SOU 2020:53
Personuppgiftsbehandling vid antalsberäkning inför klinisk forskning
Till statsrådet Ibrahim Baylan
Regeringen beslutade den 16 augusti 2018 att tillsätta en kommitté med uppdrag att bistå regeringen i arbetet med att identifiera policyutmaningar, bidra till att minska osäkerheten kring gällande regler och påskynda policyutveckling kopplad till den fjärde industriella revolutionens teknologier. Ett av de inledande tillämpningsområdena är precisionsmedicin. Kommittén ska bland annat göra analyser av eventuella hinder i form av lagstiftning och kartlägga behov av erforderlig anpassning av regelverk.
Jon Simonsson är förordnad som ordförande i kommittén, som har antagit namnet Kommittén för teknologisk innovation och etik (Komet). Övriga ledamöter är Charlotte Brogren, Stefan Einhorn, Rikard Jermsten, Kristina Svahn Starrsjö och Erik Thedéen. Utredningssekreterarna Helena Forsaeus och Charlotte Hall har bistått under arbetet med betänkandet.
Kommittén överlämnar härmed delbetänkandet Personuppgifts-
behandling vid antalsberäkning inför klinisk forskning (SOU 2020: 53).
Stockholm i september 2020
Jon Simonsson Charlotte Brogren Stefan Einhorn Rikard Jermsten Kristina Svahn Starrsjö Erik Thedéen
/Helena Forsaeus Charlotte Hall
Sammanfattning
Kommitténs uppdrag och utgångspunkter för förslagen
Kommittén för teknologisk innovation och etik arbetar med att skapa goda förutsättningar för innovation och konkurrenskraft, samtidigt som utveckling och spridning av ny teknik ska ske tryggt, säkert och med ett långsiktigt samhällsperspektiv. Kommittén ska beakta prioriteringar och resultat från regeringens samverkansprogram, såsom Hälsa och life science, och bland annat ta sektorsövergripande och policyutvecklande initiativ kopplade till precisionsmedicin.
Betänkandet innehåller en beskrivning och analys av de rättsliga förutsättningarna för en vårdgivare att utföra sådan personuppgiftsbehandling vilken är nödvändig för den antalsberäkning1 som behövs inför beslut om att inleda en studie inom klinisk forskning. Syftet med våra överväganden och förslag är att bidra till ökad tydlighet, att underlätta för de aktörer som planerar klinisk forskning och att förstärka rättssäkerheten genom att säkerställa lika villkor i hela landet. Ytterligare ett viktigt syfte är att värna integriteten hos dem vars personuppgifter behandlas i samband med antalsberäkning.
I ett större perspektiv utgör betänkandets förslag en del av utvecklingen av Sverige som stark kunskapsnation inom life scienceområdet. Genom att förbättra förutsättningarna för forskning, innovation och konkurrenskraftigt näringsliv finns möjligheter till bättre hälsa, utveckling av sjukvården och tryggat ekonomiskt välstånd. Tydlighet om rättsläget kan bidra till de förberedelser som krävs för klinisk forskning som i förlängningen bygger upp kunskap till stöd för diagnostik, behandling, möjlighet att förebygga sjukdom och till rehabilitering för människor såväl i Sverige som internationellt.
1 Med antalsberäkning avses i detta betänkande sådan behandling av personuppgifter som görs på förfrågan för att beräkna hur många personer som uppfyller på förväg uppställda kriterier och därmed kan komma att ingå i forskning inom hälso- och sjukvården.
Om antalsberäkning
Antalsberäkning görs vid planering av klinisk forskning som en del av förberedelserna för att undersöka för- och nackdelar med att i framtiden genomföra en studie. Antalsberäkningen görs innan någon forskning har påbörjats. I detta tidiga läge behövs en uppfattning om antal möjliga forskningspersoner, men inte vilka personerna är och inte heller närmare information om varje individ.
För att kunna göra antalsberäkning behövs behandling av personuppgifter som ofta rör en persons hälsa, något som enligt EU:s dataskyddsförordning (EU 2016/679) betraktas som känsliga personuppgifter. I en vårdgivares verksamhet kan dessa uppgifter till exempel finnas i patientjournaler eller i kvalitetsregister.
Bland de som har behov av antalsberäkning finns universitet och högskolor, andra myndigheter, kommuner och regioner samt företag, särskilt de som är inriktade på läkemedel och medicinsk teknik. Det har inte varit möjligt att få fram exakt uppgift över hur många antalsberäkningar som görs, bland annat eftersom det saknas sammanhållen statistik och för att förfrågningar om kliniska studier görs på många olika sätt.
Det finns problem med den nuvarande ordningen, eftersom det råder osäkerhet om huruvida det finns rättsligt stöd för den personuppgiftsbehandling som sker vid antalsberäkning. Detta har bland annat lyfts i regeringens strategi för life science och hälsa samt av Vetenskapsrådet. Kontakter under utredningstiden ger vid handen att regioner och vårdgivare hanterar förfrågningar om, och utförande av, antalsberäkning på lite olika sätt.
Etiska aspekter
Flera intressenter berörs av personuppgiftsbehandling vid antalsberäkning. Ömsesidig förståelse kan skapas genom att involvera intressenterna i processen med att utarbeta ett förslag till ändrat regelverk för antalsberäkning och då vara noga med att så många röster som möjligt kommer till tals och att olika perspektiv belyses. Dessutom behövs ett gott informations- och kommunikationsarbete vid en eventuell förändring av gällande regler om personuppgiftsbehandling inom hälso- och sjukvården.
En rad olika värden för olika intressenter behöver beaktas. Ett av de mest uppenbara är att värna integriteten hos den vars personuppgifter behandlas. Andra värden är autonomi och människovärde. Ytterligare en aspekt är ett intresse för den enskilde patienten att bidra till ny kunskap som kan bli till gagn för egen eller andra människors hälsa.
För forskningshuvudmannen finns värdet av att i ett tidigt skede kunna göra en rimlig bedömning av förutsättningarna för att starta ett projekt, så att inte alltför mycket resurser läggs på en idé som sedan inte kan genomföras. Vårdgivaren och regionen har ett intresse av att ta del av kunskapsuppbyggnad. Slutligen finns ett värde av likabehandling och rättvisa, till exempel avseende möjligheten att i ett senare skede delta i forskning samt att behandling av personuppgifter görs på lika sätt i hela landet.
Vi menar att det finns en etisk aspekt av en tydligare rättslig grund för behandling av känsliga personuppgifter. För att undvika en glidning i användandet av antalsberäkning som ändamål är det viktigt med en tydlig definition av vad ändamålet antalsberäkning omfattar.
Rättslig reglering av antalsberäkning
Dataskyddsförordningen, som är direkt tillämplig i Sverige, utgör grunden för den generella personuppgiftsbehandlingen inom Europeiska unionen.
Den behandling av känsliga personuppgifter som sker vid antalsberäkning är av administrativ art och utgör en efterkommande användning av uppgifter som härrör från den individinriktade verksamheten i hälso- och sjukvården (benämns ibland utsökning). Den sker på förfrågan av forskningshuvudmän. Syftet är, som nämnts, att få fram en bild av storleken på underlaget för en eventuell framtida forskningsstudie inom hälso- och sjukvården.
Vi bedömer att personuppgiftsbehandlingen kan stödjas på rättsliga grunder i dataskyddsförordningen och att det finns tillämpliga undantag från förbudet mot att behandla sådana känsliga uppgifter som det är fråga om vid antalsberäkning. Det finns behov av och det finns, enligt förordningen, förutsättningar för att i nationell lagstiftning införa kompletterande bestämmelser om bland annat ändamålsbestämning för behandlingen.
Förslag om att antalsberäkning fastställs i lag som ett tillåtet ändamål för personuppgiftsbehandling
Vi föreslår att det i patientdatalagen (2008:355) införs nya bestämmelser som tillåter att personuppgifter behandlas för att beräkna hur många personer som, genom att uppfylla på förväg uppställda kriterier, kan ingå i en studie inom klinisk forskning.
I förtydligande syfte föreslås ett tillägg i patientdatalagens tillämpningsparagraf, att tillämpningsområdet omfattar också personuppgiftsbehandling för att utföra sådana antalsberäkningar, samt ett tillägg i lagens bestämmelse med vissa definitioner av uttryck som används i lagen. Vidare föreslås en upplysningsbestämmelse om att regeringen eller den myndighet regeringen bestämmer kan meddela närmare föreskrifter om hur personuppgiftsbehandlingen för detta ändamål ska utföras.
Vår bedömning är, som framgått, att de föreslagna ändamålsbestämmelserna har stöd i dataskyddsförordningen, eftersom personuppgiftsbehandlingen kan grundas på utförandet av en uppgift av allmänt intresse. Förslagen bedöms också vara förenliga med regeringsformen. Författningsändringarna föreslås träda i kraft den 1 januari år 2022. Några övergångsbestämmelser behövs inte.
Att det finns explicit stöd för all personuppgiftsbehandling som sker inom hälso- och sjukvården ligger i linje med både förhållningssättet och förarbetsuttalanden när det gäller patientdatalagen.
Personuppgiftsbehandling för antalsberäkning förekommer redan i dag, något som i många fall är av avgörande betydelse för ställningstagande till att initiera en studie inom klinisk forskning. Integritetsintrånget som behandlingen medför får anses stå i rimlig proportion till den nytta som den avsedda behandlingen innebär. Att ge personuppgiftsansvariga och de individer som i praktiken utför personuppgiftsbehandlingen ett tydligt stöd för behandlingen och komma till rätta med den rättsosäkerhet som föreligger, är ett ytterligare, viktigt skäl för en lagreglering.
De nya bestämmelserna föranleder inte några ändringar beträffande gällande personuppgiftsansvar. Behandlingen innebär inte att det lämnas ut några personuppgifter. Mottagaren får enbart en uppgift om storleken av möjligt antal personer. Det behövs därför inte nya eller ändrade sekretessbestämmelser.
I dataskyddsförordningen finns en generell reglering av åtgärder som begränsar behandlingen av personuppgifter och patientdatalagen innehåller redan i dag bestämmelser om nödvändiga skyddsåtgärder som kan tillämpas också på personuppgiftsbehandling vid antalsberäkning. Av det svenska regelverket framgår att vårdgivaren har ansvar för att tilldela behörigheter och för rutiner som säkerställer att personalens behörigheter begränsas till vad som är nödvändigt. Utöver skydd i form av regler för behörighet skyddas personuppgifter inom hälso-och sjukvården också av det sätt de är lagrade och åtkomliga i systemen. Ytterligare exempel på åtgärder för att trygga säkerheten för personuppgifter är hantering av lösenord och fysiskt skydd av systemen, samt ledningssystem för att styra verksamheten så att rätt sak görs vid rätt tillfälle och på rätt sätt. Vi anser att det finns en rad redan etablerade strukturer inom hälso- och sjukvården för att trygga en säker hantering av personuppgifter.
Vår bedömning är därför att det inte finns anledning att i lagen fastställa ytterligare skyddsåtgärder för att behandla personuppgifter för det föreslagna ändamålet behandling av personuppgifter för antalsberäkning. Däremot bör det, som framgått, införas en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter som närmare reglerar hur personuppgiftsbehandlingen för detta ändamål får utföras.
Förslagens konsekvenser
Betänkandet innehåller förslag till författningsändringar. Ett primärt syfte är att undanröja den osäkerhet som kan anses föreligga om det rättsliga stödet för personuppgiftsbehandling vid antalsberäkning inför klinisk forskning.
Regioner och kommuner ska medverka vid forskning inom hälso- och sjukvård och folkhälsoområdet; att bidra med underlag till de förberedande stegen inför klinisk forskning är del av denna uppgift. Förslagens ekonomiska konsekvenser för regioner och kommuner bedöms vara små och inte kräva någon ytterligare finansiering. Eftersom hälso- och sjukvården redan i dag tar fram underlag inför antalsberäkning bedöms förslagen inte påverka resursåtgången inom regioner eller kommuner och inte heller medföra ökad risk för att resurser tas från vård av patienterna.
Enligt vår bedömning är det inte möjligt för sådana privata vårdgivare som helt saknar koppling till offentligrättslig hälso- och sjukvårdsverksamhet att behandla personuppgifter för antalsberäkning. Enligt vår bedömning finns inte undantag enligt artikel 9.2 i dataskyddsförordningen som är tillämpligt för sådana vårdgivare. Därmed är det inte möjligt att göra det forskningsförberedande steg som antalsberäkningen innebär för potentiella studiedeltagare från denna grupp av vårdgivare.
Att inte skada, att göra gott, att respektera patientens autonomi och integritet samt att vara rättvis är viktiga etiska principer inom all hälso- och sjukvård. Risken för den enskilde bedöms vara liten när antalsberäkningen görs i enlighet med vårt förslag, det vill säga ett förfarande där personuppgiftsbehandlingen görs helt och hållet inom hälso- och sjukvården, och enbart uppgift om antalet personer lämnas till forskningshuvudmannen.
Förslagen kan på lång sikt antas ha positiva samhällsekonomiska konsekvenser eftersom de förväntas bidra till ökad kvalitet och tillförlitlighet i forskningen och därmed stärka Sverige som kunskapsnation. Detta bör även stärka förtroendet för svensk forskning, såväl nationellt som internationellt.
Utredningens förslag väntas bidra positivt till innovation genom att underlätta ansvarsfullt nyttiggörande av hälso- och vårddata. Genom att förbättra förutsättningarna för forskning, innovation och ett konkurrenskraftigt näringsliv finns möjligheter till bättre hälsa, utveckling av sjukvården och tryggat ekonomiskt välstånd.
1. Författningsförslag
1.1. Förslag till lag om ändring i patientdatalagen (2008:355)
Härigenom föreskrivs i fråga om patientdatalagen
dels att 1 kap. 1 § och 3 §, 2 kap. 4 § samt 7 kap. 4 och 6 §§ ska ha
följande lydelse,
dels att det ska införas två nya paragrafer, 2 kap. 4 a § och 7 kap.
5 a §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
1 §1
Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal.
Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården
och för antalsberäkning. I lagen
finns också bestämmelser om skyldighet att föra patientjournal.
Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.
Lagen gäller inte vid sådan behandling av personuppgifter som avses i den ursprungliga lydelsen av artikel 2.2 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
1 Senaste lydelse SFS 2018:447.
3 §2
I denna lag används följande uttryck med nedan angiven betydelse.
Uttryck Betydelse
Antalsberäkning Behandling av personuppgifter som görs på förfrågan för att beräkna hur många personer som uppfyller på förväg uppställda kriterier och därmed kan komma att ingå i forskning inom hälso- och sjukvården.
Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utred-
ningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.
Journalhandling Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga
2 Senaste lydelse SFS 2019:1299.
förhållanden eller om vidtagna eller planerade vårdåtgärder.
Patientjournal En eller flera journalhandlingar som rör samma patient. Sammanhållen journalföring Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare. Vårdgivare Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
2 kap.
4 §
Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för
1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,
2. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall,
3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,
4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,
5. administration, planering, uppföljning, utvärdering och till-syn av verksamheten, eller
6. att framställa statistik om hälso- och sjukvården. I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister.
I 7 kap. 4–5 a §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister.
4 a §
Personuppgifter som behandlas för ändamål som anges i 4 § första stycket får också behandlas för antalsberäkning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap 7 § regeringsformen meddela föreskrifter om hur sådan personuppgiftsbehandling som avses i första stycket ska utföras för att skydda de registrerades personliga integritet.
7 kap.
4 §
I stället för vad som anges i 2 kap. 4 och 5 §§ gäller att personuppgifter i nationella och regionala kvalitetsregister får behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.
I stället för vad som anges i 2 kap. 4–5 §§ gäller att personuppgifter i nationella och regionala kvalitetsregister får behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.
5 a §
Personuppgifter som behandlas för de ändamål som anges i 4 § får också behandlas för antalsberäkning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om hur sådan personuppgiftsbehandling som avses i första stycket ska utföras för att skydda de registrerades personliga integritet.
6 §
Personuppgifter i nationella och regionala kvalitetsregister får inte behandlas för några andra ändamål än de som anges i 4 och 5 §§.
Personuppgifter i nationella och regionala kvalitetsregister får inte behandlas för några andra ändamål än de som anges i 4–5 a §§.
Denna lag träder i kraft den 1 januari 2022.
2. Bakgrund
2.1. Kommitténs uppdrag
Kommittén för teknologisk innovation och etik arbetar med policyutveckling i syfte att skapa goda förutsättningar för innovation och konkurrenskraft samtidigt som utvecklingen och spridningen av ny teknik sker tryggt, säkert och med ett långsiktigt samhällsperspektiv. Kommittén arbetar på uppdrag av regeringen för att Sverige ska kunna vara ledande på ansvarsfull utveckling och användning av ny teknik. Arbetet ska ge stöd till regeringen att hantera en accelererande teknikutveckling.
Kommittén ska verka till och med år 2021 och bidra till att skapa goda och trygga förutsättningar för teknologisk innovation till grund för en hållbar utveckling såväl i Sverige som internationellt. Kommittén ska både bejaka de möjligheter till förbättring för medborgare, näringsliv och samhälle som tekniken skapar samt lyfta de målkonflikter som kan uppkomma.
Kommitténs arbete ska i huvudsak utgå från prioriteringar och resultat från regeringens samverkansprogram. Dessa inrättades av regeringen år 2016 i syfte att hitta innovativa lösningar på några av samhällets utmaningar. Ett av dem har inriktning mot hälsa och life science1. Området beskrivs som en viktig prioritering för regeringen och arbetet samordnas mellan Närings-, Utbildnings- och Socialdepartementen för en gemensam kraftsamling inom näringslivsutveckling, forskning samt hälso- och sjukvård.
Ett av de tillämpningsområden kommittén inledningsvis ska fokusera på är sektorsövergripande och policyutvecklande initiativ kopplade till precisionsmedicin.
1 Samverkansprogrammet som initialt var inriktat mot life science breddades år 2019 till att omfatta hälsa och life science.
2.2. Antalsberäkning och personuppgiftsbehandling
Inför beslut om huruvida klinisk forskning kan genomföras behöver forskningshuvudmannen ofta veta hur många möjliga deltagare det finns, till exempel hur många patienter som har en viss sjukdom och som under sjukdomens förlopp har genomgått en viss behandling. Detta oavsett om den forskning som planeras ska genomföras inom ett lärosäte, inom en region eller vid ett företag.
I eran av precisionsmedicin är behandling och forskning starkt individualiserad. Därför kan forskningshuvudmannen på en mycket detaljerad nivå behöva veta hur många deltagare som skulle kunna ingå om forskningen startas. Hur antalsberäkningen definieras och går till beskrivs närmare i kapitel 3.
För att kunna beräkna antalet möjliga personer behövs behandling av personuppgifter som finns inom hälso- och sjukvården. Vårdgivaren är personuppgiftsansvarig för behandling av sådana personuppgifter och ska säkerställa att all behandling är förenlig med dataskyddsförordningen2, som är den primära regleringen. Därutöver ska all behandling av personuppgifter ske i enlighet med kompletterande nationell lagstiftning som dels kan ge det stöd som krävs för att behandlingen ska vara laglig enligt förordningen, dels precisera och anpassa den tillåtna behandlingen. För personuppgifter som rör patienter är patientdatalagen (2008:355) en sådan kompletterande lagstiftning till dataskyddsförordningen. I den lagen anges bland annat för vilka ändamål en vårdgivare kan behandla personuppgifter inom sin verksamhet (se vidare avsnitt 5.7.2). Att vårdgivare behandlar personuppgifter för antalsberäkning har av Datainspektionen ansetts falla in under regleringen i patientdatalagen.3
Behandling av personuppgifter för antalsberäkning bedöms alltså omfattas av lagens tillämpningsområde. Samtidigt synes lagen hindra behandlingen eftersom den faller utanför de i lagen uppräknade ändamålen. Osäkerhet råder också om huruvida en sådan behandling uppfyller kraven på något tillämpligt undantag från förbudet för behandling av känsliga personuppgifter som följer direkt av artikel 9 i dataskyddsförordningen (se vidare avsnitt 5.6). Det är således oklart om det finns något rättsligt stöd för den behandling av personupp-
2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 3 Datainspektionens beslut 2017-04-10 i ärendet 974-2016.
gifter som aktualiseras vid en antalsberäkning. Detta har lett till olika tillämpningar i olika delar av landet.
Behovet av att tydliggöra rättsläget har tidigare framhållits av bland annat Datainspektionen, Biobank Sverige och Genomics Medicine Sverige samt Institutet för framtidsstudier4. Vetenskapsrådet skickade en hemställan till Utbildningsdepartementet år2017.5
Frågan har även belysts i slutbetänkandet av Utredningen om rätt information i vård och omsorg (U 2011:13). Utredningen ansåg att bestämmelserna om författningsreglerat utlämnande och finalitetsprincipen i patientdatalagen ligger närmast till hands att tillämpa som stöd. I avsaknad av vägledande avgöranden ansåg dock utredningen att det var otillfredsställande att grunda personuppgiftsbehandlingen på dessa regler.6 Utredningen föreslog bland annat därför att behandling av personuppgifter för antalsberäkning och identifiering av möjliga deltagare för forskning inom hälso- och sjukvården skulle tas in i en ändamålsbestämmelse i en av utredningen föreslagen hälso- och sjukvårdsdatalag. Något motsvarande behov ansågs däremot inte föreligga beträffande sådan personuppgiftsbehandling i nationella eller regionala kvalitetsregister. Utredningsförslagen har inte genomförts.
2.3. Utgångspunkter för utredningens förslag
En utgångspunkt för kommitténs arbete med frågan om personuppgiftsbehandling inför klinisk forskning har varit kommitténs uppdrag att bidra till att skapa goda förutsättningar för innovation och stärkt konkurrenskraft i hela landet genom att:
- göra fördjupade analyser av eventuella hinder i form av lagstiftning eller annan osäkerhet om gällande policyer,
- där det är relevant, kartlägga behov av erforderlig anpassning av regelverk, samt
- kontinuerligt leverera policyutvecklande förslag till regeringen.
4 Institutet för Framtidsstudier (2017). Bortom IT Om hälsa i en digital tid. Forskningsrapport 2016/2, 2:a upplagan 5 Vetenskapsrådet (2017). Hemställan om lagstöd för personuppgiftsbehandling vid antalsberäkning och pre-screening (handling inskickad till Regeringskansliet). 6SOU 2014:23 s. 158–170. Det bör här påpekas att den utredningens överväganden avsåg personuppgiftsbehandling inte bara för antalsberäkning, utan också för att identifiera (och lämna ut personuppgifter om) personer för den avsedda forskningen.
2.3.1. Förslagens huvudsakliga syfte är att ge tydlighet
Betänkandet innehåller en beskrivning och analys av de rättsliga förutsättningarna för en vårdgivare att utföra sådan personuppgiftsbehandling som är nödvändig för den antalsberäkning som behövs inför beslut om att inleda en studie inom klinisk forskning.
Syftet med våra överväganden och förslag är att bidra till ökad tydlighet, att underlätta för de aktörer som planerar klinisk forskning och att förstärka rättssäkerheten genom att säkerställa lika villkor i hela landet. Ytterligare ett viktigt syfte är att värna integriteten hos dem vars personuppgifter behandlas i samband med antalsberäkning. Se tabell 4.1 i avsnitt 4.3 för en fördjupad beskrivning av värden och effekter för de intressenter som påverkas av antalsberäkningen.
I ett större perspektiv utgör förslagen en del av utvecklingen av Sverige som stark kunskapsnation inom life science-området. Genom att förbättra förutsättningarna för forskning, innovation och konkurrenskraftigt näringsliv finns möjligheter till bättre hälsa, utveckling av sjukvården och tryggat ekonomiskt välstånd.
Den internationella konkurrensen, bland annat om var industrin väljer att förlägga sina prövningar av nya läkemedel, hårdnar. Det finns en risk att svenska patienter missar möjligheten att vara med i läkemedelsprövningar om företagen väljer att lägga sådana prövningar i andra länder.
Slutligen kan tydlighet om rättsläget bidra till möjligheten att göra de förberedelser som krävs för klinisk forskning som i förlängningen bygger upp kunskap till stöd för diagnostik, behandling, möjlighet att förebygga sjukdom och till rehabilitering för människor såväl i Sverige som internationellt.
2.3.2. Avgränsning
Vi har avgränsat uppdraget till att omfatta frågeställningar som specifikt rör antalsberäkning inom hälso- och sjukvårdens verksamhet, det vill säga en vårdgivares möjlighet att utföra den personuppgiftsbehandling i till exempel patientjournal eller kvalitetsregister som krävs för antalsberäkning.
