SOU 2021:4
Informationsöverföring inom vård och omsorg
Till statsrådet och chefen för Socialdepartementet Lena Hallengren
Genom beslut den 27 juni 2019 beslutade regeringen att tillsätta en särskild utredare med uppdrag att utreda och lämna förslag som rör personuppgiftshantering inom och mellan socialtjänst och hälso- och sjukvård (dir. 2019:37).
Till särskild utredare förordnades från och med den 1 oktober 2019 ordföranden i Arbetsdomstolen Sören Öman.
Som sakkunniga i utredningen förordnades från och med den 15 december 2019 ämnesrådet Jimmy Järvenpää, kanslirådet Henrik Moberg och departementssekreteraren Jenny Wada, samtliga vid Socialdepartementet, samt departementssekreteraren Ingela Alverfors, Infrastrukturdepartementet.
Som experter förordnades från och med den 15 december 2019 avdelningsdirektören Suzanne Isberg, Integritetsskyddsmyndigheten (f.d. Datainspektionen), juristen Maria Jacobsson, E-hälsomyndigheten, juristen Manólis Nymark, Inera AB, juristen Pål Resare, Sveriges Kommuner och Regioner, och juristen Cecilia Östergren, Socialstyrelsen. Ingela Alverfors entledigades från uppdraget från och med den 15 maj 2020 och ersattes från och med den 18 maj 2020 av kanslirådet Nils Fjelkegård, Infrastrukturdepartementet.
Som sekreterare i utredningen har arbetat kammarrättsassessorn Ingrid Floderus från och med den 1 oktober 2019, hovrättsassessorn Magdalena Pettersson från och med den 30 november 2019 och hovrättsassessorn Karin Hagaeus från och med den 1 januari 2020. Magdalena Pettersson avslutade sitt arbete som sekreterare den 31 juli 2020. Hovrättsassessorn Sara Fröding Linebäck har arbetat som sekreterare i utredningen från och med den 28 september 2020.
Utredningen (S 2019:01) har antagit namnet Utredningen om
sammanhållen information inom vård och omsorg.
Härmed får utredningen överlämna delbetänkandet Informa-
tionsöverföring inom vård och omsorg (SOU 2021:4).
Pål Resare, Manólis Nymark och Maria Jacobsson har lämnat ett särskilt yttrande.
Utredningsarbetet fortsätter enligt direktiven (dir. 2019:37 och dir. 2020:112) med återstående utredningsfrågor.
Stockholm i januari 2021
Sören Öman
/Ingrid Floderus Karin Hagaeus
Sammanfattning
Kort sammanfattning
Utredningen föreslår en ny lag om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Till lagen överförs bestämmelserna i patientdatalagen om sammanhållen journalföring och kvalitetsregister. Det är frivilligt för vårdgivare (statliga myndigheter, regioner, kommuner och privata företag som ansvarar för eller bedriver hälso- och sjukvård) och omsorgsgivare (myndigheter och privata företag som ansvarar för eller utför insatser för äldre eller personer med funktionsnedsättningar) att använda de utökade möjligheter att elektroniskt dela dokumentation som lagen ger. Men väljer de att göra det, måste de följa de integritetsstärkande bestämmelser som finns i lagen.
Inom socialtjänsten gäller förslagen bara dokumentation om insatser för äldre eller personer med funktionsnedsättningar. Den som fått eller får sådana insatser eller som fått eller får behovet av sådana insatser bedömda kallas i lagen omsorgsmottagare.
Sammanhållen vård- och omsorgsdokumentation innebär att vård- och omsorgsgivare får göra dokumentation om patienter och omsorgsmottagare elektroniskt tillgänglig mellan sig, om personen inte motsätter sig det. Olika utförare och den ansvariga nämnden inom socialtjänsten kan därmed ta del av varandras dokumentation, liksom vårdgivare kan ta del av socialtjänstens dokumentation och vice versa. En förutsättning för att någon inom vården eller omsorgen ska få ta del av dokumentation hos någon annan är dock enligt huvudregeln att patienten eller omsorgsmottagaren samtycker till det. Särskilda regler gäller för de som inte kan samtycka. Patienten eller omsorgsmottagaren får ges elektronisk tillgång till sin dokumentation och ska på begäran få information om den elektroniska åtkomst som förekommit till dokumentationen om honom eller henne.
Kvalitetsuppföljning innebär i lagen uppföljning av kvaliteten på hälso- och sjukvård, som en region eller kommun ansvarar för, och insatser för äldre eller personer med funktionsnedsättningar, som en region eller kommun ansvarar för, med hjälp av personuppgifter från flera vårdinstanser (myndigheter och privata företag som ansvarar för eller bedriver hälso- och sjukvård) eller omsorgsgivare. Det är bara fullmäktige i den ansvariga regionen eller kommunen som får besluta om kvalitetsuppföljning. I beslutet ska ett preciserat ändamål med behandlingen av personuppgifter anges, liksom vem som är personuppgiftsansvarig och från vilka personuppgifter kommer att samlas in. Även lagringsperioden för personuppgifterna ska anges, och när perioden löpt ut ska personuppgifterna gallras. Patienter och omsorgsmottagare har rätt att motsätta sig att deras personuppgifter används vid kvalitetsuppföljningen och ska få information om den rätten. Identitetsuppgifter ska så långt det är möjligt vara krypterade, och bara så få personer som möjligt får ha tillgång till eventuella krypteringsnycklar. Brottsuppgifter och andra s.k. känsliga personuppgifter än uppgifter om hälsa får bara behandlas med tillstånd av regeringen eller Integritetsskyddsmyndigheten. Personuppgifterna får bara behandlas för kvalitetsuppföljningen, dock att den ansvariga regionen eller kommunen får använda dem för statistik och föreskriven uppgiftsskyldighet får fullgöras.
Vid både sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning gäller vissa integritetsstärkande bestämmelser om tilldelning av behörighet att ta del av personuppgifter, loggning och kontroll av loggar.
Utredningen lämnar vidare två alternativa förslag till en ny sekretessbrytande bestämmelse för socialtjänsten. Enligt det ena förslaget får en verksamhet hos en myndighet (nämnd) inom socialtjänsten som avser insatser för äldre eller personer med funktionsnedsättningar lämna uppgifter till andra sådana verksamheter inom samma kommun. Detta förslag förutsätter att de integritetsstärkande bestämmelserna i förslaget om en ny lag genomförs. Enligt det andra förslaget får alla myndigheter med verksamhet inom socialtjänsten inom samma kommun lämna uppgifter till varandra, om den enskilde inte motsätter sig utlämnandet. Detta förslag förutsätter att ytterligare generella integritetsstärkande bestämmelser införs i lagen om behandling av personuppgifter inom socialtjänsten, som i huvudsak motsvarar de som finns i patientdatalagen.
Utredningen föreslår slutligen en sekretessbrytande bestämmelse som innebär att en myndighet med hälso- och sjukvårdsverksamhet får lämna uppgifter till en enskild med sådan verksamhet som myndigheten anlitat, om uppgifterna behövs i den individinriktade hälso- och sjukvården.
Bestämmelserna ska enligt förslaget börja gälla den 1 juli 2022. Eftersom det är frivilligt att använda de möjligheter den nya lagen ger, bedöms lagen i sig inte föra med sig några ekonomiska konsekvenser.
Representanterna i utredningen från Sveriges Kommuner och Regioner, Inera AB och E-hälsomyndigheten, som generellt är positiva till utredningens förslag, lämnar ett särskilt yttrande på ett par punkter om kvalitetsuppföljning.
Längre sammanfattning
Bakgrund
Hälso- och sjukvården och socialtjänsten har under de senaste decennierna genomgått stora strukturförändring. Dessa förändringar har påverkat förutsättningarna för att bedriva hälso- och sjukvård och socialtjänst. Hit hör ökningen av antalet utförare som är verksamma inom hälso- och sjukvård och socialtjänst, och den demografiska förändringen med en ökande andel äldre i befolkningen. Därtill har det skett en snabb teknisk utveckling. Den tekniska utvecklingen, och de effektivitetsvinster som den kan medföra, har lett till en allt högre grad av digitalisering i hälso- och sjukvård och socialtjänst.
Det har kommit signaler från flera håll om att sättet att bedriva vård och omsorg kommer att behöva förändras för att regioner och kommuner ska kunna klara sitt uppdrag att leverera god och säker vård och omsorg även i framtiden. Som ett led i detta blir det allt viktigare att utforma de juridiska förutsättningarna för att effektivt och säkert överföra information mellan verksamheter inom hälso- och sjukvård och socialtjänst. Det finns i dag tekniska möjligheter att enkelt överföra digital information på ett sätt som tidigare inte varit möjligt. Samtidigt innebär den ökade digitalisering och möjligheten till elektroniska utlämnanden av känsliga personuppgifter att det uppstår nya sorters risker för intrång i den personliga integriteten.
Gemensamt för utredningens uppdrag, som redovisas i detta delbetänkande, är att de rör frågor om behandling av personuppgifter som innebär att personuppgifter görs tillgängliga mellan olika enheter inom hälso- och sjukvården och socialtjänsten. Det rör sig i princip uteslutande om uppgifter om människors hälsa och livssituation, dvs. information av integritetskänslig karaktär.
Möjligheterna att införa direktåtkomst inom och mellan vissa verksamheter i socialtjänst och hälso- och sjukvård
Överföring inom socialtjänsten av dokumentation om insatser för äldre eller personer med funktionsnedsättningar
Inom hälso- och sjukvården finns möjlighet att på ett enkelt och säkert sätt utbyta information om patienter mellan olika vårdgivare genom bestämmelserna om sammanhållen journalföring i patientdatalagen. Utredningen gör bedömningen att det inom socialtjänsten finns motsvarande behov av att få elektronisk åtkomst till dokumentation om insatser för äldre eller personer med funktionsnedsättningar.
Det finns exempel på verksamheter som i stället för direktåtkomst använder sig av elektroniskt utlämnande som för användaren är identiskt med, eller i vart fall snarlikt direktåtkomst, men är uppbyggt som en s.k. fråga-svar-funktion. Utredningens förslag gäller därför både direktåtkomst annat elektroniskt utlämnande, vilket medför vissa följdjusteringar i patientdatalagen. Direktåtkomsten kombineras med en bestämmelse om absolut sekretess för sådan överskottsinformation som görs tillgänglig, på motsvarande sätt som inom sammanhållen journalföring.
Utredningen har vid en samlad avvägning mellan behoven inom socialtjänsten och risken för integritetsintrång kommit fram till att det är möjligt att tillåta direktåtkomst mellan verksamheter inom socialtjänsten till dokumentation om insatser för äldre eller personer med funktionsnedsättningar om det samtidigt införs vissa integritetsstärkande bestämmelser. Förutsättningarna för elektroniskt utlämnande bör författningsregleras i lag och regleringen bör utformas med sammanhållen journalföring som förebild.
Informationsöverföring mellan socialtjänsten och hälso- och sjukvården
Utredningen gör också bedömningen att det hos verksamheter inom socialtjänsten för äldre eller personer med funktionsnedsättningar och hälso- och sjukvården finns ett tydligt behov av att ta del av varandras dokumentation på ett enkelt och säkert sätt. Även vid överföring av personuppgifter genom direktåtkomst eller annat elektroniskt utlämnande mellan hälso- och sjukvården och socialtjänstens verksamheter för äldre och personer med funktionsnedsättningar finns det stora integritetsrisker. Utredningen har dock vid en samlad avvägning mellan behov och integritetsrisker kommit fram till att det är möjligt att tillåta tillgång genom direktåtkomst eller annat elektronisk utlämnande till personuppgifter mellan verksamheter inom socialtjänsten som avser äldre eller personer med funktionsnedsättningar och hälso- och sjukvården om det samtidigt införs vissa integritetsstärkande bestämmelser. Förutsättningarna för det elektroniska utlämnandet bör författningsregleras i lag. Det framstår som ändamålsenligt att ha regleringen om sammanhållen journalföring i patientdatalagen som utgångspunkt vid utformningen av en sådan reglering.
Sammanhållen vård- och omsorgsdokumentation
Utredningen föreslår därför att det ska bli möjligt att frivilligt inrätta ett system, kallat sammanhållen vård- och omsorgsdokumentation, som ger verksamheter inom socialtjänsten som avser äldre eller personer med funktionsnedsättningar och hälso- och sjukvården möjlighet att få tillgång till varandras vård- och omsorgsdokumentation genom direktåtkomst eller annat elektroniskt utlämnande. Det ska även införas ett antal integritetsstärkande bestämmelser som ska tillämpas av de verksamheter som väljer att använda sig av sådan elektronisk tillgång. Förutsättningarna för sådan elektronisk tillgång ska regleras i lag.
Utredningen bedömer att i de allra flesta fall behöver inte en särskild konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen göras av de verksamheter som inför sammanhållen vård- och omsorgsdokumentation.
Innebörden av sammanhållen vård- och omsorgsdokumentation
Vård- och omsorgsgivare föreslås genom ett eller flera elektroniska system – under vissa förutsättningar – kunna ge eller få tillgång genom direktåtkomst eller annat elektroniskt utlämnande till personuppgifter om insatser för äldre eller personer med funktionsnedsättningar och personuppgifter i vårddokumentation hos andra vård- och omsorgsgivare. Som omsorgsgivare anses myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar (offentlig omsorgsgivare) och juridisk person eller enskild näringsidkare som utför sådana insatser (privat omsorgsgivare). Vårdgivare har samma innebörd som i patientdatalagen. Detta elektroniska system ska benämnas sammanhållen vård-
och omsorgsdokumentation.
Nödvändiga sekretessbrytande bestämmelser införs för att uppgifter ska kunna göras tillgängliga inom systemet med sammanhållen vård- och omsorgsdokumentation. Absolut sekretess ska gälla för s.k. överskottsinformation vid direktåtkomst.
Tillämpningsområdet för sammanhållen vård- och omsorgsdokumentation
Bestämmelserna om sammanhållen vård- och omsorgsdokumentation ska få tillämpas på vårdgivares behandling av personuppgifter enligt patientdatalagen. Bestämmelserna om får även tillämpas på socialtjänstens dokumentation enligt 11 kap. 5 § socialtjänstlagen avseende insatser för äldre eller personer med funktionsnedsättningar. Bestämmelserna får också tillämpas på dokumentation enligt 21 a § lagen om stöd och service till vissa funktionshindrade (LSS). Med insatser för äldre eller personer med funktionsnedsättningar avses insatser som ges enligt 4 kap. 1 § socialtjänstlagen som dels beskrivs i 3 kap. 6 § första stycket socialtjänstlagen (hemtjänst, dagverksamheter eller annan liknande social tjänst för att underlätta för den enskilde att bo hemma och att ha kontakt med andra) och lämnas till äldre och personer med funktionsnedsättningar, dels beskrivs i 5 kap.5 och 7 §§socialtjänstlagen. Detta inbegriper därmed insatser till livsföring i övrigt som innebär stöd i daglig livsföring i form av hemtjänst, dagverksamhet, korttidsvistelse, boendestöd, kontaktperson och särskild boendeform. Även dokumentation av
insats i form av hemtjänst till äldre enligt 4 kap. 2 a § socialtjänstlagen, som lämnas utan föregående behovsprövning ingår. Slutligen räknas även samtliga insatser enligt LSS som insatser för äldre eller personer med funktionsnedsättningar.
Bestämmelserna om sammanhållen vård- och omsorgsdokumentation får bara tillämpas på socialtjänstens dokumentation om dokumentationen förs för varje enskild person för sig.
Förutsättningar för tillgång till personuppgifter genom sammanhållen vård- och omsorgsdokumentation
Utredningen föreslår att de förutsättningar som ska gälla för vård- och omsorgsgivares tillgång till personuppgifter genom sammanhållen vård- och omsorgsdokumentation, ska motsvara de som gäller för vårdgivares tillgång till personuppgifter genom sammanhållen journalföring enligt patientdatalagen. Regleringen ska därför innehålla ett antal integritetshöjande bestämmelser.
- Tillgång till personuppgifter genom sammanhållen vård- och omsorgsdokumentation får bara avse personuppgifter som behandlas för vårddokumentation eller för att ansvara för eller utföra insatser för äldre eller personer med funktionsnedsättningar eller administration eller dokumentation av sådana insatser.
- Uppgifter om en enskild får inte göras tillgängliga för andra vård- eller omsorgsgivare om den enskilde motsätter sig det. Innan uppgifter görs tillgängliga, ska den enskilde informeras om vad den sammanhållna vård- och omsorgsdokumentation innebär och om att den enskilde kan motsätta sig att uppgifter görs tillgängliga på detta sätt.
- Den enskilde måste aktivt ha lämnat sitt samtycke till att en vård- eller omsorgsgivare tar del av personuppgifter som en annan vård- eller omsorgsgivare gjort tillgängliga innan detta kan ske.
- En omsorgsgivare får bara behandla uppgifter som en annan vård- eller omsorgsgivare gjort tillgängliga om uppgifterna rör en enskild som får omsorgsgivarens insatser eller är föremål för en utredning om att få sådana insatser, uppgifterna kan antas ha betydelse för omsorgsgivarens insatser för den enskilde eller utredning om insatser och den enskilde samtycker till det.
- För att en vårdgivare ska få behandla uppgifter som andra vård- och omsorgsgivare gjort tillgängliga gäller samma förutsättningar som tidigare gällt för sammanhållen journalföring. Det får alltså bara ske om uppgifterna rör en patient som det finns en aktuell patientrelation med, uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården, eller för att bedöma behovet av eller utföra insatser enligt lagen om koordineringsinsatser för sjukskrivna patienter och patienten samtycker till det.
- Särskilda bestämmelser ska gälla om den enskilde inte kan samtycka.
- Den enskilde får medges åtkomst till sina personuppgifter och annan dokumentation genom direktåtkomst eller annat elektroniskt utlämnande.
- Det anges uttryckligen i lagen att vård- eller omsorgsgivaren är personuppgiftsansvarig för den behandling av personuppgifter som vård- eller omsorgsgivaren utför vid sammanhållen vård- och omsorgsdokumentation. I en region och en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Det framgår också tydligt att personuppgiftsansvaret omfattar även sådan behandling av personuppgifter som utförs när vård- eller omsorgsgivaren genom direktåtkomst eller annat elektronisk utlämnande i ett enskilt fall bereder sig tillgång till personuppgifter hos andra vård- och omsorgsgivare.
- Vård- och omsorgsgivare ska ha ansvar för tilldelning av behörighet och kontroll av elektronisk åtkomst till personuppgifter.
- En enskild ska ha rätt att på begäran få information om vilken elektronisk åtkomst som förekommit till uppgifter om honom eller henne (logglistor). Den enskilde får ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till denna information.
Samma principer som gäller inom sammanhållen journalföring i patientdatalagen för bevarande och gallring ska gälla inom sammanhållen vård- och omsorgsdokumentation.
Utvidgade möjligheter till informationsöverföring för kvalitetsuppföljning inom vård- och omsorg
Informationsöverföring för kvalitetsuppföljning inom vård och omsorg
Utredningen bedömer att det finns ett klart behov av att kunna genomföra kvalitetsuppföljning med personuppgifter från flera vårdinstanser (myndigheter och privata företag som ansvarar för eller bedriver hälso- och sjukvård) eller omsorgsgivare. Kvalitetsuppföljningen ger regioner och kommuner möjlighet att följa upp all den offentligt finansierade vård eller omsorg som de ansvarar för. Privata vårdinstanser och omsorgsgivare har däremot inte ett lika uttalat behov av att inhämta personuppgifter från andra vårdinstanser eller omsorgsgivare för kvalitetsuppföljning.
Behoven och vinsterna med kvalitetsuppföljning med personuppgifter från flera vårdinstanser eller omsorgsgivare överväger integritetsriskerna. Detta förutsätter dock att vissa integritetsstärkande bestämmelser införs.
Utredningen föreslår därför att det införs bestämmelser som ger möjlighet till kvalitetsuppföljning för regioner och kommuner när det gäller hälso- och sjukvård och insatser för äldre eller personer med funktionsnedsättningar inom socialtjänsten med personuppgifter från flera vårdinstanser eller omsorgsgivare. Förutsättningarna för sådan kvalitetsuppföljning bör regleras i lag.
En särskild konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen behöver göras inför i princip varje kvalitetsuppföljning.
Innebörden av kvalitetsuppföljning
Kvalitetsuppföljning definieras som uppföljning av kvaliteten på hälso- och sjukvård som en huvudman (region eller kommun) ansvarar för enligt hälso- och sjukvårdslagen och insatser för äldre eller personer med funktionsnedsättningar som en region eller kommun ansvarar för enligt socialtjänstlagen och LSS. Kvalitetsuppföljning omfattar sådana åtgärder som på olika sätt syftar till och är ägnade att förbättra eller utveckla vården och omsorgen. Tanken är inte att kvalitetsuppföljning ska användas för att följa upp hur vården eller omsorgen fallit ut på individnivå, utan kvalitetsuppföljning är något
som ska ske på verksamhetsnivå och ta sikte på större skeden och processer.
Personuppgifter ska utan hinder av patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten och anknytande föreskrifter samt hälso- och sjukvårds- och socialtjänstsekretess få lämnas ut för att behandlas för sådan kvalitetsuppföljning som är tillåten enligt den föreslagna lagen.
Tillämpningsområdet för kvalitetsuppföljning
Bestämmelserna om kvalitetsuppföljning tillämpas just när personuppgifter från flera vårdinstanser och omsorgsgivare behöver behandlas. Möjligheterna för vård- eller omsorgsgivare till kvalitetsuppföljning med uppgifter från bara den egna organisationen påverkas inte.
Kvalitetsuppföljningen får omfatta sådan hälso- och sjukvård respektive sådana socialtjänstinsatser för äldre eller personer med funktionsnedsättningar som en region eller kommun ansvarar för. En region eller kommun får besluta att följa upp sådan verksamhet som den ansvarar för oberoende av vem som utför verksamheten. Kvalitetsuppföljning av rent privat hälso- och sjukvård eller socialtjänst, som inte någon region eller kommun ansvarar för, faller därmed utanför lagens tillämpningsområde.
Den kunskap som genererats inom ramen för kvalitetsuppföljningen får användas på det sätt som regionen eller kommunen finner lämpligt, om uppgifterna helt avidentifierats.
Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.
Kvalitetsuppföljning förutsätter ett beslut av fullmäktige
Behandling av personuppgifter för kvalitetsuppföljning får genomföras bara om fullmäktige i den ansvariga regionen eller kommunen har beslutat om det. Av fullmäktiges beslut ska framgå
- för vilka särskilda och berättigade ändamål som personuppgifterna ska behandlas,
- vilken vårdinstans eller omsorgsgivare som är personuppgiftsansvarig för behandlingen,
- de kategorier av personer som behandlingen gäller,
- de kategorier av personuppgifter som behandlingen gäller,
- från vilka vårdinstanser och omsorgsgivare som personuppgifter kommer att samlas in, och
- den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period. Personuppgifterna ska gallras när denna period löpt ut.
Beslutet kan överklagas enligt formerna för laglighetsprövning i kommunallagen.
Förutsättningar för kvalitetsuppföljning
Kvalitetsuppföljning innebär att stora mängder känsliga personuppgifter kommer att behandlas. Regleringen innehåller därför ett antal integritetsstärkande bestämmelser.
- Personuppgifter får inte behandlas för kvalitetsuppföljning om den enskilde, efter att ha informerats om behandlingen, motsätter sig det (s.k. opt out). Särskilda bestämmelser ska gälla om den enskilde inte kan ta ställning.
- Personuppgifter får som huvudregel bara behandlas för sådan kvalitetsuppföljning som beslutats. Personuppgifterna får dock också behandlas för den ansvariga regionens eller kommunens framställning av statistik och för att fullgöra viss uppgiftsskyldighet.
- Fullmäktige ska i sitt beslut om kvalitetsuppföljning ange vilken vårdinstans eller omsorgsgivare som ska vara personuppgiftsansvarig.
- Innan personuppgifter behandlas för kvalitetsuppföljning ska den som är personuppgiftsansvarig se till att patienten eller omsorgsmottagaren bl.a. får information om rätten att när som helst motsätta sig behandlingen. Om det inte är möjligt att lämna informationen innan behandlingen av personuppgifterna påbörjas, ska den lämnas så snart som möjligt därefter.
- Vid utlämnande av personuppgifter för kvalitetsuppföljning ska uppgifter om patientens eller omsorgsmottagarens identitet vara krypterade på ett sådant sätt att dennes identitet skyddas. Vid den senare behandlingen av personuppgifterna för kvalitetsuppföljning ska uppgifter om patientens eller omsorgsmottagarens identitet också, så långt det är möjligt, vara krypterade på ett sådant sätt att dennes identitet skyddas.
- Om det finns kompletterande uppgifter som gör identifiering möjlig, får bara så få personer som möjligt hos den personuppgiftsansvarige tilldelas behörighet att ta del av dem. Den personuppgiftsansvarige ska se till att åtkomst till de kompletterande uppgifterna och de personuppgifter som inte är föremål för kryptering dokumenteras och kan kontrolleras. Den personuppgiftsansvarige ska också göra systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna.
En ny lag om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning
En gemensam lag
Utredningen föreslår att möjligheten för vård- och omsorgsgivare att ta del av respektive ge tillgång till personuppgifter genom direktåtkomst eller annat elektroniskt utlämnande genom sammanhållen vård- och omsorgsdokumentation regleras i en ny gemensam lag, tillsammans med bestämmelser om kvalitetsuppföljning och de bestämmelser om kvalitetsregister som i dag finns i patientdatalagen, med den mindre justeringen att samordningsnummer jämställs med personnummer. Det är frivilligt för vårdgivare och omsorgsgivare att använda de utökade möjligheterna till elektronisk överföring av information genom sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning som lagen ger.
De nuvarande bestämmelserna om sammanhållen journalföring i 6 kap. patientdatalagen ersätts av bestämmelserna om sammanhållen vård- och omsorgsdokumentation nästan utan ändring i sak. Utlämnandet av uppgifter ska dock kunna ske både genom direktåtkomst och annat elektroniskt utlämnande. En ändring föreslås också beträffande möjligheten att ta del av barns personuppgifter, så att det bara
är när ett barn inte självt kan samtycka som behandling av personuppgifter får ske utan barnets samtycke.
Den nya lagens förhållande till annan reglering
Den gemensamma lagen kompletterar dataskyddsförordningen, patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten samt föreskrifter som har meddelats i anslutning till den lagen. Dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av den gemensamma lagen eller föreskrifter som har meddelats med stöd av den.
Sekretessbrytande bestämmelser för socialtjänsten inom en kommun
Utredningen anser att det finns ett tydligt behov av att utbyta information mellan myndigheter inom socialtjänsten i en och samma kommun, men detta är förknippat med vissa integritetsrisker. Utredningen ser två möjliga sätt att begränsa riskerna med en sekretessbrytande bestämmelse och lämnar i denna del två alternativa förslag: Alternativ A om en begränsad sekretessbrytande bestämmelse och alternativ B om en generell sekretessbrytande bestämmelse. Utredningen förordar inte något av alternativen framför det andra utan har valt att lämna just alternativa förslag.
Det ena förslaget (alternativ A) innebär att det i offentlighets- och sekretesslagen införs en bestämmelse med innebörden att socialtjänstsekretessen enligt 26 kap. 1 § offentlighets- och sekretesslagen inte hindrar att uppgift lämnas från en myndighets verksamhet som avser insatser för äldre eller personer med funktionsnedsättningar till en annan sådan verksamhet i samma kommun. De insatser som avses här är samma som inom sammanhållen vård- och omsorgsdokumentation. Alternativ A innebär alltså att enbart viss myndighetsverksamhet inom socialtjänsten i en kommun omfattas av den sekretessbrytande bestämmelsen. Om alternativ A ska kunna införas, behöver även vissa integritetsstärkande bestämmelser enligt förslaget om en lag om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning genomföras.
Utredningens alternativ B innebär att det i offentlighets- och sekretesslagen införs en generellt sekretessbrytande bestämmelse med innebörden att socialtjänstsekretessen inte hindrar att uppgift lämnas från en myndighet som bedriver socialtjänstverksamhet i en kommun till en annan sådan myndighet i samma kommun. Detta gäller dock inte om den enskilde motsätter sig ett sådant utlämnande. Utredningens alternativ B innebär en sekretessbrytande bestämmelse som gäller för all myndighetsverksamhet inom socialtjänsten i en kommun. För att denna sekretessbrytande bestämmelse ska kunna införas är det dock nödvändigt att införa ytterligare integritetsstärkande regler som kan motverka riskerna med bestämmelsen. Därför ska ett antal bestämmelser införas i SoLPUL som syftar till att stärka enskildas integritet generellt inom socialtjänsten.
Uppgiftslämnande mellan hälso- och sjukvårdsmyndigheter och privata hälso- och sjukvårdsföretag
Det kan finnas olika skäl till att uppgifter om patienter behöver lämnas ut från en hälso- och sjukvårdsmyndighet till ett privat hälso- och sjukvårdsföretag. Typiskt sett rör det sig om att patienter som har fått hälso- och sjukvård hos en hälso- och sjukvårdsmyndighet ska få hälso- och sjukvård hos ett privat hälso- och sjukvårdsföretag som myndigheten har anlitat.
Utredningen anser att övervägande skäl talar för att det bör införas en bestämmelse som bryter hälso- och sjukvårdssekretessen mellan en hälso- och sjukvårdsmyndighet och ett privat hälso- och sjukvårdsföretag som myndigheten har anlitat.
Utredningen föreslår att det i offentlighets- och sekretesslagen införs en bestämmelse med innebörden att hälso- och sjukvårdssekretessen enligt 25 kap. 1 § offentlighets- och sekretesslagen inte hindrar att uppgift lämnas från en myndighet som bedriver verksamhet som avses i det nämnda lagrummet till en enskild som bedriver sådan verksamhet och som myndigheten har anlitat. En förutsättning är att uppgifterna behövs i den individinriktade verksamhet som avses i nämnda lagrum.
Ikraftträdande och övergångsbestämmelser
Utredningen föreslår att den nya lagstiftningen ska träda i kraft den 1 juli 2022. Det behövs bara ett par övergångsbestämmelser.
Konsekvenser
De möjligheter som utredningens förslag om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning ger är frivilliga att tillämpa. Enligt utredningens bedömning förväntas inte förslagen i sig medföra några samhällsekonomiska kostnader. Förslagen kombineras med ett flertal integritetsstärkande åtgärder, som de som väljer att använda möjligheterna måste följa, och bedöms därför inte medföra några oacceptabla konsekvenser för den personliga integriteten.
1. Författningsförslag
Utredningens uppdrag avser flera olika frågor, vilket återspeglas i de förslag utredningen lämnar. För att framhäva att utredningens lagförslag beträffande de olika utredningsfrågorna inte är beroende av att samtliga lagförslag genomförs har utredningen valt att dela upp redovisningen av lagförslagen på de olika utredningsfrågorna i skilda avsnitt. Tanken är alltså att lagförslagen i vart och ett av avsnitten 1.1– 1.4 ska kunna genomföras oberoende av om lagförslagen i övriga avsnitt genomförs.
Ett undantag från det sagda utgör lagförslaget om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning (avsnitt 1.1). Den del av lagförslaget som avser kvalitetsuppföljning (3 kap. i den föreslagna lagen) är inte beroende av den del av lagförslaget som avser sammanhållen vård- och omsorgsdokumentation (2 kap. i den föreslagna lagen) och vice versa, men de har ändå redovisats genom ett förslag till en gemensam lag med anknytande förslag till lagändringar. Att skilja de olika delarna från varandra lagtekniskt har bedömts vara så pass enkelt att utredningen inte ansett att framställningen behöver tyngas av en uttrycklig redovisning av dessa alternativ.
Ett annat undantag är lagförslaget om en begränsad sekretessbrytande bestämmelse inom socialtjänsten (avsnitt 1.3). Det lagförslaget förutsätter att förslaget till en lag om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning (avsnitt 1.1.1) genomförs eller att motsvarande bestämmelser som avses i avsnitt 16.14 och 16.15 införs såvitt avser behandling av personuppgifter för insatser för äldre eller personer med funktionsnedsättningar.
Ett ytterligare undantag är lagförslagen i avsnitt 1.2 och 1.3 om sekretessbrytande bestämmelser inom socialtjänsten som är alternativa. Om en generell sekretessbrytande bestämmelse inom socialtjänsten (avsnitt 1.3) införs, behöver förstås inte dessutom en mer
begränsad sekretessbrytande bestämmelse inom socialtjänsten (avsnitt 1.2) införas.
1.1. Sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning
1.1.1. Förslag till lag (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning
Härigenom föreskrivs följande.
1 kap. Gemensamma bestämmelser
Definitioner
1 § I denna lag används följande uttryck med nedan angiven betydelse.
Uttryck Betydelse
EU:s dataskyddsförordning Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utred-
ningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.
Insatser för äldre eller personer med funktionsnedsättningar
Insatser
1. enligt 4 kap. 1 § socialtjänstlagen (2001:453) som beskrivs i 3 kap. 6 § första stycket socialtjänstlagen och som lämnas till äldre och personer med funktionsnedsättningar,
2. enligt 4 kap. 1 § socialtjänstlagen som beskrivs i 5 kap.5 och 7 §§socialtjänstlagen,
3. enligt 4 kap. 2 a § socialtjänstlagen, och
4. enligt lagen (1993:387) om stöd och service till vissa funktionshindrade.
Kvalitetsuppföljning Uppföljning av kvaliteten på hälso- och sjukvård som en huvudman ansvarar för enligt hälso- och sjukvårdslagen
(2017:30) och insatser för äldre eller personer med funktionsnedsättningar som en region eller kommun ansvarar för enligt socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade.
Omsorgsgivare Myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar (offentlig omsorgsgivare) och juridisk person eller enskild
näringsidkare som utför sådana insatser (privat omsorgsgivare).
Omsorgsmottagare Person som fått eller får insatser för äldre eller personer med funktionsnedsättningar eller som fått eller får behovet av sådana insatser bedömda.
Patient Person som fått, får eller är registrerad för att få hälso- och sjukvård.
Sammanhållen vård- och omsorgsdokumentation
Ett elektroniskt system, som gör det möjligt för en vård- eller omsorgsgivare att ge eller få tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos andra vård- eller omsorgsgivare.
Vårdgivare Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
Vårdinstans Myndighet som har ansvar för eller bedriver hälso- och sjukvård (offentlig vårdinstans) och juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdinstans).
I 4 kap. 1 § finns en definition av kvalitetsregister.
Förhållandet till annan dataskyddsreglering
2 § Denna lag innehåller bestämmelser som kompletterar EU:s dataskyddsförordning, patientdatalagen (2008:355) och lagen (2001:454) om behandling av personuppgifter inom socialtjänsten samt föreskrifter som har meddelats i anslutning till den lagen.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Personuppgifter får utan hinder av patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten och anknytande föreskrifter lämnas ut för att behandlas för sådan kvalitetsuppföljning som är tillåten enligt 3 kap. Vid utlämnande av personuppgifter för kvalitetsuppföljning enligt 3 kap. ska uppgifter om patientens eller omsorgsmottagarens identitet vara krypterade på ett sådant sätt att dennes identitet skyddas.
2 kap. Sammanhållen vård- och omsorgsdokumentation
Tillämpningsområde
1 § Bestämmelserna i detta kapitel får tillämpas på vårdgivares behandling av personuppgifter enligt patientdatalagen (2008:355).
Bestämmelserna i detta kapitel får också tillämpas på omsorgsgivares behandling av personuppgifter enligt lagen (2001:454) om behandling av personuppgifter inom socialtjänsten för dokumentation
1. enligt 11 kap. 5 § socialtjänstlagen (2001:453) avseende insatser för äldre eller personer med funktionsnedsättningar, eller
2. enligt 21 a § lagen (1993:387) om stöd och service till vissa funktionshindrade.
Andra stycket gäller dock bara om dokumentationen förs för varje omsorgsmottagare för sig.
Direktåtkomst eller annat elektroniskt utlämnande av personuppgifter till en annan vård- eller omsorgsgivare
2 § En omsorgsgivare får, under de förutsättningar som anges i 3– 5, 7 och 9 §§, ha tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas av andra omsorgsgivare eller av vårdgivare. En vårdgivare får, under de förutsättningar som anges i 3–6, 8 och 10 §§, ha tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas av andra vårdgivare eller av omsorgsgivare.
En vård- eller omsorgsgivare får dock inte ha tillgång, genom direktåtkomst, till personuppgifter som behandlas av en annan vårdgivare i en utredning enligt lagen (2018:744) om försäkringsmedicinska utredningar. I den lagen finns särskilda bestämmelser om direktåtkomst vid sådana utredningar. En omsorgsgivare får inte heller ha sådan tillgång genom annan elektronisk åtkomst än direktåtkomst. I 4 kap. 2 § andra stycket patientdatalagen (2008:355) finns särskilda bestämmelser om elektronisk åtkomst till personuppgifter som behandlas i sådana utredningar.
Tillgången enligt första stycket får bara avse personuppgifter som behandlas
1. för ändamål som anges i 2 kap. 4 § 1 och 2 patientdatalagen, eller
2. för att ansvara för eller utföra insatser för äldre eller personer med funktionsnedsättningar eller för administration av sådana insatser eller sådan dokumentation som avses i 1 § andra stycket.
