndigheterna som tar emot arkivmaterial från myndigheter och enskilda.

Lagrådet uttalade att undantagen i fråga om bevarande och arkivering av allmänna handlingar endast var motiverade med hänsyn till undantagens betydelse för offentlighetsprincipen och drog slutsatsen att undantagen stred mot det övergripande syftet med direktivet. Regeringen ansåg dock att offentlighetsprincipen var förenlig med direktivet och att undantagen var av väsentlig betydelse för offent-

50Prop. 1997/98:44 s. 47 f.

lighetsprincipen. Det ansågs dessutom att det var ett viktigt allmänt intresse i sig att de syften som ligger till grund för arkiven, och som redovisats ovan, kan tillgodoses.

Lagrådet har även i senare lagstiftningsärenden haft invändningar i fråga om bevarande av allmänna handlingar enligt arkivlagstiftningen.51

Regeringens möjlighet att meddela föreskrifter om undantag

8 a § PUL bemyndigar regeringen att meddela föreskrifter om undantag från en rad bestämmelser i PUL om det är nödvändigt med hänsyn till vissa intressen, såsom rikets säkerhet, försvaret, allmän säkerhet och skyddet för fri- och rättigheter.

5.3.4.6 Krav på behandlingen av personuppgifter

9 § PUL innehåller vissa grundläggande krav på behandlingen av personuppgifter. Bestämmelsen har följande lydelse.

9 §

Den personuppgiftsansvarige skall se till att

a. personuppgifter behandlas bara om det är lagligt, b. personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed,

c. personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,

d. personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in,

e. de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,

f. inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,

g. de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella,

h. alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och

i. personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

I fråga om första stycket d gäller dock att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte

51Prop. 1997/98:108 s. 126 f. och 59 f.

skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som sagts i första stycket i. Personuppgifterna får dock i sådana fall inte bevaras under en längre tid än vad som behövs för dessa ändamål.

Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Det är den personuppgiftsansvarige som ansvarar för att kraven är uppfyllda, även om den personuppgiftsansvarige anlitat ett personuppgiftsbiträde eller utsett ett personuppgiftsombud. Uppfylls inte kraven är behandlingen olaglig. Bestämmelsen är tillämplig även om den registrerade gett sitt samtycke till att personuppgifter behandlas i strid med bestämmelsen. Den registrerades samtycke befriar alltså inte den personuppgiftsansvarige från att se till att kraven i bestämmelsen är uppfyllda.

Enligt 9 § punkt a och b har den personuppgiftsansvarige ansvar för att personuppgifter endast behandlas om det är lagligt och alltid behandlas på ett korrekt sätt och i enlighet med god sed. När det är lagligt att behandla personuppgifter framgår av PUL, till exempel 10 och 13–20 §§, och anknytande lagstiftning.52I vilka fall det är olagligt att behandla personuppgifter kan vidare framgå av annan lagstiftning, till exempel brottsbalken och marknadsföringslagen. Dessa rättskällor kan också ange riktlinjer för vad som är ett korrekt sätt att behandla personuppgifter. Vad som är god sed vid behandling av personuppgifter får avgöras i rättstillämpningen mot bakgrund av bland annat de mer preciserade föreskrifter som kan utfärdas med stöd av PUL, de branschregler på området som kan ha utarbetats av etablerade branschorganisationer eller andra representativa sammanslutningar och hur ansvarsfulla personuppgiftsansvariga som regel beter sig.53

En av de centrala bestämmelserna i PUL är 9 § punkt c, enligt vilken personuppgifter enbart får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Bestämmelsen innebär att ändamålen med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in.54Ändamålen måste då anges uttryckligen.

52SOU 1997:39 s. 350. 53Prop. 1997/98:44 s. 14354SOU 1997:39 s. 350, prop. 1997/98:44 s. 120 f.

Det finns inte något krav på att ändamålsangivelsen ska nedtecknas. Bestämmelserna i 23–25 §§ PUL om skyldigheten att lämna information till den registrerade när personuppgifterna samlas in medför emellertid ofta att ändamålen måste uppges redan när behandlingen påbörjas. Den personuppgiftsansvarige är vidare alltid skyldig att uppge ändamålen antingen i en anmälan till tillsynsmyndigheten (36 § PUL) eller till var och en som begär en sådan upplysning (42 § PUL). Om den personuppgiftsansvarige har anmält ett personuppgiftsombud till Datainspektionen behöver den personuppgiftsansvarige inte göra en anmälan enligt 36 § PUL. Det följer dock av 39 § PUL att personuppgiftsombudet ska göra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och att förteckningen ska omfatta åtminstone de uppgifter som en anmälan enligt 36 § PUL skulle ha innehållit. Även här ska ändamålen med behandlingen således anges. Ändamålen ska vidare anges i ett sådant besked som den personuppgiftsansvarige är skyldig att tillhandahålla den registrerade enligt 26 § PUL. Bestämmelsen medför en skyldighet för den personuppgiftsansvarige att en gång per år till den som ansöker om det lämna besked om personuppgifter som rör den sökande behandlas eller inte. Om uppgifter om den sökande behandlas ska beskedet, utöver ändamålet med behandlingen, innehålla bland annat uppgift om vilka uppgifter som behandlas och varifrån de hämtats.

Ändamålen ska vidare vara särskilda. Det innebär enligt förarbetena att en alltför allmänt hållen ändamålsangivelse inte godtas.55 Hur pass detaljerad ändamålsangivelsen ska vara för att uppfylla lagens krav på att vara särskild får emellertid avgöras i praxis. Enligt förarbetena till lagen (2001:454) om behandling av personuppgifter inom socialtjänsten kan man när det gäller tolkningen av begreppet särskilda få viss ledning av kraven i artikel 6 i Dataskyddsdirektivet och 9 § punkten e och f i PUL att personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålet med behandlingen och att inte fler uppgifter får behandlas än som är nödvändigt med hänsyn till ändamålet med behandlingen.56Om inte ändamålet har en viss grad av precision kan det vara svårt att avgöra om personuppgifterna är adekvata och relevanta eller om för många personuppgifter behandlas. Kan man inte avgöra vilka personuppgifter som behövs för att ändamålet ska kunna uppfyllas är ändamålet inte särskilt utan allmänt. Det är möjligt att ange flera ända-

55 Ibid. 56SOU 1999:109 s. 156.

mål när uppgifterna samlas in, även om de olika ändamålen inte är förenliga med varandra.

De ändamål som personuppgifterna ska samlas in för ska också vara berättigade. I vilka fall det är berättigat att samla in och behandla personuppgifter framgår av PUL och anknytande lagstiftning. Det anförs i förarbetena att det är osäkert om bestämmelsen om berättigade ändamål har någon självständig betydelse.57Den har dock tagits med i den svenska lagen för säkerhets och fullständighets skull.

Enligt 9 § punkt d får personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Denna så kallade finalitetsprincip är av central betydelse vid behandling av personuppgifter. Den innebär att det, när behandling för nya ändamål ska ske, måste göras en prövning av om dessa ändamål är oförenliga med de ursprungligen angivna. Bestämmelsen gör det extra viktigt att tänka efter före och vid insamlingen av uppgifterna ange alla de ändamål för vilka man kan tänkas behöva använda de insamlade uppgifterna.58Vad som är oförenligt med de ursprungliga ändamålen får enligt förarbetena bestämmas genom praxis och kompletterande föreskrifter.59Det bör dock finnas ett visst spelrum vid tolkningen av begreppet oförenligt.60 Senare behandling behöver alltså inte direkt motsvaras av ett från början angivet ändamål.

Det anges inte i förarbetena till PUL vad som ska beaktas vid prövningen av om de nya ändamålen är oförenliga med ursprungligen bestämda. I förarbetena till lagen (2001:454) om behandling av personuppgifter inom socialtjänsten uttalades följande.

Enligt utredningens uppfattning bör man vid denna ”oförenlighetsprövning”, hypotetiskt utgå från hur en registrerad typiskt sett (inte den registrerade i det enskilda fallet) skulle se på saken. Kommer man vid en sådan bedömning fram till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får behandlas för det nya ändamålet, kan det nya ändamålet inte anses vara oförenligt med det ursprungliga ändamålet. Detta är, menar utredningen, en rimlig utgångspunkt med tanke på syftet bakom EG-direktivet, dvs. att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatlivet, i samband med behandling av personuppgifter. Vid sådant förhållande blir det fråga om en restriktiv tillämpning av bestämmelsen i 9 § första stycket d personuppgiftslagen och utrymmet för att be-

57SOU 1997:39 s. 350. 58 Öman, S. och Lindblom, H.-O., Personuppgiftslagen En kommentar, 4 uppl., 2011, s. 203. 59SOU 1997:39 s. 351. 60SOU 1999:105 s. 253.

handla redan insamlade personuppgifter för andra ändamål blir följaktligen litet.61

Behandlingen av personuppgifterna för de nya ändamålen måste, liksom behandlingen för de ursprungliga, vara tillåten enligt 10 § och, om det rör sig om känsliga personuppgifter, dessutom enligt 13–20 §§.62Det krävs inte i sig att den registrerade samtycker till behandlingen för de nya ändamålen eller att ny information till de registrerade lämnas enligt bestämmelserna i 23–25 §§.

Även ett utlämnande av personuppgifter till någon annan är en typ av behandling och måste vara förenligt med de ursprungliga ändamålen. Den som utlämnar personuppgifterna måste beakta vad den som vill ha ut uppgifterna ska använda dem till och jämföra den tilltänkta användningen med de ursprungliga ändamålen. Det är därför inte möjligt att kringgå finalitetsprincipen genom att en personuppgiftsansvarig lämnar ut uppgifterna till någon annan, som vid sin insamling bestämmer ändamål som är oförenliga med de ursprungliga.63Det bör dock noteras att den som fått ut uppgifterna inte är bunden av de ändamål som den utlämnande personuppgiftsansvarige bestämt utan bara av de ändamål som han eller hon själv har bestämt för sin behandling innan de begärdes ut.

Finalitetsprincipen har också betydelse för möjligheten att sambearbeta uppgifter. Med sambearbetning av uppgifter avses maskinell bearbetning av uppgifter i ett personregister tillsammans med uppgifter i ett annat personregister hos den registeransvarige eller hos annan registeransvarig.64 PUL innehåller inte något uttryckligt förbud mot sambearbetning av uppgifter. Däremot begränsar bestämmelsen i praktiken möjligheten till sambearbetning, eftersom en uppgift inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Ändamålsbestämmelsen anger således inte bara ramen för vilka uppgifter som får behandlas utan också när sambearbetning av uppgifter får ske.65

Artikel 29-gruppen66har i april 2013 gett ut en rapport avseende ändamålsprincipen (the principle of purpose limitiation), det vill

61SOU 1999:109 s. 160. 62SOU 1997:39 s. 351. 63 Ibid. 64Prop. 2002/03:135 s. 58 f. 65Prop. 2000/01:126 s. 33 f. och 59 f, prop. 2001/02:144 s. 41, prop. 2004/05:70 s. 75. 66 Artikel 29-gruppen (Article 29 Working Party on Data Protection) består av en företrädare för varje nationell tillsynsmyndighet i EU-medlemsstaterna, en företrädare för EUkommissionen samt den europeiske datatillsynsmannen. Gruppen har bildats för att dataskyddsdirektivet ska tillämpas på ett enhetligt sätt i medlemsstaterna och har fått sitt namn av artikel 29 i dataskyddsdirektivet. I artikel 30 finns bestämmelser om gruppens uppgifter.

säga artikel 6 b i dataskyddsdirektivet som motsvarar 9 § punkt c och d i PUL.67Rapporten innehåller en utförlig analys av principen och syftar till att förtydliga dess betydelse och erbjuda riktlinjer för hur den ska tillämpas i praktiken. I rapporten konstateras att principen förbjuder behandling som är oförenlig med det ursprungliga syftet i stället för att kräva att det senare syftet ska vara förenligt med det ursprungliga. Denna formulering är avsedd att skänka viss flexibilitet till systemet. Senare behandling för ett annat ändamål behöver inte nödvändigtvis vara oförenligt med det första ändamålet. Detta får avgöras från fall till fall. Vid denna ändamålsprövning ska främst förhållandet mellan det ursprungliga ändamålet och det senare ändamålet beaktas. Vidare ska det sammanhang som uppgifternas samlades in i och de rimliga förväntningarna från dem som uppgifterna rör beaktas. Hänsyn måste också tas till vilken typ av uppgifter det rör sig om och vilken effekt vidare behandling kan få för dem som uppgifterna rör. Vilka säkerhetsåtgärder den personuppgiftsansvarige vidtagit för att garantera korrekt behandling och förhindra oriktig behandling är också av betydelse.

Det följer av 9 § punkt e att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Det innebär enligt förarbetena att uppgifternas beskaffenhet måste korrespondera med det mål man vill uppnå med behandlingen.68Enligt punkt f får inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen. Det är i första hand den personuppgiftsansvarige som har att bedöma vilka uppgifter som är adekvata och relevanta i förhållande till de ändamål han eller hon har bestämt för behandlingen samt hur många personuppgifter som krävs för att uppnå ändamålet med behandlingen.69 Det ligger dock på den personuppgiftsansvarige att förklara varför de olika uppgifterna behövs för att uppfylla ändamålen med behandlingen.

Det är vidare den personuppgiftsansvarige som har ansvar för att de behandlade personuppgifterna enligt 9 § punkt g är riktiga och, om det är nödvändigt, aktuella.

Gruppen är rådgivande och oberoende och förutom att verka för en enhetlig rättstillämpning ska gruppen bland annat yttra sig till EU-kommissionen om skyddsnivån i gemenskapen och i tredje land samt ge råd till kommissionen om förslag till ändringar av direktivet. Dessutom ska gruppen avge yttranden om branschöverenskommelser som utarbetas inom EU. 67 Opinion 03/2013 on purpose limitation (00569/13 EN WP 203). 68SOU 1997:39 s. 126. 69 Öman, S. och Lindblom, H.-O., Personuppgiftslagen En kommentar, 4 uppl., 2011, s. 210 f.

Den personuppgiftsansvarige ska, enligt 9 § punkt h, självmant vidta rimliga åtgärder för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. I förarbetena betonas i detta sammanhang vikten av att de behandlade uppgifterna håller en hög kvalitet eftersom användningen av felaktiga, missvisande eller ofullständiga uppgifter kan förorsaka registrerade och andra stora skador och stor förtret i övrigt.70Sådana problem kan enligt förarbetena förebyggas genom en sund källkritik och noggrannhet samt genom att det dokumenteras varifrån olika uppgifter har hämtats.

Enligt 9 § punkt i får personuppgifter inte bevaras länge än nödvändigt med hänsyn till ändamålen med behandlingen. Därefter måste personuppgifterna avidentifieras eller förstöras.71Det är det ursprungliga ändamålet som bestämdes vid insamlingen som avgör hur länge personuppgifterna får bevaras i identifierbart skick.72Enligt 8 § andra stycket ska bestämmelserna i PUL inte hindra att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

I 9 § andra–fjärde styckena PUL finns särskilda bestämmelser som avser behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål. Bestämmelserna medför att behandling av personuppgifter för dessa ändamål har en särskild position.

Behandling för historiska ändamål syftar i första hand på bevarandet av personuppgifter i arkiv.73 Det följer av 8 § andra stycket PUL att bestämmelserna i lagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Undantaget för behandling av personuppgifter för historiska ändamål har således störst betydelse för enskilda arkiv, till exempel arkiv som förs av föreningar och företag.74För att undantagsbestämmelsen ska vara tillämplig på enskilda arkiv krävs enligt förarbetena en nedtecknad plan för bevarande av viss kvalitet med syfte att bevara uppgifterna för överskådlig framtid.75

Med behandling för statistiska ändamål avses enligt förarbetena i första hand framställning av numeriska sammanställningar av elemen-

70SOU 1997:39 s. 351. 71SOU 1997:39 s. 351. 72 Öman, S. och Lindblom, H.-O. Personuppgiftslagen En kommentar, 4 uppl., 2011, s. 213. 73SOU 1997:39 s. 353 ff. 74 Öman, S., och Lindblom H.-O., Personuppgiftslagen En kommentar, 4 uppl., 2011, s. 221. 75SOU 1997:39 s. 354 f.

tära observationer som kan hänföras till händelser, flöden eller tillstånd och verksamhet för att göra sådana sammanställningar.76

Med behandling för vetenskapliga ändamål menas enligt förarbetena sådan behandling som har koppling till den verksamhet som bedrivs vid etablerade institutioner, såsom universitet och högskolor eller privata, väletablerade forskningsinstitut.77Även vetenskapligt utförda epidemiologiska undersökningar omfattas. Släktforskning faller däremot utanför, liksom annan forskning eller utredningsverksamhet av mera privat natur. Utgångspunkterna är att det måste finnas ett samhällsintresse av att forskningen bedrivs och att den måste vara vetenskaplig i någon mening.

Enligt andra stycket ska en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Det innebär att personuppgifter kan användas för vetenskaplig forskning och statistik oavsett för vilka ändamål uppgifterna ursprungligen samlades in. Personuppgifter som samlats in för ett visst forsknings- och statistikprojekt kan således senare också användas i ett annat sådant projekt.78

Det följer av tredje stycket att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som följer av första stycket i. Personuppgifterna får emellertid inte bevaras under en längre tid än vad som behövs för dessa ändamål.79Personuppgifter som inte längre behövs för de ursprungligen bestämda ändamålen får således bevaras för att användas för historiska, statistiska eller vetenskapliga ändamål. När uppgifterna har använts färdigt för dessa ändamål måste de emellertid avidentifieras eller utplånas. Vid vetenskaplig forskning finns dock särskilda krav på dokumentation och reproducerbarhet. Det innebär att personuppgifter som använts i ett forskningsprojekt kan behöva bevaras under lång tid efter det att projektet avslutats. Personuppgifter som använts färdigt för statistiska eller vetenskapliga ändamål får bevaras i arkiv för historiska ändamål.

Enligt fjärde stycket får personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål användas för att vidta åtgärder i fråga om den registrerade endast om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till

76Prop. 1997/98:44 s. 127. 77SOU 1993:10 s.198, SOU 1997:39 s. 302, prop. 1997/98:44 s. 127. 78SOU 1997:39 s. 309 f. 79 Öman, S. och Lindblom, H.-O., Personuppgiftslagen En kommentar, 4 uppl., 2011, s. 222 f.

den registrerades vitala intressen. Det följer av 8 § andra stycket PUL att bestämmelsen inte gäller för en myndighets användning av personuppgifter i allmänna handlingar. Huvudregeln är således att den personuppgiftsansvariga ska kunna visa att den enskilde har lämnat sitt samtycke för att personuppgifterna ska få användas för att vidta åtgärder. Personuppgifterna får emellertid alltid användas för att vidta åtgärder om det finns synnerliga skäl med hänsyn till den enskildes vitala intressen. Ett exempel på ett sådant tillfälle är enligt förarbetena att en forskare som undersöker ett misstänkt samband mellan intag av en medicin och någon allvarlig sjukdom upptäcker att det faktiskt finns ett sådant samband och därför varnar de registrerade som har fått medicinen så att de kan låta undersöka sig och få behandling.80

5.3.4.7 När behandling av personuppgifter är tillåten

9 § PUL anger de krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter. För att behandling av personuppgifter ska vara tillåten måste dessutom något av de förhållanden som anges i 10 § PUL vara för handen. Bestämmelsen har följande lydelse.

10 §

Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att

a. ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,

b. den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,

c. vitala intressen för den registrerade skall kunna skyddas, d. en arbetsuppgift av allmänt intresse skall kunna utföras, e. den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller

f. ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

80Prop. 1997/98:44 s. 121.

Bestämmelsen anger uttömmande i vilka fall personuppgifter över huvud taget får behandlas. Personuppgifter får således inte behandlas i några andra fall än dem som anges i bestämmelsen. Vid behandling av känsliga personuppgifter, uppgifter om lagöverträdelser med mera, personnummer eller samordningsnummer krävs det dessutom att behandlingen är tillåten enligt de bestämmelser som gäller för behandling av sådana uppgifter (13–22 §§ PUL).

Samtycke

Uppgifter får för det första behandlas om den enskilde lämnat sitt samtycke till behandlingen. Vad som krävs för ett godkänt samtycke diskuteras i avsnitt 5.3.4.2 som behandlar 3 § PUL.

Utöver de fall där den enskilde lämnat sitt samtycke får personuppgifter behandlas i de sex fall som räknas upp i punkterna a–f. Under de förhållanden som anges där får personuppgifter således behandlas oberoende av den registrerades samtycke.

Nödvändighetskravet

I de fall den registrerade lämnat sitt samtycke till en behandling krävs det inte att behandlingen är nödvändig. I övriga fall måste behandlingen vara nödvändig för olika syften. Den närmare innebörden av nödvändighetskravet är inte helt klar.81 Som anförs i förarbetena kan de flesta arbetsuppgifter rent faktiskt utföras manuellt utan sådan behandling som omfattas av lagen även om det kostar mycket mer och tar betydligt längre tid än att behandla personuppgifterna automatiskt.82Enligt Datalagskommittén kan nödvändighetskravet inte rimligen innebära att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan behandling av personuppgifter som omfattas av lagen. Kan en arbetsuppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, kan det inte anses nödvändigt att behandla personuppgifterna. Det kanske går nästan lika bra att använda avidentifierade83 uppgifter. Det räcker sannolikt

81 Frågan diskuteras vidare i avsnitt 8.3.2.1. 82SOU 1997:39 s. 359. 83 I betänkandet används begreppet ”anonyma”, men här torde uppgifter där det inte längre är möjligt att identifiera personen avses. Sådana uppgifter utgör inte längre personuppgifter i PUL:s bemärkelse.

att det innebär en påtaglig förenkling för den personuppgiftsansvarige att personuppgifter behandlas på automatiserad väg.84

Behandling för att utföra en arbetsuppgift av allmänt intresse

Den bestämmelse i 10 § PUL som är av särskilt intresse när det gäller registerbaserad forskning är bestämmelsen i punkt d som reglerar möjligheten att behandla personuppgifter utan den enskildes samtycke om det är nödvändigt för att en arbetsuppgift av allmänt intresse ska kunna utföras. I förarbetena anges arkivering, forskning och framställning av statistik som exempel på sådana uppgifter av allmänt intresse.85Arbetsuppgiften kan utföras av en myndighet eller ett enskilt subjekt. Att någon själv kan tjäna pengar på att utföra arbetsuppgiften utesluter inte enligt Datalagskommittén att den ändå kan vara av allmänt intresse, såsom när uppgifter som tidigare skötts av det allmänna läggs ut på privata företag som drivs i vinstsyfte. Bedömningen av om arbetsuppgiften är av allmänt intresse måste göras mot bakgrund av verksamhetens syfte.86

Behandling av personuppgifter efter en intresseavvägning

En annan bestämmelse som kan ha betydelse i sammanhanget är bestämmelsen om en intresseavvägning i punkt f. Enligt denna bestämmelse får personuppgifter behandlas om behandlingen är nödvändig för att ett ändamål ska kunna tillgodoses som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut. Det krävs dock att detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Bestämmelsen är ett slags generalklausul som möjliggör befogad behandling när ingen av de andra bestämmelserna i paragrafen är tillämplig.

I förarbetena anges att det ligger i sakens natur att behandlingen bara får avse uppgifter om sådana registrerade vars intresse inte väger lika tungt som den personuppgiftsansvariges.87Om en registrerad meddelar den personuppgiftsansvarige att han eller hon inte vill att behandlingen fortsätter, får den registrerades intresse av att slippa

84SOU 2001:32 s. 95, SOU 2001:100 s. 90. 85SOU 1997:39 s. 361. 86Prop. 2000/01:105 s. 36. 87SOU 1997:39 s. 362.

fortsatt behandling som regel anses väga över den personuppgiftsansvariges intresse av fortsatt behandling; bara i synnerliga undantagsfall bör den personuppgiftsansvariges intresse av behandlingen anses väga över intresset hos en registrerad som uttryckligen motsatt sig behandlingen. Finns inte längre förutsättningar för att behandla personuppgifterna enligt någon annan bestämmelse måste de behandlade uppgifterna förstöras eller avidentifieras; även lagring av personuppgifter anses nämligen som en form av behandling.

5.3.4.8 Förbud mot behandling av känsliga personuppgifter

Enligt 13 § PUL råder ett principiellt förbud mot att behandla känsliga personuppgifter. Vilka personuppgifter som definieras som känsliga anges uttömmande i bestämmelsen. Bestämmelsen har följande lydelse.

13 §

Det är förbjudet att behandla personuppgifter som avslöjar a. ras eller etniskt ursprung, b. politiska åsikter, c. religiös eller filosofisk övertygelse, eller d. medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.

Uppgifter av den art som anges i första och andra styckena betecknas i denna lag som känsliga personuppgifter.

Utgångspunkten är således att det är förbjudet att behandla uppgifter av den art som anges i bestämmelsen. I 14–20 §§ finns emellertid vissa undantag. Bestämmelsen är inte heller tillämplig vid behandling av personuppgifter i ostrukturerat material enligt i 5 a § PUL. Det bör dock noteras att känsliga personuppgifter inte får behandlas i ostrukturerat material om det innebär en kränkning av den registrerades personliga integritet (5 a § andra stycket PUL).

Ras eller etniskt ursprung

Det är för det första förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung. Enligt kommissionens förklaring till förslaget till dataskyddsdirektiv inkluderar uppgift om ras eller

etniskt ursprung även uppgift om hudfärg.88 Uppgifter om namn och språkkunskaper tillsammans har ansetts utgöra indirekta upplysningar om en persons etniska ursprung.89I propositionen avseende genomförande av tredje penningtvättsdirektivet konstaterades att bilden i en passhandling i förening med namn och uppgift om medborgarskap kan avslöja såväl ras som etniskt ursprung.90 Datainspektionen anger i sin rapport 2002:2 angående behandling av elevers uppgifter i grundskolan att en uppgift om en persons modersmål i vissa fall kan vara en uppgift som indirekt avslöjar etniskt ursprung.91Datainspektionen anger vidare i rapport 2002:3 angående behandling av personuppgifter hos rekryteringsföretag att en uppgift om medborgarskap i vissa fall kan avslöja ras eller etniskt ursprung.92Regeringen har dock bedömt att en isolerad uppgift om medborgarskap inte avslöjar vare sig ras eller etniskt ursprung.93

I sammanhanget bör noteras att riksdagen har uttalat att det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och från biologisk synpunkt följaktligen heller ingen grund för att använda ordet ras om människor.94 Användningen av ordet ras i författningstexter riskerar enligt riksdagen att underblåsa fördomar. Riksdagen har dock konstaterat att den inte har möjlighet att besluta att ordet ska utmönstras ur all lagstiftning, eftersom det så gott som uteslutande används i författningar som grundas på internationella överenskommelser eller författningar som genomför EG-direktiv. I propositionen En reformerad grundlag (prop. 2009/10:80) föreslog regeringen att begreppet ras utmönstras ur regeringsformen. Riksdagen antog förslaget och i regeringsformen används i dag i stället uttrycket “etniskt ursprung, hudfärg eller annat liknande förhållande” (2 kap. 12 och 24 §§ RF). Det är regeringens ambition att se över frågan om huruvida ordet ras bör utmönstras i all lagstiftning.95

88SOU 1993:10 Bilaga s. 177, SOU 1997:39 s. 131. 89SOU 2001:32 s. 124, SOU 2001:100 s. 93 f. och SOU 2003:40 s. 180. 90Prop. 2008/09:70 s. 142. 91 Datainspektionens rapport 2002:2 s. 8. 92 Datainspektionens rapport 2002:3 s. 8. 93Prop. 2001/02:144 s. 41. 94 Bet. 1997/98:KU 29 s. 7. 95Prop. 2009/10:85 s. 123 och prop. 2011/12:45 s. 94.

Politiska åsikter samt religiös eller filosofisk övertygelse

Förbudet gäller vidare behandling av personuppgifter som avslöjar en persons politiska åsikter samt religiösa eller filosofiska övertygelse. Enligt kommentaren till PUL bör man kunna tolka begreppet politiska åsikter restriktivt så att det inte innefattar åsikter om alla samhälleliga eller andra mänskliga förhållanden.96Som exempel på en uppgift som avslöjar en persons politiska åsikter anges uppgift om att någon är medlem i ett politiskt parti. En uppgift om medlemskap i en partipolitiskt obunden intresseorganisation är emellertid, enligt kommentaren, inte att betrakta som en känslig personuppgift.

När det gäller religiös eller filosofisk övertygelse anges i förarbetena att en uppgift om att någon inte har någon religiös tro, liksom information om aktiviteter som hör samman med sådan övertygelse, ska anses utgöra en känslig personuppgift i lagens bemärkelse.97

Medlemskap i fackförening

Med fackförening avses sådana sammanslutningar av arbetstagare som avses i 6 § lagen (1976:580) om medbestämmande i arbetslivet, det vill säga sådan sammanslutning av arbetstagare som enligt sina stadgar ska tillvarata arbetstagarnas intressen i förhållandet till arbetsgivaren. Uppgift om medlemskap i arbetsgivarorganisation eller arbetslöshetskassa omfattas inte av definitionen i PUL.98

Uppgifter som rör hälsa och sexualliv

När det gäller uppgifter om hälsa omfattas alla uppgifter som rör en persons tidigare, nuvarande och framtida fysiska och psykiska hälsa samt uppgifter om missbruk av droger eller alkohol.99Enligt kommissionens förklaring till förslaget till dataskyddsdirektiv skulle uppgifter om varje indikation på drog- eller alkoholmissbruk anses röra hälsa.100 EU-domstolen har slagit fast att en uppgift om att en person skadat sin fot och är deltidssjukskriven utgör en personupp-

96 Öman, S. och Lindblom, H.-O., Personuppgiftslagen En kommentar, 4 uppl., 2011, s. 284 f. 97SOU 1997:39 s. 131 f. 98 Öman, S. och Lindblom, H.-O., Personuppgiftslagen En kommentar, 4 uppl., 2011, s. 285. 99SOU 1997:39 s. 132. 100SOU 1993:10 Bilaga s. 177.

gift om hälsa.101Vidare har Högsta domstolen ansett att en uppgift om att en anställd har samarbetssvårigheter sammantagen med en uppgift om att personen är sjukskriven är att bedöma som uppgifter som rör hälsa enligt 13 § PUL.102

Uppgifter om läkemedel och andra varor som förskrivits en enskild har ansetts röra dennes hälsa och därför utgöra känsliga personuppgifter103. Datainspektionen har gjort bedömningen att redan en uppgift om att någon är eller har varit på läkarbesök är en känslig personuppgift.104 Datainspektionen har vidare ansett att en uppgift om att någon är handikappad105är en uppgift som rör hälsa.106 I samma beslut kom Datainspektionen även fram till att redan en uppgift om att någon är registrerad som medlem i De Handikappades Riksförbund107, där inspektionen antog att det stora flertalet medlemmar är handikappade, måste behandlas som en känslig personuppgift.

När det gäller uppgifter som rör sexualliv anför Datalagskommittén att en isolerad uppgift om vilket kön en person har inte kan anses utgöra en uppgift som rör dennes sexualliv.108 Inte heller en uppgift om civilstånd kan i sig anses vara en sådan uppgift som rör den registrerades sexualliv. Kommittén bedömer däremot att en uppgift om att någon har bytt kön är en uppgift som kan anses röra den personens hälsa eller sexualliv.

Datalagskommittén tar också upp frågan om hur man ska bedöma om avbildningar av personer, till exempel fotografier, utgör känsliga personuppgifter i bestämmelsens bemärkelse.109Det får enligt kommittén anses osäkert om en bild på den som är fysiskt handikappad eller ser sjuk ut innefattar uppgifter som rör personens hälsa. Kommittén ansåg det dock rimligt att bilder på människor i mera ”normala” sammanhang inte avslöjar några känsliga personuppgifter.

101 Dom den 6 november 2003 i mål C-101/01 och RH 2004:51. 102NJA 2005 s. 361. 103Prop. 2008/09:145 s. 305. 104 Datainspektionens beslut 2009-12-14, dnr 1409-2009. 105 I Datainspektionens beslut används ordet ”handikappad”. Ordet har i dag ersatts med begreppet ”person med funktionsnedsättning”. 106 Datainspektionens beslut 2008-10-15, dnr 1176-2008. 107 Förbundet heter i dag Delaktighet Handlingskraft Rörelsefrihet. 108SOU 1997:39 s. 368. 109SOU 1997:39 s. 368.

5.3.4.9 Undantag från förbudet mot behandling av känsliga personuppgifter

Det följer av 14 § PUL att det trots förbudet i 13 § PUL är tillåtet att behandla känsliga personuppgifter i de fall som anges i 15–19 §§ PUL. Så kan till exempel ske om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna (15 § PUL). Att samtycket ska vara ”uttryckligt” innebär att det kommer till uttryck på något sätt som en utomstående kan iaktta.110En bestämmelse som kan ha betydelse i forskningssammanhang är 18 § PUL som rör behandling av personuppgifter för hälso- och sjukvårdsändamål. Denna verksamhet gränsar många gånger till forskningsverksamhet. 18 § PUL har följande lydelse.

18 §

Känsliga personuppgifter får behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för

a) förebyggande hälso- och sjukvård,

b) medicinska diagnoser,

c) vård eller behandling, eller

d) administration av hälso- och sjukvård. Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får även behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet.

Känsliga personuppgifter får enligt första stycket behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för vissa i bestämmelsen uppräknade syften. Behandlingen av de känsliga personuppgifterna ska vara nödvändig för något eller några av de uppräknade syftena. Innebörden av nödvändighetskravet har redovisats ovan.

Uppräkningen av syften i första stycket täcker i praktiken nästan all behandling av personuppgifter som förekommer inom hälso- och sjukvården. Undantagets räckvidd preciseras inte närmare i förarbetena till lagen.111 Det har dock i senare lagstiftningsärenden ansetts rimligt att inte ge bestämmelsen en alltför snäv räckvidd och

110 Öman, S. och Lindblom, H.-O., Personuppgiftslagen En kommentar (25 september 2013), kommentaren till 3 §. 111Prop. 1997/97:44 s. 68 f och 126 f.

att även aktiviteter inom hälso- och sjukvård utanför det primära vårdområdet måste kunna inbegripas.112

För att möjliggöra behandlingen av personuppgifter i register med det övergripande syftet att förbättra kvaliteten på individnivå inom svensk hälso- och sjukvård finns i dag en särskild reglering av nationella och regionala kvalitetsregister inom hälso- och sjukvården i patientdatalagen (2008:355) (se avsnitt 5.3.6.3).

Det följer av andra stycket att den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt alltid får behandla sådana känsliga personuppgifter som omfattas av tystnadsplikten. Bestämmelsen ger således möjlighet för personer som har sådan sträng tystnadsplikt som normalt gäller inom hälso- och sjukvårdsverksamhet att behandla känsliga personuppgifter. Enligt andra stycket får vidare den som inte är yrkesmässigt verksam inom hälso- och sjukvårdsområdet men som ändå har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet alltid behandla dessa uppgifter om en liknande tystnadsplikt gäller för honom eller henne i fråga om uppgifterna. Bestämmelsen kan bli aktuell till exempel när känsliga personuppgifter från en myndighet inom hälso- och sjukvården lämnas till forskningsverksamhet.113

Det undantag från förbudet mot behandling av känsliga personuppgifter som är av störst betydelse i registerforskningssammanhang finns i 19 § PUL och rör forskning och statistik. Bestämmelsen har följande lydelse.

19 §

Känsliga personuppgifter får behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Känsliga personuppgifter får behandlas för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Har behandlingen godkänts av en forskningsetisk kommitté, skall förutsättningarna enligt andra stycket anses uppfyllda. Med forskningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning.

112Prop. 2005/06:70 s. 144. 113Prop. 1997/98:44 s. 126.

Personuppgifter får lämnas ut för att användas i sådana projekt som avses i andra stycket, om inte något annat följer av regler om sekretess och tystnadsplikt.

Av bestämmelsens första, andra och tredje stycke framgår när känsliga personuppgifter får behandlas för forsknings- och statistikändamål utan uttryckligt samtycke. Av fjärde stycket framgår att personuppgifter får lämnas ut till vissa statistikprojekt.

Tidigare gällde samma regler för användande av känsliga personuppgifter vid forskning som vid statistik. I samband med införandet av lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) den 1 januari 2004 infördes en särskild reglering för forskning i bestämmelsens första stycke. Enligt bestämmelsen får känsliga personuppgifter behandlas för forskningsändamål endast om behandlingen godkänts enligt etikprövningslagen.

Enligt 6 § första stycket etikprövningslagen får forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser med mera som avses i 21 § PUL genomföras bara om behandlingen har godkänts vid en etikprövning enligt etikprövningslagen. Etikprövningslagen tillämpades ursprungligen bara om forskningspersonen inte hade lämnat sitt uttryckliga samtycke till behandlingen av personuppgifterna. Efter en lagändring som trädde i kraft den 1 juni 2008 tillämpas lagen emellertid numera även när det finns samtycke. Det framgår av bestämmelsens ordalydelse att det är själva behandlingen av personuppgifter som ska godkännas. Det är således inte tillräckligt att forskningen i sig har godkänts vid etikprövningen.

Bestämmelserna i etikprövningslagen behandlas närmare i avsnitt 5.5.

I bestämmelsens andra stycke finns det en allmän avvägningsnorm som anger när känsliga personuppgifter får behandlas för statistikändamål. Enligt bestämmelsen krävs det för det första att behandlingen av känsliga personuppgifter är nödvändig på det sätt som sägs i 10 § PUL. Det krävs vidare att samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

För att göra en avvägning enligt normen måste det ske en helhetsbedömning av samtliga omständigheter.114Vid bedömningen bör

114Prop. 1997/98:44 s. 127.

man enligt förarbetena beakta bland annat statistikprojektets vikt, behovet av personuppgifter, säkerheten vid behandlingen, hur pass kostsamt eller tidsödande det skulle vara att hämta in samtycke, i vilken utsträckning den enskilde skulle kunna skadas om man begärde samtycke och om en kontakt med den enskilde skulle kunna snedvrida undersökningsresultatet. Vid intresseavvägningen bör också beaktas om de berörda fått information av något slag, till exempel via anslag eller annonser. Andra faktorer som bör vägas in är i vilken utsträckning den som begär det ska ha rätt att bli struken och hur pass svårt det är att på grund av de behandlade uppgifterna identifiera enskilda personer.

Det är i första hand den personuppgiftsansvarige som ska tillämpa avvägningsnormen på eget ansvar. Det har överlämnats åt rättstillämpningen att med användande av den allmänna normen och efter rådande värderingar i samhället avgöra vilka behandlingar som kan tillåtas. Det har i dessa bedömningar betonats att normen ger uttryck för en restriktiv tillämpning.115

Enligt tredje stycket ska förutsättningarna i andra stycket anses uppfyllda om behandlingen har godkänts av en forskningsetisk kommitté. Bestämmelsen gällde tidigare behandling för både forskningsändamål och för statistikändamål. När etikprövningslagen infördes ändrades bestämmelsen i 19 § PUL så att behandling av känsliga personuppgifter endast får behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen. I förarbetena till etikprovningslagen anfördes att reglerna i 19 § andra och tredje stycket PUL för statistikprojekt borde kvarstå oförändrade.116Skälet till detta var att Riksförsäkringsverket, Folkhälsoinstitutet, Statens institutionsstyrelse och Socialstyrelsen tillsammans hade startat en forskningsetisk kommitté som har möjlighet att bedöma statistikprojekt. Någon sådan kommitté finns emellertid inte i dag och det saknas således möjlighet till etikgodkännande av statistikprojekt.

Enligt fjärde stycket får personuppgifter lämnas ut för att användas för statistikändamål om inte något annat följer av regler om sekretess och tystnadsplikt. Bestämmelsen ska läsas mot bakgrund av 24 § första och andra styckena PUL.117 Där anges att om personuppgifter samlats in från någon annan källa än den registrerade ska den personuppgiftsansvarige självmant lämna den registrerade

115 Öman, S. och Lindblom, H.-O., Personuppgiftslagen En kommentar, 4 uppl., 2011, s. 321. 116Prop. 2002/03:50 s. 174. 117Prop. 2002/03:50 s. 197.

information om behandlingen av uppgifterna när de registreras. Sådan information behöver dock inte lämnas om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i lag eller annan författning. Bestämmelsen i 19 § fjärde stycket PUL är just en sådan bestämmelse om utlämnande av personuppgifter till statistikprojekt. Bestämmelsen medför att den som samlar in personuppgifter från något annat håll än den registrerade för att använda i ett statistikprojekt inte behöver följa bestämmelserna om information om behandlingen till den registrerade enligt 24 § PUL.

Det bör betonas att bestämmelsen inte medför någon skyldighet att lämna ut personuppgifter. Den innebär endast att det är tillåtet enligt PUL för den som innehar uppgifterna att lämna ut dem.118Om något annat följer av regler om sekretess och tystnadsplikt får uppgifterna dock inte lämnas ut.

5.3.4.10 Behandling av personuppgifter om lagöverträdelser m.m.

Behandling av personuppgifter som rör lagöverträdelser med mera finns i 21 § PUL. Bestämmelsen har följande lydelse.

21 §

Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Personuppgifter som avses i första stycket får dock behandlas för forskningsändamål av andra än myndigheter, om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbudet i första stycket.

Regeringen får i enskilda fall besluta om undantag från förbudet i första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta

sådana beslut.

Vid behandling av personuppgifter om lagöverträdelser med mera är det inte tillräckligt att kraven i 21 § PUL är uppfyllda. Även de grundläggande kraven på behandling av personuppgifter i 9 § PUL måste beaktas och behandlingen måste vara tillåten enligt 10 § PUL. Innefattar behandlingen sådana känsliga personuppgifter som avses i 13 § PUL måste även bestämmelserna i 13–20 §§ följas.

118Prop. 1997/98:44 s. 128.

Enligt huvudregeln i första stycket får endast myndigheter behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden. Detta gäller även om den enskilde har lämnat sitt samtycke till annan behandling.

Bestämmelsen är för det första tillämplig vid personuppgifter om lagöverträdelser som innefattar brott, det vill säga i de fall ett straff är föreskrivet för överträdelsen.119En uppgift om att någon har eller kan ha begått ett visst brott utgör en uppgift om en lagöverträdelse, även om det inte finns någon dom. Bestämmelsen är vidare tillämplig på uppgifter om domar i brottmål. Här avses bland annat uppgift om att någon är dömd för brott även om det inte framgår vilket, samt uppgift om att någon frikänts. Med straffprocessuella tvångsmedel avses till exempel häktning, beslag och kvarstad i brottmål. Att någon varit föremål för tvångsingripande enligt lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1988:870) om vård av missbrukare i vissa fall och lagen (1991:1128) om psykiatrisk tvångsvård är exempel på uppgifter om administrativa frihetsberövanden.

I andra stycket finns ett undantag från huvudregeln att personuppgifter om lagöverträdelser med mera endast får behandlas av myndigheter. Enligt bestämmelsen får enskilda behandla sådana uppgifter för forskningsändamål, under förutsättning att behandlingen har godkänts enligt etikprövningslagen.

Regeringen eller den myndighet som regeringen bestämmer har i tredje stycket bemyndigats att meddela föreskrifter om undantag från förbudet i första stycket. I bestämmelsen avses generella undantag, inte undantag i enskilda fall. Regeringen har enligt 9 § PUF bemyndigat Datainspektionen att meddela sådana föreskrifter. Datainspektionen har meddelat föreskrifter om undantag genom DIFS 1998:3, som ändrats genom DIFS 2010:1. Datainspektionen får också i enskilda fall besluta om undantag från förbudet.

Av fjärde stycket framgår att regeringen eller, om regeringen så bestämmer, tillsynsmyndigheten kan besluta om undantag från första stycket även i enskilda fall. Regeringen har enligt 9 § PUF bemyndigat Datainspektionen att meddela sådana beslut.

119SOU 1997:39 s. 380, prop. 1997/98:44 s. 129.

5.3.4.11 Behandling av uppgifter om personnummer

Behandling av personnummer och samordningsnummer utan den enskildes samtycke regleras i en särskild bestämmelse. Bestämmelsen har följande lydelse.

22 §

Uppgifter om personnummer eller samordningsnummer får utan samtycke behandlas bara när det är klart motiverat med hänsyn till

a. ändamålet med behandlingen, b. vikten av en säker identifiering, eller c. något annat beaktansvärt skäl.

Dataskyddsdirektivet ställer krav på att medlemsländerna ska reglera användningen av personnummer i lag. Medlemsländerna får däremot fritt besluta hur de materiella reglerna ska utformas.

Paragrafen innebär att uppgifter om personnummer eller samordningsnummer120utan samtycke bara får behandlas när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. För att en behandling av en uppgift om personnummer eller samordningsnummer ska få genomföras krävs dessutom att de grundläggande kraven i 9 § är uppfyllda och att behandlingen är tillåten enligt 10 §.

Det anfördes i förarbetena till motsvarande bestämmelse i datalagen att användningen av personnummer i registersammanhang alltid bör prövas från integritetssynpunkt, och att ”onödig” användning ska betraktas som ett integritetsintrång.121 Registreringen ska vara påkallad av ett godtagbart skäl och det ska vara ett skäl som objektivt framstår som befogat. Den registeransvarige har bevisbördan för att personnummer ska få finnas i ett personregister. Fall då det kan finnas sådana objektiva skäl är bland annat vissa forskningsregister och andra register där det är särskilt viktigt med en säker identifiering, till exempel för att tillgodose framtida forskningsbehov.

Datainspektionen har i ett flertal fall intagit en restriktiv inställning till användandet av personnummer i personregister.122I vissa sammanhang, som till exempel inom sjukvården, skatteförvaltningen och polis- och rättsväsende har registrering av personnummer godkänts på grund av förväxlingsrisken. Däremot har det inte ansetts

120 Den som obegränsat skattskyldig men inte folkbokförd i Sverige får från Skatteverket ett samordningsnummer. 121Prop. 1990/91:60 s. 69. 122 Öman, S. och Lindblom H.-O., Personuppgiftslagen En kommentar, 4 uppl., 2011, s. 355.

motiverat att registrera personnummer i medlemsregister som syftar till att den enskilde ska få erbjudanden och förmåner.