Vi behandlar inte andra förberedande steg som kan behöva göras innan klinisk forskning kan påbörjas. En viktig avgränsning är att
betänkandet enbart tar upp antalsberäkning, inte några andra moment som görs inom så kallade genomförbarhets- eller feasibilitystudier (se kapitel 3, särskilt tabell 3.1). Avgränsningen innebär att betänkandet är inriktat på personuppgiftsbehandling som resulterar i att forskningshuvudmannen enbart får besked om antal, inga uppgifter om personerna bakom antalet lämnas ut. Detta är en naturlig och tydlig avgränsning; senare steg i processen är redan tydligt reglerade via annan lagstiftning.7
Ytterligare en avgränsning är att betänkandet inte innebär någon förändring av de rättsliga förutsättningarna för sådan behandling av personuppgifter som är tillåten enligt 2 kap. eller 7 kap.patientdatalagen. Till exempel berör våra förslag inte ändamålet att framställa statistik om hälso- och sjukvården (2 kap. 4 § och 7 kap. 5 §).
Inte heller tar vi upp behandling av personuppgifter utanför hälso- och sjukvården i syfte att beräkna antal.8
Betänkandet har alltså avgränsats till antalsberäkning som ett förberedande steg inför klinisk forskning. Vi är medvetna om att det kan finnas önskemål om att göra antalsberäkning som ett förberedande steg även för andra typer av forskning, men i detta betänkande behandlas enbart klinisk forskning. I förslaget till författningsändringar har vi uttryckt avgränsningen som ”forskning inom hälso- och sjukvården” (se avsnitt 2.5 för beskrivning av begreppet). Skälet till avgränsningen är i korthet att offentliga vårdgivare9 har en lagfäst skyldighet att medverka vid planering av kliniskt forskningsarbete på hälso- och sjukvårdens område, och därmed kan grunden uppgift av allmänt intresse tillämpas för behandling av känsliga personuppgifter (se vidare avsnitt 5.5.3).
Hälsodata är ett omfattande område som rymmer många olika frågeställningar. Det finns en rad angelägna frågeställningar och det pågår en livlig diskussion inom området, till exempel om strukturer och regelverk för att kunna dela hälsodata på ett tryggt och smidigt sätt. Detta betänkande, som är avgränsat till personuppgiftbehandling vid antalsberäkning inför klinisk forskning, syftar dock inte till att ta upp hantering av hälsodata i vid mening.
7 För utlämnande av kontaktuppgifter till personer som ska tillfrågas om de vill medverka i forskning krävs en godkänd prövning enligt lag (2003:460) om etikprövning av forskning som avser människor. Även en sekretessprövning görs. 8 Exempelvis omfattas inte antalsberäkning via nationella register vid myndigheter, såsom Socialstyrelsen, Statistiska centralbyrån eller Arbetsförmedlingen. 9 Detsamma gäller för privata vårdgivare som bedriver hälso- och sjukvårdsverksamhet på uppdrag av regioner och kommuner, se avsnitt 5.5.3
2.4. Utredningsarbetet
Under utredningsarbetets gång har diskussioner förts i en mindre grupp bestående av representanter från Regeringskansliet, andra berörda myndigheter, regioner och akademin.
Kommitténs sekretariat har inbjudit till och genomfört ett rundabordssamtal med företrädare för patienter och anhöriga, branschföreträdare, företrädare för regionerna, nationella myndigheter och lärosäten. De som deltog hade erfarenhet av klinisk forskning ur flera olika perspektiv. Syftet med samtalen var att lyssna på synpunkter och tankar kring frågor som rör antalsberäkning.
Vidare har sekretariatet tagit del av forskningsrapporter samt svenska och internationella studier och uppföljningar med mera.
2.5. Begrepp
I avsnittet redovisas kortfattat några centrala begrepp som används i betänkandet. Så långt möjligt strävar vi efter att använda begreppen på ett entydigt sätt. Läsaren bör dock vara medveten om att flera av begreppen saknar allmängiltiga definitioner. Vi belyser detta i beskrivningen av respektive begrepp.
Antalsberäkning
Med antalsberäkning10 avses i detta betänkande sådan behandling av personuppgifter som görs på förfrågan för att beräkna hur många personer som uppfyller på förväg uppställda kriterier och därmed kan komma att ingå i forskning inom hälso- och sjukvården.
Personuppgifter
Enligt artikel 4 i EU:s dataskyddsförordning definieras personuppgifter, respektive behandling:
Personuppgifter: varje upplysning som avser en identifierad eller identi-
fierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras
10 Se avsnitt 2.2 om avgränsningen till frågeställningar som specifikt rör antalsberäkning inom hälso- och sjukvårdens verksamhet.
särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Behandling: en åtgärd eller kombination av åtgärder beträffande person-
uppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
I artikel 9 listas särskilda kategorier av personuppgifter:
… personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning …
I svensk lagstiftning används benämningen känsliga personuppgifter för dessa uppgifter.11
Forskning och forskningshuvudman
Begreppet forskning har över tid definierats på flera olika sätt, beroende på sammanhang. I den forskningspolitiska propositionen från 2016 (prop. 2016/17:50) använder regeringen en definition av forskning och utveckling som hämtats från Statistiska centralbyrån:
ett systematiskt arbete för att söka efter ny kunskap eller nya idéer med eller utan en bestämd tillämpning i sikte. Här ingår också systematiskt arbete som utnyttjar forskningsresultat, vetenskaplig kunskap eller nya idéer för att åstadkomma nya material, varor, tjänster, processer, system och metoder, eller väsentliga förbättringar av redan existerande sådana.
Flera tidigare utredningar har tagit upp forskningsbegreppet inom ramen för sitt utredningsarbete.12 I syfte att förtydliga lagens tillämpningsområde gäller sedan den 1 januari 2020 nya definitioner av forskning och forskningshuvudman i 2 § lagen (2003:460) om etikprövning
11Prop. 2017/18:105 s. 75. 12 Se till exempel SOU 2017:104 s. 167–226, SOU 2017:10 s. 55–57, SOU 2005:78 s. 47–55.
av forskning som avser människor (etikprövningslagen). Med forskning avses:
vetenskapligt experimentellt eller teoretiskt arbete eller vetenskapliga studier genom observation, om arbetet eller studierna görs för att hämta in ny kunskap, och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete eller sådana studier som utförs endast inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.
Med forskningshuvudman avses i samma lag:
en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs.
Klinisk forskning
Klinisk forskning är ett begrepp som ofta används, men som saknar en tydligt fastslagen definition. Utredningen av den kliniska forskningen (U 2007:04) menade att det saknas entydig beskrivning av vad klinisk forskning är, och att definitionen över tid har påverkats av avgränsningar i den medicinska forskningens finansieringssystem.13Utredningen valde att se klinisk forskning som:
forskning som förutsätter vårdens strukturer och resurser och som har som mål att lösa ett ohälsoproblem eller att identifiera faktorer som leder till ökad hälsa.
Denna utgångspunkt har fått spridning och återkommer till exempel i efterföljande utredningar.14 I avtal mellan staten och vissa regioner (dåvarande landsting) om samarbete om utbildning av läkare, klinisk forskning och utveckling av hälso- och sjukvården, det så kallade ALF-avtalet15, tillämpas samma definition av begreppet som används i utredningen av den kliniska forskningen.16
Vetenskapsrådet ska enligt sin instruktion (2009:975) stödja och utveckla förutsättningarna för kliniska studier i Sverige och myndigheten har flera regeringsuppdrag inriktade på klinisk forskning. Vetenskapsrådet använder följande formulering av klinisk forskning17, respektive kliniska studier18:
13SOU 2009:43, s. 41. 14 Se till exempel SOU 2017:104, s. 339–340. 15 ALF-avtalet, U2014/07551/F, september 2014. 16 ALF-avtalet, 7 §. 17 www.vr.se/uppdrag/klinisk-forskning.html. 18 www.kliniskastudier.se/for-dig-som-forskar/studietyper.html.
Forskningen förutsätter vårdens strukturer och resurser, utgår från de behov som finns i hälso- och sjukvården och förväntas leda till patient- och samhällsnytta.
En klinisk studie är en vetenskaplig studie som genomförs på människa för att studera biomedicinska eller hälsorelaterade frågeställningar.
Hälso- och sjukvård
Enligt 2 kap. hälso- och sjukvårdslagen (2017:30) avses följande med hälso- och sjukvård:
åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador, sjuktransporter, och omhändertagande av avlidna.
Med vårdgivare avses i samma lag statlig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet. I 1 kap. 3 § patientdatalagen tydliggörs vad som avses med offentlig, respektive privat vårdgivare.
Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
Journal
Vad som avses med journalhandling och patientjournal definieras i 1 kap. 3 § patientdatalagen.
Journalhandling: Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.
Patientjournal: En eller flera journalhandlingar som rör samma patient.
Kvalitetsregister
Vad som avses nationella och regionala kvalitetsregister definieras i 7 kap, 1 §patientdatalagen.
Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregistren ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå. Bestämmelserna i detta kapitel gäller för nationella och regionala kvalitetsregister i vilka personuppgifter samlas in från flera vårdgivare.
Kvalitetsregister innehåller individbaserade uppgifter om problem, insatta åtgärder och resultat inom hälso- och sjukvård och omsorg.19Diagnosregister samlar oftast data under lång tid, medan åtgärdsregister ofta registrerar en åtgärd som gjorts vid ett visst tillfälle. Det finns också register som är inriktade på en viss frågeställning inom till exempel en specifik patientgrupp eller en viss vårdform. Det finns drygt hundra kvalitetsregister och dessa är sinsemellan olika, med olika typer av mått och parametrar.
Medverkan i kvalitetsregistren är frivillig, det vill säga varje patient väljer själv om hens uppgifter ska vara med i ett register. Olika registerhållare ansvarar för kvalitetsregistren. Det kan till exempel vara en vårdgivare, såsom ett visst sjukhus, eller en region. Flera av kvalitetsregistren är nationella och innehåller uppgifter från vårdgivare i hela landet. För vart och ett av de nationella kvalitetsregistren finns en central personuppgiftsansvarig.
Hälsodataregister är en annan typ av register än kvalitetsregistren. Liksom kvalitetsregister innehåller de individbaserade uppgifter. Till skillnad från kvalitetsregister är hälsodataregister obligatoriska, på så sätt att en person inte kan motsätta sig registrering. Socialstyrelsen förvaltar hälsodataregistren. Registreringen av uppgifter till registret görs av personal inom vården med stöd av lagen (1988:543) om hälsodataregister.
19Se till exempel boken av Gunilla Jacobsson Ekman och medarbetare (2015) Nationella kvali-
tetsregister i hälso- och sjukvården. Stockholm. Karolinska Institutet, eller webbplatsen på
Sveriges kommuner och regioner. Nationella kvalitetsregister. www.kvalitetsregister.se.
2.6. Utredningar med liknande uppdrag
Redan Utredningen om nationell samordning av kliniska studier (U 2013:04) påtalade att tiden är en avgörande faktor vid företagens val av var i världen de ska förlägga en klinisk prövning.20 Utredningen tog inte upp någon fråga specifikt kopplad till antalsberäkning, men beskrev hälso- och sjukvårdens arbete med system för nationell samordning, rådgivning och stöd till den kliniska forskningens aktörer.
Som nämnts föreslog Utredningen om rätt information i vård och omsorg en hälso- och sjukvårdsdatalag, där behandling av personuppgifter för antalsberäkning inom hälso- och sjukvården skrevs in i en ändamålsbestämmelse (avsnitt 2.2).21 Förslaget har inte genomförts.
Forskningsdatautredningen (U 2016:04) såg ett behov av att införa en forskningsdatalag, tillämplig för all personuppgiftsbehandling för forskningsändamål oavsett rättslig grund.22 Utredningen tog inte upp någon fråga specifikt kopplad till antalsberäkning, men föreslog en bestämmelse i forskningsdatalagen som skulle tillåta behandling av känsliga personuppgifter när sådan behandling bedöms vara nödvändig för att uppnå forskningsändamålet. Som huvudsaklig skyddsåtgärd föreslog utredningen etikprövning enligt etikprövningslagen. Förslaget till forskningsdatalag har inte genomförts.
Den pågående Utredningen om sammanhållen information inom vård och omsorg (S 2019:01) har bland annat i uppgift att se över möjligheterna till en utvidgad informationsöverföring för kvalitetsutveckling mellan vårdgivare i hälso- och sjukvård och mellan myndigheter inom hälso- och sjukvård och enskilda vårdgivare. Dessutom ska utredaren beskriva eventuella ytterligare frågeställningar som utredaren bedömer kräver vidare analys ur ett dataskydds- eller sekretessperspektiv. Enligt kontakter med utredningen finns dock för närvarande inte någon plan att ta upp någon frågeställning som berör personuppgiftsbehandling kopplad till antalsberäkning.
20SOU 2013:87. 21SOU 2014:23 s. 158–170. 22SOU 2018:36.
3. Vad innebär antalsberäkning?
3.1. När och varför görs antalsberäkning?
Antalsberäkning görs vid planering av klinisk forskning. Vid förberedelserna undersöks för- och nackdelar med att i framtiden genomföra en studie inom klinisk forskning. En rad förutsättningar behöver undersökas för att kunna bedöma om det är lämpligt, eller ens möjligt, att starta forskningen. Det finns flera beskrivningar av de olika stegen i klinisk forskning, se till exempel information från Vetenskapsrådet.1
Antalsberäkning gör det möjligt för forskningshuvudmannen att initialt bilda sig en uppfattning om hur många personer som potentiellt skulle kunna delta i en forskningsstudie där man önskar besvara en specifik frågeställning.
I tabell 3.1 ges exempel på en schematisk beskrivning av forskning från ide till genomförande.
1 Vetenskapsrådet. Kliniska studier – steg för steg (www.kliniskastudier.se). Flera olika termer används som samlingsbegrepp för de inledande stegen, till exempel genomförbarhetsstudie, feasibility studie, pre-screening samt studieförfrågan. Notera att detta betänkande endast tar upp antalsberäkning.
Tabell 3.1 Schematisk beskrivning – från förberedelse till klinisk forskning
Idé
Planering
Tillstånd Genomförande
Exempel: – undersökning av vad som gjorts tidigare – formulering av problemet – formulering av inklusions- och exklusionskriterier
Exempel: – undersökning av regelverk, krav och förutsättningar – upprättande av forskningsplan – formulering av information till deltagare
Ansökan om nödvändiga tillstånd och prövningar
Forskningen kan påbörjas när formella krav är uppfyllda, såsom att prövningar är godkända och tillstånd finns
Antalsberäkning som stöd i ställningstagande
Källa: Sammanställning av uppgifter från kansliets kontakter med aktörer verksamma inom klinisk forskning (se avsnitt 2.4).
Antalsberäkning behöver ibland göras för att kunna ta ställning till om det finns förutsättningar att starta forskningen. Antalsberäkningen görs oftast under idésteget eller vid planeringen, men alltid innan den kliniska forskningen har påbörjats.
I detta tidiga läge behövs en uppfattning om antal möjliga forskningspersoner. Men det behövs inte någon uppgift om vilka personerna är, och inte heller närmare information om varje individ.
Det som krävs är uppgift om antal personer som motsvarar en viss uppsättning inklusions-, respektive exklusionskriterier. Kriterierna kan ses som en rad villkor som har ställts upp. Exempel på inklusionskriterier kan vara en viss sjukdom, att personen behandlas med ett visst läkemedel eller har genomgått en viss åtgärd inom hälso- och sjukvården.
Oftast behöver uppgifterna om antal inte vara helt exakta. I många fall räcker det att veta ett intervall, till exempel om det finns färre än fem personer, mellan fem och tio personer, mellan tio och tjugo personer eller fler än femtio teoretiskt möjliga deltagare.
För att det ska vara möjligt att initiera forskning krävs tillräckligt antal personer, men också resurser och tillstånd, se tabell 3.2.
Tabell 3.2 Schematisk beskrivning av ställningstagande inför klinisk forskning
Ställningstagande
Personer Uppfyller tillräckligt antal personer kriterierna (antalsberäkning)? Exempel: Finns det tillräckligt många … … patienter för att genomföra prövningen i Sverige? … patienter för att genomföra forskningen hos en viss vårdgivare? … (för forskningen relevanta) uppgifter i registret? … prov som uppfyller kriterierna för forskningen? Resurser Finns lämplig kunskap och utrustning i hälso- och sjukvården? Exempel: … kunskap om sjukdomen / tillståndet? … kunskap om uppföljning och dokumentation? … utrustning, till exempel för att analysera prover? Är det möjligt att genomföra studien inom hälso- och sjukvården? Exempel: … tillräckligt med personal med rätt kompetens? … plats för patienterna? … finansiering? … tillgång till prövningsläkemedel / medicinteknisk produkt? Tillstånd Är det möjligt att få tillstånd och teckna nödvändiga avtal? Exempel: … etikprövning … klinisk läkemedelsprövning … klinisk prövning av medicinsktekniska produkter … tillstånd från strålskyddskommitté … avtal om tillgång till prov (biobanksavtal)
… avtal med sjukhusapotek
Källa: Sammanställning av uppgifter från kansliets kontakter med aktörer verksamma inom klinisk forskning (se avsnitt 2.4).
3.2. Uppgifter som behövs för antalsberäkning
För att kunna göra antalsberäkning behövs behandling av personuppgifter som ofta rör en persons hälsa (detta är så kallade känsliga personuppgifter, se avsnitt 5.6). I en vårdgivares verksamhet kan dessa uppgifter till exempel finnas i patientjournaler eller i kvalitetsregister.
3.2.1. Prover inom hälso- och sjukvården
Prov som tas för vård utgör underlag för diagnos, vård och behandling av patienten, samt för uppföljning. Hantering av prov för diagnostik sker vid laboratorium, exempelvis inom klinisk patologi,
klinisk mikrobiologi, klinisk kemi eller klinisk genetik. Vissa av de prov som tas inom hälso- och sjukvården sparas i en biobank hos vårdgivaren. Av de prov som sparas i regionerna är merparten för ändamålet vård och behandling (cirka 95 procent).
Information om utförda analyser, analyssvar, diagnos och huruvida ett prov finns bevarat lagras i biobankens, respektive laboratoriets, laboratorieinformationssystem (LIS). Flera av uppgifterna i LIS är en journalhandling.
3.3. Aktörer och typ av forskning
Uppgifter om antal möjliga personer behövs för dem som planerar att genomföra klinisk forskning inom såväl det offentligrättsliga som inom det privaträttsliga området. Bland de offentligrättsliga aktörerna finns fram för allt universitet och högskolor med staten som huvudman, men flera andra statliga myndigheter har forskningsuppgifter inom ramen för sin ordinarie verksamhet. Även kommuner och regioner bedriver forskning där det finns behov av antalsberäkning. Bland de privaträttsliga aktörerna finns lärosäten som drivs av andra huvudmän än staten, privata företag och stiftelser. Särskilt läkemedelsföretag och företag inom medicinsk teknik har behov av antalsberäkning.
Vid en genomgång av statistiken har Vetenskapsrådet visat att tio procent av svensk klinisk forskning utgörs av läkemedelsprövningar.2Läkemedelsprövningar utförs inom akademin, hälso- och sjukvården och life science-industrin och utgör en viktig del av klinisk forskning, menar Vetenskapsrådet.
Det finns många sätt att kategorisera forskning och utvecklingsarbete och detta betänkande syftar inte till att ge någon heltäckande bild. Det som behandlas här är den personuppgiftsbehandling som är nödvändig för antalsberäkning inför beslut om att inleda klinisk forskning, oavsett studieupplägg.
2 Vetenskapsrådet (2017). Statistik för läkemedelsprövningar ur ett patientperspektiv.
3.3.1. Klinisk forskning och kliniska läkemedelsprövningar
Klinisk forskning är ett uttryck som rymmer många olika typer av forskning, se definition i avsnitt 2.5. Inom klinisk forskning studeras bland annat vilka besvär som människor med en viss sjukdom har, hur träffsäkert ett diagnostiskt test är och vilken behandling som är mest effektiv. Det kan till exempel handla om att ta reda på vilken kombination av operation och strålning som är mest optimal för patienter med tjocktarmscancer, studier av koppling mellan bilavgaser och hjärtinfarkter eller nya metoder för att övervaka svårt hjärnskadade personer.3 I avsnitt 3.5.1 beskrivs tre typfall för att illustrera antalsberäkning inför klinisk forskning.
En av de målsättningar som lyfts fram i regeringens strategi för life science är att fler kliniska studier, som bedrivs i samarbete med näringslivet, ska förläggas i Sverige.4 En vanlig typ av sådan näringslivssamverkan är kliniska läkemedelsprövningar som beskrivs kortfattat nedan. Processen för de moment som görs inför att ett läkemedelsföretag ska initiera en läkemedelsprövning beskrivs utförligt i en rapport från Vetenskapsrådet.5 De olika stegen beskrivs även på en webbsida för kliniska studier.6 Information finns också via Läkemedelsverket7 och Läkemedelsindustriföreningen8. En sammanfattning följer nedan.
Till att börja med upprättar läkemedelsföretaget ett utkast till protokoll. Det innehåller bland annat information om den patientgrupp som är tänkt att ingå i prövningen, syftet samt inklusions- och exklusionskriterier.
I det följande undersöker företaget vilka länder som kan vara aktuella att genomföra prövningen i och även vilka kliniker i utvalda länder som är intresserade av att delta.
Inför beslut om att starta studien gör företaget också en förfrågan till kliniker inom hälso- och sjukvården, där uppgifter samlas in via frågeformulär eller motsvarande. En vanlig fråga är antalet patienter som kliniken bedömer är möjliga att rekrytera, baserat på de aktuella
3 Utredningen av den kliniska forskningen (2008). Världsklass! Åtgärdsplan för den kliniska
forskningen (SOU 2008:7).
4 Regeringen (2019). En nationell strategi för life science. 5 Vetenskapsrådet (2018). Förstudierapport – Samordnade studieförfrågningar. 6 Vetenskapsrådet. Kliniska studier – steg för steg (www.kliniskastudier.se). 7 www.lakemedelsverket.se/sv/tillstand-godkannande-och-kontroll/kliniskprovning/lakemedel-for-manniskor. 8 www.lif.se/grundfakta/forskning/kliniska-lakemedelsprovningar/.
inklusions- och exklusionskriterierna. Svaren ligger sedan till grund för företagets beslut om vilka länder, och vilka kliniker inom varje land, som ska ingå.
3.4. I vilken omfattning görs antalsberäkning?
Det har inte varit möjligt att få fram exakt uppgift över hur många antalsberäkningar som görs. Det saknas sammanhållen statistik och det är svårt att uppskatta antalet unika förfrågningar. Detta beror på att förfrågningar om kliniska studier kan ske på så många olika sätt. De kan till exempel ställas direkt till klinikerna, till kvalitetsregistren eller till noderna inom samarbetet Kliniska Studier Sverige. När en kontakt väl är etablerad mellan ett företag och den som ska genomföra själva forskningen eller läkemedelsprövningen går följande förfrågningar ofta direkt, alltså inte via de regionala noderna. Det finns dock viss statistik insamlat inom ramen för samarbetet Kliniska Studier Sverige som redovisas längre ner i detta avsnitt.
För att få en uppfattning om antalet årliga antalsberäkningar kan jämförelser med olika ansökningstyper vara relevanta.
Antalet ansökningar om etikprövning som behandlades inom de medicinska avdelningarna vid Etikprövningsmyndigheten var ungefär 2 400 år 2017, respektive 2 500 år 2018. Av dessa var 238 ansökningar om klinisk läkemedelsprövning år 2017 och 251 år 2018.9
Enligt statistik från Läkemedelsindustriföreningen gjorde föreningens medlemsföretag 221 förfrågningar till svensk hälso- och sjukvård om att genomföra kliniska läkemedelsprövningar år 2018.10År 2017 förlades ungefär hundra prövningar till Sverige; samma år inkom drygt 240 förfrågningar.
Statistik från EU:s register över kliniska prövningar visar att det svenska Läkemedelsverket tog emot 260 ansökningar om kliniska läkemedelsprövningsansökningar år 2018.11 De senaste åren har antalet ansökningar varit i storleksordningen 250–300 per år.
9 Etikprövningsmyndigheten. Statistikuppgifter hämtade från Etikprövningsmyndighetens webbsida 14 januari, 2020. 10 Läkemedelsindustriföreningen (LIF). Antal ”feasibility-förfrågningar” och antal prövningar allokerade till Sverige. Statistikuppgifter hämtade från Läkemedelsindustrins webbsida 13 mars, 2020. 11 Läkemedelsverket. Antal Inkomna kliniska läkemedelsprövningsansökningar i Sverige 2005–2018. Statistikuppgifter hämtade från Läkemedelsverkets webbsida 14 januari, 2020.
Knappt tre fjärdedelar av de läkemedelsprövningar som förlades till Sverige under perioden 2010–2016 var internationella.12 Av de europeiska patienterna under samma period var andelen svenska patienter nio procent.
Enligt en rapport från Vetenskapsrådet är tillgången till nationell statistik rörande studieförfrågningar för klinisk forskning i Sverige begränsad.13 Läkemedelsindustriföreningen gör en årlig enkät till sina medlemsföretag, men det finns inte någon motsvarande nationell statistik från hälso- och sjukvården.