Patient- och omsorgsmottagarinflytande vid sammanhållen vård- och omsorgsdokumentation
3 § Om en patient eller omsorgsmottagare motsätter sig det, får uppgifter om patienten eller omsorgsmottagaren inte göras tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation. I sådant fall ska uppgifterna genast spärras. Vårdnadshavaren till ett barn får dock inte spärra uppgifter om barnet. En patient eller omsorgsmottagare kan när som helst begära att den omsorgsgivare eller vårdgivare som har spärrat uppgifterna häver spärren. Vissa uppgifter om en patient får dock göras tillgängliga för andra vårdgivare enligt andra stycket.
Uppgift om att det finns spärrade uppgifter om en patient samt uppgift om vilken vårdgivare som har spärrat uppgifterna får göras tillgängliga för andra vårdgivare genom sammanhållen vård- och omsorgsdokumentation. En annan vårdgivare får ta del av uppgift om vilken vårdgivare som har spärrat uppgifterna endast under de förutsättningar som anges i 10 §.
Innan uppgifter om en patient eller en omsorgsmottagare görs tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation, ska patienten eller omsorgsmottagaren informeras om vad den sammanhållna vård- och omsorgsdokumentation innebär och om att patienten eller omsorgsmottagaren kan motsätta sig att uppgifter görs tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation. En patient ska också informeras om innebörden av andra stycket.
4 § Ospärrade uppgifter om patienten eller omsorgsmottagaren ska göras tillgängliga för de vård- och omsorgsgivare som är anslutna till den sammanhållna vård- och omsorgsdokumentationen. Det ska vidare införas en uppgift i den sammanhållna vård- och omsorgsdokumentationen om att det finns ospärrade uppgifter om patienten eller omsorgsmottagaren. Andra vård- och omsorgsgivare ska kunna ta del av denna uppgift utan att ta del av uppgift om vilken vård- eller omsorgsgivare som har gjort uppgiften tillgänglig och övriga uppgifters innehåll.
5 § En vård- eller omsorgsgivare får göra uppgifter om en patient eller omsorgsmottagare, som inte endast tillfälligt saknar förmåga att ta ställning enligt 3 § första stycket, tillgängliga för de vård- och omsorgsgivare som är anslutna till den sammanhållna vård- och omsorgsdokumentationen, om
1. patientens eller omsorgsmottagarens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts, och
2. det inte finns anledning att anta att patienten eller omsorgsmottagaren skulle ha motsatt sig behandlingen av personuppgifterna.
Vårdgivares tillgång till andras uppgifter genom sammanhållen vård- och omsorgsdokumentation
6 § För att en vårdgivare ska få behandla uppgifter som en annan vårdgivare eller en omsorgsgivare gör tillgängliga genom sammanhållen vård- och omsorgsdokumentation enligt 4 § krävs att
1. uppgifterna rör en patient som det finns en aktuell patientrelation med,
2. uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården, eller för att bedöma behovet av eller utföra insatser enligt lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, och
3. patienten samtycker till det. Vårdgivaren får även behandla sådana uppgifter om
1. uppgifterna rör en patient som det finns eller har funnits en patientrelation med,
2. uppgifterna kan antas ha betydelse för att utfärda ett sådant intyg som avses i 3 kap. 16 § patientdatalagen (2008:355), och
3. patienten samtycker till det. Samtycke enligt första stycket 3 eller andra stycket 3 krävs dock inte, om patienten är ett barn som inte självt kan samtycka.
Omsorgsgivares tillgång till andras uppgifter genom sammanhållen vård- och omsorgsdokumentation
7 § För att en omsorgsgivare ska få behandla uppgifter som en annan omsorgsgivare eller en vårdgivare gör tillgängliga genom sammanhållen vård- och omsorgsdokumentation enligt 4 § krävs att
1. uppgifterna rör en omsorgsmottagare som får omsorgsgivarens insatser för äldre eller personer med funktionsnedsättningar eller är föremål för en utredning om att få sådana insatser från omsorgsgivaren,
2. uppgifterna kan antas ha betydelse för omsorgsgivarens insatser enligt 1, och
3. omsorgsmottagaren samtycker till det. Samtycke enligt första stycket 3 krävs dock inte, om behandlingen avser uppgifter som en annan omsorgsgivare gör tillgängliga och om omsorgsmottagaren är ett barn som inte självt kan samtycka.
När patienten inte kan samtycka
8 § En vårdgivare får ta del av uppgift om vilka andra vård- och omsorgsgivare som har gjort uppgifter tillgängliga enligt 3–5 §§, om patienten inte endast tillfälligt saknar förmåga att lämna samtycke enligt 6 § första stycket 3.
Vårdgivaren får även behandla de uppgifter som avses i 3–5 §§, om
1. vårdgivaren bedömer att dessa kan antas ha betydelse för den vård som är nödvändig med hänsyn till patientens hälsotillstånd,
2. patientens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts, och
3. det inte finns anledning att anta att patienten skulle ha motsatt sig behandlingen av personuppgifterna.
När omsorgsmottagaren inte kan samtycka
9 § En omsorgsgivare får ta del av uppgift om vilka andra omsorgsgivare som har gjort uppgifter tillgängliga enligt 3–5 §§, om omsorgsmottagaren inte endast tillfälligt saknar förmåga att lämna samtycke enligt 7 § första stycket 3.
Omsorgsgivaren får även behandla de uppgifter som avses i 3– 5 §§ som andra omsorgsgivare gjort tillgängliga, om
1. omsorgsgivaren bedömer att dessa kan antas ha betydelse för de insatser för äldre eller personer med funktionsnedsättningar som är nödvändiga med hänsyn till omsorgsmottagarens behov, eller en utredning om sådana insatser,
2. omsorgsmottagarens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts, och
3. det inte finns anledning att anta att omsorgsmottagaren skulle ha motsatt sig behandlingen av personuppgifterna.
Fara för patientens liv eller hälsa
10 § Om det finns spärrade uppgifter om en patient och det finns fara för dennes liv eller det annars finns allvarlig risk för dennes hälsa, får vårdgivaren, om patienten inte kan häva spärren enligt 3 § första stycket, ta del av uppgift om vilken eller vilka vårdgivare som
har spärrat uppgifterna. Om vårdgivaren med ledning av denna uppgift bedömer att de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren.
Om det finns ospärrade uppgifter om en patient och det finns fara för dennes liv eller det annars finns allvarlig risk för dennes hälsa, får vårdgivaren, om patientens samtycke inte kan inhämtas enligt 6 §, ta del av uppgift om vilken eller vilka vårdgivare som har gjort uppgifterna tillgängliga. Om vårdgivaren med ledning av denna uppgift bedömer att ospärrade uppgifter som en annan vårdgivare gjort tillgängliga kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren behandla de ospärrade uppgifterna.
Uttömmande reglering
11 § En vård- eller omsorgsgivare får inte behandla en annan vård- eller omsorgsgivares uppgifter om en patient eller omsorgsmottagare genom sammanhållen vård- och omsorgsdokumentation under andra förutsättningar än dem som anges i 3–10 §§, även om patienten eller omsorgsmottagaren uttryckligen samtycker till det.
Personuppgiftsansvar vid sammanhållen vård- och omsorgsdokumentation
12 § Vård- eller omsorgsgivaren är personuppgiftsansvarig för den behandling av personuppgifter som vård- eller omsorgsgivaren utför vid sammanhållen vård- och omsorgsdokumentation. I en region och en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Personuppgiftsansvaret enligt första stycket omfattar även sådan behandling av personuppgifter som utförs när någon genom direktåtkomst eller annat elektroniskt utlämnande i ett enskilt fall bereds tillgång till personuppgifter hos en annan vård- eller omsorgsgivare.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vem som ska ha personuppgiftsansvar för
övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen vård- och omsorgsdokumentation.
Patientens och omsorgsmottagarens elektroniska tillgång till dokumentation
13 § En vård- eller omsorgsgivare får medge en patient eller omsorgsmottagare tillgång genom direktåtkomst eller annat elektroniskt utlämnande till sådana uppgifter om patienten eller omsorgsmottagaren själv som får lämnas ut till honom eller henne och som en annan vård- eller omsorgsgivare får ha tillgång till enligt 3 §.
Patienten eller omsorgsmottagaren får också medges tillgång genom direktåtkomst eller annat elektroniskt utlämnande till sådan dokumentation som avses i 15 § första stycket1.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst eller annat elektroniskt utlämnande som avses i första stycket.
I 5 kap. 5 § patientdatalagen (2008:355) finns det ytterligare bestämmelser om patientens tillgång genom direktåtkomst eller annat elektroniskt utlämnande till uppgifter hos vårdgivare om patienten själv.
Tilldelning av behörighet för intern elektronisk åtkomst och kontroll av elektronisk åtkomst
14 § Omsorgsgivaren ska bestämma villkor för tilldelning av behörighet till personalen i den egna organisationen för åtkomst till personuppgifter som hålls tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation. Sådan behörighet ska begränsas till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter i fråga om insatser för äldre eller personer med funktionsnedsättningar, administration av sådana insatser och dokumentation som avses i 1 § andra stycket.
1 För den händelse utredningens lagförslag i avsnitt 1.3 genomförs samtidigt bör hänvisningen i stället avse 10 a § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet enligt första stycket.
I 4 kap. 2 § patientdatalagen (2008:355) finns det bestämmelser om vårdgivares behörighetstilldelning. Den bestämmelsen gäller även för vårdgivares behörighetstilldelning avseende åtkomst till sammanhållen vård- och omsorgsdokumentation.
Alternativ lagtext2:
14 § I 4 kap. 2 § patientdatalagen (2008:355) finns det bestämmelser om vårdgivares behörighetstilldelning som gäller även för vårdgivares behörighetstilldelning avseende åtkomst till sammanhållen vård- och omsorgsdokumentation. I 4 kap. 3 § patientdatalagen finns det bestämmelser om vårdgivares åtkomstkontroll som gäller även för vårdgivares åtkomstkontroll avseende åtkomst till sammanhållen vård- och omsorgsdokumentation.
I 9 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten finns det bestämmelser om omsorgsgivares behörighetstilldelning. Den bestämmelsen gäller även för omsorgsgivares behörighetstilldelning avseende åtkomst till sammanhållen vård- och omsorgsdokumentation, dock att behörigheten ska begränsas till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter i fråga om insatser för äldre eller personer med funktionsnedsättningar, administration av sådana insatser och dokumentation som avses i 1 § andra stycket. I 10 § lagen om behandling av personuppgifter inom socialtjänsten finns det bestämmelser om omsorgsgivares åtkomstkontroll som gäller även för omsorgsgivares åtkomstkontroll avseende åtkomst till sammanhållen vård- och omsorgsdokumentation.
15 § Omsorgsgivaren ska se till att åtkomst till personuppgifter som hålls tillgängliga för andra omsorgs- och vårdgivare genom sammanhållen vård- och omsorgsdokumentation dokumenteras och kan kontrolleras. Omsorgsgivaren ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om dokumentation och kontroll enligt första stycket.
2 Alternativ lagtext för den händelse utredningens lagförslag i avsnitt 1.3 genomförs samtidigt.
I 4 kap. 3 § patientdatalagen (2008:355) finns det bestämmelser om vårdgivares åtkomstkontroll. Den bestämmelsen gäller även för vårdgivares åtkomstkontroll avseende åtkomst till sammanhållen vård- och omsorgsdokumentation.
Alternativ lagtext3:
15 § –
Information om den elektroniska åtkomst som förekommit
16 § Omsorgsgivaren ska på begäran av en omsorgsmottagare lämna information om den åtkomst som förekommit till de personuppgifter om omsorgsmottagaren som omsorgsgivaren håller tillgängliga för andra omsorgs- och vårdgivare genom sammanhållen vård- och omsorgsdokumentation.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om information enligt första stycket.
I 8 kap. 5 § (2008:355) patientdatalagen finns det bestämmelser om motsvarande skyldighet för vårdgivare.
Alternativ lagtext4:
16 § I 8 kap. 5 § patientdatalagen (2008:355) finns det bestämmelser om vårdgivares skyldighet att på begäran lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit som gäller även i fråga om åtkomst till sammanhållen vård- och omsorgsdokumentation.
I 10 a § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten finns det bestämmelser om skyldighet för den som bedriver verksamhet inom socialtjänsten att på begäran lämna information om den elektroniska åtkomst till uppgifter om den registrerade som förekommit som gäller även i fråga om åtkomst till sammanhållen vård- och omsorgsdokumentation.
3 Alternativ lagtext för den händelse utredningens lagförslag i avsnitt 1.3 genomförs samtidigt. 4 Alternativ lagtext för den händelse utredningens lagförslag i avsnitt 1.3 genomförs samtidigt.
Bevarande och gallring
17 § När en handling är tillgänglig för flera vård- eller omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation gäller skyldigheten enligt 7 kap. 3 § socialtjänstlagen (2001:453), 23 c § lagen (1993:387) om stöd och service till vissa funktionshindrade eller 3 kap. 17 § patientdatalagen (2008:355) att bevara den bara den vård- eller omsorgsgivare som ansvarar för den.
Om en handling är tillgänglig för en myndighet bara genom sammanhållen vård- och omsorgsdokumentation och myndigheten inte ansvarar för den, får myndigheten gallra handlingen från sitt arkiv.
3 kap. Kvalitetsuppföljning
Tillämpningsområde
1 § Bestämmelserna i detta kapitel gäller bara för sådan kvalitetsuppföljning som innebär att personuppgifter samlas in från andra vårdinstanser eller omsorgsgivare. Dessa bestämmelser gäller i tillämpliga delar även uppgifter om avlidna personer.
Beslut om kvalitetsuppföljning
2 § Behandling av personuppgifter för kvalitetsuppföljning får genomföras bara om fullmäktige i den ansvariga regionen eller kommunen har beslutat om det. Av beslutet ska framgå
1. för vilka särskilda och berättigade ändamål som personuppgifterna ska behandlas,
2. vilken vårdinstans eller omsorgsgivare som är personuppgiftsansvarig för behandlingen,
3. de kategorier av personer som behandlingen gäller,
4. de kategorier av personuppgifter som behandlingen gäller,
5. från vilka vårdinstanser och omsorgsgivare som personuppgifter kommer att samlas in, och
6. den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
Personuppgifterna ska gallras när perioden enligt första stycket 6 löpt ut.
Bestämmelser om hur beslutet överklagas finns i 13 kap. kommunallagen (2017:725).
Ändamål
3 § Personuppgifter får behandlas för kvalitetsuppföljning enligt detta kapitel.
Personuppgifter som behandlas för kvalitetsuppföljning enligt detta kapitel får också behandlas för
1. den ansvariga regionens eller kommunens framställning av statistik, och
2. fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (2009:400).
Personuppgifter som behandlas för kvalitetsuppföljning får inte behandlas för några andra ändamål än de som anges i första och andra stycket.
Patientens eller omsorgsmottagarens inställning till kvalitetsuppföljningen
4 § Personuppgifter får inte behandlas för kvalitetsuppföljning som beslutats enligt denna lag, om patienten eller omsorgsmottagaren motsätter sig det.
5 § För en patient eller omsorgsmottagare som inte endast tillfälligt saknar förmåga att ta ställning enligt 4 § får personuppgifter behandlas för kvalitetsuppföljning, om
1. hans eller hennes inställning till sådan behandling så långt som möjligt klarlagts, och
2. det inte finns anledning att anta att han eller hon skulle ha motsatt sig behandlingen.
Information
6 § Innan personuppgifter behandlas för kvalitetsuppföljning ska den som är personuppgiftsansvarig se till att patienten eller omsorgsmottagaren, utöver den information som ska lämnas enligt annan författning eller EU:s dataskyddsförordning, får information om rätten att när som helst motsätta sig behandlingen.
Om det inte är möjligt att lämna informationen innan behandlingen av personuppgifterna påbörjas, ska den lämnas så snart som möjligt därefter.
Kryptering
7 § Vid behandling av personuppgifter för kvalitetsuppföljning ska uppgifter om patientens eller omsorgsmottagarens identitet så långt det är möjligt vara krypterade på ett sådant sätt att dennes identitet skyddas.
Om det finns kompletterande uppgifter som gör identifiering möjlig, får bara så få personer som möjligt hos den personuppgiftsansvarige tilldelas behörighet att ta del av dem.
Tilldelning av behörighet för åtkomst och kontroll av åtkomst
8 § Den personuppgiftsansvarige ska bestämma villkor för tilldelning av behörighet för åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig. Sådan behörighet ska begränsas till så få personer som möjligt hos den personuppgiftsansvarige och till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet enligt första stycket.
I 4 kap. 2 § patientdatalagen (2008:355) finns det bestämmelser om vårdgivares behörighetstilldelning. Den bestämmelsen gäller även för vårdgivares behörighetstilldelning avseende åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig.
Alternativ lagtext5:
8 § I 4 kap. 2 § patientdatalagen (2008:355) finns det bestämmelser om vårdgivares behörighetstilldelning som gäller även för vårdinstansers behörighetstilldelning avseende åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig, dock att behörigheten ska begränsas till så få personer som möjligt hos den personuppgiftsansvarige. I 4 kap. 3 § patientdatalagen finns det bestämmelser om vårdgivares åtkomstkontroll som gäller även för vårdinstansers åtkomstkontroll avseende åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig.
I 9 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten finns det bestämmelser om omsorgsgivares behörighetstilldelning som gäller även för omsorgsgivares behörighetstilldelning avseende åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig, dock att behörigheten ska begränsas till så få personer som möjligt hos den personuppgiftsansvarige. I 10 § lagen om behandling av personuppgifter inom socialtjänsten finns det bestämmelser om omsorgsgivares åtkomstkontroll som gäller även för omsorgsgivares åtkomstkontroll avseende åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig.
9 § Den personuppgiftsansvarige ska se till att åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig dokumenteras och kan kontrolleras. Den personuppgiftsansvarige ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om dokumentation och kontroll enligt första stycket.
Alternativ lagtext6:
9 § –
5 Alternativ lagtext för den händelse utredningens lagförslag i avsnitt 1.3 genomförs samtidigt. 6 Alternativ lagtext för den händelse utredningens lagförslag i avsnitt 1.3 genomförs samtidigt.
Känsliga personuppgifter
10 § Personuppgifter om hälsa får behandlas för kvalitetsuppföljning som beslutats enligt denna lag. Andra känsliga personuppgifter enligt artikel 9.1 i EU:s dataskyddsförordning får behandlas för kvalitetsuppföljning som beslutats enligt denna lag bara om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.
Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.
Uppgifter om lagöverträdelser
11 § Uppgifter om lagöverträdelser som avses i artikel 10 i EU:s dataskyddsförordning får behandlas för kvalitetsuppföljning som beslutats enligt denna lag bara om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.
4 kap. Nationella och regionala kvalitetsregister inom hälso- och sjukvården
Inledande bestämmelse
1 § Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra hälso- och sjukvårdens kvalitet. Kvalitetsregistren ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå. Bestämmelserna i detta kapitel gäller för nationella och regionala kvalitetsregister i vilka personuppgifter samlas in från flera vårdgivare.
Patientens inställning till behandling i kvalitetsregister
2 § Personuppgifter får inte behandlas i ett nationellt eller regionalt kvalitetsregister, om patienten motsätter sig det.
Om patienten motsätter sig behandlingen av personuppgifterna sedan den påbörjats, ska uppgifterna utplånas ur registret så snart som möjligt.
3 § För en patient som inte endast tillfälligt saknar förmåga att ta ställning enligt 2 § första stycket får personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister, om
1. hans eller hennes inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts, och
2. det inte finns anledning att anta att han eller hon skulle ha motsatt sig behandlingen.
Personuppgifter i ett kvalitetsregister ska så snart som möjligt utplånas, om det efter att behandlingen av personuppgifterna har påbörjats finns anledning att anta att patienten skulle motsätta sig den.
Information
4 § Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister ska den som är personuppgiftsansvarig se till att patienten, utöver den information som ska lämnas enligt annan författning eller EU:s dataskyddsförordning, får information om rätten att när som helst få uppgifter om sig själv utplånade ur registret.
Om det inte är möjligt att lämna informationen innan behandlingen av personuppgifterna påbörjas, ska den lämnas så snart som möjligt därefter.
Kvalitetsregisters ändamål
5 § I stället för vad som anges i 2 kap.4 och 5 §§patientdatalagen (2008:355) gäller att personuppgifter i nationella och regionala kvalitetsregister får behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra hälso- och sjukvårdens kvalitet.
6 § Personuppgifter som behandlas för det ändamål som anges i 5 § får också behandlas för ändamålen
1. framställning av statistik,
2. forskning inom hälso- och sjukvården,
3. utlämnande till den som ska använda uppgifterna för ändamål som anges i 1 och 2 eller i 5 §, och
4. fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (2009:400).
7 § Personuppgifter i nationella och regionala kvalitetsregister får inte behandlas för några andra ändamål än de som anges i 5 och 6 §§.
Personuppgiftsansvar
8 § Endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister.
Regeringen eller den myndighet som regeringen bestämmer får besluta om undantag från första stycket.
I 2 kap. 6 § patientdatalagen (2008:355) finns allmänna bestämmelser om personuppgiftsansvar.
Personuppgifter som får behandlas
9 § Endast sådana personuppgifter som behövs för det ändamål som anges i 5 § får behandlas i ett nationellt eller regionalt kvalitetsregister.
En patients personnummer, samordningsnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för det ändamål som anges i 5 § att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till patienten.
Uppgifter om hälsa får behandlas i nationella och regionala kvalitetsregister. Andra känsliga personuppgifter enligt artikel 9.1 i EU:s dataskyddsförordning får behandlas i nationella och regionala kvalitetsregister endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.
Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.
10 § Uppgifter om lagöverträdelser som avses i 2 kap. 7 § patientdatalagen (2008:355) får behandlas i nationella och regionala kvalitetsregister endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.
Utlämnande genom direktåtkomst
11 § En vårdgivare får ha direktåtkomst till de uppgifter som vårdgivaren lämnat till ett nationellt eller regionalt kvalitetsregister.
Bevarande och gallring
12 § Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska gallras när de inte längre behövs för det ändamål som anges i 5 §.
En arkivmyndighet inom en region eller en kommun får dock föreskriva att personuppgifter i ett nationellt eller regionalt kvalitetsregister som förs inom regionen eller kommunen får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Om regeringen eller den myndighet regeringen bestämt har meddelat föreskrifter enligt 8 § andra stycket, får regeringen eller myndigheten också föreskriva att personuppgifter får bevaras för sådana ändamål.
1. Denna lag träder i kraft den 1 juli 2022.
2. Bestämmelserna i 4 kap. 2 och 3 §§ gäller inte för personuppgifter som behandlats i nationella och regionala kvalitetsregister före den 1 juli 2009.
3. Bestämmelsen i 2 kap. 2 § andra stycket ska inte tillämpas på försäkringsmedicinska utredningar som Försäkringskassan begärt före den 1 januari 2019.
1.1.2. Förslag till lag om ändring i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten
Härigenom föreskrivs i fråga om lagen (2001:454) om behandling av personuppgifter inom socialtjänsten att 4 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 §7
Denna lag innehåller bestämmelser som kompletterar EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning finns ytterligare bestämmelser om behandling av personuppgifter inom socialtjänsten.
Denna lag träder i kraft den 1 juli 2022.
7 Senaste lydelse 2018:440.
1.1.3. Förslag till lag om ändring i patientdatalagen (2008:355)
Härigenom föreskrivs i fråga om patientdatalagen (2008:355)
dels att 6 kap. ska upphöra att gälla,
dels att 1 kap. 3 och 4 §§, 2 kap. 2, 3, 4 och 6 §§, 3 kap. 1 §,
5 kap. 4 och 5 §§ och 8 kap. 6 och 7 §§ ska ha följande lydelse,
dels att rubrikerna närmast före 5 kap. 4 § och 8 kap. 7 § ska ha
följande lydelse.
1 kap.
3 §8
Nuvarande lydelse
I denna lag används följande uttryck med nedan angiven betydelse.
Uttryck Betydelse
Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utred-
ningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.
8 Senaste lydelse 2019:1299.
Journalhandling Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.
Patientjournal En eller flera journalhandlingar som rör samma patient.
Sammanhållen journalföring
Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
Vårdgivare Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare). ----------------------------------------------------------------------------
Föreslagen lydelse
I denna lag används följande uttryck med nedan angiven betydelse.
Uttryck Betydelse
Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30),
tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.
Journalhandling Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.
Patientjournal En eller flera journalhandlingar som rör samma patient.
Vårdgivare Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedri-
ver hälso- och sjukvård (privat vårdgivare).
----------------------------------------------------------------------------
Nuvarande lydelse Föreslagen lydelse
1 kap.
4 §9
Denna lag innehåller bestämmelser som kompletterar EU:s dataskyddsförordning, vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Vid behandling av personuppgifter som avses i första stycket gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I lagen ( 0000:000 ) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning finns ytterligare bestämmelser om vårdgivares behandling av personuppgifter inom hälso- och sjukvården.
2 kap.
2 §
Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte i de fall som anges i 4 kap. 4 §, 6 kap. och
7 kap. 2 § eller om något annat
framgår av annan lag eller förordning.
Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte i de fall som anges i 4 kap. 4 § eller om något annat framgår av annan lag eller förordning.
9 Senaste lydelse 2018:447.
3 §
Behandling av personuppgifter som inte är tillåten enligt denna lag får ändå ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte i de fall som anges i 6 kap. 5 § eller om något annat framgår av annan lag eller förordning.
Behandling av personuppgifter som inte är tillåten enligt denna lag får ändå ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte om något annat framgår av annan lag eller förordning.
Regeringen får meddela föreskrifter om att en behandling av personuppgifter som inte är tillåten enligt denna lag inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen.
4 §
Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för
1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,
2. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall,
3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,
4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,
5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller
6. att framställa statistik om hälso- och sjukvården. I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister.
I 4 kap. 5 och 6 §§ lagen
(0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning finns sär-
skilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister.
6 §10
En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I en region och en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Personuppgiftsansvaret enligt första stycket omfattar även sådan behandling av personuppgifter som vårdgivaren, eller den myndighet i en region eller en kommun som är personuppgiftsansvarig, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till personuppgifter om en patient hos en annan vårdgivare eller annan myndighet i samma region eller kommun.
I 6 och 7 kap. finns särskilda bestämmelser om personuppgiftsansvar.
I lagen (0000:000) om sam-
manhållen vård- och omsorgsdokumentation och kvalitetsuppföljning finns särskilda bestäm-
melser om personuppgiftsansvar.
3 kap.
1 §
Vid vård av patienter ska det föras patientjournal. En patientjournal ska föras för varje patient och får inte vara gemensam för flera patienter.
I 6 kap. finns bestämmelser om direktåtkomst till andra vårdgivares uppgifter om patienter genom sammanhållen journal-
föring.
I 2 kap. lagen (0000:000) om
sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning finns bestämmelser om tillgång genom direktåtkomst eller annat elektroniskt utlämnande till andra vårdgivares upp-
gifter om patienter genom sammanhållen vård- och omsorgs-
dokumentation enligt 1 kap. 1 § samma lag.
10 Senaste lydelse 2019:931.
5 kap.
Utlämnande genom
direktåtkomst
Direktåtkomst eller annat
elektroniskt utlämnande
4 §11
Utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning.
Om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun.
Ytterligare bestämmelser om
utlämnande genom
direkt-
åtkomst finns i 5 §, 6 kap och i
7 kap. 9 §.
Ytterligare bestämmelser om direktåtkomst och annat elek-
troniskt utlämnande finns i 5 §
och i 2 kap. och 4 kap. 11 § lagen
( 0000:000 ) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
5 §
En vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2. Den enskilde får under samma förutsättningar medges direktåtkomst till sådan dokumentation som avses i 4 kap. 3 § första stycket första meningen.
En vårdgivare får medge en enskild tillgång genom direktåtkomst eller annat elektroniskt
utlämnande till sådana uppgifter
om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2. Den enskilde får under samma förutsättningar medges tillgång genom direktåtkomst eller annat elektroniskt
utlämnande till sådan doku-
mentation som avses i 4 kap. 3 § första stycket första meningen.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om de
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om de
11 Senaste lydelse 2019:931.
krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst som avses i första stycket.
krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst
eller annat elektroniskt utlämnande som avses i första stycket.
8 kap.
6 §12
Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om
1. den uppgiftsskyldighet som kan följa av lag eller förordning,
2. de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,
3. rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,
4. rätten enligt 5 § att få information om den direktåtkomst och
elektroniska åtkomst som före-
kommit,
4. rätten enligt 5 § att få information om den åtkomst som förekommit,
5. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag, och
6. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling.
6. vad som gäller i fråga om sökbegrepp, direktåtkomst, utlämnande av uppgifter på medium för automatiserad behandling och
annat elektroniskt utlämnande.
I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.
I 2 kap. 3 §, 3 kap. 6 § och 4 kap. 4 § lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning finns ytterligare bestäm-
melser om vilken information som ska lämnas i vissa fall.
12Senaste lydelse 2018:447.
Andra rättigheter enligt denna
lag
Andra rättigheter
7 §
I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 §, 4 kap. 4 §,
6 kap. 2 § samt 7 kap. 2 och 3 §§.
I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 § och 4 kap. 4 §.
Sådana föreskrifter finns även i 2 kap. 3 §, 3 kap.4 och 6 §§ och 4 kap.2 och 4 §§ lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Denna lag träder i kraft den 1 juli 2022.
1.1.4. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400),
dels att 25 kap. 2 och 11 §§ ska ha följande lydelse,
dels att rubriken närmast före 25 kap. 2 § ska ha följande lydelse,
dels att det i lagen ska införas tre nya paragrafer, 26 kap. 1 a, 9 c
och 9 d §§, och närmast före 26 kap. 1 a § en ny rubrik, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
25 kap.
Sammanhållen journalföring Sammanhållen vård- och
omsorgsdokumentation
2 §13
Sekretess gäller hos en myndighet som bedriver verksamhet som avses i 1 § för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en annan vårdgivare enligt bestäm-
melserna om sammanhållen journalföring i patientdatalagen (2008:355), om förutsättningar
enligt 6 kap. 3, 3 a eller 4 § samma lag för att myndigheten ska få behandla uppgiften inte är uppfyllda.
Sekretess gäller hos en myndighet som bedriver verksamhet som avses i 1 § för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig genom
direktåtkomst av en annan vård-
givare eller en omsorgsgivare
enligt 2 kap. lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning, om förutsättningar en-
ligt 2 kap. 6, 8 eller 10 § samma lag för att myndigheten ska få behandla uppgiften inte är uppfyllda.
Om sådana förutsättningar som anges i första stycket är uppfyllda eller myndigheten har behandlat uppgiften enligt nämnda bestämmelser tidigare, gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
13 Senaste lydelse 2014:830.
Andra stycket gäller inte om annat följer av 7, 8 eller 10 § eller 26 kap. 6 §.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
11 §14
Sekretessen enligt 1 § hindrar inte att uppgift lämnas
1. från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun,
2. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i samma region,
3. till en myndighet som bedriver verksamhet som avses i 1 § eller till en enskild vårdgivare enligt det som föreskrivs om
sammanhållen journalföring i patientdatalagen (2008:355),
3. till en myndighet som bedriver verksamhet som avses i 1 § eller 26 kap. 1 § eller till en enskild vård- eller omsorgsgivare enligt det som föreskrivs i 2 kap.
lagen ( 0000:000 ) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning,
4. till ett nationellt eller regionalt kvalitetsregister enligt
4. till ett nationellt eller regionalt kvalitetsregister enligt lagen
om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning,
5. för kvalitetsuppföljning enligt 3 kap. lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning,
5. från en myndighet som
bedriver verksamhet som avses i 1 § inom en kommun eller en region till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon när-
6. från en myndighet som
bedriver verksamhet som avses i 1 § inom en kommun eller en region till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon när-
14 Senaste lydelse 2019:937.
stående till den enskilde lider men om uppgiften röjs, eller
stående till den enskilde lider men om uppgiften röjs, eller
6. till en enskild enligt vad
som föreskrivs i
7. till en enskild enligt vad
som föreskrivs i
– lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål,
– lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål,
– lagen (1991:1129) om rättspsykiatrisk vård,
– lagen (1991:1129) om rättspsykiatrisk vård,
– smittskyddslagen (2004:168),
– smittskyddslagen (2004:168),
– 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.,
– 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.,
– lagen (2006:496) om blodsäkerhet,
– lagen (2006:496) om blodsäkerhet,
– lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler,
– lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler,
– lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller förordning som har meddelats med stöd av den lagen, eller
– lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller förordning som har meddelats med stöd av den lagen, eller
– 2 kap. lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.
– 2 kap. lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.
26 kap.
Sammanhållen vård- och omsorgsdokumentation
1 a §
Sekretess gäller hos en myndighet som bedriver verksamhet som avses i 1 § för uppgift om en enskilds personliga förhållanden som
gjorts tillgänglig genom direktåtkomst av en annan omsorgsgivare eller en vårdgivare enligt 2 kap. lagen ( 0000:000 ) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning, om förutsättningar enligt 2 kap. 7 eller 9 § samma lag för att myndigheten ska få behandla uppgiften inte är uppfyllda.
Om sådana förutsättningar som anges i första stycket är uppfyllda eller myndigheten har behandlat uppgiften enligt nämnda bestämmelser tidigare, gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Detta gäller dock inte om annat följer av 5, 6 eller 7 §.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
9 c §
Sekretessen enligt 1 § hindrar inte att uppgift lämnas till en myndighet som bedriver verksamhet som avses i 1 § eller 25 kap. 1 § eller till en enskild omsorgs- eller vårdgivare enligt vad som föreskrivs om sammanhållen vård- och omsorgsdokumentation i 2 kap. lagen ( 0000:000 ) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
9 d §
Sekretessen enligt 1 § hindrar inte att uppgift lämnas för kvalitetsuppföljning enligt 3 kap. lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Denna lag träder i kraft den 1 juli 2022.
1.2. Begränsad sekretessbrytande bestämmelse inom socialtjänsten
1.2.1. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400) att det ska införas en ny paragraf, 26 kap. 9 c §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
26 kap.
9 c §
Sekretessen enligt 1 § hindrar inte att uppgift lämnas från en myndighets verksamhet som avser insatser
1. enligt 4 kap. 1 § socialtjänstlagen (2001:453) som beskrivs i 3 kap. 6 § första stycket socialtjänstlagen och som lämnas till äldre och personer med funktionsnedsättningar,
2. enligt 4 kap. 1 § socialtjänstlagen som beskrivs i 5 kap. 5 och 7 §§ socialtjänstlagen ,
3. enligt 4 kap. 2 a § socialtjänstlagen , och
4. enligt lagen ( 1993:387 ) om stöd och service till vissa funktionshindrade till en annan sådan verksamhet i samma kommun.
Denna lag träder i kraft den den 1 juli 2022.
1.3. Generell sekretessbrytande bestämmelse inom socialtjänsten
1.3.1. Förslag till lag om ändring i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten
Härigenom föreskrivs i fråga om lagen (2001:454) om behandling av personuppgifter inom socialtjänsten,
dels att 3 och 11 §§ ska ha följande lydelse,
dels att det i lagen ska införas sex nya paragrafer, 3 a, 7 c, 8 a, 9,
10 och 10 a §§, och närmast före 3 a, 7 c, 8 a, 9, 10 och 10 a §§ nya rubriker, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 §15
Lagen tillämpas inte vid behandling av personuppgifter
1. hos domstolar,
2. för forsknings- och statistikändamål, eller
3. som avses i den ursprungliga lydelsen av artikel 2.2 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Bestämmelserna i 3 a § och 7 c § tillämpas vid all behandling av personuppgifter inom socialtjänsten.
Lagens syfte
3 a §
Personuppgifter ska utformas och i övrigt behandlas så att den registrerades integritet respekteras.
15Senaste lydelse 2018:440.
Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem.
Inre sekretess
7 c §
Den som arbetar inom socialtjänsten får ta del av dokumenterade personuppgifter om registrerade endast om han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten.
Den registrerades möjlighet att begränsa elektronisk åtkomst
8 a §
Personuppgifter som behandlas enligt denna lag och som dokumenterats för att lämna den enskilde stöd och omsorg hos en omsorgsenhet eller inom en omsorgsprocess får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan omsorgsenhet eller inom en annan omsorgsprocess inom socialtjänsten, om den registrerade motsätter sig det. I sådana fall ska uppgifterna genast spärras. En spärr enligt första stycket får hävas av en behörig befattningshavare inom socialtjänsten om den registrerade samtycker till det. Vårdnadshavare till ett barn har inte rätt att spärra uppgifter om barnet.
Förbudet mot elektroniskt tillgängliggörande enligt första stycket gäller inte om annat framgår av lag eller förordning.
Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig lämna information till den registrerade om rätten enligt första stycket att begära att uppgifter spärras och rätten att enligt 26 kap. 9 c § offentlighets- och sekretesslagen motsätta sig ett utlämnande av uppgifter.
Tilldelning av behörighet för elektronisk åtkomst
9 §
Den som bedriver verksamhet inom socialtjänsten ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat.
Sådan behörighet ska anpassas och begränsas till vad som behövs för att befattningshavaren ska kunna fullgöra sina arbetsuppgifter inom socialtjänsten.