5.3.4.12 Skyldigheter enligt personuppgiftslagen

PUL medför vissa skyldigheter för den personuppgiftsansvarige. Den personuppgiftsansvarige ska, om personuppgiften samlas in från personen själv, självmant lämna den registrerade information om behandlingen av uppgifterna (23 § PUL). Om uppgifterna har samlats in från någon annan källa ska sådan information lämnas till den registrerade när uppgifterna registreras (24 § PUL). Med begreppet ”när uppgifterna registreras” avses enligt kommentaren när de matas in i en dator eller sorteras in i ett sådant manuellt register som omfattas av lagen.123Enligt Datainspektionens allmänna råd bör information lämnas snarast och senast fyra veckor efter det att uppgifterna har registrerats, om inte uppgifterna dessförinnan behandlas på annat sätt än genom att lagras.124

Den information som lämnas till den registrerade ska innehålla uppgift om den personuppgiftsansvariges identitet, ändamålet med behandlingen och all övrig information som kan behövas för att den registrerade ska kunna ta tillvara sina rättigheter under behandlingen (25 § PUL). Den personuppgiftsansvarige är också skyldig att till den som ansöker om det en gång per år gratis lämna besked om huruvida personuppgifter som rör den sökande behandlas eller inte (26 §). Behandlas sådana uppgifter ska information lämnas om vilka uppgifter som behandlas, varifrån de har hämtats, ändamålen med behandlingen och vem som tagit emot dem. På begäran av den registrerade är den personuppgiftsansvarige skyldig att snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med PUL eller föreskrifter som meddelats med stöd av PUL (28 § PUL). Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 § PUL). Datainspektionen får i enskilda fall besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige ska vidta (32 § PUL). Datainspektionen har möjlighet att förena ett sådant beslut med vite.

123 Öman, S. och Lindblom, H.-O., Personuppgiftslagen En kommentar, 4 uppl., 2011 s. 378. 124 Information till registrerade enligt personuppgiftslagen – Datainspektionens allmänna råd, s. 7.

Den personuppgiftsansvarige ska göra en skriftlig anmälan till Datainspektionen innan en behandling av personuppgifter som är helt eller delvis automatiserad påbörjas (36 § PUL). Om den personuppgiftsansvarige har utsett ett personuppgiftsombud och anmält detta till inspektionen behöver sådan anmälan emellertid inte göras (37 § PUL). Personuppgiftsombudet ska dock föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits.

5.3.4.13 Rättelse, skadestånd och straff

Om Datainspektionen konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt ska myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande får myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem (45 § PUL). Datainspektionen får ansöka hos förvaltningsrätten om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas (47 § PUL).

Enligt 48 § PUL är den personuppgiftsansvarige skyldig att ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med PUL har orsakat.

I 49 § PUL finns bestämmelser om straff vid överträdelse av vissa bestämmelser i PUL. Den som uppsåtligen eller av grov oaktsamhet till exempel behandlar personuppgifter i strid med 13–21 §§ PUL kan dömas till böter eller fängelse i högst sex månader, eller vid grovt brott högst två år.

5.3.5. Övriga registerförfattningar

5.3.5.1 Inledning

PUL innehåller generella regler om behandling av personuppgifter. Som framgår av 2 § PUL är lagen subsidiär i förhållande till andra författningar, vilket innebär att om det i en annan lag eller i en förordning finns bestämmelser som avviker från PUL:s bestämmelser ska de bestämmelserna gälla. Det finns över 100 olika författningar

som innehåller bestämmelser om behandling av personuppgifter som kompletterar PUL.125Dessa brukar kallas särskilda registerförfattningar. De särskilda registerförfattningarnas huvudsakliga syfte är att reglera inrättandet och användningen av viktiga register eller andra personuppgiftssamlingar inom den offentliga sektorn.126Författningarna är avsedda att ge ett anpassat integritetsskydd vid myndighetens hantering av personuppgifter då det finns behov av att avvika från eller komplettera det integritetsskydd som PUL ger. Utgångspunkten är att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt i lag.127Vid införandet av PUL anfördes i propositionen att det traditionella svenska systemet med särreglering i särskilda författningar var att föredra framför generella undantag från PUL.128Vidare anfördes att det i stort sett bara var verksamhet inom den offentliga sektorn som skulle kunna undantas från PUL, och eftersom det inom den sektorn ofta förekommer stora mängder känsliga personuppgifter som har hämtats in med straffsanktionerad uppgiftsplikt bedömdes det särskild viktigt med ett starkt integritetsskydd. Genom att det krävs en särskild författning för att avvika från det integritetsskydd som PUL ger garanteras att behovet av särregler alltid övervägs noga i den ordning som krävs för författningsgivning. Vidare anfördes att målsättningen är att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag. Regeringen fann ingen anledning att ändra på det målet.

När föreligger skäl att införa en särskild registerförfattning? En omständighet som talar för att det bör införas en särreglering i form av en särskild registerlag är att en särskild författning under vissa förutsättningar anses innebära en bättre garanti för utformningen av integritetsskyddet.129Ett annat skäl för en särskild registerlag kan vara att en nödvändig behandling av personuppgifter över huvud taget inte är tillåten enligt PUL. Vidare kan en särskild registerlag vara motiverad när det finns anledning att avvika från eller precisera regleringen i PUL eller när PUL:s bestämmelser kan ge upphov till tolkningsproblem och det finns anledning att ha tydliga bestämmelser. Det kan också bli aktuellt när det finns anledning att begränsa

125 Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 686. 126SOU 2012:90 s. 51. 127Prop. 1990/91:60 s. 58, KU 1990/91:11 s. 11 och 1997/98:44 s. 41. 128Prop. 1997/98:44 s. 41. 129SOU 2012:90 s. 52.

möjligheten till behandling av uppgifter av integritetsskäl eller när det finns anledning att vara särskilt tydlig gentemot allmänheten.

5.3.5.2 Något om registerförfattningarnas struktur

Det finns i dag ingen klar uppfattning om hur många olika särskilda registerförfattningar det finns.130Författningarna är uppbyggda på olika sätt och saknar en gemensam begreppsstruktur. Sören Öman har dock i artikeln Särskilda registerförfattningar försökt att göra en sammanställning av några vanliga typer av bestämmelser i de särskilda registerförfattningarna. Som underlag för genomgången har bland annat 18 angivna särskilda registerförfattningar använts. Öman konstaterar att de särskilda registerförfattningarna för myndigheters behandling av personuppgifter normalt brukar innehålla vissa typer av bestämmelser, men att utformningen av bestämmelserna varierar och att inte alla registerförfattningar innehåller alla typer av bestämmelser.131

Tillämpningsområde

Varje författning har ett visst tillämpningsområde, som vanligtvis brukar anges i en inledande bestämmelse.132Det normala är att det i bestämmelsen anges att författningen gäller vid behandling av personuppgifter i en viss myndighets eller vissa myndigheters verksamhet av visst slag. Det vanligaste är att författningen gäller för samma slags behandling som PUL, det vill säga behandling som är helt eller delvis automatiserad eller annan (manuell) behandling som avser personuppgifter som ingår i eller är avsedda att ingå i register. Ibland anges det att vissa bestämmelser i författningen bara gäller automatiserad behandling.

Författningarna gäller vanligtvis för behandling av personuppgifter i enlighet med PUL:s definition. I vissa fall har tillämpningsområdet utsträckts till att även gälla avlidna eller juridiska personer. Ibland finns det detaljerade regler om vilka uppgifter som får behandlas om en viss kategori av personer.

När det gäller hur verksamheten anges kan det ske på olika sätt. Det kan hända att författningen hänvisar till verksamhet som myn-

130 Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 686. 131 Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 690. 132 Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 691 f.

digheten ska bedriva enligt andra författningar, till exempel verksamhet enligt lagstiftningen om socialtjänsten. Det förekommer ibland också mer allmänna beskrivningar av verksamheten, till exempel beskattningsverksamheten, men då brukar verksamheten konkretiseras i förarbetena. Utanför tillämpningsområdet faller regelmässigt verksamhet som avser myndigheternas interna administrativa verksamhet.

Författningarnas förhållande till PUL och dataskyddsdirektivet

De särskilda registerförfattningarna gäller före PUL:s bestämmelser, men får inte stå i strid med dataskyddsdirektivet. Direktivet gäller inte för sådan verksamhet som inte omfattas av EU-rätten och inte heller för sådana behandlingar som rör allmän säkerhet, försvar, statens säkerhet och straffrätt. Registerlagar som faller utanför EU-rättens tillämpningsområde behöver således inte vara förenliga med dataskyddsdirektivet. Utgångspunkten är emellertid att de särskilda registerförfattningarna så långt som möjligt ska stämma överens med PUL och därmed också med dataskyddsdirektivet.133

Personuppgiftsansvaret och ändamålen med behandlingen

De särskilda registerförfattningarna innehåller vanligtvis bestämmelser om ändamålen med behandlingen. Ibland delas ändamålen in i primära och sekundära.134De primära ändamålen avser myndighetens eget behov av att behandla personuppgifter, till exempel för att kunna handlägga myndighetens ärenden. De sekundära ändamålen avser myndighetens utlämnande av personuppgifter för att tillgodose andras behov. Huvudregeln är att behandling för att lämna ut personuppgifter till annan enligt de sekundära ändamålen bara får avse personuppgifter som myndigheten samlat in och behandlat för sina primära ändamål. Myndigheten får således inte samla in personuppgifter som den inte behöver för sin egen verksamhet.

När det gäller frågan hur preciserad en ändamålsbestämmelse i en registerförfattning ska vara har regeringen i prop. 1997/98:97 om polisens register anfört att syftet med en ändamålsbestämmelse är att ange en yttersta ram inom vilken uppgifterna får behandlas och

133 Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 694 f. 134 Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 699 f.

att det ligger i sakens natur att ändamålsbestämmelser ofta måste formuleras tämligen generellt.135

Enligt definitionen i PUL är den personuppgiftsansvarige ensam eller tillsammans med andra ansvarig för att bestämma ändamålen med och medlen för behandlingen av personuppgifter. I de särskilda registerförfattningarna anger man regelmässigt de tillåtna ändamålen med behandlingen. På inrådan av Lagrådet började man därför införa uttryckliga bestämmelser i de särskilda registerförfattningarna om vilken myndighet som är personuppgiftsansvarig.136

Vilka personuppgifter som får behandlas

De särskilda registerförfattningarna innehåller i regel någon form av bestämmelse om vilka personuppgifter som får behandlas.137 Av författningarna, ibland kompletterade av PUL, framgår att personuppgifter får behandlas bara om det är nödvändigt för de angivna ändamålen. Ibland finns det särskilda bestämmelser om en databas med uppgifter som används i verksamheten. Ibland finns det dessutom en förordning med detaljerade bestämmelser om vilka uppgifter som får finnas i registret eller databasen.

För behandling av känsliga personuppgifter enligt 13 § PUL och uppgifter om lagöverträdelser med mera enligt 21 § PUL finns det vanligtvis vissa begränsningar. Det anges till exempel att uppgifterna bara får behandlas om det är nödvändigt med hänsyn till ändamålet med behandlingen och att de inte får användas som sökbegrepp, det vill säga för att få fram listor på personer med de egenskaper som avspeglas i uppgifterna.138

Direktåtkomst

Registerförfattningar innehåller inte sällan särskida bestämmelser om direktåtkomst. Begreppet direktåtkomst är ett av de begrepp som kan ha olika innebörd i olika registerförfattningar. Med direktåtkomst avses vanligtvis att någon (här kallad mottagarmyndighet) har direkt tillgång till någon annans (här kallad värdmyndighet) register eller databaser och på egen hand kan söka efter information,

135Prop. 1997/98:97 s. 121. 136 Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 697. 137 Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 702. 138 Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 704.

dock utan att kunna påverka innehållet i registret eller databasen. I begreppet direktåtkomst ligger också att värdmyndigheten inte har någon kontroll över vilka uppgifter som mottagarmyndigheten vid ett visst tillfälle tar del av.139 Direktåtkomst kan till exempel ske genom att mottagarmyndigheten ges elektronisk tillgång till hela eller delar av värdmyndighetens elektroniska informationssamlingar.140Det finns också myndigheter som har gemensamma register och där de deltagande myndigheterna behandlar sina egna uppgifter men också har möjlighet att ta del av uppgifter som andra myndigheter har registrerat i registret.

Direktåtkomst anses innebära särskilda risker för otillbörliga integritetsintrång. Det beror på bestämmelserna om elektroniska upptagningar i TF. När det gäller elektroniska upptagningar är huvudregeln att en sådan anses förvarad hos en myndighet om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (2 kap. 3 § andra och tredje stycket TF). Det saknar betydelse var den begärda elektroniska handlingen rent fysiskt befinner sig. Frågan om en elektronisk handling ska anses förvarad hos en myndighet ska i stället avgöras utifrån myndighetens möjligheter att förfoga över upptagningen. Det finns två undantag från huvudregeln, som avser sammanställningar av uppgifter ur en eller flera upptagningar för automatiserad behandling, så kallat potentiella handlingar.141 Dels anses en potentiell handling förvarad hos myndigheten endast om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder (2 kap. 3 § andra stycket andra meningen TF). Dels anses en potentiell handling inte förvarad hos en myndighet om sammanställningen innehåller personuppgifter som myndigheten enligt lag eller förordning saknar befogenhet att tillgängliggöra. Denna regel brukar kallas begränsningsregeln.

En handling ska, för att vara allmän i TF:s bemärkelse, vara antingen inkommen eller upprättad hos myndigheten. En upptagning anses inkommen till en myndighet när någon har gjort den tillgänglig för myndigheten med hjälp av tekniskt hjälpmedel som

139 Se till exempel prop. 2004/05:164 s. 83, 2009/10:85 s. 168 och 2011/12:45 s. 133. 140SOU 2012:90 s. 82. 141 En potentiell handling anses utgöra en handling hos myndigheten oavsett om sammanställningen gjorts tidigare eller om myndigheten själv har behov av att göra en sådan sammanställning eller inte. Bestämmelsen ger uttryck för likställighetsprincipen, som innebär att allmänheten ska ha tillgång till datalagrad information i samma utsträckning som myndigheten.

myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Bestämmelsen innebär att en upptagning för automatiserad behandling som av en myndighet tillförts ett informationssystem som är gemensamt för flera myndigheter ska anses som inkommen hos alla myndigheter som har tillgång till systemet. I TF görs det ingen skillnad mellan den elektroniska information som en myndighet själv har samlat in och den information från en annan myndighet som den har direktåtkomst till. Sammanställningar av uppgifter ur en värdmyndighets upptagningar för automatiserad behandling som genom direktåtkomst görs tekniskt tillgängliga för en mottagarmyndighet utgör således som huvudregel allmänna handlingar hos mottagarmyndigheten. Det saknar betydelse om mottagarmyndigheten rent faktisk använder sig av möjligheten. Det räcker att den finns för att uppgiften ska anses utgöra allmän handling hos mottagarmyndigheten. Det medför att om någon begär att få ut en allmän handling som är en så kallad potentiell handling från mottagarmyndigheten är denna skyldig att göra de sökningar i och bearbetningar av värdmyndighetens information som kan ske med rutinbetonade åtgärder. Det är oklart vilken betydelse så kallade absoluta sökförbud kan ha, det vill säga förbud i en värdmyndighets registerförfattning mot användning av vissa sökbegrepp, för att begränsa mottagarmyndighetens skyldighet.142Men det är klart att en motttagarmyndighet är skyldig att göra en sökning och ta fram och lämna ut en potentiell handling, även om den i sin egen verksamhet är förhindrad på grund av sök- eller ändamålsbegränsningar i författningen att utnyttja direktåtkomst.

Andra typer av bestämmelser

Många särskilda registerförfattningar innehåller bestämmelser om tillåtna sökbegrepp, som begränsar myndighetens möjlighet och skyldighet att ställa samman personuppgifter. De kan också innehålla bestämmelser om information, samtycke och sambearbetning. Alla dessa typer av bestämmelser påverkar möjligheten för forskare att få tillgång till uppgifter och på vilket sätt det kan ske.

142SOU 2012:90 s. 115 f.

5.3.5.3 En översyn av registerlagstiftningen

Flera statliga utredningar, bland annat Integritetsskyddskommittén och E-offentlighetskommittén, har föreslagit att de särskilda registerförfattningarna ska ses över. Det har anförts att registerförfattningarna saknar en sinsemellan enhetlig struktur och att olika begrepp används för att beskriva samma sak. År 2011 tillsattes en utredning för att se över den så kallade registerlagstiftningen. Utredningen har tagit sig namnet Informationshanteringsutredningen. I delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90) redovisades vissa delfrågor. Enligt de ursprungliga direktiven skulle utredningen göra en översiktlig inventering av gällande registerförfattningar och inom tre olika verksamhetsområden närmare analysera hur de är uppbyggda och tillämpas.143 Utredningens uppdrag har nu ändrats och arbetet ska i stället koncentreras på att utreda förutsättningarna för att skapa en generell, enhetlig och samlad reglering för myndigheternas personuppgiftsbehandling och lämna författningsförslag till en sådan.144 Utredningen ska härvid bland annat beakta den pågående översynen inom EU av regleringen om skyddet för personuppgifter.

5.3.6. Exempel på register som kan användas vid forskning

5.3.6.1 Inledning

Vissa av de särskilda registerförfattningarna reglerar register som kan användas i forskning. Nedan följer en översiktlig genomgång av några av dessa.

5.3.6.2 Hälsodataregister

En central förvaltningsmyndighet inom hälso- och sjukvården får enligt 1 § lagen (1998:543) om hälsodataregister utföra automatiserad behandling av personuppgifter i hälsodataregister. Personuppgifter i ett hälsodataregister får behandlas för framställning av statistik, uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård samt forskning och epidemiologiska undersökningar. Enligt 6 §

143 Kommittédirektiv Integritet, effektivitet och öppenhet i en modern e-förvaltning, (Dir. 2011:86) s. 19 f. 144 Dir. 2014:31.

samma lag är den som bedriver verksamhet inom hälso- och sjukvård skyldig att lämna uppgifter till ett hälsodataregister för dessa ändamål. Uppgifterna samlas in utan den enskildes samtycke.

Regeringen får bland annat meddela föreskrifter om vilka myndigheter som får föra hälsodataregister, begränsning av ändamålen och begränsningar av de uppgifter ett hälsodataregister får innehålla. Regeringen har med stöd av denna bestämmelse utfärdat flera förordningar om hälsodataregister. Exempel på sådana register där personuppgifterna bland annat får behandlas för forskningsändamål och för epidemiologiska undersökningar är cancerregistret och patientregistret.145Båda dessa register förs av Socialstyrelsen. Även personuppgifter i läkemedelsregistret, register över insatser inom den kommunala hälso- och sjukvården och tandhälsoregistret hos Socialstyrelsen får användas för forskningsändamål.146

5.3.6.3 Kvalitetsregister

Med kvalitetsregister avses enligt 7 kap. 1 § patientdatalagen en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregistren ska vidare möjliggöra jämförelser inom hälso- och sjukvården på nationell eller regional nivå.

Bestämmelser om hanteringen av personuppgifter i nationella och regionala kvalitetsregister finns i 7 kap. patientdatalagen. Patientdatalagen innehåller en samlad reglering av informationshanteringen inom hälso- och sjukvård som ska tillämpas av alla vårdgivare, både i offentlig och privat verksamhet. Om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av lagen gäller bestämmelserna i PUL. Till exempel är definitionerna i 3 § PUL, rätten till registerutdrag enligt 26 § PUL och bestämmelserna om säkerhetsåtgärder i PUL tillämpliga även inom vård och omsorg.

Inom hälso- och sjukvården förs kvalitetsregister på flera olika nivåer. De kan föras alltifrån lokalt inom en offentlig eller privat

145 Förordning (2001:709) om cancerregister hos Socialstyrelsen och förordning (2001:707) om patientregister hos Socialstyrelsen. 146 Förordning (2005:363) om läkemedelsregister hos Socialstyrelsen, förordning (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården och förordning (2008:194) om tandhälsoregister hos Socialstyrelsen.

vårdgivares verksamhet till nationellt med hela landet som upptagningsområde.147

5.3.6.4 Lokala kvalitetsregister

Ett lokalt kvalitetsregister innebär att personuppgifter från en eller flera vårdenheter hos samma vårdgivare samlas in till ett gemensamt register i syfte att utveckla och säkra kvaliteten i verksamheten. Samma juridiska person är således ansvarig för hanteringen av uppgifterna. Lokala kvalitetsregister regleras av patientdatalagens allmänna bestämmelser.

Samtycke

Behandling av personuppgifter i ett lokalt kvalitetsregister får utföras även om den enskilde motsätter sig behandlingen (2 kap. 2 § patientdatalagen).

Ändamål

Av 2 kap. 4 § patientdatalagen framgår för vilka ändamål vårdgivare får behandla personuppgifter inom hälso- och sjukvården. Enligt fjärde punkten får personuppgifter behandlas för att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten.

Personuppgiftsansvar

Vårdgivaren är personuppgiftsansvarig för behandlingen av personuppgifter (2 kap. 6 § patientdatalagen).

Personuppgifter som får behandlas

En vårdgivare får endast behandla sådana personuppgifter som behövs för de ändamål som anges i 2 kap. 4 § patientdatalagen. Uppgifter om lagöverträdelser med mera enligt 21 § PUL får endast

147Prop. 2007/08:126 s. 177, se även avsnitt 8.2.2.

behandlas om det är absolut nödvändigt för ett sådant ändamål (2 kap. 7 § patientdatalagen).

Rätt till information

Den som är personuppgiftsansvarig ska se till att den registrerade får information om personuppgiftsbehandlingen (8 kap. 6 § patientdatalagen). Informationen ska innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålet med behandlingen, vilka kategorier av uppgifter som behandlas, den uppgiftsskyldighet som kan följa av lag eller förordning och de sekretess- och säkerhetsbestämmelser som gäller. Den personuppgiftsansvarige ska vidare informera om rätten enligt 4 kap. 4 § patientdatalagen att i vissa fall begära att uppgifter spärras, rätten enligt 4 kap. 5 § patientdatalagen att få information om direktåtkomst och elektroniska åtkomst, rätten att ta del av uppgifter enligt 26 § PUL samt rätten till rättelse och underrättelse av tredje man enligt 28 § PUL. Den registrerade ska slutligen få information om rätten till skadestånd vid behandling av personuppgifter i strid med patientdatalagen, vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling, vad som gäller i fråga om bevarande och gallring samt huruvida personuppgiftsbehandlingen är frivillig eller inte.

Bevarande och gallring

Personuppgifter i kvalitetsregister är allmänna handlingar. När det gäller bevarande och gallring av uppgifter i lokala kvalitetsregister gäller arkivlagens bestämmelser (se avsnitt 5.8).

Sekretess

Kvalitetsregisteruppgifter hämtas vanligtvis från patientjournaler eller annan dokumentation som förs i samband med den individinriktade hälso- och sjukvården. Uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden hos hälso- och sjukvård i offentlig regi skyddas av hälso- och sjukvårdssekretess enligt 25 kap. 1 § offentlighets- och sekretesslagen (2009:400) (OSL). Uppgifter i ett kvalitetsregister används inte i den direkta vården av patient. I för-

arbetena till vårdregisterlagen anges att sekretessen enligt 7 kap. 1 c § sekretesslagen, nuvarande 25 kap. 1 § OSL gäller inom den offentligt bedrivna hälso- och sjukvården oavsett om uppgifterna finns i ett vårdregister eller behandlas för bland annat kvalitetssäkring.148Det innebär att 25 kap. 1 § OSL är tillämplig även för uppgifter i ett kvalitetsregister.

5.3.6.5 Regionala och nationella kvalitetsregister

I de regionala och nationella kvalitetsregistren samlas personuppgifter och annan information som rapporterats till registret från flera vårdgivare inom ett landsting, inom en eller flera av landets sjukvårdsregioner eller hela landet.149 I de regionala och nationella kvalitetsregistren är det således olika juridiska personer som är personuppgiftsansvariga för hantering av personuppgifterna. Dessa register regleras av särbestämmelserna i kap. 7 patientdatalagen.

Samtycke

Det följer av 7 kap. 2 § patientdatalagen att personuppgifter inte får behandlas i ett nationellt eller regionalt kvalitetsregister om den enskilde motsätter sig det. Det krävs således inget uttryckligt samtycke från den enskilde för registrering.150I praktiken innebär det att så kallat ”optout” oftast är tillräckligt för personuppgiftsbehandling i ett kvalitetsregister. Den enskildes integritet skyddas genom möjligheten att motsätta sig behandling efter att den enskilde fått information om behandlingen. Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats ska uppgifterna utplånas ur registret så snart som möjligt.

Kvalitetsregisters ändamål

Det primära ändamålet med behandling av personuppgifter i nationella och regionala kvalitetsregister ska vara att systematiskt och fortlöpande utveckla vårdens kvalitet (7 kap. 4 § patientdatalagen), det vill säga att följa upp medicinsk och annan kvalitet på själva

148Prop. 1997/98:108 s. 78. 149Prop. 2007/08:126 s. 177. 150Prop. 2007/08:126 s. 186 f.

vårdinsatserna. Med vård avses i detta sammanhang individinriktad patientverksamhet, det vill säga vård, undersökning och behandling inom hälso- och sjukvården.151

Av 7 kap. 5 § framgår att personuppgifter som behandlas för kvalitetssäkring också får behandlas för vissa sekundära ändamål. Uppgifterna får enligt bestämmelsen behandlas för framställning av statistik och för forskning inom hälso- och sjukvårdsområdet. Uppgifterna får även lämnas ut till tredje man som avser att använda uppgifterna för kvalitetssäkring, framställning av statistik eller forskning inom hälso- och sjukvård. Personuppgifter får vidare behandlas för att fullgöra en uppgiftsskyldighet som följer av lag och förordning. Undantag gäller dock för sådan uppgiftsskyldighet som följer av 6 kap 5 § OSL, se avsnitt 5.6.3.8.

Några andra ändamål än de ovan angivna är inte tillåtna. Det är således inte tillåtet att behandla personuppgifter för andra ändamål även om dessa inte är oförenliga med det ändamål för vilket uppgifterna samlades in, det vill säga kvalitetssäkring. Den finalitetsprincip som gäller vid behandling av personuppgifter enligt PUL gäller således inte vid behandling av personuppgifter i nationella eller regionala kvalitetsregister.

Som framgår ovan medger bestämmelsen att personuppgifter som samlats in för kvalitetssäkringsändamål även används för forskning inom hälso- och sjukvård. Med forskning avses även epidemiologiska studier.152

Personuppgiftsansvar

Kvalitetsregistren bygger på att vårdgivare, både privata och offentliga, rapporterar in vissa uppgifter till dessa. Den inrapporterande vårdgivaren har så kallat lokalt personuppgiftsansvar och ansvarar för att insamling och inrapportering av personuppgifter sker på ett korrekt sätt. Vårdgivaren ska också hålla reda på vilka personuppgifter som behandlas var och ansvara för informationen till patienten.

Det följer av 7 kap. 7 § patientdatalagen att det endast är myndigheter inom hälso- och sjukvården som får vara centralt personuppgiftsansvariga, det vill säga personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister. Regeringen eller den myndighet som regeringen bestäm-

151Prop. 2007/08:126 s. 179. 152Prop. 2007/08:126 s. 180.

mer får emellertid besluta att även annan får vara personuppgiftsansvarig. Skälet till bestämmelsen är enligt förarbetena att det framstår som mindre lämpligt att stora samlingar av integritetskänsliga personuppgifter samlas i enskild verksamhet utan att förutsättningarna för detta närmare övervägs eller anges.153 Sedan personuppgifterna kommit in till den centrala myndighet, i regel ett landsting, som ansvarar för kvalitetsregistret som helhet ansvarar den myndigheten för den fortsatta behandlingen, till exempel för säkerhetsfrågor och för att felaktiga uppgifter rättas.

Personuppgifter som får behandlas

Enligt 7 kap. 8 § patientdatalagen får endast sådana personuppgifter som behövs för det primära ändamålet, kvalitetssäkring av vård, tas in i ett nationellt eller regionalt kvalitetsregister. Av propositionen framgår att tolkningen av vad som behövs för ändamålet kvalitetssäkring kan ske inom ganska vida ramar.154Det betonas att personuppgifter som inte direkt behövs för kvalitetssäkringsändamål utan endast skulle vara bra att ha i framtida forskningsprojekt inte får samlas in. Inskränknigen torde dock sakna praktik betydelse.

Den registrerades personnummer eller namn får behandlas endast om det inte är tillräckligt att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde. Känsliga personuppgifter enligt 13 § PUL och som inte rör hälsa samt personuppgifter om lagöverträdelser medmera som avses i 21 § PUL får behandlas endast om regeringen i det enskilda fallet medger det. Enligt 6 § patientdataförordningen (2008:360) får även Datainspektionen pröva frågor om medgivande till behandling efter att ha hört Socialstyrelsen. Av bestämmelsen i 2 kap. 3 § patientdatalagen följer att andra känsliga personuppgifter än sådana som rör hälsa ändå kan behandlas i ett kvalitetsregister om den enskilde lämnat ett uttryckligt samtycke till behandlingen. I förarbetena betonas att det i information till den enskilde klart bör framgå att ett uttryckligt samtycke omfattar just dessa slags personuppgifter.155

153Prop. 2007/08:126 s. 183. 154Prop. 2007/08:126 s. 185. 155 Ibid.

Rätt till information

Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister ska den enskilde enligt de allmänna bestämmelserna om information i 8 kap. 6 § patientdatalagen få information om bland annat vem som är personuppgiftsansvarig, ändamålet med behandlingen, vilka kategorier av uppgifter som behandlas, rätten till registerutdrag enligt 26 § PUL och de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen. Därutöver ska den enskilde enligt särbestämmelsen i 7 kap. 3 § patientdatalagen också upplysas om rätten att när som helst få uppgifter om sig själv utplånade ur registret. Patienten ska vidare få reda på i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, till exempel om uppgifter inhämtas genom sambearbetning med andra register.156 Slutligen ska patienten informeras om vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till, till exempel om uppgifterna kan komma att lämnas ut för forskningsändamål. Om det inte är möjligt att lämna informationen innan behandlingen påbörjas ska den lämnas så snart som möjligt därefter.

Det har överlåtits till den personuppgiftsansvarige att själv bestämma hur informationen ska ges. I propositionen anges det dock att det åligger den personuppgiftsansvarige att se till att informationen är utformad på ett sätt som kan förstås av patienten.157

Om ett kvalitetsregister först i ett senare skede avses användas för ett nytt ändamål eller sambearbetas utan att de registrerade blivit informerade om detta vid registreringen är det enligt propositionen tillräckligt att tydlig information om det nya ändamålet eller sambearbetningen lämnas, exempelvis på en webbplats eller i en tidningsannons.158Det bör noteras att det nya ändamålet måste ligga inom ramen för det ursprungliga ändamålet med behandlingen.

Bevarande och gallring

Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska enligt 7 kap. 10 § patientdatalagen gallras när de inte längre behövs för ändamålet kvalitetssäkring. En stor del av värdet med ett kvalitetsregister är emellertid att det ger möjlighet till uppföljning vid

156Prop. 2007/08:126 s. 191. 157 Ibid. 158 Ibid.

ett senare tillfälle. Arkivmyndigheten i det landsting eller den kommun till vilken den personuppgiftsansvarige hör har därför fått möjlighet att föreskriva att personuppgifter i ett nationellt eller regionalt kvalitetsregister ska bevaras under längre tid för historiska, statistiska eller vetenskapliga ändamål.

Sekretess

Som anförs ovan hämtas uppgifter till kvalitetsregister från patientjournaler eller annan dokumentation som förs i samband med den individinriktade hälso- och sjukvården. Uppgifterna hos den inrapporterande vårdenheten skyddas således av hälso- och sjukvårdssekretess enligt 25 kap. 1 § OSL. I förarbetena till patientdatalagen diskuterades om uppgifter i regionala och nationella kvalitetsregister skyddas av hälso- och sjukvårdssekretessen, eftersom det i dessa fall inte är samma myndighet som är vårdgivare och som för registret. I propositionen konstateras att vårdgivarna enligt 31 § hälso- och sjukvårdslagen och 16 § tandvårdslagen (1985:125) är skyldiga att genomföra systematisk och fortlöpande säkring av kvaliteten i hälso- och sjukvårdsverksamheten.159Därför bör kvalitetssäkring i form av kvalitetsregister ses som en integrerad del av sådan hälso- och sjukvårdsverksamhet som avses i 25 kap. 1 § OSL, oavsett om ett kvalitetsregister är nationellt, regionalt eller lokalt. Visserligen lämnas patientuppgifter ut till annan offentlig vårdgivare när de inrapporteras till ett kvalitetsregister som förs centralt utanför den egna myndighetsorganisationen. Uppgifterna härrör emellertid från en individinriktad verksamhet av samma slag som bedrivs av den mottagande myndigheten. Trots att det inte finns någon direkt vårdrelation mellan den mottagande registerföraren och patienten lämnar uppgifterna inte den sektor av faktisk hälso- och sjukvårdsverksamhet som omfattas av tillämpningsområdet för 25 kap. 1 § OSL. Slutsatsen är att sekretessbestämmelsen är tillämplig beträffande samtliga uppgifter i ett kvalitetsregister vari flera vårdgivare deltar och inte bara beträffande de uppgifter som härrör från samma myndighetsorganisation som ansvarar för den centrala registerföringen.

Det följer av 25 kap. 11 § 4 OSL att sekretessen inte hindrar att uppgift lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen.

159Prop. 2007/08:126 s. 195.

5.3.6.6 Biobankslagen

Lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen) reglerar hur humanbiologiskt material ska få samlas in, förvaras och användas för vissa ändamål. Med biobank avses enligt 1 kap. 2 § biobankslagen biologisk material från en eller flera människor som samlas och bevaras tills vidare eller för en bestämd tid och vars ursprung kan härledas till den eller de människor från vilka materialet härrör.

Lagen är tillämplig på en biobank som inrättats i Sverige i en vårdgivares hälso- och sjukvårdsverksamhet, oavsett var materialet i biobanken förvaras. Lagen är också tillämplig på vävnadsprover som lämnats ut från sådana biobanker för att förvaras och användas hos en annan vårdgivare, en enhet för forskning eller diagnostik, en offentlig forskningsinstitution, ett läkemedelsbolag eller en annan juridisk person och vilka även efter utlämnandet kan härledas till den eller de människor från vilka de härrör. Lagen ska också gälla i tillämpliga delar för vävnadsprover som tas och samlas in för transplantationsändamål enligt lagen (1995:831) om transplantation m.m. Lagen är inte tillämplig på prover som rutinmässigt tas i vården för analys och som uteslutande är avsedda som underlag för diagnos och löpande vård och behandling av provgivaren och som inte sparas en längre tid.

En biobank får enligt 2 kap. 2 § biobankslagen användas för vård och behandling och andra medicinska ändamål i en vårdgivares verksamhet. Därutöver får en biobank endast användas för ändamål som avser kvalitetssäkring, utbildning, forskning, klinisk prövning, utvecklingsarbete eller annan därmed jämförlig verksamhet. Om en biobank inrättas för ändamål som avser forskning eller klinisk prövning får det ske först efter prövning och godkännande av en nämnd för forskningsetik (etikprövningsnämnd). Biobanken får i sådana fall inte användas för annat ändamål än det för vilket det inrättats utan att nämnden godkänt detta.

I 3 kap. biobankslagen finns bestämmelser om samtycke och information vid insamling och bevarande i en biobank och i 4 kap. regleras utlämnande av vävnadsprover. I biobankslagen finns också bestämmelser om en särskild biobank, PKU-biobanken, som avser vävnadsprover från nyfödda barn.160

160 Fenylketonuri (Phenylketonuria, PKU) är en ärftlig, medfödd ämnesomsättningssjukdom som utan behandling leder till allvarlig hjärnskada. Alla barn erbjuds provtagning i samband med födelsen. Med behandling utvecklas barnet normalt (Socialstyrelsen).

Bestämmelserna i biobankslagen beskrivs närmare i avsnitt 9.5.

5.3.6.7 Rättspsykiatriskt forskningsregister

Rättsmedicinalverket (RMV) är central förvaltningsmyndighet för rättspsykiatrisk undersökningsverksamhet, rättsmedicin, rättskemi och rättsgenetik. Enligt 2 § förordning (2007:976) med instruktion för Rättsmedicinalverket ska RMV bland annat svara för rättspsykiatriska undersökningar i brottmål och läkarintyg som avses i 7 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. RMV ska enligt samma bestämmelse utföra rättsmedicinska obduktioner och andra rättsmedicinska undersökningar och svara för rättsmedicinsk medverkan i övrigt på begäran av domstol, länsstyrelse, allmän åklagare eller polismyndighet. Ytterligare en uppgift som myndigheten särskilt ska svara för är utvecklingsarbete och stöd åt forskning av betydelse för verksamheten. För att tillgodose behovet av information för forskning och utvecklingsarbete inom rättspsykiatrin har med stöd av en särskild lag det rättspsykiatriska forskningsregistret inrättats. Enligt 1 § lagen (1999:353) om rättspsykiatriskt forskningsregister är RMV personuppgiftsansvarig för registret. Registret får användas endast för behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt lagen om etikprövning av forskning som avser människor (se avsnitt 5.4). Registret får även användas för RMV:s uppföljning, utvärdering eller kvalitetssäkring av sin verksamhet inom rättspsykiatrin (utvecklingsarbete) (3 §).

Enligt uppgift från RMV har insamlandet av uppgifter med stöd av lagen om rättspsykiatriskt forskningsregister upphört. Det beror delvis på tekniska problem vid överföring av uppgifter från Socialstyrelsen och Kriminalvården. Vidare har det framkommit att registret inte är ändamålsenligt för forskning inom rättspsykiatri. De uppgifter som lagras i databasen bedöms inte vara de som behövs för forskning och analys inom området. Eftersom uppgifter inte får överföras förrän det finns en lagakraftvunnen dom kan det ta lång tid innan alla uppgifter hamnar i registret. Det uppfattas också som en brist att inga uppgifter från de mål där åtalet ogillats får föras in i registret.

5.4. Internationella dokument till skydd för den enskilde inom hälso- och sjukvård samt forskning

5.4.1. Europarådets konvention om mänskliga rättigheter och biomedicin

5.4.1.1 Inledning

Europarådets ministerkommitté antog den 19 november 1996 en ny konvention om mänskliga rättigheter och biomedicin (Konvention angående skydd av de mänskliga rättigheterna och människans värdighet med avseende på tillämpningen av biologi och medicin). Sverige undertecknade konventionen 1997 men den har inte ratificerats. Ett hinder mot ratificering av biomedicinkonventionen är de krav som ställs avseende den rättsliga reglering som rör beslutsoförmögna.161Konventionens syfte är att skydda människor i samband med hälso- och sjukvård samt forskning.162Den innehåller bland annat principer om information och samtycke, ställföreträdare för inte beslutskompetenta personer, gendiagnostik och genterapi, forskning och försök på människor samt tagande och användning av biologiskt material från människor.

5.4.1.2 Syfte

Enligt artikel 1 första stycket ska konventionsstaterna skydda alla människors värdighet och identitet och utan diskriminering garantera varje människa respekt för hennes integritet och andra grundläggande fri- och rättigheter i samband med tillämpning av biologi och medicin. I inledningen till konventionen hänvisas till ett flertal olika internationella dokument där individuella och sociala mänskliga rättigheter redan erbjuds skydd, såsom FN:s allmänna förklaring om de mänskliga rättigheterna och Europakonventionen. I inledningen betonas också den snabba utvecklingen inom det bio-

161 Regeringen tillsatte i juni 2012 en utredning som ska lämna förslag till en enkel och ändamålsenlig reglering avseende personer som på grund av att de är beslutsoförmögna helt eller delvis saknar möjlighet att fullt ut vara delaktiga eller på annat sätt utöva sitt självbestämmande i situationer då detta förutsätts inom hälso- och sjukvård, tandvård eller forskning som avser människor och biologiskt material från människor (Dir 2012:72). Utredningen har antagit namnet Utredningen om beslutsoförmögna personers ställning i hälso- och sjukvård, tandvård, socialtjänst och forskning och ska redovisa sitt resultat senast den 1 januari 2015. 162Prop. 2002/03:50 s. 68.

medicinska området, den fara som kan uppkomma genom missbruk av vetenskapen och samhällets ansvar för att biomedicinska framsteg utnyttjas till förmån för hela mänskligheten, både nuvarande och kommande generationer. Behovet av internationellt samarbete och en allmän debatt förs också fram.

5.4.1.3 Människans företräde

I konventionens inledning betonas att framstegen inom biologi och medicin bör användas till gagn för mänskligheten. Detta får dock inte ske på bekostnad av den enskilda människans intresse. Artikel 2 slår fast den viktiga principen att (den enskilda) människans intressen och välfärd ska ha företräde framför samhällets eller vetenskapens egna intressen.

5.4.1.4 Yrkesåliggande och etiska regler

Enligt artikel 4 ska alla åtgärder inom hälso- och sjukvård, inklusive forskning, genomföras i enlighet med tillämpliga yrkesåligganden och professionell standard. Bestämmelsen motsvarar i stort sett den svenska lagstiftningens krav på att hälso- och sjukvårdspersonalen ska utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet, vilket kommer till uttryck i 2 kap. 1 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.163

5.4.1.5 Bestämmelser som rör forskning

Det följer av artikel 15 att vetenskaplig biologisk och medicinsk forskning ska bedrivas fritt men samtidigt på ett sådant sätt att den inte kommer i konflikt med konventionens bestämmelser eller med andra regler till skydd för människan. Det finns inte någon definition av begreppet forskning. Det anförs i förarbetena till etikprövningslagen att gränsdragningen mellan etablerade behandlingsmetoder och forskning ibland är svår att göra.164

I artikel 16 i–v anges de allmänna förutsättningarna för att forskning på människor ska godkännas. I bestämmelsen stadgas att det inte ska finnas något likvärdigt alternativ till forskning på män-

163Prop. 2002/03:50 s. 69 f. 164Prop. 2002/03:50 s. 70.

niskor. Det innebär dels att forskningen inte får genomföras om liknande resultat kan erhållas på annat sätt, dels att en mera ingripande metod inte får tillåtas om en mindre ingripande åtgärd kan användas för att få fram motsvarande kunskap.165 De eventuella risker försökspersonen utsätts för får inte stå i bristande proportion till den potentiella nyttan med forskningen. Forskningen måste ha godkänts av ett behörigt organ efter en oberoende prövning av dess vetenskapliga värde. Vid prövningen ska bedömas hur viktigt syftet med forskningen är. Vidare ska en tvärvetenskaplig granskning av projektets etiska försvarlighet göras. Försökspersonerna måste vara informerade om sina rättigheter och det skydd de åtnjuter. Det krävs vidare att försökspersonen har lämnat ett uttryckligt och specificerat samtycke till att medverka i en specificerad åtgärd och att samtycket har dokumenterats. Underförstått (hypotetiskt) samtycke är således otillräckligt i samband med forskning på människor. Vad gäller dokumentation rekommenderas skriftlighet, men i undantagsfall kan muntligt samtycke godtas. Ett samtycke får återkallas när som helst.

5.4.1.6 Skydd för personer som inte kan lämna samtycke

Artikel 6 innehåller bestämmelser till skydd för personer som inte själva har förmåga att lämna samtycke. Huvudregeln är att forskning på dessa personer endast får genomföras om forskningen är till direkt fördel för den åtgärden avser. När forskningen avser underårig som inte anses beslutskompetent måste tillstånd till åtgärden lämnas av den underåriges ställföreträdare (vårdnadshavaren) eller av en myndighet, person eller annat organ, i enlighet med vad som är föreskrivet i lag. I takt med stigande ålder och mognad ska allt större hänsyn tas till barnets egna synpunkter och önskemål.

I de fall forskning ska utföras på vuxna personer som på grund av sjukdom, psykisk störning eller liknande saknar förmåga att ge sitt samtycke till ett ingrepp krävs det att samtycke lämnas av patientens ställföreträdare eller av föreskriven myndighet, person eller organ. Den berörda personen ska så långt möjligt delta i samtyckesförfarandet.

Eftersom skyddet för personer som inte kan lämna sitt samtycke vid forskning är särskilt påkallat, finns i artikel 17 vissa kompletterande förutsättningar som måste vara uppfyllda. Enligt huvudregeln i artikel 17 punkten 1 krävs att forskningsresultatet kan förväntas

165Prop. 2002/03:50 s. 70.

bli till konkret och direkt nytta för försökspersonens hälsa. Bestämmelsen anses innehålla ett krav på proportionalitet mellan denna förväntade nytta och eventuella risker för försökspersonen.166Vidare krävs det att jämförbara resultat inte kan nås genom forskning på människor som har förmåga att lämna samtycke. Från huvudregeln i artikel 17 punkt 1 om krav på direkt nytta för försökspersonen medges dock i punkt 2 vissa undantag under följande förutsättningar. Den aktuella forskningens mål måste vara att genom en markant förbättring av den vetenskapliga förståelsen av den enskildes tillstånd, sjukdom eller störning bidra till att uppnå resultat som kan medföra nytta, antingen för den berörda försökspersonen eller för andra personer som kan hänföras till samma grupp i fråga om ålder, sjukdom eller tillstånd. Detta innebär bland annat att ett friskt barn kan medverka i forskning som förväntas vara till nytta för andra barn, eller att forskning på åldersdementa kan tillåtas i syfte att få fram bättre metoder att behandla andra personer med åldersdemens. Forskningen får inte medföra mer än minimal risk och minimalt obehag för den berörda individen.167

5.4.1.7 Konventionens krav

Konventionen avses omfatta alla medicinska och biologiska åtgärder med människor, bland annat forskningsrelaterade åtgärder. I artikel 1 andra stycket förpliktas konventionsstaterna att vidta nödvändiga åtgärder avseende nationell rätt för att genomföra bestämmelserna i konventionen. Konventionsstaterna ska se till att det finns ett lämpligt skydd för att med kort varsel kunna förhindra eller stoppa ett brott mot rättigheterna och principerna i konventionen (artikel 23). Enligt artikel 24 ska parterna också sörja för att lämpliga sanktioner tillämpas i händelse av brott mot bestämmelserna i konventionen. Vissa materiella rättigheter som skyddas i konventionen får inskränkas i nationell lag, under förutsättning att inskränkningen är nödvändig i ett demokratiskt samhälle med hänsyn till den allmänna säkerheten, förebyggandet av brott, folkhälsan eller skyddandet av annans fri- och rättigheter (artikel 26). Vissa av konventionens rättigheter är emellertid undantagna från möjligheten till inskränkningar. Ett sådant undantag gäller de särskilda skyddsreglerna för personer som medverkar i forskning.