Sverige är indelat i sex samverkansregioner och inom varje sådan region finns minst ett universitetssjukhus. Samverkansregionerna har ett samarbete, Kliniska studier Sverige, med stöd av Vetenskapsrådet. Inom ramen för detta samarbete har man bildat sex regionala noder som bland annat ger stöd till företag och forskare inför start av klinisk forskning. En viktig del är att identifiera intresserade kliniker. Var och en av landets 21 regioner hör till en av noderna; Forum Norr (Norrbotten, Jämtland Härjedalen, Västerbotten och Västernorrland), Forum Uppsala–Örebro (Gävleborg, Dalarna, Uppsala, Värmland, Örebro län, Västmanland och Sörmland), Forum Stockholm–Gotland (Stockholm och Gotland), Gothia Forum (Västra Götaland och norra delen av Halland), Forum Sydost (Östergötland, Jönköpings län och Kalmar län) eller Forum Söder (södra delen av Halland, Blekinge, Kronoberg och Skåne).
Antalet studieförfrågningar anges i en årligen återkommande rapport från noderna. För åren 2018 och 2019 rapporterar Forum Norr 40/43, Forum Uppsala–Örebro 53/55, Forum Sydost 60/59, Karolinska Trial Alliance 33/19, Forum Söder 40/43 och Gothia Forum 173/184 förfrågningar per år.14
3.5. Hur görs antalsberäkning?
I tabell 3.3 ges en schematisk beskrivning av processen för att genomföra antalsberäkning. Den kombination av åtgärder som utgör behandlingen av personuppgifterna kan (helt eller delvis) utföras auto-
Enligt Läkemedelsverkets ärendehanteringssystem inkom 283 ansökningar, medan uppgiften är 260 enligt EU:s statistik där varje studie får en unik registreringskod. 12 Vetenskapsrådet (2017). Statistik för läkemedelsprövningar ur ett patientperspektiv. 13 Vetenskapsrådet (2018). Förstudierapport – Samordnade studieförfrågningar. 14 Notera att det inte går att avgöra vilka förfrågningar som samtidigt ställts till flera noder.
matiserat. Detta kan innebära att resultaten i de olika delmomenten inte blir synliga för den person som utför antalsberäkningen. Ett exempel är att flera kvalitetsregister är uppbyggda på ett sådant sätt att det går att göra en sökning i registret där ett antal kriterier specificeras och endast ett antal (inga uppgifter som identifierar specifika personer) återges som resultat av sökningen. Det är principiellt viktigt att vara klar över att det görs en behandling av personuppgifter, även om delmomenten i sig inte redovisas för den som utför antalsberäkningen.
Tabell 3.3 Schematisk beskrivning av delmoment i antalsberäkning
Förfrågan inkommer Administrativ åtgärd Besked om antal
Beslut om att besvara förfrågan.
En person får i uppgift att utföra antalsberäkningen.
Framtagning av personuppgifter som redan finns hos vårdgivaren. Uppgifterna kan till exempel vara lagrade i patientjournaler eller kvalitetsregister.
Läsning och bearbetning av personuppgifterna för att undersöka vilka uppgifter som överensstämmer med de kriterier som specificeras i förfrågan.
Sammanförande av personuppgifter som stämmer med kriterierna.
Användning av de sammanförda personuppgifterna för att räkna antalet.
Underlaget som innehåller de sammanförda personuppgifter som använts för att beräkna antalet gallras omedelbart. Dock varken ändras eller raderas själva personuppgifterna.
Förfrågan besvaras genom att ett antal meddelas till frågeställaren.
Inga personuppgifter utlämnas, varken genom överföring, spridning eller tillhandahållande på annat sätt.
Källa: Sammanställning av uppgifter från kansliets kontakter med aktörer verksamma inom klinisk forskning (se avsnitt 2.4).
3.5.1. Exempel i form av typfall
Antalsberäkning kan rent praktiskt göras på flera olika sätt. De uppgifter som behövs kan till exempel finnas i patientjournaler eller kvalitetsregister inom hälso- och sjukvården. För att illustrera varför antalsberäkning görs, och hur den går till, följer tre fiktiva typfall.
Antal potentiella patienter för prövning av ett nytt läkemedel
Syftet är att pröva en behandling med ett nytt läkemedel för att få en uppfattning om behandlingens effekt och vilken dos som är optimal. Dessutom ska effekt och säkerhet för det nya läkemedlet, jämfört med standardbehandling, studeras under en längre tidsperiod.
Den som vill veta antalet är ett internationellt företag som letar efter länder som kan ingå i prövningen. I de förberedande stegen försöker företaget få en bild av hur många vårdgivare som skulle kunna involveras i respektive land och hur många patienter det finns vid varje sådan vårdgivare.
Den vårdgivare som tillfrågas om antal gör en sökning i patientjournaler. Ingen data avseende enskilda individer lämnas ut, endast uppgift om hur många patienter som uppfyller inklusions- och exklusionskriterierna.
För att inkluderas ska patienterna uppfylla följande kriterier: ha diagnosen Crohns sjukdom eller ulcerös kolit, tidigare inte fått effekt vid behandling med ett visst läkemedel (eller varit intolerant mot läkemedlet), ha en sjukdomsaktivitet som utifrån olika index motsvarar måttlig till svår sjukdom, samt haft sjukdomen under minst två år. Ytterligare inklusionskriterier kan exempelvis vara en viss utbredning av inflammationen eller att patienten har en specifik genetisk uppsättning.
Exkludering ska göras vid vissa kriterier när det gäller sjukdomshistorik, till exempel får patienterna med Crohns sjukdom inte ha förträngningar i tarmen.
Utöver antalsberäkningen kan företaget behöva information om resurser, till exempel om det finns tillräckligt med personal och utrustning för att undersöka patienterna med endoskopi.
Om antalet patienter bedöms vara tillräckligt görs därefter en ansökan om etikprövning och klinisk läkemedelsprövning. Dessutom skriver företaget och vårdgivaren (eller regionen) ett avtal.
Först när avtal och tillstånd från Etikprövningsmyndigheten och Läkemedelsverket är klara går företaget vidare och påbörjar den kliniska läkemedelsprövningen.
Antal potentiella deltagare till en studie på register och tidigare insamlade biologiska prover
Syftet är att besvara en forskningsfråga genom en studie som inkluderar såväl data i befintliga register som analyser av biologiska prover i biobanker. Ett exempel kan vara att studera orsaker till en lägre överlevnad hos patienter under 35 år som drabbats av bröstcancer.
Den som vill veta antalet är en forskningshuvudman som överväger att starta en studie där data ska inhämtas från olika register, såsom kvalitetsregister med uppgifter om diagnos och behandling. Då diagnosen är ovanlig behöver patienter från långt tillbaka i tiden inkluderas, vilket gör att diagnosen behöver säkerställas till dagens diagnosklassifikationer genom nya analyser på tidigare bevarade tumörprov. För att kunna ta ställning till om studien går att genomföra vänder sig forskningshuvudmannen till kvalitetsregistret för bröstcancer.
Frågan till registerhållaren är antalet kvinnor som drabbats av bröstcancer när de var 34 år eller yngre och som har tumörprov bevarade i en biobank inom sjukvården.
Om antalet bedöms vara tillräckligt går forskningshuvudmannen vidare med ansökan till Etikprövningsmyndigheten och med ansökan om forskningsmedel.
Antal fall av en viss sjukdom representerade i en provsamling
Syftet utgår i det här exemplet från en fråga som skulle kunna besvaras med hjälp av redan insamlade prover. Ett exempel är att jämföra sparade blodprov som en person lämnat innan en sjukdom bröt ut med nytagna prover från samma person efter sjukdomsutbrott. Ett annat exempel är att studera prover på tumörer som har en specifik genförändring.
Den som vill veta antalet är en forskningshuvudman som planerar att undersöka om det går att identifiera individer som kommer att bli sjuka – redan innan de har några symtom. Den planerade studien
rör personer med en specifik autoimmun sjukdom. Forskningshuvudmannen vill veta hur många fall av denna sjukdom som har prov bevarade i en biobank inom sjukvården fem år innan patienten fick diagnos. Information behövs redan i planeringen av studien för att bedöma om det är möjligt att gå vidare med idén att göra en forskningsstudie.
Den vårdgivare som tillfrågas om antal behöver behandla uppgifter från ett eller flera laboratorieinformationssystem. Dessa system kan till exempel innehålla uppgifter som identifierar personen (såsom namn eller personnummer) och dennes diagnos, huruvida prov finns bevarat, vilka analyser som gjorts, provkaraktäristika och provtagningsdatum. Eventuellt kan uppgifter från laboratorieinformationssystem behöva matchas med ytterligare information från den klinik som har behandlat patienten.
Om antalet bedöms vara tillräckligt går forskningshuvudmannen vidare med och ansökan till Etikprövningsmyndigheten och eventuellt även en ansökan om forskningsmedel.
Data från andra källor än hälso- och sjukvården
Det finns även typexempel som omfattar antalsberäkning där information behövs från andra datakällor än vårdgivare. Eftersom dessa inte ingår i denna utredning så beskrivs sådana exempel inte närmare här (se avgränsning i avsnitt 2.2).
4. Problem och allmänna överväganden
4.1. Problem med den nuvarande ordningen
4.1.1. Regelverket anses vara otydligt
I en skrivelse till regeringen år 2016 angav Vetenskapsrådet sin uppfattning att det saknas ett tydligt lagstöd för den personuppgiftsbehandling som i praktiken är nödvändig att utföra inför beslut om en klinisk studie ska inledas eller inte.1 Myndigheten menade att detta leder till en osäkerhet kring vilka bestämmelser det går att stödja behandlingen på, vilket försvårar dess instruktionsenliga uppgift att ”stödja och utveckla förutsättningarna för kliniska studier i Sverige”. Hemställan har inte föranlett någon åtgärd.
Nyttiggörande av hälso- och vårddata för forskning och innovation, samt en ansvarsfull, säker och etisk policyutveckling är två prioriterade områden som lyfts fram i regeringens strategi för life science.2 Personuppgiftsbehandling som utförs inom hälso- och sjukvården vid antalsberäkningar inför klinisk forskning lyfts fram som ett av de områden där befintlig lagstiftning, som reglerar hur data får användas för forskning och innovation, tolkas på olika sätt av olika aktörer. Att lagstiftningen tolkas på olika sätt kan bero på att kunskapsnivån hos aktörerna varierar, menar regeringen, men också på att det faktiskt finns oklarheter och hinder som kan behöva adresseras eller förtydligas.
1 Vetenskapsrådet (2017). Hemställan om lagstöd för personuppgiftsbehandling vid antalsberäkning och pre-screening (handling inskickad till regeringskansliet). 2 Regeringen (2019). En nationell strategi för life science.
4.1.2. Regionerna gör på olika sätt
Kontakter under utredningsarbetet ger vid handen att regioner och vårdgivare för närvarande hanterar antalsberäkning på lite olika sätt.
För att göra en antalsberäkning av hur många personer som har ett visst sjukdomstillstånd behövs ofta tillgång till uppgifter från patientjournaler. Vid vård av patienter ska det föras patientjournal (3 kap. 1 § patientdatalagen). Skyldigheten gäller till exempel för dem som har legitimation för ett yrke i hälso- och sjukvården. Vissa av regionerna har publicerat tydliga riktlinjer för hur förfrågningar från forskningshuvudmän ska hanteras. Ofta är det en verksamhetschef som beslutar om huruvida vårddokumentation, såsom uppgifter i patientjournaler, ska lämnas ut. Men det finns även andra lösningar, till exempel att den ansvarige läkaren prövar utlämnande av journalhandlingar eller att beslutet fattas av en person som har en roll inom regionens förvaltning.
Hur momentet att behandla personuppgifter specifikt för antalsberäkning går till beskrivs sällan tydligt i riktlinjerna. Men i de fall det är möjligt att utläsa framträder två olika förhållningssätt. I det ena fallet kan så kallad utsökning av patienter ske på uppdrag av verksamhetschefen. Det andra förhållningssättet är att utsökning är en administrativ åtgärd som kan ske genom elektronisk åtkomst till uppgifterna i journalsystemet.
Uppgifter som behövs för antalsberäkningen kan även hämtas från andra källor än patientjournalen, till exempel från kvalitetsregister. Eftersom dessa har olika utformning är även arbetet med registren organiserat på olika sätt i regionerna. Gemensamt för registren är att de är individbaserade och innehåller uppgift om diagnos, insatta åtgärder och resultat. Registren används bland annat för att följa upp patienterna och se effekterna av åtgärder inom hälso- och sjukvården. Staten har under några år haft en särskild satsning på de nationella kvalitetsregistren tillsammans med Sveriges Kommuner och Regioner.3 Satsningen har medfört ökat finansiellt stöd till de nationella kvalitetsregistren, och en del av överenskommelsen mellan parterna har varit att förbättra förutsättningarna för klinisk forskning och registerbaserad forskning.
3 För år 2020 gäller dokumentet Patientsäkerhet, nationella kvalitetsregister m.m. Överenskommelse mellan staten och Sveriges Kommuner och Regioner (ärende nr 19/01536).
4.1.3. Användning av artificiell intelligens vid antalsberäkning
Tekniken inom automatisering och så kallad maskininlärning utvecklas allt mer. Antalet applikationer som tillämpas inom hälso- och sjukvården är ännu är förhållandevis litet enligt en kartläggning som Socialstyrelsen har gjort under 2019.4 Flera frågeställningar kopplade till personuppgiftsbehandling vid antalsberäkning kan komma att aktualiseras med anledning av en ökande användning av artificiell intelligens inom hälso- och sjukvården. Ett exempel är huruvida en algoritm, som är utformad för att gå igenom data från patientjournaler och identifiera behandlingsresultat som avviker från det förväntade utfallet, ska ses som kvalitetsuppföljning eller en form av antalsberäkning.
Ytterligare en aspekt är att det kan vara svårare att göra en tydlig avgränsning mellan statistik och antalsberäkning när algoritmer används för att gå igenom uppgifter i patientjournaler eller kvalitetsregister och summera antal.
Flera hypotetiska frågeställningar skulle kunna konstrueras. I de ställningstaganden som görs i detta betänkande menar vi att det inte spelar någon principiell roll om antalsberäkningarna görs av en människa eller via en automatiserad aktivitet. Ansvaret för att personuppgiftsbehandlingen görs på ett korrekt sätt vilar under alla omständigheter ytterst på den personuppgiftsansvariga.
4.2. Svenskt deltagande i klinisk forskning
En av regeringens målsättningar inom life science-området är att mer klinisk forskning som bedrivs i samarbete med näringslivet ska förläggas till Sverige.5
Sedan år 2017 driver Vetenskapsrådet en utvecklingssatsning i syfte att öka den kliniska forskningen i Sverige genom att samordna studieförfrågningar nationellt, regionalt och lokalt. Målet är att förbättra förmågan att ge snabba, koordinerade och tillförlitliga svar på sådana förfrågningar inför företagens beslut att välja land eller område för att genomföra kliniska studier.
4 Socialstyrelsen (2019). Digitala vårdtjänster och artificiell intelligens i hälso- och sjukvården. Nr 2019-10-6431. 5 Regeringen (2019). En nationell strategi för life science.
Inom ramen för satsningen har Vetenskapsrådet gjort en förstudie som bland annat bygger på intervjuer med representanter från läkemedelsföretag, regionala noder inom samverkansregionerna samt olika kliniker inom hälso- och sjukvården.6 Enligt förstudien finns en samsyn mellan företagen, klinikerna och noderna beträffande utmaningar i studieförfrågningsprocessen. Utmaningarna rör i huvudsak resurser, information, samordning och svarstider. Förstudien beskriver både ekonomiska och juridiska förutsättningar som de intervjuade menar behöver beaktas för att ta fram förslag till åtgärder. Bland annat lyfts att en ökad samordning inte får resultera i en mindre effektiv process och att sekretess i relation till företagens studieförfrågningar ses som en viktig fråga.
Företag som vill ha svar på en studieförfrågan uppmanas i dag att skicka in kortfattad information till de sex regionala noderna. En vidareutveckling av förslagen i förstudien pågår inom utvecklingsprojektet.7
4.3. Etiska aspekter
Att inte skada, att göra gott, att respektera patientens autonomi och integritet samt att vara rättvis är viktiga etiska principer inom all hälso- och sjukvård.8 Rättviseprincipen framhålls i den svenska hälso- och sjukvårdslagens målparagraf genom att vården ska ges på lika villkor för hela befolkningen (3 kap, 1 §).
En viktig utgångspunkt i utredningsarbetet har varit att genomgående beakta etiska aspekter, särskilt integritet och autonomi hos de vars personuppgifter behandlas i samband med antalsberäkning. Därtill har vi utgått från att hälsan är viktig för människors livskvalitet.9 Utveckling av hälso- och sjukvård ger förutsättningar att främja hälsan – och därmed livskvaliteten – hos medborgarna. På liknande sätt kan klinisk forskning bidra till livskvalitet genom att bygga upp kunskap till stöd för diagnostik, behandling, möjlighet att förebygga sjukdom och för rehabilitering. Klinisk forskning kan bidra
6 Vetenskapsrådet (2018). Förstudierapport – Samordnade studieförfrågningar. 7 www.kliniskastudier.se/utvecklingssatsningar/samordnade-studieforfragningar.html. 8 Beauchamp T., Childress J. Principles of biomedical ethic; 2001. p. 12. 9 För förklaring av livskvalitet se till exempel SBU (2012) Viktigt men svårt mäta livskvalitet. Vetenskap och praxis, nr 1, 2012.
till att den som är sjuk blir frisk och minska risken för att den som är frisk får problem med sin hälsa i framtiden.
Att Sveriges har en stark internationell konkurrenskraft är dessutom värdefullt ur ett samhällsekonomiskt perspektiv.10
4.3.1. Många olika intressenter berörs av antalsberäkning
Flera intressenter berörs av personuppgiftsbehandling vid antalsberäkning, se sammanställning i tabell 4.1. En av de centrala intressenterna är den som uppfyller kriterierna för att ingå i en studie och träffas av antalsberäkningen. Även den som inom ramen för sin anställning inom hälso- och sjukvården har i uppgift att genomföra antalsberäkningen berörs, samt den som är personuppgiftsansvarig.
Ytterligare intressenter är vårdgivaren, regionen och forskningshuvudmannen11. Därtill berörs Sverige som nation samt medborgare i Sverige och globalt, särskilt den som har ett visst medicinskt tillstånd, som riskerar att drabbas av det i framtiden eller är anhörig.
Ömsesidig förståelse kan skapas genom att involvera intressenterna i processen med att utarbeta ett förslag till ändrat regelverk för antalsberäkning, och då vara noga med att så många röster som möjligt kommer till tals och att olika perspektiv belyses. Dessutom behövs ett gott informations- och kommunikationsarbete då en eventuell förändring av regelverket kommer till stånd.
10 Internationell attraktivitet och konkurrenskraft är ett av de områden som lyfts fram som särskilt angelägna av regeringen. En nationell strategi för life science, (2019). 11 Den som efterfrågar antalsberäkning, till exempel forskare vid ett lärosäte, forskare inom hälso- och sjukvården eller ett företag.
Tabell 4.1 Intressenter som berörs vid antalsberäkning
Exempel på maktresurser, eller brist på sådana resurser
Personen bakom personuppgifterna
Brist på maktresurser: Beroende av hälso- och sjukvården
Den som genomför antalsberäkning
Brist på maktresurser: Kan inte avstå att utföra uppgift inom ramen för anställning
Personuppgiftsansvarige Maktresurser: Möjlighet att stoppa icke korrekt person-
uppgiftsbehandling
Vårdgivaren Maktresurser: Ansvar för rutiner för hantering av personuppgifter inom vårdgivarens verksamhet. Fördelning och prioritering av hälso- och sjukvård
Regionen Maktresurser: Fördelning och prioritering av finansiering och strukturella resurser till hälso- och sjukvård inom regionen. Möjlighet att göra hanteringsordning för hur antalsberäkning praktiskt och administrativt ska göras inom regionen
Forskningshuvudmannen Maktresurser: Initierar och driver en fråga om antals-
beräkning i förberedande steg inför klinisk forskning Brist på maktresurser: Beroende av att få uppgift om antal från hälso- och sjukvården i det specifika ärendet
Sverige som nation Maktresurser: Lagstiftning. Fördelning och prioritering av finansiering och strukturella resurser till hälso- och sjukvården i landet
Medborgare
Maktresurser: Kan rösta i allmänna val för att välja politiska företrädare i region och riksdag
Källa: Tabellen har upprättats av kansliet som ett stöd för att fundera kring hur intressenter kan påverkas.
4.3.2. Värdet av integritet, men också av kunskap som följer av forskning
En rad olika värden behöver beaktas. Ett av de mest uppenbara är värdet av att värna integriteten hos den vars personuppgifter behandlas. Det finns flera texter som förklarar hur integritet kan definieras och förstås i ett etiskt perspektiv.12 Integritet kan ses som en konstant och villkorslös egenskap som är knuten till varje människas egenvärde. En människa har rätt till sin integritet, även om hen inte själv förmår hävda denna rätt. Samhället har ett ansvar att säkerställa att respekten upprätthålls, till exempel genom att se till att det finns
12 Se till exempel Statens medicinsk-etiska råd (2018). Etik. En introduktion. Etiska vägmärken. Fjärde omarbetade upplagan.
regelverk som ser till att den enskildes integritet har ett tillräckligt skydd. Till den personliga integriteten hör möjligheten att råda över information som rör en själv och att slippa oönskade intrång i den personliga sfären.
Andra värden som rör den vars personuppgifter behandlas är autonomi (till exempel möjlighet till valet att inte ingå i antalsberäkningen) och människovärde (till exempel att inte bli reducerad till en siffra i ett antal). När det gäller autonomi går det att se en principiell skillnad för den enskilde i de fall data hämtas från patientjournaler (det går inte att motsätta sig att patientjournal förs) i jämförelse med att data hämtas från kvalitetsregister (det är möjligt att välja att inte ingå i registret). I praktiken ser vi dock inte att det blir någon skillnad för den enskilde just när det gäller personuppgiftsbehandling vid antalsberäkning, oavsett vilken av dessa källor som uppgifter hämtas från. Skälet till detta är att personen, enligt vårt förslag, inte tillfrågas i samband med antalsberäkningen. Tekniska förutsättningar för åtkomst till personuppgifter och reglering av behörigheter för dem som ska utföra antalsberäkning säkerställer nödvändigt skydd mot risken för intrång i den personliga integriteten. Se vidare avsnitt 5.8 om skyddsåtgärder.
Ytterligare en aspekt är ett intresse för den enskilde patienten att bidra till ny kunskap som kan bli till gagn för egen eller andra människors hälsa.13
För forskningshuvudmannen finns värdet av att i ett tidigt skede kunna göra en rimlig bedömning av om forskningen skulle vara möjlig att genomföra. Detta så att inte alltför mycket tid och resurser läggs på en forskningsidé som sedan inte kan genomföras för att det inte går att få tillräckligt många deltagare.
Vårdgivaren och regionen har ett intresse av att i ett senare skede få möjlighet att delta i forskning och därmed ta del av kunskapsuppbyggnad inom ett område som är relevant. Relevansen följer av att det område där underlag för antalsberäkning efterfrågas är ett område där man bedriver verksamhet och har ansvar för patienter. Det finns också ett värde av att ha goda förutsättningar att handla på ett korrekt sätt.
13 Se till exempel Forskningsöversikt 2019. Klinisk behandlingsforskning, VR1902, Vetenskapsrådet, samt Patientmedverkan och inflytande i hälso- och sjukvård. Fem fallstudier på nationell
nivå, PM 2015:07, Tillväxtanalys.
Slutligen finns ett värde av likabehandling och rättvisa. I detta sammanhang kan det ta sig uttryck i att det finns samma möjlighet att i ett senare skede delta i forskning, oavsett region och vårdgivare, och att behandling av personuppgifter görs på lika sätt i hela landet.
4.3.3. Ställningstagande grundat på rättvisa och intresseavvägning
Det skulle kunna finnas en intressekonflikt mellan värdet av att värna integriteten hos enskilda vid behandling av känsliga personuppgifter i förhållande till värdet av att ge uppgift om antal. I en bredare mening skulle man kunna se en konflikt mellan intressen hos den enskilda personen vars personuppgifter behandlas vid antalsberäkning och samhället i stort. En person kan behöva insatser från hälso- och sjukvården för att hantera sin sjukdom och hen har också behov av respekt för sin personliga integritet. Samhället har i sin tur behov av forskning som kan leda till kunskap och utveckling som gynnar människor i framtiden.
Vi föreslår i det här betänkandet att det uttryckligen ska framgå att det är ett tillåtet ändamål att behandla personuppgifter inom hälso- och sjukvården i syfte att göra antalsberäkning av möjliga deltagare för forskning. Avvägningen bakom förslagen är att vi menar att risken för den personliga integriteten står i proportion till värdet av att kunna genomföra antalsberäkning som ett förberedande steg inför klinisk forskning. Tabell 4.2 ger en sammanställning av de värden som kan stå på spel, samt en bedömning av effekter och långsiktiga konsekvenser för var och en av intressenterna.