Ansvar för kontroll av elektronisk åtkomst (loggar)
10 §
Den som bedriver verksamhet inom socialtjänsten ska se till att åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras.
Den som bedriver verksamhet inom socialtjänsten ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter.
Information om elektronisk åtkomst
10 a §
Den som bedriver verksamhet inom socialtjänsten ska på begäran av en registrerad lämna information om den elektroniska åtkomst till uppgifter om den registrerade som förekommit.
11 §
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka som är personuppgiftsansvariga
och om begränsning av den i 6 §
tillåtna behandlingen av personuppgifter samt om sökbegrepp, direktåtkomst och samkörning av personuppgifter.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om
1. vilka som är personupp-
giftsansvariga,
2. begränsning av den i 6 §
tillåtna behandlingen av personuppgifter,
3. sökbegrepp,
4. direktåtkomst,
5. samkörning av personupp-
gifter,
6. tilldelning av behörighet för åtkomst till uppgifter som förs helt eller delvis automatiserat,
7. dokumentation och kontroll av elektronisk åtkomst, och
8. information som ska lämnas till den registrerade om den elektroniska åtkomst till uppgifter om den registrerade som förekommit.
Regeringen får även meddela föreskrifter om när personuppgifter får föras över till tredje
land.
Regeringen får även meddela föreskrifter om när personuppgifter får föras över till tredje-
land.
Denna lag träder i kraft den 1 juli 2022.
1.3.2. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400) att det ska införas en ny paragraf, 26 kap. 9 c §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
26 kap.
9 c §
Sekretessen enligt 1 § hindrar inte att uppgift lämnas från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun. Detta gäller dock inte om den enskilde motsätter sig ett sådant utlämnande.
Denna lag träder i kraft den 1 juli 2022.
1.4. Sekretessbrytande bestämmelse för utlämnanden från offentlig till privat hälso- och sjukvård
1.4.1. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400) att 25 kap. 11 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
25 kap.
11 §16
Sekretessen enligt 1 § hindrar inte att uppgift lämnas
1. från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun,
2. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i samma region,
3. från en myndighet som bedriver verksamhet som avses i 1 § till en enskild som bedriver sådan verksamhet och som myndigheten har anlitat, om uppgiften behövs i den individinriktade verksamhet som avses i 1 §,
3. till en myndighet som be-
driver verksamhet som avses i 1 § eller till en enskild vårdgivare enligt det som föreskrivs om sammanhållen journalföring i patientdatalagen (2008:355),
4. till en myndighet som be-
driver verksamhet som avses i 1 § eller till en enskild vårdgivare enligt det som föreskrivs om sammanhållen journalföring i patientdatalagen (2008:355),
4. till ett nationellt eller
regionalt kvalitetsregister enligt patientdatalagen,
5. till ett nationellt eller
regionalt kvalitetsregister enligt patientdatalagen,
5. från en myndighet som
bedriver verksamhet som avses i 1 § inom en kommun eller en region till annan sådan myndig-
6. från en myndighet som
bedriver verksamhet som avses i 1 § inom en kommun eller en region till annan sådan myndig-
16 Senaste lydelse 2019:937.
het för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs, eller
het för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs, eller
6. till en enskild enligt vad
som föreskrivs i
7. till en enskild enligt vad
som föreskrivs i
– lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål,
– lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål,
– lagen (1991:1129) om rättspsykiatrisk vård,
– lagen (1991:1129) om rättspsykiatrisk vård,
– smittskyddslagen (2004:168),
– smittskyddslagen (2004:168),
– 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.,
– 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.,
– lagen (2006:496) om blodsäkerhet,
– lagen (2006:496) om blodsäkerhet,
– lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler,
– lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler,
– lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller förordning som har meddelats med stöd av den lagen, eller
– lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller förordning som har meddelats med stöd av den lagen, eller
– 2 kap. lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.
– 2 kap. lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.
Denna lag träder i kraft den 1 juli 2022.
2. Utredningsarbetet och delbetänkandet
2.1. Utredningsarbetet
Utredningens direktiv (dir. 2019:37) finns intagna som bilaga till detta delbetänkande.1 Av direktiven framgår att utredningen först ska avlämna ett betänkande – detta delbetänkande – som ska ta upp frågorna om
- möjligheterna att införa direktåtkomst inom och mellan vissa verksamheter i socialtjänst och hälso- och sjukvård,
- utvidgade möjligheter till informationsöverföring för kvalitetsuppföljning mellan bl.a. vårdgivare i hälso- och sjukvård och kommunala nämnder, och
- möjligheterna att införa sekretessbrytande bestämmelser för viss hantering av personuppgifter i socialtjänst och hälso- och sjukvård.
Utredningen har bedrivits på sedvanligt sätt med regelbundna sammanträden och andra kontakter med experter och sakkunniga. Sammanlagt har sex utredningssammanträden hållits. Därutöver har en hearing hållits med inbjudna företrädare från ett antal regioner och kommuner samt från vårdinstanser, omsorgsgivare och andra berörda organisationer. Inför hearingen har ett antal frågeställningar skickats ut som diskuterats vid hearingen. Efteråt har inbjudna aktörer fått möjlighet att ge in sina synpunkter i skriftlig form.
Utredningen har haft kontakter med ett antal andra utredningar som har haft närliggande uppdrag inom hälso- och sjukvård och om-
1 Utredningen har sedermera fått tilläggsdirektiv (dir. 2020:112) med ytterligare utredningsfrågor som ska redovisas först i utredningens slutbetänkande.
sorg enligt vad som föreskrivits i direktiven. Dessa kontakter har i huvudsak skett genom telefonkontakter eller digitala möten. Vid något tillfälle har ett fysiskt möte hållits. Utredningen haft samråd med företrädare för Utredningen Sammanhållen kunskapsstyrning (S 2018:12),
Utredningen om välfärdsteknik i äldreomsorgen (S 2018:11), Framtidens socialtjänst (S 2017:03) och Samordnad utveckling för god och nära vård
(S 2017:01).
Utöver vad som föreskrivits i direktiven har utredningen haft kontakt med Utredningen om en sammanhållen god och nära vård för barn
och unga (S 2019:05) och utredningen Stärkt assistans (S 2020:01). Ut-
redningen har även haft ett möte med företrädare för Inspektionen för vård och omsorg.
2.2. Delbetänkandets disposition
Betänkandet är indelat i tre delar, förutom detta kapitel och författningsförslagen samt sammanfattningen.
Den första delen, som omfattar kapitel 3–10, innehåller en allmän bakgrund med bl.a. en beskrivning av den rättsliga regleringen av skyddet för personuppgifter. Kapitel 3 innehåller en kort beskrivning av det internationella regelverket. I kapitel 4 beskrivs innehållet i dataskyddsförordningen översiktligt. Kapitel 5 innehåller en redogörelse för bestämmelser om sekretess och tystnadsplikt. I kapitel 6 redogörs för gällande rätt enligt patientdatalagen och i kapitel 7 redogörs för bestämmelser som reglerar dokumentation av personuppgifter inom socialtjänsten. Kapitel 8 innehåller en beskrivning av regleringen av ansvar för vård och omsorg och samverkan mellan vård och omsorg.
En redogörelse för tidigare, närliggande utredningar görs i kapi-
tel 9. I kapitel 10 finns en kort beskrivning av annat pågående lagstift-
ningsarbete som har samband med utredningens uppdrag.
I betänkandets andra del, kapitel 11–20, redogörs för utredningens generella överväganden och förslag. Kapitel 11 innehåller en beskrivning av strukturförändringar i samhället som påverkar förutsättningarna att bedriva hälso- och sjukvård och socialtjänst. Därefter följer kapitel 12 och 13 med allmän motivering av utredningens förslag om sammanhållen vård- och omsorgsdokumentation. Kapi-
tel 14 innehåller allmän motivering av förslaget om kvalitetsupp-
följning inom vård- och omsorg. I kapitel 15–17 presenteras en närmare motivering av utredningens förslag om att samla bestämmelserna i en gemensam lag, lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. I kapitel 18 motiveras vissa följdändringar i annan lagstiftning och i kapitel 19 presenteras den allmänna motiveringen till utredningens förslag om sekretess och tystnadsplikt vid sammanhållen vård- och omsorgsdokumentation respektive kvalitetsuppföljning. I kapitel 20 presenteras motiveringen till utredningens förslag om ytterligare sekretessbrytande bestämmelser inom hälso- och sjukvård och socialtjänst.
I betänkandets tredje del, kapitel 21–23, finns de avslutande kapitlen. I kapitel 21 berörs ikraftträdande och övergångsbestämmelser.
Kapitel 22 innehåller en beskrivning av konsekvenserna av utred-
ningens förslag. En författningskommentar som bl.a. innehåller hänvisningar till de avsnitt där respektive författningsförslag motiveras finns i kapitel 23.
Till betänkandet har fogats ett särskilt yttrande av experterna Pål Resare, Manólis Nymark och Maria Jacobsson.
Som bilaga till betänkandet har fogats utredningens ursprungliga direktiv (dir. 2019:37).
Sidhänvisningar till förarbeten avser den elektroniska versionen på regeringens webbplats.
BAKGRUND
3. Reglering av skyddet för personuppgifter på internationell nivå
3.1. Kort bakgrund
Den enskildes rätt till skydd för personuppgifter är ett utflöde av skyddet för den personliga integriteten och rätten till respekt för privatlivet. Dessa grundläggande rättigheter skyddas både av internationella regelverk och av nationell rätt. För allmänheten är EU:s dataskyddsförordning sannolikt det mest kända regelverket numera. Dataskyddsförordningen är den generella regleringen av personuppgiftsbehandling inom EU. Förordningen fick stor uppmärksamhet i samband med att den skulle börja tillämpas i medlemsstaterna den 25 maj 2018. Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) kompletterar dataskyddsförordningen när det gäller svensk hantering av personuppgifter.
På nationell nivå finns en grundlagsstadgad rätt till skydd för den enskildes personliga integritet i 2 kap. 6 § regeringsformen. Det finns också registerförfattningar som specifikt reglerar behandling av personuppgifter, både sådana som gäller för flera organisationer inom en sektor och sådana som bara gäller för en viss myndighet. Här kan nämnas patientdatalagen (2008:355) och lagen (2001:454) om behandling av personuppgifter inom socialtjänsten som exempel på sektorsspecifika registerförfattningar.
Skyddet för personuppgifter upprätthålls också genom bestämmelser i offentlighets- och sekretesslagen (2009:400), förkortad OSL. Sekretess gäller t.ex. för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen (21 kap. 7 § OSL). Offentlighets- och sekretesslagen
innehåller också bestämmelser om sekretess för uppgifter om enskilds hälsotillstånd och andra personliga förhållanden inom hälso- och sjukvården respektive inom socialtjänsten.
I detta och följande avsnitt redogörs det närmare för olika regelverk som skyddar enskildas personuppgifter, både på internationell och på nationell nivå.
3.2. Regeringsformen
Regeringsformen innehåller vissa grundläggande bestämmelser till skydd för den personliga integriteten. Enligt målsättningsstadgandet i 1 kap. 2 § första stycket regeringsformen ska den offentliga makten utövas med respekt bl.a. för den enskilda människans frihet. I fjärde stycket samma paragraf anges att det allmänna ska värna om den enskildes privat- och familjeliv.
Av 2 kap. 6 § andra stycket regeringsformen framgår att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Med enskildas personliga förhållanden avses enligt förarbetena till bestämmelsen vitt skilda slag av information som är knuten till den enskildes person, t.ex. uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel.1 Uttrycket avses ha samma innebörd som i tryckfrihetsförordningen och offentlighets- och sekretesslagen. Även uppgifter som inte är direkt knutna till den enskildes privata sfär, t.ex. uppgift om anställning och uppgift om en persons ekonomi omfattas av uttrycket personliga förhållanden.
När det gäller frågan om samtycke anförs i förarbetena att integritetsskyddet bör ta sikte på sådana åtgärder som den enskilde själv inte kan få kännedom om eller påverka genom ett krav på frivilligt godkännande.
2
Om åtgärden däremot förutsätter den enskildes god-
kännande, kan det intrång som åtgärden innebär normalt inte anses vara av så allvarlig beskaffenhet att den bör omfattas av ett stärkt grundlagsskydd. Detta gäller oberoende av vilka slags uppgifter åtgärden eller behandlingen avser. I förarbetena hänvisas till den då
1Prop. 2009/10:80 s. 177. 2Prop. 2009/10:80 s. 178.
gällande personuppgiftslagen (1998:204). Det anfördes att den regleringen kan tjäna som vägledning vid bedömningen av vad som fordras för att en åtgärd ska falla utanför grundlagsskyddet redan på grund av att den vidtas med den enskildes samtycke. De krav som nämns i förarbetena är att de berörda personerna tillfrågats om samtycke och att de därvid fick all den information som kunde tänkas påverka deras beslut att tillåta behandlingen.3
Vid bedömningen av om en åtgärd ska anses innebära övervakning eller kartläggning är det, enligt förarbetena, inte åtgärdens huvudsakliga syfte utan vilken effekt åtgärden har som är avgörande.4Exempelvis kan en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda ärenden i många fall anses innebära kartläggning av enskildas förhållanden, även om kartläggning inte är avsikten.5 Ett annat exempel som nämns är de myndighetsspecifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering som förekommer inom i stort sett all statlig och kommunal förvaltning. Det konstateras att uppgifterna i flertalet fall är tillgängliga för myndigheterna på sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat.
Grundlagsskyddet omfattar endast betydande integritetsintrång och i förarbetena betonas att grundlagsbestämmelsen bara omfattar vissa kvalificerade intrång i den personliga integriteten.6 Vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden är det enligt förarbetena naturligt att stor vikt läggs vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vidare kan givetvis mängden uppgifter vara en viktig faktor i sammanhanget. I förarbetena hänvisas till att konstitutionsutskottet i flera lagstiftningsärenden som rört myndig-
3Prop. 2009/10:80 s. 179. 4Prop. 2009/10:80 s. 250. 5Prop. 2009/10:80 s. 180. 6Prop. 2009/10:80 s. 183.
heters behandling av personuppgifter framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag och att regeringen vid åtskilliga tillfällen har instämt i denna bedömning.7
Av förarbetena framgår att uppgifternas karaktär och omfattning endast utgör två faktorer att beakta vid bedömningen av vad som kan anses utgöra ett betydande intrång. Exempel på andra omständigheter som bör vägas in är t.ex. ändamålet med behandlingen av uppgifterna och omfattningen av utlämnandet av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen.8
Det skydd för den personliga integriteten som grundlagsbestämmelsen innebär är inte absolut, utan kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. Av 2 kap. 20 § regeringsformen följer att en sådan begränsning endast får ske genom lag. Det ställs också, enligt 2 kap. 21 § regeringsformen, krav på att begränsningarna ska vara nödvändiga för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. En begränsning får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Vidare får begränsningen inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.
Av förarbetena framgår att en önskad följd av regleringen bl.a. är att lagstiftaren tydligt ska redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen. Detta kan, enligt förarbetena, förväntas öka förutsättningarna för att avvägningarna i fråga om integritetsintrånget blir mer ingående belysta och att de presenteras på ett sådant sätt att kvaliteten i lagstiftningen höjs.9 Vid proportionalitetsbedömningen ska det intrång som sker i den enskildes personliga integritet vägas mot de fördelar som intrånget innebär. För att en reglering som inskränker integriteten ska vara tillåten ska intrånget vara befogat och stå i rimlig proportion till de fördelar som intrånget bidrar med till det motstående intresset. Ytterligare ett krav är att det inte finns några mindre integritetskänsliga alternativ.
Skyddet enligt 2 kap. 6 § andra stycket regeringsformen kan endast inskränkas genom svensk lag. Den rätt att behandla personuppgifter
7Prop. 2009/10:80 s. 183. I propositionen hänvisas till bet. 1990/91:KU11 s. 11, 1997/98:KU18 s. 43, prop. 1997/98:44 s. 41 och prop. 1999/2000:39 s. 78. 8Prop. 2009/10:80 s. 184. 9Prop. 2009/10:80 s. 177.
som följer av dataskyddsförordningen gör därmed inte att myndigheter får behandla personuppgifter i strid med 2 kap. 6 § andra stycket regeringsformen.
3.3. Internationell nivå
3.3.1. FN:s förklaring om de mänskliga rättigheterna
Förenta nationerna (FN) antog år 1948 den allmänna förklaringen om de mänskliga rättigheterna. Förklaringen är inte formellt bindande för medlemsstaterna, men ses som ett uttryck för sedvanerättsliga regler.
FN:s förklaring om de mänskliga rättigheterna innehåller artiklar som skyddar privatlivet och den personliga integriteten. Ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp (artikel 12). En person som utövar sina rättigheter och friheter får endast underkastas sådana inskränkningar som har fastställts i lag. Inskränkningarna får ske i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter samt för att för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd (artikel 29).
3.3.2. Europakonventionen
Den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) skyddar rätten till privat- och familjeliv. För svensk del gäller Europakonvention som lag. Ingen lag eller föreskrift får meddelas i strid med Sveriges åtaganden enligt Europakonventionen (2 kap. 19 § regeringsformen).
Artikel 8 i Europakonventionen, om rätt till skydd för privat- och familjeliv, innehåller följande.
1. Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.
2. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
Artikel 8 har i Europadomstolens praxis ansetts tillämplig också vid behandling av personuppgifter. Bestämmelsen omfattar dock inte all slags behandling av personuppgifter – det måste gälla privatliv, familjeliv, hem eller korrespondens. Europakonventionen tar i första hand sikte på åtgärder som vidtas av det allmänna.
3.3.3. Dataskyddskonventionen
Europarådets ministerkommitté antog 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Dataskyddskonventionen trädde i kraft den 1 oktober 1985 och Sverige anslöt sig till den före EUmedlemskapet. Även övriga medlemsstater i EU är anslutna. Konventionen är det enda rättsligt bindande multilaterala avtalet om personuppgiftsskydd. Konventionens syfte är att skydda den enskildes rätt till integritet och privatliv vid behandling av hans eller hennes personuppgifter.
Efter en översyn antog Europarådets utrikesministermöte i maj 2018 ändringsprotokoll 108. Ändringarna syftar till att modernisera och uppdatera konventionens integritetsskydd utifrån ny informations- och kommunikationsteknik. Syftet med översynen har även varit att anpassa konventionen till andra dataskyddsregler, i synnerhet EU:s dataskyddsförordning.
Dataskyddskonventionen tillämpas på databehandling av personuppgifter i allmän och enskild verksamhet. Konventionen gäller inte för enskilds rent privata verksamhet.
Dataskyddskonventionens kapitel II innehåller de grundläggande principerna för dataskydd. Konventionsstaterna ska vidta nödvändiga åtgärder i sin nationella lagstiftning för att ge principerna effekt (artikel 4).
Behandling av personuppgifter ska vara proportionell i relation till ändamålet med behandlingen och utgöra en balans mellan berörda intressen och motstående rättigheter och friheter. Medlemsstaterna ska se till att behandling av personuppgifter grundas antingen på ett frivilligt, specifikt, informerat och entydigt samtycke eller på någon annan laglig grund (artikel 5 12).
Vid all behandling gäller ett antal grundläggande principer. Det handlar bl.a. om att personuppgifter ska inhämtas och behandlas på ett korrekt och lagligt sätt och för särskilt angivna ändamål. Som huvudregel ska uppgifterna inte senare användas på ett sätt som är oförenligt med dessa ändamål. Personuppgifterna ska vara relevanta med hänsyn till ändamålet och vid behov uppdateras (artikel 5.4).
Särskilda kategorier av personuppgifter är exempelvis uppgifter om genetiska data, biometriska data, uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös tro eller annan övertygelse, hälsa och sexualliv. Sådana uppgifter får bara behandlas, om tillräckliga säkerhetsåtgärder finns i kompletterande nationell lagstiftning (artikel 6).
Lämpliga säkerhetsåtgärder ska vidtas för att skydda personuppgifter mot risker som att obehöriga får tillgång till dem eller att uppgifterna förstörs (artikel 7). Vidare föreskrivs bl.a. att alla som är registrerade i ett personregister ska ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade (artikel 8).
Som huvudregel får staterna inte göra undantag från de grundläggande principerna i dataskyddskonventionen. I undantagsfall får man avvika från principerna, bl.a. under förutsättning att avvikelserna anges i lag och är nödvändiga i ett demokratiskt samhälle för att skydda den registrerades eller andra personers fri- och rättigheter (artikel 11).
Kapitel III innehåller bestämmelser om överföring av personuppgifter över gränserna. En konventionsstat får inte hindra gränsöverskridande överföring av personuppgifter till en annan konventionsstat bara av skäl som rör integritetsskydd (artikel 14.1). Till mottagare som inte är bundna av konventionen, får personuppgifter endast överföras om en godtagbar skyddsnivå kan säkerställas (artikel 14.2).
3.4. Europarådets rekommendationer
3.4.1. Inledning
I anslutning till Europakonventionen har Europarådets ministerkommitté även antagit rekommendationer om behandling av personuppgifter på vissa områden. Rekommendationerna är inte rättsligt bindande på samma sätt som en konvention. Europarådets rekommendationer kan ändå sägas uttrycka en slags europeisk standard som kan ha sin betydelse i olika sammanhang och även åberopas inför domstol eller i administrativa ärenden10.
3.4.2. Europarådets rekommendation om skyddet för hälsouppgifter
En av rekommendationerna antogs 1997 i syfte att förtydliga vad som gäller för personuppgifter om hälsa (hälsouppgifter) enligt artikel 6 i dataskyddskonventionen. Rekommendationen går under beteckningen Recommendation No. R (97) 5 of the Committee of Ministers to
Member States on the protection of medical data. Rekommendationen
är tillämplig på insamling och automatiserad behandling av hälsouppgifter. Verksamhet utanför hälso- och sjukvårdssektorn, som omfattas av lämpliga skyddsåtgärder i nationell rätt omfattas dock inte av rekommendationen. Här följer en översiktlig redogörelse för innehållet i rekommendationen.
Hälsouppgifter ska som huvudregel behandlas endast av sjukvårdspersonal med tystnadsplikt och i övrigt i enlighet med lämpliga säkerhetsåtgärder som ska framgå av nationell rätt (princip 3).
Hälsouppgifter ska i regel samlas in från den registrerade och får behandlas enbart för vissa angivna ändamål. Det ska också finnas stöd för behandlingen i lagstiftning. Ändamålen i rekommendationen avser dels allmänna intressen – folkhälsa, förhindrande av stor fara eller viss brottslighet samt andra allmänna intressen – och dels enskilda intressen. Hälsouppgifter får behandlas för förebyggande hälso- och sjukvård, diagnosticering och behandling av den registrerade eller anhörig med genetisk anknytning, för att skydda den registrerades eller tredje persons grundläggande intressen, för att uppfylla en kontraktuell skyldighet, för att fastställa, göra gällande eller
10 Hans G Nilsson, Europarådet och dess juridiska arbete, i SvJT 1996 s. 549.
försvara rättsliga anspråk eller med stöd av samtycke utom då nationell rätt föreskriver att samtycke inte kan lämnas (princip 4.1–3).
Ett samtycke till behandling av hälsouppgifter ska vara frivilligt, uttryckligt och informerat (princip 6).
Om genetiska uppgifter samlats in för förebyggande hälso- och sjukvård, diagnosticering eller behandling av den registrerade eller för forskning, ska uppgifterna behandlas endast för dessa ändamål. Det kan dock finnas överordnade intressen som motiverar att genetiska uppgifter används även för andra ändamål under förutsättning att lämpliga säkerhetsåtgärder föreskrivs i lagstiftning (princip 4.7–9).
Hälsouppgifter får under vissa förutsättningar lämnas ut, om mottagaren också följer principerna i rekommendationen. Utlämnande får ske endast till den som omfattas av sådan tystnadsplikt som gäller sjukvårdspersonal, eller motsvarande tystnadsplikt. Utlämnande kan också ske med stöd i lagstiftning om det utgör en nödvändig åtgärd i ett demokratiskt samhälle (princip 7).
Den registrerade ska få information om vilka hälsouppgifter som behandlas om honom eller henne, för vilka ändamål de behandlas, varifrån hälsouppgifterna samlats in, till vilka hälsouppgifterna kan komma att lämnas ut, möjligheten att ta tillbaka ett samtycke, vem som är ansvarig för hälsouppgifterna och möjligheten att ta del av och begära rättelse av hälsouppgifterna. Informationsskyldigheten begränsas dock av vissa undantag (princip 5).
Den registrerade ska ha möjlighet att ta del av vilka hälsouppgifter som behandlas om honom eller henne. Begränsningar i rätten att få del av hälsouppgifterna kan göras i lagstiftning om det exempelvis är nödvändigt av skäl som berör allmän säkerhet eller om uppgifterna endast behandlas för statistiska eller forskningsrelaterade skäl och det inte finns någon risk för integritetsintrång (princip 8.1–2).
Den registrerade ska också ha möjlighet att begära rättelse av felaktiga hälsouppgifter och, om begäran av rättelse avslås, kunna överklaga beslutet (princip 8.3).
Lämpliga tekniska och organisatoriska åtgärder ska vidtas för att skydda personuppgifter mot oavsiktlig eller otillåten förstörelse, oavsiktlig förlust samt otillåten tillgång, ändring, utlämnande eller i övrigt otillåten behandling (princip 9). Hälsouppgifter får inte bevaras längre än vad som är nödvändigt för det ändamål för vilket uppgifterna samlats in (princip 10).
Principerna gäller även överföring av hälsouppgifter till andra länder. Överföring ska som utgångspunkt inte ske till länder som inte tillhandahåller sådant skydd som dataskyddskonventionen och rekommendationen föreskriver (princip 11).
Hälsouppgifter som används för forskningsändamål ska, när det är möjligt, vara anonymiserade. Om anonymisering inte är möjlig, får hälsouppgifter ändå behandlas under vissa särskilda förutsättningar (princip 12).
3.4.3. Rekommendation om skyddet för uppgifter i medicinska databanker
En annan rekommendation som kan nämnas i sammanhanget är Europarådets rekommendation från 1981 om skydd för uppgifter i automatiserade medicinska databanker, Recommendation No. R(81)
1 on regulations for automated medical data banks. Rekommenda-
tionen är tillämplig på databanker som innehåller medicinska uppgifter som ska användas för medicinsk behandling, hälsovård eller medicinsk forskning (artikel 1).
Rekommendationen föreskriver att allmänheten ska informeras om inrättandet av och innehållet i en databank (artikel 2). Varje registrerad ska också som utgångspunkt ha rätt att få information om databankens innehåll beträffande honom eller henne (artikel 6). Som huvudregel får endast medicinsk personal ta del av innehållet i banken, och då endast sådana uppgifter som han eller hon behöver i tjänsten. Den registrerade kan dock lämna samtycke till att annan får del av materialet beträffande honom eller henne. Det är tillåtet att koppla samman information om en viss individ från olika databanker, under förutsättning att det sker för ändamål som hänger samman med medicinsk behandling, hälsovård eller medicinsk forskning (artikel 5).
3.5. EU-stadgan
Den Europeiska unionens stadga om de grundläggande rättigheterna (förkortad EU-stadgan) skyddar bl.a. individers rätt till personlig integritet. I samband med att Lissabonfördraget antogs den 1 december 2009 fick EU-stadgan direkt effekt. Detta följer av arti-
kel 6.1 i fördraget om Europeiska unionen (EU-fördraget). Därmed blev stadgan rättsligt bindande för EU:s medlemsstater.
Stadgan uttrycker att var och en har rätt till fysisk och mental integritet. Inom medicin och biologi ska i synnerhet den berörda personens fria och informerade samtycke respekteras, på de villkor som föreskrivs i lag (artikel 3). Var och en har rätt till respekt för sitt privat- och familjeliv (artikel 7).
EU-stadgan föreskriver att var och en har rätt till skydd av de personuppgifter som rör honom eller henne (artikel 8.1). Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem (artikel 7 och 8).
4. Dataskyddsförordningen
4.1. Inledning
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). I fortsättningen används förkortningen dataskyddsförordningen. Dataskyddsförordningen syftar till att skydda fysiska personerna grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Ett övergripande syfte med dataskyddsförordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.
Dataskyddsförordningen började tillämpas i medlemsstaterna den 25 maj 2018 och ersatte då den allmänna regleringen om behandling av personuppgifter inom EU som fanns i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, förkortat dataskyddsdirektivet.
Ett direktiv är bindande för medlemsstaterna i fråga om resultatet men medlemsstaterna har frihet att själva bestämma på vilket sätt det ska införlivas i den nationella lagstiftningen. En EU-förordning är däremot bindande och direkt tillämplig i alla medlemsländer från och med det datum då den träder i kraft (artikel 288 i EU-fördraget).
I svensk rätt hade dataskyddsdirektivet implementerats genom personuppgiftslagen (1998:204). Dataskyddsförordningen är i egenskap av en EU-förordningen direkt tillämplig i medlemsstaterna. Därför behövde medlemsstaterna inte vidta några särskilda författningsåtgärder för att förordningen skulle börja gälla. En annan sak
är att dataskyddsförordningen möjliggör – och i vissa fall förutsätter – att medlemsstaterna inför kompletterande nationella bestämmelser. I Sverige har generella kompletterande bestämmelser samlats i dataskyddslagen, som trädde i kraft den 25 maj 2018 samtidigt som dataskyddsförordningen började tillämpas.
Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll men det har tillkommit några nyheter, som en utökad informationsskyldighet till registrerade, administrativa sanktionsavgifter och inrättandet av den Europeiska dataskyddsstyrelsen. I det följande görs en genomgång av dataskyddsförordningens principer och krav med särskilt fokus på sådana bestämmelser som kan ha relevans för behandling av personuppgifter inom vård och omsorg.
4.2. Dataskyddsförordningens syfte
Dataskyddsförordningen syftar till att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Samtidigt syftar förordningen till att få till stånd ett fritt flöde av personuppgifter inom EU som inte begränsas av dataskyddsskäl (jfr artikel 1 punkt 2 och 3).
I skälen till dataskyddsförordningen anges att behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter är inte en absolut rättighet. Rättigheten måste förstås utifrån sin kontext i samhället och vägas mot andra grundläggande rättigheter utifrån en proportionalitetsbedömning (skäl 4).
Den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar när det gäller skyddet av personuppgifter. Omfattningen av insamling och delning av personuppgifter har ökat avsevärt. Tekniken gör det möjligt för både privata företag och offentliga myndigheter att använda personuppgifter i sin verksamhet i en helt ny omfattning. Samtidigt gör allt fler fysiska personer sina personliga uppgifter allmänt tillgängliga världen över. Tekniken har omvandlat både ekonomin och det sociala livet och bör ytterligare underlätta för det fria flödet av personuppgifter inom unionen samt överföringar utanför unionen. På samma gång behöver man säkerställa en hög skyddsnivå för personuppgifter (skäl 6).
4.3. Dataskyddsförordningens tillämpningsområde
Dataskyddsförordningen ska tillämpas på all helt eller delvis automatiserad (automatisk) behandling av personuppgifter. Detta gäller oavsett om personuppgifterna finns i ett register eller inte. Dataskyddsförordningen ska dessutom tillämpas på manuell (icke-automatisk) behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Detta innebär t.ex. att dataskyddsförordningen gäller behandling av personuppgifter i löpande text i en dator eller bilder på individer i skannade dokument. Dataskyddsförordningen har alltså ett brett tillämpningsområde.
Vissa behandlingar av personuppgifter är uttryckligen undantagna från tillämpningsområdet. Dataskyddsförordningen ska inte tillämpas på behandlingar som utförs av en fysisk person och som är av rent privat natur. Detsamma gäller behandlingar som sker inom verksamhet som inte omfattas av EU-rätten (t.ex. försvar och nationell säkerhet), behandling som sker inom EU:s gemensamma utrikes- och säkerhetspolitik och behandling som sker inom brottsbekämpande verksamhet. (artikel 2.2).
Dataskyddsförordningen är tillämplig på verksamhet som bedrivs av personuppgiftsansvariga som är etablerade i EU/EES, oavsett om själva behandlingen utförs i EU eller inte (artikel 3.1).
Dataskyddsförordningen är även tillämplig på behandlingar som utförs av personuppgiftsansvariga som inte är etablerade i EU/EES. Då krävs det att behandlingen avser registrerade som befinner sig i unionen. Dessutom ska behandlingen av personuppgifterna ha anknytning till
- utbjudande av varor eller tjänster till sådana registrerade i unionen
(led a), eller
- övervakning av de registrerades beteende så länge beteendet sker inom EU (led b) (artikel 3.2).
4.4. Definitioner
4.4.1. Personuppgifter
Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person (det är detta som avses med begreppet registrerad) (artikel 4.1). Redan ordalydelsen tyder på att en vid tolkning ska göras (”varje upplysning”).
Exempel på personuppgifter är namn, adress och personnummer. Andra upplysningar som identifierar en fysisk person kan vara identifikationsnummer, lokaliseringsuppgift eller online-identifikator (t.ex. ip-adress). Information som är specifik för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet kan utgöra personuppgifter. Bilder på och ljudupptagningar av individer kan vara personuppgifter, även om inga namn nämns. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person.
Dataskyddsförordningen är tillämplig på pseudonymiserade upp-
gifter. Med pseudonymisering avses åtgärder som innebär att person-
uppgifterna inte längre direkt kan hänföras till en specifik registrerad utan att kompletterande information används (artikel 4.5). Även om man har kodat, krypterat eller på annat sätt pseudonymiserat uppgifterna är de personuppgifter i dataskyddsförordningens mening så länge de kan hänföras till en identifierbar fysisk person med hjälp av kompletterande uppgifter.
Av skäl 26 framgår följande.
För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen.
Det krävs inte att den personuppgiftsansvarige själv förfogar över de uppgifter som gör identifieringen möjlig. Krypterade uppgifter omfattas också av definitionen, så länge någon har tillgång till en krypteringsnyckel som kan göra uppgifterna läsbara och därmed identifiera individer.
När det däremot gäller anonymiserade uppgifter är principerna i dataskyddsförordningen inte tillämpliga. Med anonymiserade uppgifter avses uppgifter som inte ens med kompletterande information kan hänföras till en viss individ. Någon koppling till individen ska inte rimligen kunna skapas. Det innebär att dataskyddsförordningen inte gäller vid behandling av anonymiserad information inom t.ex. forskning eller för statistiska ändamål (skäl 26).
Uppgifter om avlidna fysiska personer utgör inte personuppgifter enligt dataskyddsförordningen. Definitionen omfattar alltså bara levande fysiska personer, oavsett medborgarskap och hemvist (skäl 14 och 27).
4.4.2. Behandling av personuppgifter
Begreppet behandling (av personuppgifter) omfattar alla åtgärder som vidtas beträffande personuppgifter. Så snart personuppgifter på något sätt hanteras – automatiserat eller manuellt, oberoende av teknik – är det fråga om behandling i dataskyddsförordningens mening. Begreppet ska således tolkas extensivt. Följande åtgärder utgör exempel på behandling av personuppgifter.
- Insamling
- Registrering
- Lagring
- Bearbetning
- Läsning
- Användning
- Utlämning genom överföring
- Spridning
- Radering
- Arkivering
- Förstöring
4.4.3. Register
Med register avses en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden (artikel 4.6). Genom att det räcker att manuellt behandlade personuppgifter är avsedda att ingå i ett register är dataskyddsförordningen tillämplig redan när personuppgifterna samlas in.
EU-domstolen har i ett mål som gällde tolkningen av register enligt dataskyddsdirektivet ansett att det räckte att information om en viss person med lätthet i praktiken kunde sökas fram i samlingen (dom av den 10 juli 2018, Jehovas vittnen, C-25/17, EU:C:2018:551, punkt 61). Motsvarande får antas gälla enligt dataskyddsförordningen.
4.4.4. Den personuppgiftsansvarige
Dataskyddsförordningen definierar den personuppgiftsansvarige enligt följande (artikel 4.7 d).
En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.
Det avgörande rekvisitet är den som bestämmer ändamålen och med-
len med behandlingen. Den som är personuppgiftsansvarig bestäm-
mer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Den som är personuppgiftsansvarig kan överlåta den faktiska behandlingen av personuppgifter till någon annan, men personuppgiftsansvaret i sig kan aldrig överlåtas En personuppgiftsansvarig har per definition alltid bestämmanderätt över ändamålen och medlen för behandlingen.
Datainspektionen1 har i fråga om motsvarande definition i personuppgiftslagen uttryckt sig så här (beslut 2010-07-02, dnr 686-2010, se också t.ex. beslut 2012-04-18, dnr 811-2011).
1 Den 1 januari 2021 bytte Datainspektionen namn och heter numera Integritetsskyddsmyndigheten.
Vem som bestämmer över ändamålen avgörs genom en bedömning av de faktiska omständigheterna i det enskilda fallet. Avgörande för denna bedömning är bl.a. varför behandlingen utförs och vem som är initiativtagare till behandlingen. Att bestämma över medlen för behandlingen avser främst att bestämma över de tekniska och organisatoriska medlen för behandlingen, dvs. ”hur” behandlingen ska gå till, t.ex. vilka personuppgifter som ska behandlas, vilka tredje män som ska få tillgång till de behandlade personuppgifter och när uppgifter ska raderas.