166Prop. 2002/03:50 s. 71. 167 Ibid.

Artikel 27 tillåter konventionsstaterna att införa ett mer långtgående skydd än som fastställs i konventionen.

5.4.1.8 Tolkning av konventionen

Det är inte möjligt att med stöd av konventionen föra talan vid Europadomstolen i ett enskilt fall. Europadomstolen kan emellertid enligt artikel 29 ge vägledning i rättsfrågor som rör tolkning av konventionen. Sådana uttalanden kan ske på begäran av konventionsstaternas regeringar och Europarådets styrkommitté för bioetikfrågor.

5.4.1.9 Rapporter om konventionens tillämpning

Det följer av artikel 30 att Europarådets generalsekreterare har möjlighet att ålägga en konventionsstat att avge en rapport om hur konventionens bestämmelser implementerats i nationell rätt. Några egentliga sanktioner mot en stat som inte följer sina åtaganden enligt konventionen finns dock inte.

5.4.2. Helsingforsdeklarationen

Vid sidan av de internationella överenskommelserna på detta område finns en mängd forskningsetiska principer som påverkar förutsättningarna att bedriva forskning. De viktigaste internationella forskningsetiska riktlinjerna för medicinsk forskning på människor är Helsingforsdeklarationen. Deklarationen antogs av World Medical Association 1964 som en reaktion på de oacceptabla medicinska försök som utfördes i Nazityskland under andra världskriget. Deklarationen innehåller grundläggande etiska principer i syfte att vägleda läkare och andra som medverkar i medicinsk forskning som omfattar människor. Sådan forskning innefattar forskning på identifierbart mänskligt material eller uppgifter som kan hänföras till identifierbara personer.

En av de grundläggande principerna i deklarationen är att omsorgen om dem som är föremål för undersökningen alltid måste gå före vetenskapens och samhällets intressen vid medicinsk forskning på människor (artikel 8). Enligt artikel 9 är den läkare som är inblandad i forskning ansvarig för att skydda forskningspersonens liv, hälsa, värdighet, integritet, rätt till självbestämmande, privatliv

och skydd för privata uppgifter. Ansvaret för forskningspersonerna ligger alltid på läkarna, aldrig på den enskilde även om denne lämnat sitt samtycke. Artikel 24 stadgar att alla tänkbara försiktighetsåtgärder måste vidtas för att respektera deltagarnas privatliv och behandla patientinformation konfidentiellt. När det gäller personer som kan lämna samtycke är huvudregeln att deltagande i medicinsk forskning alltid ska vara frivilligt (artikel 25). Enligt artikel 32 ska samtycke normalt inhämtas från den enskilde vid insamling, analys, lagring eller återanvändning av identifierbara prover och data. I de fall det är omöjligt eller opraktiskt att få ett samtycke eller det skulle hota studien att begära ett sådant får forskningen utföras utan samtycke från den enskilde. Då krävs i stället ett godkännande från en forskningsetisk kommitté.

5.5. Etikprövningslagen

5.5.1. Syfte

För att Sverige skulle kunna ratificera Europarådets konvention om mänskliga rättigheter och biomedicin krävdes en rättslig reglering av den forskningsetiska granskningen. I syfte att uppfylla de krav som bland annat ställdes i konventionen infördes den 1 januari 2004 lagen om etikprövning av forskning som avser människor, etikprövningslagen. Lagen innehåller bestämmelser om etikprövning av forskning som avser människor och biologiskt material från människor. Den innehåller också bestämmelser om samtycke till sådan forskning. Syftet med lagen är enligt 1 § etikprövningslagen att skydda den enskilda människan och respekten för människovärdet vid forskning.

5.5.2. Vissa definitioner

I 2 § etikprövningslagen definieras vissa centrala begrepp.

Forskning definieras som vetenskapligt experimentellt eller teore-

tiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund. Sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå omfattas inte. Enligt förarbetena avses ett systematiskt och metodiskt sökande efter ny kunskap och nya idéer, både när det sker utan någon bestämd tillämpning i sikte (grundforskning) och när det sker med en be-

stämd tillämpning i sikte (tillämpad forskning).168 Lagens forskningsbegrepp inbegriper också utvecklingsarbete på vetenskaplig grund. Enligt förarbetena avses därmed ett idérikt och systematiskt utnyttjande av vetenskaplig och annan kunskap för att åstadkomma nya produkter, nya processer, nya system eller väsentliga förbättringar av existerande system.

Enligt 31 § hälso- och sjukvårdslagen (1982:763) ska kvaliteten inom hälso- och sjukvårdsverksamheten systematiskt och fortlöpande utvecklas och säkras. Sådan verksamhet anses inte utgöra forskning i lagens mening.169 Ibland ingår vetenskapligt utvecklingsarbete i myndigheternas arbete med uppföljning. I dessa fall får man se till syftet med det vetenskapliga utvecklingsarbetet. Om syftet är myndighetsinternt utvärderingsarbete blir etikprövningslagens bestämmelser inte tillämpliga. Avsikten är att forskningsbegreppet ska omfatta allt det som omfattas av motsvarande begrepp enligt 19 § PUL.

En forskningshuvudman är den statliga myndighet eller fysiska eller juridiska person inom vars verksamhet forskningens utförs. Inom staten utförs forskning främst vid universitet och högskolor, men även vissa andra myndigheter som till exempel Brottsförebyggande rådet (BRÅ) bedriver forskning.170

Med forskningsperson avses den levande människa som forskningen avser.

Med behandling av personuppgifter avses sådan behandling som anges i 3 § PUL.

5.5.3. Tillämpningsområde

I 3 och 4 §§ etikprövningslagen anges vilken forskning som omfattas av lagen. Den bestämmelse som har störst betydelse vid registerforskning är 3 §. Bestämmelsen har följande lydelse.

168Prop. 2002/03:50 s. 91 och 192. 169 Ibid. 170Prop. 2002/03:50 s. 192.

3 §

Denna lag ska tillämpas på forskning som innefattar behandling av

1. känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204), eller

2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen.

Bestämmelsen är tillämplig på forskning som avser uppgifter om levande människor inom alla vetenskapliga områden. Av första punkten framgår att lagen gäller för forskning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL, det vill säga personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa och sexualliv. I andra punkten anges att även forskning som innefattar behandling av personuppgifter om lagöverträdelser som innefattar brott med mera enligt 21 § PUL omfattas av lagens tillämpningsområde.

När lagen infördes krävdes ingen etikprövning vid forskning som innefattade behandling av känsliga personuppgifter eller lagöverträdelser med mera om försökspersonen hade gett sitt uttryckliga samtycke till behandlingen. Bestämmelsen har emellertid ändrats och sedan den 1 juni 2008 krävs en godkänd etikprövning vid all forskning som innebär behandling av de i paragrafen angivna kategorierna av personuppgifter, oavsett om samtycke har lämnats eller inte. Skälet till ändringen var enligt förarbetena att det är fråga om personuppgifter som är potentiellt integritetskränkande och regeringen ansåg att en etikprövning bör göras för att säkerställa skyddet för medverkande personer.171Det faktum att personerna själva har haft möjlighet att ta ställning till behandlingen av personuppgifterna vid inhämtandet av godkännande ansågs inte utgöra tillräcklig grund för att undandra dessa ärenden från den kontroll som en etikprövning innebär.

Enligt 4 § gäller lagen även för forskning som innebär ett fysiskt ingrepp på en levande eller avliden person, utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk för sådan skada. Lagen gäller vidare studier på biologiskt material från en levande eller avliden person, vilket innebär att det behövs etikgodkännande för att använda material från en biobank i ett forskningsprojekt. Vid forskning

171Prop. 2007/08:44 s. 25.

på levande personer enligt denna bestämmelse krävs det att forskningspersonen fått information om forskningsprojektet och att personen lämnat sitt samtycke till att delta i projektet (16–22 §§ etikprövningslagen).

Det kan i sammanhanget nämnas att Sverige har ovanligt hög detaljeringsgrad när det gäller omfattningen av etikprövningslagens tillämpningsområde.172I många andra länders lagstiftning beskrivs tillämpningsområdet på ett mer övergripande sätt, till exempel att etikprövning ska göras vid ”medicinsk forskning” eller ”biomedicinsk forskning på människor”. I annan lagstiftning, såsom i den danska och finska, omfattar etikprövningen endast forskning som innefattar försök på levande och döda människor, inte behandling av personuppgifter. Den svenska etikprövningslagen är inriktad på att skydda de människor som medverkar i forskningen oavsett forskningsområde.

Det följer av 5 § etikprövningslagen att lagen ska tillämpas på forskning som ska utföras i Sverige.

Enligt 4 a § förordning (2003:615) om etikprövning av forskning som avser människor får en regional etikprövningsnämnd lämna rådgivande yttranden över forskning som avser människor i de fall forskningen inte omfattas av etikprövningslagen. Nämnden får också lämna rådgivande yttranden över arbeten som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.

5.5.4. Godkännande

I 6 § etikprövningslagen finns den centrala bestämmelsen om att den forskning som lagen omfattar inte får utföras utan ett etikgodkännande. Forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser med mera enligt 13 och 21 §§ PUL får dessutom utföras bara om behandlingen av personuppgifter har godkänts vid en etikprövning. Bestämmelsen har följande lydelse.

172Prop. 2007/08:44 s. 32 f.

6 §

Forskning som avses i 3–5 §§ får utföras bara om den har godkänts vid en etikprövning. Ett godkännande får förenas med villkor. Ett godkännande skall avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen.

Ett godkännande upphör att gälla, om inte forskningen har börjat utföras senast två år efter det att beslutet om godkännande vann laga kraft.

Ett godkännande enligt denna lag medför inte att forskningen får utföras, om den strider mot någon annan författning.

Enligt förarbetena avses med begreppet att utföra forskning själva genomförandefasen, det vill säga att forskningen påbörjas genom att forskningspersoner rekryteras och material samlas in, att konkreta försök utförs och att den kunskap som kommer fram analyseras och bearbetas.173 Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller på annat sätt avgränsad forskning. Ett projekt är ofta avgränsat med avseende på den vetenskapliga frågeställningen, antalet forskningspersoner, finansiering eller på något annat sätt. Det framgår av förarbetena att den forskning som ska etikprövas måste vara avgränsad i någon mening för att kunna godkännas vid etikprövningen.174 Några generella, principiella godkännanden till att under oöverskådlig framtid få utföra forskning på ett visst material, inom ett visst område eller liknande godkännande kan inte lämnas. En prövning från etiska utgångspunkter anses inte kunna isoleras till enstaka moment i forskningen utan måste bygga på en helhetsbedömning av just den forskning som en viss ansökan avser. Vid prövningen beaktas den aktuella forskningens frågeställningar, syfte, vetenskapliga värde, utförande, risker för forskningspersoner eller för synen på människovärdet, tilltänkta kontakter med forskningspersoner samt forskningsledningens och de deltagande forskarnas kompetens.

I första stycket anges vidare att forskning bara får innefatta behandling av sådana personuppgifter som avses i 3 § om behandlingen har godkänts vid etikprövningen. Innan etikprövningslagen infördes fick känsliga personuppgifter enligt en avvägningsnorm i 19 § första stycket PUL behandlas för forskningsändamål, om behandlingen var nödvändig på det sätt som anges i 10 § PUL och om samhällsintresset av det forsknings- och statistikprojekt där behand-

173Prop. 2002/03:50 s.195. 174 Ibid.

lingen ingick klart vägde över den risk för otillbörligt intrång i den enskildes personliga integritet som behandlingen kunde innebära. Etikprövningslagen medförde att etikprövning av forskning där känsliga personuppgifter ingår blev obligatorisk och möjligheten för forskningshuvudmannen att själv tillämpa avvägningsnormen i 19 § PUL försvann. Följden blev att nämnderna vid etikprövning av forskning som innehåller känsliga personuppgifter också har att ta ställning till behandlingen av känsliga personuppgifter. Vid denna prövning ska nämnden tillämpa i princip samma avvägningsnorm som tidigare fanns i 19 § första stycket PUL.175

Ett beslut vid etikprövning av forskning kan innebära att ansökan avslås, godkänns eller godkänns under vissa villkor. Vid etikprövning av forskning som avser att behandla känsliga personuppgifter eller som berör lagöverträdelser med mera ska det enligt förarbetena ingå att bedöma förutsättningarna för behandlingen av personuppgifterna utan samtycke.176Om nämnden kan konstatera att samtycke bör inhämtas trots att den sökande anser att det inte är nödvändigt eller att formerna för information till forskningspersonerna bedöms bristfälliga har nämnden möjlighet att avslå ansökan. Nämnden kan också besluta om villkor för ett godkännande. För att tillgodose integritetsaspekterna kan nämnden förena beslutet med särskilda villkor, exempelvis krav på samtycke. Även andra villkor, till exempel rätt för forskningspersonen att få uppgifter strukna eller formerna för rekrytering av forskningspersonerna, kan ställas upp som förutsättningar för godkännande.

Av bestämmelsens andra stycke framgår att ett etikgodkännande är begränsat i tid. Genomförandefasen ska ha påbörjats senast två år efter det att beslutet om godkännande vann laga kraft. Planeringsarbete och ordnande av finansiering räknas inte till genomförandefasen.177

I tredje stycket finns en erinran om att etikprövningen inte innebär en prövning av några andra bestämmelser som kan påverka om och hur forskning får genomföras.

175Prop. 2002/03:50 s. 173176Prop. 2007/08:44 s. 26. 177Prop. 2002/03:50 s. 195.

5.5.5. Utgångspunkter för etikprövningen

I 7–11 §§ etikprövningslagen anges de allmänna utgångspunkter som gäller vid etikprövningen. Bestämmelserna har sin bakgrund i artikel 16 i Europarådets konvention om mänskliga rättigheter och biomedicin. Syftet med bestämmelserna är att skydda både människovärdet i stort och den enskilde forskningspersonens välbefinnande.178

Enligt 7 § etikprövningslagen får forskning godkännas bara om den kan utföras med respekt för människovärdet. Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov (8 § etikprövningslagen). Bestämmelserna innebär att välfärden för de människor som deltar i eller på annat sätt ingår i forskning ska gå före samhällets och vetenskapens intressen.179 De medför också enligt förarbetena att man vid etikprövningen bör se längre än till de direkta riskerna för de medverkande. Som exempel på fall där det kan bli aktuellt anges i propositionen forskning som kan innebära genetisk påverkan på kommande generationer.180 I propositionen påpekas att dessa krav kan tala både för och emot forskningen, eftersom människans välfärd i stort ofta gynnas av att forskningen kommer till stånd. Det framhålls också att det från samhällelig synpunkt är mycket viktigt att det skapas möjlighet att genom forskning utveckla ny kunskap.

Av avvägningsregeln i 9 § etikprövningslagen följer att forskning får godkännas endast om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Det anförs i förarbetena till bestämmelsen att det ligger i sakens natur att riskerna i normalfallet måste vara begränsade och att sökanden måste visa att värdet av forskningen verkligen är så högt att det väger tyngre än intresset av att forskningspersonerna skyddas mot risker.181Enligt propositionen ska avvägningen ske i två steg.182Först ska en bedömning av forskningens vetenskapliga bärkraft göras. Forskningen ska kunna generera kunskap som är väl underbyggd. Prövningen avser även till exempel om de metoder som används ger tillförlitliga svar på forskningens

178Prop. 2002/03:50 s. 196. 179Prop. 2002/03:50 s. 98. 180 Ibid. 181Prop. 2002/03:50 s. 196. 182Prop. 2002/03:50 s. 98 f.

frågeställningar eller det problem eller förhållande som forskaren vill belysa. Det anges vidare att som allmänt krav på forskning där människor ska ingå bör gälla att forskningen ska kunna innebära teoretisk och/eller praktisk nytta för samhället och mänskligheten i stort. Efter bedömningen av forskningens vetenskapliga bärkraft ska en avvägning göras mellan riskerna för skada eller obehag och det väntade värdet av den kunskap forskningen sannolikt kan ge. Vid denna så kallade risk-värde-bedömning fastställs om forskningen berör en sådan frågeställning som motiverar ett mänskligt deltagande och om den kan besvara eller belysa frågeställningen på ett korrekt sätt. Vid denna avvägning får riskerna, som det anges i förarbetena, inte stå i bristande proportion till forskningens potentiella allmängiltiga värde.

Forskning får inte godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet (10 § etikprövningslagen). Forskningen bör således bara få genomföras om det inte finns några alternativa likvärdiga metoder som inte innefattar försök på människor eller om det kan utföras annan forskning som visserligen innefattar risker för människor men som innebär mindre risker än i det projekt som ansökan avser.183 Behandling av känsliga personuppgifter eller personuppgifter som rör lagöverträdelser med mera får godkännas bara om den är nödvändig för att forskningen ska kunna utföras (10§ etikprövningslagen andra stycket). Nödvändighetskravet i bestämmelsen motsvarar det som gäller enligt PUL, till exempel enligt 10 § PUL, se avsnitt 5.3.4.7.184

Forskning får godkännas bara om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs (11 § etikprövningslagen).

5.5.6. Utlämnande av personuppgifter

Enligt 12 § etikprövningslagen får personuppgifter lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt. Bestämmelsen har koppling till 24 § PUL. Av bestämmelsen följer att den personuppgiftsansvarige självmant ska informera den registrerade om att uppgifter om honom eller henne behandlas, om uppgifterna samlats in från någon annan källa

183Prop. 2002/03:50 s. 100. 184Prop. 2002/03:50 s. 196.

än den registrerade själv. Det skulle i praktiken innebära att en forskare vid behandling av registeruppgifter som hämtats från myndighetsregister alltid skulle behöva informera de registrerade om behandlingen. Information behöver dock inte lämnas om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Bestämmelsen i 12 § etikprövningslagen är en sådan bestämmelse som medför att en forskare inte automatiskt behöver informera den registrerade om sin behandling.185Däremot kan etikprövningsnämnden ställa villkor om att information ändå ska lämnas till den registrerade.

5.5.7. De regionala etikprövningsnämnderna

Det är forskningshuvudmannens ansvar att ansöka om etikprövning (23 § etikprövningslagen). Etikprövning ska enligt 24 § etikprövningslagen ske vid en regional nämnd. Etikprövningsnämnden prövar även inrättande av biobanker enligt lagen om biobanker i hälso- och sjukvården m.m. i de fall biobanken ska användas för ändamål som avser forskning eller klinisk prövning (2 kap. 3 § biobankslagen)(se avsnitt 5.3.6.6).

Etikprövningen sker i dag vid sex regionala nämnder, som är indelade i två eller flera avdelningar. Minst en avdelning på varje ort prövar ärenden inom det medicinska vetenskapsområdet medan en avdelning prövar ärenden som rör övrig forskning. Varje avdelning består av en ordförande, som är eller har varit ordinarie domare, och femton ledamöter, av vilka tio ska ha vetenskaplig kompetens och fem ska företräda allmänna intressen. De regionala nämndernas kanslier ligger vid universiteten i Göteborg, Linköping, Lund, Umeå och Uppsala och vid Karolinska Institutet (KI) i Stockholm.

Om en nämnd finner att forskningen ger upphov till etiska frågor av ny eller principiell karaktär bör nämnden enligt 28 § etikprövningslagen inhämta yttrande från Vetenskapsrådet (VR) eller andra behöriga myndigheter. Om nämnden är oenig finns en möjlighet att i vissa fall lämna över ärendet för avgörande till Centrala etikprövningsnämnden (29 § etikprövningslagen).

185Prop. 2002/03:50 s. 197.

5.5.8. Centrala etikprövningsnämnden

Om en regional nämnd har avgjort ett ärende och beslutet har gått forskningshuvudmannen emot kan huvudmannen överklaga beslutet hos Centrala etikprövningsnämnden. Centrala etikprövningsnämnden prövar som ovan nämnts även ärenden som en regional nämnd överlämnat på grund av oenighet.

Enligt etikprövningslagen får forskning som faller inom lagens tillämpningsområde inte påbörjas innan den har godkänts av en nämnd. För att detta krav ska upprätthållas krävs en fungerande tillsyn.186Centrala etikprövningsnämnden har uppgiften att utöva tillsyn över efterlevnaden av etikprövningslagen och de föreskrifter som meddelats med stöd av lagen. Tillsynsansvaret omfattar den forskning som inte täcks av det tillsynsansvar som Inspektionen för vård och omsorg (IVO), Läkemedelsverket och Datainspektionen har, bland annat medicinsk grundforskning som bedrivs av annan huvudman än vårdgivare inom hälso- och sjukvården, till exempel i anslutning till lärosätenas medicinska institutioner. Tillsyn kan bli aktuellt vid misstanke att forskning som omfattas av lagen bedrivs utan godkännande eller att forskning bedrivs i strid med villkor som meddelats i samband med ett godkännande.

Centrala etikprövningsnämnden har sitt kansli vid VR i Stockholm. Nämnden består av en ordförande, som är eller har varit ordinarie domare, och sex övriga ledamöter varav fyra ska ha vetenskaplig kompetens och två ska företräda allmänna intressen.

5.5.9. Straff

Den som uppsåtligen byter mot kravet på godkännande enligt 6 § första stycket etikprövningslagen kan enligt 38 § dömas till böter eller fängelse i högst sex månader. I ringa fall döms dock inte till ansvar. Till ansvar döms inte heller om gärningen är straffbelagd enligt någon annan författning.

186Prop. 2002/03:50 s. 163 f.

5.6. Offentlighet och sekretess

5.6.1. Inledning

Vilka möjligheter har forskare att ta del av uppgifter från myndigheter? I Sverige gäller offentlighetsprincipen, som bland annat medför en grundläggande rätt för envar att ta del av allmänna handlingar hos en myndighet. Utgångspunkten är således att den som så önskar, däribland forskare, ska kunna ta del av samtliga allmänna handlingar som förvaras på en myndighet.187I sekretesslagstiftningen finns emellertid undantag från huvudregeln om handlingsoffentlighet som medför att allmänhetens, och däribland forskarnas, möjlighet att ta del av allmänna handlingar begränsas. Bestämmelserna om offentlighet och sekretess är således av avgörande betydelse för forskarnas möjlighet att få ta del av myndigheternas uppgifter. De reglerar också skyddet för de uppgifter forskningshuvudmannen förvarar hos sig.

5.6.2. Offentlighetsprincipen

5.6.2.1 Rätten att ta del av allmänna handlingar

Enligt 2 kap. 1 § TF har varje svensk medborgare, till främjande av ett fritt meningsutbyte och en allsidig upplysning, rätt att ta del av allmänna handlingar.188Med handling avses enligt 2 kap. 3 § TF framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Ordet handling betyder således inte enbart ett papper med skrift eller en bild på utan också till exempel en bandinspelning eller en upptagning för automatiserad behandling. En handling innehåller information av något slag.

En handling är allmän om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos myndigheten (2 kap. 3 § första stycket TF). Det är vanligtvis inte svårt att avgöra om en vanlig pappershandling är att anse som förvarad hos en myndighet. När det gäller information som är lagrad på en hårddisk kan det emellertid vara besvärligare att bedöma. Själva hårddisken med upptagningen för automatiserad behandling kan finnas hos en myndig-

187 Principen medför dock inte någon skyldighet för myndigheten att lämna ut allmän handling i elektronisk form. 188 Rätten avser enligt lagtexten svenska medborgare men ska tillämpas även för andra.

het samtidigt som en annan myndighet har möjligheter att se informationen på bildskärmar eller få utskrifter av upptagningen direkt på egna skrivare. För denna typ av handlingar finns en särskild regel i 2 kap. 3 § andra stycket första meningen TF. Enligt bestämmelsen ska en upptagning anses förvarad hos en myndighet om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller uppfattas på annat sätt. Bestämmelsen innebär att en upptagning för automatiserad behandling som huvudregel anses förvarad både hos den myndighet där upptagningen rent fysiskt finns och hos den myndighet som har åtkomst till upptagningen. Dessutom anses en upptagning för automatiserad behandling förvarad hos en myndighet, om myndigheten kan få utskrifter av upptagningen från någon annan som har hand om upptagningen för myndighetens räkning, till exempel en annan myndighet som ansvarar för databehandling som är gemensam för ett antal myndigheter. Myndigheten behöver alltså inte ha direktåtkomst till upptagningen. Denna regel innebär också att information som rent fysiskt befinner sig utanför Sverige eller för vilken det överhuvudtaget inte går att avgöra var den finns kan vara förvarad hos en eller flera svenska myndigheter.189

Som redovisats ovan finns det två undantag från huvudregeln. Det första finns i 2 kap. 3 § andra stycket andra meningen TF. Enligt denna bestämmelse ska en sammanställning av uppgifter ur en upptagning för automatiserad behandling, en så kallad potentiell handling, anses förvarad hos myndigheten bara om myndigheten kan göra sammanställningen med rutinbetonade åtgärder.190Krävs en mera kvalificerad, konstruktiv insats, till exempel i form av nyskrivning av datorprogram, är upptagningen inte att betrakta som förvarad på myndigheten.191Enligt förarbetena avses med rutinbetonade åtgärder en begränsad arbetsinsats som inte är förknippad med några nämnvärda kostnader.192Bedömningen av om en åtgärd är rutinbetonad får göras med hänsyn till såväl den allmänna tekniska utvecklingen som den tekniska kompetensen och den tekniska utvecklingen hos myndigheten i fråga.

Det bör i sammanhanget förtydligas att för så kallade färdiga elektroniska handlingar gäller huvudregeln i 2 kap. 3 § andra stycket

189 Lenberg, E. m.fl., Offentlighets- och sekretesslagen En kommentar (1 januari 2013, Zeteo) kommentaren till 2 kap. 3 § tryckfrihetsförordningen. 190Prop. 2001/02:70 s. 20. 191Prop. 1975/76:160 s. 90. 192Prop. 2001/02:70 s. 22 och 37.

första meningen TF. Med uttrycket färdig elektronisk handling avses handlingar i elektronisk form med ett bestämt, fixerat innehåll som går att återskapa gång på gång.193Exempel på sådana handlingar är e-brev samt promemorior, protokoll och beslut i elektronisk form. Färdiga elektroniska handlingar ska således anses förvarade hos myndigheten även om det krävs mer än rutinbetonade åtgärder för att göra dem tillgängliga.194

Det andra undantaget från huvudregeln finns i 2 kap. 3 § tredje stycket TF. I bestämmelsen anges att en sammanställning av uppgifter ur en upptagning för automatiserad behandling inte anses förvarad hos en myndighet om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Denna så kallade begränsningsregel gäller även om sammanställningen kan tas fram med rutinbetonade åtgärder.

Regeln innebär att sammanställningar av uppgifter ur upptagningar som en myndighet av hänsyn till skyddet för enskildas integritet inte har rätt att ta fram i sin egen verksamhet inte heller är tillgängliga för allmänheten. En förutsättning för att undantaget ska vara tillämpligt är att det gäller personuppgifter. Med begreppet personuppgifter avses här detsamma som i PUL, dock med den skillnaden att begreppet i TF också omfattar avlidna personer.195

5.6.2.2 I vilken form ska uppgifterna ges ut?

Den som önskar ta del av en allmän handling har rätt att göra det på två olika sätt. Sökanden kan ta del av handlingen genom att myndigheten tillhandahåller den på stället (2 kap. 12 § första stycket TF). Sökanden kan också ta del av handlingen genom att mot en avgift få den utlämnad i avskrift eller kopia (2 kap. 13 § första stycket TF).

Bestämmelserna i TF medför således ingen generell skyldighet för en myndighet att lämna ut en uppgift i elektronisk form. I vissa registerförfattningar finns bestämmelser som reglerar om och i vilka fall personuppgifter får utlämnas i elektronisk form. En myndighet kan också välja att lämna ut allmänna handlingar i elektronisk form i enlighet med förvaltningslagens bestämmelser om serviceskyldighet.196En förutsättning för detta är att inga hinder för ut-

193Prop. 2001/2002:70 s. 20 f. 194Prop. 2001/02:70 s. 38. 195 Ibid. 196SOU 2010:4 s. 77.

lämnande finns i den registerförfattning som gäller för myndigheten. Regeringen har i olika sammanhang uppmanat myndigheterna att lämna ut handlingar på elektronisk väg, även om ingen sådan legal skyldighet föreligger.197

5.6.2.3 Begränsning av rätten att ta del av allmänna handlingar

Som anges ovan medför offentlighetsprincipen att envar har rätt att ta del av allmänna handlingar hos en myndighet. Huvudregeln är således att registeruppgifter som ingår i allmänna handlingar omfattas av offentlighetsprincipen och ska lämnas ut av myndigheten när någon, till exempel en forskare, önskar ta del av dem.

Rätten att ta del av allmänna handlingar får begränsas på de sätt som framgår av 2 kap. 2 § TF. Bestämmelsen har följande lydelse.

2 kap. 2 § TF

Rätten att taga del av allmänna handlingar får begränsas endast om det är påkallat med hänsyn till

1. rikets säkerhet eller dess förhållande till annan stat eller mellanfolklig organisation,

2. rikets centrala finanspolitik, penningpolitik eller valutapolitik,

3. myndighets verksamhet för inspektion, kontroll eller annan tillsyn,

4. intresset att förebygga eller beivra brott,

5. det allmännas ekonomiska intresse,

6. skyddet för enskilds personliga eller ekonomiska förhållanden,

7. intresset att bevara djur- eller växtart. Begränsning av rätten att taga del av allmänna handlingar skall angivas noga i bestämmelse i en särskild lag eller, om så i visst fall befinnes lämpligare, i annan lag vartill den särskilda lagen hänvisar. Efter bemyndigande i sådan bestämmelse får dock regeringen genom förordning meddela närmare föreskrifter om bestämmelsens tillämplighet.

Utan hinder av andra stycket får i bestämmelse som där avses riksdagen eller regeringen tilläggas befogenhet att efter omständigheterna medgiva att viss handling lämnas ut.

Sekretessregleringen är en undantagsreglering i förhållande till offentlighetsprincipen. Sekretess ska därför gälla för uppgifter endast om det finns ett särskilt skyddsvärt intresse. I bestämmelsens första stycke finns en uttömmande uppräkning av vilka intressen som får skyddas genom att allmänna handlingar hålls hemliga, de så kallade

197 Se bland annat prop. 2001/02:70 s. 34.

sekretessgrunderna. Allmänna handlingar får således inte hållas hemliga för att skydda några andra intressen än dem som räknas upp.

Den sekretess som kan bli aktuell vid uttag ur myndigheternas register för forskning är främst sådan sekretess som har sin grund i punkten 6, det vill säga sekretess till skydd för enskilds personliga och ekonomiska förhållanden.

Vilka handlingar som är hemliga ska enligt andra stycket anges i en särskild lag. Den lag som avses är offentlighets- och sekretesslagen, OSL. OSL innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och förbud att lämna ut allmänna handlingar, gemensamt betecknat som sekretess (1 kap. 1 § andra stycket OSL). Utgångspunkten är att det av OSL ska framgå alla de fall då allmänna handlingar är hemliga.198 Punkterna 1–5 och 7 i 2 kap. 2 § TF motsvaras av 15–20 kap. i OSL. Punkten 6 som reglerar skyddet för enskilds personliga eller ekonomiska förhållanden motsvaras av femte avdelningen (21–40 kap.) i OSL. Det är tillåtet att ta in bestämmelser om hemliga handlingar i andra lagar, men då ska OSL hänvisa dit.

Regeringen ges i andra stycket rätt att besluta om kompletterande föreskrifter. Sådana regeringsföreskrifter finns samlade i offentlighets- och sekretessförordningen (2009:641), OSF.

I det tredje stycket har regeringen och riksdagen fått befogenhet att genom särskilda föreskrifter i sekretessbestämmelserna ge dispens från sekretessen.

5.6.3. Offentlighets- och sekretesslagen

5.6.3.1 Sekretessbestämmelsernas uppbyggnad

OSL innehåller bestämmelser om myndigheters och vissa andra organs handläggning vid registrering, utlämnande och övrig hantering av allmänna handlingar (1 kap. 1 § OSL). Som anges ovan innehåller lagen också bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar.

OSL utgör ett undantag från offentlighetsprincipen och sekretess ska därför gälla endast om det finns ett särskilt skyddsvärt intresse. Utgångspunkten är att sekretess endast ska gälla i den omfattning som är nödvändig för att skydda det intresse som föranlett bestämmelsen.199För att så tydligt som möjligt klargöra sekretessens om-

198 Lenberg, E. m.fl., Offentlighets- och sekretesslagen En kommentar (1 januari 2013, Zeteo), kommentaren till 2 kap. 2 § tryckfrihetsförordningen. 199SOU 2003:99 s. 79.

fattning är sekretessbestämmelserna som regel utformade med hjälp av tre olika slags rekvisit. Dessa anger föremålet för sekretessen, sekretessens räckvidd och sekretessens styrka.200Med föremålet för sekretessen avses vilket slags uppgift som sekretessregleringen avser, till exempel personliga och ekonomiska förhållanden. Sekretessen räckvidd anger inom vilken verksamhet eller i vilken typ av ärenden sekretessbestämmelsen gäller. I undantagsfall hänvisas också till en viss bestämd myndighet. Om inget annat anges är bestämmelsen tillämplig inom hela den offentliga förvaltningen. Sekretessens styrka anges genom ett skaderekvisit.

Skaderekvisit

Som anförts ovan medför offentlighetsprincipen att sekretess ska gälla endast i den omfattning som är nödvändig för att skydda det intresse som ligger till grund för bestämmelsen.201Ett sätt att åstadkomma detta är att använda så kallade skaderekvisit, det vill säga särskilda rekvisit som anger vilken styrka sekretessen har. Det finns i huvudsak två olika typer av skaderekvisit, det raka och det omvända. Vid ett rakt skaderekvisit är utgångspunkten offentlighet. Det uttrycks i lagtexten genom att sekretess gäller om det kan antas att en viss skada inträffar om uppgiften röjs. Vid ett omvänt skaderekvisit föreligger en presumtion för att uppgifterna omfattas av sekretess. Sekretessen uttrycks i dessa fall genom att sekretess gäller om det inte står klart att uppgiften kan röjas utan skada och men. I vissa fall kan sekretessen vara absolut. Det innebär att någon skade- och menprövning inte ska göras och att uppgiften inte kan lämnas ut.

Förbehåll

En myndighet ska också alltid ta ställning till om uppgifter som är sekretessbelagda ändå kan lämnas ut med förbehåll. Av 10 kap. 14 § OSL följer att om en myndighet finner att sådan risk för skada, men eller annan olägenhet som enligt en sekretessbestämmelse hindrar att en uppgift lämnas ut kan undanröjas genom ett förbehåll som inskränker rätten att lämna uppgiften vidare eller utnyttja den ska

200SOU 2003:99 s. 78. 201SOU 2003:99 s. 131.

myndigheten göra ett sådant förbehåll när uppgiften lämnas ut. Bestämmelsen ska bara tillämpas vid utlämnande till enskilda.

Skada och men

Vad avses med uttrycket ”skada och men” i OSL? Enligt förarbetena till den tidigare sekretesslagen (1980:100) avser begreppet ”skada” ekonomisk skada.202 Begreppet ”men” ansågs lämpligt att använda avseende integritetskränkningar. Uttrycket ”men” har, enligt förarbetena, en mycket vid innebörd. I första hand åsyftas sådana skador som att någon blir utsatt för andras missaktning om dennes personliga förhållanden blir kända. Redan den omständigheten att vissa personer känner till en för någon enskild ömtålig uppgift kan anses vara tillräckligt för att medföra men. Den berörda personens egen upplevelse ska vara utgångspunkten vid en bedömning av om men föreligger. Vid bedömningen bör dock viss hänsyn kunna tas till gängse värderingar i samhället.

Enskilds personliga eller ekonomiska förhållanden

Begreppet ”enskilds personliga och ekonomiska förhållanden” är hämtat från 2 kap. 2 § första stycket 6 TF. I förarbetena till sekretesslagen anfördes att det inte var nödvändigt att göra någon analys av begreppets innebörd.203 Innebörden av begreppet personliga förhållanden får i stället bestämmas med ledning av vanligt språkbruk. I propositionen anges som exempel på personliga förhållanden en persons adress eller yttringar av ett psykiskt sjukdomstillstånd. Uppgifter om en persons ekonomi faller också under begreppet personliga förhållanden. Personliga och ekonomiska förhållanden bör emellertid enligt förarbetena hållas isär, bland annat för att sekretessregleringen också avser juridiska personer, som ju inte kan säga ha några ”personliga förhållanden”.

För att en enskild ska lida skada eller men krävs det att uppgifterna är hänförliga till en viss individ.204Det innebär enligt förarbetena att man i allmänhet bör kunna lämna ut så kallade avidentifierade

202Prop. 1979/80:2 Del A s. 83, SOU 2003:99 s. 138 ff. 203Prop. 1979/80:2 Del A s. 84. 204Prop. 1979/80:2 Del A s. 84.

uppgifter utan risk för att skada eller men uppkommer.205 Sekretessen gäller nämligen endast när det finns ett samband mellan en individ och uppgiften. I propositionen anförs det vidare att det i enstaka fall kan tänkas att en avidentifiering inte är tillräcklig för att hindra att sambandet mellan individen och uppgiften spåras. Huruvida en sådan risk föreligger får bedömas efter omständigheterna i del enskilda fallet.

Överföring av sekretess och primär och sekundär sekretess

Det är en grundläggande princip i sekretessregleringen att sekretess inte överförs automatiskt mellan myndigheter.206 En sekretessbestämmelse som gäller för en uppgift hos en myndighet blir inte utan särskild reglering tillämplig hos en annan myndighet när uppgiften lämnas dit. Detta beror bland annat på att behovet av och styrkan i en sekretess inte kan bestämmas enbart med hänsyn till sekretessintresset.207Detta måste i varje sammanhang vägas mot intresset av insyn i myndigheternas verksamhet. Denna avvägning kan resultera i en annan bedömning utanför det område där en sekretessregel gäller. Kravet på offentlighet kan således innebära att de uppgifter som behandlas som hemliga hos en myndighet är offentliga hos en annan myndighet som har inhämtat dem hos den förstnämnda.

För att uppgiften hos den mottagande myndigheten ska omfattas av sekretess krävs det att det finns en sekretessbestämmelse som är tillämplig för den mottagande myndigheten, så kallad primär sekretess. Med en primär sekretessbestämmelse avses enligt 3 kap. 1 § OSL en sekretessbestämmelse som en myndighet ska tillämpa på grund av att bestämmelsen riktar sig direkt till myndigheten eller omfattar viss verksamhetstyp eller ärendetyp som hanteras hos myndigheten eller omfattar vissa uppgifter hos myndigheten. Ett alternativ är att det finns en särskild överföringsbestämmelse som medför att sekretessen sprids utanför sitt ursprungliga tillämpningsområde, en sekundär sekretess. Enligt definitionen i 3 kap. 1 § OSL är en sekundär sekretessbestämmelse en bestämmelse om sekretess som en myndighet ska tillämpa på grund av en bestämmelse om överföring av sekretess.

205 Avidentifierade uppgifter får här förstås som vad som i denna utredning benämns anonymiserade uppgifter, det vill säga även kodade uppgifter. 206Prop. 2008/09:150 s. 315. 207Prop. 1979/80:2 Del A s. 75 f.

Om det finns flera primära sekretessbestämmelser till skydd för samma uppgift hos en myndighet ska myndigheten tillämpa den bestämmelse som ger det starkaste sekretesskyddet.208 I de fall en uppgift överförs från en myndighet till en annan och det finns en primär sekretessbestämmelse som är tillämplig på uppgiften hos den mottagande myndigheten gäller den bestämmelsen före en sekundär sekretessbestämmelse. Detta gäller oavsett den primära sekretessens styrka, det vill säga även om det skulle innebära ett svagare skydd än den sekundära bestämmelsen skulle ha gjort.209

5.6.3.2 Myndigheternas sekretessprövning

Enligt 2 kap. 14 § TF är det alltid den myndighet som förvarar en handling som ska pröva om den kan lämnas ut. En allmän handling som får lämnas ut ska tillhandahållas genast eller så snart som möjligt (2 kap. 12 § TF), vilket innebär att en begäran att ta del av handlingen ska prövas skyndsamt av myndigheten.210

När någon, till exempel en forskare, begär ut en uppgift ur en myndighets register ska myndigheten inledningsvis ta ställning till om uppgiften finns i en allmän handling. Om så är fallet medför offentlighetsprincipen som framgått ovan att handlingen som huvudregel är offentlig och ska lämnas ut. Uppgiften kan emellertid omfattas av sekretess. Myndigheten ska då bedöma om uppgiften kan hänföras till en enskild och om det innebär skada och men för den enskilde eller dennes närstående om uppgiften lämnas ut, en så kallad skade- och menprövning eller utlämnandeprövning. Om en skade- och menprövning resulterar i slutsatsen att de uppgifter som begärs ut omfattas av sekretess får uppgifterna inte lämnas ut. Det kan emellertid finnas sekretessbrytande bestämmelser som är tillämpliga och som bryter igenom sekretesskyddet och medger att uppgifterna ändå får lämnas ut.

I vissa fall är sekretessen absolut. Någon skade- och menprövning ska då inte göras. Uppgifterna kan dock eventuellt ändå lämnas ut med stöd av en sekretessbrytande bestämmelse.

Det bör noteras att det endast är specifika uppgifter som kan skyddas av sekretess, inte de handlingar i vilka uppgifterna förekommer. I de fall vissa uppgifter i en handling får lämnas ut och andra

208Prop. 1979/80:2 Del A s. 70, prop. 2008/09:150 s. 316. 209 Ibid. 210SOU 2010:4 s. 63.

inte ska de uppgifter som inte kan lämnas ut strykas över eller uteslutas på annat sätt, så att handlingen i övrigt kan lämnas ut (2 kap. 12 § första stycket TF).

Om myndigheten kommer fram till att de begärda uppgifterna inte går att lämna ut ska myndigheten meddela den som har begärt uppgifterna sin bedömning och skälen till att handlingen eller delar av den inte lämnas ut. Den enskilde har rätt till ett skriftligt avslagsbeslut. En myndighets beslut att inte lämna ut en handling till den enskilde, att lämna ut en handling med förbehåll eller att avslå den enskildes begäran att själv använda tekniska hjälpmedel för att ta del av upptagningar för automatiserad behandling överklagas enligt huvudregeln till kammarrätten (6 kap. 8 § första stycket OSL). Även i de fall klaganden är en juridisk person eller kommunal myndighet ska beslutet överklagas till kammarrätten. Av tredje stycket följer att beslut av en tingsrätt och som gäller handling i domstolens rättsskipande eller rättsvårdande verksamhet dock överklagas till hovrätten. Ett avslagsbeslut som meddelats av en statlig myndighet som lyder under regeringen överklagas av en annan sådan myndighet till regeringen (6 kap. 8 § fjärde stycket OSL).

5.6.3.3 Utlämnandeprövningen

Vad ska myndigheterna beakta vid utlämnandeprövning vid rakt respektive omvänt skaderekvisit? Vid rakt skaderekvisit finns det som ovan anförts en presumtion för offentlighet. Den som ska tillämpa det raka skaderekvisitet kan göra sin bedömning inom ganska vida ramar.211Prövningen ska göras utifrån själva uppgiften och någon bedömning av det enskilda fallet behöver inte alltid göras. Det är i stället uppgiften i sig som är avgörande för om ett utlämnande kan vara ägnat att skada det intresse som ska skyddas av sekretessen. Om uppgiften är sådan att den typiskt sett skulle betraktas som harmlös ska den normalt falla utanför sekretessen. Om uppgiften i stället är sådan att den lätt kan komma att missbrukas ska den i de flesta fall omfattas av sekretess. Det är således arten av den uppgift som efterfrågas som är av avgörande betydelse.

En grundsats som hör samman med offentlighetsprincipen är att den som begär en uppgift hos en myndighet inte ska behöva legitimera sig och tala om varför han eller hon vill ta del av en viss upp-

211Prop. 1979/80:2 Del A s. 80, SOU 2003:99 s. 131.

gift.212Enligt 2 kap. 14 § tredje stycket TF får en myndighet inte på grund av att någon begär att få ta del av en handling efterforska vem han eller hon är eller i vilket syfte handlingen begärs i större utsträckning än som behövs för att myndigheten ska kunna pröva om det föreligger hinder att lämna ut handlingen. Ett rakt skaderekvisit innebär vanligtvis att den som gör skadebedömningen inte behöver frångå denna princip. Vem som begär uppgiften och vad den ska användas till ska som huvudregel inte inverka på bedömningen. Frågan om vem som begär en uppgift eller ändamålet med begäran kan emellertid ändå få betydelse när sekretessfrågan ska avgöras. Om det i ett särskilt fall framgår att den som begär att få ut en uppgift för vilken det gäller sekretess enligt ett rakt skaderekvisit kommer att använda uppgiften till skada eller men för den uppgiften rör gäller sekretess just för den uppgiften. Utgångspunkten är dock inte att tjänstemannen själv ska försöka utröna om omständigheterna är sådana som beskrivits i ett visst utlämnandefall. En sådan åtgärd bör enligt förarbetena endast förekomma om det finns särskild anledning till det.

Vid ett omvänt skaderekvisit är, som framgått ovan, sekretess huvudregel. I sådana fall har tillämparen i praktiken ett begränsat utrymme för sin bedömning.213För att kunna bedöma om en uppgift omfattas av sekretess vid tillämpningen av ett omvänt skaderekvisit måste hänsyn tas till samtliga omständigheter i det enskilda fallet. Många gånger måste handläggaren ta reda på mottagarens identitet och avsikter för att kunna avgöra om uppgifterna ska lämnas ut. Upplysningar om sökandens identitet och avsikter kan dock medföra att det framstår som oskadligt att lämna ut uppgifterna.