Vi ser rättvisa som den överordnade principen i motiveringen till vårt ställningstagande, i det att alla intressenter ska behandlas enligt likalydande regelverk oavsett vid vilken vårdgivare eller inom vilken region hälso- och sjukvården bedrivs. Genom att regleringen görs i lag gäller likalydande regelverk i hela landet.
Vidare menar vi att värdet av att på sikt få god livskvalitet och hälsa för medborgarna samt hög internationell konkurrenskraft står i proportion mot risken för bristande integritet, autonomi eller respekt för människovärdet hos den enskilde. Ett skäl till detta är att riskerna för den enskilde bedöms vara små när antalsberäkningen görs i enlighet med vårt förslag, det vill säga ett förfarande där personuppgiftsbehandlingen görs helt och hållet inom hälso- och sjukvården,
och enbart uppgift om antalet personer lämnas till forskningshuvudmannen.
Vi menar att det finns en etisk aspekt av en tydlig rättslig grund för behandling av känsliga personuppgifter. För att undvika en glidning i användandet av antalsberäkning som ändamål är det viktigt med en tydlig definition av vad ändamålet antalsberäkning omfattar.
Tabell 4.2 Värden på spel, samt effekterna för intressenterna
Värden samt effekter på kort, respektive lång sikt
Personen bakom personuppgifterna
Värden på spel: Integritet, autonomi, människovärde, rättvisa Effekt på kort sikt: Risk för brister i att värna integriteten, att reduceras till siffra i beräkning, att ej bli inkluderad (om man tillhör en liten grupp) samt för bristande autonomi Konsekvens på lång sikt: Bidrar till bättre diagnos och behandling
Den som genomför antalsberäkning
Värden på spel: Professionellt ansvar i sin yrkesroll Effekt på kort och lång sikt: Trygghet i korrekt hantering
Personuppgiftsansvarige Värden på spel: Ansvar för personuppgiftsbehandlingen
Effekt på kort och lång sikt: Trygghet i korrekt hantering
Vårdgivaren och regionen
Värden på spel: Rättvisa och likabehandling av patienter, arbetsgivaransvar, möjlighet att bidra till klinisk forskning Effekt på kort sikt: Trygghet i korrekt hantering Konsekvens på lång sikt: Kunskap inom relevant område samt starkare forskningsanknytning för klinisk verksamhet. Ingen blir förbigången då likalydande regelverk gäller
Forskningshuvudmannen Värden på spel:
Effekt på kort sikt: Möjlighet att få uppgift om antal. Tydlighet ger möjlighet till snabbt besked Konsekvens på lång sikt: Goda möjligheter att planera klinisk forskning. Mindre risk för snedvridning av deltagare
Sverige som nation samt medborgarna
Värden på spel: Internationellt anseende samt konkurrenskraft för forskning, innovation och näringsliv Effekt på kort sikt: Starkt anseende. Internationella aktörer väljer att lägga klinisk forskning i Sverige till följd av snabba besked om antal Konsekvens på lång sikt: God konkurrenskraft och möjlighet att sprida goda exempel internationellt. Medborgare som drabbas av ett medicinskt tillstånd har bättre möjlighet till adekvat diagnos och behandling
Källa: Tabellen har upprättats av kansliet som ett stöd för att fundera kring hur intressenter kan påverkas.
5. Reglering av antalsberäkning
5.1. Behov av tydligt lagstöd
Vid sådan antalsberäkning som ryms inom ramarna för detta betänkande görs en sökning av uppgifter som redan finns inom hälso- och sjukvården. Uppgifter som behövs vid antalsberäkning är registrerade i patientjournaler eller kvalitetsregister, men den som gör beräkningen kan också behöva uppgifter som vårdgivaren har använt vid exempelvis administration, kvalitetssäkring, planering, uppföljning eller utvärdering av hälso- och sjukvårdsverksamheten. Antalsberäkning innebär inte något utlämnande av personuppgifter till frågeställaren. Som redan anförts utgör de beskrivna åtgärderna behandling av personuppgifter (se definitioner i avsnitt 2.5). Att få en uppfattning om storleken av underlaget är nödvändigt för att kunna ta ställning till huruvida det finns förutsättningar för att inleda klinisk forskning inom hälso- och sjukvården.
Såvitt framkommit råder samstämmighet om beskrivningen av vad antalsberäkning är och dess betydelse för att genomföra klinisk forskning i Sverige. Också osäkerheten om befintligt lagstöd för den personuppgiftsbehandling som sker vid antalsberäkning, vilken framgår av de initiativ som tidigare tagits för att påtala och komma till rätta med den, har bekräftats av myndighetsrepresentanter och företrädare för akademin och intresseorganisationer, som vi haft kontakter med under arbetets gång.
I det följande redovisar vi relevanta bestämmelser om integritets- och dataskydd samt hur personuppgiftsbehandlingen vid antalsberäkning förhåller sig till dessa regler. I avsnitten 5.7 och 5.8 redovisar vi våra förslag.
5.2. Integritetsskydd och personuppgiftsbehandling
EU:s dataskyddsförordning utgör grunden för den generella personuppgiftsbehandlingen inom EU. Förordningen syftar till att harmonisera skyddet av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter och att säkerställa det fria flödet av personuppgifter mellan medlemsstaterna.
Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Detta följer av Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02). Uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Vidare har var och en rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem (se artiklarna 7 och 8). Också i fördraget om Europeiska unionens funktionssätt föreskrivs att var och en har rätt till skydd av de personuppgifter som rör honom eller henne (artikel 16.1).
Regler om integritetsskydd i vidare bemärkelse finns i den av Förenta nationerna antagna allmänna förklaringen om de mänskliga rättigheterna (se främst artikel 12). Också i europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, förkortad Europakonventionen, finns bestämmelser till skydd för den enskildes rätt till respekt för privat- och familjelivet (artikel 8.1). Ytterligare en central konvention är Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter.1
Grundläggande nationella bestämmelser om skydd för den personliga integriteten finns i regeringsformen. Av 2 kap. 6 § andra stycket regeringsformen följer att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får under vissa förutsättningar begränsas genom lag (2 kap. 20 §). En sådan begränsning får endast göras för att tillgodose ändamål som är godtagbara i
1 I anslutning till dataskyddskonventionen finns ett antal antagna rekommendationer som syftar till att förtydliga bland annat vad som gäller för personuppgifter om hälsa (hälsouppgifter) enligt artikel 6 i dataskyddskonventionen (Recommendation No. R [97] 5 of the Committee of Ministers to Member States on the protection of medical data). Rekommendationen är tillämplig på insamling och automatiserad behandling av hälsouppgifter. Rekommendationen uppdaterades i mars 2019. För en mer detaljerad genomgång såväl när det gäller internationell som nationell reglering, se exempelvis prop. 2017/18:171: s. 52–56.
ett demokratiskt samhälle och aldrig gå utöver vad som är nödvändigt med hänsyn till ändamålet (2 kap. 21 §).
5.3. Dataskyddsförordningen och nationell lagstiftning om skydd för personuppgifter
Dataskyddsförordningen är direkt tillämplig på motsvarande sätt som en lag antagen av riksdagen. Genom förordningsformen gäller reglerna på samma sätt i alla EU:s medlemsstater.
I det följande redovisas vissa centrala bestämmelser i dataskyddsförordningen, men redan här kan nämnas att förordningen lämnar visst utrymme för kompletterande nationella bestämmelser med ytterligare krav eller undantag. De nationella bestämmelser som bedömts behövas i Sverige och som är av generell karaktär, i betydelsen att de rör hela samhället eller flertalet myndigheter, finns i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen. Dessutom finns flera sektorsspecifika författningar, ibland även kallade registerförfattningar, som tillåter viss behandling av känsliga personuppgifter hos myndigheterna.2 Exempel på sådana författningar är patientdatalagen, lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (benämnd biobankslagen) och lagen (2018:1212) om nationell läkemedelslista. Lagarna kompletteras av förordningar samt i vissa fall av myndighetsföreskrifter.
I patientdatalagen, liksom i många andra registerförfattningar, anges uttryckligen att lagen kompletterar dataskyddsförordningen (1 kap. 4 §). Det betyder att dataskyddsförordningens regler är det som den personuppgiftsansvarige primärt ska följa. Kompletterande bestämmelser, såsom dem i patientdatalagen, kan endast behållas eller införas om och på det sätt dataskyddsförordningen tillåter.3
2Prop. 2017/18:105 s. 84. 3 För en närmare beskrivning av dataskyddsförordningen och hur dataskyddslagen och viss annan nationell lagstiftning förhåller sig till förordningen, hänvisas till propositionen Ny data-
skyddslag med bakomliggande utredningsbetänkande, prop. 2017/18:105 respektive SOU 2017:39.
5.4. Dataskyddsförordningens allmänna principer och krav på rättslig grund för behandling av personuppgifter
All behandling av personuppgifter måste vara förenlig med de allmänna principer som räknas upp i artikel 5.1 i förordningen. Dessa principer måste iakttas för att behandlingen ska vara tillåten enligt förordningen. Principerna innebär bland annat att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (led a), att uppgifterna bara får samlas in för vissa särskilda och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (led b), att de ska vara korrekta, adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (leden c och d), att de inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som behövs (led e) och att de ska behandlas på ett sätt som säkerställer lämplig säkerhet (led f). Den personuppgiftsansvarige ska kunna visa att dessa principer efterlevs (artikel 5.2).
Utöver dessa principer utgår förordningen från att varje behandling av personuppgifter ska vila på åtminstone en av de rättsliga grunder som uttömmande anges i artikel 6.1. Om ingen av dessa grunder är tillämplig, är personuppgiftsbehandlingen inte laglig och får därmed inte utföras. De rättsliga grunderna är i viss mån överlappande, och flera rättsliga grunder kan vara tillämpliga avseende en och samma behandling.4
Vid sidan av den registrerades samtycke till en viss personuppgiftsbehandling (artikel 6.1 a), är behandling av personuppgifter rättsligt grundad, om den är nödvändig för ett antal utpekade omständigheter eller åtgärder, nämligen att fullgöra ett avtal i vilket den registrerade är part (artikel 6.1 b), att fullgöra en rättslig förpliktelse som vilar på den som är personuppgiftsansvarig (artikel 6.1 c), att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person (artikel 6.1 d), eller att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e). Slutligen kan behandling av personuppgifter ske med stöd av det som brukar benämnas intresseavvägning. För att behandla personuppgifter efter en intresseavvägning krävs att behandlingen är nödvändig för ett ändamål som rör ett berättigat intresse,
och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre (artikel 6.1 f). Enligt andra stycket i artikel 6.1 är det dock inte möjligt för myndigheter att stödja sig på denna grund. Den registrerade har rätt att när som helst, av skäl som hänför sig till hans eller hennes specifika situation, göra invändningar mot behandling av sina personuppgifter som sker med stöd av intresseavvägning (artikel 21. 1). Den personuppgiftsansvarige får, efter sådan invändning, inte längre behandla personuppgifterna, såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.5
När det gäller grunderna rättslig förpliktelse samt uppgift av allmänt intresse och myndighetsutövning uppställs krav på att de ska vara fastställda i unionsrätten eller den nationella rätten för att grunderna ska kunna användas som lagligt stöd för personuppgiftsbehandling (artikel 6.3 första stycket). I fråga om grunden rättslig förpliktelse ska dessutom syftet med behandlingen vara fastställt i den nationella rätten. Unionsrätten eller den nationella rätten som fastställer de rättsliga grunderna ska vidare uppfylla ett mål av allmänt intresse och vara proportionerlig mot det legitima mål som eftersträvas (artikel 6.3 andra stycket). I skäl 41 anges att en rättslig grund bör vara tydlig och precis och att dess tillämpning bör vara förutsägbar för personer som omfattas av den.
I propositionen som ligger till grund för dataskyddslagen har regeringen med hänvisning till legalitetsprincipen (1 kap. 1 § regeringsformen) konstaterat att myndigheternas maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, förutsätter stöd i någon av de källor som tillsammans bildar rättsordningen. Det uttalades att det inte torde finnas någon offentlig verksamhet i Sverige av vikt för samhällets funktioner som saknar stöd i författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser, och verksamhet som sker som ett led i myndighetsutövning får därmed anses vara fastställd på det sätt som dataskyddsförordningen kräver. Myndigheters uppdrag enligt deras instruktion eller i regleringsbrev till myndigheterna kan också, i vissa fall, utgöra en i enlighet med nationell rätt fastställd
5 Den registrerades rättighet enligt artikel 21 gäller också i fråga om den rättsliga grunden utförande av arbetsuppgift av allmänt intresse, eller som ett led i myndighetsutövning (artikel 6.1 e).
rättslig förpliktelse i dataskyddsförordningens mening. Regeringen anförde vidare att alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är av allmänt intresse, i annat fall skulle myndigheterna inte ålagts att utföra dem. På motsvarande sätt är de obligatoriska uppgifter som ålagts kommuner och regioner att utföra av allmänt intresse. Detta ansågs gälla även i dataskyddsförordningens mening, eftersom det är upp till varje medlemsstat att fastställa de uppgifter som är av allmänt intresse. Den verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är också av allmänt intresse.6
De rättsliga grunderna samtycke, uppgift av allmänt intresse och intresseavvägning i relation till personuppgiftsbehandling vid antalsberäkning behandlas ytterligare i avsnitt 5.5.2.
Dataskyddsförordningen både förutsätter och ger medlemsstaterna ett visst utrymme för att bibehålla eller införa bestämmelser i nationell lagstiftning i syfte att anpassa tillämpningen av förordningen beträffande de rättsliga grunderna rättslig förpliktelse, uppgift av allmänt intresse och myndighetsutövning.
Även artikel 9 om känsliga personuppgifter ställer krav på unionsrättslig eller nationell reglering (se avsnitt 5.6). Om det inte säkerställs att det finns nationell lagstiftning där dataskyddsförordningen så kräver och behov finns, kan det leda till att samhällsviktiga behandlingar av personuppgifter kan komma att sakna rättsligt stöd. Detta gör sig särskilt gällande beträffande de verksamheter som hanterar känslig eller integritetskänslig information.
På nationell nivå är det alltså möjligt att i dessa fall bestämma om särskilda krav som ska gälla för personuppgiftsbehandlingen. Som nämnts är bland annat patientdatalagen ett exempel på sådan kompletterande, nationell reglering (se vidare nedan).
5.5. Rättslig grund för personuppgiftsbehandling vid antalsberäkning
Bedömning: Den behandling av personuppgifter som sker vid
antalsberäkning är tillåten enligt artikel 6.1 och 6.3 i dataskyddsförordningen.
6Prop. 2017/18:105, främst s. 50–63.
5.5.1. En administrativ åtgärd för att utföra en uppgift av allmänt intresse
Behandlingen av personuppgifter som sker vid antalsberäkning utgör en kombination av åtgärder (se avsnitt 3.5, tabell 3.3). Syftet är att tillgodose frågeställarens behov av att veta om det finns ett tillräckligt stort underlag för en framtida klinisk forskningsstudie. Förfrågan och dess resultat kan visserligen leda till ett beslut om att inleda en forskningsstudie (se kapitel 3, tabell 3.1), men vid tidpunkten för personuppgiftsbehandlingen pågår dock ännu inte någon forskning7.
I dataskyddsförordningen finns inga definitioner av vare sig forskning eller det i förordningen mer frekvent använda uttrycket forskningsändamål.8 När villkoren för personuppgiftsbehandling inom forskning regleras särskilt i dataskyddsförordningen används i stort sett genomgående termen vetenskapliga eller historiska forskningsändamål, eller enbart forskningsändamål. Uttrycket används bland annat i artikel 5.1 b (principen om ändamålsbegränsning) och i artikel 9 som rör känsliga personuppgifter (se vidare avsnitt 5.6).9
I artikel 6, om rättsliga grunder för behandling av personuppgifter, omnämns inte forskningsändamål särskilt. Det ingår där i den mer omfattande grupp av ändamål som tillsammans kan (eller förutsätts) bli föremål för medlemsstaternas eller unionens kompletterande reglering (artikel 6.1 c rättslig förpliktelse och artikel 6.1 e allmänt intresse).
Till ledning för tolkningen av uttrycket forskningsändamål anges i dataskyddsförordningen att det bör ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Även studier som utförs av ett allmänt intresse inom folkhälsoområdet bör omfattas av begreppet (skäl 159).
Frågan om vad som begreppsmässigt förstås med forskning respektive forskningsändamål har analyserats av bland andra Forsk-
7 Begreppet forskning definieras här i enlighet med den betydelse som begreppet ges i etikprövningslagen (se avsnitt 2.5). 8 Begreppet forskning förekommer enbart i förordningens skäl. 9 Det förekommer också i samband med föreskrifter om undantag för forskningsändamål från vissa av de registrerades rättigheter i artiklarna 14, 17 och 21. Det återfinns även i artikel 89.1 som anger att personuppgiftsbehandling för forskningsändamål ska omfattas av lämpliga skyddsåtgärder, och i artikel 89.2 som lämnar utrymme för att i unionsrätten eller nationell rätt föreskriva undantag från vissa artiklar avseende de registrerades rättigheter.
ningsdatautredningen, som bedömt att personuppgiftsbehandling för forskningsändamål omfattar ”arbete som är eller avses vara en del av forskningsprocessen, inklusive förberedande eller avslutande aktiviteter såsom iordningsställande och dokumentation av databaser för användning i forskning eller arkivering av forskningsmaterial”.10
Att det i dataskyddsförordningen förordas en vid tolkning av begreppet kan alltså anses tala för att den personuppgiftsbehandling som aktualiseras vid antalsberäkning omfattas av forskningsändamål, trots att det ännu inte påbörjats någon forskning utan snarare är fråga om ett tidigt skede i en förberedelsefas. En sådan tolkning ligger även i linje med den bedömning som Forskningsdatautredningen har gjort.
Vissa bestämmelser i dataskyddsförordningen som gäller för behandling av personuppgifter för historiska eller vetenskapliga forskningsändamål inkluderar också behandling för ”statistiska ändamål”. Inte heller detta uttryck finns med bland definitionerna i artikel 4, men av skäl 162 i framgår att med statistiska ändamål avses:
... varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat. Dessa statistiska resultat kan vidare användas för olika ändamål, inbegripet vetenskapliga forskningsändamål. Ett statistiskt ändamål innebär att resultatet av behandlingen för statistiska ändamål inte består av personuppgifter, utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysiskperson.
Med beaktande av innebörden i skäl 162, förefaller det finnas en distinktion mellan forskningsändamål och statistiska ändamål.
Vid personuppgiftsbehandling för antalsberäkning görs varken någon insamling eller registrering av nya uppgifter. I stället utgör behandlingen en efterkommande användning av befintliga uppgifter som härrör från den individinriktade verksamheten i hälso- och sjukvården. Med hänsyn till det bakomliggande skälet till förfrågan om antalsberäkning torde det också ligga närmare till hands att behandlingen är att anse som en administrativ uppgift snarare för
10SOU 2017:50 s. 114. I den efterföljande propositionen (prop. 2017/18:298) görs inga uttalanden i detta avseende. Se även legaldefinitioner i 2 § etikprövningslagen (återgiven i avsnitt 2.5). Se vidare artikel 6.2, 89.1 och skäl 159 i dataskyddsförordningen. Jfr prop. 2002/03:50 s. 114, där rent inledande planeringsarbete eller ordnande av finansiering inte ansågs omfattas av forskningsbegreppet, eftersom det är först i samband med forskningens genomförandefas som risker för skada avseende forskningspersonens hälsa, säkerhet och personliga integritet uppkommer.
forskningsändamål än för statistiska ändamål. Detta är av betydelse för frågan om antalsberäkning kan anses omfattas av befintliga ändamålsbestämmelser, se vidare avsnitt 5.7.3.
5.5.2. Vilka rättsliga grunder är aktuella för antalsberäkning?
För att det ska vara tillåtet att behandla personuppgifter inom hälso- och sjukvården i syfte att göra en antalsberäkning inför ställningstagande om att inleda klinisk forskning måste, som framgått, behandlingen vara förenlig med de allmänna principerna och ha stöd i minst en av de rättsliga grunderna i dataskyddsförordningen. Dessutom måste det beaktas att det är fråga om känsliga personuppgifter som behandlas. Vi återkommer till förordningens förbud mot behandling av känsliga personuppgifter och om undantagen från förbudet i avsnitt 5.6. Vidare måste behandling av personuppgifter ske i enlighet med sådan kompletterande nationell lagstiftning som bedömts vara nödvändig för att ge det stöd för att behandlingen ska vara laglig enligt förordningen, och för att precisera och anpassa den tillåtna behandlingen. Som inledningsvis nämnts (och som närmare redovisas nedan) innehåller patientdatalagen kompletterande bestämmelser till dataskyddsförordningen, bland annat om för vilka ändamål personuppgifter inom hälso- och sjukvården får behandlas. Lagen gäller för vårdgivare oberoende av om de har offentligrättslig huvudman (offentlig vårdgivare) eller privaträttslig huvudman (privat vårdgivare).
De rättsliga grunder i dataskyddsförordningen som skulle kunna vara relevanta vid behandling av personuppgifter för antalsberäkning torde vara att – den registrerade har lämnat sitt samtycke till sådan behandling
(artikel 6.1 a), – behandlingen är nödvändig för att utföra en uppgift av allmänt
intresse eller som ett led i myndighetsutövning (artikel 6.1 e), och – behandlingen är nödvändig för ändamål som rör den person-
uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter,
särskilt när den registrerade är ett barn (intresseavvägning, artikel 6.1 f).
För frågan om vilken eller vilka av dessa rättsliga grunder som faktiskt kan användas som stöd för personuppgiftsbehandling vid antalsberäkning är det av betydelse huruvida den personuppgiftsansvarige är en offentligrättslig eller en privaträttslig aktör.
Samtycke
Ett samtycke ska vara frivilligt, specifikt, informerat och utgöra en otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar den aktuella behandlingen av personuppgifter som rör honom eller henne (artikel 4.11 i dataskyddsförordningen). Ett villkor är vidare att ett samtycke när som helst ska kunna återtas (artikel 7). Utrymmet för myndigheter, såsom offentliga vårdgivare, att basera behandling av personuppgifter på den rättsliga grunden samtycke är begränsat enligt dataskyddsförordningen, eftersom det ofta kan råda en betydande ojämlikhet mellan den registrerade och myndigheten, och att det inte kan säkerställas att samtycket har lämnats frivilligt (se skäl 43 i dataskyddsförordningen).11 Om det i stället är en privaträttslig aktör som är personuppgiftsansvarig anses det, generellt sett, inte innebära något hinder mot att använda samtycke som rättslig grund för personuppgiftsbehandling.
Som konstaterats är den antalsberäkning som omfattas av föreliggande betänkande en efterkommande behandling av uppgifter som härrör från den individinriktade verksamheten i hälso- och sjukvården. Uppgifter samlas in och registreras alltså i en vårdsituation. Det kan antas att patienter i en sådan situation, eller åtminstone i någon del av en längre vårdprocess, uppfattar sig vara i en form av beroendesituation. Av den anledningen är samtycke inte en möjlig grund för personuppgiftsbehandling som sker vid antalsberäkning, om det är fråga om offentliga vårdgivare. Motsvarande skäl kan anföras också när det gäller en privat vårdgivare. Samtycke under dessa omständigheter kan inte anses vara en lämplig rättslig grund, ens för
11 European Data Protection Board (EDPB), Guidelines05/2020on consent under Regulation 2016/679, Version 1.1, Adopted on 4 May 2020.
en privaträttslig aktör. Det ankommer dock på personuppgiftsansvariga att för varje personuppgiftsbehandling göra denna prövning som en del av bedömningen av om ett giltigt samtycke kan inhämtas.
Uppgift av allmänt intresse
Som framgått är det inte tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning. Frågan är därmed om behandling av personuppgifter vid antalsberäkning kan anses vara nödvändig för att utföra en uppgift av allmänt intresse. En uppgift av allmänt intresse får anses avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse eller ett enskilt intresse. Allmänintresset inbegriper hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster (skäl 45 i dataskyddsförordningen). Regeringen har i tidigare lagstiftningsärenden uttalat att begreppet uppgift av allmänt intresse måste ges en vid betydelse. Detta för att myndigheternas verksamhet ska kunna fortsätta att fungera mot bakgrund av dataskyddsförordningens begränsningar och hinder för myndigheter att tillämpa samtycke respektive intresseavvägning som rättsliga grunder för att behandla personuppgifter inom ramen för sin verksamhet.12
Som redovisats anses vidare alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra vara av allmänt intresse. På motsvarande sätt är de obligatoriska uppgifter som ålagts kommuner och regioner att utföra av allmänt intresse. Begreppet uppgift av allmänt intresse omfattar dock inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Till skillnad från vad som gäller för rättslig förpliktelse (artikel 6.1 c i dataskyddsförordningen) behöver den personuppgiftsansvarige inte vara skyldig att utföra uppgiften för att den rättsliga grunden uppgift av allmänt intresse ska vara tillämplig, även frivilliga åtaganden kan inbegripas. Däremot krävs att uppgiften av allmänt intresse ska vara fastställd i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Till detta återkommer vi i avsnitt 5.5.3.