Förvaltningsrätten i Stockholm har godtagit Datainspektionens bedömning (dom 2013-10-14 i mål nr 9987-12).
Den personuppgiftsansvarige har ett skadeståndssanktionerat ansvar för att behandlingen av personuppgifter sker i enlighet med bestämmelserna i dataskyddsförordningen (artikel 82) och de eventuella kompletterande svenska dataskyddsbestämmelser som kan gälla (7 kap. 1 § dataskyddslagen). Som huvudregel kan därför bara fysiska personer, juridiska personer, utländska filialer och myndigheter betraktas som personuppgiftsansvariga. När en juridisk person eller en myndighet bedriver en viss behandling av personuppgifter, bör således den juridiska personen som sådan eller myndigheten som sådan anses som personuppgiftsansvarig även om verksamheten i Sverige bedrivs i filialer eller andra organisatoriska enheter.2
En medlemsstat har rätt att i sin nationella rätt precisera vem som är personuppgiftsansvarig, t.ex. i en registerförfattning. Ett exempel där personuppgiftsansvaret pekas ut i lag är patientdatalagen (2008:355), förkortad PDL. Lagen, som tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården, preciserar att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. Inom den allmänna hälso- och sjukvården hos sjukvårdshuvudmännen är det den juridiska personen, dvs. regionen eller kommunen, som är vårdgivare. Det är dock inte den juridiska personen i sig som är personuppgiftsansvarig. Lagen anger att i region och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför (2 kap. 6 § PDL). Det innebär att det är den nämnd eller annan myndighet som utövar ledningen av eller utför den faktiska hälso- och sjukvården (dvs. den myndighet som de facto behandlar personuppgifterna) som pekas ut som person-
2 Sören Öman, Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till artikel 4, JUNO version:1A.
uppgiftsansvarig i patientdatalagen. Härmed avses exempelvis s.k. beställar- och utförarnämnder i en region eller en kommun.3
När det gäller behandling av personuppgifter inom socialtjänsten finns särskilda bestämmelser om personuppgiftsansvar i förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUF. Där anges att en kommunal myndighet är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som myndigheten utför (11 § SoLPUF).
Gränsdragningen mellan personuppgiftsansvarig och personuppgiftsbiträde
Den som behandlar personuppgifter ansvarar antingen för behandlingen (personuppgiftsansvarig), eller utför behandlingen för den personuppgiftsansvariges räkning (personuppgiftsbiträde).
Den personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett s.k. personuppgiftsbiträdesavtal sinsemellan. Avtalet ska bl.a. innehålla tydliga instruktioner som föreskriver hur biträdet får behandla personuppgifterna (jfr artikel 28).
I en del fall kan det vara svårt att bedöma på förhand vem som är personuppgiftsansvarig för en viss behandling och vem som är biträde. Det är de faktiska omständigheterna i det enskilda fallet som är avgörande, dvs. vem eller vilka som faktiskt har bestämt över behandlingen av personuppgifterna. Olika överenskommelser eller avtalskonstruktioner kan visserligen beaktas vid bedömningen, men det är de faktiska omständigheterna som i slutändan är avgörande. Vem som är personuppgiftsansvarig för en viss behandling av personuppgifter är en fråga om fakta som alltid kan bli föremål för bedömning, i sista hand av domstol.
Gemensamt personuppgiftsansvar
Av definitionen av den personuppgiftsansvarige framgår att flera aktörer kan vara personuppgiftsansvariga, jfr skrivningen […] som ensamt eller tillsammans med andra bestämmer ändamålen och medlen (jfr artikel 4.7 d). Om flera aktörer är inblandade i samma eller närliggande behandlingar av personuppgifter, måste det utredas vem eller vilka av
3Prop. 2007/08:122 s. 50 och s. 230.
dessa aktörer som är personuppgiftsansvarig för behandlingen. Det kan då hända att flera aktörer anses gemensamt personuppgiftsansvariga.
Det finns en särskild bestämmelse i dataskyddsförordningen som definierar vad som kännetecknar ett gemensamt personuppgiftsansvar (artikel 26).
1. Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.
2. Det arrangemang som avses i punkt 1 ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade.
3. Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning med avseende på och emot var och en av de personuppgiftsansvariga.
Avgörande är om de faktiska omständigheterna är sådana att det i praktiken är två eller fler personuppgiftsansvariga som gemensamt fastställer ändamålen. Även i denna situation kan det uppstå svårigheter att avgöra om en aktör är exempelvis biträde eller ansvarig för behandlingen. Den s.k. Artikel 29-gruppen har uttalat att graden av självbestämmande och manöverutrymme i beslutsfattandet utgör viktiga parametrar för att avgöra bestämmanderätten. Det viktigaste måste vara att se till att efterlevnaden av dataskyddsbestämmelserna och ansvaret för eventuella brott mot bestämmelserna är tydligt fördelade. Detta gäller även i komplexa behandlingsmiljöer där olika registeransvariga har del i behandlingen av personuppgifter, för att undvika att skyddet av personuppgifter minskar.4
4 Artikel 29-gruppens yttrande 1/2010 om begreppen registeransvarig och registerförare (WP 169), s. 13 och s. 22. Artikel 29-gruppen (på engelska Article 29 data protection working party) är ett avvecklat rådgivande EU-organ som skulle se till att dataskyddsförordningen respektive dataskyddsdirektivet tillämpades likformigt i hela EU. Den har ersatts av Europeiska dataskyddsstyrelsen men dessa yttranden kan fortfarande tjäna till vägledning.
Vid gemensamt personuppgiftsansvar behöver de inblandade inte skriva ett avtal, däremot ska de ”under öppna former fastställa sitt respektive ansvar”. Det är något oklart vad som avses med detta. Förmodligen ska den fastställda inbördes fördelningen av skyldigheterna göras tillgänglig för de registrerade, jämför andra punkten. Det finns inget formkrav för hur parterna ska fastställa ansvaret, men det är att rekommendera att det sker skriftligen.5 De gemensamt personuppgiftsansvariga är skyldiga att fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt dataskyddsförordningen. Om de gemensamt personuppgiftsansvarigas respektive skyldigheter fastställs genom EU-rätten eller en medlemsstats nationella rätt, behöver de inte fastställa formerna.
En behandling som sker hos flera aktörer kan ibland utgöra ett utlämnande från en personuppgiftsansvarig till en annan (mottagande) personuppgiftsansvarig. Den mottagande aktören är då ansvarig för de behandlingar som denne utför efter överföringen. Man kan fråga sig vem som är ansvarig för själva överföringen, som ju i sig är en behandling av personuppgifter. Det finns inget generellt svar att ge. I vissa fall kan man tänka sig att utlämnande och mottagande aktör är gemensamt personuppgiftsansvariga för den tekniska överföringen.
Ett praktiskt vanligt förekommenade exempel kan vara utlämnanden inom ramen för gemensamma databaser eller it-system inom hälso- och sjukvården. Gränsdragningen är inte helt tydlig och i vissa fall kan man ändå landa i bedömningen att endast en av aktörerna utövar ansvar för överföringen som sådan. Så kan t.ex. vara fallet när en myndighet bestämmer att ett bolag ska lämna ut vissa personuppgifter.
4.4.5. Samtycke
Ett samtycke är varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11).
Med frivilligt menas att den registrerade har ett genuint fritt val att medverka i behandlingen. Är situationen sådan att den registre-
5 Sören Öman, Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till artikel 26, JUNO version:1A.
rade i praktiken inte kan avstå, kan samtycket inte gärna vara ”frivilligt”. Samtycke bör därför inte utgöra giltig rättslig grund för behandling av personuppgifter om det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Detta gäller särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43). Datainspektionen har uttalat att bedömningen om ett samtycke har lämnats frivilligt inte bara ska ske utifrån vilken valfrihet som råder, utan även vilket förhållande som föreligger mellan den registrerade och den personuppgiftsansvarige. Utrymmet för ett frivilligt samtycke inom det offentliga området är därför begränsat.6
För att samtycket ska vara informerat, bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda (skäl 42). Det är bara behandling av personuppgifter för det ändamål som den registrerade blivit informerad om som samtycket kan avse. Har den personuppgiftsansvarige informerat om att behandlingen av personuppgifterna ska gå till på visst sätt, men denne senare önskar göra på något annat sätt, måste ett nytt samtycke hämtas in.7
Datainspektionen har på personuppgiftslagens tid ansett att det inte var tillräckligt att den registrerade generellt medgav att hälsouppgifter fick behandlas för att utveckla nya vårdbehandlingsformer för vilka sjukdomar som helst8 eller att registrerade generellt samtyckte till “framtida forskning”9.
Om en behandling av personuppgifter grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandlingen. Det krävs inte att samtycket är skriftligt, men vid tvist har den personuppgiftsansvarige bevisbördan för att samtycke lämnats. Den registrerade ska ha rätt att när som helst kunna återkalla ett samtycke (artikel 7).
6 Datainspektionens beslut 2019-08-20, dnr DI-2019-2221. 7 Sören Öman, Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till artikel 4, JUNO version:1A. 8 Datainspektionens beslut 2008-06-19, dnr 164-2008. 9 Datainspektionens beslut 2011-12-16, dnr 766-2011, jämför också beslut 2015-10-15, dnr 1382-2014.
4.4.6. Andra definitioner av intresse i dataskyddsförordningen
Artikel 4 i dataskyddsförordningen innehåller en rad definitioner av olika begrepp. Utöver de grundläggande begreppen personuppgifter, behandling och personuppgiftsansvar respektive personuppgiftsbiträde (se ovan) anges här några av definitionerna.
Profilering är varje form av automatisk behandling av person-
uppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.
Mottagare är en fysisk eller juridisk person, offentlig myndighet,
institution eller annat organ till vilket personuppgifterna utlämnas, vare sig det är till tredje part eller inte; offentliga myndigheter som kan komma att motta personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig med tillämpliga bestämmelser om dataskydd beroende på behandlingens syfte.
Personuppgiftsincident är en säkerhetsincident som leder till oav-
siktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Genetiska uppgifter är alla personuppgifter som rör nedärvda eller
förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga.
Biometriska uppgifter är personuppgifter som erhållits genom en
särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter.
Uppgifter om hälsa är personuppgifter som rör en fysisk persons
fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus.
4.5. Grundläggande principer vid behandling av personuppgifter
Dataskyddsförordningen kräver att personuppgifter bara behandlas utifrån vissa grundläggande principer. Dessa principer finns i artikel 5 och gäller som ett ramverk vid all behandling av personuppgifter.
- Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppen-
het).
- De ska som huvudregel samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning, även
kallad finalitetsprincipen).
- De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
- De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).
- Personuppgifterna får som huvudregel inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (lagringsminimering).
- De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).
Observera att det alltid är den personuppgiftsansvarige som ansvarar för och ska kunna visa att principerna ovan efterlevs (ansvarsskyl-
dighet). Principen om ansvarsskyldighet är en nyhet i dataskydds-
förordningen i förhållande till tidigare reglering. Som ett led i den personuppgiftsansvariges ansvarsskyldighet ska denna bl.a. genomföra en konsekvensbedömning avseende dataskydd (artikel 35 i data-
skyddsförordningen). Det är en skyldighet för den personuppgiftsansvarige att göra en konsekvensbedömning före en behandling av personuppgifter som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Konsekvensbedömning avseende dataskydd är ett verktyg för att säkerställa att den personuppgiftsansvarige följer dataskyddsförordningen.
4.5.1. Principen om ändamålsbegränsning (finalitetsprincipen)
Principen innebär att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Den innebär vidare att den personuppgiftsansvarige under hela behandlingstiden måste hålla reda på för vilka ändamål varje personuppgift har samlats in. Bestämmelsen gör det extra viktigt att tänka efter före och att vid insamlingen av personuppgifterna ange alla de ändamål för vilka man kan tänkas behöva använda de insamlade personuppgifterna.
Undantag från finalitetsprincipen får göras om den registrerade har samtyckt till behandling för det nya ändamålet eller om behandlingen grundar sig på någon rättslig reglering (artikel 5.1 b och 6.4).
Av skäl 50 till dataskyddsförordningen framgår att vid sådan vidarebehandling som inte hindras av finalitetsprincipen krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Detta är en nyhet i förhållande till dataskyddsdirektivet. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i en myndighetsutövning, kan EU-rätten eller medlemsstaterna i sin nationella rätt närmare fastställa för vilka uppgifter och syften en behandling är tillåten.
4.5.2. Principen om uppgiftsminimering
Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får dock lagras under längre perioder i den mån som
personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. Detta gäller under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter.
4.5.3. Principen om integritet och konfidentialitet
Den som är personuppgiftsansvarig har ett ansvar att se till att personuppgifter skyddas så att ingen obehörig kommer åt dem och så att de inte används på ett otillåtet sätt. Principen är särskilt viktig när det handlar om känsliga personuppgifter, exempelvis personuppgifter om hälsa som det ofta är fråga om i hälso- och sjukvården och socialtjänsten.
4.6. Rättsliga grunder för behandling av personuppgifter
4.6.1. Inledning
Behandling av personuppgifter är endast tillåten om den stöder sig på minst en av de rättsliga grunder som räknas upp i artikel 6.1 i dataskyddsförordningen. Bestämmelsen räknar uttömmande upp de rättsliga grunder som finns för att det över huvud taget ska vara tillåtet att behandla personuppgifter.
- Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (led a).
- Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (led b).
- Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (led c).
- Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person (led d).
- Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (led e).
- Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (led f).
Led f gäller inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.
4.6.2. Arbetsuppgift av allmänt intresse
Vad som är ett allmänt intresse10 definieras inte i dataskyddsförordningen. Innebörden av begreppet allmänt intresse i dataskyddsförordningens mening har ännu inte närmare utvecklats av EU-domstolen i mål om behandling av personuppgifter. Det finns dock inget som tyder på att begreppet allmänt intresse ska uppfattas mer restriktivt enligt dataskyddsförordningen än enligt dataskyddsdirektivet. Dataskyddsutredningen har tvärtom ansett att mycket talar för att begreppet allmänt intresse bör ha en vidare EU-rättslig betydelse genom dataskyddsförordningen än det hittills har haft.11Regeringen har ansett att sådan verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheten.12
Rent språkligt torde begreppet allmänt intresse avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse eller ett enskilt intresse. Av skäl 45 följer att allmänintresset inbegriper hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster. Det framgår också att arkivändamål kan vara av allmänt intresse (t.ex. artikel 5.1 b).
10 I detta sammanhang avses det EU-rättsliga begreppet allmänt intresse enligt dataskyddsförordningen, inte begreppet allmänt intresse enligt kommunallagen. 11SOU 2017:39 s. 123. 12Prop. 2017/18:105 s. 57.
Arbetsuppgiften av allmänt intresse respektive myndighetsutövningen ska ha stöd i tillämplig rättsordning, i praktiken i EU-rätten eller den nationella rätten. Svenska myndigheters uppdrag och åligganden följer av författningar, regeringsbeslut och kommunala reglementen. Dessa är i sin tur antagna i enlighet med regeringsformens bestämmelser om normgivningskompetens och kommunalt självstyre.
Regeringen anförde i förarbetena till dataskyddslagen att uppgift av allmänt intresse måste ges en vid betydelse för att myndigheternas verksamhet ska kunna fungera.13 Uttalanden i förarbeten, bestämmelsens syfte och den rättsliga kontexten i övrigt kan beaktas för att avgöra om en arbetsuppgift eller myndighetsutövning följer av lag. Det är alltså inte bara lagtextens ordalydelse som är av relevans för att avgöra om något följer av lag.
Dataskyddsutredningen har bedömt att det med hänsyn till svensk
förvaltningstradition är rimligt att alla arbetsuppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse. Även obligatoriska arbetsuppgifter som utförs av kommuner och regioner, till följd av deras åligganden enligt lag eller förordning, bedöms av Dataskyddsutred-
ningen vara av allmänt intresse i dataskyddsförordningens mening.14
Socialdataskyddsutredningen har konstaterat att det krävs en om-
fattande administration för att vidta åtgärder i syfte att tillhandahålla de rättigheter som föreskrivs i de internationella rättighetsstadgorna. Att de ansvariga institutionerna kan administrera sin verksamhet på ett ändamålsenligt sätt är en förutsättning bl.a. för att det ska gå att tillhandahålla en säker och trygg hälso- och sjukvård och för att de sociala trygghetssystemen ska kunna fungera. Även den administration som krävs för att tillhandahålla förmåner, vård och andra rättigheter, får därmed anses ligga inom ramen både för vad som är ett allmänt intresse och ett viktigt allmänt intresse 15 . Social-
dataskyddsutredningen har också bedömt att det är ett allmänt
intresse att bedriva sådan verksamhet som ska finnas i enlighet med internationella rättighetsstadgor, som omfattar alla medlemsstater i EU, bl.a. hälso- och sjukvård, socialförsäkring och pensioner samt sociala förmåner som tillhandahålls inom socialtjänsten.16
13Prop. 2017/18:105 s. 56. 14SOU 2017:39 s. 124. 15 Se nedan i avsnitt 4.8.3 om viktigt allmänt intresse, som ger stöd för att behandla känsliga personuppgifter enligt artikel 9.2 g. 16SOU 2017:66 s. 219 ff.
Den kommunala kompetensen slås fast i kommunallagen (2017:725) och anger de yttre ramarna för vad kommuner och regioner får ägna sig åt. De kommunala myndigheternas obligatoriska arbetsuppgifter följer av lag. Åtgärder som myndigheterna vidtar i syfte att utföra dessa arbetsuppgifter har därmed i sig en laglig grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Den kommunala kompetensen som ges i kommunallagen syftar just till att angelägenheter av allmänt intresse kan utföras. Kommuner och regioner har – utöver sina obligatoriska arbetsuppgifter – en långtgående möjlighet att göra frivilliga åtaganden så länge principen om allmänt intresse följs. Kommuner och regioner får driva t.ex. näringsverksamhet, men bara om den drivs utan vinstsyfte och syftar till att tillhandahålla allmännyttiga anläggningar eller tjänster åt invånarna. Även sådana arbetsuppgifter torde ha ett allmänt intresse i dataskyddsförordningens mening.
Även privata aktörer kan utföra arbetsuppgifter av allmänt intresse på uppdrag av en myndighet eller på eget initiativ. Bedömningen av om arbetsuppgiften är av allmänt intresse bör göras mot bakgrund av verksamhetens syfte, oavsett om den faktiskt utförs i myndighetens regi eller av någon annan.17 Som exempel på verksamheter med arbetsuppgifter av allmänt intresse kan nämnas hälso- och sjukvård, skola, stöd och service till personer med funktionsnedsättningar, kommunikation och energiförsörjning. Flera av dessa verksamheter har sina arbetsuppgifter fastställda i lag, t.ex. hälso- och sjukvården och skolan.
4.6.3. Nödvändighetskravet
Behandling av personuppgifter måste vara nödvändig för att fullgöra en rättslig förpliktelse, utföra arbetsuppgiften av allmänt intresse eller myndighetsutövningen (artikel 6.1c och e). Det måste därmed finnas ett samband mellan behandlingen och arbetsuppgiften eller myndighetsutövningen. Begreppet nödvändig ska inte tolkas så att arbetsuppgiften eller myndighetsutövningen bara kan fullgöras på just det valda sättet. Den metod som den personuppgiftsansvarige väljer måste dock vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv.
17 Jfr prop. 2017/18:105 s. 58.
I verksamheter med arbetsuppgifter av allmänt intresse eller myndighetsutövning, som har stöd i rättsordningen kan en mängd olika sorters administrativa åtgärder behöva vidtas för att verksamheten ska fungera. Det kan handla om åtgärder av varierande slag och som inte i sig omfattas av någon särskild reglering i den nationella rättsordningen. Dessa åtgärder bör enligt förarbetena till dataskyddslagen ses som arbetsuppgifter av allmänt intresse. Regeringen har för dessa fall uttalat följande.18
Den specifika behandlingen måste vara nödvändig för ett ändamål som i sin tur är nödvändigt för att myndigheten ska kunna utföra sitt uppdrag. Om myndigheten inte fungerar kan den inte utföra sina fastställda uppgifter. Behandling av personuppgifter som utförs som ett led i sådana administrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion är därmed enligt regeringens uppfattning rättsligt grundad i dataskyddsförordningens mening. Det krävs alltså inte att de administrativa åtgärderna är fastställda i enlighet med svensk rätt […]. Däremot måste de administrativa åtgärderna vara nödvändiga för att myndigheten ska kunna utföra sina uppgifter. Dessa uppgifter måste vara fastställda i enlighet med gällande rätt, vilket de som framgår ovan redan är.
4.6.4. Grunden måste vara fastställd i nationell rätt
Grunden för sådan behandling av personuppgifter som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse (artikel 6.1 c) eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e) måste fastställas i nationell rätt eller EU-rätt (artikel 6.3).
Det innebär att det inte är möjligt att endast stödja sig på den generella regleringen i dataskyddsförordningen vid sådan behandling. Dataskyddsutredningen har analyserat om det med anledning av detta krav behöver införas generella nationella bestämmelser till stöd för åtminstone den offentliga sektorns behandling av personuppgifter. Enligt Dataskyddsutredningens bedömning krävdes det inte någon särskild reglering med anledning av dataskyddsförordningens ikraftträdande. Däremot är förekomsten av reglering avgörande för i vilken utsträckning personuppgiftsansvariga kan behandla personuppgifter på den grunden att det är nödvändigt för att uppfylla en rättslig förpliktelse eller utföra en arbetsuppgift av allmänt intresse
eller som ett led i myndighetsutövning. Kravet på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten utgör således ett villkor som måste vara uppfyllt för att de lagliga grunderna för behandling av personuppgifter i artikel 6.1 c och e ska vara tillämpliga.19
4.7. Utlämnande av personuppgifter och förhållandet till offentlighetsprincipen
Dataskyddsförordningen innehåller ingen definition av begreppet utlämnande av personuppgifter. I likhet med begreppet allmänt intresse handlar det också här om ett EU-rättsligt begrepp. Utlämnandebegreppet är inte synonymt med utlämnande av uppgifter i allmänna handlingar enligt svensk rätt, även om viss överlappning finns. När en myndighet lämnar ut allmänna handlingar som innehåller personuppgifter, utgör själva utlämnandet en behandling av personuppgifter enligt dataskyddsförordningen. Samtidigt är det fråga om ett utlämnande som sker med stöd av offentlighetsprincipen och de övriga principerna i tryckfrihetsförordningen.
Som tidigare nämnts ska något av villkoren i artikel 6.1 vara uppfyllt för att behandlingen av personuppgifter ska vara tillåten. Dataskyddsförordningen innehåller därutöver specialregler för vad som kallas särskilda behandlingssituationer. Som särskilda behandlingssituationer räknas yttrande- och informationsfriheten samt allmänhetens tillgång till allmänna handlingar.
Dataskyddsförordningen föreskriver att medlemsstaterna i lag ska förena rätten till integritet med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Medlemsstaterna ska, för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande, fastställa undantag eller avvikelser från bl.a. de grundläggande principerna i artikel 6, om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten (artikel 85).
En sådan bestämmelse har förts in i nationell rätt genom 1 kap. 7 § dataskyddslagen som anger att dataskyddsförordningen och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot
tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Enligt samma bestämmelse ska vissa bestämmelser i dataskyddsförordningen och dataskyddslagen inte tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
Personuppgifter i allmänna handlingar som förvaras av en myndighet får lämnas ut av myndigheten i enlighet med EU-rätten eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av. Syftet är att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med dataskyddsförordningen (artikel 86).
Personuppgifter som finns i allmänna handlingar hos en myndighet, får därmed lämnas ut i enlighet med medlemsstatens nationella rätt. Det innebär att reglerna om utlämnande av allmänna handlingar med stöd av offentlighetsprincipen i 2 kap. tryckfrihetsförordningen har företräde framför dataskyddsförordningen, enligt den nyss nämnda bestämmelsen i dataskyddslagen.
4.8. Känsliga personuppgifter
4.8.1. Förbudet att behandla känsliga personuppgifter och möjligheten till undantag
Av artikel 9.1 i dataskyddsförordningen framgår att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.
De angivna kategorierna av personuppgifter benämns i artikeln som särskilda kategorier av uppgifter, men kommer att i detta betänkande kallas känsliga personuppgifter.
Dataskyddsförordningens huvudregel om förbud mot behandling av känsliga personuppgifter har tillkommit eftersom dessa uppgifter anses vara särskilt skyddsvärda. Huvudregeln i dataskyddsförordningen är alltså att behandling av känsliga personuppgifter är förbjuden. Huvudregeln kompletteras med ett antal undantag i artikel 9.2. Om någon av förutsättningarna i den bestämmelsen är
uppfylld, får behandling av känsliga personuppgifter trots allt ske. Vissa av undantagen är direkt tillämpliga, medan andra kräver viss reglering i den nationella lagstiftningen för att behandling av känsliga personuppgifter ska få ske.
4.8.2. Uppgifter om hälsa
Uppgifter om hälsa är personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus (artikel 4.15). En upplysning om att en person fått hälso- och sjukvårdstjänster rör dennes fysiska eller psykiska hälsa och kan dessutom ge information om personens hälsostatus. En upplysning om att någon har besökt eller undersökts av en läkare med viss specialistkompetens eller tagit vissa prover ger inte i sig information om personens hälsostatus. I skäl 63 exemplifieras uppgifter om hälsa som uppgifter i läkarjournaler med t.ex. diagnoser, undersökningsresultat, bedömningar av behandlande läkare och eventuella vårdbehandlingar eller interventioner.
I skäl 35 utvecklas detta enligt följande.
Personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhandahållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv 2011/24/EU, ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål, uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test.
En stor del av sådana personuppgifter som används inom hälso- och sjukvården och socialtjänsten kan sannolikt utgöra personuppgifter om hälsa i dataskyddsförordningens mening och därmed också känsliga personuppgifter.
Uppgifter som rör alla aspekter, såväl fysiska som psykiska, av en persons hälsa är uppgifter om hälsa, om de ger information om personens hälsostatus. Uppgifter om olika former av sjukligt missbruk av t.ex. droger lär som regel vara uppgifter om hälsa.20
Praxis från Datainspektionen och domstolar ger stöd för en tämligen vid tolkning av vad som är personuppgifter om hälsa.
Enligt Datainspektionen kunde till och med en uppgift om att någon på grund av för hög alkoholkoncentration i sin utandningsluft fått en signal om ett icke godkänt blåsprov vara en sådan personuppgift som rörde hälsa enligt personuppgiftslagen, i vart fall om den utgjorde en indikation på alkoholmissbruk.21 Redan en uppgift om resultat från ett alkoholtest eller en uppgift om att någon avböjt att medverka i ett sådant test kunde utgöra en indikation på alkoholmissbruk och borde därför enligt Datainspektionen betraktas som en uppgift som rörde hälsa enligt personuppgiftslagen.22 Datainspektionen har ansett att en uppgift om att någon har ett spelberoende eller spelmissbruk var en uppgift som rörde hälsa enligt personuppgiftslagen.23
Uppgifter om läkemedel och andra varor som förskrivits en enskild har ansetts röra dennes hälsa enligt personuppgiftslagen.24
Färdtjänstutredningen ansåg att personuppgifter som indirekt rör
hälsotillstånd, t.ex. uppgift om behov av rullstol, ledarhund eller andra hjälpmedel, utgjorde känsliga personuppgifter som rörde hälsa enligt personuppgiftslagen.25 Också Datainspektionen har ansett att en uppgift om att någon har ett handikapp var en uppgift som rörde hälsa enligt personuppgiftslagen.26 I samma beslut kom Datainspektionen även fram till att redan en uppgift om att någon var registrerad som medlem i dåvarande De Handikappades Riksförbund, där Datainspektionen antog att det stora flertalet medlemmar var funktionsnedsatta, skulle betraktas som en känslig personuppgift enligt personuppgiftslagen.
All information som kan ge upplysning om att någon på grund av sjukdom inte kan arbeta lär röra personens hälsa och ger information
20 Jämför SOU 1997:39 s. 131 f. och SOU 2002:18 s. 160. 21 Beslut 2011-01-12, dnr 500-2010. 22 Beslut 2014-01-23, dnr 52-2013. 23 Beslut 2015-10-15, dnr 1382-2014. 24Prop. 2008/09:145 s. 305. Jfr Justitiekanslerns beslut 2008-06-23, dnr 7692-06-42. 25SOU 2003:4 s. 56, 63 och 64 f. samt SOU 2003:87 s. 178 f. 26 Beslut 2008-10-15, dnr 1176-2008.
om dennes hälsostatus (för sjuk för att arbeta), dvs. att det är fråga om uppgifter om hälsa.
4.8.3. Undantag för att få behandla känsliga personuppgifter inom vård och omsorg
Behandling av känsliga personuppgifter omgärdas av särskilda krav som – utöver de grundläggande principer och krav på rättslig grund som alltid gäller vid behandling av personuppgifter (artikel 5 och 6) – måste vara uppfyllda för att de känsliga personuppgifterna ska få behandlas.
När det gäller myndigheter som behandlar känsliga personuppgifter inom vård och socialtjänst är det något av nedanstående led i artikel 9.2 i dataskyddsförordningen som torde vara aktuella som stöd för att få behandla känsliga personuppgifter. Myndigheter kan i regel inte använda samtycke som laglig grund för behandling av personuppgifter. Därför är det inte heller aktuellt att använda led a om samtycke som grund för att behandla känsliga personuppgifter (se ovan under avsnitt 4.4.5).
- Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs (led b).
- Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (led g).
- Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhanda-
hållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i artikel 9.3 är uppfyllda (led h).
- Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt (led i).
Fullgörande av skyldigheter och rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd (artikel 9.2 b)
Områdena social trygghet respektive socialt skydd är nya i förhållande till dataskyddsdirektivet. Det framgår inte av artikeln eller av skälen till dataskyddsförordningen vad områdena är avsedda att omfatta. Begreppet social trygghet antyder att socialförsäkringen är tänkt att vara en del av området. Dataskyddsutredningen gjorde bedömningen att avsikten sannolikt är att reglera behandling som är nödvändig för att arbetsgivare och arbetsgivar- eller arbetstagarorganisationer ska kunna erbjuda eller förmedla pensioner och försäkringar med anknytning till den registrerades anställning eller yrkesliv, såsom tjänstepensioner och olika typer av gruppförsäkringar. Denna bedömning gjordes mot bakgrund av det sammanhang där begreppen social trygghet och socialt skydd förekommer – att artikeln i övrigt avser skyldigheter och rättigheter inom arbetsrätten.27Socialdataskyddsutred-
ningen gjorde samma bedömning.28
27SOU 2017:39 s. 169–171. 28SOU 2017:66 s. 239.
Viktigt allmänt intresse (artikel 9.2 g)
Det är svårt att på ett generellt plan definiera vad som skiljer ett
allmänt intresse från ett viktigt allmänt intresse. Ordalydelsen ger vid
handen att det krävs något ytterligare, en form av kvalificerat allmänt intresse. Enligt regeringens bedömning i förarbetena till dataskyddslagen står det klart att verksamhet som innefattar myndighetsutövning utgör ett viktigt allmänt intresse. När det gäller myndigheters behandling måste det enligt regeringen också anses utgöra ett viktigt allmänt intresse att svenska myndigheter, även utanför området för myndighetsutövning, kan bedriva den verksamhet som tydligt faller inom ramen för deras befogenheter på ett korrekt, rättssäkert och effektivt sätt.29
Det finns inget som tyder på att begreppet allmänt intresse ska uppfattas mer restriktivt enligt dataskyddsförordningen än enligt dataskyddsdirektivet. Detta innebär att när behandling av känsliga personuppgifter tillåtits i en registerförfattning med stöd av artikel 8.4 i dataskyddsdirektivet har det redan, även om övervägandena inte alltid framgår uttryckligen av förarbetena, bedömts att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och därmed också nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 7 e i dataskyddsdirektivet. Socialdataskyddsut-
redningen ansåg att en behandling som regleras i en registerför-
fattning utan vidare kan stödjas på artikel 6.1 e i dataskyddsförordningen som rättslig grund. Dessutom kan behandlingen, under förutsättning att proportionalitet och bestämmelser om skyddsåtgärder iakttas, innefatta känsliga personuppgifter i samma utsträckning som tidigare med stöd av artikel 9.2 g i dataskyddsförordningen.30
Dataskyddsutredningen bedömde att det utöver detaljerad reglering
i registerförfattningar var möjligt att införa en generell reglering som ger myndigheter möjlighet att behandla känsliga personuppgifter även när det inte finns särskilt stöd i en registerlagstiftning. Med stöd av artikel 9.2 g i dataskyddsförordningen har därför undantag för behandling av viktiga allmänna intressen förts in i dataskyddslagen.
En sådan bestämmelse har förts in i 3 kap. 3 § dataskyddslagen och anger att känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning
29Prop. 2017/18:105 s. 83. 30SOU 2017:66 s. 221 f.
- om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag,
- om behandlingen är nödvändig för handläggningen av ett ärende, eller
- i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
I syfte att begränsa de integritetsrisker som den generella bestämmelsen medför, infördes i andra stycket i samma bestämmelse också ett förbud för myndigheter att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Datainspektionen har prövat om 3 kap. 3 § dataskyddslagen kunde tillämpas på en gymnasienämnds närvarokontroll av elever som innefattade känsliga personuppgifter. Närvarokontrollen skedde genom att elevernas biometriska personuppgifter behandlades för ansiktsigenkänning via kamera. Datainspektionen konstaterade att närvarohantering är en omfattande och central uppgift i skolväsendet samt att bestämmelsen om viktigt allmänt intresse inte är avsedd att tillämpas slentrianmässigt i den löpande verksamheten. Gymnasienämnden behandlade känsliga personuppgifter genom kameraövervakning i elevernas vardagliga miljö. Detta var enligt Datainspektionen ett otillbörligt intrång i elevernas integritet. Eftersom syftet med ansiktsigenkänningen var att identifiera elever, förutsatte närvarokontrollen dessutom otillåtna sökningar baserade på känsliga personuppgifter. Bestämmelserna i 3 kap. 3 § dataskyddslagen och 9.2 g i dataskyddsförordningen var därmed inte tillämpliga på behandlingen.31 Datainspektionens beslut överklagades till förvaltningsrätten, som gjorde samma bedömning som Datainspektionen.32
31 Datainspektionens beslut 2019-08-20, dnr DI-2019-2221. 32 Förvaltningsrätten i Stockholms dom 2020-08-14 i mål nr 20577-19. Domen har överklagats till kammarrätten, som har meddelat prövningstillstånd (Kammarrätten i Stockholms beslut 2020-12-11 i mål nr 5888-20).
Hälso- och sjukvård samt social omsorg (led h)
I skäl 53 till dataskyddsförordningen klargörs att förvaltning av tjänster för hälso- och sjukvård och social omsorg omfattar
behandling som utförs av förvaltningen och centrala nationella hälsovårdsmyndigheter av sådana uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell och lokal tillsyn över hälso- och sjukvårdssystemet och systemet för social omsorg och säkerställande av kontinuitet inom hälso- och sjukvård och social omsorg samt gränsöverskridande hälso- och sjukvård eller hälsosäkerhet, syften som hör samman med övervakning samt varningssyften eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål som baseras på unionsrätten eller på medlemsstaternas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt studier som genomförs av allmänt intresse på folkhälsoområdet.
Uppräkningen av syften lär i praktiken täcka nästan all behandling av känsliga personuppgifter som förekommer inom hälso- och sjukvårdsområdet samt socialtjänsten.33
I Sverige är hälso- och sjukvården samt socialtjänsten reglerade i lag på det sätt som krävs. Därtill har man i nationell rätt fört in en bestämmelse i 3 kap. 5 § dataskyddslagen som ger ett rättsligt stöd för att behandla känsliga personuppgifter med stöd av artikel 9.2 h, om behandlingen är nödvändig för
- förebyggande hälso- och sjukvård och yrkesmedicin,
- bedömningen av en arbetstagares arbetskapacitet,
- medicinska diagnoser,
- tillhandahållande av hälso- och sjukvård eller behandling,
- social omsorg, eller
- förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system.
Behandling får ske under förutsättning att kravet på tystnadsplikt som följer av artikel 9.3 i dataskyddsförordningen är uppfyllt. Inom hälso- och sjukvårdens och socialtjänstens områden gäller i Sverige som regel
33 Sören Öman, Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till artikel 9, JUNO version:1A.
tystnadsplikt, både i den offentliga sektorn, enligt offentlighets- och sekretesslagen (2009:400), och i den privata sektorn, enligt bl.a. patientsäkerhetslagen (2010:659) och 15 kap. socialtjänstlagen (2001:453).
4.9. Bestämmelser som ger rättigheter till den registrerade
Den registrerade har enligt bestämmelserna i dataskyddsförordningen bl.a. rätt att vända sig till den personuppgiftsansvarige för att få bekräftelse på om personuppgifter som rör honom eller henne behandlas, ett s.k. registerutdrag. I registerutdraget ska den personuppgiftsansvarige ge den registrerade tillgång till personuppgifterna samt lämna information om bl.a. ändamålen med behandlingen samt de kategorier av personuppgifter som behandlingen omfattar (artikel 15). Den registrerade har även rätt att begära rättelse (artikel 16), radering (artikel 17) och begränsning av behandling (artikel 18). Det är dock möjligt att i medlemsstaternas nationella rätt införa bestämmelser som för vissa syften begränsar dessa rättigheter, under förutsättning att begränsningen sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd. En sådan begränsning får exempelvis ske i syfte att säkerställa en medlemsstats nationella mål av generellt allmänt intresse, däribland folkhälsa och social trygghet.