5.6.3.4 Massuttag

Det omvända skaderekvisitet kan medföra problem vid så kallade massuttag, det vill säga uttag av en stor mängd uppgifter. Möjligheten till massuttag är en förutsättning för registerforskning och sådana uttag sker i dag ofta av uppgifter som skyddas av statistiksekretess. Vid massuttag är det vanligtvis omöjligt att avgöra vilken risk för skada eller men som föreligger för varje enskild person. I förarbetena till sekretesslagstiftningen finns vissa uttalanden som rör massuttag. Det anförs att situationen i sådana fall är sådan att tjänstemannen

212Prop. 1979/80:2 Del A s. 81, SOU 2003:99 s. 132. 213Prop. 1979/80:2 Del A s. 82, SOU 2003:99 s. 132.

av naturliga skäl inte kan bilda sig en uppfattning om den särskilda skaderisk som kan vara förbunden med en enskild uppgift.214Kunskaper om beställarens identitet och avsikt med uppgifterna i förening med den skaderisk som typiskt sett är förbunden med uppgifter som avses med beställningen bör enligt förarbetena vara ett fullt tillräckligt underlag för en sekretessbedömning. Dessa förarbetsuttalanden talar för att det är möjligt med en sekretessprövning vid massuttag. Uttalandena i förarbetena följer emellertid i anslutning till uttalanden om det raka skaderekvisitet.215Det har lett till en diskussion inom den juridiska doktrinen om förarbetsuttalandena gäller även vid omvänt skaderekvisit. I diskussionen har framförts att det inte kan tas för givet att uttalanden om massuttag ska anses gälla även uppgifter som är skyddade av den starkare sekretessen.216Andra menar däremot att det är möjligt att efter en objektiv prövning lämna ut uppgifter även genom massuttag vid ett omvänt skaderekvisit.217Förekomsten av bestämmelsen om statistiksekretess visar detta, eftersom sådana uttag i regel sker genom massuttag. Det har anförts att lagstiftarens tanke inte kan ha varit att den utlämnande myndigheten ska göra en individuell prövning i dessa fall. Ett omvänt skaderekvisit betyder inte, har det anförts, att den enskildes inställning måste efterforskas i varje enskilt fall, utan avgörande är vem som begär ut uppgifterna, för vilket syfte och vilket sekretesskydd uppgifterna har hos mottagaren. En annan tolkning av förarbetena är inte möjlig. Uppgifter som regleras med omvänt skaderekvisit skulle annars inte kunna lämnas ut eftersom en skadeprövning inte kan genomföras av resursskäl.

5.6.3.5 Sekretess som kan gälla hos de myndigheter från vilka forskare begär uppgifter

Det är i huvudsak OSL och OSF som styr i vilka fall en myndighet får lämna ut uppgifter för forskning och andra ändamål. Här följer en översiktlig genomgång av några av de bestämmelser som reglerar möjligheten för forskare att få del av uppgifter.

214Prop. 1979/80:2 Del A s. 81. 215 Ibid. 216 Rynning, E.,Förvaltningsrättslig tidskrift 2003, s. 107. 217 von Essen, U.,Förvaltningsrättslig tidskrift 2003, s. 206 f, Ekroth,J., Förvaltningsrättslig tidskrift, 2005, s. 418.

Statistiksekretess

Den sekretess som oftast är aktuell när en forskare begär ut uppgifter från en myndighet är den så kallade statistiksekretessen, som regleras i 24 kap. 8 § OSL. Bestämmelsen har följande lydelse.

24 kap 8 §

Sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller annan jämförbar undersökning som utförs av Riksrevisionen eller riksdagsförvaltningen eller, i den utsträckning regeringen meddelar föreskrifter om det, av någon annan myndighet. Uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år, om uppgiften avser en enskilds personliga förhållanden, och annars i högst tjugo år.

Enligt bestämmelsens första mening gäller sekretess i sådan särskild verksamhet hos en myndighet som avser framställning av statistik. Statistik kan framställas för att användas som underlag för ett beslut i ett ärende hos en myndighet. Det är emellertid inte sådan verksamhet som avses. I stället är det fråga om en mera allmänt utredande verksamhet utan anknytning till något särskilt ärende.218Bestämmelsen reglerar sekretessen hos många av de myndigheter som ansvarar för register som är intressanta för registerbaserad forskning. Som exempel kan nämnas den statistikproduktion som sker vid statistikansvariga myndigheter, såsom SCB, Socialstyrelsen, BRÅ och Försäkringskassan.219

Enligt bestämmelsen andra mening gäller sekretess även för med statistik jämförbar undersökning inom Riksrevisionen eller riksdagsförvaltningen. Även myndigheter under regeringen har möjlighet att sekretessbelägga uppgifter i andra med statistik jämförbara undersökningar, förutsatt att regeringen föreskrivit det. Regeringen har

218Prop. 1979/80:2 Del A s. 263. 219SOU 2012:83 s. 138 f.

med stöd av bestämmelsen meddelat föreskrifter om sekretess i 7 § OSF.

I 7 § OSF regleras sekretess för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden i en mängd myndigheter avseende vissa särskilda undersökningar. För dessa uppgifter gäller föreskrifterna i 24 kap. 8 § första stycket tredje meningen och andra stycket OSL, om inte en längre gående begränsning i sekretessen anges i bestämmelsen. Till exempel gäller sekretess för uppgifter om enskildas personliga förhållanden i miljömedicinska, socialmedicinska, psykiatriska eller andra medicinska studier som utförs av sjukvårdsinrättningar, utbildningsanstalter och forskningsinrättningar.

I prop. 2013/14:162 föreslås vissa ändringar i statistiksekretessen. Bland annat föreslås att så kallade andra jämförbara undersökningar som utförs inom det statliga kommittéväsendet och av Statskontoret ska omfattas av statistiksekretess utan att regeringen meddelar föreskrifter om det. Den andra ändringen innebär att paragrafen delas upp i fler stycken, i syfte att göra bestämmelserna mer överskådliga och lättare att tillämpa. Lagändringarna föreslås träda i kraft den 1 augusti 2014.

Statistiksekretessen gäller oavsett varifrån uppgiften härrör eller hur den kommit till myndigheten.220 Det är alltså inte ändamålet med uppgiften utan verksamheten vari den förekommer som är avgörande. Det kan leda till att en uppgift hos en myndighet är offentlig inom en handläggande avdelning men sekretessbelagd inom en avdelning som framställer statistik. En uppgift som är offentlig hos en myndighet som samlat in den av administrativa skäl blir sekretessbelagd hos en annan myndighet som hämtar in uppgiften för att upprätta statistik.

Sekretessen gäller för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Härigenom skyddas inte bara sådana uppgifter som innehåller identitetsbeteckningar som namn och personnummer på en enskild utan även uppgifter som på något sätt kan hänföras till en viss enskild.221

Bestämmelsen innehåller inte något skaderekvisit. Statistiksekretessen är således absolut och det är som huvudregel förbjudet att lämna ut några som helst uppgifter. Skälen till den starka statistiksekretessen diskuteras i förarbetena till den tidigare sekretesslagen. I propositionen konstateras att det i fråga om statistikuppgifter finns

220Prop. 1979/80:2 Del A s. 263. 221 Ibid.

en intressekonflikt mellan önskemålet om allmän insyn i statistiskt primärmaterial och hänsynen till den enskildes integritet.222 Ett skäl att ha en långtgående sekretess är att offentlighetsintresset på denna punkt ter sig förhållandevis svagt. Integritetsintresset är däremot påtagligt. Det anges vidare i propositionen att registeruppgifter från exempelvis SCB visserligen var för sig är tämligen harmlösa, men att en sammanställning av sådana uppgifter ofta är integritetskänslig. Behovet av ett starkt sekretesskydd beträffande statistiken beror också, enligt propositionen, på att statistikkvaliteten blir dålig om inte den enskilde uppgiftslämnaren är säker på att hans uppgifter inte kommer ut.

Det finns fyra undantag från regeln om absolut sekretess. Det undantag som är mest relevant i forskningssammanhang är det som anges i bestämmelsens tredje mening. Där anges att uppgifter som behövs för forsknings- eller statistikändamål får lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. I dessa fall gäller således ett omvänt skaderekvisit. Möjligheten till utlämnande för forskningsändamål är avsedd att tillämpas mycket restriktivt.223

Det andra undantaget som kan bli aktuellt vid uttag av uppgifter för forskningsändamål framgår av samma mening i bestämmelsen. Där anges att uppgift som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde får lämnas ut. Det får dock endast ske under förutsättning att det står klart att uppgiften kan röjas utan att den enskilde eller denne närstående lider skada eller men. Undantaget infördes för att tillgodose behovet av detaljerad statistik.224 Bestämmelsen avser inte endast utlämnande till forsknings- och statistikändamål, utan är generellt tillämplig. Med ”därmed jämförbart förhållande” åsyftas enligt förarbetena bilnummer, telefonnummer, anställningsnummer, fastighetsbeteckning och så vidare. Begreppet enskild omfattar också avliden.

222Prop. 1979/80:2 Del A s. 262. 223Prop. 1994/95:200 s. 38. 224Prop. 1979/80:2 Del A s. 264.

Hälso- och sjukvårdssekretess

En viktig källa till information för forskare, främst på det medicinska området, är personuppgifter som hämtas från journaler eller från ett nationellt, regionalt eller lokalt kvalitetsregister. Sådana uppgifter skyddas av sekretess enligt 25 kap. 1 § OSL. Bestämmelsen har följande lydelse.

25 kap. 1 §

Sekretess gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Detsamma gäller i annan medicinsk verksamhet, exempelvis rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, omskärelse och åtgärder mot smittsamma sjukdomar.

Första stycket gäller inte om annat följer av 7, 8 eller 10 § eller 26 kap. 6 §.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Med uttrycket hälso- och sjukvård avses för det första den öppna och slutna sjukvård för vilken grundläggande bestämmelser finns i hälso- och sjukvårdslagen (1982:763).225Hit hör också förebyggande medicinska hälsovård, till exempel verksamhet på mödra- och barnavårdscentralerna och inom psykiatrisk barn- och ungdomsvård. Också tandvården hör till hälso- och sjukvården. Bestämmelsen omfattar vidare verksamhet som utgör en del i annan typ av förvaltning, till exempel elevhälsan inom skolväsendet, eller sjukvård inom socialtjänsten, kriminalvården eller försvarsmakten. Vidare omfattas företagshälsovården i det allmännas verksamhet.

Bestämmelsen är endast tillämplig på sådan hälso- och sjukvård och annan medicinsk verksamhet som är individuellt inriktad. Miljö- och samhällsmedicin och annan förebyggande hälsovård av mera generell karaktär faller således utanför tillämpningsområdet.

Sekretessen enligt 25 kap 1 § OSL tar sikte på den hälso- och sjukvård som bedrivs av det allmänna i sjukhus och andra vårdinrättningar samt verksamheten vid inrättningar för öppen vård till exempel distriktsläkarmottagningar och folktandvårdskliniker. Utanför bestämmelsens tillämpningsområde faller däremot verksamhet vid sjukhus och andra liknande inrättningar som drivs av enskilda.

225Lenberg E. m.fl., Offentlighets- och sekretesslagen En kommentar (1 januari 2013, Zeteo) kommentaren till 25 kap. 1 §.

För sådan verksamhet gäller i stället föreskrifterna om tystnadsplikt i patientsäkerhetslagen (2010:659).

Sekretessregleringen gäller också ”i annan medicinsk verksamhet”. Med detta uttryck avses verksamhet som inte primärt har vård- eller behandlingssyfte, till exempel verksamhet som bedrivs hos Rättsmedicinalverket. I lagtexten exemplifieras sådan verksamhet med rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, omskärelse och åtgärder mot smittsamma sjukdomar.

Sekretessen i 25 kap. 1 § OSL ska iakttas av all den personal som är verksam inom det allmännas hälso- och sjukvård, oavsett om verksamheten avser det egentliga vårdarbetet eller administrativt, ekonomiskt eller tekniskt arbete. Bestämmelsen är således tillämplig för exempelvis läkare, sjuksköterskor och barnmorskor men även för apotekare, arbetsterapeuter, logopeder, läkarsekreterare, psykologer, kuratorer, psykoterapeuter, sjukgymnaster, sjukhusfysiker, sjukvårdsbiträden, skriv- och ambulanspersonal, telefonister och vaktmästare.

Sekretessen omfattar uppgift om enskildas hälsotillstånd eller andra personliga förhållanden. Bestämmelsen avser uppgifter om den vårdbehövande eller därmed jämställda personer samt uppgifter som en vårdbehövande lämnar om andra personer, exempelvis närstående, grannar eller arbetskamrater.226

Enligt 25 kap. 1 § gäller sekretess om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Det föreligger således en presumtion för att uppgifter om en enskilds hälsotillstånd eller andra personliga förhållanden i hälso- och sjukvården, till exempel uppgifter i kvalitetsregister (se avsnitt 5.3.6.3) inte ska lämnas ut. Frågan om uppgifter kan lämnas ut måste avgöras efter en skadeprövning från fall till fall, med beaktande av samtliga omständigheter. Om uppgifter lämnas ut från den allmänna hälso- och sjukvården till forskningsändamål följer det av 11 kap. 3 § OSL att hälso- och sjukvårdssekretessen blir tillämplig på uppgiften även hos den mottagande myndigheten. Om det finns en primär sekretessbestämmelse hos den mottagande myndigheten ska dock den gälla i första hand.

226 Lenberg E. m.f., Offentlighets- och sekretesslagen En kommentar (1 januari 2013, Zeteo), kommentaren till 25 kap. 1 §.

Sekretess på grund av behandling i strid med personuppgiftslagen

En annan sekretessbestämmelse som aktualiseras oavsett från vilken myndighet forskare begär ut data är 21 kap. 7 § OSL. Bestämmelsen har följande lydelse.

21 kap. 7 §

Sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen.

Uttrycken personuppgift och behandling i bestämmelsen har samma innebörd som i PUL. Med personuppgifter avses således all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Till skillnad från sekretessbestämmelser som gäller till skydd för ”uppgift om enskilds personliga förhållanden” kan sekretessen enligt denna paragraf således inte gälla till skydd för avlidna. Uttrycket ”behandling” definieras i 3 § PUL (se avsnitt 5.3.4.2).

Bestämmelsen är tillämplig hos sådana myndigheter som är personuppgiftsansvariga eller som annars har tillgång till personuppgifter. Paragrafen innehåller ett förbud att lämna ut personuppgifter om det kan antas att uppgifter efter utlämnandet kommer att behandlas i strid med bestämmelserna i PUL. Om det är fråga om känsliga personuppgifter hänvisar PUL till etikprövningslagen. Det krävs således även att bestämmelserna i etikprövningslagen är uppfyllda för att sekretess inte ska gälla. Bestämmelsen innebär att den utlämnande myndigheten måste undersöka hur uppgifterna kommer att behandlas hos den som har begärt ut dem, till exempel hos den forskningshuvudman som uppgifterna ska lämnas ut till.

Bestämmelsen har utsatts för kritik. Problemen med bestämmelsen diskuteras bland annat i E-offentlighetskommitténs slutbetänkande Allmänna handlingar i elektronisk form – offentlighet och inte-

gritet.227I betänkandet konstateras att den sekretess som föreskrivs

i 21 kap. 7 § OSL är försedd med ett rakt skaderekvisit. Detta innebär att utgångspunkten är att uppgifterna ifråga är offentliga och att sekretess endast gäller om det kan antas att viss skada uppstår om uppgiften lämnas ut. Avsikten vid användningen av raka skaderekvisit är att skadebedömningen ska kunna göras med utgångspunkt i själva uppgiften och att myndighetens tjänstemän inte

227SOU 2010:4 s. 320 ff. Se också JO:s yttranden dnr 1102-2004 och 1849-2004.

ska behöva ta reda på vem som begär ut en uppgift eller ändamålet med begäran. Beträffande sekretessen i 21 kap. 7 § OSL har emellertid inte arten av den uppgift som begärs utlämnad direkt betydelse för prövningen av skaderekvisitet och därmed för frågan om när myndigheten får efterforska vad sökanden ska använda uppgifterna till. I stället är det avgörande för om en efterforskning bör göras om det på grund av någon omständighet kring sökandens begäran kan antas att sökande kommer att hantera uppgifterna på ett sätt som strider mot PUL. Kommittén konstaterar att sekretessbestämmelsen i 21 kap. 7 § OSL inskränker den enskildes möjligheter att åberopa sin rätt enligt 2 kap. 14 § tredje stycket TF att inte behöva uppge sitt namn eller sitt syfte med att önska studera en viss handling. För att offentlighetsprincipen ska kunna upprätthållas effektivt är det av vikt att den enskilde kan förbli anonym.

Kommittén framför vidare att bestämmelsen i 21 kap. 7 § OSL bryter mot systematiken i OSL genom att skaderekvisitet tar sikte på skada eller men som kan tänkas uppkomma på grund av att den som fått del av uppgiften kan komma att bryta mot bestämmelserna i PUL. Utgångspunkten är annars att skaderekvisiten tar sikte på skada eller men som kan uppkomma genom själva utlämnandet av uppgifterna. Vidare har det framförts att den praktiska tillämpningen av bestämmelsen är problematisk. Den som ska tillämpa bestämmelsen måste göra mer eller mindre väl underbyggda antaganden om avsikt och syfte hos den som begär att få ut uppgifter för vilka ingen sekretess råder i övrigt. En utlämnande myndighet tvingas göra antaganden om en ännu inte påbörjad behandling av personuppgifter omfattas av PUL och om den i så fall kan tänkas strida mot lagens bestämmelser. Kommittén anför att detta inte bara öppnar för skönsmässiga bedömningar utan också strider mot huvudprincipen att offentlighetsprincipen förutsätter att myndigheten inte ska efterforska vem sökanden är eller hur han eller hon tänker använda uppgifter ur en allmän handling efter utlämnandet. Enligt kommittén har det från myndighetshåll påpekats att bestämmelsen är svår att tillämpa. Det är svårt att bedöma om PUL över huvud taget kommer bli tillämplig på den behandling som sökanden kan antas företa och bedöma hur en tillämpning av PUL skulle kunna tänkas utfalla i det enskilda fallet. Det anförs att många myndigheter uppfattar denna prövning som komplicerad och att den ger utrymme för subjektiva bedömningar.

Trots att kommittén kunde instämma i den kritik som framförts mot bestämmelsen ansåg den inte att det var lämpligt att upphäva

bestämmelsen utan lämnade i stället förslag till förtydligande av sekretessbestämmelsen i 21 kap. 7 § OSL.228

Räckvidden av bestämmelsen i 21 kap. 7 § OSL diskuteras även i VR:s rapport Rättsliga förutsättningar för en databasinfrastruktur för

forskning.229Det anförs att en behandling av personuppgifter är i

strid med PUL inte bara om den saknar laglig grund utan även om exempelvis informationskrav och säkerhetskrav inte uppfylls. Det kan därför diskuteras hur långt den utlämnande myndigheten ska orientera sig i forskarens verksamhet och dessa omfattande frågor, särskilt med tanke på att bestämmelsen innehåller ett rakt skaderekvisit. Det anförs att det finns olika uppfattningar bland de statistikansvariga myndigheterna i denna fråga.

5.6.3.6 Sekretessbrytande bestämmelser

Som huvudregel gäller sekretess även mellan myndigheter (8 kap. 1 § OSL). Det har dock ansetts att sekretessregleringen inte bör hindra myndigheterna från att utväxla uppgifter i de fall där intresset av att uppgifterna lämnas ut bör ha företräde framför det intresse som sekretessen ska skydda. Ett antal sekretessbrytande bestämmelser och undantag från sekretessen har därför införts i lagen. De flesta av dem är samlade i 10 kap. OSL. Även om sekretess gäller för en viss uppgift enligt någon annan bestämmelse i lagen får handlingen ändå lämnas ut om någon av bestämmelserna i 10 kap. OSL är tillämplig. Till exempel hindrar inte sekretess att en uppgift lämnas till en annan enskild eller till en myndighet om den enskilde samtycker till det (10 kap. 1 § OSL) eller om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet (10 kap. 2 § OSL).

Sekretessbrytande bestämmelser och undantag för forskningsändamål

Det finns inte någon allmän bestämmelse i OSL som medger undantag från sekretess för forskningsändamål. I förarbetena till den tidigare sekretesslagen diskuterades möjligheten att införa en särskild dispensbefogenhet för forskningsändamål.230 En sådan reglering ansågs

228SOU 2010:4 s. 333 f. 229 Rättsliga förutsättningar för en databasinfrastruktur för forskning 11:2010 Vetenskapsrådet s. 90. 230Prop.1979/80:2 Del A s. 347.

emellertid inte nödvändig. Det motiverades med att om den efterfrågade uppgiften är hemlig enligt en sekretessbestämmelse som innehåller ett skaderekvisit torde skadeprövningen ofta kunna resultera i ett utlämnande av uppgiften. Är mottagaren en offentlig institution eller tjänsteman överförs sekretessen till institutionen (nuvarande 11 kap. 3 § OSL) och en enskild forskare kan åläggas tystnadsplikt (med stöd av nuvarande 10 kap. 14 § OSL). Vidare anfördes att forskningens behov kan tillgodoses genom särskilda föreskrifter och att forskningen i vissa fall får tillgång till uppgifter med stöd av den så kallade generalklausulen (nuvarande 10 kap. 27 § OSL). Det konstaterades också att forskningen i vissa fall kan få tillgång till uppgifter efter dispens från regeringen (enligt nuvarande 10 kap. 6 § OSL). Någon särskild dispensbefogenhet för forskningsändamål ansågs därför inte behövas.

Här följer en genomgång av de sekretessbrytande bestämmelser och undantag som kan bli tillämpliga vid utlämnande av uppgifter för forskningsändamål.

Generalklausulen

Som anfört ovan gäller som huvudregel sekretess mellan myndigheter (8 kap. 1 § OSL). För att inte oförutsedda hinder ska uppkomma i myndigheternas verksamhet har emellertid en generalklausul med följande lydelse införts.

10 kap. 27 §

Utöver vad som följer av 2, 3, 5 och 15–26 §§ får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.

Första stycket gäller inte i fråga om sekretess enligt 24 kap. 8 §, 25 kap. 1–8 §§, 26 kap. 1–6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.

Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning eller föreskrift som har meddelats med stöd av personuppgiftslagen (1998:204).

Bestämmelsen medger att sekretessbelagda uppgifter lämnas till en annan myndighet om intresset av att uppgifterna lämnas har företräde framför det intresse som sekretessen ska skydda. Det krävs dock att det är uppenbart att intresset av att en uppgift lämnas ut har företräde framför det intresse som sekretessen ska skydda för

att generalklausulen ska bli tillämplig. Bestämmelsen kan inte tillämpas vid alla typer av sekretess. Vissa områden, såsom hälso- och sjukvård och socialtjänst, är helt undantagna från bestämmelsens tillämpningsområde. Den kan inte heller tillämpas vid statistiksekretess enligt 24 kap. 8 § PUL. Enligt tredje stycket gäller bestämmelsen inte heller om utlämnandet strider mot lag eller förordning eller föreskrift som har meddelats med stöd av PUL.

Av förarbetena framgår att generalklausulen särskilt ger utrymme för informationsutbyte när det är fråga om myndigheter med samma sakliga behörighet men med skilda lokala kompetensområden eller myndigheter som har närbesläktade funktioner och som båda har rättslig befogenhet att direkt begära in de utväxlade uppgifterna.231Av särskilt intresse för denna framställning är att det i förarbetena också anges att bestämmelsen är möjlig att tillämpa vid utlämnande av uppgifter till forskning.232

När det gäller bland annat generalklausulen anfördes det i förarbetena att möjligheterna att utväxla uppgifter mellan myndigheter får utnyttjas mer sparsamt och med större försiktighet om informationen inte är sekretesskyddad hos den mottagande myndigheten. Detta gäller särskilt i fråga om uppgifter som är hemliga med hänsyn till enskilds intressen.233Om en uppgift inte skyddas av sekretess hos den mottagande myndigheten kan risken för skada ska uppkomma vara så stor att uppgiften inte bör lämnas ut.234Uppgifter som en enskild person har lämnat i förtroende kan det finnas särskild anledning att inte lämna ut.

Förbehåll

I 10 kap. 14 § OSL finns en regel som medger att uppgifter som omfattas av sekretess kan lämnas ut med så kallat förbehåll. Bestämmelsen har följande lydelse.

10 kap. 14 §

Om en myndighet finner att sådan risk för skada, men eller annan olägenhet som enligt en bestämmelse om sekretess hindrar att en uppgift lämnas till en enskild kan undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja

231Prop. 1979/80:2 Del A s. 326 f. 232Prop. 1979/80:2 Del A s. 347. 233Prop. 1979/80: 2 Del A s. 77. 234Prop. 1979/80: 2 Del A s. 91.

den, ska myndigheten göra ett sådant förbehåll när uppgiften lämnas till den enskilde.

Att den tystnadsplikt som uppkommer genom ett sådant förbehåll som anges i första stycket inskränker den rätt att meddela och offentliggöra uppgifter som följer av 1 kap. 1 § tryckfrihetsförordningen och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen följer av 13 kap. 5 § andra stycket.

Bestämmelsen ger myndigheten möjlighet att lämna ut uppgifter som är sekretessbelagda till en enskild, under förutsättning att den risk för skada, men eller annan olägenhet som hindar att uppgifterna lämnas ut kan undanröjas genom att ett förbehåll uppställs vid utlämnandet. Ett förbehåll kan också ställas upp om den som uppgiften rör samtycker till att en sekretessbelagd uppgift lämnas ut under förutsättning av sådant förbehåll. Ett förbehåll får ställas upp endast om förbehållet behövs för att undanröja den skaderisk som annars skulle utgöra ett hinder mot utlämnande och om förbehållet, sammanvägt med andra omständigheter, är tillräckligt för att undanröja risken. Förbehållet bör vara så preciserat att den enskilde kan bedöma hur han eller hon kan utnyttja de uppgifter som lämnas ut. Ett förbehåll kan till exempel gälla förbud mot vidarespridning av handlingens innehåll eller mot publicering av namn eller hemliga uppgifter ur handlingen.

Förbehållet innebär att den som tar emot uppgifterna har tystnadsplikt. Om den som förbehållet riktar sig mot inte följer villkoren i förbehållet kan ansvar för brott mot tystnadsplikten bli aktuellt (20 kap. 3 § brottsbalken).

Bestämmelsen om förbehåll är endast tillämplig vid utlämnandet till enskild, inte till en annan myndighet. Förbehållet kan därmed inte rikta sig till en person som vill ta del av uppgifterna i egenskap av offentlig funktionär eller anställd vid en myndighet. Handlingar eller uppgifter som utlämnas till en myndighet omfattas i sådana fall i stället av den sekretess som gäller hos den myndigheten och i vissa fall av sekundär sekretess. I forskningssammanhang kan således förbehåll endast användas vid forskning som bedrivs av enskild huvudman.

Dispensmöjligheter

I förarbetena till sekretesslagen anförs att det finns behov av undantag från sekretess i särskilda fall.235De enskilda sekretessbestämmelserna kan inte utformas så att varje tänkbart behov av utlämnande beaktas. Därför infördes en regel enligt vilken regeringen har möjlighet att i ett enskilt fall medge dispens från sekretess enligt vilken sekretessbestämmelse som helst. Bestämmelsen har följande lydelse.

10 kap. 6 §

Regeringen får för ett särskilt fall besluta att en sekretessbelagd uppgift i ett regeringsärende får lämnas ut. Regeringen får även i övrigt för ett särskilt fall besluta om undantag från sekretess, om det är motiverat av synnerliga skäl.

Om ingen annan sekretessbrytande bestämmelse är tillämplig kan det således bli aktuellt för den som begär ut uppgifter för forskningsändamål att ansöka om dispens hos regeringen. För att regeringen ska kunna medge dispens krävs det dock att det är påkallat av synnerliga skäl. Det framgår av förarbetena att det är fråga om en undantagsbestämmelse som ska användas med stor restriktivitet, åtminstone när enskilda intressen berörs.236I förarbetena anges dock särskilt att bestämmelsen kan bli tillämplig vid utlämnande för särskilt angelägna forskningsändamål.237

Regeringen har enligt 10 kap. 7 § OSL möjlighet att förena ett beslut om dispens med förbehåll som inskränker mottagarens rätt att förfoga över uppgiften.

5.6.3.7 Bestämmelser om skydd för enskild inom forskning och statistik

Enligt kommittédirektiven är det, för att bibehålla allmänhetens förtroende för forskningen, av stor vikt att regelverket tillgodoser den enskilda individens integritetsskydd. Det är i detta sammanhang av central betydelse att de uppgifter forskaren förfogar över omfattas av ett fungerande sekretesskydd. Här följer exempel på ett antal

235Prop. 1979/80:2 Del A s. 346. 236 Ibid. 237Prop. 1979/80:2 Del A s. 347.

sekretessbestämmelser som kan bli aktuella vid olika sorters forskning.

Uppgifter som rör enskildas hälsa eller sexualliv

Enligt 21 kap. 1 § OSL gäller sekretess för uppgift som rör en enskilds hälsa eller sexualliv, såsom uppgifter om sjukdomar, missbruk, sexuell läggning, könsbyte, sexualbrott eller annan liknande uppgift, om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs.

Som exempel på uppgifter som kan omfattas av bestämmelsen anges i förarbetena uppgifter om könsbyten, transsexualitet, HIV eller psykiska sjukdomar i vissa fall.238Efter beaktande av omständigheterna i det enskilda fallet kan även mindre känsliga uppgifter än de som nämnts sekretessbeläggas med stöd av bestämmelsen. Bedömningen påverkas av olika faktorer, såsom om den enskilde är underårig eller vuxen, i vilken verksamhet uppgiften finns och av vem eller under vilka förhållanden uppgiften begärs utlämnad. Prövningen är vidare beroende av den enskildes egen inställning, till exempel om den enskilde själv har berättat i media att han eller hon har bytt kön.

Bestämmelsen är en primär sekretessbestämmelse och dess räckvidd har inte begränsats till någon särskild verksamhet eller myndighet. Den ska således tillämpas av alla myndigheter och andra organ som ska tillämpa OSL och medför ett minimiskydd för känsliga uppgifter om enskildas hälsa och sexualliv inom hela den offentliga sektorn.239 I bestämmelsens andra stycke görs vissa undantag från sekretessen, till exempel vid en förhandling om tvångsmedel och i vissa typer av mål vid domstol.

Sekretess till skydd för enskild inom forskning och statistik

I 24 kap. OSL finns vissa sekretessbestämmelser särskilt till skydd för enskild inom forskning och statistik.

Enligt 24 kap. 1 § gäller sekretess för uppgift som hänför sig till psykologisk undersökning som utförs för forskningsändamål, om det inte står klart att uppgiften kan röjas utan att den som uppgiften

238Prop. 2005/06:161 s. 97. 239Prop. 2005/06:161 s. 31.

rör eller någon närstående till denne lider men. Alla slags uppgifter som hänför sig till sådana undersökningar kan vara föremål för sekretess. Ett omvänt skaderekvisit gäller, det vill säga det råder en presumtion för sekretess.

I samband med att lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa infördes i december 2013 infördes även en sekretessbestämmelse i 24 kap. 2 a § OSL. Enligt bestämmelsen gäller sekretess i verksamhet som avser förande av eller uttag ur register enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa för uppgift som avser en enskilds personliga förhållanden och som kan hänföras till den enskilde. Sekretessen är således som huvudregel absolut. Sekretessen hindrar dock inte att uppgift lämnas ut i den utsträckning som framgår av lagen. Vidare får uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.

I 24 kap. 4 § finns en bestämmelser om sekretess i den verksamhet som bedrivs av Institutet för språk och folkminnen (tidigare Språk- och folkminnesinstitutet; SOFI). Enligt bestämmelsen gäller sekretess för uppgift i en upptagning som har dialektologiskt eller etnologiskt innehåll och som har gjorts eller anskaffats för vetenskapligt ändamål, om det kan antas att den som har lämnat uppgiften eller som uppgiften avser eller någon närstående till denne lider men om uppgiften röjs.

Sekretess gäller enligt 24 kap. 5 § OSL hos universitet och högskolor för uppgift om en enskilds affärs- eller driftförhållanden, uppfinningar eller forskningsresultat som har lämnats eller kommit fram vid sådan forskning som efter överenskommelse bedrivs i samverkan med en enskild, om det måste antas att den enskilde har deltagit i samverkan under förutsättning att uppgiften inte röjs.

En viktig bestämmelse i forskningssammanhang är den så kallade statistiksekretessen i 24 kap. 8 § OSL. Bestämmelsen har behandlats i avsnitt 5.6.3.5. Statistiksekretessen tar i första hand sikte på uppgifter som avser en enskilds personliga eller ekonomiska förhållanden i sådan verksamhet som avser framställning av statistik. Enligt bestämmelsen har emellertid även myndigheter under regeringen möjlighet att sekretessbelägga uppgifter i andra jämförbara undersökningar, om regeringen har föreskrivit det. Regeringen har med stöd av bestämmelsen meddelat föreskrifter om sekretess i 7 § OSF

avseende enskildas personliga eller ekonomiskas förhållanden hos vissa angivna myndigheter och utredningar. Bland annat föreskrivs sekretess för sociologiska, psykologiska, pedagogiska eller andra beteendevetenskapliga eller samhällsvetenskapliga studier på utbildningsanstalter och forskningsinrättningar.

Överföring av sekretess

I de fall det inte finns någon primär sekretessbestämmelse som är tillämplig på uppgifterna som behandlas i ett visst forskningsprojekt kan det finnas en sekretess som genom bestämmelsen om överföring av sekretess har förts över från den myndighet från vilken uppgifterna är hämtad. Bestämmelser om överföring av sekretess finns i 11 kap. OSL. Överföring av sekretess i forskningsverksamhet regleras särskilt i 11 kap. 3 § OSL. Bestämmelsen har följande lydelse:

11 kap. 3 §

Får en myndighet i sin forskningsverksamhet från en annan myndighet en sekretessreglerad uppgift, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten.

Första stycket tillämpas inte på en uppgift som ingår i ett beslut hos den mottagande myndigheten.

Denna bestämmelse är central för sekretesskyddet för personuppgifter i forskningssammanhang. Den innebär att en myndighet som i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet ska tillämpa samma sekretessbestämmelse på uppgiften som den utlämnande myndigheten. I de fall uppgifter har överlämnats från till exempel hälso- och sjukvården till en annan myndighet för dess forskningsverksamhet gäller således den starka hälso- och sjukvårdssekretessen även hos den mottagande myndigheten. Det innebär också att den absoluta sekretess som gäller enligt 24 kap. 8 § OSL, statistiksekretessen, överförs till en mottagande myndighet.

I de fall en uppgift för vilken överförd sekretess gäller begärs ut från den mottagande myndigheten, till exempel forskningshuvudmannen som använder uppgiften i sin forskningsverksamhet, ska den mottagande myndigheten göra en självständig bedömning av om uppgiften omfattas av sekretess eller inte (2 kap. 14 § första stycket TF).

Paragrafens andra stycke innebär att den överförda sekretessen inte blir tillämplig på en uppgift som ingår i ett beslut hos den mottagande myndigheten.

Överföring av sekretess från register som förs med stöd av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa

I 24 kap. 2 b § OSL finns en särskild bestämmelse om överföring av sekretess när en myndighet får en uppgift som är sekretessreglerad i 2 a § från den som bedriver verksamhet enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Sekretessen blir då tillämplig även hos den mottagande myndigheten.

5.6.3.8 Uppgiftsskyldighet mellan myndigheter

I 6 kap. 5 § OSL finns en bestämmelse om informationsskyldighet mellan myndigheter. Bestämmelsen har följande lydelse.

6 kap. 5 §

En myndighet ska på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång.

Den skyldighet som följer av bestämmelsen är mera vidsträckt än skyldigheten gentemot allmänheten som följer av TF. Skyldigheten gäller varje uppgift som myndigheten förfogar över, alltså inte bara uppgifter ur allmänna handlingar.

I de fall en myndighet begär ut en uppgift som är sekretessbelagd och en sekretessbrytande bestämmelse är tillämplig innebär den sekretessbrytande bestämmelsen i kombination med 6 kap. 5 § OSL att den myndighet som förfogar över uppgiften är skyldig att lämna ut den. I vilken form uppgifterna kan lämnas avgörs, om det är fråga om personuppgifter, av bestämmelserna i PUL.

Denna skyldighet anses utgöra en precisering av den allmänna samverkansskyldighet som gäller för myndigheterna enligt 6 § förvaltningslagen (1986:223). Det har ifrågasatts om denna skyldighet står i strid med den så kallade finalitetsprincipen i dataskyddsdirektivet. Som nämns tidigare innebär denna princip att en personuppgift inte

får behandlas för ett ändamål som är oförenligt med det ändamål för vilket uppgiften samlades in. Offentlighets- och sekretesskommittén anförde emellertid i sitt huvudbetänkande att regering och riksdag redan vid PUL:s tillkomst tagit ställning till att bestämmelsen i nuvarande 6 kap. 5 § OSL inte strider mot dataskyddsdirektivet.240Enligt kommittén ska således ett utlämnande av uppgifter till en annan myndighet anses vara förenligt med finalitetsprincipen om utlämnandet är tillåtet enligt sekretesslagen. Kommittén ansåg dock att det skulle kunna uppstå en normkollision mellan 6 kap. 5 § OSL och en registerförfattning, om ändamålsregleringen i den senare författningen är utformad så att den utesluter en tillämpning av finalitetsprincipen. I en sådan situation får enligt kommittén ändamålsregleringen i registerförfattningen anses utgöra lex specialis i förhållande till 6 kap. 5 § och ett utlämnande av uppgifter i strid med ändamålsregleringen skulle därmed utgöra en otillåten behandling av uppgifterna. Enligt utredningen var det dock oklart om det fanns några registerförfattningar som på detta sätt uteslöt en tillämpning av finalitetsprincipen.

5.7. Lagen om den officiella statistiken

5.7.1. Inledning

Den officiella statistiken regleras genom lagen om den officiella statistiken, statistiklagen. Lagen kompletteras av förordningen (2001:100) om den officiella statistiken. Regeringen beslutar inom vilka områden det ska finnas officiell statistik och vilka myndigheter som ska ansvara för denna, så kallade statistikansvariga myndigheter (1 § andra stycket). Ansvaret för den officiella statistiken är fördelat på ett större antal statliga myndigheter. Vilka de statistikansvariga myndigheterna är och vilka ansvarsområden respektive myndighet har regleras i en bilaga till förordningen om den officiella statistiken. SCB är den dominerande statistikproducenten och svarar för en stor del av den officiella statistiken. Exempel på andra statistikansvariga myndigheter är Försäkringskassan, Socialstyrelsen och BRÅ.

240SOU 2003:99 s. 231 ff.

5.7.2. Utlämnande av uppgifter i vissa fall

I 16 § statistiklagen finns en bestämmelse som möjliggör för en statistikansvarig myndighet att i samband med ett utlämnande förse ett anonymiserat material med ett icke informationsbärande löpnummer. Bestämmelsen har följande lydelse.

16 §

När en statistikansvarig myndighet lämnar ut uppgifter som inte direkt kan hänföras till en enskild, får myndigheten i samband med utlämnandet förse uppgifterna med en beteckning som hos den statistikansvariga myndigheten kan kopplas till personnummer eller motsvarande för att göra det möjligt att senare komplettera uppgifterna. En sådan åtgärd får vidtas om den som uppgifterna lämnas ut till skall använda dessa för forskning eller statistik samt har ett särskilt behov av att senare kunna komplettera uppgifterna.

Om en uppgift rättats, blockerats eller utplånats hos den statistikansvariga myndigheten skall myndigheten vidta de åtgärder som behövs för att uppgifterna skall kunna ändras hos den som uppgifterna lämnats ut till.

Bestämmelsen är avsedd att tillämpas vid longitudinella studier, det vill säga mätning av utvecklingen över tiden av en och samma företeelse, och sådana likartade studier.241När en statistikansvarig myndighet lämnar ut anonymiserat material till sådana studier kan materialet förses med ett löpnummer. För att materialet ska kunna uppdateras vid ett senare tillfälle bevarar myndigheten en nyckel i form av en företeckning för att översätta löpnummer till personnummer. Förteckningen ska bevaras hos den utlämnande myndigheten och endast kunna användas för ett och samma material. Ett löpnummerförfarande får endast tillämpas om uppgifterna ska användas för forskning eller statistik och det finns ett behov av att senare komplettera uppgifterna. De uppgifter som lämnas ut enligt 16 § första stycket får av den som uppgifterna lämnas ut till behandlas endast för forskning eller statistik (17 § statsitiklagen).

I förarbetena till bestämmelsen framhålls att myndigheten i varje enskilt fall ingående ska pröva om löpnummerförfarandet ska tillåtas med hänsyn till samtliga relevanta faktorer.242Regeringen anför vidare att metoden ska kunna användas vid longitudinella och liknande studier så länge samhällets behov av studien är väl dokumenterat. Den ska endast tillåtas under förutsättning att sekretess-

241Prop. 2000/01:27 s. 52 f. 242Prop. 2000/01:27 s. 53 f.

och integritetsskyddet vidmakthålls på samma nivå som hos den utlämnande myndigheten. Om det kan ske utan påvisbara nackdelar ur kvalitetssynvinkel bör det utlämnade materialet bestå av ett urval av personer.

Den som har fått personuppgifter som avses i 16 § första stycket behöver inte lämna information till den registrerade om att uppgifter behandlas, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Inte heller behöver den som behandlar uppgifterna på begäran av den registrerade rätta, blockera eller utplåna uppgifter (18 § statistiklagen).

Utformningen av bestämmelserna i 16–18 §§ statistiklagen avser enligt propositionen att skapa en säker metod för att kunna komplettera material som i sig inte ska kunna hänföras till enskilda individer eller företag.243Det ska inte vara möjligt för mottagaren att på något sätt identifiera de individer som ingår i materialet. I sammanhanget nämns att det i 6 § i lagen finns ett förbud mot olovlig identifiering.

De uppgifter som lämnas ut enligt bestämmelsen får som angetts ovan endast användas för specifika statistik- och forskningsändamål. Avsikten med denna utformning är att säkerställa att uppgifterna blir omfattade av statistiksekretessen hos den mottagande myndigheten.244 Det ankommer på den utlämnande myndigheten att bevaka att statistiksekretessen blir tillämplig hos mottagaren.

5.8. Arkivlagen

5.8.1. Inledning

Forskning som bedrivs i allmän regi styrs, liksom all annan offentlig verksamhet, av offentlighetsprincipen. Principen medför, som beskrivits ovan, bland annat en rätt för allmänheten att ta del av allmänna handlingar. En förutsättning för att offentlighetsprincipen ska kunna utnyttjas är att handlingarna bevaras hos myndigheterna och en god offentlighetsstruktur. Redan bestämmelserna i TF kan sägas medföra en skyldighet att allmänna handlingar i princip ska bevaras, ordnas så att det går att hitta bland dem och vårdas så att

243Prop. 2000/01:27 s. 72 f. 244Prop. 2000/01:27 s. 73.

de inte skingras och förstörs.245Enligt 2 kap. 18 § TF ska bestämmelser om hur allmänna handlingar ska bevaras och om gallring av sådana handlingar meddelas i lag. Bestämmelser om myndigheternas skyldighet att bevara allmänna handlingar och på vilket sätt det ska ske finns i arkivlagen (1990:782), arkivförordningen (1991:446) och Riksarkivets föreskrifter (RA-FS och RA-MS). I dessa bestämmelser anges bland annat hur en handling ska framställas, förvaras och skyddas. Där finns också bestämmelser om gallring och avhändande av allmänna handlingar.

En förutsättning för registerbaserad forskning är att de personuppgifter som samlats in dokumenteras och bevaras så att de kan återanvändas av andra. Som anges ovan är utgångspunkten att allmänna handlingar ska bevaras. Bevarandet av handlingar kan emellertid också, för dem vars uppgifter ska bevaras, ses som ett hot mot den personliga integriteten.

5.8.2. Arkivens syfte

En myndighets arkiv bildas av allmänna handlingar från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 9 § TF (minnesanteckningar) som myndigheten beslutar ska tas om hand för arkivering. Enligt 3 § arkivlagen ska myndigheternas arkiv som huvudregel bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov.

5.8.3. Gallring

Enligt 10 § arkivlagen får allmänna handlingar gallras. Med gallring avses att en handling förstörs på ett eller annat sätt. Vid gallringen ska det dock beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov. Det följer av 14 § arkivförordningen att statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Detta medför till exempel att universitet och högskolor i allmän regi som

245Prop. 2001/02:70 s. 35.

bedriver forsking inte självständigt kan bestämma vilka handlingar som ska arkiveras utan måste följa det regelverk som gäller för arkivering och gallring.

Allmänna bestämmelser om gallring finns i Riksarkivets föreskrifter och allmänna råd om arkiv hos statliga myndigheter (RA-FS 1991:1, ändr. RA-FS 1997:4). Där anges att myndigheterna fortlöpande är skyldiga att pröva förutsättningarna för gallring (7 kap. 1 §). Den fortlöpande prövningen kan underlättas om myndigheten, i samråd med arkivmyndigheten, har fastställt övergripande riktlinjer för vilka typer av handlingar som kan komma i fråga för bevarande respektive gallring (7 kap. 1 § Riksarkivets allmänna råd). Riktlinjerna ska ta sin utgångspunkt i arkivlagens bevarandemål och en bedömning av vilka handlingar som är centrala för myndighetens verksamhet. Om myndigheten efter prövning anser att det finns handlingar som bör gallras ska en framställning om gallring göras till arkivmyndigheten (7 kap. 2 § ). Framställningen bör innehålla en beskrivning av de handlingar som föreslås till gallring, uppgift om handlingarnas omfattning, användning och betydelse samt en motivering till gallringsförslaget. Riksarkivet fattar därefter beslut om gallringsföreskrifter. Föreskrifterna kungörs i serien Riksarkivets myndighetsspecifika föreskrifter om gallring och annan arkivhantering (RA-MS) När gallring har beslutats ska myndigheten verkställa gallring på föreskrivet sätt (6 § arkivlagen).

En av de viktigaste föreskrifterna är RA-FS 1997:6 som gäller gallring av handlingar av tillfällig eller ringa betydelse. Enligt föreskrifterna ska myndigheten själv ta ställning till vilka handlingar som är av tillfällig och ringa betydelse med hänsyn till de bevarandemål som anges. För universitet och högskolors del är det dokumentation av undervisningen och forskningen som är av betydelse. I sammanhanget bör även högskolornas och universitetens tredje uppgift uppmärksammas, det vill säga att samverka med det omgivande samhället och informera om sin verksamhet samt att verka för att forskningsresultat vid högskolan kommer till nytta dela med sig av kunskap, uppmärksammas (1 kap. 3 § andra högskolelagen). Även denna uppgift har betydelse för hur gallring ska ske.