Vid tillämpningen av grunden uppgift av allmänt intresse spelar det ingen roll om den personuppgiftsansvarige är en offentligrättslig eller en privaträttslig aktör.
Syftet med antalsberäkning är att tillhandahålla ett beslutsunderlag; genom antalsberäkningen kan bättre beslut som avser forskning inom hälso- och sjukvården fattas. Antalsberäkning kan därmed anses vara en uppgift av allmänt intresse.
Nödvändighetsrekvisitet är som framgått centralt i dataskyddsregleringen. Den vägledning som finns till hur nödvändig behandling ska tolkas enligt dataskyddsförordningen återfinns i skäl 39, som anger att personuppgifter endast bör behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. Därutöver kan praxis från motsvarande krav i dataskyddsdirektivet13 beaktas.14Det är inte fråga om ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. Behandlingen kan anses nödvändig och därmed tillåten – som i detta fall enligt artikel 6.1 e – om behandlingen leder till effektivitetsvinster.15
Den metod som den personuppgiftsansvarige väljer för att utföra sin uppgift måste dock – när det gäller offentlig förvaltning – vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv. Ju mer detaljerat en viss uppgift har reglerats, desto mindre utrymme torde det finnas för den personuppgiftsansvarige att välja olika tillvägagångssätt. Detta medför i sin tur en större förutsebarhet i fråga om vilken personuppgiftsbehandling som kan aktualiseras. Att ändamålet ska vara nödvändigt för att utföra en uppgift av allmänt intresse innebär alltså i sig en spärr mot helt onödig behandling av personuppgifter eller sådan
13 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Direktivet ersattes av dataskyddsförordningen när den började att gälla den 25 maj 2018. 14Prop. 2017/18:298 s. 37. 15Prop. 2017/18:105 s. 47 och den däri hänvisade domen från Europeiska unionens domstol, som rörde tolkningen av motsvarande nödvändighetsrekvisit i artikel 7 e i dataskyddsdirektivet (C-524/06, EU:C:2008:724). EU-domstolen uttalade att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser. Domen bör kunna utgöra stöd även vid tolkningen av dataskyddsförordningen. På motsvarande sätt bör det i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag.
behandling som utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses.16
Uppgift av allmänt intresse kan sammanfattningsvis anses vara en lämplig rättslig grund för den antalsberäkning som sker hos en offentlig vårdgivare och för sådana privata vårdgivare som bedriver hälso- och sjukvårdsverksamhet på uppdrag av regioner och kommuner. Angående kravet på att den rättsliga grunden allmänt intresse ska vara fastslagen i unionsrätten eller nationell rätt, se avsnitt 5.5.3.
Intresseavvägning
Till skillnad från myndigheter har privaträttsliga aktörer möjlighet att basera personuppgiftsbehandling på en intresseavvägning. Vid bedömningen av om intresseavvägning kan tillämpas ska den registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige beaktas (skäl 47 till dataskyddsförordningen). Den registrerades intressen och grundläggande rättigheter skulle kunna väga tyngre, i synnerhet om personuppgifter behandlas under omständigheter där den registrerade inte rimligen kan förvänta sig någon ytterligare behandling. Regeringen har uttalat som sin uppfattning att en uppgift, som bedöms vara av allmänt intresse men som inte har fastställts i unionsrätten eller nationell rätt, i många fall bör kunna anses vara ett berättigat intresse enligt artikel 6.1 f.17
Artikel 29-gruppen18 har beträffande dataskyddsdirektivet anfört att intresset måste vara tillräckligt tydligt angett för att kunna vägas mot den registrerades intressen och grundläggande rättigheter. Intressets art kan variera och också omfatta ett brett spektrum av intressen. Vissa intressen kan vara tvingande och gynna samhället i stort, till exempel intresset av att genomföra vetenskaplig forskning. Andra intressen kan vara mindre akuta för samhället som helhet eller åtminstone kan samhällseffekterna av dessa vara blandade. Bland de vanligaste sammanhang där frågan om berättigat intresse i den mening
16 Prop. 2017/18 :105 s. 46 f. och 60. 17Prop. 2017/18:298 s. 39. 18 Artikel 29-gruppen var en rådgivande och oberoende arbetsgrupp med representanter från dataskyddsmyndigheter i medlemsstaterna, Europeiska datatillsynsmannen (EDPS) och kommissionen. Gruppen hade bland annat till uppgift att se till att det dataskyddsdirektivet tilllämpades enhetligt i medlemsstaterna. Gruppen upplöstes och ersattes av Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB), när dataskyddsförordningen började tillämpas. Gruppen fick sitt namn av artikel 29 i det dataskyddsdirektivet och i artikel 30 fanns bestämmelser om gruppens uppgifter.
som avses i artikel 7 i dataskyddsdirektivet kan uppstå nämner Artikel 29-gruppen behandling för historiska, vetenskapliga eller statistiska ändamål och behandling för forskningsändamål (Yttrande 6/2014 om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG). Enligt regeringens bedömning bör vägledning vid tillämning av artikel 6.1 f (om intresseavvägning) i dataskyddsförordningen kunna hämtas från gruppens yttrande, eftersom den artikeln motsvarar artikel 7 f i dataskyddsdirektivet.19 Med hänsyn till vad som nyss anförts om antalsberäkning som en uppgift av allmänt intresse, bör – i enlighet med regeringens ovan nämnda bedömning – uppgiften också anses kunna vara ett sådant berättigat intresse som förutsätts enligt artikel 6.1 f.
Intresseavvägning kan sammanfattningsvis anses vara en lämplig rättslig grund för den antalsberäkning som sker hos en privaträttslig vårdgivare. Som inledningsvis angetts krävs också att det finns ett tillämpligt undantag från förbudet att behandla känsliga uppgifter (artikel 9.2 i dataskyddsförordningen). Huruvida det finns ett sådant undantag för privata vårdgivare behandlas i avsnitt 5.6.
5.5.3. Uppgifter och ansvar enligt hälso- och sjukvårdslagen
För frågan huruvida personuppgiftsbehandling vid antalsberäkning kan anses ha stöd i en rättslig grund enligt dataskyddsförordningen är regleringen i hälso- och sjukvårdslagen av betydelse.
Hälso- och sjukvårdslagen är den centrala lagen för hälso- och sjukvården. Det är en målinriktad ramlag, som innehåller övergripande mål, reglering av ansvarsförhållanden samt riktlinjer för hälso- och sjukvården. Lagen kompletteras med detaljreglering på förordnings- eller föreskriftsnivå.20
Det är ett statligt ansvar att fastställa den övergripande politiska agendan för hälso- och sjukvården samt att övergripande följa upp och utvärdera hälso- och sjukvårdens och omsorgens kvalitet och effektivitet. Huvudmannaskapet för att organisera hälso- och sjukvården vilar dock på regioner och kommuner, som också har ett eget ansvar för den interna kontrollen av sin verksamhet. Ansvaret innebär inte skyldighet för huvudmännen att själva bedriva verksam-
19Prop. 2017/18:298 s. 39 och s. 57 f. 20 Se främst hälso- och sjukvårdsförordningen (2017:80).
heten. Driften kan ligga på någon annan som då betecknas vårdgivare, viken benämning används även för de delar av kommun och region som bedriver hälso- och sjukvård (se definitioner i 2 kap. 2 och 3 §§). Hälso- och sjukvårdslagen gäller för både vårdgivare med en offentlig huvudman (offentlig vårdgivare) och vårdgivare med en privat huvudman (privat vårdgivare). Detta framgår av 1 kap. 1 §.
Till hälso- och sjukvårdens kärnområden hör åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador, sjuktransporter, samt omhändertagande av avlidna (2 kap. 1 §). Att medicinskt förebygga sjukdomar och skador inbegriper enligt tidigare förarbeten både miljöinriktade och individinriktade åtgärder. Sådana åtgärder kan innefatta insatser för att fastställa hur kemiska, biologiska, fysiska, sociala och psykologiska faktorer inverkar på befolkningens hälsotillstånd. Den information om risker i människornas livsmiljö som observeras i hälso- och sjukvårdsarbetet bör tas tillvara och utnyttjas av huvudmännen.21 Till individinriktade förebyggande åtgärder räknas bland annat all verksamhet som har till syfte att uppspåra hälsoproblem av skilda slag, till exempel allmänna och riktade hälsokontroller samt vaccinationer.
Vid sidan av kärnområdet utgör medverkan i forskning och utvecklingsarbete en viktig uppgift för hälso- och sjukvården. Staten har en central roll, främst genom universitet och högskolor samt den forskning som bedrivs via den statliga forskningsfinansieringen. Men också regioner och kommuner ska medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete. Detta framgår av 18 kap. 2 § hälso- och sjukvårdslagen. I dessa frågor ska regioner och kommuner, i den omfattning som behövs, samverka med varandra och med berörda universitet och högskolor. I 1996 års forskningspropositionen uttalades att det ligger i sakens natur att sjukvårdshuvudmännen som en del av sitt ansvar för att erbjuda en god hälso- och sjukvård också tar ett betydande ansvar för att verksamheten utvecklas och utvärderas.22 Detta manifesteras även i ett avtal mellan staten och hälso- och sjukvårdshuvudmän i regioner med medicinsk fakultet, ALF-avtalet.23 Avtalet fastslår att regio-
21Prop. 1981/82:97 s. 110 f. 22Prop. 1996/97:5, avsnitt 7.9.1. 23Avtal mellan svenska staten och vissa landsting om samarbete om utbildning av läkare, klinisk
forskning och utveckling av hälso- och sjukvården. Undertecknat september 2014 (det finns flera
tidigare revisioner av avtalet, som ursprungligen ingicks på 1980-talet).
nerna ska medverka i utbildning av läkare, klinisk forskning och utveckling av hälso- och sjukvården. Det kompletteras med regionala avtal mellan universiteten och regionerna. Bakgrunden är att staten är huvudman för universiteten och deras forskning och utbildning, medan regionerna ansvarar för sjukvården. Eftersom den kliniska forskningen och utbildningen i huvudsak bedrivs i hälso- och sjukvården förs statliga medel varje år över till berörda regioner.
Bestämmelsen i 18 kap. 2 § hälso- och sjukvårdslagen och nämnda avtal markerar den stora betydelse som forskning och utvecklingsarbete har inom hälso- och sjukvården, och samtidigt tydliggörs att regionerna inte bara har en kompetens, utan också en lagfäst skyldighet, att medverka vid finansieringen, planeringen och genomförandet av kliniskt forskningsarbete på hälso- och sjukvårdens område, liksom av folkhälsovetenskapligt forskningsarbete.24 Den kliniska forskningens roll och betydelse, liksom samverkan mellan staten och hälso- och sjukvårdshuvudmännen för att uppnå en klinisk forskning av hög kvalitet har tidigare belysts, av bland andra Utredningen av den kliniska forskningen.25
Hälso- och sjukvårdens roll för forskningen kommer också till uttryck genom patientdatalagen (se avsnitt 5.7.2). Det har påtalats i lagens förarbeten att uppgifter i nationella och regionala kvalitetsregister, liksom i patientjournaler, utgör viktigt källmaterial för forskningen inom hälso- och sjukvården. Det har inte ansetts finnas anledning att inskränka möjligheten att behandla sådana uppgifter för forskningsändamål. Uppgifter får efter sekretessprövning och etikgodkännande lämnas ut för forskningsändamål. I motiven till regleringen av sammanhållen journalföring (6 kap. patientdatalagen) konstaterades dessutom att möjligheterna att bedriva forskning torde förbättras, eftersom efterfrågade uppgifter, till skillnad från i dag, ofta kommer att finnas i elektronisk form och därmed vara lätt tekniskt tillgängliga.26
Att bidra med underlag till de förberedande stegen innan klinisk forskning påbörjas bör alltså kunna betraktas som en del av hälso- och sjukvårdens uppgift att medverka till forskning (avsnitt 5.5.2).
Som redovisats i det föregående får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen, om behand-
24 Johansson, Jan-Åke, Kommentar till Hälso- och sjukvårdslagen (18 kap. 2 §), Juno version 10. 25SOU 2008:7 och SOU 2009:43, se även prop. 2012/13:30. 26Prop. 2007/08:126 s. 203– 205.
lingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av unionsrätt eller medlemsstaternas nationella lagstiftning. I Sverige avses med lagstiftning bestämmelser i lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (2 kap. 2 § dataskyddslagen). Formuleringen omfattar även uppgifter som med stöd av kommunallagen har getts till kommunala myndigheter och kommunala bolag genom beslut i fullmäktige. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig får bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär. Behandling av känsliga personuppgifter inom hälso- och sjukvården kräver att den rättsliga grunden är mer preciserad än vad som kan anses vara behövligt när behandling av personuppgifter inte utgör någon egentlig kränkning av den personliga integriteten.27 På hälso- och sjukvårdsområdet och folkhälsoområdet har regeringen i tidigare lagstiftningsärende bedömt att bestämmelser hälso- och sjukvårdslagen (med särskilt omnämnande av 18 kap. 2 §) uppfyller dataskyddsförordningens krav på att en reglering ska vara tydlig, precis och förutsägbar för att en uppgift av allmänt intresse ska vara fastställd i nationell rätt (se skäl 41). Det anfördes vidare att forskning hör till området där regioner (då benämnda landsting) och kommuner kan göra frivilliga åtaganden inom ramen för sin befogenhet.28
Hälso- och sjukvårdslagen gäller, som framgått, dels för samtliga vårdgivare, dels för regioner och kommuner som huvudmän. Med huvudman avses den region eller den kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård. Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet (2 kap. 2 § hälso- och sjukvårdslagen). Med vårdgivare avses, som nämnts, statlig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (2 kap. 3 § hälso- och sjukvårdslagen).
En huvudman som bedriver hälso- och sjukvårdsverksamhet i egen regi träffas också av definitionen för vårdgivare, och därmed även bestämmelser som gäller för vårdgivare.
På grund av avmonopolisering och konkurrensutsättning av offentlig verksamhet i Sverige utför också privaträttsliga organ allt
27Prop. 2017/18:105 s. 51. 28Prop. 2017/18:298 s. 49.
oftare uppgifter som är av allmänt intresse. Det gäller inte minst hälso- och sjukvård. De uppgifter av allmänt intresse som utförs i syfte att utföra ett uttryckligt uppdrag, eller till följd av ett åliggande, anses vara av denna karaktär oavsett om de faktiskt utförs i myndighetens egen regi, eller om de genom utkontraktering eller entreprenad utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, bör alltså även den privata utföraren, entreprenören eller det kommunala bolaget anses utföra en uppgift av allmänt intresse. Ett privaträttsligt organ som fullgör ett uppdrag från en myndighet som avser en sådan uppgift som är fastställd i författning, regeringsbeslut eller kommunalt beslut i fullmäktige kan därför vidta nödvändiga behandlingsåtgärder på samma rättsliga grund som om myndigheten själv utfört uppgiften, det vill säga med stöd av artikel 6.1 e i dataskyddsförordningen.29
Sammanfattningsvis kan konstateras att det finns en författningsreglerad uppgift av allmänt intresse som i dataskyddsförordningens mening kan utgöra en rättslig grund för sådan personuppgiftsbehandling som utförs i syfte att beräkna antalet personer som potentiellt kan ingå i forskning inom hälso- och sjukvården. Kravet på att sådan nationell reglering ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6 andra stycket i tredje punkten i dataskyddsförordningen) får anses vara uppfyllt.30
Den i 18 kap. 2 § hälso- och sjukvårdslagen fastställda uppgiften att bland annat medverka i planering och genomförande av forskning kan dock användas som stöd för personuppgiftsbehandling vid antalsberäkning bara om regioner och kommuner också är vårdgivare eller om verksamheten bedrivs på uppdrag av regioner och kommuner. Det som avses med vårdgivare i hälso- och sjukvårdslagen överensstämmer i sak med samma begrepp i 1 kap. 3 § patientdatalagen se också 2 kap. 6 § och, i förhållande till nationella och regionala kvalitetsregister samma lag, 7 kap. 7 §.
Vårdgivare enligt både hälso- och sjukvårdslagen och patientdatalagen kan, vid sidan av offentliga, också en annan juridisk person eller enskild näringsidkare vara. För sådana, privata vårdgivare, vars hälso- och sjukvårdsverksamheten saknar koppling till statliga myn-
29Prop. 2017/18:298 s. 36. 30Prop. 2017/18:105 s. 50.
digheter, regioner eller kommuner kan bestämmelsen i 18 kap. 2 § däremot inte åberopas som en sådan fastställd grund som förutsätts för tillämpning av artikel 6.1 e i dataskyddslagen. Som anförts i det föregående avsnittet finns då möjlighet att stödja personuppgiftbehandlingen på den rättsliga grunden intresseavvägning (se dock följande avsnitt om förutsättningar för att behandla känsliga personuppgifter).
5.6. Tillåten behandling av känsliga personuppgifter
Bedömning: Med beaktande av antalsberäkningens syfte och
med hänsyn till den breda definitionen av begreppet folkhälsa kan det antas att sådan behandling av känsliga personuppgifter som sker för antalsberäkning kan utföras med stöd av folkhälsoundantaget i dataskyddsförordningen (artikel 9.2 i). Behandlingen kan också antas omfattas av förordningens undantag för forskningsändamål (artikel 9.2 j).
Undantagen kan dock tillämpas bara av offentliga vårdgivare och av sådana privata vårdgivare som bedriver hälso- och sjukvårdsverksamhet på uppdrag av regioner och kommuner. För vårdgivare som saknar koppling till offentlig hälso- och sjukvårdsverksamhet finns inte något tillämpligt undantag i dataskyddsförordningen för behandling av känsliga personuppgifter för antalsberäkning.
Behandling av känsliga personuppgifter får ske endast under de förutsättningar som anges i dataskyddsförordningen. Enligt huvudregeln i dataskyddsförordningen är behandling av känsliga personuppgifter förbjuden (artikel 9.1). Huvudregeln kompletteras dock av ett antal undantag i en uttömmande uppräkning (artikel 9.2).
Det är inte tillåtet för medlemsstaterna att föreskriva ytterligare undantag från förbudet. Däremot får medlemsstaterna behålla eller införa mer specifika bestämmelser i fråga om behandling som sker med stöd av artikel 6.1 c (rättslig förpliktelse) och e (uppgift av allmänt intresse eller led i myndighetsutövning), även när det gäller känsliga personuppgifter (artikel 6.2 och skäl 10). Vissa av undantagen i artikel 9.2 innehåller också uttryckliga hänvisningar till och krav på innehållet i unionsrätten och medlemsstaternas nationella
rätt. Detta gäller bland annat bestämmelserna i artikel 9.2 g (viktigt allmänt intresse), h (hälso- och sjukvård m.m.), i (folkhälsa) och j (arkiv, forskning och statistik) samt artikel 9.3.
Som redan framgått innehåller patientdatalagen bland annat bestämmelser om för vilka ändamål personuppgifter får behandlas inom hälso- och sjukvården och i nationella och regionala kvalitetsregister. Enligt lagen anses den behandling av känsliga personuppgifter som omfattas av lagens tillämpningsområde ha stöd i dataskyddsförordningen.31 Detta kommer till uttryck i bestämmelsen i 2 kap. 7 a § patientdatalagen, som hänvisar till artikel 9.2 h i förordningen. Detta undantag avser behandling av känsliga personuppgifter som är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system.32 De uppräknade verksamheterna ska utföras på grundval av unionsrätten, medlemsstaternas nationella lagstiftning eller enligt avtal med yrkesverksamma på hälsoområdet. En ytterligare förutsättning enligt artikel 9.2. h, som måste vara uppfylld för att undantaget ska vara tillämpligt, är att känsliga personuppgifter får behandlas bara av eller under ansvar av den som omfattas av tystnadsplikt. Bestämmelsen i 2 kap. 7 a § patientdatalagen utgör en påminnelse om detta. Motsvarande bestämmelse för nationella och regionala kvalitetsregister finns i 7 kap. 8 § fjärde stycket patientdatalagen.
Det har visserligen ansetts vara rimligt att även aktiviteter med bäring på hälso- och sjukvård utanför det primära vårdområdet kan inbegripas i hälso- och sjukvårdsundantaget.33 När det gäller behandling av känsliga personuppgifter som är aktuell för antalsberäkning finns dock anledning att överväga om sådan behandling kan vara tillåten med tillämpning av dataskyddsförordningens övriga undantag. De som, vid sidan av hälso- och sjukvårdsundantaget, skulle kunna vara aktuella är undantagen i
31Prop. 2017/18:171 s. 99–106. 32 Innebörden av kravet på att behandlingen ska vara nödvändig är densamma i artikel 9 som i artikel 6, se prop. 2017/18:105 s. 75 f. 33 Jfr prop. 2005/06:70 s. 144.
– Artikel 9.2 i, som tar sikte på behandling av känsliga person-
uppgifter som är nödvändig av skäl av allmänt intresse på folkhälsoområdet, och – Artikel 9.2. j, avseende behandling som är nödvändig för bland
annat forskningsändamål.
I artikel 9.2 i, folkhälsoundantaget, finns en exemplifierande uppräkning. Av uppräkningen följer att folkhälsoundantaget omfattar behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter. I skäl 54 till dataskyddsförordningen anges att termen folkhälsa bör tolkas i enlighet med förordning (EG) nr 1338/2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet. 34 Den definition som anges där är mycket vid och omfattar alla aspekter som rör hälsosituationen, det vill säga allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. Folkhälsoundantaget saknade motsvarighet i dataskyddsdirektivet, varför behandling av känsliga personuppgifter på folkhälsoområdet tidigare fick ske med stöd av bestämmelser som grundades på till exempel hälso- och sjukvårdsundantaget (artikel 8.3 i dataskyddsdirektivet).35
För att undantaget ska kunna tillämpas måste den personuppgiftsansvarige ha stöd i unionsrätten eller i nationell rätt för att utföra en uppgift på folkhälsoområdet. Dessutom måste lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter vara fastställda, särskilt tystnadsplikt, i berörd rättsordning. I likhet med artikel 6, om rättsliga grunder för personuppgiftsbehandling, är det arbetsuppgiften som behandlingen är nödvändig för, som måste ha stöd i rättsordningen, inte personuppgiftsbehandlingen i sig (se avsnitt 5.4). Denna förutsättning är uppfylld så snart verksamheten bedrivs i enlighet med verksamhetslagstiftningen på
34 Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet. 35Prop. 2017/18:171 s. 107.
de aktuella områdena, exempelvis hälso- och sjukvårdslagen, socialtjänstlagen (2001:453) och andra relevanta författningar.36 Det är i dessa författningar som den personuppgiftsansvarige finner den rättsliga grunden för att överhuvudtaget få behandla personuppgifter (utan den registrerades samtycke).
Till skillnad från hälso- och sjukvårdsundantaget (artikel 9.2 h) har det inte ansetts vara behövligt att införa ett generellt folkhälsoundantag eller ytterligare bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 9.2 i.37 Regeringen har i tidigare lagstiftningsärenden bedömt att förutsättningarna för att behandling ska få ske enligt folkhälsoundantaget är uppfyllda, om de känsliga personuppgifterna är sekretessreglerade i den aktuella verksamheten. Om sekretessreglering saknas kan det däremot inte tas för givet att dataskyddsförordningens krav på lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter är uppfyllda.38 Till exempel regleras sekretess inom hälso- och sjukvården liksom vid åtgärder mot smittsamma sjukdomar i 25 kap. offentlighets- och sekretesslagen, samt i 21 kap. 1 § samma lag.
Dataskyddsförordningen ger också en explicit möjlighet till behandling av känsliga personuppgifter för bland annat forskningsändamål. Undantaget i artikel 9.2 j i dataskyddsförordningen tillåter sådan behandling, om den är nödvändig för forskningsändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I likhet med förbudet är undantaget direkt tilllämpligt genom förordningen och kräver alltså inga åtgärder av medlemsstaterna. En förutsättning är dock att nationell rätt innehåller bestämmelser om skyddsåtgärder. Detta följer av hänvisningen till artikel 89.1 i dataskyddsförordningen (se även skäl 52). Personuppgiftsbehandling för bland annat forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisa-
36Prop. 2017/18:105 s. 94. 37Prop. 2017/18:105 s. 95 f. 38Prop. 2017/18:105 s. 96.
toriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas (se vidare avsnitt 5.8).
Enligt vad som anförts i det föregående kan personuppgiftsbehandling för antalsberäkning anses vara nödvändig för att utföra en uppgift av allmänt intresse (avsnitt 5.5.2). Antalsberäkning bedöms vara en del av den i hälso- och sjukvårdslagen fastställda uppgiften att medverka bland annat vid planering av kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete (18 kap. 2 §). Denna uppgift har offentliga vårdgivare, liksom andra vårdgivare som driver hälso- och sjukvårdsverksamhet på uppdrag av regioner och kommuner.