Kapitel IV i dataskyddsförordningen innehåller bestämmelser om personuppgiftsansvariga och personuppgiftsbiträden. Det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att principerna ovan efterlevs (principen om ansvarsskyldighet, artikel 24). Varje personuppgiftsansvarig ska föra ett register över behandling som utförs under dennes ansvar (artikel 30). Om det inträffar en personuppgiftsincident är den personuppgiftsansvarige skyldig att utan onödigt dröjsmål anmäla denna till tillsynsmyndigheten (artikel 33). Den personuppgiftsansvarige är även skyldig att utnämna ett dataskyddsombud under förutsättningar som närmare anges i dataskyddsförordningen (artikel 37).
I kapitel V finns bestämmelser som reglerar förutsättningarna för att få överföra personuppgifter till ett tredje land eller till en internationell organisation. Sådana överföringar får endast ske under särskilda förutsättning som räknas upp i kapitlet. Det handlar t.ex. om
att mottagaren kan säkerställa en adekvat skyddsnivå enligt ett särskilt beslut från Europeiska kommissionen eller att överföringen i sig omfattas av lämpliga skyddsåtgärder.
Kapitel VII innehåller bestämmelser om inrättandet av den Europeiska dataskyddsstyrelsen (artikel 68). Genom kapitel VIII infördes bestämmelser om administrativa sanktionsavgifter (artikel 83). Möjligheten att påföra sanktionsavgifter vid överträdelser är en nyhet i förhållande till dataskyddsdirektivet.
5. Sekretess och tystnadsplikt
5.1. Kort bakgrund
Personal inom hälso- och sjukvården och inom socialtjänsten kommer dagligen i kontakt med uppgifter som rör enskilda personer. Många av uppgifterna rör hälsa och andra personliga förhållanden. Det är därför av vikt att personer kan vända sig till vård och omsorg i trygg förvissning om att deras uppgifter skyddas mot bl.a. obehörig åtkomst. Tidigare har utredningen beskrivit dataskyddsförordningen och andra regelverk som syftar till att skydda enskildas personuppgifter (se kapitel 3 och 4). Därutöver finns bestämmelser om sekretess och tystnadsplikt som också ger skydd mot spridning av integritetskänsliga uppgifter. För det allmännas verksamhet finns bestämmelser om sekretess och tystnadsplikt i offentlighets- och sekretesslagen (2009:400), förkortad OSL. Flera av sekretessreglerna skyddar uppgifter om personliga förhållanden. Sådana uppgifter torde i många fall samtidigt utgöra personuppgifter i dataskyddsförordningens mening.
I 21 kap. 7 § offentlighets- och sekretesslagen finns en sekretessbestämmelse som innehåller en direkt koppling till regelverket om dataskydd. Enligt den bestämmelsen gäller sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen. Bestämmelsen gäller när myndigheter lämnar ut personuppgifter, oavsett i vilket sammanhang personuppgifterna förekommer.
Det finns särskilda sekretessregler som tillämpas i verksamheter som avser hälso- och sjukvård och socialtjänst. Bestämmelserna syftar till att skydda uppgifter om personers hälsa och andra personliga förhållanden. I många fall rör det sig om sådana känsliga personuppgifter om hälsa som beskrivits i det föregående (se avsnitt 4.8.2). I det följande beskrivs regelverket om sekretess och tystnadsplikt
översiktligt, med fokus på regleringen om sekretess för personuppgifter inom hälso- och sjukvården och socialtjänsten.
5.2. Allmänt om sekretess och tystnadsplikt
Sekretess definieras som ett förbud att röja en uppgift, vare sig det sker muntligen eller genom att lämna ut en allmän handling, eller på annat sätt (3 kap. 1 § OSL). En sekretessbelagd uppgift får inte röjas för enskilda eller för andra myndigheter (8 kap. 1 § OSL). Förbudet att röja uppgifter riktar sig både till myndigheten som sådan och till dess personal (2 kap. 1 § OSL). Kommunala företag där kommuner eller region utövar ett rättsligt bestämmande inflytande, jämställs i detta sammanhang med myndigheter (2 kap. 3 § OSL). För enskild (icke offentlig) verksamhet finns bestämmelser som föreskriver tystnadsplikt inom olika verksamheter där man behandlar sådana personuppgifter som typiskt sett är av känslig natur. Exempelvis finns bestämmelser i 6 kap. patientsäkerhetslagen (2010:659) om tystnadsplikt för personal inom enskild hälso- och sjukvård. Syftet är att personuppgifter inte ska få ett sämre skydd när de behandlas i enskild verksamhet än när motsvarande hantering sker hos en myndighet.
Otillåtet röjande av en sekretessbelagd uppgift är straffsanktionerat som brott mot tystnadsplikt enligt 20 kap. 3 § brottsbalken. Straffbestämmelsen avser både sådan tystnadsplikt som gäller offentliga funktionärer enligt offentlighets- och sekretesslagen och sådana tystnadsplikter som gäller i enskild verksamhet och följer av andra författningar. Avgörande för straffansvar är att man obehörigen åsidosätter en lagstadgad tystnadsplikt.
Ett röjande sker när uppgift eller allmän handling som omfattas av sekretess lämnas ut eller uppgifterna berättas vidare. I förarbetena till sekretesslagstiftningen betonas att bestämmelsen avser varje form av röjande, oavsett på vilket sätt det sker.1 Syftet är att skydda den sekretessbelagda uppgiften från att spridas utanför den aktuella verksamheten.
Vid en sekretessprövning görs i princip en bedömning av den skada eller det men (olägenhet) som uppstår om uppgifterna skulle lämnas ut i det aktuella fallet. För att en person ska lida skada eller
1Prop. 1979/80:2 Del A, s. 119 f.
men krävs att uppgifterna är hänförliga till personen. Avidentifierade uppgifter kan därför i princip lämnas ut utan hinder av sekretess.2
En grundprincip är att personen själv kan bestämma över de uppgifter som rör honom eller henne och därmed också kan välja att efterge sekretessen (12 kap. 2 § OSL). Man kan följaktligen lämna sitt samtycke till att en sekretesskyddad uppgift lämnas till annan person eller myndighet. I sådana fall utgör utlämnandet inte ett otillåtet röjande.
5.3. Sekretess gäller mellan myndigheter och mellan självständiga verksamhetsgrenar
Av offentlighets- och sekretesslagen följer att sekretess gäller mellan myndigheter. Nämnder inom en kommun eller region är att betrakta som egna myndigheter. Tidigare fanns det i princip en kommunal nämnd för varje verksamhetsområde. Införandet av den fria kommunala nämndorganisationen har inneburit att en kommun eller region har möjlighet att dela in t.ex. hälso- och sjukvården på flera sektorer som organisatoriskt hör till olika nämnder. Likaså kan en kommun på motsvarande sätt välja att dela upp socialtjänstens arbetsuppgifter på flera nämnder. Om en kommun eller en region av organisatoriska skäl väljer att dela upp en verksamhet på t.ex. olika distriktsnämnder, uppstår därför sekretessgränser mellan verksamheterna, trots att verksamheterna tidigare ansetts utgöra en enhet från sekretessynpunkt.3
Sekretess råder också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL). Det är inte helt lätt att avgöra när det finns självständiga verksamhetsgrenar inom en myndighet. Problematiken har bl.a. berörts i förarbetena till patientdatalagen (2008:355). Där beskrivs svårigheterna med att klargöra var sekretessgränser går när exempelvis hälso- och sjukvård respektive socialtjänst – som är olika verksamhetsgrenar i offentlighets- och sekretesslagens mening – bedrivs inom samma myndighet.4 I samma förarbeten uttalade regeringen att när det gäller sådan hälso- och sjukvård som lyder under
2Prop. 1979/80:2 Del A s. 84.
3Prop. 2007/08:126 s. 164 f. 4Prop. 2007/08:126 s. 167 f.
samma nämnd inom ett landsting eller en kommun utgör de en och samma verksamhetsgren i sekretesslagstiftningens mening.5 Det innebär att någon sekretessprövning enligt offentlighets- och sekretesslagen inte behöver göras när uppgifter överförs mellan olika vårdinrättningar, t.ex. från ett sjukhus till en vårdcentral, så länge som dessa sorterar under samma nämnd.
Offentlighets- och sekretesslagen innehåller en sekretessbrytande bestämmelse som säger att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning (10 kap. 28 § OSL). Det är en generell regel som medför att sekretessen mellan myndighet ger vika för uppgifter som omfattas av uppgiftsskyldighet. Bestämmelsen är tillämplig både när det gäller att lämna uppgifter mellan myndigheter och mellan självständiga verksamhetsgrenar inom en och samma myndighet. Däremot är bestämmelsen inte tillämplig vid utlämnande till enskild verksamhet.
Sekretess följer inte automatiskt med när en uppgift lämnas till en annan myndighet. För att uppgiften ska omfattas av sekretess även hos den mottagande myndigheten ska sekretess antingen följa av en primär sekretessbestämmelse som är tillämplig hos den mottagande myndigheten, eller av en bestämmelse om överföring av sekretess. Motsvarande gäller även om en myndighet har elektronisk tillgång till en sekretessreglerad uppgift hos en annan myndighet (7 kap. 2 § OSL). Med elektronisk tillgång avses t.ex. sådan direktåtkomst till journaluppgifter som sker inom hälso- och sjukvård genom sammanhållen journalföring. Det finns en särskild regel om överföring av sekretess vid myndigheters direktåtkomst till andra myndigheters upptagningar för automatiserad behandling (11 kap. 4 § OSL). Vid direktåtkomst gäller alltså sekretessen hos ursprungsmyndigheten även hos den mottagande myndigheten.
5.4. Sekretess och tystnadsplikt inom hälso- och sjukvården
Personuppgifter om hälsa och andra personliga förhållanden är av naturliga skäl integritetskänsliga. Sekretess gäller inom hälso- och sjukvården för uppgift om hälsotillstånd eller andra personliga för-
hållanden, om det inte står klart att uppgiften kan röjas utan att personen eller någon närstående lider men. Detsamma gäller i annan medicinsk verksamhet, exempelvis rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, omskärelse och åtgärder mot smittsamma sjukdomar (25 kap. 1 § OSL). Sekretessbestämmelsen är utformad med ett s.k. omvänt skaderekvisit vilket innebär att presumtionen är att uppgifterna skyddas av sekretess.
Med uttrycket hälso- och sjukvård förstås först och främst den öppna och slutna sjukvård som regleras i hälso- och sjukvårdslagen (2017:30). Hit hör också den förebyggande medicinska hälsovården, t.ex. den som bedrivs vid mödra- och barnavårdscentralerna och inom den psykiatriska barn- och ungdomsvården. Även tandvården hör till hälso- och sjukvården.6
För personal inom enskild hälso- och sjukvård finns en lagstadgad tystnadsplikt i 6 kap.12–14 §§patientsäkerhetslagen. Där anges bl.a. att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en persons hälsotillstånd eller andra personliga förhållanden.
Begreppet ”personliga förhållanden” ska enligt offentlighets- och sekretesslagens förarbeten tolkas utifrån vanligt språkbruk och kan avse en mängd olika uppgifter. Allt från uppgifter om en psykisk sjukdom till uppgifter om en enskilds adress och ekonomi omfattas.7Av det sagda följer att i stort sett alla personuppgifter som förekommer i hälso- och sjukvårdens verksamhet omfattas av sekretess.
5.5. Sekretess och tystnadsplikt inom socialtjänsten
Uppgifter om enskilds personliga förhållanden i socialtjänsten skyddas i regel av stark sekretess När det gäller den offentligt utförda socialtjänsten gäller sekretess för uppgift om enskilds personliga förhållanden om det inte står klart att uppgiften kan röjas utan att den enskilde eller närstående lider men (26 kap. 1 § OSL).
Med socialtjänst förstås enligt samma bestämmelse huvudsakligen verksamhet enligt lagstiftningen om socialtjänst och den sär-
6 Eva Lenberg m.fl., Offentlighets- och sekretesslagen, kommentaren till 25 kap. 1 § offentlighets- och sekretesslagen, JUNO version:21. 7Prop. 1979/80:2 Del A, s. 84.
skilda lagstiftningen om vård av unga och missbrukare utan samtycke samt verksamhet som i annat fall enligt lag bedrivs av socialnämnd eller av Statens institutionsstyrelse. Begreppet ”personliga förhållanden” ska ges motsvarande breda tolkning som gäller beträffande hälso- och sjukvårdssekretessen (jfr avsnitt 5.4). Allt från uppgifter om en psykisk sjukdom till uppgifter om en enskilds adress och ekonomi omfattas följaktligen.8
Inom enskild verksamhet i socialtjänsten finns bestämmelser om tystnadsplikt i 15 kap.1 och 2 §§socialtjänstlagen. Tystnadsplikten innebär ett förbud för den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet enligt socialtjänstlagen att obehörigen röja vad han eller hon därvid har fått veta om enskildas personliga förhållanden. Motsvarande tystnadsplikt finns i 29 § lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS. Den som bryter mot bestämmelsen kan dömas för brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken.
Uppgiften får lämnas ut om det i det enskilda fallet finns grund för att bryta sekretessen, t.ex. en uppgiftsskyldighet eller personens samtycke, alternativt att en sekretessprövning resulterar i att uppgifterna kan lämnas ut.
5.6. Sekretessbrytande regler inom hälso- och sjukvård och socialtjänst
För att sekretesskyddade uppgifter ska få överföras mellan myndigheter krävs att det finns bestämmelser som bryter sekretessen mellan myndigheterna. Som ovan nämnts finns en generell bestämmelse i offentlighets- och sekretesslagen som bryter sekretessen när det finns en lagstadgad uppgiftsskyldighet (se avsnitt 5.3). För hälso- och sjukvårdens del finns ett antal sekretessbrytande bestämmelser i 25 kap. offentlighets- och sekretesslagen. Sekretess hindrar exempelvis inte att uppgift lämnas från myndighet som bedriver verksamhet som avses i 25 kap. 1 §, dvs. hälso- och sjukvård eller annan medicinsk verksamhet, till en annan sådan myndighet i samma kommun eller region, dvs. som ingår i samma juridiska person (25 kap. 11 § punkt 1 och 2 OSL). Bestämmelsen gör det möjligt för en region eller kommun att fritt organisera sin hälso- och sjukvård utan
8Prop. 1979/80:2 Del A, s. 84.
hänsyn till att sekretess i princip råder mellan myndigheter. Regeln medför t.ex. ökade möjligheter till verksamhetsuppföljning inom en region eller en kommun. Även kommunala företag är att jämställa med myndigheter i detta sammanhang. Därmed är det tillåtet att utan hinder av sekretess lämna uppgifter mellan ett kommunalt bolag och den eller de nämnder i regionen som fullgör regionens arbetsuppgifter när det gäller hälso- och sjukvård.9 Någon motsvarande bestämmelse finns inte på socialtjänstens område.
Hälso- och sjukvårdssekretess hindrar inte att uppgift om en person, som på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till utlämnandet, lämnas ut för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd (25 kap. 13 § OSL). Under de förutsättningarna får en myndighet inom hälso- och sjukvården lämna ut uppgifterna till en annan sådan myndighet inom hälso- och sjukvården eller inom socialtjänsten, eller till enskild vårdgivare eller en enskild verksamhet på socialtjänstens område. Bestämmelsen möjliggör ett uppgiftsutlämnande både inom sjukvården och från sjukvården till socialtjänsten. Någon motsvarande bestämmelse finns inte på socialtjänstens område. En myndighet inom socialtjänsten kan alltså inte under motsvarande förutsättningar lämna ut uppgifter till andra myndigheter eller privata utförare inom socialtjänsten eller hälso- och sjukvården.
I 25 kap. 12 § offentlighets- och sekretesslagen finns en sekretessbrytande bestämmelse som ger möjlighet till uppgiftslämnande inom hälso- och sjukvården samt socialtjänsten i vissa situationer där den stränga sekretessen för dessa verksamheter har ansetts försvåra angeläget samarbete när man inte kan räkna med att få samtycke till uppgiftslämnande. De fall som avses gäller barn eller ungdomar som far illa, personer med missbruksproblem, patienter som vårdas enligt lagen om psykiatrisk tvångsvård (LPT) och lagen (1991:1129) om rättspsykiatrisk vård (LRV) samt väntade barn som behöver skydd under graviditeten. Motsvarande sekretessbrytande bestämmelse finns i 26 kap. 9 § offentlighets- och sekretesslagen i fråga om sekretess till skydd för personer inom socialtjänsten. Bestämmelserna möjliggör samverkan mellan socialtjänst och hälso- och sjukvård om vissa grupper av enskilda.
9 Eva Lenberg m.fl., Offentlighets- och sekretesslagen, kommentaren till 25 kap. 11 § offentlighets- och sekretesslagen, JUNO version:21.
Det finns en sekretessbrytande bestämmelse i 25 kap. 11 § punkt 3 offentlighets- och sekretesslagen som bryter hälso- och sjukvårdssekretessen när en uppgift lämnas till en myndighet som bedriver hälso- och sjukvård eller till en enskild vårdgivare i ett system med sammanhållen journalföring. En närmare genomgång av sekretess för uppgift som ingår i system med sammanhållen journalföring i hälso- och sjukvården görs i avsnitt 6.10. Det finns inga motsvarande bestämmelser om elektronisk direktåtkomst mellan olika verksamheter inom socialtjänsten. Således finns inte några motsvarande sekretessbrytande bestämmelser för socialtjänstens verksamheter.
6. Patientdatalagen
6.1. Allmänt om patientdatalagen
Patientdatalagen (2008:355), förkortad PDL, reglerar vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal. Patientdatalagen trädde i kraft 2008 och ersatte dåvarande patientjournallagen (1985:562) och lagen (1998:544) om vårdregister. I förarbetena till patientdatalagen angavs att en utgångspunkt med den nya patientdatalagen var att underlätta hanteringen av personuppgifter inom hälso- och sjukvården samtidigt som patientsäkerheten och patientens egen möjlighet till medverkan skulle stärkas. Regelverket anpassades för att på ett bättre sätt svara mot de nya möjligheter som fanns att utbyta patientinformation som lagrats elektroniskt. Ett uttalat syfte var också att underlätta informationsutbyte mellan vårdgivare och mellan vårdgivare och patient. Det betonades samtidigt att skyddet för patientens integritet skulle vara första prioritet.1
En av de stora nyheterna med patientdatalagen var möjligheten till sammanhållen journalföring över vårdgivargränser som infördes i 6 kap. patientdatalagen. Sammanhållen journalföring gör det möjligt för olika vårdgivare att genom elektronisk direktåtkomst utbyta information om patienter. Patientdatalagen innehåller även grundläggande bestämmelser om s.k. inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet (4 kap. PDL). Därtill finns bestämmelser om skyldighet att föra patientjournal (3 kap. PDL) och om nationella och regionala kvalitetsregister (7 kap. PDL).
Patientdatalagen är en ramlagstiftning, som anger vilka grundläggande principer som ska gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård. Patient-
datalagen syftar till att informationshantering inom hälso- och sjukvården ska vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet samt främjar kostnadseffektivitet. Samtidigt ska personuppgifter utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem (1 kap. 2 § PDL). Kompletterande och mer detaljerade bestämmelser finns i patientdataförordningen (2008:360) och i Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40).
I det följande görs en genomgång av de bestämmelser i patientdatalagen som är av särskilt intresse för utredningens uppdrag. Särskilt fokus läggs på bestämmelserna om direktåtkomst genom sammanhållen journalföring.
6.2. Patientdatalagens tillämpningsområde
Patientdatalagen är tillämplig på vårdgivares behandling av personuppgifter, oavsett om vården bedrivs i offentlig eller enskild regi. Med offentlig vårdgivare avses statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för. Med privat vårdgivare avses annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (1 kap. 3 § PDL). Vårdgivare definieras på motsvarande sätt i patientsäkerhetslagen (2010:659), förkortad PSL.
Begreppet hälso- och sjukvård i patientdatalagen omfattar verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.
Patientdatalagen omfattar behandling av personuppgifter i all
individinriktad patientverksamhet som innefattar vård, undersök-
ning eller behandling. Det betyder att även sådan individinriktad
patientvård som inte ingår i begreppet hälso- och sjukvård enligt hälso- och sjukvårdslagen omfattas av patientdatalagen.2Patientdatalagen är däremot inte tillämplig på den behandling av personuppgifter som förekommer hos myndigheter som visserligen agerar inom hälso- och sjukvårdssektorn men som inte bedriver individinriktad patientvård, såsom Socialstyrelsen, Läkemedelsverket, Smittskyddsinstitutet och Hälso- och sjukvårdens ansvarsnämnd. Även verksamhet vid sjukvårdshuvudmännens läkemedelskommittéer och patientnämnder faller utanför patientdatalagens tillämpningsområde. Medicinsk forskning omfattas inte heller av patientdatalagens regelverk. Undantaget är patientnära eller klinisk forskning hos en vårdgivare som innefattar journalföring eller annan dokumentation som hör till vården. Behandling av personuppgifter i den rent administrativa verksamheten hos en vårdgivare faller också utanför patientdatalagens tillämpningsområde.3 Behandling av personuppgifter i verksamhet som faller utanför patientdatalagen regleras av dataskyddsförordningen, dataskyddslagen eller annan registerförfattning.
Patientdatalagen tillämpas på all helt eller delvis automatiserad behandling av personuppgifter samt manuell behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Regleringen är således inte begränsad till särskilda datoriserade register, databaser eller andra elektroniska uppgiftssamlingar inom hälso- och sjukvården.4
6.3. Patientdatalagens förhållande till dataskyddsförordningen
Som tidigare nämnts är dataskyddsförordningen direkt tillämplig i varje medlemsstat och har företräde framför nationell lagstiftning. Dataskyddsförordningen ger dock utrymme för kompletterande nationella bestämmelser av olika slag. Patientdatalagen är en sådan registerförfattning vars bestämmelser utgör en kompletterande nationell reglering på hälso- och sjukvårdens område. I patientdatalagen har
2 I 2 kap. 1 § hälso- och sjukvårdslagen definieras begreppet hälso- och sjukvård som åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador, sjuktransporter, och omhändertagande av avlidna. Hälso- och sjukvårdslagen omfattar inte tandvård enligt tandvårdslagen. 3Prop. 2007/08:126 s. 49 ff. och 222. 4Prop. 2007/08:126 s. 48.
man tagit in en upplysning om att patientdatalagen kompletterar dataskyddsförordningen (1 kap. 4 § PDL). Patientdatalagen innehåller bestämmelser som särskilt gäller för vårdgivares behandling av patientuppgifter i förhållande till annan behandling av personuppgifter.
Inför att dataskyddsförordningen skulle börja tillämpas i Sverige gjorde Socialdataskyddsutredningen en översyn av registerförfattningarna inom Socialdepartementets verksamhetsområde. Socialdataskydds-
utredningens slutsats var att bestämmelser i registerförfattningar som
reglerar vilka typer av behandlingar och uppgifter författningen ska tillämpas på inte behövde ändras med anledning av dataskyddsförordningen. Dataskyddsförordningen ledde alltså inte till någon ändring av patientdatalagens tillämpningsområde.5
6.4. Tillåtna ändamål för behandling enligt 2 kap. 4 § patientdatalagen
6.4.1. Inledning
Stora delar av hälso- och sjukvårdens behandling av personuppgifter rör integritetskänsliga uppgifter. Grundprincipen är att aktörer inom hälso- och sjukvården får behandla sådana personuppgifter utan personens samtycke. I samband med att patientdatalagen infördes ansågs det därför av principiella skäl viktigt att uttryckligen och så uttömmande som möjligt reglera för vilka ändamål personuppgifter får behandlas i patientdatalagen. Syftet med ändamålsbestämningen i patientdatalagen är att ange en yttersta ram för när personuppgifter får samlas in och behandlas. En och samma behandling av personuppgifter kan ske för mer än ett ändamål. Särskilt gäller detta i sådana stora elektroniska informationssystem som integrerar en mängd olika funktioner.6
Patientdatalagens ändamålbestämning anger att personuppgifter får behandlas inom hälso- och sjukvården om det behövs för något av följande ändamål (2 kap. 4 § PDL).7
5SOU 2017:66 s. 208 f. och 317 f. 6Prop. 2007/08:126 s. 56 f. 7 Observera att 7 kap. patientdatalagen innehåller särskilda bestämmelser om ändamål med behandling av personuppgifter i nationella och regionala kvalitetsregister, se avsnitt 6.11.
- Att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter (p 1),
- Administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall (p 2),
- Att upprätta annan dokumentation som följer av lag, förordning eller annan författning (p 3),
- Att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten (p 4),
- Administration, planering, uppföljning, utvärdering och tillsyn av verksamheten (p 5), eller
- Att framställa statistik om hälso- och sjukvården (p 6).
6.4.2. Vårddokumentation (2 kap. 4 § 1 och 2 PDL)
De ändamål som anges i punkterna 1 och 2 kan beskrivas som vårddokumentation. Att ändamålen tas upp i två punkter och inte i en enda har ingen saklig betydelse. Båda punkterna tar sikte på den individinriktade patientverksamheten. En viktig bas i denna informationshantering är patientjournalhanteringen och den administration som behövs av patientvården. Med administration i punkten 2 avses såväl patientrelaterad ekonomiadministration som annan administration som behövs för eller föranleds av vård i enskilda fall.8
6.4.3. Annan dokumentation (2 kap. 4 § 3 PDL)
Punkten 3 avser annan dokumentation än vårddokumentation som hälso- och sjukvården är skyldig att utföra. Det finns t.ex. en rad författningar som föreskriver att hälso- och sjukvården ska lämna ut uppgifter till olika myndigheter. I allmänhet rör det sig här om utlämnande av uppgifter som primärt har samlats in som vårddokumentation. Uppgifterna kan då normalt tillhandahållas utan någon föregående bearbetning av dem (”återanvändning”). Ibland kan emellertid uppgiftsskyldigheten förutsätta en viss särskild personuppgiftsbehandling där dokumentationen utformas utifrån hur upp-
giftsskyldigheten ska fullgöras. I sådana fall är det inte fråga om en ren ”återanvändning” av redan insamlade personuppgifter. Personuppgiftsbehandling av det slaget kan bli aktuell exempelvis då en myndighet inom hälso- och sjukvården är skyldig att anmäla misstanke om att ett barn far illa enligt 14 kap. 1 § socialtjänstlagen.
6.4.4. Kvalitetssäkring (2 kap. 4 § 4 PDL)
Kravet på hälso- och sjukvården att kvalitetssäkra framgår av 31 § hälso- och sjukvårdslagen (1982:763), som föreskriver att kvaliteten inom hälso- och sjukvården systematiskt och fortlöpande ska utvecklas och säkras. I 16 § tandvårdslagen (1985:125) finns en motsvarande bestämmelse om kvalitetssäkring. Detta ändamål ger lagstöd för behandling av personuppgifter inom vad som brukar kallas systematiskt kvalitetsarbete. Lydelsen har en direkt koppling till vårdgivares skyldighet enligt hälso- och sjukvårdslagen att aktivt arbeta med verksamhets- och kvalitetsutveckling (jfr formuleringen att ”kvaliteten inom hälso- och sjukvården systematiskt och fortlöpande ska utvecklas och säkras” i 5 kap. 4 § HSL).
Att kvalitetssäkring tas upp som en särskild punkt beror bl.a. på den centrala roll som kvalitetssäkringsarbetet har inom hälso- och sjukvården. Kvalitetssäkringsarbete kan ske i många former och med olika metoder. En speciell form är verksamheten med hälso- och sjukvårdens kvalitetsregister.9
I förarbetena till bestämmelsen anges att användning av modern informationsteknik avsevärt förbättrat möjligheterna att arbeta med kvalitetssäkring. I huvudsak rör det sig om att personuppgifter som samlats in och behandlas för det primära ändamålet vårddokumentation, men det förekommer också behandling av personuppgifter för det primära ändamålet kvalitetssäkring. Ibland är denna uppgiftsinsamling integrerad med det individinriktade arbetet. Det kan därför vara svårt att i praktiken avgöra vad som är det övergripande syftet med en viss behandling av personuppgifter. Det ansågs dock inte vara något problem att ändamålen ibland är överlappande, så länge som den personuppgiftsansvarige är klar över och tydlig med
för vilka olika ändamål behandlingen av personuppgifter genom insamling sker.10
6.4.5. Administration m.m. (2 kap. 4 § 5 PDL)
I punkten 5 avses administration och planering på ett mer övergripande plan än vad som avses med den patientadministration som omfattas av ändamålet vårddokumentation (punkterna 1 och 2). Punkten 5 gör det möjligt för hälso- och sjukvården att bedriva verksamhetsuppföljning med individuppgifter. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestämts för denna. Personuppgiftsbehandling får också förekomma för att vårdgivaren ska kunna bedriva tillsyn av sin verksamhet.11
6.4.6. Statistik (2 kap. 4 § 6 PDL)
Enligt punkten 6 får personuppgifter behandlas för statistikändamål. Med detta menas inte s.k. verksamhetsstatistik, som ryms inom ändamålet i punkten 5, utan annan statistik. Exempel är sådan statistik som regionerna tar fram för att informera befolkningen om hälso- och sjukvårdsverksamheten. Det är tillåtet att samköra personuppgifter i olika register eller datasystem inom hälso- och sjukvården, om samkörningen sker för något eller några av de ändamål som anges i paragrafen. Detsamma gäller om samkörningen sker för ändamål som inte är oförenliga med dessa ändamål.
6.4.7. Principen om ändamålsbegränsning (finalitetsprincipen, 2 kap. 5 § PDL)
Finalitetsprincipen följer av artikel 5.1 b i dataskyddsförordningen och innebär att personuppgifter som har samlats för att behandlas för särskilda, uttryckligt angivna och berättigade ändamål inte får behandlas även för andra, nya ändamål, om dessa är oförenliga med de ursprungliga ändamålen. Principen hindrar inte att insamlade
10Prop. 2007/08:156 s. 57 f. 11Prop. 2007/08:126 s. 228 f.
personuppgifter får behandlas för historiska, statistiska eller vetenskapliga ändamål, eftersom sådana ändamål per definition inte ska anses vara oförenliga med de ursprungliga insamlingsändamålen.12
En motsvarighet till finalitetsprincipen har tagits in i 2 kap. 5 § patientdatalagen. Där klargörs att personuppgifter som behandlas enligt 2 kap. 4 § patientdatalagen även får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Uppräkningen i 2 kap. 4 § patientdatalagen är därför inte en helt uttömmande beskrivning av för vilka ändamål vårdgivare får behandla personuppgifter.
Personuppgifter som behandlas för ändamål som anges i 2 kap. 4 § patientdatalagen får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
6.4.8. Den enskildes inställning till behandling av personuppgifter
Behandling av personuppgifter som är tillåten enligt patientdatalagen får utföras även om den enskilde motsätter sig den (2 kap. 3 § PDL). Det gäller dock inte i de fall som anges i 4 kap. 4 §, 6 kap. och 7 kap. 2 § eller om något annat framgår av annan lag eller förordning.
- I 4 kap. 4 § patientdatalagen finns bestämmelser om att en patient har möjlighet att begränsa hälso- och sjukvårdspersonalens elektroniska åtkomst till uppgifter om patienten.
- Av 6 kap. patientdatalagen framgår att en patient på olika sätt kan bestämma huruvida uppgifter om denne ska vara tillgängliga vid sammanhållen journalföring.
- I 7 kap. 2 § patientdatalagen föreskrivs att en patient kan motsätta sig att uppgifter om patienten behandlas i ett nationellt eller regionalt kvalitetsregister.
12Prop. 2007/08:126 s. 60. Finalitetsprincipen kommer till uttryck i dataskyddsförordningen, se närmare beskrivning ovan under avsnitt 4.5.1.
Behandling av personuppgifter som inte är tillåten enligt patientdatalagen får ändå ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Paragrafen kan sägas ge uttryck för principen att en enskilds uttryckliga samtycke till en viss behandling av personuppgifter normalt ska respekteras.13 Det gäller dock inte i de fall som anges i 6 kap. 5 § patientdatalagen. Enligt den bestämmelsen får en vårdgivare inte behandla en annan vårdgivares uppgifter om en patient i systemet med sammanhållen journalföring under andra förutsättningar än dem som anges i 3 och 4 §§ även om patienten uttryckligen samtycker till det. När det gäller sammanhållen journalföring har man således gjort ett undantag från principen att en persons samtycke normalt ska respekteras.
Man kan fråga sig hur bestämmelsen i 2 kap. 3 § patientdatalagen är förenlig med skrivningarna i dataskyddsförordningen om att samtycke inte är en tillåten grund för behandling av personuppgifter i de fall då det råder betydande ojämlikhet mellan parterna, särskilt då den personuppgiftsansvarige är en offentlig myndighet (jfr skäl 43 i dataskyddsförordningen).
Socialdataskyddsutredningen bedömde vid sin genomgång av
registerförfattningars förenlighet med dataskyddsförordningen att bestämmelsen i 2 kap. 3 § om samtycke kan behållas. Utredningen ansåg att i de fall det finns bestämmelser om samtycke i registerförfattningar, har lagstiftaren tidigare gjort en avvägning och bedömt att det är lämpligt för en myndighet eller någon annan aktör att grunda en behandling av personuppgifter i ett särskilt fall på ett giltigt samtycke.14 Även regeringen ansåg att bestämmelsen kan behållas, och framhöll att även en myndighet har utrymme för samtycke som rättslig grund t.ex. om den registrerade har fri valmöjlighet eller utan problem kan vägra eller ta tillbaka sitt samtycke, jfr slutet av skäl 42 dataskyddsförordningen.15 Detta stämmer väl med hälso- och sjukvårdslagens grundsats att all vård är frivillig och inte kan tvingas på någon (här bortses från viss tvångslagstiftning). Regleringen i 2 kap. 3 § patientdatalagen får därmed – baserat på
Socialdataskyddsutredningens och regeringens uttalanden – anses ut-
göra ett undantag från skrivningen i skäl 43 dataskyddsförordningen.16
13Prop. 2007/07:126 s. 227. 14SOU 2017:66 s. 230. 15Prop. 2017/18:171 s. 87 f. 16 Manólis Nymark, Patientdatalagen,kommentaren till 2 kap. 3 §, JUNO version:1C.
6.5. Vårdgivares personuppgiftsansvar enligt patientdatalagen
I patientdatalagen finns en bestämmelse som slår fast att vårdgivaren är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I region och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför (2 kap. 6 § första stycket PDL). Regleringen kan ses som ett utflöde av den grundläggande principen i dataskyddsförordningen att den som bestämmer ändamål och medel för behandlingen av personuppgifter är personuppgiftsansvarig.
En vårdgivare som använder sig av direktåtkomst och bereder sig tillgång till personuppgifter hos andra vårdgivare för att söka efter eller läsa vårddokumentation blir personuppgiftsansvarig för den personuppgiftsbehandling som detta innebär (2 kap. 6 § andra stycket PDL). Detta hänger samman med att begreppet behandling av personuppgifter infattar alla åtgärder som vidtas beträffande personuppgifter. Vid hantering av personuppgifter i elektronisk form omfattas därmed varje åtgärd som vidtas av vårdgivaren i fråga om en personuppgift, även att endast ha sådan åtkomst som avses med direktåtkomst. Bestämmelsen har förts in som ett klargörande av principen i 2 kap. 6 § första stycket patientdatalagen.17 Den har betydelse främst i fråga om sådan åtkomst som förekommer vid sammanhållen journalföring, se nedan under avsnitt 6.6.2.
Vem eller vilka som är personuppgiftsansvariga vid samverkan mellan olika vårdgivare kan vara komplicerat att avgöra. Frågan har blivit allt mer aktuell, eftersom samarbeten mellan vårdgivare och andra aktörer ökar och den tekniska utvecklingen öppnar nya möjligheter att digitalt dela information kring patienter. I dataskyddsförordningen finns en allmän bestämmelse om vad som kännetecknar ett gemensamt personuppgiftsansvar (artikel 26 i dataskyddsförordningen, se närmare under avsnitt 4.4.4). Förutom klargörandet om personuppgiftsansvaret vid direktåtkomst innehåller patientdatalagen inga närmare bestämmelser om personuppgiftsansvaret vid samverkan mellan flera olika vårdgivare.