5.8.4. Riksarkivets föreskrifter för forskningsverksamhet

Riksarkivet har utfärdat föreskrifter och allmänna råd om gallring av handlingar i statliga myndigheters forskningsverksamhet.246 Föreskrifterna gäller oberoende av vid vilken myndighet forskningens bedrivs och oberoende av på vilka media handlingarna upprättats.

Av 6 § i föreskrifterna framgår att handlingar som innehåller grundläggande syfte, metod och resultat ska undantas från gallring. Vidare ska enligt 7 § handlingar som har ett fortsatt inomvetenskapligt värde eller värde för annat forskningsområde som bedöms vara av stort vetenskapshistoriskt, kulturhistoriskt eller personhistoriskt värde eller som bedöms vara av stort allmänt intresse bevaras. Som exempel på sådana handlingar anges i bilagan till föreskrifterna handlingar som utgör särskilt omfattande primärmaterial, insamlat genom försök, mätningar, enkäter, intervjuer och så vidare, som är unikt eller som endast med stor möda kan återskapas. Här anges även register och databaser avseende data med särskilt hög täckningsgrad och kontrollerbarhet.

Enligt 8 § i föreskrifterna får ingen gallring verkställas förrän myndigheten prövat om handlingar ska undantas från gallring enligt 7 §.

5.8.5. Arkivering av digitala handlingar

Långtidslagring av elektroniska handlingar ställer andra krav på myndigheterna än traditionella arkivmaterial. För att läsbarheten hos handlingarna ska bestå krävs att de framställs i material som tillåter överföring till nya databärare under bevarandetiden. Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar (RA-FS 2009:1) innehåller bestämmelser om hantering av elektroniska handlingar. Riksarkivets föreskrifter och allmänna råd om tekniska krav på elektroniska handlingar anger vilka format och standarder som är godkända för framställning och bevarande av digitala handlingar.

All förstöring av allmänna handlingar och uppgifter i allmänna handlingar utgör gallring. Så är även fallet om data dessförinnan har förts över till en ny databärare om överföringen medför förlust av information eller sökmöjligheter. För gallring krävs stöd i lag, förordning eller myndighetsföreskrifter. Enligt 4 kap. 6 § RA-FS 2009:1

246 Riksarkivets föreskrifter (1999:1) och allmänna råd om gallring av handlingar i statliga myndigheters forskningsverksamhet och föreskrifter om ändring av dessa föreskrifter (2002:1).

får elektroniska handlingar inte gallras om det medför risk för informationsförlust i de handlingar som ska sparas.

5.8.6. Förhållande till personuppgiftslagen

Det följer av 9 § PUL att en personuppgift inte får bevaras längre än nödvändigt med hänsyn till ändamålet för vilket personuppgifterna samlades in. TF:s och arkivlagens bestämmelser har dock företräde framför PUL:s bestämmelser. Enligt 8 § första stycket PUL ska bestämmelserna i PUL inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. TF. Det anges vidare i 8 § andra stycket PUL att bestämmelserna i lagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Myndigheterna ska således i första hand tillämpa bestämmelserna om bevarande av allmänna handlingar enligt arkivlagen.

5.8.7. Sekretess

I 11 kap. 6 § finns en särskild bestämmelse om överföring av sekretess när uppgifter överlämnas från en myndighet till en arkivmyndighet. Får en arkivmyndighet för arkivering från en annan myndighet en uppgift som är sekretessreglerad där blir sekretessbestämmelsen tillämplig på uppgiften även hos arkivmyndigheten.

6. Integritet och registerbaserad forskning

I direktiven till utredningen anges att jag ska undersöka om det befintliga sekretesskyddet för uppgifter som hanteras inom forskning är tillräckligt för att skydda den enskildes integritet. Syftet med detta kapitel är att föra en principiell diskussion om enskilda individers personliga integritet1 och hur den kan tänkas påverkas i samband med registerbaserad forskning.2 I kapitlen 8 och 9 ska jag återkomma till några mer konkreta överväganden om vad som kan göras för att stärka skyddet av den personliga integriteten i forskningen.

Den statliga Integritetsskyddskommittén pekade i ett delbetänkande från 2007 på en rad frågor som kan ställas för att belysa hur olika förslag påverkar integriteten:

Vilken art av integritetsförluster kan uppkomma, dvs. vilka slags förluster rör det sig om; hur stor är risken för olika kategorier av medborgare att råka ut för integritetsförluster; vilken omfattning kan skadorna väntas medföra; kan alla medborgare drabbas eller bara de som tillhör en viss grupp; vad kan de tillämpande myndigheterna respektive medborgarna själva göra för att begränsa integritetsförlusterna; hur förhåller sig de beräknade förlusterna till andra integritetsförluster?3

Integritetsskyddskommittén framhåller att det har ett ”betydande egenvärde att lagstiftaren noggrant, uppriktigt och med pedagogisk klarhet redovisar sina skäl och värderingar. I vårt land bjuder traditionen att dessa överväganden redovisas i förarbetena till lagstiftningen, i första hand i propositioner och utskottsbetänkanden men

1 Här diskuteras personlig integritet, men i andra sammanhang kan man också tala om integritet för t.ex. mindre företag. Begreppet integritet kan också användas i andra betydelser än det som åsyftas i detta kapitel. 2 Ett viktigt underlag för kapitel har Joanna Stjernschantz Forsberg bistått med genom en rapport till utredningen, Om registerforskning och integritet. Jag vill också tacka Kjell Asplund, Göran Collste, Sven Ove Hansson, Erik Lempert, Elisabeth Rynning och Nils-Eric Sahlin som har gett värdefulla kommentarer till den rapporten. 3SOU 2007:22 Del I s.451.

också i det utredningsmaterial som föregår departementsbehandlingen”.

Denna utredning är förhoppningsvis första steget i en sådan kedja som ska leda till proposition, utskottsbetänkande och så småningom riksdagsbeslut. Jag ska här redovisa en rad principiella överväganden om integritet vid registerbaserad forskning och hoppas därmed kunna bidra till den klarhet som Integritetsskyddskommittén efterlyser. De frågor kommittén reser är en viktig utgångspunkt.

6.1. Vad är integritet?

Den första frågan som finns skäl att ställa är vad som ska förstås med integritet.

Integritetsskyddskommittén, som arbetade 2004–2008, är den senaste i en lång rad av statliga utredningar som har behandlat integritetsfrågor. Kommittén konstaterar att frågan om vad som egentligen ska avses med integritet har återkommit i flera av dessa utredningar, men menade samtidigt att en sådan begreppsanalytisk infallsvinkel har sina begränsningar:

Ett skäl härtill är att det … är svårt för att inte säga omöjligt att komma fram till en entydig och allmänt accepterad definition av begreppet personlig integritet. Ett annat skäl är att man inte genom att bestämma innebörden av detta begrepp ens teoretiskt kan få svar också på frågan om vad det är som skall skyddas. Den sistnämnda frågan kan nämligen inte besvaras utan att man samtidigt bedömer omfattningen och tyngden av de motstående legitima intressen som kan finnas, såsom intresset av offentlighet och brottsbekämpning.

Utformandet av ett integritetsskydd, i Sverige såväl som på andra håll, synes heller inte i praktiken har tagit sin utgångspunkt i en viss definition av begreppet integritet, utan arbetet har varit inriktat på att från fall till fall förbjuda sådana företeelser som inte ansetts försvarbara med hänsyn till dels den skada de skulle innebära för den personliga integriteten, dels den skada som ett upprätthållande av integriteten skulle åsamka andra beaktansvärda intressen. I rättsordningen har med andra ord den faktiska omfattningen av den skyddade personliga integriteten kommit att bestämmas inte genom sofistikerade definitioner utan genom summan av ett stort antal skyddsregler av mycket varierande slag.4

4SOU 2007:22 Del I s. 52.

Några år tidigare skrev en annan utredning inom området, Integritetsutredningen, efter att ha gått igenom åtskillig svensk och utländsk litteratur på området följande:

… som en klar gemensam nämnare framstår i vart fall uppfattningen att begreppet personlig integritet innebär att alla människor har rätt till en personlig sfär där ett oönskat intrång, såväl fysiskt som psykiskt kan avvisas. De flesta människor har också en bestämd uppfattning om vad personlig integritet innebär för deras egen del och de uttrycker detta mestadels på motsvarande sätt som nyss nämnts. Men uppfattningen om storleken på den privata sfären kan variera kraftigt mellan olika människor beroende framför allt på deras kulturella, etniska, religiösa och sociala bakgrund. Omfånget av den personliga sfären uppfattas inte heller som statiskt, inte ens för den egna individen, utan kan förändras med hänsyn till bl.a. vunna erfarenheter och den aktuella situationen. 5

Integritetsskyddskommittén redovisar också visst material som togs fram vid en nordisk konferens år 1967 i Internationella juristkommissionens regi.6Resultatet vid konferensen blev en resolution som vunnit internationell uppmärksamhet. Enligt den innebär rätten till privatliv i allmänhet en rätt för individen att leva sitt eget liv med ett minimum av inblandning från myndigheter, allmänhet och andra individer. Kommittén refererar en underlagsrapport till konferensen som hade författats av professor Stig Strömholm. Strömholm konstaterar att jurister ofta har resignerat inför uppgiften att ge en positiv bestämning av integritetsbegreppet. I stället har man valt att göra förteckningar över de handlingar som kan anses utgöra integritetskränkningar. Enligt Strömholm kan kränkningarna indelas i tre huvudgrupper: 1) intrång i en persons privata förhållanden, 2) insamlande av uppgifter om en persons privata förhållanden och 3) offentliggörande eller annat utnyttjande av material om en persons privata förhållanden. Mer konkret kräver, enligt Strömholm, följande grupper av handlingar beaktande:

1. tillträde till och genomsökande av privata lokaler eller annan egen-

dom,

2. kroppsundersökning,

3. medicinska undersökningar, psykologiska tester osv.,

5SOU 2002:18 s. 53. 6SOU 2007:22 Del I s. 56-58.

4. intrång i en persons privata sfär genom skuggning, spionerande,

telefonterror o.d.,

5. ofredande genom företrädare för massmedierna, till exempel i

form av ”snokreportage”, men även påträngande och brutala intervjuer av olycksoffer, dessas anhöriga eller eljest personer, som har svårt att värja sig,

6. olovlig ljudupptagning, fotografering eller filmupptagning,

7. brytande av brevhemlighet,

8. telefonavlyssning,

9. utnyttjande av elektronisk avlyssningsapparatur, 10. spridande av förtroliga uppgifter (till exempel genom advokater,

läkare, själasörjare), 11. avslöjande inför offentligheten av annans privata förhållanden, 12. olika former av utnyttjande av annans namn, bild eller liknande

identifieringsmedel, 13. missbruk av annans ord eller meddelanden (exempelvis genom

förvrängda eller helt uppdiktade intervjuer), 14. angrepp på annans heder och ära.

Ytterligare en aspekt på integritetsbegreppet lyfts fram av Integritetsskyddskommittén med referens till fil. dr. Ludvig Beckman.7Han har pekat på ”den personliga integritetens paradox”.8Personlig integritet kan enligt Beckman syfta inte bara på skyddet för privatlivet, utan handlar också om respekten för individen som en individ med förmåga att fatta egna och självständiga beslut. I vilka fall kan det vara acceptabelt att individen tillåts fatta självständiga beslut som kan tänkas kränka privatlivet? Beckman nämner ett par typfall där sådana frågor måste ställas: den som frivilligt går upp i en boxningsring eller prostituerar sig. Jag avstår i detta sammanhang från synpunkter på den fria viljan i olika

7 Beckman är numera professor vid statsvetenskapliga institutionen vid Stockholms universitet. 8SOU 2007:22 Del I s.62.

beslutssituationer. Men denna integritetens paradox är inte ointressant när jag senare kommer in på forskning och integritet.9

Som framgår av Strömholms ”kränkningsförteckning” spänner integritetsfrågorna över vitt skilda områden. I den allmänna debatten aktualiseras integritetsaspekter i diskussioner om alltifrån kroppsundersökningar till kameraövervakning och telefonavlyssning, alltifrån registrering i samband med att man använder betalkort och internetvanor till direktreklam – och, som är i fokus i detta kapitel, forskning. Visserligen kan det sägas finnas en gemensam kärna, intresset av att skydda individers privata sfär, men det finns också många olikheter. När samma begrepp återkommer i de olika kontexterna innebär det en risk för att dessa olikheter inte tillräckligt beaktas.

Jämför exempelvis telefonavlyssning med rapportering av uppgifter till cancerregistret. Då det gäller telefonavlyssning vet individen inte om att den sker, syftet är att få fram information som ska kunna användas mot personen i fråga. Att uppgifter om cancerpatienter rapporteras till cancerregistret hålls inte hemligt för patienterna, öppen information finns tillgänglig om vad som rapporteras och uppgifterna ska snarast användas för att hjälpa den enskilde och andra som drabbas av samma sjukdom.

Integritetsskyddskommittén valde att avgränsa sin behandling av integriteten till vad den kallar den personliga integriteten i ideell mening, alltså inte fysiska kränkningar av olika slag. Den avgränsningen ter sig naturlig också vid en granskning av integritetsfrågorna i anslutning till registerforskning. Det är alltså information om den enskilde som är i blickpunkten för diskussionen. Kommittén ställde sig följande frågor:10

  • Hur skyddas enskilda personer mot olovlig insamling av uppgifter om deras privata förhållanden och hur avgränsas ”lovligt” uppgiftsinsamlande …?
  • Hur skyddas enskilda personer mot olovligt offentliggörande eller annan negativ användning av uppgifter om deras privata förhållanden och hur avgränsas vad som i detta sammanhang är ”lovligt” …?

9 Beckman, L., Staten måste agera på etikens slagfält, Axess juni 2005, refererad i Skyddet för den personliga integriteten. Kartläggning och analys. SOU 2007:22 I:62; en liknande diskussion förs i Hansson, MG, Integritet, Carlssons 2006. 10SOU 2007:22 Del I s. 64.

  • Hur regleras skyddet mot intrång i någon enskilds privata sfär … där syftet är att inhämta information om den enskilde, och hur avgränsas sådana ”lovliga” intrång?
  • Hur skyddas identifieringsdata som namn, bild och liknande?

Jag kommer i det följande att utgå från den pragmatiska syn på integritet som Integritetsskyddskommittén intog och de frågor som den belyste i sitt delbetänkande.

6.2. Rättsligt skydd för personlig integritet

Jag har i kapitel 5 redovisat de rättsliga förutsättningarna för att behandla personuppgifter i allmänhet och inom forskning i synnerhet. Det framgår att det finns en rad bestämmelser som syftar till att skydda enskilda individers integritet.

Regeringsformen (RF) fick den 1 januari 2011 en ny bestämmelse i 2 kap. 6 § som innebär att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av denna fri- och rättighet måste enligt 2 kap. 20 § första stycket RF göras genom lag.11 Det har bedömts att grundlagsändringen kan komma att medföra att viss personuppgiftsbehandling som för närvarande regleras i förordningar i framtiden kan behöva regleras i lag.

I personuppgiftslagen (PUL) preciseras villkoren för att få samla in och använda personuppgifter. PUL, som är subsidiär, kompletteras av lagar och förordningar som reglerar personuppgiftsbehandling inom särskilda områden, till exempel patientdatalagen och polisdatalagen. Ytterst styrs möjligheterna att behandla personuppgifter av EU:s dataskyddsdirektiv. Personuppgifter får bara behandlas om det finns lagligt stöd för behandlingen, får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål och får inte behandlas för något ändamål som är oförenligt med detta. Fler uppgifter får inte behandlas än vad som är nödvändigt med hänsyn tilländamålet med behandlingen. Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om be-

11 Se avsnitt 5.3.1.

handlingen är nödvändig för vissa angivna syften, till exempel för att en arbetsuppgift av allmänt intresse ska kunna utföras.12

För känsliga personuppgifter gäller dessutom att behandling är förbjuden om den inte omfattas av undantagen i PUL som tillåter behandling eller är tillåten enligt annan lag eller förordning.13

Enligt tryckfrihetsförordningen (TF) har varje svensk medborgare, i praktiken alla Sveriges invånare, till främjande av ett fritt meningsutbyte och allsidig upplysning rätt att ta del av allmänna handlingar. Det är den så kallade offentlighetsprincipen. Men av TF framgår också att denna rätt får begränsas om det är påkallat med hänsyn till bland annat skyddet för enskilds personliga och ekonomiska förhållanden. Uppgifter om enskilda kan omfattas av olika grader av sekretess vilket regleras närmare i offentlighets- och sekretesslagen (OSL).14

Naturligtvis kan en enskild person uppfatta det som en integritetskränkning redan att någon har tillgång till dennas känsliga personuppgifter, men att så är fallet är en ofrånkomlig följd av att myndigheter ofta behöver sådana uppgifter för att kunna fullgöra sina uppgifter. Jag har redovisat en rad skäl för varför myndigheter behandlar personuppgifter, till exempel för administrativa ändamål, för att få underlag för officiell statistik och för utvärdering, uppföljning och kvalitetssäkring inom till exempel hälso- och sjukvården.15Eftersom behandling av personuppgifter, även känsliga sådana, är nödvändig för vissa ändamål blir regler om sekretess och andra skyddsåtgärder särskilt viktiga när det handlar om att skydda den enskildes integritet.

6.3. Rättslig grund för myndighetsregister

Regeringen har i propositionen om PUL uttalat att målet är att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag.16Myndigheters personuppgiftshantering regleras således i allmänhet i särskilda registerförfattningar, beslutade av riksdagen eller regeringen. Som tidigare

12 Se avsnitt 5.3.4.7. 13 Se avsnitt 5.3.4.8. 14 Se avsnitt 5.6.3.1. 15 Se avsnitt 3.3. 16Prop. 1997/98:44 s. 41.

framgått finns det över hundra register med personuppgifter som regleras i sådana författningar.17

Låt mig exemplifiera med en sådan registerförfattning, som ger grund för behandling av personuppgifter med ett tydligt administrativt syfte, lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Personuppgifter får enligt 1 kap. 4 § behandlas för tillhandahållande av information som behövs för 1. samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter,

2. handläggning av folkbokföringsärenden,

3. fullgörande av underrättelseskyldighet enligt lag eller förordning,

4. framställning av personbevis och andra registerutdrag,

5. aktualisering, komplettering och kontroll av personuppgifter,

6. uttag av urval av personuppgifter, och

7. tillsyn, kontroll, uppföljning och planering av folkbokförings-

verksamheten.

För dessa ändamål får ett antal uppgifter samlas i ett register som kallas personuppgiftsdatabasen:

1. person- eller samordningsnummer,

2. namn,

3. födelsetid,

4. födelsehemort,

5. födelseort,

6. adress,

7. folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort,

distrikt och folkbokföring under särskild rubrik,

8. medborgarskap,

9. civilstånd, 10. make, barn, föräldrar, vårdnadshavare och annan person som den

registrerade har samband med inom folkbokföringen,

17 Se avsnitt 3.5.1.

11. samband enligt 10 som är grundat på adoption, 12. inflyttning från utlandet, 13. avregistrering enligt 1921 §§folkbokföringslagen (1991:481), 14. anmälan enligt 5 kap. 2 § vallagen (2005:837), 15. gravsättning, 16. personnummer som personen har tilldelats i ett annat nordiskt

land, och 17. uppehållsrätt för en person som är folkbokförd.

Det är uppenbart att dessa uppgifter behövs hos Skatteverket för att hålla reda på vilka som bor i Sverige och vilka som är svenska medborgare. Vissa av dessa uppgifter kan av enskilda upplevas som känsliga, men riksdagen har likväl funnit att det är viktigt att de finns registrerade. En avvägning har alltså skett mellan olika intressen. Motsvarande förhållanden gäller för andra administrativa register.

Ett annat ändamål med myndighetsregister är att tillhandahålla uppgifter som kan utgöra underlag för statistik. Statistik är en mycket viktig informationskälla i en demokrati och tillgången till statistik kan ses som en rättighet för alla medborgare. Den officiella statistiken ger en övergripande bild av samhället och ökar medborgarnas möjlighet till insyn. Statistiken används också som grund för politiska beslut, för den allmänna debatten, för forskning, för utvärdering med mera.18 Den officiella statistiken har en särställning bland den statistik som tas fram av myndigheter. Den regleras i en särskild lag, lagen om den officiella statistiken.19 Den officiella statistiken är tillgänglig för allmänheten, till exempel på nätet.20Det har uppdragits åt 27 statistikansvariga myndigheter, av vilka Statistiska centralbyrån (SCB) har de mest omfattande uppgifterna, att ansvara för denna. Vilka myndigheter som ska vara ansvariga för officiell statistik, och inom vilka ämnesområden det ska finnas officiell statistik, beslutas av regeringen.21

Den absoluta merparten av underlaget för den officiella statistiken hämtas ur administrativa register, såsom Skatteverkets folkbokföringsdatabas, men i vissa fall samlas uppgifterna för statistiska

18SOU 2012:83 s. 102. 19 Se avsnitt 5.7. 20 www.scb.se. 21 Några av den officiella statistikens ämnesområden redovisas i avsnitt 3.5.2.

ändamål in direkt från enskilda och företag.22För den ekonomiska statistiken samlas en hel del uppgifter in från företag och kommuner. Dessa är enligt lagen om officiell statistik skyldiga att lämna uppgifter (uppgiftsskyldighet). Från enskilda samlas uppgifter in till bland annat SCB:s arbetskraftsundersökningar (AKU) och undersökningar om levnadsförhållanden (ULF). De vänder sig till ett urval av den svenska befolkningen och deltagandet är frivilligt.23

För att statistiken ska bli pålitlig och verkligen ge en sann bild av förhållandena i samhället är det angeläget att den bygger på uppgifter om hela befolkningen eller på representativa urval. Genom att i hög grad använda uppgifterna från administrativa register kan det målet säkrare nås. Dessa omfattar i regel hela, eller hela den berörda delen, av befolkningen. När det gäller statistik som baseras på urvalsundersökningar finns ett problem med bortfall.24

Åter andra register skapas för att fullgöra uppgifter som anges i hälso- och sjukvårdslagen. Av den framgår att kvaliteten i verksamheten systematiskt och fortlöpande ska utvecklas och säkras. Landstingen och kommunerna ska också medverka vid finansiering, planering och genomförande av klinisk och folkhälsovetenskaplig forskning.25 För att understödja detta arbete förs olika register med uppgifter om patienter.

I de så kallade hälsodataregistren, som förs av Socialstyrelsen, är deltagandet obligatoriskt, men uppgifterna till registren tillhandahålls av vårdgivarna och inte av de enskilda patienterna. Hälsodataregistren skapas med stöd av hälsodatalagen samt av regeringen utfärdade förordningar för varje register.26Det har, med hänsyn till att uppgiftslämnandet är obligatoriskt, ifrågasatts om denna lagkonstruktion är förenlig med den nya lydelsen i RF. Frågan övervägs för närvarande inom Regeringskansliet.

I nationella och regionala kvalitetsregister är deltagandet däremot frivilligt. I dessa fall samlas uppgifter normalt in vid patientbesök i hälso- och sjukvården. Uppgifterna registreras utan den enskildes uttryckliga samtycke, men den enskilde har rätt att motsätta sig registrering med följd att uppgifter om honom eller henne inte får

22SOU 2012:83 s. 151. 23 Tidigare förelåg i ett sammanhang uppgiftsskyldighet för enskilda hushåll i Sverige, nämligen vid folk- och bostadsräkningarna (FoB). Varje FoB grundade sig på en lag. Den sista FoB:en genomfördes 1990. Numera hämtas motsvarande uppgifter från register. Det kan nämnas att Statistisk Sentralbyrå i Norge har möjlighet att föreskriva om uppgiftsskyldighet också för enskilda. Det har man gjort i ett fall, när det gäller arbetskraftsundersökningarna. 24 Se avsnitt 4.3, även avsnitt 8.3.2. 25 Hälso- och sjukvårdslag (1982:763), 26 § 26 Se avsnitt 5.3.6.2.

registreras, eller, om så redan har skett, ska utplånas (så kallad optoutmodell).27När det gäller biobanker ska patienterna informeras om att de kan samtycka till att prover sparas för deras framtida vård, för kvalitetssäkring inom hälso- och sjukvården och för forskning, eller att proverna kan sparas med restriktioner vad gäller användningen, eller att de ska förstöras. De bör också informeras om att de vid ett samtycke nu har möjligheter när som helst dra tillbaka detta.28 Erfarenhetsmässigt är det bara en liten minoritet som har några erinringar mot att uppgifter/prover sparas och används.29

6.4. Alla har rätt att få ut uppgifter som gäller dem själva

Den enskilde har rätt att från registerhållare begära ett så kallat registerutdrag. I det ska den personuppgiftsansvarige ge information om vilka uppgifter som finns registrerade, varifrån uppgifterna har hämtats, ändamålet med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnats ut. En begäran om registerutdrag måste göras skriftligen. På begäran av den registrerade är den personuppgiftsansvarige skyldig att snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med PUL. Enligt PUL är den personuppgiftsansvarige också skyldig att ersätta den registrerade för skada eller kränkning av den personliga integriteten som en behandling av personuppgifter i strid med PUL har orsakat.30

6.5. Integritetskränkningar genom spridning av uppgifter m.m.

En av de frågor Integritetsskyddskommittén menar att man bör ställa är hur de eventuella integritetsförlusterna i en verksamhet förhåller sig till andra integritetsförluster. Innan jag går närmare in på

27Prop. 2012/13:163, s 13. 28 Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2002:11) om biobanker i hälso- och sjukvården m.m. 4 kap. 3 §. 29 Hansson, MG., Where should we draw the line between quality of care and other ethical concerns related to medical registries and biobanks?, Theor Med Biotech (2012) 33:313-323. DOI 10.1007/s11017-012-9229-x.; Nilstun, T. och Hermerén, G., Human tissue samples and ethics – attitudes of the general public in Sweden to biobank research. Medicine, Health Care and Philosophy (2006) 9:81-86. DOI 10.1007/s11019-005-7984-4. 30 Se avsnitt 5.3.4.12-13.

frågorna kring integritet och registerforskning kan det därför finnas skäl att kort påminna om vissa andra företeelser i samhället.

Som framgått innebär sekretessreglerna en begränsning av offentlighetsprincipen. Men det finns uppgifter om enskilda som inte skyddas av sekretess. Det gäller till exempel uppgifter om tilltalade i domar från våra domstolar. Våren 2014 fick företaget Lexbase stor medial uppmärksamhet.31Företaget hade begärt ut ett stort antal domar och gjorde dem lätt tillgängliga på nätet. Många reagerade mot det sätt på vilket Lexbase spred uppgifter på nätet och inom en dryg vecka hade närmare 250 anmälningar inkommit till Justitiekanslern.32 Justitiekanslern har emellertid inte funnit skäl att väcka åtal. Datainspektionens generaldirektör konstaterade i en tidningsartikel att inspektionen inte hade möjligheter att ingripa eftersom Lexbase hade grundlagsskydd genom ett så kallat frivilligt utgivningsbevis.33 På webbsidan annonseras att ”med Lexbase sökverktyg undersöker du huruvida en person eller ett företag förekommer i databasen, det vill säga om personen eller företaget varit inblandat i brottsmål eller tvistemål”.34 Och Lexbase är inte unikt. Det finns andra databaser som tillhandahåller en liknande service (Infotorg Juridik, Lex Press, Norstedts Juridik, JP Infonet).35

Det finns en lång rad företeelser i samhället som på olika sätt kan hota den personliga integriteten. Aktiviteter på Internet – e-post, surfning eller fildelning – registreras på olika ställen, till övervägande del helt utanför den enskildes kontroll. Oskyddad kommunikation kan inte bara avlyssnas, den kan också sparas vid så kallade noder som passeras på vägen. Den som publicerar något på Internet eller oskyddat kommunicerar över nätet, avhänder sig i viss mån kontrollen över informationen. Användarnas utnyttjande av sökmotorer på Internet ger samtidigt kunskap om vad de intresserar sig för, något som utnyttjas inom bland annat reklambranschen. Lagrade trafikdata från nätet gör det möjligt att rekonstruera kommunikationsvägar och kartlägga kommunikationsmönster. De kan i vissa fall användas för att kontrollera vem som har kommunicerat med vem och på vilket sätt. Även system som kartlägger rent fysiska kommunikationer tilldrar sig allt större intresse från trafikföretag, arbets-

31 Skriverierna började i Dagens Nyheter 2014-01-27 med artikeln ”Grannens domar kan läsas på nätet”. 32 ”Svårt för JK att väcka åtal mot Lexbase”, DN 2014-02-07. 33 Svahn Starrsjö, K. Grundlagen missbrukas och måste ändras snarast, Dagens Nyheter 2014-01-28. 34 Lexbase.se 35 Kindbom, M. Lexbase-stängning stoppar inte kränkningarna, SvD 2014-02-07.

givare, försäkringsbolag och statliga organ. Med utvecklad teknik är det möjligt att i detalj registrera fordons förflyttningar, förarens körstil och varjehanda händelser. Alla dessa data ger möjligheter till detaljerade kartläggningar av individernas kommunikation och förflyttningar, eventuellt också av vanor och personligheter. Det finns också en ökad efterfrågan på tjänster som på olika sätt tillåter användare av nättjänster att uppträda under falsk identitet eller anonymt.36Under anonymitetens täckmantel kan till exempel uppgifter om andra spridas. Många av de uppgifter om oss som samlas in förutsätter formellt samtycke, men de flesta torde vara omedvetna om att de har gett ett sådant, till exempel när ett abonnemang tecknas med en leverantör.

Vi riskerar ständigt att hamna på bild och få uppleva att bilderna sprids på nätet. Visserligen finns det många människor som alldeles frivilligt berättar på Facebook om varje steg de tar, men självfallet kan spridning av uppgifter av detta slag av många andra upplevas som integritetskränkande. I en opinionsundersökning som SCB 2006 gjorde på uppdrag av Integritetsskyddskommittén menade en stor majoritet att företag och privatpersoner kränkte andra människors integritet genom kartläggning av köpvanor, påträngande marknadsföring och smygfotografering.37

Att den tekniska utvecklingen rymmer stora risker för den personliga integriteten är naturligtvis inget argument för minskat integritetsskydd vid forskning. Men för att rätt kunna värdera de risker som kan vara förknippade med forskning är det viktigt att se dem i relation till utvecklingen i andra avseenden.

6.6. Registerbaserad forskning

Som framgår av utredningsdirektiven avses med registerbaserad forskning i detta sammanhang såväl sekundäranvändning av uppgifter som primärt samlats in för andra ändamål som användning av uppgifter och prover i en forskningsdatabas som har skapats för forskningsändamål. Uppgifter i myndighetsregister som har samlats in med primärt andra ändamål än forskning kan som jag tidigare har redovisat vara till stor nytta även i forskningen. Många forskningsfrågor kan genom användning av registeruppgifter belysas och analy-

36SOU 2007:22 Del I s. 67-71. 37SOU 2007:22, Del II bilaga.

seras med betydligt större säkerhet och till lägre kostnader än om andra metoder hade använts.38

Denna insikt kommer på olika sätt till uttryck också i lagstiftningen. I PUL konstateras visserligen att personuppgifter som samlats in för ett ändamål inte får användas för något ändamål som är oförenligt med detta, men samtidigt slås fast att behandling av uppgifterna för vetenskapliga ändamål inte anses som oförenligt med det ursprungliga ändamålet.39I OSL sägs att även uppgifter som omfattas av statistiksekretess (absolut sekretess) får lämnas ut för forskningsändamål om det står klart att det kan ske utan skada eller men för den enskilde.40I hälsodatalagen, som reglerar hälsodataregistren, i patientdatalagen, som reglerar kvalitetsregistren, och i biobankslagen, som reglerar biobankerna hos sjukvårdshuvudmännen, nämns också forskning som ett av de tänkta ändamålen med uppgifts- och provsamlingarna.

Alla uppgifter som en forskare kan behöva finns dock inte i register eller biobanker. Då tvingas de själva samla in de nödvändiga uppgifterna eller proverna. I regel måste det då ske från ett urval av den aktuella populationen. Deltagandet är i dessa fall alltid frivilligt. Ingen tvingas svara på frågor från eller lämna prover till en forskare.

De uppgifter som forskare samlar in, såväl från myndighetsregister som direkt från uppgiftslämnare, är delvis av känslig natur. I PUL pekas vissa kategorier av uppgifter ut som är känsliga. Men det är självklart att den enskilde kan uppleva även många andra uppgifter som lika känsliga, till exempel om vilka resultat de har uppnått i skolan.41 Samtidigt låter sig många samhälls- och individuella processer, till exempel utvecklingen av hälsa, endast förstås om det är möjligt att observera och analysera uppgifter på individnivå. För att kunna förstå hur förhållanden vid en tidpunkt påverkar villkoren senare i livet är det nödvändigt att kunna koppla samman uppgifter om enskilda individer från olika tidsperioder i deras liv.42

38 Se kap 4. 39 Se avsnitt 5.3.4.6. 40 Se avsnitt 5.6.3.5. 41 Hälsodata anses också av människor i allmänhet som känsliga enligt den opinionsundersökning som SCB gjorde på uppdrag av Integritetsskyddskommittén. Nästan 60 procent av de svarande instämde i detta. Enligt PUL är också fackföreningstillhörighet en känslig uppgift. Här har dock de svarande en helt annan värdering. Endast 11 procent ansåg att det var en mycket känslig uppgift medan 70 procent ansåg att den inte var särskilt känslig eller inte alls känslig. En uppgift som enligt PUL inte är känslig är betygen i skolan. Det ansåg dock nästan 40 procent av de svarande vara en känslig uppgift. Majoriteten tyckte dock inte att det var särskilt känsligt. SOU 2007:22 Del II bilaga. 42 Erikson, R. och Andersson-Rydell, L., Nationell samordning av frågeundersökningar och längdsnittsstudier. Vetenskapsrådet 2014.

Ibland ställs forskares intresse av data mot individernas intresse av att skydda sin integritet. Men forskarnas och individernas intressen kan också i hög grad sammanfalla. Att förstå mer om sjukdomars uppkomst och utveckling, och att kunna hitta medel som kan lindra eller bota, ligger självfallet inte främst i forskarnas intresse, utan i hela samhällets och de enskilda människornas. Det gäller dem som redan har drabbats av sjukdomar – det är ingen tillfällighet att patientorganisationer ofta är varma anhängare av forskning och också av användningen av känsliga hälsodata43 – men också alla andra eftersom ingen av oss vet vem som i framtiden kan komma att drabbas av olika sjukdomar och behöva hjälp. Att forskningen ska kunna bidra till att utveckla hälso- och sjukvården är dessutom inte bara en framtidsdröm, det har i mycket hög grad redan skett och sker varje dag.

De flesta vill, den dag behovet finns, kunna få del av medicinska framsteg. Man kan således konstatera att det här möjligen kan råda en konflikt, eller i varje fall en spänning, mellan individers olika önskningar, att få del av medicinska framsteg och att skydda integritetskänsliga uppgifter. Jag menar att det ligger i allas intresse att forskningen underlättas och det kan till och med ses som en moralisk förpliktelse att bidra till det, i synnerhet om bidraget är förenat med en mycket ringa personlig uppoffring eller risk, till exempel när det endast handlar om återanvändning av uppgifter eller prover som redan har samlats in. Sambandet är tydligt på det medicinska området, men samma sak gäller för forskning som syftar till ökad förståelse för samhällsutvecklingen i stort och vilka interventioner som eventuellt kan bidra till människors ökade välfärd.

6.7. Risker med myndighetsregister

Integritetsskyddskommittén menade att man i en utredning bör ställa sig frågor om vilken art av integritetsförluster som kan uppkomma, hur stor risken är att medborgare kan råka ut för integritetsförluster och vilken omfattning eventuella skador kan väntas medföra. Jag ska i detta och nästa avsnitt diskutera detta, i detta när det gäller behandling av personuppgifter hos myndigheter och i nästa när det gäller behandling av personuppgifter vid registerbaserad forskning.

43 Det tar sig konkret uttryck i att många patientorganisationer har egna forskningsfonder för att finansiera främst medicinsk forskning.

De personuppgifter som myndigheter samlar in syftar ofta till att få en tydlig bild av befolkningen, till exempel genom den personuppgiftsdatabas som jag tidigare har redovisat, men i många fall används de också som underlag för myndighetsutövning, det vill säga som grund för beslut som berör enskilda. Exempelvis kan Skatteverket avgöra vilka yrkanden i självdeklarationen från enskilda som ska godkännas och inte, vilken den beskattningsbara inkomsten och den pensionsgrundande inkomsten är och hur mycket skatt som ska betalas. Försäkringskassan kan besluta om rätten till förmåner och hur stora de ska vara. Mycket i myndighetsutövningen följer naturligtvis entydiga regler, men i vissa fall blir det också fråga om bedömningar. Exempelvis måste Försäkringskassan bedöma vilka individer med allvarliga funktionsnedsättningar som har respektive inte har rätt till personlig assistans. För att kunna besluta om det måste de ha tillgång en rad känsliga personuppgifter om enskilda.44

Av den allmänna debatten framgår att det finns många som känner obehag inför myndigheters potentiella användning av känsliga personuppgifter för att i ett eller annat avseende ”komma åt” enskilda. ”Storebror ser dig” och ”övervakningssamhället” är metaforer som har använts.45Integritetsskyddskommitténs ordförande Olle Abrahamsson gav i en rapport till utredningen en rad exempel på detta från de senaste decenniernas samhällsdebatt.46I den tidigare nämnda opinionsundersökningen som gjordes på uppdrag av Integritetsskyddskommittén ansåg närmare 60 procent att det kan vara kränkande redan att insamlande myndigheters personal kan ta del av uppgifterna. Men samtidigt upplever den stora majoriteten att svenska myndigheter uppträder korrekt. 85 procent uppgav att de aldrig upplevt att deras eller deras familjers integritet har blivit kränkt av något beslut som en myndighet har fattat. Nio procent uppgav dock att det har hänt en gång och sex procent att det har hänt flera gånger. Vari kränkningarna bestod framgår inte av undersökningen.47

Den största risken som människor upplever är dock att information om den enskilde ska komma ut från myndigheten och hamna i ”orätta händer”, hos individer som kan utsätta den enskilde för miss-

44 Försäkringskassans formulär som ska fyllas i vid ansökan om assistansersättning är ungefär 40 sidor där en rad personliga uppgifter ska lämnas. Det handlar om en mycket detaljerad kartläggning av den enskilde. 45 Uttrycket ”Storebror ser dig” har sitt ursprung i George Orwells välkända roman 1984. Övervakningssamhället finns med i till exempel Kristoffer Gunnartz bok ”Välkommen till övervakningssamhället” från 2007 och Pär Ströms ”Vadå privatliv? – Om det framväxande övervakningssamhället” från 2013. 46 Abrahamsson, O., Integritetsskyddet i samhällsdebatten, Appendix till SOU 2007:22. 47SOU 2007:22 Del II bilaga.

aktning på grund av hennes personliga förhållanden. I opinionsundersökningen var det inte mer än 10 procent som ansåg att myndigheterna samlar in för mycket uppgifter. (Det var faktiskt något fler som ansåg att de samlar in för lite uppgifter!) Majoriteten ansåg inte att insamlingen av uppgifter i sig var något problem, men tre av fyra upplevde att risken för läckage var det. Den risken motiverar starkt fokus på sekretess och tekniska åtgärder för att skydda uppgifterna.

Vilka de ”orätta händerna” är kan naturligtvis variera. En risk som ibland nämns i debatten är att en främmande ockupationsmakt skulle kunna komma över uppgifter och använda dem mot enskilda. Den risken kan naturligtvis inte uteslutas och får beaktas i strategin för hanteringen av personregister på myndigheter, till exempel under vilka förhållanden registren ska förstöras.

Vad som kan hända under mer normala omständigheter är till exempel att uppgifter om sjukdomshistoria eller genetiska anlag kommer i händerna på en arbetsgivare eller ett försäkringsbolag. Det skulle kunna leda till missgynnande beslut för den enskilde vid en anställning eller när en försäkring ska tecknas.48 Det kan också tänkas att illasinnade personer bara vill sprida en ofördelaktig bild av någon och därför lägger ut känsliga uppgifter på nätet. Att det finns individer som gör sådant har vi i dag omfattande erfarenheter av. Det sker i betydande omfattning och utan tillgång till sådana känsliga uppgifter som kan finnas i myndighetsregister. Uppgifter om enskilda som är tillgängliga på andra sätt sprids varje dag över nätet. Att det där naturligtvis också sprids uppgifter som är rena falsarier kan vi i detta sammanhang bortse från.

6.8. Risker vid registerbaserad forskning

Vilka risker för integriteten kan det då innebära att forskare får tillgång till personuppgifter från myndighetsregister?

Först kan slås fast att forskare naturligtvis inte har några som helst möjligheter till myndighetsutövning mot enskilda. Forskare kan inte rikta några krav mot enskilda. Mot hänsyn till det är det från integritetssynpunkt färre typer av risker som blir aktuella vid behandling av personuppgifter i forskning. Den risk som främst finns

48 Enligt lagen (2006:351) om genetisk integritet m.m. är det visserligen förbjudet för ett försäkringsbolag att i normalfall använda genetisk information, men det går inte att förneka att risken ändå finns att det skulle kunna beaktas.

är att någon obehörig, av misstag eller slarv kommer över uppgifter och missbrukar dessa, eller att forskaren själv gör det.

De uppgifter som forskaren kan vara intresserad av är ofta känsliga och hos myndigheterna ofta skyddade av sekretess, i många fall absolut sekretess.

Absolut sekretess gäller, som tidigare har redovisats, för uppgifter som samlats in för statistiska ändamål. Skälen för absolut sekretess för uppgifter som samlats in för statistiska ändamål är tre. Det första är att offentlighetsintresset för sådana uppgifter anses väga lätt. Det andra är att man bedömer att en sammanställning av i och för sig harmlösa uppgifter ibland kan vara integritetskänslig. Och det tredje, och kanske viktigaste, är att den enskilde uppgiftslämnaren ska vara säker på att hans uppgifter inte kommer ut. Detta skäl väger särskilt tungt när det gäller uppgifter som samlas in för statistiska ändamål direkt från enskilda. I dessa fall är man beroende av höga svarsfrekvenser för att resultaten ska bli tillförlitliga och det är därför viktigt att de tillfrågade inte tvekar att svara av rädsla för att uppgifterna ska komma ut.49

Som tidigare har framgått kan emellertid personuppgifter som har insamlats för statistiska ändamål under vissa villkor lämnas ut till forskare. När så sker från registerhållande myndigheter till ett statligt universitet eller en statlig högskola följer sekretessen automatiskt med.50Det har inte heller, så vitt jag har kunnat utröna, förekommit att känsliga uppgifter läckt ut från forskningsmiljöer. Man kan fråga sig vad det kan bero på. Det finns flera tänkbara skäl, som dessutom mycket väl kan samverka.

Det viktigaste är kanske just att uppgifterna även i forskningsmiljön är sekretessbelagda och att det är straffbart att sprida dem.

Till det kommer att forskare inte primärt är intresserade av individer utan av mönster i populationer. De vet dessutom att om något skulle läcka ut så bränner de sina skepp som forskare. Incitamenten talar alltså emot att forskare avsiktligt skulle läcka uppgifter och för att de anstränger sig för att de och dem de omger sig med ska leva upp till sekretessbestämmelserna.

Eventuella läckor skulle naturligtvis drabba den enskilda forskare som är ansvarig, men riskerar också att missgynna dennes kollegor och det lärosäte där vederbörande är anställd. Det är ytterst lärosätena, forskningshuvudmännen, som är ansvariga för behandlingen

49 Se avsnitt 5.6.3.5. 50 Sekretessen följer med om det inte hos den mottagande myndigheten finns en primär sekretess som tar över. Vid utlämnande till enskilda gäller särskilda förbehåll. Se avsnitt 5.6.3.6.

av personuppgifter. Universiteten och högskolorna lägger därför i regel stor vikt vid att hantera personuppgifter på ett säkert sätt. Det kan dock i vissa fall finnas brister i hanteringen som motiverar ytterligare åtgärder för att stärka datasäkerheten vid universitet och högskolor.

Forskare får dessutom i flertalet fall endast ut anonymiserade uppgifter från myndigheter. Den risk som återstår när anonymiserade uppgifter lämnas ut, oavsett om uppgifterna är avidentifierade eller kodade, är bakvägsidentifiering. Det innebär att man med hjälp av ett antal uppgifter om en individ kan lista ut vem det är. Även med tillgång till ganska få variabler, om det är ”rätt” variabler, till exempel kön, födelseland och yrkestillhörighet, är det inte alltför komplicerat att identifiera åtminstone några individer i en population. I vissa ”celler”, där alltså sådana variabler har kombinerats, kan det finnas bara en eller ett fåtal individer, till exempel en cell som består av kvinnliga advokater födda i Somalia. För det stora flertalet observationer är det naturligtvis mer komplicerat än så, men man kan likväl inte blunda för denna risk. Möjligheterna till bakvägsidentifiering tycks dessutom öka med den tekniska utvecklingen. Det finns exempel på hur man genom så kallad data mining har kunnat sambearbeta anonyma uppgifter från olika publika register, upprättade och tillgängliggjorda av privata aktörer, och återidentifiera individerna.51

Det kan också finnas en risk att i ett totalregister med hjälp av några harmlösa variabler identifiera en person som är känd. Om det i registret också finns känsliga uppgifter kan de knytas till denna person, till exempel uppgifter om sjukdomar.

Riskerna vid utlämnande av uppgifter till forskning har i olika sammanhang överhuvudtaget bedömts som små. I propositionen om den tidigare sekretesslagen konstaterades att man i allmänhet bör kunna lämna ut uppgifter till forskning utan risk för att skada eller men uppkommer.52Frågan har också varit föremål för rättslig prövning varvid risken bedömts som mycket liten.53 Detsamma gäller i vissa ärenden som har överprövats av regeringen.54 Etikprövnings-

51 Porter, C.C., De-identified Data and Third Party Data mining: the Risk of Reidentification of Personal Information, 5 Shidler J.L. Com. & Tech. 3 (Sep 23, 2008) 52Prop. 1979/80:2 Del A s. 84. 53SOU 2007:22 Del 1 s. 360; RÅ 1988 ref. 103, RÅ 1994 not. 732, RÅ 1996 not. 124. 54 Regeringsbeslut 2010-11-25 Dnr S2009/10484/HS; Regeringsbeslut 2012-04-26 Dnr Fi2011/2648.

nämnderna värderar i sina överväganden normalt risken som mycket låg, särskilt vid utlämnande av anonymiserade uppgifter.55

Det kan också konstateras att den som vill komma åt uppgifter om någon specifik individ betydligt enklare kan hitta sådana i andra, mer lättillgängliga informationskällor, än forskningsregister, särskilt om det dessutom kräver bakvägsidentifiering i ett stort datamaterial.