Mot bakgrund av antalsberäkningens syfte och med hänsyn till den breda definitionen av begreppet folkhälsa kan det antas att personuppgiftsbehandling för antalsberäkning omfattas av folkhälsoundantaget. Behandlingen kan också antas omfattas av undantaget för forskningsändamål. De olika undantagen förutsätter att det finns fastställda lämpliga och specifika åtgärder som skyddar den registrerades grundläggande intressen, rättigheter och friheter samt, såvitt gäller folkhälsoundantaget, säkerställer att det råder tystnadsplikt. Skyddsåtgärder behandlas i avsnitt 5.8.
För privata vårdgivare helt utan koppling till offentligrättslig hälso- och sjukvårdsverksamhet är nämnda undantag inte tillämpliga. För sådana vårdgivare finns ingen koppling till bestämmelsen i 18 kap. 2 § hälso- och sjukvårdslagen. Inte heller finns det någon generell bestämmelse som möjliggör för privata aktörer att åberopa uppgift av allmänt intresse som rättslig grund för behandling av personuppgifter för exempelvis forskningsändamål.39
Som nämndes inledningsvis i detta avsnitt har i annat lagstiftningsärende aktiviteter med bäring på hälso- och sjukvård utanför det primära vårdområdet ansetts kunna inbegripas i hälso- och sjukvårdsundantaget. Det rörde viss behandling av känsliga personuppgifter i syfte att fullgöra uppgifter med anknytning till säkerhetsövervakning enligt den tidigare gällande läkemedelslagen (1992:859). Med hänsyn främst till det bakomliggande syftet med och utförandet av arbetsuppgifterna kunde det hävdas att personuppgiftsbehandling föll in under det motsvarande hälso- och sjukvårdsundantaget i dataskyddsdirektivet som var genomfört i 18 kap. i den då gällande personuppgiftslagen (1998:204). Det får dock anses vara tveksamt om
39 Jfr prop. 2017/18:298 s. 43 och 59–56.
hälso- och sjukvårdsundantaget (artikel 9.2 h) skulle kunna tillämpas vid personuppgiftsbehandling för antalsberäkning.
Eftersom samtyckesundantaget (artikel 9.2 a) inte kan anses tilllämpligt med hänsyn till att personuppgifterna insamlats och registrerats i en vårdsituation (se avsnitt 5.5.2), och övriga, icke behandlade undantag enligt artikel 9.2 (led b–g) inte är relevanta för personuppgiftsbehandling för antalsberäkning, råder förbud att behandla personuppgifter för antalsberäkning för privata vårdgivare utan koppling till offentligrättslig hälso- och sjukvårdsverksamhet.
5.7. Personuppgiftsbehandling för antalsberäkning bör utgöra ett i lag fastställt ändamål
Förslag: I patientdatalagen införs nya bestämmelser som tillåter
att personuppgifter behandlas för att beräkna hur många personer som genom att uppfylla på förväg uppställda kriterier kan ingå i forskning inom hälso- och sjukvården.
Till följd av de nya bestämmelserna görs ett tillägg i lagens tillämpningsparagraf så att tillämpningsområdet omfattar också personuppgiftsbehandling för att utföra antalsberäkningar. Dessutom införs en definition av termen antalsberäkning i bestämmelsen med vissa definitioner av uttryck som används i lagen, samt görs justeringar av vissa paragrafhänvisningar.
5.7.1. Inledning
Personuppgiftsbehandling för ändamålet att beräkna hur många personer som potentiellt kan ingå i en studie inom klinisk forskning inom hälso- och sjukvården får anses vara nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen (se avsnitten 5.5.2 och 5.5.3).
Dataskyddsförordningen uppställer inte något krav på att ändamålet för behandlingen som sådant ska vara fastställt i författning. Men det finns inte heller något som hindrar att detta görs, förutsatt att en sådan bestämmelse eller författning uppfyller ett mål av allmänt intresse och är proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket).
Oberoende av om ett ändamål fastställts i en specifik bestämmelse eller författning, är det dock alltid den personuppgiftsansvarige som ansvarar för, och ska kunna visa att, principerna i artikel 5 efterlevs (artikel 5.2). Personuppgiftsansvariga ska också genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen, samt säkerställa en lämplig säkerhetsnivå (se avsnitt 5.8). I de flesta fall följer skyldigheterna direkt av förordningen. Beträffande skyddsåtgärder ges i förordningen ett visst utrymme för, eller förutsätter till och med krav på, unionsrättslig eller nationell reglering av skyddsåtgärder, såsom i artikel 9.2. j. Även artikel 89.1 kan utgöra stöd för den nationella lagstiftaren att närmare reglera lämpliga skyddsåtgärder (jfr skäl 156).
När det gäller behandling av personuppgifter inom hälso- och sjukvården finns nationella bestämmelser, främst i patientdatalagen, som uttryckligen anger för vilka ändamål personuppgifter får behandlas samt under vilka övriga förutsättningar det får ske.
5.7.2. Patientdatalagen
Som tidigare angetts utgör patientdatalagen en kompletterande reglering till dataskyddsförordningen. Lagen innehåller de särbestämmelser och förtydliganden som det bedömts föreligga behov av för vårdgivare för att kunna behandla personuppgifter inom hälso- och sjukvården. Primärt gäller dock dataskyddsförordningen.
I patientdatalagen finns bland annat bestämmelser om för vilka ändamål personuppgifter får behandlas inom hälso- och sjukvården och i nationella och regionala kvalitetsregister.
I patientdatalagen finns också bestämmelser om skyldigheten att föra patientjournal (3 kap.). Vid sidan av det primära syftet – att bidra till en god och säker vård av patienterna – är patientjournalen en informationskälla för patienten, för uppföljning och utveckling av verksamheten, för tillsyn och rättsliga krav, för uppgiftsskyldighet enligt lag samt för forskning (3 kap. 2 §).
Patientdatalagen specificerar inte närmare vilka personuppgifter eller personuppgiftskategorier som får behandlas. I stället är det bestämmelserna om ändamålsbestämningar som styr över vilka personuppgifter som är nödvändiga att behandla. Detta gäller även för
sådana personuppgiftskategorier som särregleras i dataskyddsförordningen, till exempel känsliga personuppgifter (artikel 9.1) och personnummer (artikel 87).
Enligt 2 kap. 4 § första stycket i lagen får personuppgifter behandlas inom hälso- och sjukvården om det behövs för
1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan
dokumentation som behövs i och för vården av patienter,
2. administration som rör patienter och som syftar till att ge vård i
enskilda fall eller som annars föranleds av vård i enskilda fall,
3. att utföra viss personuppgiftsbehandling för att fullgöra författ-
ningsreglerad uppgiftsskyldighet till andra myndigheter,
4. att bedriva kvalitetssäkring och kvalitetsutveckling av den egna
verksamheten,
5. att administrera, planera, följa upp, utvärdera och utöva tillsyn av
den egna verksamheten på olika nivåer, och
6. att framställa statistik som inte utan vidare kan hänföras till något
annat ändamål, exempelvis när statistik tas fram för att informera befolkningen om hälso- och sjukvårdsverksamheten.
Ändamålet i punkten 1 (vårddokumentation) behandlar dokumentation i samband med eller i anledning av individuell vård och behandling av en patient. Oftast utgör dokumentationen journalhandlingar i patientjournalen, men en del personuppgifter behandlas helt separat från den ordinära journalföringen, till exempel vid medicinska serviceenheter. Även sådan dokumentation som faller vid sidan av skyldigheten att föra journal omfattas dock av ändamålet som rör den individinriktade patientverksamheten alldeles oavsett dess formella status. Därför avses med detta ändamål inte bara själva insamlingen och registreringen av personuppgifterna utan även senare användning av de registrerade uppgifterna i den omfattning som behövs för vård och administration av patienter.
Ändamålet i punkten 2 tar också sikte på den individbaserade patientvården. En viktig bas i denna informationshantering är patientjournalhanteringen och den administration av patientvården som behövs. Med administration avses såväl patientrelaterad ekonomiadministration som annan administration som behövs för eller för-
anleds av vård i enskilda fall, till exempel uppgift om patientavgifter och takbelopp. Även dessa uppgifter utgör vårddokumentation.
Det finns flera olika författningar som föreskriver att hälso- och sjukvården ska lämna ut uppgifter till olika myndigheter. I allmänhet är det fråga om utlämnande av uppgifter som primärt samlats in som vårddokumentation. Punkten 3 tillåter vårdgivare att utföra viss nödvändig behandling av personuppgifter där dokumentationen måste utformas utifrån hur uppgiftsskyldigheten ska fullgöras och där man inte kan tala om en ren “återanvändning” av för andra ändamål redan insamlade personuppgifter, till exempel uppgiftsskyldighet enligt 14 kap. 1 § socialtjänstlagen.
Punkten 4 möjliggör för vårdgivare inom hälso- och sjukvården att bygga system för att kunna fullgöra sitt författningsreglerade krav att bedriva såväl kvalitetssäkring som kvalitetsutveckling (5 kap. 4 § hälso- och sjukvårdslagen). Det saknar betydelse om uppgifterna som behandlas för detta ändamål först registrerats för det primära ändamålet vårddokumentation, eller samlats in enbart för det särskilda syftet kvalitetssäkring.
Punkten 5 innebär att en vårdgivare fortlöpande eller vid särskilda tillfällen kan administrera, planera, följa upp, utvärdera och utöva tillsyn av verksamheten på olika nivåer. Den administration och planering som avses här sker på ett mer övergripande plan än vad som avses med den patientadministration som omfattas av ändamålet vårddokumentation (se punkterna 1 och 2). Ett ytterligare område som stöds av punkten är kravet på att hälso- och sjukvården ska bedriva kontinuerlig verksamhetsuppföljning. Med uppföljning i patientdatalagens mening avses fortlöpande och regelbunden mätning och beskrivning av behov, verksamheter och resursåtgången angivet i termer av till exempel behovstäckning, produktivitet och nyckeltal. Som exempel kan nämnas läkemedelsanvändningen hos vårdgivaren. Uppföljningen tjänar till att ge en översiktlig bild av verksamhetens utveckling och att ge en signal om avvikelser som bör beaktas. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestäms för denna. Ett annat område som omfattas av bestämmelsen är den personuppgiftsbehandling som krävs för vårdgivarens interna tillsyn av sin verksamhet, såväl på individnivå som på ett mer övergripande plan.
Av punkten 6 framgår att framställning av statistik är ett särskilt ändamål för personuppgiftsbehandling. Inom hälso- och sjukvården framställs statistik om många faktorer, bland annat sådan verksamhetsstatistik som kan anses inrymmas inom ändamålen administration och verksamhetsuppföljning. Därutöver framställs statistik som inte utan vidare kan hänföras till något annat ändamål, till exempel när statistik tas fram för att informera befolkningen om verksamheten.
Personuppgifter som behandlas med stöd av något eller några av de sex nämnda ändamålen får behandlas också för sådant uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. Personuppgifterna får även behandlas för andra ändamål under förutsättning att de inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen, som kommer till uttryck i artikel 5.1 b). Detta följer av 2 kap. 5 § patientdatalagen.
Till skillnad från vissa andra sektorsspecifika författningar görs ingen uppdelning av primära eller sekundära ändamål i 2 kapitlets ändamålsbestämmelser. I förarbetena till lagen bedömdes det inte innebära en risk för ett försämrat integritetsskydd att även sådana ändamål som föll vid sidan av den individinriktade, operativa, verksamheten får vara primära, eftersom det i allt väsentligt rör sig om en efterkommande användning av uppgifter som härrör från den individinriktade verksamheten. Detta ansågs överensstämma med strävandena inom hälso- och sjukvården att förbättra och effektivisera verksamheten, bland annat genom att skapa en ändamålsenlig och enhetlig vårddokumentation som minskar det administrativa merarbetet.40
För nationella och regionala kvalitetsregister gäller, i stället för 2 kapitlets ändamålsbestämmelser, att personuppgifter i sådana register får behandlas primärt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet (7 kap. 4 §, se också 5 kap. 4 § hälso- och sjukvårdslagen). Dessutom får personuppgifterna användas för vissa sekundära ändamål (7 kap. 5 § patientdatalagen):
1. framställning av statistik,
2. forskning inom hälso- och sjukvården,
3. utlämnande till den som ska använda uppgifterna för dessa ända-
mål och ändamålet enligt 7 kap. 4 §, och
4. fullgörande av någon annan uppgiftsskyldighet som följer av lag
eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen.
Med statistik avses här sådan statistik som ska användas för andra ändamål än att förbättra vårdens kvalitet. Det kan till exempel röra sig om statistik som framställs för att ge särskilt underlag åt politiker och administratörer för planering av verksamheten inom hälso- och sjukvården.
Det sekundära ändamålet forskning medger att personuppgifter, som har samlats in för kvalitetssäkringsarbete, också får användas i forskning inom hälso- och sjukvårdsområdet, inbegripet epidemiologiska studier. Ändamålet forskning i paragrafen utgör inget undantag från regleringen i etikprövningslagen, det vill säga forskning som avser människor får utföras bara om den har godkänts vid en etikprövning.
I motsats till övriga personuppgifter som behandlas inom hälso- och sjukvården gäller inte finalitetsprincipen vid behandling av personuppgifter i nationella och regionala kvalitetsregister (7 kap. 6 §). Ändamålen i 7 kap. 4 och 5 §§ är alltså uttömmande. Med den enskildes uttryckliga samtycke får dock personuppgifter om honom eller henne behandlas för något annat ändamål än för vilka de har samlats in (2 kap. 3 §).
Att i en lag, såsom patientdatalagen, bestämma ändamål för helt eller delvis automatiserade behandlingar av personuppgifter syftar till att tydliggöra var gränserna går för de användningsområden där den personuppgiftsansvarige får registrera och använda personuppgifter. Det är viktigt inte minst mot bakgrund av att den enskilde normalt inte kan motsätta sig att hans eller hennes uppgifter används för de ändamål som har fastslagits av lagstiftaren. I fråga om nationella och regionala kvalitetsregister får dock personuppgifter inte behandlas, om den enskilde motsätter sig det. Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, ska uppgifterna utplånas ur registret så snart som möjligt (7 kap. 2 §).
Den valda lösningen för patientdatalagen är att så uttömmande som möjligt bestämma ändamålen – om än relativt generellt utformade – för sådan personuppgiftsbehandling som regleras i lagen. I linje med detta förhållningssätt finns det skäl att överväga att antalsberäkning anges i patientdatalagen som ett uttryckligt ändamål för behandling av personuppgifter.
5.7.3. Ett nytt ändamål för personuppgiftsbehandling inom hälso- och sjukvården och i nationella och regionala kvalitetsregister
Av redovisningen i föregående avsnitt framgår att det inte finns något lagstadgat ändamål som uttryckligen tar sikte på personuppgiftsbehandling för att antalsberäkna möjliga deltagare för forskning inom hälso- och sjukvården. Detsamma gäller sådan behandling i nationella eller regionala kvalitetsregister.
Enligt vad som tidigare har redovisats medför denna omständighet att det råder olika uppfattningar om huruvida det är tillåtet att utföra antalsberäkning och att förfrågningar om detta behandlas på olika sätt, beroende på vilken bedömning som gjorts om tillåtligheten. Detta drabbar forskningsaktörer men också hälso- och sjukvården, inom vilken det kan behöva utföras personuppgiftsbehandling på oklara grunder eller läggas tid på att utreda och förhålla sig till frågan.
Som framgått kan denna rättsosäkerhet och varierande praxis i landets regioner och kommuner ha negativ inverkan på hur många forskningsstudier inom hälso- och sjukvården som förläggs i landet. Förslaget som lämnades av Utredningen om rätt information i vård och omsorg – att införa (bland annat) antalsberäkning som ett tillåtet ändamål för behandling av personuppgifter inom hälso- och sjukvården41 (se avsnitt 2.2) – ansågs av de remissinstanser som uttalade sig positivt kunna verka för att förbättra möjligheter till klinisk forskning och ha potential att vända trenden med ett minskat antal kliniska läkemedelsprövningar i Sverige.
Sist men inte minst kan patienter som har nytta och intresse av att delta i forskning drabbas om själva forskningen aldrig kommer till stånd. För att forskningshuvudmannen ska välja att starta klinisk
forskning behövs en bedömning av om det finnas tillräckligt många personer som kan medverka, vilket i sin tur kräver att det finns rättsliga förutsättningar för antalsberäkning. Risken att drabbas gäller även framtidens patienter, det vill säga medborgare som i framtiden skulle kunna få en bättre diagnostik och behandling (eller helt undvika att drabbas av sjukdom) till följd av ny kunskap som är vunnen genom forskning.
Det finns anledning att anta att förutsättningarna för klinisk forskning förbättras genom att antalsberäkning uttryckligen anges som ett tillåtet ändamål för behandling av personuppgifter inom hälso- och sjukvården och i nationella och regionala kvalitetsregister.
Eftersom det är fråga om en behandling av personuppgifter som kan ske med stöd av artikel 6.1 e finns det förutsättningar för att införa nationella bestämmelser (artikel 6.2 och 6.3 i dataskyddsförordningen). Att det är fråga om behandling av känsliga personuppgifter som får anses nödvändig av skäl av allmänt intresse på folkhälsoområdet eller för vetenskapliga forskningsändamål, innebär att nationella preciseringar kan anses, om inte nödvändiga (artikel 9.2 j) så ändå, tillåtna (artikel 9.2. i).42
5.7.4. Nya bestämmelser införs i patientdatalagen
Frågan är huruvida ändamålsbestämmelser om personuppgiftsbehandling för sådan antalsberäkning som föreslås bör tas in i patientdatalagen eller i någon annan författning.
Patientdatalagen utgör den centrala lagen för behandling av personuppgifter på vårdområdet, inbegripet nationella och regionala kvalitetsregister.43 Att patientdatalagen koncentreras till att omfatta all personuppgiftsbehandling i den individinriktade patientvården inom hälso- och sjukvården är en allmän utgångspunkt för lagen. Det följer också av lagens bestämmelse om tillämpningsområde (1 kap. 1 §), som kopplar behandlingen till personuppgifter inom hälso- och sjukvården genom hänvisning till hälso- och sjukvårdslagens definition av hälso- och sjukvård. Som redovisats hör till denna kärn-
42Prop. 2017/18:171 s. 108. 43 Särskilda bestämmelser om behandling av personuppgifter på vårdområdet finns också i till exempel i lagen (1996:1156) om receptregister, lagen (2005:258) om läkemedelsförteckning, lagen (2006:496) om blodsäkerhet, lagen om biobanker i hälso- och sjukvården m.m. och apoteksdatalagen (2009:367).
verksamhet åtgärder för att förebygga, utreda och behandla sjukdomar och skador hos enskilda, om verksamheten sker enligt vissa lagar, däribland hälso- och sjukvårdslagen. Det bör här tilläggas att bland de tillåtna ändamålen finns också behandlingar av personuppgifter inom hälso- och sjukvården som inte är direkt kopplade till patientvård, till exempel framställning av statistik.
Hälso- och sjukvårdslagen är en ramlag med bestämmelser om övergripande mål och ansvarsfördelning, och som därför inte lämpar sig för bestämmelser som det nu är fråga om (se avsnitt 5.5.3). Det finns inget krav på att nationella bestämmelser som kompletterar dataskyddsförordningen är samlade i en och samma nationella författning. Den omständigheten att den i lag fastslagna rättsliga grunden för personuppgiftsbehandling vid antalsberäkning finns i hälso- och sjukvårdslagen är alltså inte i sig ett skäl till att föreslå att de nya bestämmelserna om personuppgiftsgiftbehandling för ändamålet antalsberäkning ska införas i den lagen.
Personuppgiftsbehandling för ändamålet att beräkna hur många personer som potentiellt kan ingå i forskning inom hälso- och sjukvården utgör en efterkommande användning av uppgifter som härrör från den individinriktade verksamheten i hälso- och sjukvården. Den är av administrativ karaktär, men kan inte likställas med ändamålet statistikframställning eller övriga behandlingar för administration som anges i 2 kap. 4 § patientdatalagen. Inte heller träffas sådan behandling av den uttömmande uppräkningen av tillåtna, sekundära ändamål som finns i 7 kap. 5 § samma lag. Personuppgiftsbehandlingen vid antalsberäkning utförs av vårdgivaren på förfrågan av den som överväger att inleda forskning inom hälso- och sjukvården. Det kan därmed inte sägas vara fråga om sådan behandling av personuppgifter som är föremål för regleringen i etikprövningslagen. En ändamålsbestämmelse avseende antalsberäkning bör därför inte införas i den lagen.
Personuppgiftsbehandling får anses vara en naturlig administrativ uppgift inom hälso- och sjukvården, också med hänsyn till hälso- och sjukvårdens betydelse och ansvar för forskning på detta område. Dessutom finns en likhet mellan personuppgiftsbehandling för antalsberäkning och personuppgiftsbehandling som vårdgivaren utför som ett led i att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten och för statistikframställning.
Den aktuella personuppgiftsbehandlingen kan alltså sägas ske för flera närliggande och sammanhängande ändamål, vilket inte är ovan-
ligt inom hälso- och sjukvården. Som framgått finns redan sådana ändamål som faller vid sidan av den individinriktade verksamheten bland befintliga ändamål enligt patientdatalagen.
Sammantaget bedömer vi att personuppgiftsbehandling för antalsberäkning kan och bör omfattas av regleringen i patientdatalagen. Att det finns explicit stöd för all personuppgiftsbehandling som sker inom hälso- och sjukvården ligger i linje med både förhållningssättet och förarbetsuttalanden när det gäller patientdatalagen.44
Som redovisats förekommer redan i dag denna personuppgiftsbehandling. Det råder enighet om att den i många fall är av avgörande betydelse för ställningstagande till att initiera klinisk forskning. Integritetsintrånget som behandlingen medför får anses stå i rimlig proportion till den nytta som den avsedda behandlingen innebär. Att ge personuppgiftsansvariga och de individer som i praktiken utför personuppgiftsbehandlingen ett entydigt stöd för behandlingen och komma till rätta med den rättsosäkerhet som föreligger, är ett ytterligare, viktigt skäl för en lagreglering.
Förslaget syftar alltså till att klargöra att den personuppgiftsbehandling som är nödvändig vid antalsberäkning är ett tillåtet ändamål enligt patientdatalagen. Den föreslagna lagregleringen får anses vara en proportionerlig begränsning av skyddet mot betydande intrång i den personliga integriteten enligt 2 kap. 6 § regeringsformen. Bedömningen görs mot bakgrund av att antalsberäkning är av central betydelse för ställningstagande om att inleda klinisk forskning, som är ett mycket angeläget allmänt intresse. Av betydelse är också vissa i patientdatalagen befintliga, och vid antalsberäkning tillämpliga, bestämmelser om skyddsåtgärder, liksom vårt förslag om ytterligare reglering på föreskiftsnivå av sådana åtgärder, som ska tillämpas specifikt vid antalsberäkning (se vidare nedan). Förslaget till reglering kompletterar och preciserar dataskyddsförordningens bestämmelser på ett sådant sätt att enskildas integritet tillgodoses genom att behandlingen får ske enbart efter förfrågan, i syfte att beräkna möjliga individer för en specifik klinisk studie, och utan att personuppgifter lämnas ut till frågeställaren. I föreskrifter bör fastställas, som skyddsåtgärder, ytterligare begränsningar av hälso- och sjukvårdens möjligheter att behandla personuppgifter. Sammantaget bidrar detta till öppenhet på så sätt att enskilda kan skapa sig en bild av ramarna för hälso- och sjukvårdens behandling av personuppgifter
för ändamålet antalsberäkning. Det är vår sammantagna bedömning att förslaget är förenligt med såväl regeringsformen som Sveriges internationella förpliktelser i berörda avseenden.
Bestämmelser om personuppgiftsbehandling för ändamålet antalsberäkning bör därför införas i 2 kapitlet respektive 7 kapitlet patientdatalagen.
Privata vårdgivare utan koppling till offentligrättslig hälso- och sjukvårdsverksamhet är förhindrade att utföra antalsberäkning eftersom det inte finns något tillämpligt undantag från förbudet mot behandling av känsliga uppgifter. Detta föranleder inte något behov av särskild författningsreglering. Såväl förbudet som undantagen i artikel 9 i dataskyddsförordningen är direkt tillämpliga (avsnitt 5.6).
Benämningen antalsberäkning får anses vara väletablerad bland berörda aktörer inom hälso- och sjukvården och bland berörda forskningshuvudmän. För tydlighets skull bör ändå uttrycket och dess innebörd tas in i definitionsbestämmelsen i 1 kap. 3 § patientdatalagen. Av samma skäl finns det anledning att i lagens tillämpningsparagraf göra ett tillägg, så att det framgår att också personuppgiftsbehandling för antalsberäkning omfattas. Till följd av de nya bestämmelserna behöver paragrafhänvisningarna i 2 kap. 4 § samt 7 kap. 4 och 6 §§ justeras.
De nya ändamålsbestämmelserna föranleder inte några ändringar beträffande gällande personuppgiftsansvar (2 kap. 6 § och 7 kap. 7 §). Behov av reglering av bland annat vilka som får utföra den aktuella behandlingen behandlas i nästa avsnitt. Behandling innebär inte att det lämnas ut några personuppgifter. Mottagaren får enbart en uppgift om storleken av möjligt antal personer. Det behövs därför inte nya eller ändrade sekretessbestämmelser.