Patientdatautredningen uppmärksammade frågan och reflekte-
rade särskilt över vad som borde gälla när flera vårdgivare samverkar
17Prop. 2007/08:126 s. 61 f. och 230.
i system med sammanhållen journalföring. Utredningen konstaterade att det visserligen kan finnas skäl från integritetsskyddssynpunkt att peka ut vem som ska vara personuppgiftsansvarig. Det bedömdes dock som både olämpligt och omöjligt med hänsyn till de faktiska omständigheter och skiftande samarbetsformer som förekommer. Utredningen föreslog i stället att regleringen skulle ta sin utgångspunkt i att det vid sammanhållen journalföring är den som faktiskt har möjlighet att påverka om och hur en enskild behandling av personuppgifter ska företas, som bör vara personuppgiftsansvarig för den behandlingen. Vidare anförde utredningen att patientdatalagens allmänna bestämmelse om personuppgiftsansvar innebär att den vårdgivare som gör en personuppgift tillgänglig för andra genom att uppgiften dokumenteras utan att spärras, har personuppgiftsansvaret för att tillgängliggörandet sker på ett lagligt sätt. I ansvaret ingår således att se till att patienten ges sådan information om den sammanhållna journalföringen så att han eller hon kan ta ställning till en eventuell spärrning. Personuppgiftsansvaret omfattar även den fortsatta lagringen och det tillgängliggörande som sker därefter. Den vårdgivare som använder sin direktåtkomst och bereder sig tillgång till andra vårdgivares uppgifter för att söka efter och läsa vårddokumentation, blir som nämnts personuppgiftsansvarig för den personuppgiftsbehandling som detta innebär.18
6.6. Elektroniska former för att lämna ut personuppgifter
6.6.1. Inledning
Personuppgifter kan lämnas ut på olika sätt. Traditionellt har utlämnanden av patientuppgifter från en vårdgivare vanligen skett på papper, t.ex. via kopia av pappersjournal eller utskrift från dator. Till följd av den tekniska utvecklingen har det blivit allt vanligare att utlämnanden sker i elektronisk form. Det kan exempelvis ske via mejl, lagring på usb-minne, direktöverföring från ett datorsystem till ett annat eller att en mottagare får elektronisk tillgång till den utlämnande aktörens it-system. Informationsutbyten mellan myndigheter sker i dag vanligen elektroniskt genom en fråga-svar-funk-
18SOU 2006:82 s. 339 f.
tion. Den tekniska utvecklingen kommer sannolikt leda till att det utvecklas ytterligare former för att överföra uppgifter i elektronisk form.
Det är värt att notera att alla former för att lämna ut personuppgifter, elektroniska eller inte, utgör behandling av personuppgifter i dataskyddsförordningens mening. Dataskyddsförordningen gör i princip ingen åtskillnad mellan om utlämnandet av behandlade personuppgifter sker elektroniskt, manuellt på papper eller muntligt. Skyddet för fysiska personer ska vara detsamma, oberoende vilken teknik som används, och den personuppgiftsansvarige ska använda lämpliga tekniska eller organisatoriska åtgärder för att säkerställa detta (jfr skäl 15 och artikel 5.1 f i dataskyddsförordningen).
Registerförfattningar innehåller ofta bestämmelser som närmare preciserar formen för hur utlämnanden i elektronisk form får gå till. Motivet för att reglera sättet för utlämnandet är att själva den elektroniska formen kan medföra risker för otillbörliga integritetsintrång. Man har också ansett att mottagaren har större möjligheter att bearbeta den digitala informationen än om utlämnandet skett på papper.19 I registerförfattningar används olika begrepp för att beskriva elektroniska utlämnanden av personuppgifter. Följande begrepp används exempelvis i patientdatalagen.
- Utlämnande på medium för automatiserad behandling
- Elektronisk åtkomst
- Direktåtkomst
Begreppsbildningen är inte entydig och det saknas legaldefinitioner för begreppen. Det finns dock viktiga distinktioner mellan begreppen som bl.a. handlar om vilken sorts sekretessprövning den utlämnande myndighet har att göra och i vilken mån mottagaren har möjlighet att självständigt bereda sig tillgång till uppgifterna. Nedan görs en översiktlig genomgång av begreppen direktåtkomst, elektronisk åtkomst och utlämnande på medium för automatiserad behandling.
6.6.2. Direktåtkomst
Enligt förarbetena till patientdatalagen är direktåtkomst en viss form av elektroniskt utlämnande till en extern mottagare. Den som är ansvarig för informationen har inte kontroll över vilka uppgifter som en mottagare vid ett visst tillfälle tar del av (automatiserad tillgång) och mottagaren av informationen kan inte påverka innehållet i det informationssystem som informationen lämnas ut från.20 Ett annat sätt att uttrycka det är att den som behöver ta del av informationen kan bereda sig åtkomst på eget initiativ. Personuppgifterna finns potentiellt tillgängliga för den som önskar ta del dem, utan att den som gjort uppgifterna tillgängliga behöver fatta något formellt beslut om utlämnande i det enskilda fallet.21
Vid direktåtkomst anses de uppgifter som omfattas av åtkomsten och finns potentiellt tillgängliga för andra vara utlämnande i tryckfrihetsförordningens mening redan genom att åtkomst medges.22Detta avviker från ett traditionellt utlämnande av allmänna handlingar som förutsätter att en sekretessprövning görs i det enskilda fallet innan uppgifterna lämnas ut.
Bestämmelser som bara medger direktåtkomst har inte i sig sekretessbrytande effekt utan de måste kombineras med särskilda sekretessbrytande regler om direktåtkomsten ska omfatta sådana uppgifter som det kan gälla sekretess för. Sådana bestämmelser har tagits in i offentlighets- och sekretesslagen (2009:400) förkortad OSL, se avsnitt 5.6. Det finns också en särskild regel om överföring av sekretess i offentlighets- och sekretesslagen vid myndigheters direktåtkomst till andra myndigheters upptagningar för automatiserad behandling (se 11 kap. 4 § OSL).
Direktåtkomst inom hälso- och sjukvården anses vara en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter.23 Det har därför angetts i patientdatalagen att utlämnanden genom direktåtkomst bara får ske i den utsträckning som medges i lag eller förordning (5 kap. 4 § PDL). Något motsvarande krav på att direktåtkomst förutsätter stöd i författning finns dock inte i socialtjänsten.
20 Se t.ex. prop. 2004/05:164 s. 83. 21SOU 2014:23 s. 97. 22Prop. 2007/08:126 s. 120 ff. 23Prop. 2007/08:126 s. 76.
En lagstadgad form av direktåtkomst har förts in i 5 kap. 4 § andra stycket patientdatalagen. Om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun.
Patientdatalagen medger vidare att en person får ges direktåtkomst till sådana uppgifter om sig själv som behandlas för ändamålet vårddokumentation (5 kap. 5 § andra stycket PDL). Sådan direktåtkomst sker i dag t.ex. genom vårdens e-tjänst Journalen via 1177 Vårdguiden.
6.6.3. Elektronisk åtkomst
I 4 kap. patientdatalagen används begreppet elektronisk åtkomst för att beskriva personalens möjligheter att inom vårdgivaren bereda sig tillgång till personuppgifter som finns elektroniskt tillgängliga inom organisationen. Medan direktåtkomst beskriver ett sätt för utlämnande, beskriver elektronisk åtkomst uteslutande ett sätt att få tillgång till handlingar inom en organisation.24 Egentligen är det ingen skillnad i innebörden mellan direktåtkomst och elektronisk åtkomst, däremot i vilken situation de används. Båda begreppen definierar sättet eller formen för ett elektroniskt utlämnande, dvs. teknisk åtkomst till information. Elektronisk åtkomst enligt 4 kap. patientdatalagen medger dock – till skillnad från direktåtkomst – en möjlighet att också skriva och ändra informationen.25
6.6.4. Utlämnande på medium för automatiserad behandling
I princip anses elektroniskt utlämnande som inte sker genom direktåtkomst göras genom utlämnande på medium för automatiserad behandling. I patientdatalagen finns en bestämmelse som anger att om en personuppgift får lämnas ut, kan det ske på medium för automatiserad behandling (5 kap. 6 § PDL). Den bestämmelsen är alltså inte sekretessbrytande.
24Prop. 2007/08:126 s. 75. 25 Manólis Nymark, Patientdatalagen, inledningen till kommentarerna om 4 kap., JUNO version:1C.
Utlämnande på medium för automatiserad behandling innebär enligt förarbetena till patientdatalagen ett elektroniskt utlämnande utan möjlighet för mottagaren att själv bereda sig tillgång till uppgifterna. Exempel på utlämnande på medium för automatiserad behandling är t.ex. genom användning av mejl, utlämnande på cd-rom eller genom filöverföring från ett datorsystem till ett annat. Vid denna typ av utlämnande fattas ett beslut i varje enskilt fall om uppgifterna kan lämnas ut eller om de omfattas av sekretess. Som regel lämnas informationen ut i en form som medför att mottagaren kan bearbeta den. Bearbetningsmöjligheterna är dock inte avgörande för om det är fråga om ett utlämnande på automatiserat medium eller inte. Regeringen har anfört att de skäl som från integritetssynpunkt gör det befogat att särreglera elektronisk åtkomst och direktåtkomst väger avsevärt lättare när det handlar om utlämnande på medium för automatiserad behandling på hälso- och sjukvårdens område.26
Gränsdragningen mellan direktåtkomst och utlämnande på medium för automatiserad behandling har belysts av Högsta förvaltningsdomstolen i den s.k. LEFIOnline-domen (HFD 2015 ref. 61). Försäkringskassan hade gett handläggare hos socialnämnder tillgång till uppgifter ur Försäkringskassans databas LEFI Online. Informationsutbytet skedde genom en fråga-svar-funktion. Frågan i målet var om socialnämndernas åtkomst till uppgifterna var att anse som direktåtkomst i socialförsäkringsbalkens mening – vilket i sådana fall ställde krav på vissa begränsningar när det gällde vilka uppgifter handläggarna fick ta del av – eller om det i stället var fråga om utlämnande på medium för automatiserad behandling. Högsta förvaltningsdomstolen tog utgångspunkt i tryckfrihetsförordningens bestämmelser om allmänna handlingar. Av den tidigare lydelsen av 2 kap. 3 § andra stycket tryckfrihetsförordningen (nuvarande 2 kap. 6 § första stycket tryckfrihetsförordningen) framgår att en upptagning anses förvarad hos myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller uppfattas på annat sätt. De allmänna handlingar hos en myndighet som en annan myndighet får tillgång till genom direktåtkomst utgör allmänna handlingar även hos denna myndighet.27 Högsta förvaltningsdomstolen ansåg att den avgränsning som på detta sätt görs av
26Prop. 2007/08:126 s. 77. 27Prop. 2002/03:135 s. 90.
begreppet direktåtkomst enligt tryckfrihetsförordningen även kunde användas för att bestämma innehållet i begreppet direktåtkomst i socialförsäkringsbalkens mening. Det avgörande blev alltså om upptagningen kunde anses förvarad hos socialnämnderna i tryckfrihetsförordningens mening. I den delen gjorde Högsta förvaltningsdomstolen följande uttalande.
Socialnämnderna kan inte på egen hand söka information i socialförsäkringsdatabasen, utan ett utlämnande genom LEFI Online förutsätter att Försäkringskassan reagerar på en begäran om att de efterfrågade uppgifterna ska lämnas ut. Försäkringskassan får därigenom anses förfoga över frågan om och i så fall vilka uppgifter som ska lämnas ut. Någon sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen kan socialnämnderna således inte anses ha. Detta innebär att förfarandet inte är att betrakta som direktåtkomst enligt socialförsäkringsbalken.
6.7. Sammanhållen journalföring
Sammanhållen journalföring var av de stora nyheter som infördes i och med patientdatalagen. Reglerna om sammanhållen journalföring innebär att olika vårdgivare under vissa förutsättningar kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation. Genom systemet med sammanhållen journalföring får sjukvårdshuvudmännen och de privata vårdgivarna möjlighet att på frivillig väg bygga upp system för elektroniskt utlämnande i gemensamma databaser eller andra gränsöverskridande informationssystem för vårddokumentation.28 För socialtjänstens del har man inte infört någon reglering som likt sammanhållen journalföring tillåter olika utförare att under särskilda förutsättningar ha direktåtkomst till varandras dokumentation.
Vid sammanhållen journalföring dokumenterar varje vårdgivare uppgifter i sin egen journal. Det rör sig inte om någon gemensam journalhandling. Däremot tillåter sammanhållen journalföring vårdgivare att genom direktåtkomst ta del av varandras dokumenterade uppgifter.
Tanken är att dokumentation i form av patientjournalföring ska kunna följa med patienten i kontakten med olika vårdgivare. Syftet
med sammanhållen journalföring är att, med bibehållet integritetsskydd, öka patientsäkerheten genom enkel och snabb tillgång till information. Det handlar om att reducera risker för enskilda patienter i form av t.ex. felmedicineringar eller andra felbehandlingar, men även om att inte utsätta patienter för onödiga undersökningar, provtagningar m.m.29
Hur uppgifterna får behandlas i system med sammanhållen journalföring regleras i 6 kap. patientdatalagen. Utmärkande för sammanhållen journalföring är att uppgifterna finns potentiellt tillgängliga för den mottagande vårdgivaren utan att den vårdgivare som gjort uppgifterna tillgängliga behöver göra en sekretessprövning i det enskilda fallet. Bestämmelser som bryter sekretessen hos en vårdgivare som gör uppgifter tillgängliga respektive som föreskriver sekretess hos en vårdgivare som tar emot uppgifterna genom sammanhållen journalföring har tagits in i 25 kap. 11 § 3 och 25 kap. 2 § offentlighets- och sekretesslagen (se närmare under avsnitt 6.10). En vårdgivare som behöver ta del av information hos en annan vårdgivare kan på eget initiativ bereda sig åtkomst till informationen, utan att behöva gå den administrativt mer betungande vägen som ett traditionellt utlämnande av allmänna handlingar innebär.
6.8. Villkor för att göra uppgifter tillgängliga genom sammanhållen journalföring
Som nämnts ovan är det frivilligt för vårdgivare att delta i system med sammanhållen journalföring. Patientdatalagen ställer upp ett antal förutsättningar för att vårdgivaren ska få göra patienters uppgifter tillgängliga i system med sammanhållen journalföring (6 kap. 2 § PDL). Enligt huvudregeln gäller att följande förutsättningar ska vara uppfyllda.
- Vårdgivaren är skyldig att informera patienten om vad sammanhållen journalföring innebär. Sådan information ska lämnas innan uppgifterna görs tillgängliga i system med sammanhållen journalföring. Patientdatalagen reglerar inte närmare hur informationen ska ske, utan det är upp till vårdgivaren att hitta lämpliga former.30
29Prop. 2013/14:202 s. 10. 30SOU 2014:23 s. 97.
- Patienten har rätt att – efter att ha blivit informerad – motsätta sig att vårddokumentation om honom eller henne görs tillgänglig för andra vårdgivare genom direktåtkomst. Det krävs därmed inte något aktivt samtycke i detta första skede, utan regleringen är uppbyggd som en rätt att motsätta sig, s.k. opt out.
- Om patienten motsätter sig sammanhållen journalföring, får vårdgivaren inte göra uppgifterna tillgängliga för andra vårdgivare genom direktåtkomst (spärrade uppgifter). Observera att spärrade uppgifter kan begäras ut från vårdgivaren som en begäran att ta del av allmänna handlingar, men då får en sedvanlig sekretessprövning ske i det enskilda fallet.
- Om patienten inte motsätter sig detta, får vårddokumentation om honom eller henne göras tillgänglig genom direktåtkomst. Detta kallas ospärrade uppgifter. Dessa uppgifter finns då potentiellt tillgängliga för andra vårdgivare.
Från huvudregeln om att patienten själv styr vilka uppgifter som ska göras tillgängliga för andra vårdgivare har det i vissa fall funnits skäl att göra vissa undantag. Det ställs därför inte något krav på att samtycke ska ges av barnets vårdnadshavare för möjlighet att ta del av andra vårdgivares vårddokumentation. Det beror enligt förarbetena på att vårdnadshavare inte ges möjlighet att spärra barnets uppgifter i det första skedet.31 En vårdnadshavare till ett barn har alltså inte rätt att spärra sitt barns patientuppgifter (6 kap. 2 § fjärde stycket PDL). I det fallet anses skyddet för barnet väga tyngre än skyddet för den enskildes, i detta fall barnets, integritet. I takt med barnets stigande ålder och mognad får dock barnet självt spärra uppgifterna, se 6 kap. 11 § föräldrabalken.32
När det gäller patienter som inte endast tillfälligt saknar förmåga att ta ställning (nedan kallade patienter med permanent nedsatt beslutsförmåga) har man fört in en särskild bestämmelse i 6 kap. 2 a § patientdatalagen. Enligt denna bestämmelse får vårdgivare göra uppgifterna om en patient med permanent nedsatt beslutsförmåga tillgängliga för andra vårdgivare genom direktåtkomst om patientens inställning till sådan personuppgiftsbehandling så långt som möjligt klarlagts och det inte finns anledning att anta att patienten skulle ha
31Prop. 2007/08:126 s. 116. 32Prop. 2007/08:126 s. 116.
motsatt sig behandlingen av personuppgifterna. I samband med att bestämmelsen infördes angav regeringen att patienter som har permanent nedsatt beslutsförmåga, exempelvis äldre personer med sammansatta vårdbehov, stod utanför systemet med sammanhållen journalföring och därmed gick miste om de vinster i patientsäkerhet och kvalitet detta medför. Regeringen bedömde att behovet av skydd för dessa patienters liv och hälsa vägde tyngre än deras behov av skydd för den personliga integriteten.33
6.9. Förutsättningar för att mottagande vårdgivare ska få behandla uppgifter som gjorts tillgängliga genom sammanhållen journalföring
6.9.1. Grundläggande förutsättningar
För att en vårdgivare som är ansluten till ett system med sammanhållen journalföring ska få bereda sig åtkomst till uppgifter som en annan vårdgivare har gjort tillgängliga krävs enligt reglerna i patientdatalagen
- att uppgifterna rör en patient som vårdgivaren har en aktuell patientrelation med,
- att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården, eller för att bedöma behovet av eller utföra insatser enligt lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter,34 och
- att patienten samtycker till det (6 kap. 3 § första stycket PDL).
Regeringen ansåg att det dessutom var befogat att införa bestämmelser (6 kap. 4 § PDL) som innebär en möjlighet för vårdgivaren att i en akut nödsituation forcera en spärr i journalen vid en situation där patienten själv inte kan ge sitt medgivande, men där de spärrade upp-
33Prop. 2013/14:202 s. 21. 34 Notera att en vårdgivare inte får ha direktåtkomst genom sammanhållen journalföring till till personuppgifter som behandlas av en annan vårdgivare i en utredning enligt lagen (2018:744) om försäkringsmedicinska utredningar. I den lagen finns särskilda bestämmelser om direktåtkomst vid sådana utredningar. Detta framgår av 6 kap. 1 § patientdatalagen.
gifterna i journalen behövs för att kunna rädda patientens liv eller förhindra att patienten drabbas av allvarlig invaliditet. Liknande bestämmelser finns även för ospärrade uppgifter i fall där det föreligger en akut nödsituation och patientens samtycke inte kan inhämtas.35
Personuppgifter avseende en patient som har permanent nedsatt beslutsförmåga får som nämnts tidigare göras tillgängliga i sammanhållen journalföringen under vissa förutsättningar. I konsekvens med detta finns en bestämmelse som medger en mottagande vårdgivare att behandla dessa personuppgifter för patienter som inte har förmåga att samtycka till behandlingen av personuppgifter (6 kap. 3 a § PDL). För att få behandla uppgifterna krävs en bedömning av om patienten saknar förmåga att lämna det samtycke som i normala fall krävs för åtkomst till uppgifter i system med sammanhållen journalföring. Dessutom ska det vara uppgifter som rör en patient för vilken det finns en aktuell patientrelation och uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården. Hur omfattande åtgärder vårdgivaren behöver vidta för att klarlägga inställningen får avgöras av förhållandena i det enskilda fallet. Med ”inte finns anled-
ning att anta” menas att det inte ska föreligga konkreta omständig-
heter som visar att patienten skulle motsätta sig personuppgiftsbehandlingen36.
6.9.2. Aktuell patientrelation
Begreppet patientrelation är inte definierat i lagstiftningen. Patient-
datautredningen ansåg att det normalt inte borde uppstå några tvek-
samheter huruvida det finns en aktuell patientrelation eller inte. Enligt utredningen bör en patientrelation anses avslutad då en intagen sjukhuspatient skrivs ut som färdigbehandlad utan inplanerade återbesök, efterkontroller eller liknande. Vidare ansåg utredningen att detsamma bör gälla om patienten skrivs ut för fortsatt vård eller uppföljning hos primärvård i annan vårdgivares regi. Mer tveksamt kan det vara om en husläkare, och därmed den vårdgivare husläkaren hör till, ska anses ha en ständig aktuell patientrelation med alla de personer som tecknat sig hos läkaren. Enligt regeringen bör så
35Prop. 2007/08:126 s. 114. 36Prop. 2013/14:202 s. 43.
normalt inte vara fallet, men beträffande sådana patienter som regelbundet och relativt frekvent besöker eller har kontakt med sin husläkare kan en annan bedömning behöva göras. Trots att det är möjligt att komma åt även andra patienters information, får vårdgivaren således endast bereda sig åtkomst till information om de patienter som vårdas eller behandlas inom den egna verksamheten. Det är t.ex. inte tillåtet för en vårdgivare att i en behandlingssituation med en patient söka efter och bereda sig tillgång till vårddokumentation avseende en annan patient som vårdas hos en annan vårdgivare, exempelvis en nära släkting med samma sjukdomsdiagnos.37
Patientrelationen behöver inte uppstå genom ett fysiskt möte med personal hos en vårdgivare. Exempelvis måste den vårdgivare som tar emot en remiss från en annan vårdgivare, vare sig den är elektronisk eller i pappersform, anses ha en aktuell patientrelation med den patient som omfattas av remissen.38
Observera att det är vårdgivaren som sådan som ska ha en aktuell relation med patienten, inte hälso- och sjukvårdspersonalen. Bestämmelsen handlar alltså inte om vilka yrkesutövare hos en vårdgivare som får ta del av uppgifter. Detta regleras i stället i reglerna om inre sekretess i 4 kap. patientdatalagen. Med inre sekretess avses i patientdatalagen att endast den som arbetar hos en vårdgivare och som deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete får ta del av patientuppgifterna (4 kap. 1 § PDL).
6.9.3. Kan antas ha betydelse för patientens vård eller behandling
Det är enligt förarbetena till patientdatalagen av avgörande betydelse för allmänhetens förtroende för sammanhållen journalföring att den gränsöverskridande direktåtkomsten i huvudsak bara används för syften och i situationer som den enskilde kan förutse och ha kontroll över.39 Direktåtkomst vid sammanhållen journalföring får därför, med ett undantag, bara användas i vårdsyfte. Undantaget avser utfärdande av intyg om vården.
Den personal som avser att ta del av uppgifter om patienten måste därför bedöma att uppgifterna kan antas ha betydelse för patientens
37Prop. 2007/08:126 s. 252. 38SOU 2014:23 s. 373. 39Prop. 2007/08:126 s. 117.
vård eller behandling. Rekvisitet ”kan antas” är ett förhållandevis lågt ställt krav, men innebär ändå att ett ställningstagande görs. Det ska på goda grunder kunna antas att uppgifterna har någon betydelse. Samtidigt kan inte alltför stora krav ställas på en vårdgivare. För att ta ett exempel torde det normalt kunna antas sakna betydelse för den somatiska vården av en patient att ta del av vad som antecknats hos en psykiatrisk öppenvårdsmottagning i en annan region för flera år sedan.40
Bestämmelsen bör ses som ett uttryck för att direktåtkomsten till andra vårdgivares uppgifter inte får användas för andra syften än vård och behandling eller intygsutfärdande, dvs. som en grundläggande bestämmelse om tillåtna ändamål för behandlingen av personuppgifter. Det innebär att det bara är tillåtet för vårdgivaren att använda uppgifterna för de uppräknade ändamålen.41
6.9.4. Patienten samtycker till det
Det tredje villkoret för att få bereda sig åtkomst genom sammanhållen journalföring är att patienten samtycker till det. I den situationen räcker det således inte att patienten inte motsätter sig att vårdgivaren tar del av uppgifterna. Med samtycke avses i detta skede ett aktivt samtycke från patienten till att direktåtkomst till en annan vårdgivares vårddokumentation används. Vidare ska det vara fråga om ett samtycke enligt den terminologi som används i dataskyddsförordningen, dvs. att samtycket är frivilligt, särskilt och otvetydigt.
Kravet på att samtycket ska vara frivilligt ger uttryck för att den enskilde verkligen ska ha ett val. En registrerad kan vidare inte lämna ett giltigt generellt samtycke till behandling av personuppgifter som inte är preciserad till något eller några ändamål. Det följer av kravet på att samtycket ska vara särskilt. Att samtycket ska vara otvetydigt anses innebära att det inte får råda någon tvekan om att den registrerade godtar behandlingen av personuppgifterna.42 Något formellt krav på att samtycket ska vara uttryckligt eller att det ska dokumenteras har dock inte uppställts, annat än att den personuppgiftsansvarige enligt artikel 5.2 ska kunna visa bl.a. att behandlingen är
40Prop. 2006/07:126 s. 252. 41 Manólis Nymark, Patientdatalagen, kommentaren till 6 kap. 5 §, JUNO version:1C. 42Prop. 2007/08:126 s. 252 f
laglig. Det anges i förarbetena att det är lämpligt att samtycket dokumenteras.43
Samtycket ska givetvis föregås av att patienten får information om vad han eller hon samtyckt till. Samtycket bör inhämtas då en person kommit som patient till en annan vårdgivare än den som har vårddokumentationen. Under förutsättning att kravet på att ett samtycke ska vara särskilt och otvetydigt uppfylls, kan det dock i vissa fall finnas utrymme att lämna ett samtycke i förväg, innan den aktuella patientrelationen har uppstått. Redan i det första skedet, dvs. då patienten är hos den vårdgivare som dokumenterat uppgifterna, kan med andra ord patienten inte bara låta bli att kräva en spärr, utan också lämna samtycke i förväg till att en viss eller vissa vårdgivare får använda direktåtkomst vid en planerad och konkret vårdsituation. Ett praktiskt exempel på då samtycke kan lämnas i förväg är då patienten befinner sig i en vårdprocess där patienten utreds eller får vård av flera olika vårdgivare i ett remissförfarande44
Hur länge ett samtycke gäller är beroende av den aktuella situationen. Bedömningen av hur lång tid samtycket ska gälla blir olika beroende på om det gäller ett enstaka besök på en mottagning eller en längre vårdprocess under ett visst sjukdomsförlopp. Om det går att förklara för patienten hur vårdperioden och den planerade vården ser ut och vad samtycket omfattar, kan det vara rimligt att hämta in ett samtycke för t.ex. en episod av hemsjukvård eller en vistelse på ett särskilt boende.45
6.10. Sekretess för uppgifter som ingår i system med sammanhållen journalföring inom hälso- och sjukvården
Bestämmelserna om direktåtkomst i patientdatalagen har i sig inte någon sekretessbrytande effekt, eftersom de bara anger vad som får ske, inte att uppgifter ska lämnas ut. Reglerna i patientdatalagen måste därför förstås utifrån reglerna om sekretess, uppgiftsskyldighet och sekretessbrytande regler. Patientuppgifter som ingår i systemen med sammanhållen journalföring omfattas i regel av den starka
43Prop. 2007/08:126 s. 252 f 44Prop. 2007/08:126 s. 116 och 252 f. 45 Utredningen om rätt information i vård och omsorgs promemoria [2013-12-31] Att ta del
av patientuppgifter i system för sammanhållen journalföring, s. 131 bilaga 4 till SOU 2014:23.
hälso- och sjukvårdssekretessen i 25 kap. 1 § offentlighets- och sekretesslagen. För att uppgifter som omfattas av sekretess överhuvudtaget ska få lämnas ut krävs att det finns sekretessbrytande regler i offentlighets- och sekretesslagen eller att det, vid utlämnanden mellan myndigheter, finns en uppgiftsskyldighet i annan lag eller förordning.
Redan då vårddokumentation förs in i den sammanhållna journalföringen utan att spärras, så att den är potentiellt tillgänglig för andra, sker ett utlämnande i tryckfrihetsförordningens och offentlighets- och sekretesslagens mening.46 För att den vårdgivare som gör uppgifter tillgängliga för andra vårdgivare vid sammanhållen journalföring inte ska behöva göra en sekretessprövning i varje enskilt fall, har man tagit in en bestämmelse om undantag från sekretess.47 Bestämmelsen anger att hälso- och sjukvårdssekretessen inte hindrar att en uppgift lämnas till en myndighet som bedriver hälso- och sjukvård eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen (25 kap. 11 § punkt 3 OSL).
När det gäller den vårdgivare som tar del av uppgifter genom sammanhållen journalföring finns en särskild sekretessbestämmelse. Bestämmelsen säger att sekretess gäller hos en myndighet som bedriver hälso- och sjukvårdsverksamhet för uppgift om personliga förhållanden som gjorts tillgänglig av en annan vårdgivare enligt bestämmelserna om sammanhållen journalföring. Sekretess gäller när de närmare förutsättningarna i 6 kap. patientdatalagen för att få behandla patientuppgifterna inte är uppfyllda (25 kap. 2 § första stycket OSL). Absolut sekretess gäller alltså hos en vårdgivare för sådana ospärrade uppgifter som finns potentiellt tillgängliga men som vårdgivaren saknar befogenhet att ta del av enligt patientdatalagen.
Handlingar med ospärrade uppgifter utgör som huvudregel allmänna handlingar hos alla offentliga vårdgivare som är anslutna till ett system med sammanhållen journalföring. Syftet med bestämmelsen om absolut sekretess i 25 kap. 2 § första stycket offentlighets- och sekretesslagen är ett en vårdgivare, som saknar befogenhet att ta del av ospärrade uppgifter från en annan vårdgivare, inte ska behöva ta del av dessa uppgifter bara för att kunna avgöra sekretessfrågan om uppgifterna begärs ut. Om en slagning i systemet med sammanhållen journalföring visar att det finns ospärrade uppgifter avseende
46 Prop 2007/08:126 s. 127 ff. 47Prop. 2007/08:126 s. 271.
den person som en begäran om att få ut allmänna handlingar avser, och vårdgivaren inte har rätt att del av uppgifterna enligt villkoren i patientdatalagen, behöver myndigheten alltså inte ta del av de ospärrade uppgifterna för att avgöra sekretessfrågan. Det räcker att konstatera att uppgifterna omfattas av absolut sekretess.48
Om förutsättningarna i patientdatalagen för att den anslutna vårdgivaren ska få behandla uppgifterna är uppfyllda, eller om myndigheten har behandlat uppgifterna enligt nämnda bestämmelser tidigare, gäller däremot sekretess med ett omvänt skaderekvisit. Sekretess gäller om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap. 2 § andra stycket OSL).
Observera att 25 kap. 2 § offentlighets- och sekretesslagen är tillämplig hos den mottagande myndigheten beträffande vårddokumentation hos annan vårdgivare som myndigheten har potentiell tillgång till genom elektronisk direktåtkomst. För den ”egna” vårddokumentationen som myndigheten gör tillgänglig i systemet tillämpas den vanliga bestämmelsen om hälso- och sjukvårdssekretess i 25 kap. 1 § offentlighets- och sekretesslagen.
Till skillnad från hälso- och sjukvårdspersonal i allmän hälso- och sjukvård omfattas inte personal i enskild hälso- och sjukvård av bestämmelserna i offentlighets- och sekretesslagen. För den enskilda hälso- och sjukvården gäller i stället bestämmelser om tystnadsplikt i 6 kap. patientsäkerhetslagen. Tystnadsplikten innebär ett förbud mot att obehörigen röja uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Vid tolkningen av obehörighetsrekvisitet har det ansetts naturligt att söka ledning i skaderekvisitet som finns i offentlighets- och sekretesslagstiftningen.49 Tystnadsplikten i den enskilda hälso- och sjukvården anses därför inte utgöra något hinder mot att enskilda vårdgivare gör uppgifter om patienter tillgängliga genom sammanhållen journalföring.50
48Prop. 2007/08:126 s. 269 f. 49Prop. 1980/81:28 s. 23 och prop. 1981/82:186 s. 26. 50Prop. 2007/08:126 s. 132 f.
6.11. Bestämmelser om kvalitetsregister
Nationella kvalitetsregister är en särskild kategori uppgiftssamlingar som finns inom hälso- och sjukvården, främst inom medicinska specialiteter. De har oftast byggts upp genom frivilliga initiativ av specialistföreningar för att användas som stöd för kvalitetsutveckling i det kliniska arbetet. Gemensamt för kvalitetsregistren är att inrapporteringen sker till följd av ett frivilligt åtagande från vårdgivarnas sida.51 Hanteringen av personuppgifter som samlas in från flera vårdgivare och behandlas i nationella eller regionala kvalitetsregister finns i 7 kap. patientdatalagen.
Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet (7 kap. 1 § PDL). Kvalitetsregistren gör det möjligt att göra jämförelser inom hälso- och sjukvården på nationell och regional nivå. Regelverket ger således stöd för en särskild form av verksamhetsuppföljning över vårdgivargränser.52
För att få registrera uppgifter i ett nationellt kvalitetsregister krävs att patienten inte motsatt sig det (7 kap. 2 § PDL). Det är alltså fråga om motsvarande princip för s.k. opt out som gäller vid sammanhållen journalföring. För personer som har permanent nedsatt beslutsförmåga får personuppgifter behandlas i ett kvalitetsregister om hans eller hennes inställning till sådan personuppgiftsbehandling så långt som möjligt klarlagts, och det inte finns anledning att anta att han eller hon skulle ha motsatt sig personuppgiftsbehandlingen (7 kap. 2 a § PDL).
Innan uppgifterna registreras är den personuppgiftsansvarige skyldig att lämna patienten utförlig information om den hantering av personuppgifter som gäller för det aktuella kvalitetsregistret (7 kap. 3 § och 8 kap. 6 § PDL).
Personuppgifter i nationella och regionala kvalitetsregister får primärt behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet (7 kap. 4 § PDL). Det handlar följaktligen i första hand om att följa upp medicinsk och annan kvalitet i själva vårdinsatserna. Som huvudregel får kvalitetsregister därmed endast innehålla sådana personuppgifter som behövs för de
51Prop. 2007/08:126 s. 176. 52SOU 2014:23 s. 103.
ändamål för vilket det enskilda kvalitetsregistret verkar, exempelvis att säkra och utveckla kvaliteten i vården av en viss diagnos, t.ex. diabetes, eller för en viss åtgärd, t.ex. höftoperationer.53
De personuppgifter som samlats in för det primära ändamålet enligt 7 kap. 4 § patientdatalagen får även behandlas för något av följande, sekundära ändamål.
- Framställning av statistik,
- Forskning inom hälso- och sjukvården,
- Fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen, och
- Utlämnande till den som ska använda uppgifterna för något av ändamålen punkterna ovan.
Personuppgifter i kvalitetsregister får inte behandlas för andra än dessa uppräknade primära och sekundära ändamål (7 kap. 6 § PDL).
Det ska framhållas att det finns ett undantag från ovanstående förbud, nämligen om den enskilde har lämnat ett särskilt och uttryckligt samtycke till en personuppgiftsbehandling för andra ändamål (2 kap. 3 § första stycket PDL).
När personuppgifter registreras i ett kvalitetsregister innebär det att uppgifterna lämnas ut från den inrapporterande vårdgivaren till den mottagande aktören. För att möjliggöra detta utlämnande har det införts en bestämmelse i offentlighets- och sekretesslagen som bryter sekretessen när uppgifter lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (25 kap. 11 § 4 OSL).
Personuppgiftsansvaret för behandling i nationella kvalitetsregister kan delas i två nivåer. För den personuppgiftsbehandling som vårdgivare utför när de samlar in och registrerar uppgifter till ett nationellt kvalitetsregister, ansvarar respektive vårdgivare enligt den allmänna principen i 2 kap. 6 § första stycket PDL. När det gäller ansvaret för att föra kvalitetsregistret som sådant anges att endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister (7 kap. 7 § PDL).
Patientdatalagen medger att en vårdgivare får ha direktåtkomst till de uppgifter som vårdgivaren lämnat till ett regionalt eller nationellt kvalitetsregister. Direktåtkomsten kan användas av den inrapporterande vårdgivaren för att lokalt arbeta med att utveckla och säkra verksamhetens kvalitet (7 kap. 9 § PDL).
7. Dokumentation av personuppgifter inom socialtjänsten
7.1. Allmänt om socialtjänsternas verksamhet och deras behandling av personuppgifter
Varje kommun svarar för socialtjänsten inom sitt område, och har det yttersta ansvaret för att personer får det stöd och den hjälp som de behöver (2 kap. 1 § socialtjänstlagen [2001:452], förkortad SoL). Socialtjänstens individinriktade verksamheter omfattar ett brett område och information behöver hanteras för många olika ändamål. Exempel på områden inom kommunernas socialtjänst är hemtjänst för äldre, stöd och service till personer med psykisk ohälsa eller funktionsnedsättningar, stöd till äldre personer i särskilt boende och stöd till barn och unga. Utredningens direktiv gör emellertid en avgränsning till att avse endast två slags verksamheter inom socialtjänsten, verksamhet som rör äldre personer och verksamhet som rör personer med funktionsnedsättningar.
Socialtjänstens verksamheter har i hög grad behov av att behandla uppgifter om personers hälsa och andra personliga förhållanden. Liksom i hälso- och sjukvården handlar det ofta om känsliga personuppgifter som omfattas av sekretess. Den rättsliga regleringen för informationshantering i socialtjänsten är emellertid inte lika detaljerad som den för hälso- och sjukvården, där det finns detaljerade bestämmelser kring journalföring och direktåtkomst.