Sammantaget är det min bedömning att riskerna för den personliga integriteten är mindre vid behandling av personuppgifter i forskning än hos registerförande myndigheter. Ett skäl är att forskare för det mesta behandlar anonymiserade uppgifter och ett annat att de inte har någon möjlighet till myndighetsutövning mot enskilda. Samtidigt kan sägas att all spridning av uppgifter utanför myndigheterna innebär att den samlade risken ökar något.

Allt detta innebär att forskare, liksom statistikansvariga myndigheter, alltid måste vara vaksamma när de presenterar sina resultat så att individers integritet skyddas. Det finns olika regler som måste följas för att minimera sådana röjanderisker.56

Det finns i detta sammanhang skäl att kommentera den så kallade Metropolitundersökningen som i mitten av 1980-talet fick mycket uppmärksamhet. Abrahamsson kallar den i sin genomgång av integritetsskyddet i samhällsdebatten till och med för ”Metropolitskandalen” och det ordet återkommer i en artikel i Datainspektionens tidning Integritet i fokus i slutet av 2013 där man dessutom hävdar: ”Tusentals granskade i hemlighet”.57Metropolit var ett forskningsprojekt som i mitten av 1960-talet initierades av sociologiska institutionen vid Stockholms universitet. Avsikten var att under livet följa en årgång av individer, alla som bodde i Stockholm 1963 och som var födda 1953. Totalt handlade det om drygt 15 000 individer. Projektet och dess databas kallas numera Stockholm Birth Cohort, men alla uppgifter är sedan lång tid tillbaka avidentifierade.

Tanken var att med jämna mellanrum samla in uppgifter direkt från de berörda personerna och deras anhöriga, men också att komplettera med uppgifter från register. Syftet var att undersöka hur social och socioekonomisk bakgrund påverkade människors välstånd över tid. Naturligtvis var man i förlängningen intresserad av vilka interventioner som kunde göras för att stärka individer med ett svagt utgångsläge. Undersökningen var förankrad hos myndigheter och organisationer, till exempel Hem och Skola, som ansågs

55 Samtal med CEPN:s vetenskaplige sekreterare Peter Höglund 2014-02-04. 56 Se t.ex. SCB, Handbok i statistisk röjandekontroll av tabeller, 2010-01-29. 57 Integritet i fokus, nr 3-4 2013, Datainspektionen.

representera även de föräldrar vars barn skulle följas. När Datainspektionen inrättades 1973 fick forskarna medgivande från myndigheten att bedriva sin forskning.58

I den kritik som riktades mot projektet hävdades således att det hade försiggått i hemlighet och berört de inblandade mycket illa. Med perspektiv på debatten anser jag att man kan konstatera att reaktionerna var starkt överdrivna och till stor del frampiskade av medierna. Projektet var ingalunda hemligt utan väl förankrat hos myndigheter och intresseföreträdare. Något läckage av uppgifter hade inte förekommit. Däremot var beredskapen hos universitetet att i enlighet med datalagen lämna ut registerutdrag till de berörda individerna otillräcklig.

Det är inte svårt att se goda skäl för att göra det slag av longitudinella studier som Metropolit representerade, där individer följs över tid för att man ska kunna bedöma vad olika uppväxtförhållanden, utbildningar et cetera betyder. Vetenskapsrådet (VR) har bedömt att projektet och dess data än i dag är av stort värde för hälso- och välfärdsforskningen. Det kan också noteras att man i ett systerprojekt i Köpenhamn har kunnat behålla individkopplingen och därmed följa individerna under längre tid. I en uppföljande enkät för några år sedan fick man en svarsfrekvens på cirka 70 procent vilket i sammanhanget är mycket högt.

En lärdom från Metropolitprojektet är dock att det är viktigt att ta de värderingar och den oro som finns hos allmänheten på allvar. Risken är annars att en viktig forskningsmetod stigmatiseras. Förutsättningarna för att driva ett projekt av detta slag är i dag också helt annorlunda än på 1960-talet. Nu krävs etiktillstånd för en sådan studie och det förutsätts att personer som intervjuas samtycker till att kompletterande uppgifter om dem ska kunna hämtas ur myndighetsregister (eller, om det inte har skett, att etikprövningsnämnden godkänner en sådan komplettering) och till att deras barn ska få besvara enkätfrågor.59

Registerbaserad forskning karaktäriseras av att forskarna använder stora mängder uppgifter för att söka samband. Det är ovanligt att de har kontakt ansikte mot ansikte med uppgiftslämnarna. Det kan emellertid förekomma att en del uppgifter samlas in av forskarna i direkt från forskningspersonerna. Inom kvalitativ forskning, som bygger på insamling av uppgifterna från få personer, är sådana kontakter det normala. Direktkontakter av detta slag kan kräva

58 Ibid. 59 Stenberg, S-Å., Född 1953. Folkhemsbarn i forskarfokus. Boréa. Finland 2013.

särskilda etiska överväganden för att forskaren ska kunna hantera oväntade situationer, till exempel om individen som approcheras reagerar negativt på de frågor som ställs eller om en intervju leder in på helt andra spår än forskaren har tänkt sig.60

6.9. Etisk prövning

Forskares användning av känsliga personuppgifter, liksom av biologiska prover, måste således numera alltid föregås av en etisk prövning enligt etikprövningslagen. Etikprövningsnämndens uppgift är enligt lagen att skydda den enskilda människan och respekten för människovärdet vid forskning.61

Att det finns sådana krav på etisk prövning för ett handlande är tämligen unikt för forskningen. I många andra sammanhang kan mer ingripande åtgärder vidtas utan i varje fall någon explicit etisk prövning. En forskare som vill ställa känsliga frågor till individer måste ha etiktillstånd, även om frågorna ställs efter informerat samtycke, medan journalister eller ett kommersiellt företag som samlar in liknande uppgifter inte behöver det. Forskaren måste ofta avidentifiera sina data, vilket ett kommersiellt företaget inte behöver göra. Vid medicinsk forskning krävs alltid etiktillstånd medan samma aktiviteter i klinisk verksamhet kan ske utan särskilt tillstånd. Vid militärtjänst kan personer utsättas för risker som inte skulle accepteras i forskningssammanhang. Ett forskningsprojekt som önskade mäta effekterna av minskad belysning på ett vägavsnitt skulle knappast få etiskt tillstånd, medan belysningen utan något tillstånd kan reduceras av till exempel budgetskäl.62

Jag har tidigare nämnt hur företaget Lexbase samlat in ett stort antal domar och gjort dem tillgängliga på nätet. Professor Elisabeth Rynning har i en artikel konstaterat att om en rättsvetenskaplig forskare vill utnyttja samma material i sin forskning krävs etiktillstånd för detta.63

Kraven på forskning är från etisk utgångspunkt alltså mycket strikta jämfört med praktiskt taget all annan verksamhet. Forsk-

60 Guillemin, M., Gillam, L. Ethics, Reflexivity, and ”Ethically Important Moments” in Research. Qualitative Inquiry 2004 10:261, http://qix.sagepub.com/content/10/2/261 61 Se avsnitt 5.5.1. 62 Hansson, S-O., Do we Need a Special Ethics for Research?, Sci Eng Ethics DOI 10.1007/s1 1948-009-9186-6. Springer 2009-11-26. 63 Rynning, E. Privatlivet och forskningen – en dyster lägesbeskrivning, SvJT 2009; Rynning, numera justitieråd i Högsta förvaltningsdomstolen, är i artikeln kritisk mot det krav som finns på etiktillstånd för rättsvetenskaplig forskning i sådana fall.

ningen har behov av en stark ställning hos och ett starkt förtroende från allmänheten. Därför är det rimligt att de etiska kraven är särskilt starka när det gäller forskningsverksamhet. Men det kan också finnas skäl att påminna om dessa långtgående krav när riskerna med forskning ska bedömas.

Effekterna av de krav som ställs bidrar sannolikt till det förtroende hos allmänheten som forskare och forskning åtnjuter. I en europeisk undersökning svarade 77 procent ja på frågan om man anser att inflytandet från forskning och teknisk utveckling är positivt för samhället. I Sverige var det hela 94 procent. I EU ansåg 82 procent att forskare vid universitet uppträder ansvarsfullt i meningen att de tar hänsyn till vilka effekter deras forskning har på samhället. I Sverige var siffran 91 procent. 66 procent i EU ansåg att forskning och teknisk utveckling bidrar till att göra våra liv enklare, bekvämare och mer hälsosamma. 77 procent av de tillfrågade svenskarna instämde.64 En liknande undersökning utförd år 2014 på uppdrag av föreningen Vetenskap & Allmänhet gav liknande resultat.65 Integritetsskyddskommittén framhåller att det är angeläget att lagstiftning, och man kan tillägga verksamheter i samhället, så långt möjligt bör återspegla medborgarnas uppfattning om vad som är rätt och fel. Dessa opinionssiffror visar, i varje på ett generellt plan, att medborgarna tycker det är rätt att satsa på forskning.

Det ska dock konstateras att de lagliga kraven på etisk prövning inte gäller all forskning utan endast sådan som innefattar vissa fysiska ingrepp på levande eller döda personer och behandling av känsliga personuppgifter (såsom de definieras i PUL), personuppgifter om lagöverträdelser som innefattar brott med mera och biologiska prover. De etikkommittéer som tidigare fanns vid universitetens medicinska fakulteter och vid Humanistisk-Samhällsvetenskapliga och Socialvetenskapliga forskningsråden behandlade i många fall forskning som i dag faller utanför etikprövningslagens gränser. Det finns dock en möjlighet för forskare att i sådana fall inhämta ett så kallat rådgivande yttrande från en etikprövningsnämnd. Denna kan då meddela att den inte ser några etiska hinder för att projektet ska genomföras, ge råd om forskningens genomförande eller ange villkor för en positiv bedömning. Nämnden har dock ingen skyldighet att avge sådana yttranden, bara en rätt att göra det. Det har mot den

64 Special Eurobarometer 401, Responsible Research and Innovation (RRI), Science and Technology, november 2013, ec.europa.eu/public_opinion/index_en.htm. 65 VA-barometern 2013/14. 89 procent uppgav sig ha ganska eller mycket stort förtroende för forskare vid universitet och högskolor.

bakgrunden föreslagits att det skulle införas en lagstadgad skyldighet för etikprövningsnämnderna att ge yttranden till dem som så önskar.66Jag ska senare återkomma till den frågan.67

6.10. Informerat samtycke

När uppgifter samlas in direkt från individer av forskare är deltagandet alltid frivilligt. Om det handlar om känsliga personuppgifter eller personuppgifter om lagöverträdelser sin innefattar brott med mera krävs dessutom etiktillstånd. Forskaren måste i etikansökan ange vilket ändamålet är med forskningen, men forskaren har också en skyldighet att informera uppgiftslämnarna (forskningspersonerna) om det är så att deras deltagande grundar sig på kunskaper om vad de medverkar i (informerat samtycke). När de frivilligt svarar på frågor eller lämnar prover är det närmast självklart att det sker med samtycke, och samtycket ska också vara informerat, det vill säga forskningspersonen ska veta hur uppgifter och prover ska användas för att kunna ta ställning till vad deltagandet innebär. Samtycket kan också inkludera att forskningspersonerna går med på att de uppgifter och prover de lämnar får kompletteras med uppgifter ur myndighetsregister.

Kravet på samtycke kan härledas ur principen om individers rätt till autonomi. Med det menas i detta sammanhang att hon så länge det inte inkräktar på någon annans rätt till självbestämmande bör ha rätt att bestämma över sitt liv. Man tänker sig att den autonoma individen agerar fritt i enlighet med sin egen livsplan. Respekten för hennes autonomi kräver att hon får möjlighet att själv fatta meningsfulla beslut. Tillgång till korrekt och begriplig information och avsaknad av påtryckningar är viktiga förutsättningar för det. Att inhämta ett informerat samtycke från blivande forskningspersoner kan ses som ett uttryck för respekt för deras autonomi.

Principen har i den så kallade Helsingforsdeklarationen68 med etiska riktlinjer för medicinsk forskning kommit till uttryck på följande sätt.

66 Vetenskapsrådet, God forskningssed Vetenskapsrådet rapportserie 1:2011 s. 50 och 60. 67 Se avsnitt 8.3.1 och avsnitt 9.1.2. 68 Se avsnitt 5.4.2.

Artikel 26 In medical research involving human subjects capable of giving informed consent, each potential subject must be adequately informed of the aims, methods, sources of funding, any possible conflicts of interest, institutional affiliations of the researcher, the anticipated benefits and potential risks of the study and the discomfort it may entail, poststudy provisions and any other relevant aspects of the study. The potential subject must be informed of the right to refuse to participate in the study or to withdraw consent to participate at any time without reprisal. Special attention should be given to the specific information needs of individual potential subjects as well as to the methods used to deliver the information.

After ensuring that the potential subject has understood the information, the physician or another appropriately qualified individual must then seek the potential subject’s freely-given informed consent, preferably in writing. If the consent cannot be expressed in writing, the non-written consent must be formally documented and witnessed.

All medical research subjects should be given the option of being informed about the general outcome and results of the study.

Artikel 32 For medical research using identifiable human material or data, such as research on material or data contained in biobanks or similar repositories, physicians must seek informed consent for its collection, storage and/or use. There may be exceptional situations where consent would be impossible or impracticable to obtain for such research. In such situations the research may be done only after consideration and approval of a research ethics committee.

En diskussion pågår sedan länge om vilken information som behövs för att ett samtycke ska vara informerat. Datainspektionen skriver på sin hemsida att ett samtycke måste vara särskilt och att ett generellt samtycke till behandling av personuppgifter inte kan godtas. Samtycket ska gälla behandling av personuppgifter för ett eller flera preciserade ändamål. Det är till exempel inte acceptabelt att samtycka till att hälsouppgifter får behandlas för ”allehanda framtida forskning”. För att samtycket ska var giltigt ska den registrerade ha fått ”tillräcklig information” om behandlingen av uppgifterna. Frågan är hur snävt forskningsändamålet måste definieras och hur mycket information som är tillräcklig.

Från en del håll menar man att ett brett samtycke till olika slags forskning inte kan vara informerat, eftersom individen inte får specifik information om all forskning som dennes uppgifter/prover kan komma att användas i. Ju bredare samtycket är, desto mindre informerat

blir det enligt detta synsätt.69Andra menar att ett samtycke kan vara informerat trots att informationen som ges är generell, om den täcker allt det som är tillräckligt för individens ställningstagande.70Från ett sådant perspektiv är mer information inte nödvändigtvis bättre. Denna fråga är central, eftersom användbarheten av sparade uppgifter/prover i hög grad påverkas av bredden på samtycket.

Det kan vid första anblicken tyckas självklart att människor alltid bör tillfrågas om exakt vad deras prover och data får användas till. Problemet med att be om förnyat samtycke varje gång en ny forskningsfråga dyker upp är att det kräver resurser i form av både tid och pengar. Även för individerna, som måste samtycka många gånger, kan ett sådant system vara krävande. Det kan till och med leda till att de avstår från att delta trots att de gärna skulle vilja medverka till den aktuella forskningen.

Någon opinionsundersökning som ställer precis de frågor som det förda resonemanget reser har jag inte funnit. SCB gjorde dock på uppdrag av Patientdatautredningen år 2005 en undersökning där vissa frågor ställdes. De handlade huvudsakligen om användning av uppgifter i patientjournaler, alltså identifierbara uppgifter. Ungefär två tredjedelar av de tillfrågade ansåg att uppgifterna skulle få användas för att förbättra kvaliteten i hälso- och sjukvården och till forskning. Var åttonde delade inte den uppfattningen. Men nästan hälften ansåg att patienter skulle ha möjlighet att förhindra att uppgifterna användes för sådana ändamål och drygt var fjärde att patienterna själva skulle få bestämma vilka uppgifter som skulle kunna användas.71

De regler som finns om informerat samtycke har sitt ursprung i reaktionen mot hur man i Nazityskland experimenterade på människor. Det motiverade krav på samtycke i medicinsk forskning.72Reglerna riktade ursprungligen in sig på vad som brukar kallas invasiv forskning. Det gäller till exempel den artikel 26 i Helsingforsdeklarationen som citerats ovan. Det är i sådana fall självklart att projektet och riskerna måste beskrivas noga för de potentiella försökspersonerna så att de är välinformerade även om detaljer när de tar ställning till sin medverkan. I artikel 32 understryks att insam-

69 Amason, V., Coding and consent: moral challenges of the database project in Iceland. Bioethics 2004: 18(1): 27-49. 70 Hansson, MG., Dillner, J., Bartram CR. Et al, Should donors be allowed to give broad consent to future biobank research? Lancet Oncol 2006; 7(3): 266-9. 71 Din patientjournal Enkätundersökning 2005. Uppdragsgivare: Patientdatautredningen. SCB. 72 Beauchamp, T.L., Childress, J.F., Principles of Biomedical Ethics. Oxford 2013. Sid 120.

ling av uppgifter/prover också förutsätter samtycke. För användning av redan insamlade uppgifter/prover måste det emellertid finnas en större öppenhet för att avstå från samtycke i varje enskilt fall och i stället luta sig mot godkännande i en etisk kommitté. Det förefaller inte orimligt att man i dessa fall redan vid insamlingen av uppgifterna/proverna ska kunna inhämta ett bredare samtycke från individerna, till exempel att de medger att deras uppgifter eller prover efter etikprövning får användas i framtida forskning inom ett ganska brett fält. Den så kallade Artikel 29-gruppen73 har i en Opinion från 2011 konstaterat: ”It should be sufficient in principle for data controllers to obtain consent only once for different operations if they fall within the reasonable expectations of the data subject.”74Det kan noteras att det samtycke som ges för användningen av vävnadsprover enligt biobankslagen är av detta ”breda” slag.75

Att acceptera att den enskilde ska kunna ge ett sådant brett samtycke kan också, för att knyta an till diskussionen om integritetens paradoxer, vara att visa respekt för dennes integritet och autonomi. Det kan som antytts inte uteslutas att enskilda kan uppleva det som krävande och rent av integritetskränkande att vid upprepade tillfällen behöva samtycka till att deras uppgifter/prover får användas för olika forskningsprojekt. Som har framgått måste varje enskilt forskningsprojekt som vill använda känsliga personuppgifter eller prover ha etiktillstånd från etikprövningsnämnden. Man kan således se det så att den enskilde som ger ett brett samtycke väljer att delegera den etiska prövningen i varje enskilt forskningsprojekt till etikprövningsnämnden.

Det bör också framhållas att samtycke i vissa situationer är ogörligt. Det kan handla om uttag av uppgifter om ett mycket stort antal individer där det inte är rimligt att begära att alla personer ska kontaktas. I de fall det är fråga om anonymiserade personuppgifter är det inte heller möjligt för forskare att kontakta personerna. I Helsingforsdeklarationen artikel 32 öppnas för sådana situationer och också i svensk lagstiftning har de beaktats. Enligt 10 § PUL får uppgifter behandlas om den enskilde har lämnat sitt samtycke eller om behandlingen är nödvändig för att exempelvis en arbetsuppgift av allmänt intresse ska kunna utföras. Forskning kan vara ett exempel på en sådan arbetsuppgift. Om det handlar om känsliga person-

73 Se avsnitt 5.3.4.6. 74 Article 29 Data Protection Working Party, Opinion 15/2011 on the definition of consent, Adopted on 13 July 2011, http://ec.europa.eu/justice/data-protection/index_en.htm 75 Biobankslagen, 3 kap 1 §

uppgifter i PUL:s mening (§ 13) krävs enligt 19 § PUL etikgodkännande. Etikprövningsnämnden har i sitt beslut att bedöma huruvida samtycke krävs eller inte. Vid uttag av omfattande registeruppgifter, särskilt i anonymiserad form, är praxis att inte begära att samtycke inhämtas.76

Lagstiftaren har således beaktat situationer där inhämtande av ett aktivt samtycke för ett konkret forskningsprojekt i praktiken är ogörligt. Utgångspunkten är då att uppgifterna redan är insamlade och finns i ett myndighetsregister eller en biobank. Det är inte lika tydligt hur lagstiftaren ställer sig vid insamling av uppgifter för forskningsändamål och där syftet är att uppgifterna ska kunna användas till flera olika, i dag okända forskningsprojekt. En av Datainspektionens invändningar mot det så kallade LifeGene-projektet vid Karolinska Institutet var att man ansåg att forskningspersonerna inte kunde ge ett informerat samtycke när de lämnade sina prover och uppgifter eftersom de inte kunde få kunskap om i vilka konkreta forskningsprojekt dessa skulle komma att användas. Den tolkningen av lagstiftningen blir enligt min mening orimligt restriktiv. Den skulle i praktiken göra det omöjligt att samla in uppgifter från ett stort antal individer om man inte redan vid insamlingen vet vilka forskningsfrågor som man i framtiden vill analysera. En beslutskompetent vuxen person måste således ha möjlighet att lämna uppgifter på grundval av informationen att de ska användas till forskning inom ett ganska brett fält utan att veta exakt vilka forskningsfrågor som kommer att ställas.

Även om forskare således inte alltid kan inhämta samtycke för varje forskningsprojekt finns goda möjligheter att informera om dessa på annat sätt. En metod är att annonsera om planerade projekt och därvid upplysa individer om att de har möjlighet att anmäla att de inte vill att deras uppgifter ska användas i projektet. Sådana krav ställs ibland i samband med att etiktillstånd ges. Sådana annonser blir dock lätt en form av skeninformation. Det är tillfälligheter som avgör om de berörda individerna läser annonsen. Det är inte heller alltid helt enkelt att avgöra hur det praktiskt ska gå till om någon önskar dra sig ur, särskilt inte om det sker när uppgifterna överlämnats till forskaren i anonymiserad form. Forskaren vet då inte om den person som anmäler att han eller hon inte vill ha sina uppgifter med i forskningen överhuvudtaget finns med i det urval som forskaren har fått tillgång till. Utlämnande myndighet kan bedöma att det är

76 Se avsnitt 8.3.1.

olämpligt att efter att ha lämnat ut anonymiserade uppgifter ta tillbaka vissa uppgifter. Forskaren får då kännedom om vilka uppgifter som är kopplade till just den individ som inte vill vara med. Min bedömning är att det finns vägande invändningar mot detta slags annonsförfarande.

Däremot finns det starka skäl att forskare ska visa öppenhet med sin forskning. I vissa fall har etikprövningsnämnden bedömt att det bästa sättet att informera är att på nätet öppet berätta om forskningen och de uppgiftssamlingar den baseras på. På det sättet kan den som är intresserad skaffa sig djupare kunskaper om vad som pågår och eventuellt själv kontakta forskare för fördjupad information.

6.11. Rätten att dra tillbaka ett samtycke

I dag gäller att i de fall uppgiftslämnandet är frivilligt kan den enskilde också dra sig ur om han eller hon omvärderar sin medverkan. Den praktiska erfarenheten är att få gör det. Av allt att döma handlar det, när det gäller kvalitetsregister och biobanker, om delar av promillen.77I förtroendeskapande syfte är det ändå rimligt att en sådan möjlighet finns. Under normala förhållanden är priset som sagt lågt. Men det har i diskussionen kring denna möjlighet ändå rests ett varningens finger. Vad händer om ett stort antal personer efter spekulativa skandalskriverier väljer att dra sig ur till exempel en biobank? En bank som har byggts upp under åratal och som är viktig för forskningen och därmed för hälso- och sjukvårdens utveckling kan på kort tid ruineras. Är det acceptabelt? En tanke som mot denna bakgrund har väckts är att man skulle kombinera rätten att dra sig ur med en obligatorisk betänketid. Det är naturligtvis inget absolut hinder mot att detta skulle kunna inträffa men det skulle hindra att det sker i panik.78

Det bör också uppmärksammas att ett tillbakadragande kan ha olika innebörd. Det kan innebära att individen i fråga inte vill bli kontaktad mer men att uppgifter som finns tillgängliga får användas i forskning, att uppgifterna får användas i forskning men bara i anonymiserad eller till och med avidentifierad form, att uppgifterna

77 Johansson, I., Hansson, MG., Eriksson, S., Helgesson, G., Patient’s refusal to censent to storage and use of samples in Swedish biobanks: cross-sectional study. British Medical Journal, 2008; 337: p.a345-a345. 78 Hug, K., Hermerén, G. och Johansson, M., Withdrawal from Biobank research: Considerations and the Way Forward, Stem Cell Rev and Rep (2012) 8:1056-1065, DOI 10.1007/s12015-012-9399-y.

får användas för vissa forskningsändamål men inte för andra, eller att de över huvud taget inte får användas i forskning.79

6.12. RF och sekundäranvändning av uppgifter/prover

Som redovisats trädde nya regler i RF i kraft den 1 januari 2011. Var och en är enligt 2 kap. 6 § gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Mot bakgrund av den nya lydelsen pågår nu en översyn av vilka registerförfattningar som för närvarande är beslutade av regeringen och som kan behöva regleras genom lag. Övergångsbestämmelser gäller fram till den 31 december 2015. Frågan är vilken betydelse den nya bestämmelsen har för användning av uppgifter/prover i forskningen.

Integritetsskyddet i RF tar sikte på sådana åtgärder som sker utan samtycke. I de fall forskare samlar in uppgifterna/proverna direkt från enskilda sker det med samtycke och dessa uppgifter berörs därför i princip inte av grundlagsändringen. Om det handlar om att använda uppgifter som samlats in av forskare för andra ändamål än dem som ursprungligen angetts kan frågeställningen dock bli likartad den som diskuteras i det följande.

Grundlagsändringen utgick ifrån Integritetsskyddskommitténs förslag. Kommittén hade pekat på att man i olika lagstiftningsärenden bristfälligt hade redovisat vilka avvägningar som hade gjorts mellan motstående intressen och att särskilt de negativa effekterna av olika integritetsbegränsande åtgärder hade blivit knapphändigt belysta. En följd av grundlagsändringen är att lagstiftaren tvingas att tydligt redovisa vilka avvägningar som gjorts vid en sådan proportionalitetsbedömning. En fråga är vad som ska förstås med betydande intrång. Regeringen diskuterar i propositionen om grundlagsändringen hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring, bearbetning eller utlämnande av uppgifter. Man framhåller att ju känsligare uppgifterna är och ju fler uppgifter som samlas, desto mer ingripande måste hanteringen anses vara. Samtidigt framhålls det att stor vikt också måste läggas vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan således normalt anses var mer känslig än till exempel en hantering som uteslutande sker för att ge en myn-

79 Ibid.

dighet underlag för förbättringar av kvaliteten i handläggningen. Vid utlämnande av uppgifter är en viktig omständighet dessutom på vilket sätt och för vilka syften mottagaren hanterar uppgifterna.

Regeringen erinrar i sammanhanget om att konstitutionsutskottet i flera lagstiftningsärenden om myndigheters personuppgiftsbehandling framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag. Regeringen har också uttalat att behovet av lagstiftning är särskilt stort om uppgifterna sprids externt. Regeringen konstaterar att det är förenat med svårigheter att peka ut vilka specifika företeelser som är av sådant slag att de innebär betydande intrång i integriteten. I sista hand är det riksdagen som får avgöra vilka företeelser som är av så ingripande karaktär att de kan genomföras bara med stöd av lag.80

Frågan är nu hur man ska se på sekundäranvändning av personuppgifter i forskning, främst uppgifter som skyddas av sekretess och som är känsliga enligt PUL:s definition. Användningen av känsliga personuppgifter föregås, som framgått, av ett särskilt förfarande. Den kräver etiktillstånd. Beslut om utlämnande av personuppgifter föregås av prövning enligt OSL. Etikprövningsnämnden godkänner årligen hundratals forskningsprojekt som innebär återanvändning av känsliga personuppgifter och myndigheterna lämnar ut uppgifter till forskare avseende än fler forskningsprojekt. Detta förfarande infördes emellertid innan den här diskuterade grundlagsändringen gjordes. Det finns därför skäl att överväga om utlämnande till forskning av personuppgifter som skyddas av sekretess är förenligt med den nya grundlagsbestämmelsen.

När uppgifterna, särskilt känsliga uppgifter, samlas in och behandlas hos myndigheter kan det uppfattas som ett betydande intrång i den personliga integriteten och oavsett syftet kan effekten bedömas vara övervakning och framförallt kartläggning. Det är därför sådan behandling av personuppgifter hos myndigheter alltid kräver lagstöd. I särskilda registerförfattningar anges för vilket ändamål uppgifter får samlas in och i övrigt behandlas. De får sedan inte behandlas för andra ändamål som är oförenliga med detta. Vetenskapliga, statistiska och historiska ändamål är dock, som vi har sett, inte oförenliga med det ursprungliga ändamålet. Jag menar därför att behandlingen av uppgifterna i forskning ytterst har rättsligt stöd i de registerförfattningar som ger grund för behandlingen av uppgifterna hos myn-

80Prop. 2009/10:80 s. 171185.

digheten. Forskningens utnyttjande av personuppgifterna syftar i än lägre grad än myndigheternas till någon övervakning eller kartläggning av den enskildes personliga förhållanden. Som framhållits tidigare är syftet med särskilt registerbaserad forskning inte kartläggning av individer utan av mönster i en population. Det är således rimligt att generellt betrakta sekundäranvändning av uppgifter som har samlats in med stöd av lag som fullt grundlagsenlig.

Det förhållandet att bland annat forskning allmänt sett inte anses vara oförenlig med de ändamål för vilka uppgifterna i myndighetsregister samlats in innebär dock inte att det gäller vilken forskning som helst. Det måste naturligtvis ställas krav på forskningen i fråga. Behandlingen av uppgifter inom forskningen måste följa lagen. När det gäller behandling av känsliga personuppgifter måste forskningen, som har framgått, föregås av etikprövning. Forskningen kan etikgodkännas bara om det inte finns andra metoder att svara på forskningsfrågorna som är mindre ingripande för individen.

Nästa fråga blir om det finns skäl att se annorlunda på uppgiftssamlingar där forskning är det primära ändamålet och som är avsedda att vara en infrastruktur för olika forskningsprojekt, det vill säga vad jag i denna utredning kallar forskningsdatabaser. Sådana uppgiftssamlingar kan, med undantag för biobanker, enligt gällande lagstiftning inte godkännas av etikprövningsnämnden. Det som skiljer dessa från uppgiftssamlingar, som kan godkännas, är inte i första hand uppgiftssamlingarnas karaktär – uppgiftskällorna är desamma, det vill säga myndighetsregister eller forskningspersonerna själva – utan just att uppgifterna ska kunna användas i flera framtida forskningsprojekt, vars exakta innehåll i dag är okänt.

Det är naturligt att varje sådan forskningsdatabas har ett ändamål som är beskrivet i mer allmänna termer än ett konkret forskningsprojekt – den ska ju tillhandahålla underlag för flera olika projekt – till exempel att uppgifterna ska användas för att studera effekter av arbetsmarknads- och utbildningspolitiken, sambandet mellan arv, miljö och sjukdomar eller utbildningens effekter på individers framtida välfärd. Inom dessa vida ramar kan det bli aktuellt med en rad olika vetenskapliga frågeställningar, även inom olika discipliner.

Datainspektionen har ställt sig tveksam till om sådana uppgiftssamlingar överhuvudtaget ska få skapas, främst på grund av svårigheterna för forskningspersonerna att ge ett informerat samtycke när de konkreta forskningprojekten inte är kända. Riksdag och regering har emellertid i några fall beslutat om uppbyggnad av sådana forskningsdatabaser eller att det ska vara tillåtet att skapa sådana. De torde

härvidlag ha gjort en mer allmän bedömning av värdet av forskning inom de aktuella områdena och menat att riskerna för integritetskränkningar på grund av uppgiftssamlingarna är små. Det bör än en gång understrykas att varje enskilt forskningsprojekt som vill behandla känsliga uppgifter som hämtas från sådana forskningsdatabaser måste ha etiktillstånd. Jag ska senare återkomma till förutsättningarna för att bygga denna typ av forskningsdatabaser och kommer då att föreslå att allt utlämnande av uppgifter från databaserna ska föregås av etikprövning.81 Här ska dock endast diskuteras hur skapandet av sådana databaser kan tänkas förhålla sig till bestämmelserna i 2 kap. 6 § RF.

Som har framgått bedöms i regel de risker som är förenade med sekundäranvändning av registeruppgifter i forskningen som små. Frågan är om det kan innebära någon förhöjd risk för den personliga integriteten när uppgifter samlas i en forskningsdatabas för framtida forskning. För sådana uppgiftssamlingar gäller ofta att uppgifter om fler individer och fler uppgifter om varje individ samlas än för ett enskilt forskningsprojekt och dessutom att de bevaras under längre tid. Det måste dock framhållas att det finns enskilda forskningsprojekt som har bägge dessa kännetecken, det vill säga både många uppgifter och att uppgifterna bevaras under lång tid.

Forskningsdatabaser kan vanligen antas innehålla ett stort antal uppgifter om enskilda, i många fall också känsliga personuppgifter. Det har i förarbetena till lagen om den officiella statistiken konstaterats att en sammanställning även av var för sig harmlösa uppgifter kan innebära en ökad risk för integritetsintrång. Detta gäller till exempel när uppgifter samlas in för officiell statistik. Den slutsats som lagstiftaren har dragit är emellertid inte att man av det skälet ska avstå från att använda sådana uppgifter som underlag för statistik utan att uppgifterna ska omfattas av absolut sekretess. Denna så kallade statistiksekretess regleras generellt i OSL. Samma argument för absolut sekretess kan sägas gälla för uppgiftssamlingar för forskningsändamål, oavsett om det är fråga om konkreta forskningsprojekt eller forskningsdatabaser. I den mån det handlar om uppgifter som hämtas från myndighetsregister där sekretess gäller följer denna i regel automatiskt med om forskningsdatabasen byggs upp vid en statlig högskola. Jag menar dock att det kan finnas skäl att ytterligare förstärka sekretesskyddet i forskningen. Jag ska återkomma med förslag härom.82

81 Se avsnitt 9.4.13. 82 Se avsnitt 8.3.4 och avsnitt 9.3.

Ett annat kännetecken för forskningsdatabaser, liksom för alla longitudinella forskningsprojekt, är att de vanligen kommer att bevaras under längre tid än de uppgiftssamlingar som skapas för tidsbegränsade forskningsprojekt. Syftet med många forskningsdatabaser är just att kunna möjliggöra longitudinell forskning där individer följs över tid. Det är en bedömning i lagstiftningen, till exempel i PUL, att risken för integritetsintrång i viss mån ökar med den tid en uppgiftssamling består. Det är grunden till kraven i 9 § PUL att uppgifter ska förstöras när de inte längre behövs för ändamålet. Mot detta krav står arkivlagens regler om att uppgifter ska bevaras.83När det gäller forskningsdatabaser kan man möjligen tala om en något förhöjd risk på grund av deras varaktighet, men den måste ändå bedömas som begränsad. Om igen gäller att det naturliga sättet att möta risken är genom långtgående åtgärder för skydd och säkerhet.

I den så kallade IFAU-databasen samlas ett stort antal personuppgifter som hämtas ur andra myndighetsregister. Den är ett exempel på en sådan forskningsdatabas som diskuteras i denna utredning. Regeringen har i propositionen om behandling av personuppgifter vid Institutet för utvärdering av arbetsmarknads- och utbildningspolitik (IFAU) konstaterat att behandlingen av personuppgifter som sker där inte kan anses vara ett sådant betydande intrång i den personliga integriteten att det av den anledningen krävs att behandlingen regleras i lag, särskilt som den i detta fall till så stor del avser anonymiserade personuppgifter för forskningsändamål. Med hänsyn till att det handlar om en förhållandevis stor mängd personuppgifter som dessutom kan komma att sparas under en längre tid har regeringen ändå funnit det lämpligt att reglera personuppgiftsbehandlingen i lag.84

Den rättsliga ordning som för närvarande gäller innebär således att personuppgifter som har samlats in för andra ändamål och som skyddas av sekretess, även känsliga uppgifter, kan behandlas i forskning om det står klart att det kan ske utan att det finns risk för skada eller men för den enskilde eller närstående till denne. Riksdagen beslutar i lag om det primära ändamålet för behandling av personuppgifter hos en myndighet, men har också beslutat att sekundärbehandling för statistiska, vetenskapliga och historiska ändamål inte är oförenlig med det i lagen fastställda primära ändamålet. För att bedöma vilken sekundäranvändning, till exempel vilken forskning, som ska vara tillåten har ett särskilt förfarande reglerats i lag (PUL,

83 Se avsnitt 5.8. 84Prop. 2011/12:176 s. 1920.

etikprövningslagen, OSL). Tyngdpunkten i skyddet för den enskildes integritet har dock lagts på att genom sekretessregler, tystnadsplikt och säkerhetsåtgärder, bland annat behörighetsregler, förhindra att uppgifter kommer ut till obehöriga.

Under utredningsarbetet har jag även övervägt vilka konsekvenserna skulle bli av en mer restriktiv tolkning av den nya grundlagsbestämmelsen. Varje behandling av personuppgifter innebär potentiellt ett betydande intrång i den personliga integriteten och kräver därför som framgått stöd i lag. Med en mer restriktiv tolkning av lagen skulle kunna hävdas att sekundäranvändning av uppgifterna, oavsett om det är för statistiska, vetenskapliga eller historiska ändamål, i sig innebär ett sådant betydande intrång som kräver lagstöd i varje enskilt fall. Med en sådan tolkning skulle således den möjlighet som PUL i dag ger att sekundäranvända uppgifter för statistiska, vetenskapliga och historiska ändamål betraktas som grundlagsstridig. En sådan tolkning utgår ifrån att det är behandlingen som sådan av uppgifterna som innebär ett betydande intrång i den personliga integriteten, inte att de skulle kunna missbrukas till men för den enskilde.

Konsekvensen av en sådan restriktiv tolkning skulle bli att riksdagen i varje enskilt fall som avser behandling av personuppgifter utan samtycke i forskningen skulle behöva stifta en lag. Eftersom det i dag handlar om många hundra forskningsprojekt varje år framstår det som en i praktiken omöjlig lösning. I realiteten skulle en sådan tolkning innebära att all behandling av personuppgifter utan samtycke för vetenskapliga och sannolikt statistiska ändamål skulle få upphöra. Jag tror inte att det har varit lagstiftarens avsikt och utgår därför ifrån att denna tolkning avfärdas av regering och riksdag.

Låt mig sammanfatta detta avsnitt om hur regeln i 2 kap. 6 § RF kan tänkas påverka sekundäranvändning av personuppgifter i forskning. Två alternativa tolkningar har redovisats.

Den ena innebär att riksdagen fastställer att personuppgifter som primärt har insamlats för andra ändamål än forskning kan användas också i forskning utan att det innebär ett betydande intrång i den personliga integriteten. Riksdagen beslutar också om genom vilket förfarande det ska bestämmas för vilken forskning uppgifter får användas. Regler finns för processer och vilka instanser under riksdagen som fattar besluten. I det sistnämnda fallet avses regeringen, etikprövningsnämnderna, datainspektionen och registerhållande myndigheter.

Den andra innebär att all behandling av personuppgifter innebär ett betydande intrång i den personliga integriteten och att riksdagen därför alltid måste fastställa de ändamål för vilka personuppgifter får behandlas. Även sekundäranvändning av uppgifter i forskning måste då beslutas av riksdagen.

Min bedömning är att regering och riksdag med grundlagsändringen knappast kan ha haft denna andra tolkning med dess konsekvenser för forskningen i åtanke. Slutsatsen är således att sekundäranvändning av personuppgifter i forskning är grundlagsenlig också utan riksdagsbeslut i varje enskilt fall. Uppbyggnaden av en forskningsdatabas av det slag som finns hos IFAU betraktas inte som ett betydande intrång i den personliga integriteten och kräver därför inte av det skälet stöd i en särskild lag. Däremot är det, som jag ska återkomma till svårt att hantera sådana forskningsdatabaser inom det gällande rättsliga förfarandet. Det krävs därför en särskild rättslig reglering av forskningsdatabaser som är avsedda att tillhandahålla uppgifter till flera olika framtida forskningsprojekt. Jag ska i kapitlen 8 och 9 återkomma till denna fråga.

6.13. Sammanfattande analys

6.13.1. Integritetsskyddskommitténs frågor

Låt mig börja med att besvara de fyra frågor som Integritetsskyddskommittén menade bör ställas av varje utredning.

Hur skyddas enskilda personer mot olovlig insamling av uppgifter om deras privata förhållanden och hur avgränsas ”lovligt” uppgiftsinsamlande?

Insamling av uppgifter till myndighetsregister kräver lagstöd. I många sammanhang, till exempel i hälso- och sjukvården, kan också samtycke från uppgiftslämnare inhämtas om hur uppgifter och prover ska få användas. Enskilda har alltid möjlighet, när det inte bara handlar om vård och behandling, att anmäla att deras uppgifter eller prover ska förstöras. Sekundäranvändning i forskning av uppgifter som har insamlats för andra ändamål har stöd i PUL. När forskare själva samlar in uppgifter om individer bygger det på informerat samtycke från uppgiftslämnarnas sida.

Hur skyddas enskilda personer mot olovligt offentliggörande eller annan negativ användning av uppgifter om deras privata förhållanden och hur avgränsas vad som i detta sammanhang är ”lovligt”?

Sekretessregler och datasäkerhet är de viktigaste skyddsåtgärderna, såväl hos myndigheter som samlar in och i övrigt behandlar personuppgifter som på universitet och högskolor. Med sekretess följer tystnadsplikt och brott mot tystnadsplikten är straffbart. När uppgifter används i forskning finns starka incitament för forskningshuvudmän och forskare att skydda uppgifterna. Vilken behandling av uppgifterna i forskning som är tillåten bestäms av lagstiftning, utlämnande myndigheter och utformningen av etikgodkännanden. Särskilt regler gäller för att förhindra röjande.

Hur regleras skyddet mot intrång i någon enskilds privata sfär där syftet är att inhämta information om den enskilde, och hur avgränsas sådana ”lovliga” intrång?

Syftet med forskning är inte att kartlägga individer för att kunna vidta åtgärder mot dessa, utan att kartlägga mönster i en population. När forskare får tillgång till identifierbara uppgifter görs en särskilt noggrann prövning av behoven och ändamålet.

Hur skyddas identifieringsdata som namn, bild och liknande?

Framförallt genom att forskare i första hand får tillgång till anonymiserade (kodade eller avidentifierade) uppgifter. Det är förbjudet för den som får sådana uppgifter att försöka bakvägsidentifiera objekt. Uppgifterna som behandlas i forskningen är i regel sekretesskyddade. Jag kommer senare att föreslå att detta sekretesskydd ska ytterligare stärkas.

6.13.2. Proportionalitetsbedömning

Som framgick ovan är en följd av grundlagsändringen i 2 kap. 6 § RF att lagstiftaren tvingas att tydligt redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen. Jag ska här redovisa vilka avvägningar jag med denna utgångspunkt gör.

Enligt proportionalitetsprincipen ska staten inte införa restriktioner eller skyldigheter som går utöver vad som är nödvändigt för

att uppnå målet med åtgärden i fråga.85Målet med den forskningsverksamhet som här ska bedömas är att vinna kunskaper om hur samhället i olika avseenden fungerar och vad som påverkar människors hälsa, medlet i första hand utnyttjande av registeruppgifter och biologiska prover som har samlats in för andra ändamål. Som tidigare framgått förekommer också uppgifter och prover som samlas in med samtycke från individerna. Det är inte ifrågasatt i grundlagen och kräver därmed inte samma proportionalitetsbedömning.

Proportionalitetsprincipen innehåller tre olika underprinciper eller kriterier som måste vara uppfyllda för att en åtgärd ska vara proportionell. En åtgärd ska vara lämplig för att uppnå det eftersträvade målet (lämplighetskriteriet). En åtgärd ska användas för att nå målet bara om den skapar mindre besvär för individerna än andra (nödvändighetskriteriet). Och i en avvägning mellan fördelar och nackdelar med att åtgärden överhuvudtaget genomförs måste fördelarna överväga (proportionalitet i strikt mening).86

Att använda personuppgifter från myndighetsregister kan vara till stor hjälp i forskningen. De kunskaper som kan komma ut av forskning med användning av registeruppgifter är betydande och ofta svåra att överhuvudtaget vinna med andra forskningsansatser. Vad skulle hända om man av hänsyn till de integritetsrisker, som trots allt finns, skulle försvåra eller förhindra användning i forskning av de personuppgifter som finns i myndighetsregister? Vilka alternativa forskningsmetoder står till buds? Som jag har redovisat i kapitel 4 är alternativen i regel undersökningar baserade på urval. Av kostnadsskäl blir sådana urval med nödvändighet ganska små, i vart fall i jämförelse med registerstudier, och slutsatserna därmed osäkrare. Jag har gett flera exempel på hur man utifrån sådana mindre studier har dragit slutsatser om till exempel effekten av vaccination av och vitamintillförsel till små barn som vid en kontroll med hjälp av registerdata har visat sig felaktiga. Sanningen är alltså att vi om registerforskningen skulle försvåras i många fall får avstå från viktig kunskap. Att eliminera de små risker som är förenade med registerforskning har ett högt pris i form av utebliven kunskap om sociala och medicinska förhållanden. Registerforskning måste alltså bedömas som en lämplig åtgärd för att vinna viktig kunskap.

Samtidigt ska understrykas att registerforskning naturligtvis inte kan ge svar på alla forskningsfrågor. Alla uppgifter som forskare kan

85 Gydal, C., Proportionalitetsprincipen, en europeisk rättsprincip och dess betydelse för svensk rätt, Förvaltningsrättslig tidskrift, Stockholm 1997. 86 Ibid.

behöva för att svara på frågorna finns inte i register. Användningen av särskilt känsliga personuppgifter i forskningen, oavsett om de hämtas från register eller samlas in direkt av forskare, ska också alltid värderas från etisk utgångspunkt. Forskning får inte godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersonernas hälsa, säkerhet eller personliga integritet (10 § etikprövningslagen).