5.8. Skyddsåtgärder
Bedömning och förslag: Det finns inte anledning att fastställa
ytterligare skyddsåtgärder i patientdatalagen för att behandla personuppgifter för det föreslagna ändamålet behandling av personuppgifter för antalsberäkning. Däremot bör det i lagen upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter som närmare reglerar hur personuppgiftsbehandlingen för detta ändamål ska utföras.
5.8.1. Inledning
Som redogjorts för i kapitel 3 innebär antalsberäkningen att ett antal behandlingar av känsliga personuppgifter utförs. Genom de i förfrågan angivna kriterierna söks uppgifter ur exempelvis journalhandlingar och kvalitetsregister för att sammanställas i ett resultat i form av en summa.
Dataskyddsförordningen innehåller inte några bestämmelser som särskilt tar sikte på sökning. Sökning och sammanställning av personuppgifter är dock en form av behandling av personuppgifter som omfattas av dataskyddsregleringen. Det innebär bland annat att en sökning måste vara förenlig med angivna ändamål för att vara tillåten.
Utifrån de bedömningar som gjorts beträffande antalsberäkning och personuppgiftsbehandlingens rättsliga grunder, och tillämpliga undantag från förbudet mot behandling av känsliga personuppgifter, måste behovet av anpassade regler, särskilt om skyddsåtgärder, övervägas. Vid behandling av känsliga personuppgifter med tillämpning av artikel 9.2. i (allmänt intresse på folkhälsoområdet) eller artikel 9.2. j (exempelvis vetenskapliga eller historiska forskningsändamål) i dataskyddsförordningen krävs det åtgärder eller skyddsåtgärder enligt nationell rätt. Även artikel 89.1 om skyddsåtgärder och undantag för behandling för bland annat vetenskapliga forskningsändamål kan utgöra stöd för den nationella lagstiftaren att närmare reglera lämpliga skyddsåtgärder (skäl 156 i förordningen).
5.8.2. Generell reglering av åtgärder som begränsar behandlingen av personuppgifter
Dataskyddsförordningen innehåller både allmänna principer och bestämmelser som föreskriver åtgärder som begränsar behandlingen av personuppgifter för att ytterst skydda den registrerades integritet.
Alla personuppgiftsansvariga är skyldiga att beakta de allmänna principerna i artikel 5, bland andra de om uppgiftsminimering, lagringsminimering, samt integritet och konfidentialitet (artikel 5.1 c, 5.1 e och 5.1 f). Personuppgiftsansvariga har också skyldigheter att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24), och säkerställa en lämplig säkerhetsnivå (artikel 32). Ansvaret enligt artikel 24 preciseras i artikel 25, som
föreskriver inbyggt dataskydd och dataskydd som standard (se även skäl 78).
Dataskyddsförordningen anger sällan att vissa specifika skyddsåtgärder ska vidtas. För behandling av känsliga personuppgifter för bland annat hälso- och sjukvårdsändamål anges dock tystnadsplikt uttryckligen som en skyddsåtgärd (artikel 9.2 h och 9.3). I några sammanhang används termerna ”skyddsåtgärder”, ”säkerhetsåtgärder” 45, ”tekniska och organisatoriska åtgärder” eller liknande tillsammans med en exemplifierande uppräkning. Till tekniska åtgärder räknas till exempel brandväggar, kryptering, pseudonymisering46, säkerhetskopiering och anti-virus-skydd. Organisatoriska åtgärder handlar till exempel om interna rutiner, instruktioner och riktlinjer. Kryptering och pseudonymisering är exempel på åtgärder som tillgodoser principen om uppgiftsminimering, eftersom sådana åtgärder innebär att den personuppgiftsansvarige inte behandlar fler direkt identifierande personuppgifter än vad som är nödvändigt för ändamålet med behandlingen. Krav på kryptering och pseudonymisering uppfyller också villkoren i principen om integritet och konfidentialitet i artikel 5.1 f i dataskyddsförordningen.
Samtycke till en behandling av personuppgifter kan ibland utgöra ytterligare en skyddsåtgärd. Denna skyddsåtgärd kan användas när behandlingen har en annan rättslig grund än samtycke, till exempel myndighetsutövning. Att det föreskrivs att den registrerade ska samtycka till behandlingen anses då vara en integritetshöjande åtgärd. Krav på ett sådant samtycke finns exempelvis i bestämmelserna om sammanhållen journalföring i patientdatalagen.
Artikel 89.1 i dataskyddsförordningen, som gäller skyddsåtgärder och undantag för behandling specifikt för bland annat vetenskapliga eller historiska forskningsändamål, preciserar de mer allmänna bestämmelserna om skyddsåtgärder som nämnts ovan, bland annat genom att ange att den personuppgiftsansvarige i första hand ska överväga om det är möjligt att behandla sådana uppgifter som inte medger identifiering av de registrerade. Detta kan dock anses följa redan av den grundläggande principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen samt de allmänna bestämmelserna om säkerhet.
45 Benämningen skyddsåtgärder förordas framför säkerhetsåtgärd, prop. 2017/18:171 s. 138. 46 Pseudonymisering innebär att alla personuppgifter som kan identifiera en viss person ersätts med icke-identifierande information (se vidare definitionen i artikel 4.11 i dataskyddsförordningen.
Liksom övriga nämnda principer och bestämmelser om skyddsåtgärder, är artikel 89.1 i förordningen direkt tillämplig. Utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull upphör kan nationella bestämmelser fastställas med stöd av artikel 89.1. Också bestämmelserna i artikel 6.2 och 6.3 möjliggör nationell reglering för anpassad tillämpning av den rättsliga grunden nödvändig behandling för att utföra en uppgift av allmänt intresse (artikel 6.1 e).
I ett tidigare lagstiftningsärende har regeringen uttalat att bestämmelser om åtgärder eller skyddsåtgärder som finns i registerförfattningar, såsom patientdatalagen, är sådana mer specifika, eller särskilda, bestämmelser som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på bland annat en arbetsuppgift av allmänt intresse (artikel 6.1 e).47 Det kan också vara sådana åtgärder som är nödvändiga att fastställa enligt till exempel artikel 9 i förordningen.
5.8.3. Patientdatalagen innehåller nödvändiga skyddsåtgärder
Patientdatalagen innehåller ett antal bestämmelser som föreskriver skyddsåtgärder och begränsningar av behandling av personuppgifter till skydd för de registrerade. Dessa utgörs av såväl tekniska och organisatoriska skyddsåtgärder som mer rättsligt orienterade åtgärder såsom sekretessregler. Flertalet bestämmelser med skyddsåtgärder och andra begränsningar i personuppgiftsbehandling är generella, medan andra gäller specifikt för en viss behandling eller verksamhet. Exempel på det senare är lagens bestämmelser om den registrerades möjlighet att motsätta sig behandling, bland annat när det gäller regleringen om sammanhållen journalföring i 6 kap. patientdatalagen.
Inledningsvis kan nämnas att personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Det gäller inte bara i samband med journalföring utan också för utformning och övrig behandling av personuppgifter inom all verksamhet som regleras av patientdatalagen, såsom annan vårddokumentation och kvalitetsregisteruppgifter, (1 kap. 2 § andra stycket). Regelns tillämpningsområde är inte begränsad enbart till hälso- och sjukvårdspersonal vid en viss enhet och dess arbete på
enheten. Bestämmelsen har generell räckvidd och omfattar all personal oavsett var den tjänstgör och oavsett för vilka syften uppgifterna behövs.
Vidare ska dokumenterade personuppgifter hanteras och förvaras så att obehöriga inte får tillgång till dem (1 kap. 2 § tredje stycket). Bestämmelsen har ett vidare syfte än att bara vara en reglering av den inre sekretessen, det vill säga att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården (se 4 kap. 1 §).
Att obehöriga inte ska få tillgång till uppgifterna utgör generellt en garanti för att patienters och andras integritet ska respekteras då personuppgifter om dem hanteras och förvaras. Med hantering och förvaring avses här alla slags åtgärder som vidtas beträffande personuppgifterna. Bestämmelsen är tillämplig på alla dokumenterade personuppgifter. Den gäller således alla personuppgifter om exempelvis en patient, inte bara uppgifter som finns i manuella och elektroniska patientjournaler. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person.48
Som tidigare angetts specificeras inte närmare vilka personuppgifter eller personuppgiftskategorier som får behandlas i patientdatalagen. I stället är det bestämmelserna om ändamålsbestämningar som styr över vilka personuppgifter som är nödvändiga att behandla. Fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen med behandlingen får inte behandlas (2 kap. 4, 5 och 7 §§ samt 7 kap. 4–6 och 8 §). Som tidigare angetts innebär de uppräknade ändamålsbestämningarna att det tydliggörs var gränserna går för de användningsområden där den personuppgiftsansvarige får registrera och använda personuppgifter. Detta anses vara viktigt inte minst mot bakgrund av att den enskilde normalt inte kan motsätta sig att hans eller hennes uppgifter används för de ändamål som har fastslagits av lagstiftaren (2 kap. 3 § jfr dock 7 kap. 2 §). De föreslagna nya bestämmelserna om personuppgiftsbehandling för antalsberäkning bör därför betraktas som en skyddsåtgärd i sig. Behandlingen är tillåten bara efter en förfrågan, vars syfte är att få ett beräknat potentiellt underlag för eventuell forskning inom hälso- och sjukvården. Det kommer inte att vara möjligt för vårdgivare att med stöd av det nya ändamålet på eget initiativ göra egna sökningar, om det
inte är så att det i en särskild verksamhet inom vårdgivaren bedrivs forskning och en förfrågan görs därifrån.
Även nödvändighetsrekvisitet i den rättsliga grunden för behandling av personuppgifter för antalsberäkning (uppgift av allmänt intresse), kan anses innebära en spärr mot helt onödig behandling av personuppgifter.49
Tekniska och organisatoriska skyddsåtgärder på lämplig säkerhetsnivå
Skiljelinjen mellan tekniska och organisatoriska åtgärder är inte alltid helt tydlig. Särskilt tekniska skyddsåtgärder kan ofta behöva kompletteras med organisatoriska åtgärder. Det gäller till exempel vid åtkomstkontroll (accesskontroll). Med sådan kontroll avses att på systemnivå möjliggöra eller förhindra tillgång till filer, tjänster och andra resurser, så att bara den eller de inom en organisation som har behov av att komma åt vissa uppgifter ska kunna göra det.
Accesskontroll får anses vara en grundläggande del av informationssäkerheten. När systemen innefattar lagrade personuppgifter utgör accesskontroll även en form av skyddsåtgärd som skyddar personuppgifterna från obehörig åtkomst (artikel 32.2). Genom att användaren endast får tillgång till sådana personuppgifter som han eller hon exempelvis har behov av i sitt arbete, kan risken för otilllåten behandling av personuppgifter förbyggas eller åtminstone minskas. Bestämmelser om accesskontroll finns i 4 kap. 2 §.
I grunden är det fråga om en teknisk åtgärd som genomförs av systemansvariga som sätter till exempel läsrättigheter på filer och auktorisering på interna tjänster. Men beslut och beslutsfattande om vilka arbetsuppgifter som medför behov av att komma åt vilka uppgifter är en organisatorisk skyddsåtgärd. Enligt nämnda lagrum har en vårdgivare en skyldighet att bestämma villkor för tilldelning av behörighet till personal för åtkomst till patientuppgifter. Kopplat till bestämmelsen finns ett bemyndigande med stöd av vilket Socialstyrelsen har utfärdat föreskrifter (se vidare avsnitt 5.8.4).
Tekniska skyddsåtgärder kan ingå, helt eller som en del av informationssäkerheten och dess olika skyddsmål, bland annat konfidentialitet, integritet, tillgänglighet, spårbarhet och oavvislighet.50 Den
49Prop. 2017/18:298 s. 37 f. 50 Se till exempel SOU 2004:32 s. 15.
personuppgiftsansvarige ska enligt artikel 32.1 b säkerställa flera av dessa mål. Det gäller också för reglerna om uppföljning av uppgiftsåtkomst, som är tänkta att innebära en konkretisering av bestämmelser om sådana säkerhetskrav. Loggkontroller medger uppföljning av användarnas behandling av personuppgifter och syftar till att upptäcka situationer då personuppgifter behandlats på ett otillåtet sätt. Vårdgivare ska se till att åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras (4 kap. 3 § patientdatalagen och kompletterande bestämmelser i myndighetsföreskrifter, se vidare avsnitt 5.8.4). Vårdgivare ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter. Styrning av tilldelning och begränsning av behörigheter är sådana tekniska och organisatoriska åtgärder som den personuppgiftsansvarige ska vidta på eget initiativ enligt dataskyddsförordningen.51
En annan teknisk skyddsåtgärd är förbud mot användning av vissa sökbegrepp. Vanligtvis rör det sig om förbud mot eller begränsningar att använda känsliga personuppgifter. Vid personuppgiftsbehandling för forskningsändamål får det anses vara möjligt, och nödvändigt, att kunna göra sökning och urval baserade på de faktorer eller variabler som ska studeras när detta är nödvändigt för att uppfylla ändamålet med behandlingen.
I patientdatalagen finns en bestämmelse om förbud mot användning av känsliga personuppgifter som sökbegrepp i 2 kap. 8 § första stycket. I paragrafens andra stycke första punkten finns undantag från förbudet. Uppgifter om sjukdom och hälsotillstånd får användas som sökbegrepp. Fördelarna med att tillåta sökning på dessa från integritetssynpunkt känsliga begrepp är så självklara för att kunna genomföra en god och säker vård att intresset av en begränsning av sökmöjligheterna har fått ge vika.52 Det anses vara av väsentlig betydelse att, vid sidan av det individinriktade arbetet, kunna göra exempelvis verksamhetsuppföljningar med sammanställningar utifrån sökkriterier såsom diagnoser och liknande. Även vid verksamhetsplanering anses det finnas behov av möjligheter att identifiera utvecklingstrender som är av betydelse för verksamheten, till exempel i fråga om förväntningar på ökande tillströmning av olika patientkategorier. Sådana sam-
51Prop. 2017/18:171 s. 138. 52 Se till exempel prop. 2007/08:126 s. 67 f.
manställningar bör dock snarast möjligt avidentifieras, “eftersom individuppgifterna som sådana saknar betydelse för ändamålet med den fortsatta behandlingen”.53
Det kan i detta sammanhang konstateras att den huvudsakliga administrativa åtgärden vid antalsberäkning är just användning av känsliga personuppgifter som sökbegrepp, och sammanställning av dessa sökresultat. Den kombination av åtgärder som utgör behandlingen av personuppgifterna kan (helt eller delvis) utföras automatiserat. Detta kan innebära att resultaten i delmomenten inte blir synliga för den person som utför antalsberäkningen. Exempelvis är flera kvalitetsregister uppbyggda på ett sådant sätt att det går att göra en sökning i registret genom att specificera kriterier, varefter endast ett antal (inga uppgifter som identifierar specifika personer) återges som resultat av sökningen. Personuppgiftsbehandlingen innebär i dessa fall därmed ingen exponering av direkt utpekande personuppgifter. Det kan dock inte uteslutas att sökningar i exempelvis patientjournaler föranleder sammanställningar som innehåller personuppgifter. I likhet med vad som anförts beträffande behovet av användning av sökbegrepp för exempelvis kvalitetssäkringsarbete, avidentifieras sökresultatet även vid antalsberäkning. Avidentifieringen sker så att säga naturligt eftersom slutresultatet av behandlingen är ett antal. Som en skyddsåtgärd bör därutöver räknas den avgränsning av den föreslagna, nya ändamålsbestämningen. Behandlingen får enbart ske på förfrågan och för ändamålet att tillhandahålla ett nödvändigt beslutsunderlag för klinisk forskning.
Det finns dock anledning att i de föreslagna nya ändamålsbestämmelserna i patientdatalagen ta in också upplysningsbestämmelser om att regeringen eller den myndighet som regeringen bestämmer kan, på lägre nivå än i lag, närmare reglera vem eller vilka personalkategorier som bör utföra den aktuella personuppgiftsbehandlingen, hur denna arbetsuppgift ska utformas, vilka sök- och sammanställningsmöjligheter som kan bedömas vara nödvändiga (det vill säga begränsningar av möjligheten att göra sökningar), vilken information om behandlingen som bör lämnas till de registrerade samt andra liknande frågor.54
5.8.4. Praktisk hantering av dataskydd
Dataskyddsförordningen beskriver, som nämnts, två principer för att rent praktiskt skydda data (artikel 25 och skäl 78). Den ena principen innebär att det i ett it-system redan från början byggs in regler för hur systemet ska användas och därigenom integreras dataskyddet, inbyggt dataskydd (eng. privacy by design). Den andra principen handlar om att se till att personuppgifter inte behandlas i onödan, till exempel genom att påverka åtgärder som styr hur uppgifter samlas in, delas ut eller visas, dataskydd som standard (eng. privacy by default).
Principerna för dataskydd kan tillämpas vid utveckling, utformning, urval och användning av applikationer, tjänster och produkter som är baserade på behandling av personuppgifter. De åtgärder som vidtas kan vara såväl tekniska som organisatoriska.
En stor del av den svenska hälso- och sjukvårdens infrastruktur och it-arkitektur utvecklas och förvaltas av bolaget Inera AB, som ägs gemensamt av landets regioner och kommuner. För att hantera behörigheter till system inom hälso- och sjukvård har bolaget utarbetat en behörighetsmodell som tillämpas i ett stort antal nationella tjänster.55 Modellen beskriver både behörigheter som styrs direkt av patientdatalagen och behörigheter som inte berörs av denna lag, men som behövs för administrativa syften.56
Patientdatalagen reglerar bland annat it-relaterad informationshantering inom hälso- och sjukvården. Kompletterande, mer praktiska, anvisningar finns i Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) samt i tillhörande handbok.57 Där framgår att vårdgivaren har ansvar för att tilldela behörigheter, och för att ta fram rutiner som säkerställer bland annat att personalens behörigheter begränsas till vad som är nödvändigt för att ge en god och säker vård (4 kap. 1–3 §§ i nämnda föreskrifter). Behörigheten ska vara individuell och anpassad till att en individ kan ha flera olika arbetsuppgifter. I handboken illustreras behovet av att en användare kan behöva olika behörighetsnivåer vid olika tillfällen av ett exempel, där en person
55 Inera AB (2019). Behörighetsmodell för vård och omsorg. Version 3.0, 2019-08-29. 56 Ordet ”behörighet” definieras i informationssäkerhetsstandarden (SIS-TR 50:2015 Terminologi för informationssäkerhet) som ”rättighet för en användare att använda informationstillgångar på ett specificerat sätt”. 57 Socialstyrelsen (2017). Journalföring och behandling av personuppgifter i hälso- och sjuk-
vården. Handbok vid tillämpningen av Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården. Nr 2017-3-2.
ibland har jouransvar för en hel verksamhet, men annars ansvarar för en mindre vårdenhet.
Oavsett typ av uppdrag styrs behörigheten vanligtvis med så kallad egenskapsbaserad behörighet. Det innebär att man tillämpar ett regelverk för att matcha egenskaper hos användaren med egenskaper hos den information användaren önskar åtkomst till. Regelverket utgår från personliga egenskaper (till exempel yrkeslegitimation), anställningsrelaterade egenskaper (till exempel befattningskod), uppdragsrelaterade egenskaper (till exempel för vilket ändamål personen behöver åtkomst till patientdata, såsom ”vård och behandling”), situationsrelaterade egenskaper (till exempel vilken metod som används för att verifiera identiteten vid inloggning i ett datasystem) samt vilken typ av information behörigheten gäller.
Vårdgivaren är även ansvarig för kontrollen av att åtkomst till patientuppgifter är korrekt, genom att regelbundet granska loggar som dokumenterar åtkomsten. Vårdgivaren ska årligen utvärdera skyddet mot såväl intern som extern olovlig åtkomst till datornätverk och informationssystem vilka används för behandling av personuppgifter (3 kap. 18 § och 4 kap. 9 § i nämnda föreskrifter).
Utöver skydd i form av regler för behörighet skyddas personuppgifter inom hälso-och sjukvården också av det sätt på vilket de är lagrade och åtkomliga i systemet. Personuppgifter som är mer känsliga är lagrade så att det förfarande som benämns aktivt val är en förutsättning för att nå uppgifterna. Det innebär att en behörig användare aktivt måste ta ställning till om hon eller han har rätt att ta del av uppgiften. Valet att gå vidare i informationssystemet loggas.
Ytterligare exempel på åtgärder för att trygga säkerheten för personuppgifter är hantering av lösenord och fysiskt skydd av systemen, såsom säkerhetsavspärrningar och tillträdeskontroll till lokaler där itsystemen finns. Dessutom ska vårdgivaren ha ett så kallat ledningssystem, som gör det möjligt för ledningen att styra verksamheten så att rätt sak görs vid rätt tillfälle och på rätt sätt. Processer och rutiner i ledningssystemet används för att säkerställa att personuppgifter som är lagrade i vårdgivarens system är tillgängliga, korrekta, konfidentiella och spårbara.
Sammanfattningsvis kan det konstaterats att det finns en rad redan etablerade strukturer inom hälso- och sjukvården för att trygga en säker hantering av personuppgifter.
5.9. Områden som inte berörs av förslagen
Enligt förslagen införs nya bestämmelser i patientdatalagen, som tillåter att personuppgifter behandlas för att antalsberäkna möjliga deltagare för forskning inom hälso- och sjukvården. Förslagen gör det möjligt att genomföra antalsberäkning inför beslut om att eventuellt inleda klinisk forskning, det vill säga forskning som förutsätter vårdens strukturer och resurser och där personuppgiftsbehandlingen sker inom ramen för hälso- och sjukvården.
Antalsberäkning som förutsätter personuppgiftsbehandling där uppgifterna hämtas från en källa utanför hälso- och sjukvården omfattas inte av förslaget. Exempel är forskargenererade data från studier som bedrivits vid ett lärosäte. Ett annat exempel är data i nationella myndighetsregister, som till exempel finns hos Folkhälsomyndigheten, Försäkringskassan och Statistiska centralbyrån.58 Hälsodataregister vid Socialstyrelsen omfattas inte heller av förslagen, eftersom dessa är en form av myndighetsregister.
Vi har övervägt behovet av att utreda eventuell reglering i annan lagstiftning än patientdatalagen för att nå även antalsberäkning som bygger på personuppgifter utanför hälso- och sjukvården. Ett skäl för detta skulle kunna vara att regelverken kan uppfattas som svåra att förstå eller efterfölja om det saknas motsvarande, uttryckliga, bestämmelse i annan lagstiftning.
För flera myndighetsregister är det möjligt att få en överblick över de data som återfinns i registret via publikt tillgänglig statistik. På så sätt går det att bilda sig en övergripande uppfattning om antalet möjliga personer till en kommande forskningsstudie.
Vi har kommit fram till att det behov som har påtalats för kommittén, och som är upprinnelsen till detta betänkande, framför allt rör antalsberäkning baserad specifikt på personuppgifter som omfattas av patientdatalagen. Därtill har vi haft begränsade resurser vilket varit ett skäl till att avgränsa utredningsarbete och förslag till det område som vi bedömt vara till störst nytta.
58 Förteckning över myndighetsregisterhållare, där uppgifter ofta hämtas för forskning, finns på Vetenskapsrådet: www.registerforskning.se/sv/register-i-sverige/lankar-nationellamyndighetsregister/.
6. Genomförande av förslagen
6.1. Ikraftträdande- och övergångsbestämmelser
Förslag och bedömning: De föreslagna författningsändringarna
ska träda i kraft den 1 januari 2022. Några övergångsbestämmelser behövs inte.
Med hänsyn till den tid som kan beräknas gå åt för remissförfarande, beredning inom Regeringskansliet och riksdagsbehandling, bör de författningsändringar som vi föreslår kunna träda i kraft den 1 januari 2022. Vi bedömer att det inte behövs några övergångsbestämmelser till de ändringar vi föreslår.
6.2. Konsekvenser av förslagen
6.2.1. Allmänt om förslagens syfte
Betänkandet innehåller förslag till författningsändringar. Ett primärt syfte är att undanröja den osäkerhet som får anses föreligga om det rättsliga stödet för personuppgiftsbehandling vid antalsberäkning inför klinisk forskning.
6.2.2. Ekonomiska konsekvenser
Regioner och kommuner ska medverka vid forskning inom hälso- och sjukvård och folkhälsoområdet; att bidra med underlag till de förberedande stegen inför klinisk forskning kan ses som en del av denna uppgift.
Redan i dag förekommer det att hälso- och sjukvården tar fram underlag inför antalsberäkning. Hur sammanställningen rent prak-
tiskt ska ske när det gäller uppgifter som hämtas från patientjournaler, till exempel om ett förfarande skulle underlättas av någon form av sökverktyg, är inte något som vi har undersökt. De föreslagna författningsändringarna påverkar varken omfattningen eller genomförandet av den praktiska uppgiftshanteringen, utan ger enbart de rättliga förutsättningarna för sådan behandling.