Lagen (2001:454) om behandling av personuppgifter inom socialtjänsten är den registerförfattning som särskilt reglerar behandling av personuppgifter inom socialtjänstens verksamheter. Lagen om behandling av personuppgifter inom socialtjänsten har under personuppgiftslagens tid brukat förkortas SoLPUL och även utred-
ningen använder i det följande förkortningen SoLPUL. SoLPUL kompletteras av förordningen (2001:637) om behandling av personuppgifter i socialtjänsten, här kallad SoLPUF.
Även socialtjänstlagen innehåller vissa regler om behandling av personuppgifter och gallring av uppgifter inom socialtjänstens verksamhet. Socialstyrelsen har också utfärdat föreskrifter och allmänna råd om dokumentation vid handläggning av ärenden och genomförande av insatser enligt viss lagstiftning, bl.a. socialtjänstlagen och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS (Socialstyrelsens föreskrifter och allmänna råd om dokumentation i verksamhet som bedrivs med stöd av SoL, LVU, LVM och LSS [SOSFS 2014:5]). Föreskrifterna gäller både offentlig och enskild verksamhet. Vidare finns det särskilda regler som styr handläggning och dokumentation i verksamhet enligt LSS (bestämmelser finns bl.a. i 21 a och 21 b §§ LSS när det gäller offentlig verksamhet och i 23 a § LSS när det gäller enskild verksamhet).
Dataskyddslagen gäller som ett yttre ramverk när det inte finns specialregler på socialtjänstens område. På ett mer övergripande plan gäller tryckfrihetsförordningen, offentlighets- och sekretesslagen (2009:400), förkortad OSL, förvaltningslagen (2017:900) och arkivlagen (1990:782).
Nedan redogörs närmare för reglerna om dokumentationsskyldighet och behandling av personuppgifter inom socialtjänstens område. Fokus läggs på de verksamheter som avses i utredningsdirektiven, dvs. verksamheter för äldre och personer med funktionsnedsättning som får insatser enligt socialtjänstlagen eller LSS.
7.2. Krav på att dokumentera uppgifter inom socialtjänsten
Både socialtjänstlagen och LSS innehåller bestämmelser om krav på dokumentation. Den rättsliga regleringen är dock inte lika omfattande som den för hälso- och sjukvården.
Socialtjänsten ska dokumentera handläggningen av ärenden som rör enskilda, och genomförande av beslut om stödinsatser, vård och behandling ska dokumenteras (11 kap. 5 § SoL och 21 a § LSS). Denna skyldighet gäller även för enskild verksamhet (7 kap. 3 § SoL och 23 c § LSS). Socialtjänsten ska vidare tillämpa förvaltningslagens
regler om bl.a. partsinsyn, motivering av beslut m.m. Handlingar som rör enskildas personliga förhållanden ska förvaras så att obehöriga inte får tillgång till dem och dokumentationen ska utformas med respekt för den enskildes integritet. Om den enskilde anser att någon uppgift i dokumentationen är oriktig, ska detta antecknas (11 kap. 5 och 6 §§ SoL och 21 a och 21 b §§ LSS). En person kan alltså inte motsätta sig sådan dokumentation som socialtjänsten enligt lag ska göra.
Hos socialtjänsten finns personuppgifter om enskilda framförallt i s.k. personakter.1 Socialstyrelsens föreskrifter (SOSFS 2014:5) innehåller krav på hur socialtjänstens dokumentation ska gå till. I föreskrifterna definieras begreppet personakt som den akt som innehåller journalanteckningar och andra handlingar om en eller flera personer som är eller har varit aktuella för utredning eller insats inom socialtjänsten eller verksamhet som bedrivs med stöd av LSS (2 kap. 1 § SOSFS 2014:5). Med journal i socialtjänstens verksamhet avses enligt samma föreskrifter den del av en personakt där anteckningar av betydelse för handläggning av ett ärende samt för genomförande och uppföljning av en insats görs i kronologisk ordning. En personakt ska innehålla en journal samt upprättade och inkomna handlingar av betydelse för handläggningen av ett ärende eller för genomförande eller uppföljning av insatser (4 kap. 6 § SOSFS 2014:5).
Av 2 kap. 3 § SOSFS 2014:5 framgår att en personakt som huvudregel endast ska avse en person. Av samma bestämmelse framgår att en personakt hos nämnden dock får avse flera personer i en familj om det gäller
- ansökan om ekonomiskt bistånd för två eller flera personer i ett hushåll,
- utredning och bedömning av ett tänkbart familjehem,
- gemensam ansökan om medgivande för internationell adoption enligt 6 kap. 12 § socialtjänstlagen, eller
- gemensam ansökan om medgivande att ta emot ett barn för stadigvarande vård och fostran enligt 6 kap. 6 § första stycket socialtjänstlagen.
Till skillnad från inom hälso- och sjukvården kan alltså en journal inom socialtjänsten, i vissa undantagsfall, föras gemensamt för flera
personer. När det gäller de verksamheter inom socialtjänsten som rör äldre personer och personer med funktionsnedsättningar gäller dock huvudregeln att en personakt endast ska avse en person.
7.3. Lagen om behandling av personuppgifter inom socialtjänsten, SoLPUL
7.3.1. Inledning
SoLPUL tillämpas vid behandling av personuppgifter inom socialtjänsten om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (1 § SoLPUL). SoLPUL är därmed tillämplig på motsvarande behandlingar av personuppgifter som patientdatalagen (2008:355), förkortad PDL (jfr 1 kap. 1 § PDL).
SoLPUL omfattar både myndigheter och enskilda verksamheter som hanterar personuppgifter inom socialtjänstens område.
Det finns ingen enhetlig definition av begreppet socialtjänst. I SoLPUL:s mening avses dock med socialtjänst följande verksamheter (2 §).
- verksamhet enligt lagstiftningen om socialtjänst och den särskilda lagstiftningen om vård utan samtycke av unga eller av missbrukare,
- verksamhet som i annat fall enligt lag handhas av socialnämnd,
- verksamhet som i övrigt bedrivs av Statens institutionsstyrelse,
- verksamhet hos kommunal invandrarbyrå,
- verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade,
- handläggning av ärenden om bistånd som lämnas av socialnämnd enligt lagstiftning om mottagande av asylsökande m.fl.,
- handläggning av ärenden om tillstånd till parkering för rörelsehindrade, och
- verksamhet enligt lagen (2007:606) om utredningar för att förebygga vissa skador och dödsfall.
- Tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheterna som anges i punkterna ovan.
SoLPUL kompletterar dataskyddsförordningen. Om SoLPUL innehåller bestämmelser som avviker från vad som anges i dataskyddslagen, ska bestämmelserna i SoLPUL ha företräde (4 § SoLPUL).
Observera att i de fall en kommun bedriver hälso- och sjukvård enligt hälso- och sjukvårdslagen är i stället patientdatalagen tillämplig på behandlingen av personuppgifter inom den verksamheten.
7.3.2. När behandling av personuppgifter är tillåten inom socialtjänsten
Enligt 6 § SoLPUL får personuppgifter bara behandlas om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska kunna utföras. Det finns inte i SoLPUL en sådan reglering som den i patientdatalagen som räknar upp för vilka mer konkreta ändamål personuppgifter får behandlas. Bestämmelsen innebär emellertid att det läggs en yttersta ram för när behandling av personuppgifter är tillåten. Endast sådan behandling är berättigad.2 Regeringen, eller den myndighet som regeringen bestämmer, får också meddela föreskrifter om bl.a. begränsning av den tillåtna behandlingen av personuppgifter (11 §). Så har i viss utsträckning skett i SoLPUF.
Personuppgifter får även behandlas för uppgiftsutlämnande som föreskrivs i lag eller förordning. En registrerad person har inte rätt att motsätta sig sådan behandling av uppgifter som är tillåten enligt SoLPUL (6 §).
Behandlingen av personuppgifter får därmed ske oavsett om personen samtycker till det. Detta överensstämmer med huvudregeln i 2 kap. 2 § patientdatalagen, som säger att behandling av personuppgifter som är tillåten enligt patientdatalagen får utföras även om den enskilde motsätter sig detta.
2 Lars Lundgren och Per-Anders Sunesson, Nya Sociallagarna, kommentar till 6 § SoLPUL, JUNO version:32.
Tillåtna ändamål enligt förordningen om behandling av personuppgifter i socialtjänsten, SoLPUF
I SoLPUF räknas upp ett antal tillåtna ändamål för att behandla personuppgifter. Förordningen skiljer på kommunal myndighet och privat verksamhet. Kommunal myndighet får enligt 12 § SoLPUF behandla personuppgifter för bl.a. följande ändamål.
- Handläggning av ärenden om bistånd och annat stöd samt genomförande av beslut om bistånd, stödinsatser, vård och behandling samt annan social service som följer av bestämmelserna i socialtjänstlagen och lagen om vissa kommunala befogenheter.
- Handläggning av ärenden om insatser och för särskilda uppgifter som följer av bestämmelserna i LSS.
- Tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten.
Enskild verksamhet får enligt 17 § SoLPUF behandla personuppgifter för dokumentation av sådan vård, behandling eller omsorg av enskilda som ges inom verksamheten. Personuppgifter får också behandlas för administrationen av verksamheten. Enskild verksamhet har alltså inte någon motsvarande bestämmelse som inom den privata hälso- och sjukvården som ger rätt att behandla personuppgifter för tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten.
7.3.3. Vilken typ av personuppgifter som får behandlas inom socialtjänsten
Socialtjänsten får behandla följande typer av personuppgifter (7 § första stycket SoLPUL).
- Person- och samordningsnummer.
- Personuppgifter som avses i artikel 9.1 i dataskyddsförordningen
(känsliga personuppgifter).
- Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Personuppgifter enligt 7 § första stycket SoLPUL får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten. Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i dataskyddsförordningen under förutsättning att kravet på tystnadsplikt är uppfyllt.
Förutom personakter som upprättas inom socialtjänstverksamheten görs även olika typer av sammanställningar av personuppgifter om klienterna (s.k. sammanställningsregister). Ur integritetssynpunkt skiljer sig dessa från personakterna. De lämnar uppgifter om den enskilde utan att samtidigt kunna ge en fullständig och objektiv beskrivning av hans eller hennes förhållanden. Därtill kommer att de är mer lättillgängliga och används av ett långt större antal tjänstemän vid socialförvaltningen än som är fallet med den enskilda personakten. Sammanställningsregister framstår därför som särskilt känsliga från integritetssynpunkt. Mot den bakgrunden har ett förbud införts mot att i sådana register ta in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga personliga förhållanden (7 a § SoLPUL).3 Från huvudregeln finns vissa undantag, bl.a. för uppgifter om åtgärder som har beslutats inom socialtjänsten som innebär myndighetsutövning och om uppföljning, utvärdering och kvalitetssäkring.
7.4. Personuppgiftsansvar inom socialtjänsten
SoLPUL innehåller inga regler om personuppgiftsansvar. Sådana regler finns dock i SoLPUF.
Av 11 § SoLPUF framgår att en kommunal myndighet är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som myndigheten utför. Om behandlingen görs gemensamt för flera myndigheter inom kommunen är varje myndighet personuppgiftsansvarig för sin egen behandling.
Enskilda utförare av socialtjänst är enligt 17 § SoLPUF personuppgiftsansvariga för den behandling av personuppgifter som utförs i dess verksamhet.
3 Lars Lundgren och Per-Anders Sunesson, Nya Sociallagarna, kommentar till 7 a § SoLPUL, JUNO version:32.
7.5. Utlämnande av uppgifter mellan personuppgiftsansvariga inom socialtjänsten
SoLPUL innehåller inga särskilda bestämmelser om direktåtkomst. Det finns alltså ingen motsvarighet till de bestämmelser som reglerar tillåtna former av direktåtkomst i patientdatalagen. Det finns därmed inte heller någon motsvarighet till bestämmelsen i patientdatalagen som stipulerar att utlämnanden genom direktåtkomst bara får ske i den utsträckning som medges i lag eller förordning (5 kap. 4 § PDL). I stället finns en hänvisning som anger att i fråga om utlämnande av personuppgifter som finns inom socialtjänsten gäller de begränsningar som följer av offentlighets- och sekretesslagen, socialtjänstlagen och LSS (8 § SoLPUL).
Avsaknaden av bestämmelser om elektroniskt utlämnande betyder inte att det är förbjudet att lämna ut uppgifter från socialtjänsten i elektronisk form.4 Uppgifter som får lämnas ut, kan lämnas ut genom direktåtkomst eller på medium för automatiserad behandling om den behandling som utlämnandet utgör är tillåten.5 Mer generell direktåtkomst över sekretessgränser inom socialtjänsten, t.ex. mellan olika utförare, hindras dock av socialtjänstsekretessen och tystnadsplikten. Det finns inga bestämmelser för socialtjänsten som motsvarar hälso- och sjukvårdens möjligheter att göra uppgifter potentiellt tillgängliga för andra vårdgivare i system med sammanhållen journalföring. Regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om direktåtkomst (11 § SoLPUL).
Att samköra personregister beskrivs som en vanlig anledning till den oro som personer kan känna inför behandling av känsliga uppgifter. Samkörning har inte ansetts behöva förbjudas, men inhämtande av uppgifter från andra register som hanterar personuppgifter bör begränsas när den enskildes integritet kan påverkas negativt6. Regeringen har meddelat ett förbud att samköra vissa register inom privat verksamhet i socialtjänsten (21 § SoLPUF). Av bestämmelsen
4 Av 2 kap. 16 § tryckfrihetsförordningen framgår att en myndighet inte är skyldig att i större utsträckning än vad som följer av lag lämna ut en upptagning för automatiserad behandling i annan form än utskrift. Inskränkningen är inget förbud mot att lämna ut en elektronisk kopia av en elektronisk handling. Enskilda myndigheters dataskyddsreglering kan dock utgöra hinder mot att lämna ut sådana kopior (Lenberg m.fl., Offentlighets- och sekretesslagen, kommentar till 2 kap. 16 § tryckfrihetsförordningen, JUNO version:21). 5SOU 2014:23 s. 570 f. 6Prop. 2000/01:80 s. 148.
framgår att ett boende, en öppen verksamhet eller en annan enhet i privat verksamhet inte får hämta personuppgifter från annat boende, annan öppen verksamhet eller annan enhet inom privat verksamhet för behandling av uppgifter genom samkörning (21 § SoLPUF).
Sammanfattningsvis gäller att uppgifter kan lämnas ut elektroniskt mellan socialtjänstens olika verksamheter om personuppgiftsbehandlingen som sådan är tillåten och sekretessen och tystnadsplikten för uppgifterna inte hindrar det.
8. Reglering av ansvar för vård och omsorg och samverkan mellan vård och omsorg
8.1. Inledning
Utredningen har i det föregående beskrivit de regelverk och principer som styr hälso- och sjukvårdens respektive socialtjänstens behandling av personuppgifter. Dokumentation och annan behandling av personuppgifter är emellertid inte isolerade från verksamhetsfrågor. Tvärtom är de en integrerad del av vård- och omsorgsprocesserna. Ett av målen med patientdatalagen (2008:355) är att informationshantering inom hälso- och sjukvården ska vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet samtidigt som den främjar kostnadseffektivitet.1 Även inom socialtjänsten är informationshantering avseende människor som på olika sätt ges stöd och omsorg av stor betydelse för att socialtjänsten ska kunna utföra sitt uppdrag. Det kan vara avgörande för patientsäkerheten att personalen har en helhetsbild över personens hälsotillstånd. Utredningen om rätt infor-
mation i vård och omsorg konstaterade att rätt information i rätt tid
för rätt användare är en nyckel till personalens möjligheter att göra ett bra arbete för den enskilde personen.2
Verksamhetsfrågor och frågor om informationshantering hör alltså ihop. De är tillsammans nödvändiga för att tillgodose den enskildes behov av en god vård och omsorg. I det följande beskrivs därför översiktligt regler som styr organisation och verksamhet inom hälso- och sjukvård och socialtjänst. För att ge en bild av nuläget och behovet av samverkan mellan olika aktörer kommer utredningen inledningsvis nämna något om de centrala reformer som genomförts
11 kap. 2 § patientdatalagen. 2SOU 2014:23 s. 29.
inom vård och omsorg sedan 1990-talet. Vidare beskrivs den ansvarsfördelning som råder mellan regioner och kommuner samt områden där det finns legala möjligheter till – och i vissa fall krav på – samverkan mellan aktörer kring en person, exempelvis vid s.k. samordnad vårdplanering.
8.2. Centrala reformer på vård- och omsorgsområdet
Efter 1960-talet hade regionerna (dvs. de dåvarande landstingen) i princip ett enhetligt huvudmannaskap för sjukvården inom sin region. Dock var detta ansvar på vissa områden delat med andra aktörer. I äldreomsorgen ansvarade t.ex. kommunerna för vissa insatser. Socialstyrelsen beskriver i en rapport att kommunernas och regionernas delade ansvar har varit problematiskt och att huvudmännen haft betydande svårigheter att samordna sina uppdrag. Ett problem var även de olika angreppssätten då kommunerna bedrev äldreomsorg utifrån socialt perspektiv medan regionerna hade ett medicinskt perspektiv.3
För att komma tillrätta med detta genomfördes under 1990-talet flera stora huvudmannaskapsreformer. Den första var den s.k. ädel-
reformen4. Genom ädelreformen fick kommunerna ta över det
samlade ansvaret för långvarig vård och omsorg till äldre och funktionshindrade personer. Ädelreformen hade som utgångspunkt att människors behov av vård och omsorg är sammansatta och skiftar över tid. Den uppdelning som tidigare gällt mellan sociala och medicinska insatser ansågs inte ändamålsenlig. Tanken var därför att på ett mer sammanhållet sätt tillgodose människors sociala och medicinska behov. Yrkesroller och arbetsorganisation inom socialtjänsten och delar av hälso- och sjukvården skulle samordnas. Ädelreformen innebar en stor strukturförändring i hälso- och sjukvårdssystemet genom att kommunerna fick ta över som huvudman för delar av hälso- och sjukvården. Kommunerna fick skyldighet att inrätta särskilda boendeformer för service och omvårdnad för äldre personer respektive bostäder med särskild service för funktions-
3 Socialstyrelsen 1996:2, Ädelreformen slutrapport, s. 4. 4Prop. 1990/91:14Om ansvaret för service och vård till äldre och handikappade m.m.
hindrade (numera funktionsnedsatta5) personer. Kommunerna fick ansvaret för att tillhandahålla hälso- och sjukvård åt personer som bor i särskilda boendeformer och bostäder eller som vistas i dagverksamhet. Kommunerna fick också möjlighet att erbjuda hälso- och sjukvård till personer som bor hemma (hemsjukvård). Regionerna fick emellertid ha kvar det övergripande sjukvårdsuppdraget och ansvaret för läkarinsatser.6
Efter ädelreformen har ytterligare reformer genomförts i syfte att skapa ett bättre och mer samlat omhändertagande av äldre och personer med sammansatta behov av medicinska och sociala insatser. Genom reformerna har huvudmannaskapet för hälso- och sjukvård ytterligare övergått till kommunerna.
Lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, infördes 1994. Lagen är en del av det som kallas för handikappreformen.7 Genom lagen gavs personer med vissa funktionshinder rätt till stöd och service. Kommunerna fick det primära ansvaret för det stöd som skulle ges i vardagen, antingen i eget hem eller i särskilda boenden. Vårdhemmen och specialistsjukhusen för funktionsnedsättningar avvecklades.
Genom psykiatrireformen8 1995 överfördes huvudmannaskapet för insatser riktade till psykiskt långtidssjuka från regionerna till kommunerna. Genom reformen fick kommunerna krav på att erbjuda lämpliga boendeformer och stöd i hemmet för personer med omfattande psykiska funktionshinder.
Genom vårdvalsreformen9 infördes ändringar i hälso- och sjukvårdslagen i syfte att öka patienternas valfrihet och underlätta för privata vårdgivare att etablera sig i primärvården med offentlig ersättning. Kärnan i reformen var att regionerna ska organisera primärvården så att patienten har valfrihet mellan olika utförare i primärvården. Som en del av vårdvalsreformen trädde lagen (2008:962) om valfrihetssystem, förkortad LOV, i kraft 2009. Lagen innebär ett alternativt sätt för huvudmännen att upphandla privata utförare av offentligt finansierad hälso- och sjukvård och socialtjänst (utöver lagen [2016:1145] om
5 Regeringen har i prop. 2008/09:28 s. 8 och prop. 2008/09:160 s. 117 uttalat att termen funktionsnedsättning, som beskriver nedsättning av fysisk, psykisk eller intellektuell förmåga, bör få genomslag i den svenska lagstiftningen efter hand. 6Prop. 1990/91:14 s. 3 f. och 57 ff. 7Prop. 1992/93:159om stöd och service till vissa funktionshindrade. 8Prop. 1993/94:218Psykiskt stördas villkor. 9Prop. 2008/09:74Vårdval i primärvården.
offentlig upphandling). Upphandling enligt lagen om valfrihetssystem innebär, till skillnad från enligt lagen om offentlig upphandling, att regionen ska godkänna samtliga sökande som uppfyller de krav som angetts i förfrågningsunderlaget.10 Vårdvalsreformen innebar att det blev obligatoriskt för regionerna att införa valfrihetssystem i primärvården.11 För kommunerna är det däremot frivilligt att införa valfrihetssystem inom den kommunala hälso- och sjukvården och socialtjänsten.
8.3. Ansvaret för att bedriva hälso- och sjukvård
8.3.1. Inledning
Den svenska hälso- och sjukvården karakteriseras bl.a. av en stark decentralisering. Staten ansvarar för den övergripande hälso- och sjukvårdspolitiken, men det är de 21 regionerna och de 290 kommunerna som tillsammans har ansvaret för att genomföra hälso- och sjukvården i landet. Den svenska modellen innebär också att i princip all hälso- och sjukvård är offentligt finansierad, antingen av regioner eller av kommuner som huvudmän.12Hälso- och sjukvårdslagen (2017:30), förkortad HSL, karaktäriseras som en målinriktad ramlag. Den sätter upp mål för hälso- och sjukvården men har få preciserade regler om hälso- och sjukvårdens utformning. Regionerna får därmed betydande frihet att själva organisera verksamheten utifrån de egna förutsättningarna och behoven.
Enligt 2 kap. 2 § hälso- och sjukvårdslagen avses med huvudman den region eller kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård. Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet. Med hälso- och sjukvård avses enligt hälso- och sjukvårdslagen bl.a. åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador (2 kap. 1 § HSL). Begreppet hälso- och sjukvård omfattar således såväl de sjukdomsförebyggande och hälsofrämjande åtgärderna som den egentliga sjukvården.
10 8 kap. 1 § LOV. 117 kap. 3 § HSL och prop. 2008/09:74 s. 26 f. 12 Hälso- och sjukvård kan givetvis också bedrivas helt i privat regi, då utan avtal med regionen eller kommunen och utan inslag av offentlig finansiering. I dessa fall finns inget offentligt huvudmannaskap. Denna sektor av hälso- och sjukvården är emellertid liten.
Målet med hälso- och sjukvården är en god hälsa och en vård på lika villkor för hela befolkningen. Vården ska ges med respekt för alla människors lika värde och för den enskilda människans värdighet. Den som har det största behovet av hälso- och sjukvård ska ges företräde till vården. Hälso- och sjukvården ska arbeta för att förebygga ohälsa (3 kap. 1 och 2 §§ HSL). Hälso- och sjukvårdsverksamhet ska vidare bedrivas så att kraven på en god vård uppfylls. Det innebär bl.a. att vården särskilt ska tillgodose patientens behov av trygghet, kontinuitet och säkerhet och bygga på respekt för patientens självbestämmande och integritet (5 kap. 1 § 2 och 3 HSL). Dessa grundläggande principer slås fast i hälso- och sjukvårdslagens allmänna bestämmelser och gäller oavsett om det är en region eller kommun som är huvudman för hälso- och sjukvårdsinsatserna.
8.3.2. Regionernas ansvar för hälso- och sjukvård
Regionerna har ansvar för att erbjuda en god hälso- och sjukvård åt personer som är bosatta inom regionen (8 kap. 1 § HSL). I regionernas planeringsansvar ingår att planera hälso- och sjukvården med utgångspunkt i behovet av vård hos dem som omfattas av regionens ansvar för hälso- och sjukvård. Regionen ska vid planeringen beakta den hälso- och sjukvård som erbjuds av andra vårdgivare. Regionen ska även planera sin hälso- och sjukvård så att en katastrofmedicinsk beredskap upprätthålls (7 kap. 2 § HSL). Regionernas totalansvar för planeringen av hälso- och sjukvården inom regionen inskränks enbart genom det ansvar kommunerna har för sin hälso- och sjukvård.13
Regionerna ansvarar för att det ska finnas sjukhus för sådan hälso- och sjukvård som kräver intagning i vårdinrättning, s.k. sluten
vård (2 kap. 4 § HSL). Annan hälso- och sjukvård benämns öppen vård (2 kap. 5 § HSL).
Primärvården är en del av den öppna vården. Med primärvård avses i hälso- och sjukvårdslagen hälso- och sjukvårdsverksamhet där öppen vård ges utan avgränsning när det gäller sjukdomar, ålder eller patientgrupper. Primärvården svarar för behovet av sådan grundläggande medicinsk behandling, omvårdnad, förebyggande arbete och rehabilitering som inte kräver sjukhusens medicinska och tekniska resurser eller annan särskild kompetens (2 kap. 6 § HSL).
Regeringen har betonat att primärvård är en vårdnivå, inte en specifik organisationsform. Primärvården kallas ”den första vårdnivån” och ska tillgodose befolkningens basala behov av hälso- och sjukvård. Primärvården inkluderar både regional och kommunal hälso- och sjukvård.14
Både regioner och kommuner kan således vara huvudmän för insatser inom primärvård, men regioner har ett visst utpekat ansvar enligt hälso- och sjukvårdslagen. Regionen ska organisera primärvården så att alla som omfattas av regionens ansvar för hälso- och sjukvård kan välja utförare av hälso- och sjukvårdstjänster samt få tillgång till och välja en fast läkarkontakt (vårdvalssystem). Regionen får inte begränsa den enskildes val till ett visst geografiskt område inom regionen. Regionen ska utforma vårdvalssystemet så att alla utförare behandlas lika, om det inte finns skäl för något annat. Ersättningen från regionen till utförare inom ett vårdvalssystem ska följa den enskildes val av utförare. När regionen beslutat att införa ett vårdvalssystem ska lagen om valfrihetssystem tillämpas (7 kap. 3 § HSL).
Regionen har ett särskilt ansvar för sådan hälso- och sjukvård som kräver insats av läkare. Regionen ska avsätta de läkarresurser som behövs till kommunerna för att personer ska kunna erbjudas en god hälso- och sjukvård i särskilt boende och i dagverksamhet (16 kap. 1 § HSL).
En region får sluta avtal med någon annan aktör, exempelvis en enskild vårdgivare, om att utföra de uppgifter som regionen ansvarar för (15 kap. 1 § HSL). Regionen är fortfarande huvudman i sådana fall.
8.3.3. Kommunernas ansvar för hälso- och sjukvård
Varje kommun ska erbjuda en god hälso- och sjukvård åt äldre och personer med funktionsnedsättningar som efter beslut av kommunen bor i särskilda boendeformer enligt socialtjänstlagen (2001:453), förkortad SoL. Kommunen ska även erbjuda hälso- och sjukvård åt dem som vistas i sådan dagverksamhet som avses i 3 kap. 6 § socialtjänstlagen (12 kap. 1 § HSL). Kommunens ansvar för hälso- och sjukvård är alltså avgränsad till att avse dessa särskilt utpekade patientgrupper (”äldre eller funktionshindrade”).
14Prop. 1994/95:195Primärvård, privata vårdgivare m.m. s. 46.
Kommunen ska planera sin hälso- och sjukvård med utgångspunkt i befolkningens behov. Vid planeringen ska även beaktas den hälso- och sjukvård som erbjuds av andra vårdgivare, t.ex. enskilda vårdgivare (11 kap. 2 § HSL).
När det gäller hälso- och sjukvård i hemmet (hemsjukvård) ligger det formella ansvaret på regionen. Kommunerna har dock möjlighet att på frivillig väg erbjuda personer som vistas i kommunen hemsjukvård (12 kap. 2 § HSL). Regionen har även möjlighet att överlåta skyldigheten att erbjuda hemsjukvård till en kommun inom regionen genom en särskild överenskommelse. Överenskommelsen får inte avse ansvar för sådan hälso- och sjukvård som ges av läkare (14 kap. 1 § HSL). I praktiken har i dag alla regioner utom Region Stockholm gjort överenskommelser om att kommunerna ska ansvara för hemsjukvården.15
Läkarinsatser ingår inte i kommunernas ansvar för hälso- och sjukvård. Regionerna har som nämnts ovan det särskilda ansvaret för läkarinsatser och ska avsätta de läkarresurser som behövs till kommunerna. Regionen har kvar ansvaret för de läkarinsatser som behövs, även efter att kommunen övertagit ansvaret för hemsjukvården. Detta ställer krav på samverkan med kommuner och enskilda utförare av hälso- och sjukvård. Den kommunala hemsjukvården behöver exempelvis samarbeta med läkare på vårdcentraler, mottagningar och sjukhus för att den enskilde patienten ska få de insatser som denne behöver.
Även en kommun får sluta avtal med någon annan aktör, exempelvis en enskild vårdgivare, om att utföra de uppgifter som kommunen ansvarar för (15 kap. 1 § HSL) Kommunen är fortfarande huvudman i sådana fall.
8.3.4. Krav på god kvalitet och kvalitetsuppföljning
Vårdgivaren ska planera, leda och kontrollera verksamheten så att kravet på god vård i hälso- och sjukvårdslagen och tandvårdslagen upprätthålls (3 kap. 1 § patientsäkerhetslagen [2010:650], förkortad PSL). Hälso- och sjukvårdsverksamhet ska bedrivas så att kraven på en god vård uppfylls (5 kap. 1 § HSL). Kvaliteten inom hälso- och sjukvården ska systematiskt och fortlöpande utvecklas och säkras
15 Socialstyrelsen, Kommunalt finansierad hälso- och sjukvård – Förstudie, 2019, s. 19.
(5 kap. 4 § HSL respektive 16 § tandvårdslagen [1985:125]). Detta brukar kallas för att bedriva systematiskt kvalitetsarbete.
I förarbetena till bestämmelsen i 5 kap. 4 § hälso- och sjukvårdslagen anges att vårdgivaren inom hälso- och sjukvården ska utveckla metoder för att noga följa och analysera utvecklingen vad gäller kvalitet och säkerhet. Det gäller t.ex. system som synliggör förekomsten av risktillbud eller s.k. avvikande händelser (onormala vårdtider, infektioner, komplikationer, reoperationer, återintagningar etc.) eller som mäter servicegrad och patienttillfredsställelse. Resultatet av kvalitetsarbetet är en viktig del av att vidareutveckla vården, höja kvaliteten och stärka patientens ställning och ska fortlöpande återföras till dem som deltar i vård- och behandlingsarbetet.16
8.4. Allmänt om socialtjänstens verksamhet
8.4.1. Inledning
Socialtjänstlagen (2001:453), SoL, karakteriseras som en målinriktad ramlag. Beteckningen ramlag innebär att den innehåller tämligen få preciserade regler om socialtjänstens utformning. Kommunerna får därigenom betydande frihet att själva organisera verksamheten utifrån sina förutsättningar och kommunmedlemmarnas behov. Lagens målinriktning innebär att lagstiftaren har angett vissa mål för socialtjänsten i stället för att i detalj reglera dess gestaltning. Kommunens frihet att utöva socialtjänstverksamheten kan anses definieras av flera bestämmelser i socialtjänstlagen som anger vad kommunen eller socialnämnden har att följa. Vidare avgörs kommunens åtagande av annat såsom allmän förvaltningsdomstolars domar t.ex. bedömning av den enskildes rätt till bistånd enligt socialtjänstlagen och myndigheters tillsyn av socialtjänstens verksamhet. I 1 kap. 1 § socialtjänstlagen anges målen för socialtjänsten. Enligt den bestämmelsen ska samhällets socialtjänst främja människors ekonomiska och sociala trygghet, jämlikhet i levnadsvillkor och aktiva deltagande i samhällslivet. Av samma bestämmelse framgår att socialtjänsten under hänsynstagande till människans ansvar för sin och andras sociala situation ska inriktas på att frigöra och utveckla enskildas och gruppers egna resurser samt att
verksamheten ska bygga på respekt för människornas självbestämmanderätt och integritet.
Varje kommun svarar för socialtjänsten inom sitt område, och har det yttersta ansvaret för att enskilda får det stöd och den hjälp som de behöver (2 kap. 1 § SoL). Kommunens uppgifter inom socialtjänsten fullgörs av den eller de nämnder som kommunfullmäktige bestämmer (2 kap. 4 § SoL). Tidigare var socialnämnden en obligatorisk kommunal nämnd, men sedan år 1992 har kommunen frihet att bestämma nämndorganisationen inom socialtjänsten.17 Utöver avtalssamverkan enligt 9 kap. 37 § kommunallagen (2017:725), förkortad KL, får en kommun sluta avtal med en enskild person om att utföra kommunens uppgifter inom socialtjänsten. Arbetsuppgifter som innefattar myndighetsutövning får dock inte överlämnas.
När det gäller utförandet av kommunens arbetsuppgifter inom socialtjänsten får kommunen sluta avtal med en enskild person (fysisk eller juridisk person tex. bolag, föreningar, samfälligheter och stiftelser) om att utföra kommunens uppgifter. Arbetsuppgifter som innefattar myndighetsutövning får dock inte överlämnas (2 kap. 5 § SoL). Kommunen får även träffa överenskommelse med regionen, Försäkringskassan och Arbetsförmedlingen om att, inom ramen för socialtjänstens arbetsuppgifter, samverka i syfte att uppnå en effektivare användning av tillgängliga resurser (2 kap. 6 § SoL).
När den enskilde har behov av insatser både från socialtjänsten och från hälso- och sjukvården ska kommunen tillsammans med regionen upprätta en individuell plan (2 kap. 7 § SoL). För en närmare beskrivning av en sådan individuell plan, se avsnitt 8.7.2.
8.4.2. Socialtjänstens tre huvudfunktioner
Socialtjänstens insatser kan delas in i följande tre huvudfunktioner.18
- Strukturinriktade insatser, som syftar till en god samhällsmiljö.
Några exempel som nämns är medverkan i samhällsplaneringen och uppsökande verksamhet.
17 Se även 6 kap. kommunallagen. 18 Lars Lundgren och Per-Anders Sunesson, Nya Sociallagarna, kommentar till 3 kap. 1 § SoL, JUNO version:33.
- Allmänt inriktade insatser, som är generellt utformade sociala insatser inom socialtjänsten som t.ex. riktar sig till äldre personer och inte förutsätter biståndsprövning. Öppna dagcentraler och träffpunkter för social samvaro och gemenskap är i dag exempel på sådana verksamheter.19
- Individuellt inriktade insatser, som avser insatser som är direkt anpassade till den enskilde individens behov. Enligt propositionen räknas hit bl.a. behovsprövad hjälp, upplysningar, samtal och rådgivning, andra förebyggande insatser och hjälpåtgärder som motiveras av den aktuella situationen.
8.4.3. Utredning och beslut om behovsprövade insatser
Enligt 4 kap. 1 § socialtjänstlagen har den som inte själv kan tillgodose sina behov eller kan få dem tillgodosedda på annat sätt rätt till bistånd av socialnämnden för sin försörjning (försörjningsstöd) och för sin livsföring i övrigt. Bistånd enligt socialtjänstlagen förutsätter således som huvudregel en individuell behovsprövning.20
Hur ärenden som gäller stöd och hjälp till enskilda ska hanteras följer av bestämmelser i socialtjänstlagen och förvaltningslagen (2017:900). När en ansökan om bistånd har tagits emot ska socialnämnden inleda en utredning och bedöma vilka uppgifter som nämnden behöver samla in för att kunna göra en bedömning av ansökan. Kan det konstateras att den enskilde har behov av stöd och hjälp för att uppnå en skälig levnadsnivå, och behoven inte kan tillgodoses på annat sätt, beviljas rätt till bistånd (4 kap. 1 § SoL). Den som bedöms sakna behov av stöd och hjälp har inte rätt till bistånd. Går beslutet den enskilde emot, helt eller i någon del, finns möjlighet att överklaga beslutet till förvaltningsrätt. Socialnämnden får även ge bistånd utöver vad som följer av 4 kap. 1 § socialtjänstlagen, om det finns skäl för det (4 kap. 2 § SoL).
19Prop. 1996/97:124 s. 55. 20 Se tex. RÅ 1991 ref. 61.