Alternativet till utnyttjande av redan insamlade uppgifter som kan behövas i forskning är att samla in dem på nytt. Som jag har framhållit är det förenat med arbete och kostnader, för forskaren men också för forskningspersonerna. Det sker också på bekostnad av kvaliteten i forskningen, det vill säga gör den i praktiken mer osäker. Att återanvända redan insamlade uppgifter och prover när sådana finns är från kvalitetssynpunkt definitivt bättre för forskningen, men också resursbesparande för individerna. Den enda nackdelen synes vara att individerna inte tillfrågas om sin medverkan i det konkreta forskningsprojektet, men den intresserade individen kan alltid erbjudas insyn i forskningen på annat sätt. Jag vill hävda att användningen av redan insamlade uppgifter och prover är den metod som skapar minst besvär för de individer uppgifterna avser.

Jag har pekat på en rad fördelar med registerforskning. Men det finns naturligtvis också vissa integritetsrisker. Den största är att någon information läcker ut som på något sätt skulle kunna orsaka individen skada eller obehag. För att förhindra att så sker är det viktigt med olika åtgärder som skyddar uppgifterna, både sekretessbestämmelser och tekniska säkerhetsåtgärder. Det är viktigt att framhålla att inga läckage så vitt känt har skett från forskningsmiljöer i Sverige. Det torde till stor del hänga samman med de rättsregler och det säkerhetstänkande som finns kring behandlingen av personuppgifter, men också med att forskningshuvudmän och forskare har starka incitament att förhindra läckage. Detta till trots menar jag att vissa ytterligare åtgärder för att stärka sekretesskyddet och datasäkerheten bör vidtas. Jag ska senare återkomma till förslag i detta hänseende. Även i detta avseende lever emellertid registerbaserad forskning, enligt min bedömning, upp till de krav som proportionalitetsprincipen innebär.

Till sist. Integritetsriskerna vid registerforskning måste också ställas mot de ”informationsrisker” som följer av den tekniska utvecklingen. De senare kan åsamka den enskilde skada eller obehag av i princip samma slag som ett läckage från ett myndighets- eller forskningsregister skulle kunna göra. De integritetsrisker som är för-

enade med den nya tekniken är med alla rimliga mått mätt oerhört mycket större. Den tekniska utvecklingen, med betalkort, mobiltelefoner, datorer, Internet, övervakningskameror med mera, innebär inte bara potentiella risker utan leder kontinuerligt till att enskildas ”privata rum” krymper. Våra köpvanor, rörelsemönster, kontakter och intressen kartläggs nästan i detalj. Att detta integritetsintrång accepteras, mer eller mindre frivilligt, beror naturligtvis på att även detta är förenat med vinster. Men priset för dessa vinster i termer av integritetsintrång är oändligt mycket högre än det vi behöver befara när det gäller registerforskning.

7. Erfarenheter från de nordiska länderna

7.1. Danmark

7.1.1. Offentlighet och sekretess

Handlingsoffentlighet i Danmark regleras i lov nr 606 af 12. juni 2013, offentlighedsloven. Lagen innehåller bestämmelser om i vilken utsträckning förvaltningsmyndigheter är skyldiga att ge insyn i dokument. I lagen finns också bestämmelser om undantag från rätten till insyn. Offentlighedsloven gäller för all verksamhet inom den statliga och kommunala förvaltningen. Med undantag för vissa bestämmelser gäller den också för bland annat vissa privata organ som utövar omfattande offentlig verksamhet och som är underställda offentligt reglering, tillsyn och kontroll och för bolag som till mer än 75 procent ägs av danska myndigheter, dock inte börsnoterade bolag.

Huvudprincipen är att var och en har rätt till insyn i de dokument som har inkommit till eller upprättats av en myndighet i ett visst ärende (7 §). Någon begränsning i fråga om vem som har rätt att begära att få se en handling eller i vilket syfte det sker finns inte. Insynsrätten omfattar alla dokument i ärendet. Insynsrätten omfattar också diarier, register och handlingar av annat slag som har upprättats i ett ärende. Däremot faller andra typer av register hos en myndighet, som inte förs med anledning av ett visst ärende, utanför lagens tillämpningsområde (10 §). För sådana register gäller bestämmelserna i persondataloven (se nedan).

En var har rätt att få en sammanställning av uppgifter i en myndighets databaser, om sammanställningen kan göras med få och enkla kommandon (11 §). Omfattas uppgifterna av undantagen från insyn enligt 19–35 §§ gäller rätten endast om skyddet kan tillgodoses genom anonymisering. Rätten gäller inte heller känsliga personuppgifter enligt 10 § persondataloven.

Från rätten till insyn finns tre typer av undantag. Det första omfattar vissa typer av ärenden. Det gäller bland annat ärenden rörande straffrätt

(

19 §), lagstiftningsärenden innan dessa har framlagts för

Folketinget (20 §) och ärenden rörande offentlig anställning (21 §). Den andra typen av undantag rör vissa typer av dokument, till exempel interna arbetsdokument (23 §) och interna dokument som utväxlas mellan en minister och ett ämbetsverk (24 § ). Den tredje typen av undantag gäller uppgifter med anknytning till fysiska eller juridiska personers personliga eller ekonomiska förhållanden (30 §) eller när det anses finnas ett allmänt behov av skydd för offentliga intressen, till exempel statens säkerhet, försvar och utrikespolitik (31–32 §§). Det gäller också uppgifter i samband med brottsförebyggande eller brottsutredande åtgärder, offentlig kontroll och offentliga ekonomiska intressen. Slutligen sägs att privata och offentliga intressen kan hemlighållas om det är särskilt påkallat med hänsyn till uppgifternas karaktär (33 §).

Undantagen från insynsskyldigheten innebär inte att inte insyn får ges. Meroffentlighetsprincipen (14 §) innebär att en myndighet har rätt att medge en vidare insyn än vad myndigheten är skyldig till. Meroffentligheten får dock inte gå utöver vad som gäller enligt annan lag, såsom reglerna om tystnadsplikt och persondataloven. Principen om meroffentlighet har betydelse för myndigheternas möjlighet at lämna ut uppgifter till till exempel vetenskapliga undersökningar.

Bestämmelser om offentlighet och tystnadsplikt för uppgifter inom hälso- och sjukvård finns i avsnitt tre i sundhetsloven (lov nr. 913 af den 13 juli 2010). Som huvudregel gäller tystnadsplikt inom sjukvården och patientens samtycke krävs för att en uppgift ska få lämnas vidare (40–41 §§). Det finns dock vissa undantag från denna huvudregel. Uppgift om enskildas hälsa, privata förhållanden och andra förtroliga uppgifter från patientjournaler kan lämnas vidare till en forskare för användning i ett specifikt biomedicinskt forskningsprojekt, om projektet är godkänt av en forskningsetisk kommitté (46 §). Om projektet inte omfattas av loven om videnskabsetisk behandling af sundhedsvidenskabelige forskningsprojekter (se nedan) kan uppgifterna ändå efter godkännande av Sundhetsstyrelsen lämnas vidare till en forskare för att användas i ett konkret forskningsprojekt som är av väsentligt samhälleligt intresse. Styrelsen fastställer då villkor för utlämnandet. Uppgifter som lämnats vidare enligt ovan får inte senare användas för andra ändamål än forskning och statistik (47 §).

7.1.2. Personuppgiftsbehandling

I Danmark har dataskyddsdirektivet genomförts genom persondataloven (lov nr. 429 af 31. maj 2000). Enligt lagens 4 kap. 5 § andra stycket får insamling av personuppgifter endast ske för uttryckligt angivna och berättigade ändamål och senare behandling av uppgifterna får inte vara oförenlig med dessa ändamål. Behandling som sker för historiska, statistiska eller vetenskapliga ändamål anses dock inte oförenlig med de ändamål för vilket uppgifterna samlades in. Behandling får endast ske under de förutsättningar som framgår av 4 kap. 6 §. Enligt första punkten får behandling ske med stöd av den enskildes samtycke. Av femte punkten framgår att behandling är tillåten om den är nödvändig med hänsyn till att en uppgift av allmänt intresse ska kunna utföras. Behandling av personuppgifter för forskningsändamål har ansetts kunna utföras med stöd av den senare bestämmelsen.

Det är förbjudet att behandla uppgifter om ras eller etnisk bakgrund, politisk, religiös eller filosofisk övertygelse, fackföreningstillhörighet eller uppgifter om hälsa eller sexuell läggning (4 kap. 7 §.) Sådana känsliga personuppgifter, liksom uppgifter om straffbara förhållanden, sociala problem eller andra privata förhållanden, får dock behandlas om behandlingens enda ändamål är att genomföra en statistisk eller vetenskaplig undersökning av väsentligt allmänt intresse och om behandlingen är nödvändig för att utföra undersökningen (4 kap. 10 §). Uppgifter som behandlats för dessa ändamål får inte senare användas för annat än statistiska och vetenskapliga ändamål. Detsamma gäller behandling av andra personuppgifter som utförs för statistiska och vetenskapliga ändamål.

Uppgifter som behandlas för statistiska och vetenskapliga ändamål får endast lämnas ut till tredje man efter tillstånd från Datatilsynet. Datatilsynet får ställa upp särskilda villkor för utlämnandet till tredje man.

Undantag från förbudet mot behandling av känsliga personuppgifter i 4 kap. 7 § kan vidare göras om behandlingen sker på grund av viktiga samhälleliga intressen. För sådan behandling krävs tillstånd av Datatilsynet. Datatilsynet får i samband därmed fastställa särskilda villkor för behandlingen. Om tillstånd meddelas ska Datatilsynet underrätta Europeiska kommissionen (4 kap. 7 § sjunde stycket).

Myndigheter får behandla personnummer om det är motiverat för att möjliggöra säker identifiering eller för identifiering av journaler. Privatpersoner och företag får behandla personnummer utan den

enskildes samtycke endast om behandlingen sker för vetenskapliga eller statistiska ändamål. Ett personnummer får inte offentliggöras utan den enskildes uttryckliga samtycke (4 kap. 11 §).

7.1.3. Etikprövning

Systemet för etikprövning regleras i lov om videnskabsetisk behandling af sundhedsvidenskabelige forskningsprojekter (lov nr. 593 af 14. juni 2011). Det vetenskapsetiska kommittésystemet har till syfte att garantera att hälsovetenskapliga forskningsprojekt genomförs på ett vetenskapsetiskt försvarbart sätt (1 §). Kommittésystemet består av elva regionala kommittéer, som utses av regionråden, och den nationella vetenskapsetiska kommittén som är en självständig myndighet under Ministeriet for Sundhed og Forebyggelse.

Enligt 14 § ska som huvudregel alla hälsovetenskapliga forskningsprojekt anmälas till den regionala kommittén för det område där den projektansvarige har sin verksamhet. Med hälsovetenskapliga projekt avses projekt som innebär försök på levande och döda människor, mänskliga könsceller som ska användas för befruktning, mänskliga befruktade ägg, embryon och foster, vävnad, celler och arvsmassa från människor. Även kliniska prövningar med läkemedel på människor innefattas. Enkätundersökningar och hälsovetenskapliga registerforskningsprojekt omfattas av anmälningsplikten om projektet omfattar mänskligt biologiskt material.

För försök på människor krävs som huvudregel informerat samtycke från försökspersonen (3 §). Undantag från samtyckeskravet kan dock göras under vissa förutsättningar (10 §). En kommitté kan efterge kravet på samtycke om ett registerforskningsprojekt inte innebär några hälsomässiga risker för den enskilde och forskningsprojektet inte heller på annat sätt innebär någon belastning för forskningspersonen. Detsamma gäller om det är omöjligt eller oproportionerligt svårt att inhämta informerat samtycke.

Kommittén gör en vetenskapsetisk bedömning av projektet mot bakgrund av bestämmelserna i lagen och beslutar om projektet ska få genomföras eller inte. Ett tillstånd kan förenas med villkor. Den regionala kommitténs beslut kan överklagas till den nationella vetenskapsetiska kommittén.

7.1.4. Biobanker

Danmark har inte någon särskild biobankslag. Verksamheten regleras i stället i flera andra lagar; persondataloven, sundhetsloven (lov nr. 913 af 13 juli 2010) och loven om videnskabsetisk behandling af sundhedsvidenskabelige forskningsprojekter.

Enligt dansk rätt utgör en biobank ett register med personuppgifter och för personuppgiftsbehandling i biobanksverksamhet gäller samma regler som för all annan personuppgiftsbehandling enligt persondataloven. Utgångspunkten är således att det krävs samtycke från den enskilde, om det inte finns särskilda regler. All insamling av personuppgifter måste anmälas och godkännas av Datatilsynet.

I Danmark görs en uppdelning mellan fyra olika typer av biobanker: kliniska biobanker, forskningsbiobanker, donationsbiobanker och biobanker för andra hälsoändamål.1 Med kliniska biobanker avses sådana där insamling sker för diagnostiska och behandlingsändamål. I forskningsbiobanker sker insamlingen till vetenskapsetiskt godkända forskningsprojekt. I donationsbiobanker är vävnadsproverna insamlade av frivilliga donatorer med syftet att behandla en viss patient eller en närmare angiven patientgrupp. Biobanker för andra hälsoändamål är sådana som inte tillhör någon av de andra kategorierna, men som ändå har ett hälsoändamål. Alla danska biobanker inom hälsoområdet omfattas av regleringen, oavsett om de har en offentlig eller privat huvudman.

För själva provtagningen krävs som huvudregel informerat samtycke från provgivaren. Reglerna för insamling och bevarande skiljer sig åt beroende på vilken typ av biobank som avses. När det gäller kliniska biobanker kan provgivaren besluta att det lämnade materialet endast får användas för hans eller hennes egen behandling och till ändamål som har direkt anknytning därtill (29 § sundhetsloven). Provgivarens beslut ska anmälas till det så kallade vævsanvendelsesregisteret vid Ministeriet for Sundhed og Forebyggelse. Om någon önskar använda biobanksprover till annat än den enskildes vård, till exempel forskning, har den biobanksansvarige ansvar för att via registret ta reda på provgivarens inställning (29 § fjärde stycket sundhetsloven). Provgivaren kan begära att vävnadsprovet förstörs (33 § sundhetsloven). Provgivaren kan begära att ett vävnadsprov som han eller hon har lämnat ska utlämnas till honom eller henne. För detta krävs dock att provgivaren kan visa att han eller hon har ett särskilt intresse av detta.

1SOU 2010:81 s. 108.

När det gäller biobanker för forskning gäller persondataloven och loven om videnskabsetisk behandling af sundhedsvidenskabelige forskningsprojekter. Huvudregeln är således samtycke från provgivaren. Det är inte möjligt att inrätta en biobank generellt för forskning, men väl för ett specifikt forskningsändamål. För att få inrätta en biobank krävs godkännande av Datatilsynet. Vid användande av biobanksprover för specifika forskningsändamål krävs som framgått vanligtvis tillstånd från en etisk kommitté.

Av persondataloven följer att vävnadsproverna som huvudregel inte får användas till andra ändamål än dem som provgivaren har informerats om och uttryckligen samtyckt till. Sundhedsloven innehåller dock särskilda regler om utlämnande för statistiska ändamål och forskningsändamål. Biologiskt material, som en patient har lämnat i samband med medicinsk behandling, kan lämnas ut till en forskare för ett konkret biomedicinskt forskningsprojekt, om projektet har godkänts av en vetenskapsetisk kommitté och patienten inte har låtit registrera någon begränsning i det ovan nämnda vævsanvendelsesregisteret (32 § sundhetsloven). I samband med det forskningsetiska godkännandet ska kommittén ta ställning till om det ska krävas ett särskilt informerat samtycke från provgivaren för projektet eller inte.

7.1.5. Danmarks Statistik

Danmarks Statistik är den centrala myndigheten för dansk statistik. På myndigheten finns en särskild forskningsserviceenhet, som är en del av avdelningen för försäljning och marknadsföring. På enheten arbetar för närvarande 16 akademiker och IT-specialister samt en sekreterare. Forskningsenheten etablerades 2001 med syftet att främja registerforskning.

Från Danmarks Statistik kan forskare få tillgång till anonymiserade data om personer, familjer, hushåll, arbetsplatser och företag. Uppgifter lämnas endast ut till auktoriserade institutioner. Efter ansökan gör Danmarks Statistik en bedömning av forskningsmiljön. För auktorisation krävs att det rör sig om en stabil forsknings- och analysmiljö med en ansvarig chef och flera forskare eller analytiker. Vid bedömningens läggs särskild vikt vid miljöns kompetens när det gäller hantering av registerdata och kännedom om de datasäkerhetsregler som gäller för hantering av data från Danmarks Statistik. Vid auktorisering ingår institutionen eller organisationen ett aukto-

riseringsavtal med Danmarks Statistik. I avtalet regleras villkoren för åtkomst av data från Danmarks Statistik. Den eller de som utses till ansvariga forskare på en auktoriserad institution ska ha kontroll över organisationen och har ansvar för att informera sina medarbetare om vilka regler som gäller. Om en forskare på en auktoriserad institution bryter mot reglerna kan forskaren stängas av från användande under minst tre år. Det medför också att enheten fråntas sin auktorisation under en period.

För närvarande finns cirka 360 auktoriserade institutioner i Danmark. Till de offentliga auktoriserade institutionerna hör till exempel institutioner på universitet, kommuner och regioner. Även privata forskningsinstitutioner kan bli auktoriserade av Danmarks Statistik, såsom intresseorganisationer, konsultfirmor, företag och tankesmedjor. Privatpersoner kan inte bli auktoriserade som mottagare av uppgifter från Danmarks Statistik. Utländska forskare kan endast få tillgång till uppgifter om de är anslutna till en dansk forskningsmiljö som är auktoriserad, vilket innebär att den danska aktören tar fullt ansvar för den utländska forskaren i förhållande till Danmarks Statistik.

För att få ut uppgifter från Danmarks Statistik krävs en projektbeskrivning av vilken projektets ändamål, population och period framgår. Av beskrivningen ska det också framgå om uppgifterna ska sambearbetas med uppgifter från andra källor. För utlämnande av mikrodata gäller ändamålsprincipen, det vill säga forskaren kan bara få tillgång till de uppgifter som behövs för att uppfylla ändamålet med forskningen. Det åligger forskaren att i sin ansökan till Danmarks Statistik visa ett rimligt samband mellan de efterfrågade uppgifterna och projektbeskrivningen. När Danmarks Statistik har godkänt projektbeskrivningen beräknas priset och kontrakt upprättas.2 Därefter lämnas uppgifterna ut och överförs till ett onlinesystem för utlämnande av mikrodata. Forskningsservern är skild från myndighetens övriga nätverk och innehåller endast kodade uppgifter för forskningsändamål. Sedan forskaren undertecknat ett sekretessavtal får han eller hon tillgång till uppgifterna genom en krypterad och säker kanal på Internet. Forskaren får inte skriva ut eller på något annat sätt överföra data från servern. Alla resultat samlas i en särskild fil och utskrifterna skickas till forskaren per epost. Alla mail loggas hos Danmarks Statistik och kontrolleras av forskarserviceenheten på myndigheten.

2 Kontrakt upprättas som regel endast om kostnaden överstiger 10 000 DKR.

När det gäller uttag av uppgifter från Danmarks Statistik krävs det inte något tillstånd från Datatilsynet. Det finns ett generellt tillstånd för de forskningsmiljöer som är auktoriserade av Danmarks Statistik.

Auktoriserade enheter har möjlighet att samla sina register hos Danmarks Statistik i så kallade projektdatabaser. Det ska finnas en koppling mellan de uppgifter som samlas i databasen och databasens ändamål. En eller två projektadministratörer får tillgång till uppgifterna i databasen. Uppgifter ur en projektdatabas får lämnas ut till den auktoriserade enheten efter en översiktlig prövning av Danmarks Statistik.

Danmarks Statistik kan koppla data från sina egna register med uppgifter från andra källor, till exempel Statens Serum Institut. Vid sambearbetning av uppgifter från Danmarks Statistik med uppgifter från andra källor krävs tillstånd från Datatilsynet.

Kodnycklar för översättning av koder och personnummer sparas som huvudregel i tjugo år.

7.1.6. Statens Serum Institut

År 2012 beslutades att alla hälsorelaterade uppgifter under Ministeriet for Sundhed og Forebyggelse skulle samlas hos samma institution. Statens Serum Institut (SSI) är sedan dess ansvarigt för ett stort antal hälsoregister med upplysningar om befolkningens hälsoförhållanden, till exempel cancerregistret, dödsorsaksregistret och patientregistret. SSI ansvarar också för Danmarks nationella biobank och smittskyddsverksamheten.

Även SSI har en forskarservice som har till uppgift att underlätta forskningen inom hälsoområdet. För att få tillgång till uppgifter från SSI krävs som huvudregel tillstånd från Datatilsynet. SSI och cirka tvåhundra institutioner och organisationer har emellertid ingått ett auktorisationsavtal och i sådana fall görs ingen reell prövning av Datatilsynet. Institutionen åtar sig att en gång om året skicka en förteckning över vilka datauppgifter institutionen förfogar över till Datatilsynet.

Om forskningen innebär forskning på människor eller mänsklig vävnad krävs godkännande av en forskningsetisk kommitté.

Forskare som är anslutna till en auktoriserad enhet kan få tillgång till data på en så kallad forskningsmaskin. Forskningsmaskinen består av en databasserver där kopior av alla SSI:s register finns.

Personnummer är dock krypterade och variabler som möjliggör identifiering av enskilda personer är borttagna. Den enskilde forskaren registreras som användare och kan därefter få åtkomst till ett urval av de data som ligger på servern. Användaren får också tillgång till personliga mappar på en analysserver där datauttag, egna populationer och egna registerdata kan sparas. Det är inte möjligt att bearbeta data utanför analysservern. Resultat, grafer med mera som inte innehåller identifierbara uppgifter om enskilda kan skickas till forskaren. I särskilda fall är det möjligt att få ta del av direkt identifierbara personuppgifter, till exempel vid kontroll av journaler eller enkätundersökningar.

7.2. Finland

7.2.1. Offentlighet och sekretess

De grundläggande fri- och rättigheterna regleras i andra kapitlet i Finlands grundlag (11.6.1999/731). Kapitlets 12 § innehåller stadganden om yttrandefriheten och offentligheten. Av bestämmelsen framgår att handlingar och upptagningar som innehas av myndigheterna är offentliga, om inte offentligheten av tvingande skäl särskilt har begränsats genom lag. Var och en har rätt att ta del av offentliga handlingar och upptagningar. Närmare bestämmelser om rätten att ta del av allmänna handlingar, tystnadsplikt och handlingssekretess finns i lagen om offentlighet i myndigheternas verksamhet (21.5.1999/621). Lagen är tillämplig vid all offentlig maktutövning. Förutom för sedvanliga myndigheter inom statlig och kommunal förvaltning gäller offentlighet även för statliga eller kommunala affärsverk samt för privata organ som med stöd av lag utövar offentlig makt eller utför ett offentligt uppdrag (4 §).

Lagen medför inte endast en rätt att ta del av allmänna handlingar eller få kopior av sådana handlingar. Den innebär också en skyldighet för myndigheterna att främja möjligheterna att ta del av en handling och en god informationshantering (5 kap.).

Grundregler om handlingssekretess och tystnadsplikt finns i sjätte kapitlet. Begränsningar i offentligheten får göras med hänvisning till vissa särskilt angivna skyddade intressen. Dessa kan vara både enskilda och allmänna. Utgångspunkten är att det är själva handlingen som är sekretessbelagd. En del av en handling kan emellertid

vara offentlig och den ska lämnas ut om detta kan ske utan att sekretessbelagda uppgifter röjs (10 §).

I 24 § finns en uppräkning av de vanligast förekommande sekretessgrunderna. Enligt punkten 16 gäller sekretess för handlingar som överlämnats till statistikmyndigheter för statistikframställning liksom handlingar som frivilligt överlämnats till en myndighet för forskning eller statistikföring. Bestämmelser om sekretess finns även i andra lagar.

Utlämnande av sekretessbelagda uppgifter kan ske i vissa fall, dels om det i lag föreskrivs en rätt att lämna ut eller få uppgifter och dels om den vars intresse sekretessen ska skydda samtycker till ett utlämnande. Vidare kan, om inte något annat föreskrivs i lag, en myndighet i enskilda fall bevilja tillstånd att ta del av sekretessbelagd handling för vetenskaplig forskning eller statistik eller för ett sådant planerings- eller utredningsarbete som en myndighet utför, om det är uppenbart att de intressen som sekretessen är avsedd att skydda inte kränks om uppgifterna lämnas ut (28 §). Prövningen av om tillstånd ska beviljas ska utgå från att den vetenskapliga forskningens frihet ska tryggas. Om uppgifter har lämnats ut till en myndighet med samtycke får tillstånd inte beviljas i strid med de villkor för användning och utlämnande som uppställts i samtycket.

Om tillstånd behövs för handlingar som finns hos flera myndigheter som är underställda samma ministerium, fattar ministeriet beslut om beviljande om tillstånd efter att vid behov ha hört myndigheterna.

Ett tillstånd kan beviljas för viss tid och till tillståndet ska fogas föreskrifter som behövs för att skydda allmänna och enskilda intressen. Ett tillstånd kan återkallas om det efter en prövning anses finnas skäl till det.

7.2.2. Personuppgiftsbehandling

Behandling av personuppgifter regleras i personuppgiftslagen (22.4.1999/523). Personuppgifter får behandlas endast med den registrerades entydiga samtycke (2 kap. 8 § första punkten). Enligt 4 kap. 14 § får dock personuppgifter behandlas i forskning3 utan den enskildes samtycke, men endast om vissa krav är uppfyllda. En förutsättning är att forskningen inte kan bedrivas utan uppgifter med hjälp av vilka personer kan identifieras4och det på grund av det

3 I lagen anges historisk eller vetenskaplig forskning. 4 I lagen anges individualiseras.

stora antalet uppgifter, uppgifternas ålder eller av någon annan sådan orsak inte är möjligt att inhämta samtycke av de registrerade. Användningen av personregistret ska grundas på en forskningsplan och det ska finnas en ansvarig ledare eller en grupp som ansvarar för forskningen. Uppgifter som behandlas för forskningsändamål får bara lämnas ut till forskning. Verksamheten ska även i övrigt bedrivas så att uppgifter om bestämda personer inte röjs för utomstående. När personuppgifterna inte längre behövs för att bedriva forskningen eller för att säkerställa riktigheten av dess resultat ska det förstöras, arkiveras eller ges en sådan ändrad form att den som uppgifterna hänför sig till inte kan identifieras.

Behandling av känsliga personuppgifter är förbjuden (3 kap. 11 §). Med känsliga uppgifter avses personuppgifter som beskriver eller vilkas syfte är att beskriva ras eller etniskt ursprung, någons samhälleliga eller politiska uppfattning eller religiösa övertygelse eller medlemskap i ett fackförbund, en brottslig gärning eller ett straff eller någon annan påföljd för ett brott, någons hälsotillstånd, sjukdom eller funktionsnedsättning eller vårdåtgärder eller därmed jämförbara åtgärder, någons sexuella läggning eller beteende eller någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit. Det finns dock undantag från förbudet, till exempel om den enskilde gett sitt uttryckliga samtycke till behandlingen. Förbudet utgör inte heller hinder för behandling av uppgifter för historisk eller vetenskaplig forskning eller för statistikföring (3 kap. 12 § 6). Känsliga personuppgifter ska utplånas så snart det inte längre finns någon grund för behandlingen. Grunden och behovet ska som regel bedömas minst vart femte år.

Personbeteckning får enligt 3 kap. 13 § behandlas med den registrerades entydiga samtycke eller när behandlingen regleras i lag. Dessutom får en personbeteckning behandlas bland annat för historisk eller vetenskaplig forskning. Den registeransvarige ska se till att personbeteckningen inte i onödan antecknas i handlingar.

Den registeransvarige ska göra en registerbeskrivning över ett personregister som ska hållas allmänt tillgänglig. Av beskrivningen ska det bland annat framgå vem som är registeransvarig, ändamålet med behandlingen och en beskrivning av de grupper som är registrerade (2 kap. 10 § ).

Viss form av personuppgiftsbehandling ska anmälas till Dataombudsmannen. Vid automatisk behandling av personuppgifter ska den registeransvarige underrätta Dataombudsmannen genom att

skicka en registerbeskrivning (8 kap. 36–37 §§). Anmälningsplikt föreligger också i vissa andra fall, till exempel för den som översänder personuppgifter till utlandet eller som sköter behandling av uppgifter enligt uppdrag samt för vissa näringsidkare. En anmälan innebär inte ett godkännande av registerföringen eller verksamheten. Från anmälningsplikten finns undantag och i praktiken faller större delen av den automatiska behandlingen av personuppgifter utanför anmälningsplikten. När det gäller behandling av känsliga personuppgifter för historisk eller vetenskaplig forskning eller för statistikföring bör anmälan göras om uppgifterna samlats in från andra källor än den registrerade själv och utan den registrerades samtycke. Om samtycke har inhämtats från alla registrerade eller om insamlandet och behandlingen av uppgifterna uttryckligen har bestämts i lag, behöver anmälan inte göras. För att insamlandet av uppgifterna ska kunna anses ske med den registrerades samtycke, till exempel vid en enkät, bör den registrerade ha informerats om bland annat att att besvarandet är frivilligt, och, om så är fallet, att uppgifter från andra källor eventuellt kommer att inhämtas.

7.2.3. Etikprövning

I lag om medicinsk forskning (9.4.199/488) (forskningslagen) finns bestämmelser om etikprövning av viss forskning. Enligt lagen får medicinsk forskning och klinisk läkemedelsprövning utföras först sedan en etisk kommitté har avgett ett positivt utlåtande om forskningsplanen (3 § andra stycket). Med medicinsk forskning avses sådan forskning som innebär ingrepp i en människa eller ett mänskligt embryo eller foster och vars syfte är att öka kunskapen om hälsa, sjukdomsorsaker, symtom, diagnostik, vård, prevention av sjukdomar eller sjukdomarnas beskaffenhet i allmänhet. Med klinisk läkemedelsprövning menas en interventionsprövning på människor, genom vilken läkemedlets effekter på människan samt absorption, spridning, metabolism eller utsöndring i organismen reds ut. Medicinsk forskning prövas av de regionala etiska kommittéer som ska finnas vid varje sådant sjukvårdsdistrikt som har ett universitet som ger läkarutbildning (16 och 17 §§). Utlåtanden om kliniska läkemedelsprövningar ges av den nationella kommittén för medicinsk forskningsetik, om denna inte överför frågan till en regional kommitté.

Utöver bestämmelserna i forskningslagen kan forskningsinstitut och registerhållande myndigheter ställa upp egna etiska krav för behandling av personuppgifter.

7.2.4. Biobanker

Den finska biobankslagen (30.11.2012/688) trädde i kraft den 1 september 2013. Lagen har till syfte att stödja forskning som använder sig av prover från människa, främja öppenheten i användningen av prover och säkerställa integritetsskyddet och självbestämmanderätten vid hanteringen av prover (1 §). När det gäller uppgifter som innehas av en myndighet tillämpas lagen om offentlighet i myndigheternas verksamhet (se ovan) när det gäller offentlighet, hemlighållande och utlämnande av uppgifter, och på annan behandling av personuppgifter personuppgiftslagen, om inte annat föreskrivs i biobankslagen.

En biobank definieras som en enhet där huvudmannen utövar biobanksverksamhet och där prover och tillhörande uppgifter samlas in och förvaras för kommande biobanksforskning (3 §). En biobank kan inrättas av en enskild eller offentlig inrättning eller annan juridisk person som har ekonomiska och verksamhetsmässiga möjligheter samt juridiska och forskningsmässiga förutsättningar att förvalta en biobank och hantera prover (6§). Dessutom krävs det ett positivt utlåtande från den nationella kommittén för medicinsk forskningsetik.

Användning, förvaring och annan hantering av prover i en biobank ska vara motiverad med beaktande av den forskning som utnyttjar proverna. Biobanken äger de prover som den innehar om inte något annat uttryckligen har avtalats om överföring av proverna (7 §). Beslut som gäller biobanken fattas av biobankens ägare, som också svarar för de skyldigheter som ålagts biobanken. Biobankens ägare ska utse en biobanksansvarig för biobanken.

Enligt biobankslagen grundas rätten att hantera prover som huvudregel på samtycke, om inte annat föreskrivs i lagen eller någon annan lag (11 §). En person kan ge sitt samtycke till att ett prov som tagits eller ska tas från honom eller henne förvaras i en biobank och används i biobanksforskning, till att personuppgifterna lämnas ut, till att registeruppgifter om honom eller henne kan sambearbetas och till att prover och uppgifter som han eller hon gett hanteras och behandlas på annat sätt. Samtycket ska ges skriftligen. Vårdnads-

havaren ger samtycke för en minderårigs räkning. Den som ska ge ett samtycke ska dessförinnan få tillräcklig information om biobanksforskningens natur, eventuella olägenheter, syftet med tagandet och förvaringen av prover, provernas ägare och den biobank som förvarar proverna, frivilligheten vid givande av samtycke och möjligheten att begränsa eller återkalla samtycket utan negativa följder. Informationen ska vara tydlig och begriplig. Den ska lämnas på ett ändamålsenligt sätt och alltid skriftligt.

En person har när som helst rätt att återkalla eller ändra ett samtycke eller att förbjuda eller begränsa användningen av ett prov i forskning, förutsatt att provet är identifierbart. När ett samtycke återkallas eller användningen begränsas eller förbjuds ska den biobanksansvarige underrättas om detta. Anmälan från den registrerade ska vara skriftlig.

När det gäller gamla prover föreskrivs i 13 § att de och tillhörande uppgifter får överföras till en biobank trots sekretessbestämmelser. Överföringen får dock inte äventyra patienternas vård. Även prover tagna av högskolor, forskningsinstitut, verksamhetsenheter inom hälso- och sjukvården och andra enheter, och tillhörande uppgifter får överföras. Ett villkor för överföring är att en regional etisk kommitté har gett ett utlåtande om användningen av proverna för biobanksforskning. Överföringen får inte göras om den som har rätt att ge samtycke förbjuder överföringen eller om det finns skäl att anta att personen under sin livstid skulle ha motsatt sig användningen av proverna för forskning eller om den etiska kommittén anser att överföringen av proverna inte är etiskt godtagbar. Om kommittén inte anser överföringen bör göras kan beslutet överklagas till Tillstånds- och tillsynsverket för social- och hälsovården.

Innan överföringen görs ska de registrerade underrättas om det ändrade användningssyftet. Av meddelandet ska det framgå att proverna och uppgifterna kan komma att användas för biobanksforskning. Till meddelandet ska fogas en redogörelse för biobanksforskningens art och en anvisning om givande av samtycke och rätten att förbjuda användning av prover, uppgifter om den biobank som förvarar proverna, uppgifter om behandlingen i den etiska kommittén och om tidpunkten för överföringen samt kontaktinformation till den som vill ha ytterligare uppgifter. Om det på grund av provernas ålder, det stora antalet prover eller av någon annan motsvarande orsak inte med skäliga ansträngningar är möjligt att skaffa de registrerades kontaktinformation, ska sådant meddelande publiceras i den

officiella tidnigen5, ett allmänt datanät och vid behov i dagstidningar.

När prover samlas in eller överförs till en biobank får, om personen gett sitt samtycke, uppgifter om den registrerade och hans eller hennes hälsotillstånd samt uppgifter som den registrerade gett om faktorer som inverkar på hans eller hennes hälsa fogas till provet, om personen har gett sitt samtycke (14 §).

I biobankslagen finns särskilda krav avseende aktsamhetsplikt, det vill säga skydd för uppgifter som gäller utöver personuppgiftslagens bestämmelser. En biobank har rätt att föra personregister för biobanksforskning (20–21 §§). Inrättningar, företag, sammanslutningar och personer som bedriver biobanksforskning har rätt att ur prov- och dataregistret få sådana uppgifter som behövs för bedömning av hur användbara proverna och uppgifterna i biobanken är, förutsatt att dessa inte innehåller känsliga personuppgifter.

En biobank får lämna ut, undersöka och på annat sätt hantera och behandla prover och uppgifter som den förvarar, om den tilltänkta användningen motsvarar det forskningsområde som fastställts för biobanken och om grunden och villkoren för hanteringen av provet och de villkor och begränsningar som anges i biobankslagen, annan lag eller som biobanken fastställt iakttas i forskningen och i hanteringen av proverna och behandlingen av uppgifterna (26 §). Vidare ska den som tar emot proverna eller uppgifterna ha yrkesmässig och vetenskaplig kompetens för hanteringen av proverna och för behandlingen av uppgifterna. Proverna och tillhörande uppgifter ska kodas innan de lämnas ut för forskning, om det inte finns särskilda skäl att förfara på annat sätt. De koder som används vid utlämnandet skapas för varje enskilt projekt i samband med utlämnandet. Den kodnyckel som används vid förvaringen av prover och uppgifter får inte lämnas ut från biobanken. Personuppgifter får lämnas ut endast med samtycke av den registrerade eller någon annan som har rätt att ge samtycke, om det inte finns någon annan i denna lag föreskriven grund för utlämnandet.

En biobank får begränsa utlämnandet av prover endast under vissa förutsättningar, till exempel att säkerställa att prover i provsamlingar bevaras eller av forskningsetiska skäl (27 §).

5 Officiella tidningen är tvåspråkig, på finska och svenska, och utges genom finska statens försorg. I tidningen införs bland annat de meddelanden, kungörelser och andra handlingar som enligt lag ska tillkännages i officiell tidning. Tidningen regleras i lag om den officiella tidningen (2.10.1931/268).

Enligt 28 § får en biobank lämna ut nödvändiga personuppgifter till Institutet för hälsa och välfärd eller någon annan registeransvarig, om det för genomförandet av forskningen är motiverat att sambearbeta uppgifterna i den registeransvariges personregister med prover eller uppgifter i biobanken och utlämnandet uppfyller villkoren i 26 §. Institutet för hälsa och välfärd och andra registeransvariga ska innan uppgifterna lämnas vidare till den som ansvarar för forskningen förse dem med samma projektspecifika kodbeteckning som används av biobanken, om inte den registrerade eller någon annan som har rätt att ge samtycke har gett ett uttryckligt samtycke till utlämnande av identifierbara personuppgifter.

Mottagarens skyldigheter framgår av 29 §. Mottagaren får förvara och använda de prover och tillhörande uppgifter som lämnats ut från en biobank under den tid som forskningen varar enligt en forskningsplan, om det inte har avtalats om en längre förvaringstid. Om mottagaren enligt avtalet har rätt att förvara prover för framtida forskning, ska bestämmelserna i biobanklagen om villkoren för hanteringen av proverna iakttas. Mottagaren ska vidare genom avtal åläggas en skyldighet att publicera resultaten av biobanksforskningen (27 §).

7.2.5. Statistikcentralen

I Finland har Statistikcentralen det huvudsakliga ansvaret för produktionen av den officiella statistiken. Verksamheten regleras av statistiklagen (23.4.2004/280), som innehåller bestämmelser om de förfaringssätt och principer för insamling av uppgifter och framställning av statistik som ska tillämpas när statliga myndigheter framställer statistik. Bestämmelser om offentlighet och sekretess beträffande uppgifter som lämnats för statistiska ändamål samt om tystnadsplikt och förbud mot utnyttjande finns i lagen om offentlighet i myndigheternas verksamhet (se ovan). Som huvudregel är handlingar som överlämnats till statistikmyndigheter för statistikframställning sekretessbelagda (24 § 16 lagen om offentlighet i myndigheternas verksamhet). En statistikmyndighet får dock lämna ut sekretessbelagda uppgifter för vetenskaplig forskning och statistiska utredningar som gäller samhällsförhållanden (13 § statistiklagen). Enligt huvudregeln i 13 § tredje stycket får en statistikmyndighet endast lämna ut anonymiserade uppgifter för sådana ändamål. Enligt 19 § statistiklagen får Statistikcentralen dock lämna ut identifikationsuppgifter och uppgift

om en persons ålder, kön, yrke och socioekonomiska ställning om uppgifterna ska användas för vetenskaplig forskning eller för statistiska utredningar om samhällsförhållandena och den som får uppgifterna har rätt att behandla uppgifterna enligt personuppgiftslagen.

Oberoende av sekretessbestämmelsen får en statistikmyndighet producera och för offentligt bruk överlåta sådana avidentifierade filer med uppgifter som samlats in för statistiska ändamål och som har bearbetats på ett sådant sätt att det statistiska objektet inte heller indirekt kan identifieras. (13 a § statistiklagen). Undantagna från sekretessen är offentliga uppgifter i företagsregistret samt de offentliga uppgifter som beskriver statliga och kommunala myndigheters verksamhet.

En organisation kan ingå avtal med Statistikcentralen om användning av uppgifter på distans. Vid uppkoppling via nätet öppnas en distansanslutning mellan forskarens arbetsstation och Statistikcentralens server. Forskaren får tillgång till Statistikcentralens material via en skyddad uppkoppling. Det är också möjligt att få tillgång till material som inte är skyddat mot indirekt identifiering. Undersökningsmaterial eller annat material får överföras från systemet bara när det har genomgått en kontroll av Statistikcentralen.

En forskare kan hyra en forskarplats i Statistikcentralens forskningslaboratorium. I laboratoriet kan forskaren bearbeta skyddade material på en dator som han eller hon har till sitt förfogande. Forskaren kan också få tillgång till skyddade urvalsmaterial på en cd- eller dvd-skiva eller ett usb-minne som skickas till forskaren. Endast material som är skyddade mot direkt eller indirekt identifiering får överlåtas på detta sätt. Uppgifter om personer eller hushåll kan endast överlåtas om det inte är möjligt att identifiera individer, direkt och indirekt.

7.2.6. Institutet för hälsa och välfärd

Institutet för hälsa och välfärd (THL) ansvarar för ett antal register som innehåller hälsodata, bland annat födelseregister, abortregister, register över uppgifter om missbildningar, finska cancerregistret och vårdanmälningsregistret för öppen primärvård. Uppgifterna i social-, hälso- och sjukvårdens register och handlingar är sekretessbelagda. THL kan dock i enskilda fall bevilja tillstånd att använda register och handlingar för vetenskaplig forskning, efter att yttrande från Dataombudsmannen har inhämtats. Om forskningsprojektet kräver

att uppgifterna ska sambearbetas med uppgifter från andra register är det möjligt att få ut identifierbara data.

THL lyder under Social- och hälsovårdsministeriet. Om forskaren önskar tillgång till uppgifter hos flera av de myndigheter som lyder under Social- och hälsovårdsministeriet till exempel Arbetshälsoinstitutet, Strålskyddscentralen, sjukvårdsdistrikt och kommunernas hälsovårdscentraler, ska tillstånd om utlämnande sökas hos Social- och hälsovårdsministeriet.

7.3. Norge

7.3.1. Offentlighet och sekretess

I Norge regleras tillgången till insyn i offentlig verksamhet av lov om rett til innsyn i dokument i offentleg verksemd (offentleglova) (lov 19 maj 2006 nr. 16). Lagen innehåller allmänna regler om allmänhetens rätt till insyn i förvaltningsdokument. Enligt huvudregeln i 3 § är “saksdokument“, journaler och liknande register hos en statlig eller kommunal myndighet offentliga om inte undantag gjorts i offentlighetsloven, föreskrifter meddelande med stöd av denna eller speciallagstiftning. Lagen gäller också i vissa fall för privata rättssubjekt (2 §). Lagen gäller inte för Stortinget, Riksrevisionen, Stortingets ombudsman, andra organ hos Stortinget eller domstolarna. Med dokument avses en logiskt avgränsad informationsmängd som är lagrad på ett medium för senare läsning, avlyssning med mera, således även olika slags elektroniska upptagningar.

Reglerna om undantag från offentlighetsprincipen har samlats i tredje kapitlet. Upplysningar som är belagda med tystnadsplikt enligt lag eller föreskrift är undantagna från insynsrätten (13 §). Sekretessen är absolut, men kan dock brytas efter samtycke från den som sekretessen gäller. Det finns också fakultativa sekretessbestämmelser, det vill säga bestämmelser där dokument kan, men inte måste, sekretessbeläggas enligt offentlighetslagen. Detta gäller bland annat interna dokument som en myndighet har utarbetat inom ramen för förberedelser av ärendet och dokument som innehåller uppgift som kan skada rikets säkerhet med mera. Varje myndighet har i dessa fall en skyldighet att självständigt värdera om ett dokument bör offentliggöras eller inte. Enligt principen om ”meroffentlighet” (11 §) ska en myndighet om möjligt helt eller delvis ge insyn. Myndigheten

ska tillåta insyn om behovet av insyn väger tyngre än behovet av skydd.

De sekretessgrunder som anges i tredje kapitlet utvecklas och preciseras i de föreskrifter som har utfärdats i anslutning till offentlighetsloven och i speciallagstiftningen.

När det gäller en myndighets möjligheter att lämna ut uppgifter finns det i speciallagstiftningen vissa bestämmelser om uppgiftsskyldigheter som bryter tystnadsplikten. I 13 b § 5 och 6 lov om behandlingsmåten i forvaltningssaker (lov 10. februari 1967) (forvaltningsloven) anges också undantag från tystnadsplikten när det gäller uppgiftsutbyte mellan myndigheter. Enligt 13 d § kan, när det anses rimligt och inte bedöms olämpligt i förhållande till andra intressen, departementet bestämma att en myndighet kan eller ska lämna ut uppgifter för forskningsändamål. Bestämmelser om sådant utlämnande kan förenas med villkor, till exempel vem som ska ha ansvar för uppgifterna och vem som ska ha åtkomst till dem, om förvaring och återlämning av material, om förstörande av avskrifter med mera. Tystnadsplikt gäller för forskare för uppgift från en myndighet som där är belagd med tystnadsplikt och för uppgift som mottagits från enskild med löfte om sekretess (13 e §). Uppgifter får bara användas om det är nödvändigt för forskningsarbetet och om det är förenligt med villkor som uppställts enligt 13 d §.