Förslagen bedöms inte medföra någon ökad risk för att resurser tas från vård av patienterna.
Förslagen kan komma att medföra viss minskad administration, framför allt för regionerna på grund av minskat behov av att undersöka och administrera frågor om huruvida det finns en rättslig grund för personuppgiftsbehandlingen, som är en följd av det föreslagna förtydligandet av lagstiftningen. Efterfrågan på personella resurser för att handlägga förfrågningar om antalsberäkning skulle kunna öka något till följd av att antalet förfrågningar om antalsberäkning kan komma att öka när det blir en tydligare uttalad möjlighet.
Sammantaget bedöms förslagens ekonomiska konsekvenser för regioner och kommuner vara små och inte kräva någon ytterligare finansiering. Eftersom hälso- och sjukvården redan i dag tar fram underlag inför antalsberäkning bedöms förslagen inte menligt påverka resursåtgången inom regioner eller kommuner.
Förslagen kan på lång sikt antas ha positiva samhällsekonomiska konsekvenser eftersom de förväntas bidra till ökad kvalitet och tillförlitlighet i forskningen och därmed kan stärka Sverige som kunskapsnation. Detta bör även stärka förtroendet för svensk forskning såväl nationellt som internationellt.
6.2.3. Konsekvenser avseende etiska aspekter
Att inte skada, att göra gott, att respektera patientens autonomi och integritet samt att vara rättvis är viktiga etiska principer inom all hälso- och sjukvård. Rättviseprincipen framhålls i hälso- och sjukvårdslagens målparagraf, 3 kap. 1 §, genom att vården ska ges på lika villkor för hela befolkningen.
Effekter på kort respektive lång sikt för de intressenter som kan beröras av personuppgiftsbehandling vid antalsberäkning belyses i tabell 4.2 i avsnitt 4.3.3.
6.2.4. Konsekvenser för innovation och forskning
Utredningens förslag väntas bidra positivt till innovation genom att underlätta ansvarsfullt, säkert och etiskt nyttiggörande av hälso- och vårddata. Genom att adressera hinder och förtydliga oklarheter finns förutsättningar att underlätta för olika aktörer att tolka och tillämpa den lagstiftning som reglerar hur data får användas i tillämpningar som är nödvändiga förberedande steg för forskning och innovation. Förslagen kan bidra till att stävja variationer i kunskapsnivån hos aktörerna, och på så vis ge aktörerna mer likartade förutsättningar för innovation.
I ett större perspektiv utgör förslagen en del av utvecklingen av Sverige som stark kunskapsnation inom life science-området. Genom att förbättra förutsättningarna för forskning, innovation och konkurrenskraftigt näringsliv finns möjligheter till bättre hälsa, utveckling av sjukvården och tryggat ekonomiskt välstånd.
Behovet av utveckling av policyer och regelverk har identifierats som en viktig parameter för att stärka Sveriges konkurrenskraft och därmed möjliggöra ökade investeringar, export och fler arbetstillfällen.
Sammanfattningsvis bidrar förslagen till det arbete som redan görs för att svensk innovation ska stärkas.
6.2.5. Konsekvenser för personuppgiftsbehandling inom privata vårdgivare som helt saknar koppling till offentligrättslig hälso- och sjukvårdsverksamhet
Enligt vår bedömning är det inte möjligt för sådana privata vårdgivare som helt saknar koppling till offentligrättslig hälso- och sjukvårdsverksamhet att behandla personuppgifter för antalsberäkning.1Anledningen är att vi bedömer att det inte finns något tillämpligt undantag enligt artikel 9.2 i dataskyddsförordningen.
1 Som tidigare redogjorts för (se avsnitt 5.5.3) kan en juridisk eller fysisk person utföra uppgifter inom hälso- och sjukvården på uppdrag av en kommunal eller statlig myndighet. I dessa fall anses den privata vårdgivaren utföra en uppgift av allmänt intresse. Uppdragen regleras ofta i olika former av samverkansavtal, som i sin tur styrs via flera lagar såsom lag om valfrihetssystem (2008:962), lag om offentlig upphandling (2016:1145), lagen om läkarvårdsersättning (1993:1651) och lag om ersättning för fysioterapeuter (1993:1652).
Det finns inte någon entydig definition eller förteckning över vårdgivare som helt saknar koppling till offentligrättslig hälso- och sjukvårdsverksamhet. I en genomgång från 2007 gjordes en schematisering i offentliga och privata vårdgivare, med offentlig respektive privat finansiering.2 Kategorin privata vårdgivare med privat finansiering exemplifieras med vårdgivare inom alternativmedicin och kosmetisk kirurgi.
Det är alltså inte möjligt att göra en uppskattning av antalet potentiella framtida studiedeltagare som finns specifikt hos de privata vårdgivare som helt saknar koppling till offentligrättslig hälso- och sjukvårdsverksamhet genom att göra en antalsberäkning som bygger på personuppgiftsbehandling. Det innebär att forskningshuvudmannen i stället på egen hand får göra en uppskattning av antalet möjliga studiedeltagare på något annat (mer osäkert) sätt, till exempel genom att göra en hypotetisk skattning av antalet patienter baserat på omfattningen av den privata vårdgivarens verksamhet. Ett alternativ är att forskningshuvudmannen hoppar över det förberedande steget med antalsberäkning och direkt inleder en forskningsstudie genom att som ett första steg göra en ansökan om etikprövning. Det finns då en risk att forskningsstudien inte kan genomföras, eftersom antalet medverkande personer visar sig vara alltför litet.
Vår bedömning är att det är förhållandevis få deltagare till klinisk forskning som rekryteras från privata vårdgivare som helt saknar koppling till offentligrättslig hälso- och sjukvårdsverksamhet.
6.2.6. Risk att dubbelräkna eller missa personer påverkas inte
Vid antalsberäkningen kan uppgift om antal personer som motsvarar en viss uppsättning kriterier komma att efterfrågas hos flera aktörer inom hälso- och sjukvården. Eftersom samma patient kan finns hos olika vårdgivare finns viss risk för att en person dubbelräknas, det vill säga att samma individ ingår mer än en gång i antalsberäkningen. Det beror på att varje vårdgivare endast lämnar information om antalet, inte någon ytterligare uppgift som kan identifiera personen.
På motsvarande sätt finns viss risk att en person inte fångas upp i antalsberäkningen eftersom informationen kan vara fragmenterad och utspridd hos flera vårdgivare.
De förslag som nu lämnas bedöms inte påverka risken för att dubbelräkna eller missa personer vid antalsberäkningen. Risken för felräkning härrör sig till att information om en viss individ kan finnas på flera ställen och påverkas inte av att den rättsliga grunden för personuppgiftsbehandlingen förtydligas.
6.2.7. Övriga konsekvenser
Förslagen har inga konsekvenser för jämställdheten mellan kvinnor och män, flickor och pojkar eller för möjligheten att nå de integrationspolitiska målen.
Förslagen bedöms inte ha någon påverkan på klimat eller miljö, på brottslighet eller brottsförebyggande arbete, eller på sysselsättning och offentlig service i olika delar av landet.
7. Författningskommentar
7.1. Förslag till lag om ändring i patientdatalagen (2008:355)
1 kap.
1 §
I paragrafen anges tillämpningsområdet för patientdatalagen. Bestämmelsen slår fast att lagen ska tillämpas vid behandling av personuppgifter inom hälso- och sjukvården. Härmed avses all personuppgiftsbehandling i den individinriktade patientvården inom hälso- och sjukvården, men också behandlingar som inte är direkt kopplade till patientvård, till exempel framställning av statistik.
I paragrafens första stycke görs ett tillägg i syfte att tydliggöra att lagens tillämpningsområde omfattar också sådan behandling av personuppgifter som behövs för antalsberäkning. Begreppet antalsberäkning tas in som en definition i 1 kap. 3 §, se vidare den paragrafen. Överväganden finns i avsnitt 5.7.
1 kap.
3 §
Paragrafen innehåller definitioner av vissa uttryck som används i lagen. Genom tillägget definieras uttrycket antalsberäkning, som används för sådan personuppgiftsbehandling som görs på förfrågan för att beräkna hur många personer som uppfyller på förväg uppställda kriterier och därmed kan komma att ingå i forskning inom hälso- och sjukvården.
Med forskning inom hälso- och sjukvården avses forskning som förutsätter hälso- och sjukvårdens strukturer och resurser.
Angående forskningsbegreppet, se avsnitt 2.5, där bland annat vissa legaldefinitioner redovisas, och avsnitt 5.5.1. Att det ska vara fråga om forskning inom hälso- och sjukvården medför en det nya ändamålet för personuppgiftsbehandling avgränsas till en vårdgivares möjlighet att utföra personuppgiftsbehandling i till exempel patientjournal eller kvalitetsregister.
Närmare beskrivning av antalsberäkning och hur den utförs finns i kapitel 3.
2 kap. 4 a § och 7 kap. 5 a §
Genom paragraferna, som är nya, görs behandling av personuppgifter för antalsberäkning till ett tillåtet ändamål inom hälso- och sjukvården och i nationella och regionala kvalitetsregister. Överväganden finns avsnitten 5.7.3 och 5.7.4. Hur det nya ändamålet förhåller sig till dataskyddförordningens bestämmelser om rättslig grund och behandling av känsliga personuppgifter beskrivs i avsnitten 5.5 och 5.6.
De nya bestämmelserna utgör inget undantag från regleringen i etikprövningslagen, det vill säga om frågeställaren, efter beskedet efter antalsberäkningen, beslutar att gå vidare i processen krävs etikprövning i sedvanlig ordning, se kapitel 3 och tabell 3.1.
Sådana privata vårdgivare som helt saknar koppling till offentligrättslig hälso- och sjukvårdsverksamhet omfattas inte av bestämmelserna. Anledningen är att det för dessa vårdgivare inte finns något tillämpligt undantag mot förbudet att behandla känsliga personuppgifter enligt artikel 9.2 i dataskyddsförordningen. Såväl förbudet som dess undantag i förordningen är direkt tillämpliga, se vidare avsnitt 5.6.
I andra stycket finns en upplysningsbestämmelse om rätt för regeringen eller den myndighet som regeringen bestämmer att närmare reglera hur personuppgiftsbehandling för antalsberäkning ska utföras för att skydda de registrerades personliga integritet. Skyddsåtgärder behandlas i avsnitt 5.8.
2 kap. 4 § samt 7 kap. 4 och 6 §§
Kommittédirektiv 2018:85
Samordnad och accelererad policyutveckling kopplad till den fjärde industriella revolutionens teknologier
Beslut vid regeringssammanträde den 16 augusti 2018
Sammanfattning
Sverige och världen står inför flera stora samhällsutmaningar, däribland klimat och miljö, hälsa och digital omställning. Den snabba teknikutvecklingen, ofta kallad den fjärde industriella revolutionen, för med sig innovation inom många sektorer som kan bidra till att på resurseffektiva sätt lösa samhällsutmaningar. Samtidigt ökar kraven på en proaktiv policyutveckling eftersom hinder och oklarheter riskerar att hämma utvecklingen.
Regeringens ambition är att det i hela Sverige ska finnas mycket goda förutsättningar för utveckling av nya och innovativa lösningar samt nya affärsmodeller. För att höja nyttogörandet och bättre ta tillvara potentialen som digitalisering och innovation för med sig inrättar regeringen en kommitté inriktad på tvärsektoriell policyutveckling.
Kommittén ska bistå regeringen i arbetet med att identifiera policyutmaningar, bidra till att minska osäkerheten kring gällande regler och påskynda policyutveckling kopplad till den fjärde industriella revolutionens teknologier inom inledningsvis tillämpningsområdena precisionsmedicin, uppkopplad industri samt uppkopplade och automatiserade fordon, farkoster och system. En referensgrupp, med representanter från Regeringskansliet, myndigheter, regionala aktörer, näringslivet och organisationer med erfarenhet av policyutveckling, ska knytas till kommittén.
Kommittén ska för åren 2019 och 2020, senast den 31 december, lämna en delrapportering av arbetet dittills. Uppdraget ska slutredovisas senast den 31 december 2021.
Bakgrund
Snabb och omfattande teknikutveckling
Förändringstakten i omvärlden är omvittnat hög och utvecklingen inom en rad teknikområden snabb. Digitalisering och automatisering påverkar nära nog alla branscher med nya lösningar, applikationer och tjänster. Utvecklingen av globala värdekedjor påverkar länders och regioners ekonomier och den tekniska utvecklingen innebär möjligheter att ytterligare förstärka de nära samband som finns mellan tjänsteproduktion och tillverkning.
Den fjärde industriella revolutionen bygger vidare på den digitala revolutionen och karaktäriseras bland annat av ständig uppkoppling, mindre och mer kraftfulla sensorer, artificiell intelligens och maskininlärning. Sådana teknologier, i kombination med datorers alltmer kraftfulla beräkningskapacitet, accelererar utvecklingen av tillämpningar inom bland annat precisionsmedicin, blockkedjor, uppkopplade och automatiserade fordon, farkoster och system samt bioteknik. Sammanfattningsvis har den fjärde industriella revolutionens teknologier potential att radikalt förändra samhället och hur människor lever sina liv.
Teknikutvecklingen har också potential att föra med sig lösningar på ett antal globala samhällsutmaningar som klimat och miljö, hälsa och digital transformation. Samtidigt uppstår viktiga frågeställningar som behöver tas om hand. Det kan gälla informations- och cybersäkerhet, nationell säkerhet samt ansvars- och integritetsfrågor, men även andra aspekter som etik, affärs- och ersättningsmodeller och risken för digitala klyftor. Det är en avgörande framtidsfråga att på bästa möjliga sätt ta tillvara de möjligheter som ges med ny teknik och att sådan utveckling sker på ett sätt som gagnar alla medborgare och bidrar till ett inkluderande samhälle.
Utmaningar för arbetet med policyutveckling
Den rådande förändringstakten utmanar också befintliga processer för utveckling av policyer. Policyutveckling förekommer som samlingsbegrepp i olika sammanhang. Med policyutveckling avses i direktivet utvecklingen av policyer, t.ex. regelverk i form av författningar och andra föreskrifter, EU-rätt och internationell rätt och dessas tillämpningar samt riktlinjer, standarder, finansiella styrmedel och processer. Flera aktuella frågor är dessutom sektorsövergripande och berör flera politikområden. Det finns särskilda behov av samverkan och koordinering för en effektiv hantering av hinder och nya förslag, såväl nationellt och regionalt mellan myndigheter, organisationer, lärosäten, institut och företag som på EU-nivå och internationellt.
Den svenska traditionen av samverkan är en fördel när det gäller att belysa frågor ur ett helhetsperspektiv. Sverige har ledande företag i många branscher och generellt sett anammar svenskar ny teknik tidigt samt har tilltro till offentlig sektor och myndigheter. Regeringen har inrättat fem samverkansprogram: Nästa generations resor och transporter, Smarta städer, Cirkulär och biobaserad ekonomi, Life Science samt Uppkopplad industri och nya material. De finns beskrivna i propositionen Kunskap i samverkan – för samhällets utmaningar och stärkt konkurrenskraft (prop. 2016/17:50). Såväl inom dessa program som inom ramen för regeringens satsning Testbädd Sverige och på forskningsinstitut fångas policyutvecklande behov upp. Härifrån kommer värdefulla underlag både kring teknikutvecklingens möjligheter och dess konsekvenser. Behoven är ofta både komplexa och tvärsektoriella och i tider av snabb förändring behöver regeringens förmåga stärkas.
Exempel på pågående arbete internationellt och i Sverige
Teknikutvecklingen är global och det förs diskussioner runt policyutveckling bl.a. på EU-nivå. Ett exempel är kommissionens arbetspapper Liability for emerging digital technologies (SWD [2018] 137 final) som bland annat nämner att sakernas internet och automatiserade system, i likhet med andra transformativa teknologier, väcker frågor om ansvar som kräver väl anpassade legala ramverk. Arbetspappret
belyser behovet av ramverk och riktlinjer som främjar innovation och som är förutsägbara.
World Economic Forum (WEF) har tagit initiativ kring policyutveckling för den fjärde industriella revolutionens teknologier genom sitt center i San Francisco, bl.a. i syfte att främja samverkan mellan privat och offentlig sektor. WEF har erbjudit Sverige att delta i det arbetet genom anslutning till centret i San Francisco och medverkan i internationella projekt. WEF erbjuder utöver expertis en intressant samverkansmodell samt inte minst ett internationellt forum för diskussion och spridning av resultat. Länder som Japan, Kina och Indien samarbetar redan med WEF. Sammanfattningsvis ökar betydelsen av internationell samverkan, bland annat för att förstå och lära av andra samt skapa förutsättningar för Sverige och svenska företag att påverka policyer såväl i Europa som globalt.
OECD lyfter i rapporten Going Digital: Policy Review of Sweden (DSTI/CDEP[2018]4) fram behovet av att förstärka arbetet med policylabb och regulatoriska ”sandlådor” där olika samhällsaktörer ska samverka med syfte att stärka Sveriges möjligheter att nå målet att vara bäst i världen på att använda digitaliseringens möjligheter. OECD nämner bland annat att digitaliseringen skapar många nya möjligheter, men också att det krävs integrerade arbetssätt för att snabba på utvecklingen av ramverk och regler. Digitalisering kräver ett multidisciplinärt perspektiv och bland rekommendationerna återfinns mer samarbete, bättre samordning samt ett tydligare mandat för myndigheter att samverka med näringslivet för att stötta framväxten av nya affärsmodeller och innovation.
Transportsektorn är ett exempel på område där det i Sverige pågår arbete med policyutveckling inom nya teknikområden. I mars 2018 presenterade Utredningen om självkörande fordon sitt slutbetänkande Vägen till självkörande fordon – introduktion (SOU 2018:16). I betänkandet går utredningen igenom aktuella regelverk. Vidare beskriver utredningen förutsättningar för att börja använda och utveckla automatiserade fordon på väg inom de närmaste åren. Utredningen belyser bland annat den speciella utmaningen att hantera regelfrågor för ny teknik och nya tillämpningsområden som ännu inte är fullt utvecklade eller i bruk och som väcker behov av nya angreppssätt på policyutveckling.
Avslutningsvis har den offentliga sektorns roll och dess betydelse som aktiv medskapande aktör i innovationsprocesser lyfts inom
ramen för de olika samverkansprogrammen och i Nationella innovationsrådet. Det har lett till ett större fokus på den offentliga sektorns förmåga att identifiera behov och föreslå förändringar i regelverk, tillämpningar och organisation. Det har också diskuterats vad som krävs av förvaltningen för att understödja dessa processer, inklusive återkoppling (s.k. feedback loops) mellan aktörer i systemet, regeltillämpare (myndigheter) och regelsättare (myndigheter, regering och riksdag). Inte minst hos regelgivande myndigheter pågår policyutvecklande projekt samt arbete med att följa den tekniska utvecklingen inom respektive område. Behovet av accelererad policyutveckling inom sektorsövergripande områden har identifierats som en viktig parameter för att stärka Sveriges konkurrenskraft och därmed möjliggöra ökade investeringar, export och fler arbetstillfällen.
Uppdraget
En kommitté ska med en tvärsektoriell ansats främja policyutveckling som bidrar till att skapa goda förutsättningar för stärkt konkurrenskraft och ett inkluderande, tryggt, säkert och effektivt nyttjande av nya lösningar, applikationer och tjänster i samhället.
Kommitténs arbete ska stärka regeringens förmåga att hantera komplexa och sektorsövergripande frågeställningar där särskild vikt ska läggas på frågor där rådande policyer eller avsaknad av sådana hindrar eller hämmar innovation. Att verka för ökat samarbete i syfte att påskynda arbetet med policyutveckling inom prioriterade områden är angeläget. Arbete som redan görs för att bidra till innovation ska tas tillvara och hänsyn ska tas till de krav som ställs för att värna Sveriges säkerhet.
Kommitténs arbete ska i huvudsak ta sin utgångspunkt i prioriteringar och resultat från regeringens fem samverkansprogram och den fjärde industriella revolutionens teknologier. Inledningsvis ska den fokusera på sektorsövergripande och policyutvecklande initiativ kopplade till tillämpningsområdena precisionsmedicin, uppkopplad industri samt uppkopplade och automatiserade fordon, farkoster och system. Kommitténs arbete avgränsas så att det inte ska omfatta offentlig sektors digitalisering eller skatte- och socialavgiftsfrågor.
Vad kommittén ska göra
Kommittén ska, utifrån sitt syfte att främja policyutveckling, bidra till att skapa goda förutsättningar för innovation och stärkt konkurrenskraft i hela landet genom att:
- göra fördjupade analyser av eventuella hinder i form av lagstiftning eller annan osäkerhet om gällande policyer,
- där det är relevant, kartlägga behov av erforderlig anpassning av regelverk,
- kontinuerligt leverera policyutvecklande förslag till regeringen,
- främja dialog mellan relevanta myndigheter, Regeringskansliet, regionala aktörer, organisationer, lärosäten, institut, idéburen sektor och näringsliv för effektiv samverkan kring policyutveckling,
- samordna sina förslag med andra, men också bygga vidare på pågående, policyutvecklande initiativ som exempelvis finns inom ramen för regeringens samverkansprogram, myndigheters uppdrag och olika test och demonstrationsmiljöer även kallade testbäddar, samt
- samverka med internationella aktörer såsom EU-organ, OECD,
World Economic Forum och deras center för policyutveckling samt andra länder som exempelvis de med vilka Sverige har innovationspartnerskap.
Kommitténs organisation
Ledamöterna i kommittén ska ha särskilda erfarenheter av policyutveckling inom offentlig och privat sektor, tvärsektoriellt arbete samt god förståelse för teknikens möjligheter och utmaningar. Därutöver ska juridisk kompetens finnas representerad.
Kommittén ska biträdas av ett sekretariat som efter överenskommelse med World Economic Forum kan placera en person vid WEF:s center för policyutveckling för den fjärde industriella revolutionens teknologier.
Till kommittén ska också knytas experter inom relevanta områden samt en referensgrupp med representanter från näringsliv, lärosäten samt organisationer som är relevanta utifrån kommitténs fråge-
ställningar och representanter från myndigheter, Regeringskansliet och andra offentliga aktörer. Referensgruppen ska bistå kommittén i prioriteringsarbetet.
Konsekvensbeskrivningar
Kommittén ska redovisa förslagens konsekvenser i enlighet med kommittéförordningen (1998:1474) och förordningen om konsekvensutredning vid regelgivning (2007:1244).
Förslagen ska vara analyserade ur ett jämställdhetsperspektiv och särskilt motiverade om de inte bedöms främja jämställdhet. Förslagen ska vidare inkludera klimat- och miljöanalyser, bedömning av följdändringar i annan lagstiftning, samhällsekonomisk kalkyl och analys av förslagens påverkan på den inre marknaden, om det är relevant. Dessutom ska förslag inom transportområdet beakta de transportpolitiska målen. Förslagens kostnader och ekonomiska konsekvenser ska analyseras och redovisas. Om förslagen medför ökade kostnader för stat, landsting eller kommun, ska förslag till finansiering lämnas.
Kontakter och redovisning av uppdraget
Uppdraget förutsätter löpande dialog med berörda aktörer i det svenska innovationssystemet. Arbetet ska därför ske i dialog med berörda myndigheter, Sveriges Kommuner och Landsting, företrädare för innovatörer och företag, liksom företrädare för arbetsgivar- och arbetstagarorganisationer, den idéburna sektorn samt relevanta brukar- och branschorganisationer.
Kommittén ska arbeta i nära dialog med Myndigheten för digital förvaltning, Myndigheten för tillväxtpolitiska utvärderingar och analyser (Tillväxtanalys), Tillväxtverket, Transportstyrelsen samt med Verket för innovationssystem (Vinnova) som inom ramen för ordinarie verksamhet bedriver policyutvecklande projekt med externa aktörer. Kommittén ska också utbyta erfarenheter med relevanta internationella aktörer.
Kommittén ska ha ett utåtriktat och inkluderande arbetssätt och aktivt verka för att skapa goda förutsättningar att få genomslag för sitt arbete. I arbetet ingår också att på olika sätt sprida kunskap i
frågor som berör uppdraget. Kommittén ska beakta pågående arbeten som är relevanta för uppdraget.
De områden som kommittén inledningsvis fokuserar på kan utifrån regeringens prioriteringar komma att förändras eller utökas över tid genom tilläggsdirektiv.
Kommittén ska senast den 15 januari 2019 redovisa en planering för sitt kommande arbete. Planeringen ska bland annat innehålla en beskrivning av kommitténs tänkta arbetssätt samt tidpunkter och form för kontinuerlig redovisning av kommitténs arbete. Därutöver ska kommittén årligen, senast den 31 december, lämna en delrapportering av arbetet dittills och i denna även föreslå nya eller förändrade fokusområden för arbetet. Uppdraget ska slutredovisas senast den 31 december 2021.
(Näringsdepartementet)