7.3.2. Personuppgiftsbehandling

Norge har implementerat dataskyddsdirektivet genom lov om behandling av personopplysninger (personopplysningsloven) (lov 14. april 2000 nr. 31). Enligt 2 kap. 8 § får personuppgifter endast behandlas om den enskilde har samtyckt till behandlingen. Liksom i de övriga nordiska länderna görs dock vissa undantag från denna huvudregel, till exempel om den framgår av lag att behandlingen är tillåten eller att det är nödvändigt för att utföra en uppgift av allmänt intresse. Med sådant allmänt intresse avses bland annat forskning. Känsliga personer definieras i 2 § som upplysningar om rasmässig eller etnisk bakgrund, politisk, filosofisk eller religiös uppfattning, att en person varit misstänkt, anhållen, tilltalad eller dömd för en straffbar handling, hälsoförhållanden, sexuella förhållanden och medlemskap i fackförening. Känsliga personuppgifter får endast behandlas om ett av villkoren i 2 kap. 8 § är uppfyllda och något av de förhållanden som anges i 2 kap. 9 § är för handen. Känsliga person-

uppgifter får behandlas om den enskilde samtycker. De får också behandlas om det är nödvändigt för historiska, statistiska eller vetenskapliga ändamål och om samhällets intresse av behandlingen klart överstiger de olägenheter det kan medföra för den enskilde. Liksom i de andra nordiska länderna gäller vissa grundkrav för att behandlingen ska vara tillåten (2 kap. 11 §), till exempel att uppgifter bara får behandlas för uttryckligt angivna ändamål som är sakligt berättigade med hänsyn till den personuppgiftsansvariges verksamhet och att behandling för andra ändamål som är oförenliga med det ursprungliga inte får ske utan den registrerades samtycke. Enligt andra stycket ska senare behandling för historiska, statistiska eller vetenskapliga ändamål inte anses oförenliga med det ursprungliga ändamålet om samhällets intresse av att behandlingen kommer till stånd klart överstiger den olägenhet som behandlingen kan medföra för den enskilde. Enligt 2 kap. 12 § får personnummer bara behandlas om det finns ett behov av säker identifiering och metoden är nödvändig för att uppnå sådan identifiering.

All automatiserad behandling av personuppgifter och upprättandet av manuella register som innehåller känsliga personuppgifter ska anmälas till Datatilsynet (31 §). Anmälan ska bland annat innehålla uppgift om vem som är personuppgiftsansvarig, när behandlingen börjar, vem som har det dagliga ansvaret för behandlingen, ändamålet med behandlingen och den rättsliga grunden för behandlingen.

För behandling av känsliga personuppgifter krävs tillstånd (konsession) från Datatilsynet. Datatilsynet kan bestämma att även behandling av andra personuppgifter kräver tillstånd, om behandlingen kommer att kränka tungt vägande integritetsintressen. Om det framgår att tillstånd är uppenbart onödigt kan Datatilsynet bestämma att behandlingen inte kräver tillstånd. Datatilsynet kan förena tillståndet med särskilda villkor för behandlingen om det bedöms nödvändigt för att begränsa olägenhet för den enskilde.

När det gäller behandling av personuppgifter inom medicin- och hälsoområdet finns särskild lagstiftning som ska beaktas. Behandling av personuppgifter inom hälso- och sjukvården regleras av lov om helseregistre og behandling av helseopplysninger (lov 18. maj 2001 nr. 24)(helseregisterloven). Syftet med lagen är inte bara att garantera att personuppgiftsbehandlingen inom sjukvårdsverksamheten sker på ett effektivt sätt utan att kränka den enskildes integritet, utan också att göra det möjligt för forskning och statistik att bidra till information och kunskap om hälsoförhållandena inom befolk-

ningen (1 §). Med hälsoregister avses en samling av hälsouppgifter som lagras systematiskt så att uppgifterna om en enskild person kan identifieras (2 § 6). Denna definition omfattar allt från elektroniska patientjournaler till landsomfattande hälsoregister som bara används för statistik och forskning. Lagen gäller enligt 3 § helt eller delvis automatiserad behandling av hälsodata inom vård- och omsorg samt behandling av hälsodata i ett hälsoregister eller Helsearkivregisteret i Norsk helsearkiv. Lagen gäller både offentlig och privat verksamhet.

Helseregisterlovens huvudregel är att registrering ska baseras på den enskildes samtycke. Kravet på samtycke innebär att den enskilde först ska ges grundlig information vad en registrering innebär och sedan aktivt ska samtycka till registrering.

De centrala hälsoregistren regleras i 2 kap 8 §. De är nationella och det är möjligt införa bestämmelser om att uppgifter till registren ska få samlas in utan enskildas samtycke. I de register som anges i lagen får uppgift om namn, födelsenummer och andra direkt identifierbara uppgifter behandlas utan samtycke från den registrerade i den utsträckning det är nödvändigt för att uppnå ändamålet med registret. Dessa register är dödsorsaksregistret, cancerregistret, medicinska födelseregistret, registret över smittsamma sjukdomar, det centrala tuberkulosregistret, systemet för vaccinationskontroll (SYSVAK), försvarets hälsoregister, norska patientregistret, nationella databasen för elektroniska recept och nationella registret över hjärt- och kärlsjukdomar.

7.3.3. Personvärnsombud

I stället för att begära tillstånd från Datatilsynet inför varje forskningsprojekt kan en forskningshuvudman anmäla ett personvärnsombud (personvernombod). Norsk samfunnsvitenskapelig datatjeneste AS (NSD) är personvärnsombud for forskning och cirka 150 forskningsinstitutioner har anmält NSD som sitt personvärnsombud. Till dem hör till exempel alla universitet, högskolor och sjukhus. Forskare som ska genomföra ett projekt som innebär behandling av personuppgifter ska anmäla det till personvärnsombudet. Anmälningsplikt gäller vid automatiserad behandling av personuppgifter och vid all behandling av känsliga personuppgifter. Anmälningsplikten gäller även om uppgifterna är kodade. Projektet ska anmälas senast 30 dagar innan datainsamlingen börjar. Personvärn-

sombudet värderar forskningsprojektet i förhållande till bestämmelserna i personopplysningsloven och tillhörande föreskrifter, och om projektet inte överensstämmer med regelverket kan ombudet komma med förslag på vilka ändringar som bör göras. Projektet får inte påbörjas innan det har godkänts av personvärnsombudet. I de fall tillstånd från Datatilsynet krävs utformar personvärnsombudet tillsammans med den sökande ansökan. Tillstånd kan till exempel vara nödvändigt för projekt som behandlar känsliga personuppgifter som rör ett stort antal personer och som kommer pågå under lång tid eller vid behandling av stora datamängder som inte är tillfredställande anonymiserade eller om bortfallsanslyser ska göras.

Personvärnsombudet ska vidare bland annat bistå forskare med information inom personuppgiftshantering och arkivering samt föra en översikt över alla pågående behandlingar.

7.3.4. Etikprövning

Forskning inom medicin- och hälsoområdet regleras i lov om medisinsk og helsefaglig forskning (helseforskningsloven)(lov 20. juni 2008 nr. 44). Lagens ändamål är att främja god och etiskt försvarbar forskning på medicin- och hälsoområdet. Lagen gäller för forskning på människor, biologiskt material från en människa och hälsodata. Även pilotstudier och utprövande av behandling forskning avses. Lagen innehåller krav på hur medicinsk och hälsovetenskaplig forskning ska vara organiserad (2 kap. 5–8 §§), bland annat tystnadslikt för den som får tillgång till hälsodata inom ett forskningsprojekt (2 kap. 7 § ).

Forskning med hälsouppgifter för andra ändamål än medicinsk- och hälsovetenskaplig forskning, till exempel för samhällsvetenskapliga ändamål, regleras av personopplysningsloven och är anmälningspliktig till personvernombudet/Datatilsynet.

Ett forskningsprojekt ska förhandsgodkännas av en regional kommitté för medicinsk och hälsovetenskaplig forskning (3 kap. 9 § ). Den etiska kommittén ska göra en allmän forskningsetisk värdering av projektet och bedöma om det uppfyller kraven i lagen. Kommittén kan uppställa villkor för godkännande. Den regionala kommitténs beslut kan överklagas till den nationella forskningsetiska kommittén för medicin och hälsovetenskap (lov om behandling av etikk og redelighet i forskning (lov 30. juni 2006 nr. 56) (forskningsetikkloven). Vid väsentliga förändringar av projektets ändamål, metod,

tidsplan eller organisation krävs nytt godkännande av kommittén. Om förändringarna är så stora att det anses utgöra ett nytt projekt ska en ny ansökan om förhandsgodkännande lämnas in.

Enligt 4 kap. 13 § helseforskningsloven krävs som huvudregel samtycke från deltagare i medicinsk och hälsovetenskaplig forskning. Samtycket ska vara informerat, frivilligt, uttryckligt och dokumenterbart. Det ska bygga på information om ett specifikt forskningsprojekt. Forskningsdeltagare kan dock samtycka till att biologiskt material och hälsodata används för närmare bestämda, brett definierade forskningsändamål, så kallat brett samtycke (4 kap. 14 § ). Den regionala kommittén kan bestämma villkor för användandet av brett samtycke och kan föreskriva att en projektledare ska inhämta nytt samtycke om kommittén anser det nödvändigt. Forskningspersoner som har avgett ett brett samtycke har rätt att få regelbunden information om projektet. Vid väsentliga ändringar i ett forskningsprojekt ska nytt samtycke inhämtas (4 kap. 15 §). Om det är svårt att inhämta nytt samtycke kan den regionala kommittén godkänna ny eller ändrad användning av tidigare insamlade biologiskt material eller hälsodata utan att samtycke inhämtas. Det kan bara ske om forskningen anses vara av väsentligt intresse för samhället och hänsyn till deltagarnas välfärd och integritet tillvaratas. Kommittén kan fastställa villkor för behandlingen. Samtycke behövs inte vid användning av anonymiserat biologisk material och anonymiserade uppgifter.6

I sjunde kapitlet helseforskningsloven finns särskilda bestämmelser som rör behandling av hälsouppgifter i medicinsk och hälsovetenskaplig forskning. Behandlingen ska ha uttryckligt angivna ändamål (7 kap. 32 §). Hälsouppgifter får inte användas för ändamål som är oförenliga med det ursprungliga ändamålet om inte den enskilde lämnat sitt samtycke eller det följer av lag.

Den regionala kommittén kan bestämma att hälsouppgifter som samlats in inom vård- och omsorgsverksamhet får användas för forskning, och att det kan ske utan att tystnadsplikten förhindrar det. (7 kap. 35 § ). Det får bara ske om forskningen är av väsentligt intresse för samhället och hänsynen till deltagarnas välfärd och integritet tillvaratas. Kommittén kan fastställa villkor för behandlingen. Reglerna om tysthetsplikt gäller även för den som mottar uppgifterna.

6 Enligt 1 kap. 2 § 3 helseregisterloven avses med anonymiserade uppgifter sådana uppgifter där namn, födelsenummer och andra personliga kännetecken har tagits bort så att uppgifterna inte längre kan knytas till en enskild person.

7.3.5. Biobanker

Biobanker regleras i Norge genom lov om behandlingsbiobanker (lov 21. februari 2003 nr. 12) (behandlingsbiobankloven) och helseforskningsloven. Behandlingsbiobankloven reglerar diagnostiska biobanker och behandlingsbiobanker, det vill säga samlingar av mänskligt biologiskt material som har lämnats för medicinsk undersökning, diagnostik och behandling. Helseforskningsloven gäller för forskningsbiobanker, vilket är samlingar av mänskligt biologiskt material som används i ett forskningsprojekt eller ska användas för forskning.

Enligt behandlingsbiobankloven krävs det i princip samtycke för insamling, bevarande och användning av vävnadsprover i diagnostiska biobanker och behandlingsbiobanker (11 §). Provgivaren måste informeras om att vävnadsprover under vissa förutsättningar kan komma att användas för forskningsändamål och ha fått tillfälle att motsätta sig forskning. Det finns ett register (reservasjonsregisteret) över dem som har motsatt sig att deras vävnadsprover används för forskning. Det är också möjligt för den enskilde att när som helst återkalla samtycket och att kräva att vävnadsprovet förstörs. För övriga kan vävnadsprover som har samlats in i hälso- och sjukvården användas för forskningsändamål. Den regionala kommittén för forskningsetik kan besluta att sådana vävnadsprover kan eller ska användas för forskningsändamål utan provgivarnas samtycke i varje enskilt fall (6 kap. 28 § helseforskningsloven). För att ett sådant projekt ska godkännas av kommittén krävs det att forskningen är av väsentligt intresse för samhället och att hänsyn har tagits till provgivarnas välfärd och integritet.

Enligt behandlingsbiobankloven kan utomstående ges tillgång till vävnadsprover i en diagnostisk biobank eller en behandlingsbiobank, om det finns samtycke från provgivaren. Vid bedömningen om annan ska ges tillgång till materialet ska beaktas om tillgången kommer att försvåra myndighetens egen behandling av materialet, givarens intressen och av egen och andras behandling av materialet (3 kap. 15 §). Om givaren har motsatt sig vidarelämning ska det respekteras. En regional etikkommitté kan dock bestämma att vävnadsprover som samlats in inom hälso- och sjukvård för diagnosticering och behandling kan eller ska lämnas ut för forskningsändamål utan inhämtande av den enskildes samtycke (6 kap. 28 § helesforskningsloven). En förutsättning är att forskningen är av väsentligt intresse för samhället och hänsyn till den enskildes välfärd och integritet tillvaratas.

För forskningsbiobanker gäller enligt helseforskningsloven att samtycket ska vara informerat, uttryckligt och dokumenterat (4 kap. 13 §). Huvudregeln är att samtycket ska bygga på specifik information om ett konkret forskningsprojekt, men som ovan anges finns det möjlighet att samtycket i stället kan avse närmare bestämda, brett definierade forskningsändamål (4 kap. 14§). Deltagarna har rätt till regelbunden information om projektet. Även för vävnadsprover som hör till forskningsbiobanker är det möjligt för enskilda att när som helst återkalla samtycket och att kräva att vävnadsprovet förstörs.

För upprättande av en forskningsbiobank krävs godkännande av en regional etikkommitté (6 kap. 25 §). För varje forskningsbiobank ska det finnas en ansvarig person med medicinsk eller biologisk utbildning.

Den ansvarige för en forskningsbiobank ska ge andra forskare tillgång till vävnadsprover i biobanken, om inte den forskningsansvarige själv har behov av proverna eller det annars finns särskilda skäl mot detta. Det krävs förhandsgodkännande från etikprövningsnämnd.

7.3.6. Statistisk sentralbyrå

Statistisk sentralbyrå (SSB) är den centrala myndigheten för insamling, bearbetning och förmedling av officiell statistik i Norge. Verksamheten regleras av lov om offisiell statistikk og Statistisk sentralbyrå (lov 11. januari 2013 nr. 3) (statistikkloven). Utlämnande av uppgifter för forskningsändamål kan ske till forskare på godkända forskningsinstitutioner och till studenter på masters- och doktorandnivå som står under handledning av någon vid en sådan institution. Grunden för SSB:s utlämnande av uppgifter för forskningsändamål är Datatilsynets beslut den 16 mars 2006.

SSB lämnar endast ut anonymiserade uppgifter om personer. Den som önskar använda uppgifter från SSB ska anmäla projektet till personvärnombudet NSD, personvärnombudet på den egna institutionen eller till Datatilsynet. Projektet kan också kräva tillstånd av Datatilsynet. Forskningsinstitutionen ansöker själv hos den ansvariga myndigheten om rätt att få ut uppgifter till ett forskningsprojekt.

Om uppgifterna är sekretessbelagda ska forskaren ansöka om tillstånd till dispens från tystnadsplikten så att uppgifterna kan läm-

nas ut. Tillstånd söks hos den instans som är överordnad den registerhållande myndigheten. Det gäller de flesta uppgifter som är hämtade från förvaltningsregister. Även Datatilsynet ska ta ställning till dispens från tystnadsplikten enligt statistikkloven.

7.3.7. Folkehelseinstituttet

Folkehelseinstituttet ansvarar för tio centrala hälsoregister, till exempel dödsorsaksregistret, medicinska födelseregistret, abortregistret och hjärtkärlregisteret. Registren används för hälsoövervakning i form av hälsostatistik och beredskap, kvalitetssäkring, forskning, administration och styrning. Folkehelseinstituttet ansvarar också för en del undersökningar inom hälsoområdet, till exempel Den norske mor og barn-undersøkelsen (MoBa) och en biobank.

Folkehelseinstituttet kan lämna ut uppgifter ur centrala hälsoregister, undersökningar och biobanksprover för forskningsändamål. Uppgifterna kan lämnas ut i kodad form, men också i form av identifierbara uppgifter om det är nödvändigt för att projektet ska kunna genomföras.

7.4. Sammanfattning

Samtliga de ovan angivna länderna har lagstiftning som medför långtgående möjligheter för enskilda att ta del av offentliga handlingar. Huvudprincipen är att var och en har rätt till insyn i handlingar och upptagningar som innehas av en offentlig myndighet, om inte offentligheten har begränsats i lag. I Danmark faller dock register hos en myndighet som inte hör till något visst ärende utanför bestämmelserna om offentlighet och regleras i stället av personuppgiftslagen. I samtliga länder finns bestämmelser som medger utlämnande av annars sekretessbelagda uppgifter för forskningsändamål.

Länderna har implementerat dataskyddsdirektivet genom en nationell personuppgiftslag. För behandling av personuppgifter krävs som huvudregel samtycke. Från huvudregeln görs dock i Sverige, Danmark och Norge undantag bland annat för behandling som är nödvändig med hänsyn till en uppgift av allmänt intresse, varav forskning har ansetts kunna utgöra ett sådant intresse. I den finska lagen anges uttryckligen att personuppgifter får behandlas för forsk-

ningsändamål utan den enskildes samtycke om vissa villkor är uppfyllda.

När det gäller definitionen av känsliga personuppgifter görs en vidare tolkning av begreppet i den danska och finska lagstiftningen. I samtliga länder finns undantag från förbudet mot behandling av känsliga personuppgifter för forsknings- och statistikändamål. I Danmark krävs tillstånd från Datatilsynet för behandling av känsliga personuppgifter. För auktoriserade institutioner på Danmarks Statistik och SSI gäller emellertid generella tillstånd för behandling av uppgifter från myndigheterna. I Finland gäller att behandling av känsliga personuppgifter för historisk eller vetenskaplig forskning eller för statistikföring ska anmälas till Dataombudsmannen, om uppgifterna samlats in från andra källor än den registrerade själv och utan den registrerades samtycke. I Norge ska all automatiserad behandling av personuppgifter anmälas till Datatilsynet och för behandling av känsliga personuppgifter krävs tillstånd från samma myndighet. När det gäller forskning kan forskningshuvudmannen, i stället för att begära tillstånd från Datatilsynet, anmäla ett personvärnsombud och anmäla behandlingen dit.

När det gäller etikprövning av forskning skiljer sig bestämmelserna åt i de nordiska länderna. I Finland och Danmark krävs etikprövning endast vid medicinsk forskning och kliniska prövningar. I den danska lagen anges att enkätundersökningar och hälsovetenskapliga registerforskningsprojekt är anmälningspliktiga endast om forskningen omfattar mänskligt biologiskt material. I Norge gäller att forskning inom medicin- och hälsoområdet, inklusive forskning på hälsodata, ska godkännas av en etisk kommitté.

I Danmark finns ingen särskild biobankslag, utan verksamheten regeras i annan lagstiftning. Som huvudregel utgör en biobank ett register med personuppgifter och faller därmed under personuppgiftslagens bestämmelser. All insamling och behandling av personuppgifter måste anmälas och godkännas av Datatilsynet. Vävnadsprover får som huvudregel inte användas för andra ändamål än dem provgivaren uttryckligen samtyckt till. Vävnadsprov som lämnats för behandling kan dock lämnas ut för ett forskningsprojekt om projektet godkänts av en etisk kommitté och patienten inte registerat sig i det så kallade vævsanvendelsesregisteret. I Norge regleras biobanksverksamheten genom behandlingsbiobankloven och helseforskningsloven. Även i Norge kan vävnadsprover som insamlats inom hälso- och sjukvård användas för forskningsverksamhet efter prövning av en etikkommitté. Liksom i Danmark finns det möjlig-

het att genom registrering i ett reservasjonsregister motsätta sig användning av vävnadsprover för forskningsändamål. När det gäller forskningsbiobanker har den enskilde möjlighet att lämna samtycke till brett definierade forskningsändamål. I Finland finns i stället en särskild biobankslag som gäller för all biobanksverksamhet. Även här är huvudregeln för användning av prover och uppgifter som hör till proverna samtycke från den enskilde, men den enskilde kan ge breda samtycken till senare användning av proverna, till exempel för forskning.

8. Bakgrund, nuläge och utmaningar

8.1. Bakgrund

Vetenskapsrådets (VR) styrelse beslöt våren 2004 att utreda förutsättningarna för att förbättra villkoren för forskning med svenska registerdata. En arbetsgrupp avlämnade sin rapport i september 2005. I den konstaterades att Sverige visserligen hade en framskjuten position internationellt när det gällde såväl epidemiologiska studier som annan forskning baserad på registeruppgifter, men att forskarsamhället ännu inte dragit tillnärmelsevis full nytta av den unika nationella resurs som finns i svenska register. Viktiga skäl bedömdes vara otillräcklig teknisk och institutionell infrastruktur, bristande samordning mellan myndigheter och enskilda forskargrupper samt liten kännedom om de nationella registrens potential. Det framhölls också att registerbaserad forskning inte bara är spännande för forskarna utan också i högsta grad samhällsrelevant eftersom den bygger på detaljerade uppgifter om människors faktiska livsförhållanden. Inte minst därför måste dock frågor om individens integritet och oro för missbruk av känsliga personuppgifter tas på största allvar.1

Rapporten resulterade i att VR hösten 2006 tillsatte en kommitté för att arbeta med frågan och dessutom avsatte resurser för ändamålet. Denna kommitté, Database Infrastructure Committee (DISC), fick bland annat i uppgift att stödja utbyggnaden av en infrastruktur för att göra data mer tillgängliga för forskare. Det ledde till en satsning på det så kallade MONA-systemet (MONA = Microdata Online Access) hos Statistiska centralbyrån (SCB). VR har sedan 2006 bidragit till finansiering av uppbyggnad och drift av MONA. Under 2008 beslutade VR att utöver infrastruktursatsningen avsätta särskilda medel för registerbaserad forskning, det så kallade Swedish

1 Strategi och infrastruktur för världsledande forskning på svenska register, Vetenskapsrådet 2005-09-26.

Initiative for Research on Microdata in the Social and Medical Sciences (SIMSAM). Utlysningen innebar att bidrag gavs till ett antal forskargrupper och en forskarskola inom den befolkningsbaserade registerforskningens område. Grupperna fick också i uppdrag att driva registerforskningen framåt genom att sprida kunskaper till andra.2 VR har sedan 2012 även finansierat viss gemensam infrastruktur för SIMSAM-noderna, det så kallade SIMSAM INFRAprojektet.3

Våren 2012 avlämnade jag inom ramen för ett tidigare utredningsuppdrag, Statistikutredningen, ett delbetänkande, Registerdata

för forskning (SOU 2012:36). Det resulterade i att regeringen i pro-

positionen Forskning och innovation (prop. 2012/13:30) föreslog att VR skulle ges i uppdrag att inrätta en funktion med uppgift att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål. Anslaget för detta ändamål föreslogs öka med 25 mnkr för 2013 och med ytterligare 25 mnkr per år för de följande tre åren. Riksdagen beslutade i enlighet med förslaget. Regeringen har därefter i regleringsbrev till VR uppdragit åt myndigheten att genomföra det som regering och riksdag beslutat om. VR ska enligt regleringsbrevet bistå forskare med information om register och om relevant lagstiftning.4

VR har inlett ett arbete för att fullgöra dessa åtaganden. Det har delats in i tre delprojekt:

  • att inrätta ett registerdataråd
  • att tillhandahålla en informations-, rådgivnings- och utbildningsfunktion för registerforskning
  • att förbättra tillgängligheten till register för forskningsändamål genom samordning av data.

Registerdatarådet har inrättats i början av 2014 och har haft sitt första sammanträde under våren. I syfte att förbättra informationen till forskare har en särskild webbportal, registerforskning.se, öppnats i SIMSAM INFRAS:s regi. Avsikten är att den under året ska införlivas i VR:s arbete. Portalen ska vara en ingång för forskare som vill ha information om myndigheternas registerdata för forskningsändamål. VR har också initierat en utvärdering av MONA-systemet. Syftet är att utvärdera MONA-systemets funktion och utveckling

2SOU 2012:36, s 50. 3 Large-scale research infrastructures, ansökan till VR 2011. 4 Information från Juni Palmgren och Maria Nilsson, VR, 2014-02-04.

och att undersöka möjligheterna till vidareutveckling av systemet liksom av en eventuell introduktion av ett liknande system vid Socialstyrelsen. Förhoppningen är att dessa system ska kunna kommunicera med varandra.5Det kan också bli aktuellt att undersöka möjligheterna att samordna ansökningar om etikprövning och utlämnande (sekretessprövning) när data begärs ut från flera olika myndigheter.

I december 2012 avlämnade jag Statistikutredningens slutbetänkande till regeringen (SOU 2012:83). I detta föreslog jag bland annat att det i SCB:s instruktion skulle skrivas in att en av dess uppgifter ska vara att bistå forskningen med data.6Finansdepartementet har uppgett att man har för avsikt att föreslå en sådan ändring i instruktionen, men att det beräknas ske tidigast efter sommaren 2014.7

Under senare år har en särskild problematik när det gäller registerbaserad forskning uppmärksammats, nämligen svårigheten att skapa forskningsdatabaser av infrastrukturkaraktär som kan utgöra underlag för flera olika framtida forskningsprojekt. Frågan analyserades noggrant i en VR-rapport från 2010.8 Sådana databaser kan inte prövas enligt etikprövningslagen, utlämnande myndigheter, särskilt SCB, anser sig förhindrade att lämna ut data till dem och Datainspektionen har haft invändningar mot bland annat ändamålsbeskrivningen. Regering och riksdag har i några fall beslutat om särskilda lagar för att stödja sådana forskningsdatabaser. Från senare år kan särskilt nämnas lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU) och lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Bägge dessa lagar är tillfälliga och gäller fram till utgången av år 2015. Vad som ska hända därefter kommer att beslutas på grundval av bland annat denna utredning.

I utredningsdirektiven utpekas ett antal omständigheter som bedöms försvåra registerbaserad forskning. Dit hör, förutom svårigheterna att skapa forskningsdatabaser, vissa andra hinder i författningar och regelverk för registeransvariga myndigheter att lämna ut uppgifter för forskningsändamål och sambearbetning av registerdata för forskningsändamål. Jag ska mot den bakgrunden analysera problemen och föreslå lösningar. Det framhålls också att alla de för-

5 Utvärdering av MONA-systemet, uppdragsbeskrivning, 2014-04-15, Vetenskapsrådet Dnr 353-2014-515. 6SOU 2012:83 s. 552. 7 Information från Bob Pernodd, Finansdepartementet, 2014-03-25. 8 Rättsliga förutsättningar för en databasinfrastruktur för forskning, Vetenskapsrådets rapportserie 11:2010.

slag jag lägger fram ska beakta skyddet för den enskildes integritet. Den frågan har jag utförligt behandlat i kapitel 6. Här ska jag redovisa nuläge och utmaningar vad gäller de övriga frågorna och söka identifiera de problem som motiverar förslag om förändringar. De punkter där jag lägger fram konkreta förslag återkommer jag till i kapitel 9.

8.2. Datakällorna

Det finns fyra viktiga datakällor för forskare:

  • Myndighetsregister
  • Kvalitetsregister
  • Biobanker
  • Forskningsregister

Jag ska här kortfattat redovisa dessa datakällor och de utmaningar med dessa som kan finnas från forskningsperspektiv. I avsnitt 8.4 nedan ska jag återkomma till den fråga om forskningsdatabaser för flera olika framtida forskningsprojekt som har berörts ovan.

8.2.1. Myndighetsregister

Uppgifterna i myndighetsregister har, som jag redovisat i kapitel 3, samlats in för administrativa eller statistiska ändamål. Det innebär att dokumentation och kvalitet inte alltid är anpassade till forskningens krav. Registeruppgifter måste därför ofta bearbetas innan de kan användas i forskningen.

I Registerdata för forskning konstaterade jag att forskare ofta har krav på detaljerad information om beståndens sammansättning och om den process som har lett fram till att data finns i registret, till exempel om insamlingsmetoder och klassifikationssystem. I många fall är informationen i register svåröverskådlig och definitioner kan skilja sig mellan olika register. Upplysningar som har betydelse för uppgifternas jämförbarhet över tid kan saknas, till exempel om förändringar som har skett i klassifikationer. Den detaljdokumentation som är tillgänglig i myndighetsregister är i regel avsedd för att i första hand tillgodose de administrativa eller statistiska ändamål för

vilka registren har skapats och inte för den externe användaren.9 Av sådana skäl förutsätts ofta konsultationer mellan forskare och personal hos registerhållaren innan uppgifterna kan behandlas i forskning. Det gäller myndighetsregister men också andra register, såsom hälso- och sjukvårdens kvalitetsregister och olika forskningsregister.

I Statistikutredningens slutbetänkande framhöll jag att det var angeläget att så långt möjligt tillmötesgå de önskemål om förbättrad dokumentation som finns hos forskare. Samtidigt, menade jag, ska man inte ha en övertro på möjligheterna att kunna reglera fram en heltäckande dokumentation. I särskilt komplicerade fall torde det vara ofrånkomligt att dokumentationen måste kompletteras med individuell rådgivning eller information från dataägarnas sida.10 Det måste beaktas att utnyttjandegraden av olika myndighetsregister i forskning varierar kraftigt. Det är därför svårt att ställa upp generella krav på dokumentationen.

Inom Danmarks Statistik har man ett särskilt utvecklingsprojekt för att öka kvaliteten från forskningsperspektiv i sådana register som används särskilt frekvent inom forskning.11 Det ter sig naturligt att sådana initiativ tas också inom till exempel SCB den dag myndigheten får ett tydligt uppdrag att bistå forskningen med data.

8.2.2. Kvalitetsregister

Kvalitetsregister har byggts upp inom hälso- och sjukvården i syfte att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. De ska möjliggöra jämförelser inom hälso- och sjukvården på nationell eller regional nivå. Dessutom får uppgifterna användas för framställning av statistik och i forskning.12 Registren är uppbyggda utifrån interventioner, till exempel höftledsoperationer, sjukdomsepisoder, till exempel hjärtinfarkt, eller kroniska sjukdomar, till exempel diabetes.

I en rapport 2010, Guldgruvan inom hälso- och sjukvården, framtagen på uppdrag av regeringen och Sveriges Kommuner och Landsting (SKL), uppmärksammades den potential som kvalitetsregistren

9SOU 2012:36, s 37. 10SOU 2012:83 s. 308. 11Registerforskning – nye muligheder og nye utfordringer. Rapport fra Registerforskningutdvalget, Ministeriet for Forskning, Innovation og Videregående Uddandelser november 2013. 12 Se avsnitt 5.3.6.3.

innebär för forskningen. Regeringen och SKL har därefter träffat en överenskommelse som innebär att 320 mnkr per år under perioden 2013–2016 satsas på att öka tillgängligheten till och förstärka kvaliteten i registren. Staten står för 70 procent av kostnaderna, SKL för 30. Arbetet leds av en styrgrupp med representanter från staten, landstingen och SKL. Sex registercentra har skapats för att samordna kvalitetsregistren på regional nivå och erbjuda teknisk service. Socialstyrelsen ger stöd vid sambearbetning med uppgifter från andra register.

I april 2014 finns 81 certifierade nationella kvalitetsregister och 24 registerkandidater. De certifierade registren klassificeras i tre kvalitetsgrupper beroende på bland annat täckningsgrad. Sju register finns på den högsta certifieringsnivån:

  • Nationella prostatacancerregistret (NPCR)
  • Nationella Diabetesregistret (NDR/SWEDIABKIDS)
  • Nationella kvalitetsregistret för stroke (Riks-Stroke)
  • Svenska Höftprotesregistret
  • Kvalitetsregistret InfCareHIV
  • Nationellt register hjärtintensivvård, kranskärlsröntgen, PCI, hjärtkirurgi och sekundärprevention (Swedeheart)
  • Svensk Reumatologis Kvalitetsregister (SRQ)

Satsningen kommer att avsevärt öka kvalitetsregistrens användbarhet i forskningen. Antalet vetenskapliga artiklar baserade på uppgifter från kvalitetsregistren har också ökat kraftigt under de senaste fem åren. Även om man tar hänsyn till att uppgiften för antalet artiklar det första året, 2009, är något osäker är det rimligt anta att antalet artiklar kommer att ha tredubblats till år 2016.13

Myndigheten för vårdanalys har av regeringen fått i uppdrag att utvärdera den satsning som görs på de nationella kvalitetsregistren. Utvärderingen ska belysa i vilken utsträckning de uttalade målen med satsningen nås och ska dessutom belysa om organisation och insatser är ändamålsenliga.14

Datainspektionen har under våren 2014 genomfört en tillsyn av kvalitetsregistren och därvid i första hand granskat den information

13 Bertil Lindahl, Kvalitetsregisterkansliet, vid besök 2014-04-08. 14 Regeringsbeslut 2013-10-10, Dnr S2013/7023/FS (delvis).

som ges till uppgiftslämnarna .15 Inspektionen har påtalat en rad brister och beslutat att informationen i olika avseenden måste kompletteras.16

8.2.3. Biobanker

Som jag tidigare har framhållit är möjligheterna att koppla samman registeruppgifter av olika slag med biologiska prover av stort vetenskapligt värde.17I Sverige finns cirka 600 biobanker, varav ungefär hälften hos hälso- och sjukvårdshuvudmännen och ett 50-tal på universitet med medicinsk forskning. Varje år tillförs svenska biobanker 3–4 miljoner prover.18 Hos Institutet för vård och omsorg (IVO) finns ett register över vilka biobanker som finns i Sverige, men det innehåller inga personuppgifter.

Inom biobanksområdet finns ett europeiskt samarbete, BBMRI-ERIC (BBMRI = BioBanking and Molecular Resource Infrastructure), med Sverige som ett av grundarländerna. Den första BBMRI-noden skapades i Sverige år 2009 med stöd av Vetenskapsrådet (BBMRI.se).

BBMRI.se har sedan starten byggt upp en struktur med Karolinska Institutet (KI) som värdinstitution, men med noder vid samtliga svenska universitet med medicinsk fakultet. Samarbetet bygger på ett konsortialavtal från december 2012. Syftet är att främja insamlandet, förvaringen och nyttiggörandet av biobanksprover från storskaliga svenska epidemiologiska projekt och annan forskning. För att få samla in och använda prover i en biobank för forskning krävs godkännande av etikprövningsnämnd.19

Samtidigt sker sedan länge omfattande insamling och sparande av prover i den svenska hälso- och sjukvården, där landstingen och regionerna är huvudmän för merparten. Över 90 procent av alla prover i svenska biobanker finns i dessa sjukvårdshuvudmännens biobanker. Proverna tas från patienter i första hand för diagnostik eller för att följa behandlingar. De flesta prover som tas för sådana ändamål kastas efter analys, men många sparas i biobanker, exempelvis vävnadsprover för diagnostik av cancer. Dessutom finns stora

15 Se avsnitt 5.3.6.5. 16 Datainspektionen, Beslut 2014-04-09, Dnr 679—691 samt 702—703-2013. 17 Se avsnitt 4.4.3. 18 Rapport från projektgruppen Gemensam Svensk Biobanksstruktur, NBR och BBMRI.se 2013. 19 Se avsnitt 5.5.3.

provsamlingar från mödrahälsovården, där prover tas för att utesluta olika infektioner under graviditeten, från gynekologisk cellprovskontroll och från nyföddhetsperioden. Inom landstingen och regionerna hanteras och förvaras också merparten av de prover som tas av forskare för specifika projekt.

Nationellt biobanksråd (NBR) arbetar på uppdrag av regionerna och landstingen för att inom ramen för gällande lagstiftning underlätta att biobanksprover, med beaktande av de enskilda provgivarnas krav på integritet, kan användas för hälso- och sjukvård, forskning och utveckling. SKL fastställer verksamhetsplan och budget och är ägare till det material som utarbetas inom NBR. Till rådets uppgifter hör bland annat att underlätta och samordna den hantering som följer av biobankslagens krav, exempelvis vad gäller information och samtycke, och att, genom framtagande av nationella rutiner och avtalsmallar, underlätta nyttiggörandet av biobanker. NBR har också börjat bygga upp ett register över de prover som finns i biobankerna, Svenska Biobanksregistret (SBR).

De biobanker som finns inom hälso- och sjukvården, liksom de prover som har lämnats ut till annan vårdgivare, enhet för forskning eller diagnostik, offentlig forskningsinstitution, läkemedelsföretag eller annan juridisk person, regleras av lagen (2002:297) om biobanker i hälso- och sjukvården m.m.. År 2008 tillsattes en utredning för att se över lagen och föreslå förändringar. I dess betänkande, En ny

biobankslag (SOU 2010:81), föreslogs bland annat åtgärder som

syftade till att underlätta användningen av biobanker i forskningen, till exempel att spårbarheten skulle förbättras genom ett centralt biobanksregister. Den föreslog vidare en reglering av biobankernas personuppgiftsbehandling och friare former, men tydligare krav, för utlämnande av prover. Hösten 2013 meddelade Socialdepartementet att man inte hade för avsikt att låta förslagen ligga till grund för proposition. Frågan kommer i stället att beredas vidare inom departementet.

I januari 2012 träffade SKL och VR en överenskommelse om att verka för en gemensam utveckling av svensk biobanksstruktur till nytta för såväl forskning som sjukvård. En projektgrupp tillsattes med representanter från NBR och BBMRI.se. I januari 2013 avlämnade projektgruppen rapporten Gemensam Svensk Biobanks-

struktur.20 I den föreslogs bland annat en nationell standard för krav-

nivåer vid nyinsamling av prover, standardiserad dokumentation av

20 Rapport från projektgruppen Gemensam Svensk Biobanksstruktur, NBR och BBMRI.se 2013.

provers kvalitet och en enhetlig informationsstandard för beskrivning av prover. Det föreslogs också att BBMRI.se:s och NBR:s uppdrag och verksamheter skulle integreras. Sedan rapporten publicerades har samarbetet mellan biobanksfaciliteterna fortgått och ett arbete har påbörjats för att formalisera samarbetet.

En svårighet för forskningen i dag är att hitta prover som är relevanta för att kunna besvara bestämda forskningsfrågor. Forskaren kan till exempel vilja finna ett antal prover med vissa önskade egenskaper. För att kunna göra det kan det också behövas information om var på kroppen provet är taget och vilket slags prov det är. Det kan vara viktigt att veta om provet ingår i en större provsamling eller studie. Forskaren kan också vilja söka prover från individer med en specifik diagnos vilka har identifierats med hjälp av ett kvalitetsregister och dessutom vilja veta om det finns prover som har tagits innan patienten fick diagnosen.21

En utmaning i fall som dessa är att kunna spåra proverna. Detta skulle väsentligt underlättas om information om proverna, såsom Biobanksutredningen föreslog, fanns samlade i ett nationellt biobanksregister. För att kunna hitta patienter i undergrupper och med ovanliga diagnoser är det ofta nödvändigt att gå över huvudmannaskapsgränserna. Inriktningen inom hälso- och sjukvården är också att i ökad utsträckning individualisera behandlingen. För att kunna möta sådana krav krävs mer forskning och en infrastruktur som kan tillgodose forskningens behov.

8.2.4. Forskningsregister

Register som har skapats för specifika forskningsprojekt kan komma till användning även för annan forskning. VR uppmuntrar på olika sätt en sådan öppenhet i forskningen.

Sålunda har Svensk Nationell Datatjänst (SND) ett uppdrag av VR att vara en nationell resurs för samordning av existerande och nya forskningsregister inom samhällsvetenskap, humaniora och medicin. Ett syfte är just att data som har samlats in för viss forskning ska göras tillgängliga för framtida forskning och således kunna återanvändas i nya projekt. Forskare kan i detta syfte deponera sina data hos SND.

21 Norlin, L., Fransson, M., Eaker, S., Elinder, G. Och Litton, J-E., Adapting research to the 21st century – the Swedish Biobank Register, Norsk Epidemiologi 2012; 21 (2): 149-153.

Organisatoriskt är SND för närvarande en enhet inom Göteborgs universitet. Finansieringen sker enligt ett samarbetsavtal mellan universitetet och VR, vilka i stort sett delar på kostnaderna. Tanken är rimligen att SND:s uppgift ska vara långsiktig, men trots det har bidraget från VR:s sida varit tidsmässigt begränsat. Avtalet mellan VR och SND löpte ut med utgången av 2012 och förhandlingar om ett nytt avtal pågår ännu under våren 2014.

SND utgör således en viktig infrastruktur för svensk forskning. Att behovet av denna typ av infrastrukturer är stort visas av att sådana i dag finns i snart sagt alla jämförbara länder. I Europa ingår de i ett gemensamt nätverk, CESSDA. Inom EU finns ett CESSDA-ERIC, i vilket Sverige är medlem. SND är svensk utförare (service provider). Målsättningen är att alla europeiska länder och kanske också USA och Australien så småningom ska bli medlemmar.

I flertalet länder är organisationer av detta slag knutna till universitet. I USA samverkar ett stort antal universitet i Inter-university Consortium for Political and Social Research (ICPSR), som har sitt huvudkvarter vid University of Michigan. ICPSR har drygt 700 medlemmar varav de flesta är amerikanska universitet. I ett par av våra nordiska grannländer har man dock valt andra organisatoriska lösningar. I Norge bedrivs Norsk samfunnsvitenskapelig datatjeneste, NSD, som ett aktiebolag under Utdannings- och forskningsdepartementet. I Danmark ingår Dansk Data Arkiv, DDA, i Statens Arkiver.

För vissa forskningsregister finns en kodnyckel bevarad (se vidare avsnitt 8.3.2 nedan). Det innebär att registren innehåller personuppgifter i personuppgiftslagens (1998:204) mening. För flertalet av de register som finns deponerade hos SND är kodnyckeln raderad, men för några finns den bevarad hos en annan myndighet. Under 2012 begärde Datainspektionen att SND skulle upphöra med behandlingen av forskningsregister som innehåller personuppgifter, det vill säga där kodnyckeln finns kvar. SND överklagade beslutet och hävdade att organisationen i de aktuella fallen endast är personuppgiftsbiträde för dataägarna, det vill säga att personuppgiftsansvaret låg kvar hos de universitet och högskolor som hade deponerat registren hos SND. Förvaltningsrätten fastställde emellertid Datainspektionens beslut.

SND har i slutet av år 2013 begärt samråd med Datainspektionen. Syftet är få besked om hur inspektionen anser att den uppkomna situationen ska hanteras. Inspektionen hade i maj månad 2014 ännu inte återkommit i ärendet.

Datainspektionens hållning innebär en kraftig begränsning i SND:s möjligheter att fullgöra de uppgifter organisationen har fått från VR. Svårigheterna kommer att accentueras om kodnycklar, som jag senare kommer att föreslå, regelmässigt behålls under längre tid. Det innebär att fler forskningsregister kommer att innehålla personuppgifter i lagens mening och således inte kommer att kunna deponeras hos SND.

Det reser frågan om vilken organisatorisk hemvist och vilket uppdrag SND bör ha i framtiden. En viktig utgångspunkt måste vara att SND är en långsiktigt viktig infrastruktur för svensk forskning. I

Registerdata för forskning framhöll jag att det är ”angeläget att

verksamheten institutionaliseras och ges en långsiktig finansiering”.

En fråga som det kan finnas anledning att analysera i anslutning till denna frågeställning är ansvaret för arkivering av forskningsmaterial. SND har i dag inte någon sådan uppgift. De register som finns hos SND är endast kopior på de originalregister som forskare har skapat. Arkivering av värdefulla data ska ske hos Riksarkivet och ansvaret för att detta sker åvilar det universitet hos vilket originalregistret finns. Riksarkivet har som tidigare redovisats utfärdat riktlinjer för sådan arkivering.22 I Danmark och Norge har man valt att slå ihop de funktioner som SND respektive Riksarkivet har. I Danmark har DDA organisatoriskt inordnats i Statens Arkiver och i Norge har nyligen ett avtal träffats mellan NSD och Riksarkivet som innebär att NSD fungerar som arkivmyndighet för forskningsdata.23 Datatilsynet har i bägge länderna uppmuntrat dessa lösningar. Det kan finnas skäl att pröva en sådan lösning också i Sverige.

8.3. Tillgänglighet för forskning till register och biobanker

Som framgår av kapitel 5 uppställs i PUL en rad krav för att personuppgifter ska få samlas in och behandlas, bland annat att det bara får ske för särskilda, uttryckligt angivna och berättigade ändamål. Det får sedan inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. En behandling för historiska, statistiska eller vetenskapliga ändamål anses dock inte vara oförenlig med det ursprungliga ändamålet, vilket detta än är (9 § PUL).

22 Se avsnitt 5.8.4. 23 Björn Henrichsen, NSD, mail våren 2014.

Personuppgifterna får behandlas om ett av två villkor är uppfyllda: antingen om den registrerade har lämnat sitt samtycke eller om behandlingen är nödvändig till exempel för att en uppgift av allmänt intresse ska kunna utföras (10 § PUL). Forskningen är ett exempel på en sådan uppgift, vilket innebär att bägge dessa villkor kan bli aktuella vid behandling av personuppgifter i forskning.24När det gäller behandling av känsliga personuppgifter (13 § PUL) och vissa personuppgifter om lagöverträdelser (21 § PUL) för forskningsändamål krävs det att forskningen har fått etikgodkännande genom beslut i en etikprövningsnämnd (3 § lagen (2003:460) om etikprövning av forskning som avser människor, etikprövningslagen). Det gäller oavsett om uppgiftslämnaren har samtyckt eller inte.25

Uppgifter som skyddas av statistiksekretess kan lämnas ut av en statistikansvarig myndighet för forskningsändamål om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (24 kap. 8 § OSL).26

Uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden i ett kvalitetsregister skyddas av hälso- och sjukvårdssekretess (25 kap. 1 § OSL). Även i detta fall kan uppgifterna lämnas ut om det står klart att det kan ske utan att den enskilde eller någon närstående lider skada eller men.27

Prover i en biobank som finns inom hälso- och sjukvården får, förutom för vård och behandling och andra medicinska ändamål, ock