8.4.4. Bistånd eller service
När insatser är direkt anpassade till den enskildes behov ska en utredning alltså genomföras och beslut fattas i enlighet med 4 kap. 1 § socialtjänstlagen. Kommunerna kan dock erbjuda allmänt inriktade och allmänt utformade tjänster utan föregående behovsprövning som service. Det kan röra sig om hemtjänst, dagverksamheter eller annan liknande social tjänst enligt 3 kap. 6 § socialtjänstlagen. Det kan även göras inom ramen för den arbetsuppgift som socialtjänsten har enligt 3 kap. 1 § socialtjänstlagen att svara för omsorg och service, upplysningar, råd, stöd och vård, ekonomisk hjälp och annat bistånd till familjer och enskilda som behöver det. Det är framför allt förebyggande, rådgivande och informerande insatser som kan erbjudas som service. Sådana insatser är inte individanpassade utan tillhandahålls lika för alla. När nämnden får en ansökan om bistånd ska nämnden i första hand pröva om den enskilde har rätt till den begärda hjälpen enligt 4 kap. 1 § socialtjänstlagen.21 Det finns även möjlighet att erbjuda hemtjänst till äldre utan föregående behovsprövning enligt 4 kap. 1 § socialtjänstlagen, se avsnitt 8.5.2.
8.4.5. Krav på god kvalitet och kvalitetsuppföljning
I 3 kap. 3 § socialtjänstlagen anges att insatser inom socialtjänsten ska vara av god kvalitet och att det för utförande av arbetsuppgifter inom socialtjänsten ska finnas personal med lämplig utbildning och erfarenhet. Det anges även i denna bestämmelse att kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras. Av förarbetena till bestämmelsen framgår att avsikten med bestämmelsen är att ställa krav på uppföljning och utvärdering av de insatser som görs liksom på en anpassning av utbud och innehåll med hänsyn till utvecklingen i omvärlden.22
21 JO 2003/04 s. 236. 22Prop. 1997/98:113 s. 92.
8.5. Socialtjänstens insatser för äldre och personer med funktionsnedsättningar
8.5.1. Inledning
Bestämmelserna i socialtjänstlagen i övrigt gäller för äldre och personer med funktionshinder likaväl som för andra människor. I 5 kap. socialtjänstlagen har dock särskilda bestämmelser införts för olika grupper, däribland äldre och personer med funktionsnedsättningar, för att markera att vissa grupper har ett särskilt behov av stöd.
8.5.2. Socialtjänstens insatser för äldre enligt socialtjänstlagen
I 5 kap.4–6 §§socialtjänstlagen finns det särskilda bestämmelser om äldre. Bestämmelserna handlar om såväl strukturinriktade och allmänt inriktade insatser som individuella åtgärder. Som exempel på strukturinriktade och allmänt inriktade insatser kan nämnas att socialnämnden har ett ansvar för att verka för att äldre personer får möjlighet att leva och bo självständigt under trygga förhållanden och ha en aktiv och meningsfull tillvaro i gemenskap med andra (5 kap. 4 § SoL). Det anges i samma paragraf att socialtjänstens omsorg om äldre ska inriktas på att äldre personer får leva ett värdigt liv och känna välbefinnande, vilket benämns som värdegrund. Socialnämnden ska även verka för att äldre människor får goda bostäder (5 kap. 5 § SoL).
När det gäller individuella åtgärder kan nämnas att socialnämnden enligt 5 kap. 5 § socialtjänstlagen ska ge de äldre som behöver det stöd och hjälp i hemmet och annan lättåtkomlig service. Sådan hjälp ges oftast genom hemtjänst, se avsnitt 8.5.5.
Kommunen ska även inrätta särskilda boendeformer för service och omvårdnad för äldre som behöver särskilt stöd, s.k. särskilt boende (5 kap. 5 § SoL). Till sådana boendeformer räknas bl.a. ålderdomshem, servicehus, gruppboende, platser för korttidsvård eller korttidsboende.23 Bostaden ska uppfylla tre grundläggande krav, nämligen a) vara så utformad och utrustad att den boende kan utveckla sina personliga resurser att leva ett självständigt liv, b) bereda denne möjlighet att vid varje tid på dygnet erhålla de tjänster som
krävs för att klara sin tillvaro och känna sig trygg, samt c) ha tillgång till personal som kan bedöma när det behövs social eller medicinsk vård och som kan svara för att sådan ges.24 Sådana boenden ska även ha dygnet-runt-tillgänglig personal.25
Kommunen har även möjlighet att inrätta särskilda boenden för den grupp äldre som inte har så omfattande omsorgsbehov att heldygnsvård är nödvändig, men som däremot bedöms behöva få ökad trygghet och gemenskap med andra, när kvarboende i ordinarie boende inte längre upplevs tryggt, s.k. trygghetsboenden (5 kap. 5 § SoL). Denna form av särskilt boende bör t.ex. kunna erbjuda gemensamma måltider, kulturella aktiviteter och umgänge för att öka tryggheten och tillgodose behovet av gemenskap hos äldre. Det stöd och den hjälp och service som den enskilde kan behöva bör efter biståndsbedömning kunna erbjudas genom hemtjänstinsatser på samma sätt som vid hemtjänst i ordinarie boende. Kommunens ansvar för hälso- och sjukvård i särskilda boendeformer omfattar inte biståndsbedömt trygghetsboende. Kommunen får däremot erbjuda hemsjukvård.
Till socialtjänstens uppgifter hör även att göra sig väl förtrogen med kommunmedborgarnas levnadsförhållanden och att genom uppsökande verksamhet och på annat sätt främja förutsättningarna för goda levnadsförhållanden (5 kap. 6 § SoL).
Ansökan om bistånd till äldre i form av exempelvis hemtjänst eller bostad i en särskild boendeform för service och omvårdnad prövas i allmänhet som bistånd enligt 4 kap. 1 § socialtjänstlagen.
De individuella insatser som nämnts kan beviljas efter en behovsprövning. Enligt 4 kap. 2 a § socialtjänstlagen får dock socialnämnden utan föregående behovsprövning erbjuda hemtjänst till äldre om åldringen har informerats om i vilken utsträckning och på vilket sätt han eller hon kan påverka utförandet av insatserna, på vilket sätt kommunen följer upp insatserna, och rätten att alltid kunna ansöka om bistånd enligt 4 kap. 1 § socialtjänstlagen. Kommunen ska sedan följa upp insatserna med utgångspunkt i kommunens riktlinjer, insatsernas kvalitet enligt 3 kap. 3 § och värdegrunden i 5 kap. 4 § socialtjänstlagen.
24Prop. 2005/06:115 s. 78. 252 kap. 3 § socialtjänstförordningen (2001:937).
8.5.3. Socialtjänstens insatser till äldre enligt annan lagstiftning
Kommunerna har möjlighet att tillhandahålla insatser till äldre utan föregående behovsprövning. Vissa insatser, förutom hemtjänst, tillhandahålls dock inte enligt socialtjänstlagen utan enligt lagen (2009:47) om vissa kommunala befogenheter, den s.k. befogenhetslagen.
Lagen ger kommunerna en befogenhet att tillhandahålla servicetjänster utan någon individuell behovsprövning till äldre kommunmedlemmar (2 kap. 7 § befogenhetslagen). Det är kommunen som beslutar om den vill tillhandahålla servicetjänster med stöd av lagen och i så fall vilka servicetjänster som ska erbjudas, i vilken utsträckning och till vilken åldersgrupp samt vilken avgift som ska tas ut. Kommunen får dock endast tillhandahålla tjänster till de som är 68 år eller äldre.
Samma nämnd eller de nämnder som enligt 2 kap. 4 § socialtjänstlagen har hand om verksamhet enligt socialtjänstlagen ska ha hand om verksamhet enligt befogenhetslagen (1 kap. 4 § befogenhetslagen). Befogenhetslagen inskränker dock inte de skyldigheter en kommun har enligt socialtjänstlagen (1 kap. 4 § befogenhetslagen). Det betyder bl.a. att en ansökan om bistånd inte kan avslås med hänvisning till att den enskilde personens behov kan tillgodoses genom de tjänster som ges med stöd av befogenhetslagen.26
Med servicetjänster avses enligt 2 kap. 7 § befogenhetslagen tjänster som är avsedda att förebygga skador, olycksfall eller ohälsa och som inte utgör personlig omvårdnad. I förarbetena anges att servicetjänster kan avse en rad olika tjänster, men att det inte går att exakt ange vad som utgör sådana tjänster. Det ska dock vara fråga om tjänster eller uppgifter som en yngre frisk person utan funktionsnedsättning kan utföra själv, exempelvis byta glödlampor eller göra tunga lyft. Andra exempel på fallförebyggande servicetjänster som nämns är montering av halkskydd och städning.27 Regeringen ansåg det inte nödvändigt att i dåvarande sekretesslagen införa någon särskild bestämmelse om sekretess eller att i lag införa bestämmelser om dokumentation av eller tillsyn över den verksamhet som bedrivs för äldre enligt befogenhetslagen.28
26Prop. 2005/06:115 s. 148. 27Prop. 2005/06:115 s. 149. 28Prop. 2005/06:115 s. 152 f.
8.5.4. Socialtjänstens insatser för funktionshindrade enligt socialtjänstlagen
I 5 kap.7–8 a §§socialtjänstlagen finns särskilda bestämmelser om personer med funktionshinder som innefattar en skyldighet för kommunen att ge erforderlig service, omvårdnad m.m. åt alla personer i kommunen med såväl fysiska som psykiska funktionshinder. Funktionshinder innebär enligt Världshälsoorganisationens (WHO) definition den begränsning eller det hinder som gör att en människa till följd av en skada inte kan utföra en aktivitet på det sätt eller inom de gränser som kan anses som normalt. I Socialstyrelsens termbank beskrivs funktionshinder som en begränsning som en funktionsnedsättning innebär för en person i relation till omgivningen.
Till skillnad från vad som gäller insatser enligt LSS, är kommunernas skyldigheter enligt socialtjänstlagen inte avgränsade till personer med vissa funktionsnedsättningar.
Enligt 5 kap. 7 § socialtjänstlagen ska socialnämnden verka för att människor som av fysiska, psykiska eller andra skäl möter betydande svårigheter i sin livsföring får möjlighet att delta i samhällets gemenskap och att leva som andra. Socialnämnden ska även medverka till att den enskilde får en meningsfull sysselsättning och får bo på ett sätt som är anpassat efter hans eller hennes behov av särskilt stöd. Kommunen ska också inrätta bostäder med särskild service för dem som till följd av sådana svårigheter som nämnts behöver ett sådant boende.
Socialtjänstens insatser för funktionshindrade gäller såväl strukturinriktade och allmänt inriktade insatser som individuellt inriktade insatser. I det förra fallet är det en viktig uppgift för socialtjänsten att i sin medverkan i samhällsplaneringen bevaka att bostadsområden och servicefunktioner utformas med hänsyn till funktionshindrades behov.
I fråga om individuella insatser kan särskilt nämnas social hemhjälp, hjälp med bostad och kurativa insatser. Detta kan ske genom stöd i den egna bostaden, vilket ofta kallas boendestöd. Boendestöd är en praktisk, pedagogisk och social insats för personer med funktionsnedsättning som syftar till att underlätta för den enskilde att hantera sin vardag. Boendestödet anpassas till den enskildes behov av och möjligheter att utveckla ett normalt vardagsliv. Härmed avses såväl det egna boendet som boende i bostad med särskild service.29
29 Det är mitt hem – vägledning om boende och boendestöd för personer med psykisk funktionsnedsättning, Socialstyrelsen 2010 s. 8.
Även insats i form av hemtjänst kan vara ett alternativ för stöd i den egna bostaden, se avsnitt 8.5.5.
I 5 kap. 8 § socialtjänstlagen anges att kommunerna har en skyldighet att bedriva uppsökande verksamhet och att göra sig väl förtrogna med funktionshindrades levnadsförhållanden samt att planera sina insatser för människor med funktionshinder.
Ansökan om bostad i en särskild boendeform för service och omvårdnad kommer i allmänhet att prövas som bistånd enligt 4 kap. 1 § socialtjänstlagen.
8.5.5. Hemtjänst och dagverksamhet
Kommunen har som nämnts enligt 3 kap. 6 § socialtjänstlagen ett ansvar för att underlätta för alla kommuninvånare att bo hemma och att ha kontakt med andra genom att anordna hemtjänst, dagverksamheter eller annan liknande social tjänst.
Hemtjänsten bör medverka till att den enskilde behåller sin intellektuella, emotionella och fysiska förmåga. Därigenom kan den som får hjälp leva ett aktivt liv.30 Begreppet hemtjänst är inte närmare preciserat i lagtexten, men av förarbetena framgår det vilka typer av insatser som ska ingå i hemtjänsten.31 Hemtjänstens arbetsuppgifter delas upp i två olika kategorier, en med inriktning mot arbetsuppgifter av servicekaraktär och en med inriktning mot personlig omvårdnad. Med serviceuppgifter avses bl.a. praktisk hjälp med hemmets skötsel, såsom städning, tvätt, hjälp med inköp, ärenden på post och bank och hjälp med tillredning av måltider eller distribution av färdiglagad mat. Med personlig omvårdnad avses de insatser som därutöver behövs för att tillgodose fysiska, psykiska och sociala behov. Det kan handla om hjälp för att kunna äta och dricka, klä sig och förflytta sig, sköta personlig hygien och i övrigt insatser för att bryta isolering och för att kunna känna trygghet och säkerhet i det egna hemmet. En annan viktig del av hemtjänsten är det sociala inslaget – att få en medmänniska och få stimulans genom umgänge med andra. Till omvårdnadsinsatserna räknas därför sociala insatser såsom samtal med den enskilde, aktivering samt hjälp med kontakt med närstående och serviceinrättningar.32 Det kan också vara led-
30Prop. 2005/06:115 s. 84. 31Prop. 1997/98:113 s. 119, prop. 1996/97:124 s. 87 ff. och prop. 2005/06:115 s. 83 f. 32Prop. 2005/06:115 s. 84.
sagning eller andra insatser som behövs för att bryta isolering eller insatser för att den enskilde ska känna sig trygg och säker i det egna hemmet. I begreppet hemtjänst ingår även avlösning av anhörigvårdare i hemmet. Trygghetslarm är också en sådan insats som innefattas i begreppet hemtjänst. Även samtalsstöd och rådgivning kan anses ingå i begreppet hemtjänst.33 Syftet med hemtjänstinsatser är att underlätta och möjliggöra människors dagliga livsföring i det egna hemmet. Insatserna gör det i många fall möjligt att bo kvar i det egna hemmet. Det kan handla om att människor som på grund av sjukdom, psykiska eller sociala funktionsnedsättningar eller annan orsak behöver stöd och hjälp i den dagliga livsföringen.34 Begreppet hemtjänst omfattar såväl insatser i ordinärt boende som i särskilt boende.35
Som ett komplement till hemtjänsten kan äldre som har behov av det även få tillgång till biståndsbedömd dagverksamhet. Syftet med dagverksamheten är bl.a. att underlätta för äldre att bo kvar i ordinärt boende, men den kan också ges som ett stöd i särskilt boende. Denna typ av dagverksamhet riktar sig främst till personer med demenssjukdomar eller psykiska funktionshinder, men den kan även ges till andra som behöver aktivering och rehabilitering. Dagverksamhet kan också fungera som avlösning för anhöriga. Utöver den behovsprövade dagverksamheten finns en stor flora av öppna verksamheter (dagcentraler, träffpunkter m.m.) som äldre kan besöka utan behovsprövning och beslut. Öppna verksamheter bedrivs ibland av frivilligorganisationer.36
8.5.6. Socialtjänstens insatser enligt LSS
Kommunen är också enligt LSS skyldig att svara för insatser för vissa funktionshindrade. Enligt lagen har den som har en viss diagnos som innebär en funktionsnedsättning rätt att få stödinsats beviljad för att kunna leva ett så gott och självständigt liv som möjligt. Enligt 7 § LSS är den som omfattas av lagen berättigad till insatser i form av särskilt stöd och särskild service om han eller hon behöver sådan hjälp i sin livsföring och om behovet inte tillgodoses på annat sätt. Den enskilde ska genom insatserna tillförsäkras goda levnadsvillkor.
33Prop. 2017/18:106 s. 19. 34Prop. 1996/97:124 s. 88. 35Prop. 2005/06:115 s. 84. 36Prop. 2005/06:115 s. 84 f.
Insatserna ska vara varaktiga och samordnade. De ska anpassas till mottagarens individuella behov samt utformas så att de är lätt tillgängliga för de personer som behöver dem och stärker deras förmåga att leva ett självständigt liv.
I 9 § LSS räknas ett antal insatser upp. Som exempel på sådana särskilda insatser som kan begäras kan nämnas personlig assistans, vilket innebär biträde av personlig assistent, eller ekonomiskt stöd till sådan assistans som exempelvis rör hjälp med personlig hygien, måltider, påklädning eller kommunikation med andra. Biträde av personlig assistent kan ges genom personligt vårdbiträde som är anställt hos kommunen, kooperativ, organisation eller företag. En personlig assistent kan också vara anställd av den funktionshindrade själv. Om den enskilde själv önskar vara arbetsgivare för den personliga assistenten eller själv anlita annat organ än kommunen, kan han av kommunen få ekonomiskt stöd till skäliga kostnader för personlig assistans. Den enskilde personen får då själv ordna sin personliga assistans på det sätt som han eller hon anser är bäst. Den grundläggande principen är att rätten till bidraget från kommunen följer samma villkor som rätten till biträde av personlig assistent. Andra exempel är ledsagarservice, kontaktperson, avlösarservice, korttidsvistelse utanför det egna hemmet och korttidstillsyn.
Kommunen ska även medverka till att personer med funktionsnedsättningar får meningsfull sysselsättning. Kommunen ska erbjuda daglig verksamhet för personer i yrkesverksam ålder som saknar arbete och som inte utbildar sig. Sådan daglig verksamhet bör innehålla både aktiviteter med habilitering och mer produktionsinriktade arbetsuppgifter. Det senare innebär dock inte att det är fråga om något avlönat arbete där syftet är att tillhandahålla tjänster eller producera varor.
Kommunen har även ansvaret för att personer med funktionshinder får bo på ett sätt som är anpassat efter den enskildes behov av särskilt stöd. Kommunen ska även inrätta bostäder med särskild service för dem som till följd av funktionshinder behöver ett sådant boende. Ett av de grundläggande syften med LSS är just att tillförsäkra personer med funktionshinder goda levnadsvillkor och rätten till en bostad som är särskilt anpassad efter den enskildes behov. Boendet kan vara ett gruppboende, serviceboende eller något annat särskilt anpassat boende.
Regionerna har dock ansvaret för insatsen rådgivning och annat personligt stöd enligt LSS. Här avses stödinsatser av övergripande natur som till viss del ligger hälso- och sjukvården nära. Insatserna kan vara av rådgivande och allmänt stödjande art och ges bl.a. av kurator, psykolog, dietist, sjukgymnast, talpedagog, logoped, arbetsterapeut, förskolekonsulent m.fl. yrkeskategorier som kan behövas för att erbjuda ett fullgott stöd. För att kunna bedöma insatsernas karaktär kan det också vara lämpligt att ha tillgång till konsultläkare. Avsikten är inte att ge sjukvårdande behandling, rehabilitering eller andra insatser som klart faller inom hälso- och sjukvårdslagens tillämpningsområde och inte heller att ge den typ av social service som socialtjänsten ska erbjuda eller pedagogiska insatser som hör till undervisning.37
I samband med att en insats enligt LSS beviljas ska den enskilde erbjudas att en individuell plan med beslutade och planerade insatser upprättas i samråd med honom eller henne, gällande både de insatser som kommunen ansvarar för och de som regionen ansvarar för (10 § LSS).
Stödet är avsett att lämnas till personer under 65 år. För att stöd ska kunna lämnas efter 65-årsdagen måste insatserna ha beviljats eller ansökan ha gjorts dessförinnan (9 b § LSS). Behov som uppkommer senare ska tas om hand inom äldreomsorgen.
8.5.7. Informationshantering inom socialtjänstens verksamhet för äldre och personer med funktionsnedsättningar 38
Hantering av information om enskilda inom socialtjänsten och verksamhet enligt LSS, hädanefter gemensamt benämnd socialtjänsten, förekommer kontinuerligt under ett ärendes gång. Det finns dock vissa skeden då hanteringen av information är mer intensiv. En stor del av informationshanteringen görs när en individuell behovsbedömning görs. I det skedet dokumenteras och inhämtas uppgifter för att en biståndshandläggare ska kunna fatta beslut om socialtjänstinsatser som den enskilde har ansökt om, t.ex. hemtjänst.
När insatserna sedan genomförs av personal inom hemtjänsten behöver även detta dokumenteras. Under genomförandefasen kan
37 Lars Lundgren och Per-Anders Sunesson, Nya sociallagarna, kommentaren till 9 § LSS, JUNO version:32. 38 Delar av denna beskrivning av är hämtad från betänkandet Rätt information på rätt plats i rätt
tid (SOU 2014:23) s. 565 f.
såväl kommunala som privata utförare stå för insatserna och dokumentationen, i många fall beroende på vilken utförare den enskilde själv har valt. För att de beslutade insatserna ska kunna genomföras på ett ändamålsenligt sätt görs ett informationsutbyte mellan den kommunala verksamhet som fattat beslut om insatsen och den eller de utförare som ska genomföra beslutet.
I nästa steg hanteras ofta uppgifter om enskilda för att följa upp de insatser som har genomförts. Det kan exempelvis handla om att kommunen som huvudman följer upp att den enskilde får den beviljade insatsen utförd enligt nämndens beslut och gällande författningar.
När socialtjänsten genom myndighetsutövning utreder och fattar beslut i ärenden hanteras information i första hand av kommunen som huvudman. I detta skede inhämtas vanligtvis information från andra källor som bedöms nödvändiga för att driva utredningen framåt och fatta ett beslut på goda grunder. Förutom från den enskilde som omfattas av utredningen förekommer att kommunen inhämtar information från anhöriga, hälso- och sjukvården, skolan, Polismyndigheten m.fl.
En beskrivning av regleringen av hanteringen av personuppgifter inom socialtjänsten finns i avsnitt 7.3.
8.5.8. Omfattningen av socialtjänstens insatser för äldre och personer med funktionsnedsättningar
Av Socialstyrelsens statistik för år 2019 framgår att drygt 329 000
äldre personer hade minst en verkställd insats enligt socialtjänstlagen,
den 31 oktober 2019, vilket motsvarar 16 procent av befolkningen 65 år eller äldre.39 Av Socialstyrelsens statistik framgår vidare att 237 000 äldre hade hemtjänstinsatser i sitt ordinära boende den 31 oktober 2019.40
När det gäller insatser för personer med funktionsnedsättningar framgår av Socialstyrelsens statistik att den 31 oktober 2019 hade 57 200 personer med funktionsnedsättning en pågående insats enligt socialtjänstlagen. De vanligaste insatserna var boendestöd, följt av
39Statistik om socialtjänstinsatser till äldre 2019, Socialstyrelsen (2020). 40Statistik om äldre och personer med funktionsnedsättning efter regiform 2019, Socialstyrelsen (2020).
hemtjänst i ordinärt boende och trygghetslarm.41 Pågående insats enligt LSS som kommunen ansvarar för hade den 1 oktober 2019 75 000 personer.42
Det är upp till varje kommun att avgöra om valfrihetssystem enligt lagen om valfrihetssystem ska införas inom socialtjänstens verksamhet rörande äldre personer och kommunens insatser enligt LSS till personer med funktionsnedsättning eller inte. Av Sveriges 290 kommuner hade den 1 juli 2020, drygt hälften – 160 kommuner – valfrihetssystem i drift. I dessa kommuner är valfrihet inom hemtjänst vanligast. Men flera kommuner har även valfrihet inom ramen för LSS.43
Socialstyrelsen för även statistik över hur stor andel av socialtjänstens insatser som utförs i enskild regi.44 Av denna statistik framgår att när det gäller hemtjänst för äldre personer, dvs. personer 65 år eller äldre, utfördes 17 procent av hemtjänsttimmarna i enskild regi och cirka 20 procent av de som bodde på enskilt boende bodde på ett enskilt boende som drevs i enskild regi. När det gäller personer under 65 år med funktionsnedsättning bodde år 2019 20 procent på särskilt boende i enskild regi och 24 procent av hemtjänsttimmarna skedde i enskild regi.
Mot denna bakgrund står det enligt utredningens mening klart att de aktuella verksamheterna är av betydande storlek räknat till antal personer som får insatser. Det står även klart att en stor del av verksamheten bedrivs i enskild regi.
8.6. Ansvaret när privata utförare utför vård och omsorg
Allmänt gäller att kommuner och regioner, med de begränsningar som framgår av lag, får överlämna skötseln av kommunala angelägenheter till privata utförare. Detta framgår av 3 kap. 12 § respektive 10 kap. 1 § kommunallagen. Vidare finns en bestämmelse som ger kommuner och regioner en generell rätt till avtalssamverkan. Enligt
41Statistik om socialtjänstinsatser till personer med funktionsnedsättning 2019, Socialstyrelsen (2020). 42Statistik om insatser enligt lagen om stöd och service till vissa funktionshindrade 2019, Socialstyrelsen (2020). 43 Sveriges Kommuner och Regioner, Beslutsläge LOV-införande Juli 2020. 44Statistik om äldre och personer med funktionsnedsättning efter regiform 2019, Socialstyrelsen (2020).
bestämmelsen får en kommun eller en region ingå avtal om att någon av dess uppgifter helt eller delvis ska utföras av en annan kommun eller en annan region (avtalssamverkan) (9 kap. 37 § KL). Sådan avtalssamverkan hindras inte av det annars gällande kravet i kommunallagen på anknytning till kommunens eller regionens område eller dess medlemmar (den s.k. lokaliseringsprincipen i 2 kap. 1 § KL).
I 15 kap. 1 § hälso- och sjukvårdslagen, 2 kap. 5 § socialtjänstlagen och 17 § LSS finns specialregler som, utöver den generella rätten till avtalssamverkan i kommunallagen, anger att region eller kommun får överlåta utförandet till privata aktörer.
Enskilda vårdgivare med offentlig finansiering grundar vanligen sin verksamhet på i huvudsak någon av följande avtalsrelationer med region eller kommun:
- Vårdval enligt lagen om valfrihetssystem.
- Upphandling enligt lagen om offentlig upphandling.
- Ersättningsetablering enligt lagen (1993:1651) om läkarvårdsersättning och enligt lagen (1993:1652) om ersättning för fysioterapi.
- Direktavtal.
Ansvaret mot de egna kommunmedlemmarna ligger på kommunen eller regionen som huvudman även om vissa uppgifter lämnats över till en enskild utförare. Detta kan indirekt utläsas av kommunallagen, där det anges att de kommunala nämnderna har ett ansvar att kontrollera att verksamheten bedrivs på ett tillfredsställande sätt, även när en kommunal angelägenhet har lämnats över till någon annan (6 kap. 6 § KL). I 10 kap.8 och 9 §§kommunallagen finns vidare särskilda bestämmelser som reglerar kommunens skyldighet att kontrollera och genomföra verksamhetsuppföljning när kommunala angelägenheter lämnats över till privata utförare. Detta innebär att regionen eller kommunen har det yttersta ansvaret även för förvaltningsuppgifter som har anförtrotts åt en entreprenör.45 Även när kommuner och regioner lämnat över utförandet av verksamhet till privata aktörer, kvarstår därför det kommunala huvudmannaskapet och därmed det yttersta ansvaret för verksamheten. Man kan beskriva det som att den enskilda utföraren tillhandahåller en tjänst
45 Olle Lundin och Tom Madell,Kommunallagen, kommentaren till 10 kap. 8 §, JUNO, version:2A.
och kommunen eller regionen behåller det övergripande ansvaret på samma sätt som när den bedriver verksamhet i egen regi. Region och kommun är alltså huvudmän och beställare av vård och omsorg. I den egenskapen är de ansvariga för att följa upp och kontrollera hur de privata utförarna sköter den offentligt finansierade vården och omsorgen.
8.7. Regelverk om samverkan i hälso- och sjukvård och socialtjänst
8.7.1. Allmän samverkan
Ett övergripande krav på samverkan som gäller både regioner och kommuner, är att de vid planeringen och utvecklingen av hälso- och sjukvården ska samverka med samhällsorgan, organisationer och vårdgivare (7 kap. 7 § HSL och 11 kap. 3 § HSL). En precisering av denna samverkansskyldighet är regionens skyldighet att till kommunerna inom regionen avsätta de läkarresurser som behövs för att kommunerna ska kunna fullgöra sina uppgifter inom hälso- och sjukvården (16 kap. 1 § HSL). Den regionanställda läkarens uppgift är att regelbundet besöka de boende och ge stöd till övriga professioner. Läkaren ska i den kommunala vården även akut kunna ge nödvändiga insatser i olika boendeformer där kommunen ansvarar för vården.46
Regionen och kommunen ska även samverka så att den som bor i särskilt boende, vistas i dagverksamhet eller får hemsjukvård från kommunen också får övrig vård och behandling, hjälpmedel och sådana förbrukningsartiklar som denne kan behöva (16 kap. 2 § HSL).
Regionen ska ingå en överenskommelse med kommunen om ett samarbete i fråga om bl.a. personer med psykiska funktionsnedsättningar (16 kap. 3 § 1 HSL). Motsvarande skyldighet finns för kommunen att ingå överenskommelse med regionen om ett samarbete i fråga om personer med psykiska funktionsnedsättningar (5 kap. 8 a § socialtjänstlagen). Kommunen ska även planera sina insatser för människor med fysiska och psykiska funktionsnedsättningar och i denna planering ska kommunen samverka med regionen
samt andra samhällsorgan och organisationer (5 kap. 8 a § socialtjänstlagen).
Inom socialtjänsten ska kommunen planera sina insatser för äldre och personer med funktionsnedsättningar i samverkan med regionen samt andra samhällsorgan och organisationer (5 kap. 6 och 8 §§ SoL).
Den 1 januari 2018 infördes lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård (samverkanslagen). Samverkanslagen syftar till att främja en god vård och en socialtjänst av god kvalitet för enskilda som efter utskrivning från sluten vård behöver insatser från socialtjänsten, den kommunalt finansierade hälso- och sjukvården eller den regionalt finansierade öppna vården (1 kap. 2 § samverkanslagen). Regeringens mål med den föreslagna regleringen var att den skulle leda till en trygg och säker utskrivningsprocess och att så långt möjligt bidra till att den enskilde inte i onödan ska behöva tillbringa tid på sjukhus. Ambitionen var att bidra till en säkrare och för patienterna tryggare förflyttning från vård på sjukhus till vård och omsorg i eget eller särskilt boende.47
I lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet finns bestämmelser som möjliggör samverkan i en gemensam nämnd. En region och en eller flera kommuner som ingår i regionen får genom samverkan i en gemensam nämnd gemensamt fullgöra regionens arbetsuppgifter enligt bl.a. hälso- och sjukvårdslagen och tandvårdslagen (1985:125) (1 § 1). Vidare får en sådan gemensam nämnd fullgöra kommunens arbetsuppgifter enligt bl.a. socialtjänstlagen och hälso- och sjukvårdslagen (1 § 2).
8.7.2. Samordnade vårdplaner inom vård och omsorg
I vissa fall finns särskilda bestämmelser som föreskriver att samordnad vårdplanering kring en individ ska göras gemensamt mellan olika verksamheter. Detta ska i regel dokumenteras i en samordnad vårdplan. Det finns ett flertal krav på individuella planer i olika författningar i både hälso- och sjukvård och socialtjänst. Nedan ges några exempel där det finns författningskrav på samordnade vårdplaner samt hur dessa ska dokumenteras beskrivs nedan.
Samordnad individuell vårdplan (SIP)
Kommuner och regioner ska gemensamt upprätta en s.k. samordnad individuell vårdplan (förkortad SIP) för en person som har behov av insatser både från hälso- och sjukvården och från socialtjänsten. Detta framgår av 16 kap. 4 § HSL. Socialstyrelsens termbank ger följande definition för samordnad individuell vårdplan.48
Vård- och omsorgsplan som beskriver insatser/åtgärder som den enskilde har behov av från både hälso- och sjukvård och socialtjänst och som tagits fram genom samordnad vård- och omsorgsplanering.
Av den samordnade individuella vårdplanen ska det framgå
- vilka insatser som behövs,
- vilka insatser som respektive huvudman ska svara för,
- vilka åtgärder som vidtas av någon annan än regionen eller kommunen, och
- vem av huvudmännen som ska ha det övergripande ansvaret för planen (16 kap. 4 § HSL).
Motsvarande skyldighet för socialtjänsten i en kommun finns i 2 kap. 7 § socialtjänstlagen.
Bestämmelserna om SIP är inte avsedda för någon särskild grupp utan omfattar alla personer som behöver en individuell plan för att få sina behov tillgodosedda. Missbruksvården och äldreomsorgen är dock exempel på verksamheter inom socialtjänsten där bestämmelserna om SIP ofta får betydelse. Skyldigheten att upprätta en individuell plan är inte heller avgränsad till vissa åldersgrupper utan gäller insatser till både vuxna och barn.49
En tydlig situation när en SIP behövs är när insatser från andra huvudmän är nödvändiga för att den som gör bedömningen av planeringsbehovet ska kunna fullgöra sitt ansvar. Det kan handla om en person som har sociala insatser från kommunen men som har svårt att ta emot dessa om han eller hon inte samtidigt får medicinska rehabiliteringsinsatser.50
48 Socialstyrelsens termbank, länk https://termbank.socialstyrelsen.se.49Prop. 2008/09:193 s. 20. 50Prop. 2008/09:193 s. 21.
Skyldigheten att upprätta en SIP omfattar samtliga personer som har behov av socialtjänstens insatser och hälso- och sjukvård, dvs. även de som får dessa behov tillgodosedda av enskilda vårdgivare eller andra enskilda aktörer som region och kommun har slutit avtal med. Det är alltså regioner och kommuners skyldighet att försäkra sig om att individuella planer upprättas även för patienter och klienter som får omsorg av enskilda vårdgivare.
Samordnad vårdplan vid utskrivning från sluten hälso- och sjukvård
Samverkanslagen innehåller bestämmelser om vårdplanering vid övergången när en patient skrivs ut från inneliggande (sluten) vård till öppen vård. Samverkanslagen reglerar bl.a. samverkan vid planering av insatser för enskilda som efter att de skrivits ut från sluten vård kan komma att behöva insatser från socialtjänsten, den kommunalt finansierade hälso- och sjukvården eller den regionalt finansierade öppna vården (1 kap. 1 § samverkanslagen).
Samordnad plan vid utskrivning definieras enligt Socialstyrelsens termbank enligt följande.51
Vård- och omsorgsplan som upprättats vid utskrivning från sluten vård för att beskriva den enskildes fortsatta behov av insatser/åtgärder från hälso- och sjukvård och/eller socialtjänst och som är ett resultat av samordnad vård- och omsorgsplanering.
Om patienten efter utskrivningen behöver insatser från både region och kommun i form av hälso- och sjukvård eller socialtjänst, ska en samordnad individuell planering genomföras av representanter för de enheter som ansvarar för insatserna (4 kap. 1 § samverkanslagen). Om insatser behövs från den kommunalt finansierade hälso- och sjukvården, ska även den regionfinansierade öppna vården medverka i den samordnade individuella planeringen.
51 Socialstyrelsens termbank, länk https://termbank.socialstyrelsen.se.
Dokumentation av vårdplaner och insatser vid samverkan
En vårdgivare ska säkerställa att en patientjournal innehåller bl.a. uppgift om sådan vårdplanering som genomförts för patienten (5 kap. 5 § första stycket 13 Socialstyrelsens föreskrifter och allmänna råd [HSLF-FS 2016:40] om journalföring och behandling av personuppgifter i hälso- och sjukvården). I Socialstyrelsens handbok till föreskrifterna skriver Socialstyrelsen att dokumentationen kan omfatta ”en beskrivning av vårdens planering, genomförande och resultat”.52
I 3 kap. Socialstyrelsens föreskrifter (SOSFS 2005:27) om samverkan vid in- och utskrivning av patienter i sluten vård finns särskilda bestämmelser om vårdplanering. Där anges att all vårdplanering enligt dessa föreskrifter ska dokumenteras i patientjournalen i den slutna vården (3 kap. 6 § SOSFS 2005:27).
Bestämmelser om dokumentation av planer inom socialtjänsten finns i Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2014:5) om dokumentation i verksamhet som bedrivs med stöd av SoL, LVU, LVM och LSS. Det framgår bl.a. att planer ska tillföras den enskildes personakt så snart planen är upprättad (6 kap. 2 § SOSFS 2014:5).
Socialstyrelsens föreskrifter och allmänna råd om ledningssystem för systematiskt kvalitetsarbete (SOSFS 2011:9) gäller för hälso- och sjukvård, tandvård, socialtjänst och verksamhet enligt LSS. Föreskrifterna ställer krav på att vårdgivaren (eller den som bedriver socialtjänst eller verksamhet enligt LSS) utarbetar och fastställer de rutiner som behövs för att säkra verksamhetens kvalitet53 (4 kap. 4 § första stycket). Föreskrifterna beskriver bl.a. processer kring överföring av information om enskilda patienter och samverkan i vårdprocesserna.
52 Journalföring och behandling av personuppgifter i hälso- och sjukvården Handbok vid tillämp-
ningen av Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården, s. 67.
53 Kvalitet definieras i detta sammanhang som att en verksamhet uppfyller de krav och mål som gäller för verksamheten enligt lagar och andra föreskrifter om hälso- och sjukvård, socialtjänst och stöd och service till vissa funktionshindrade och beslut som har meddelats med stöd av sådana föreskrifter (2 kap. 1 § SOSFS 2011:9).
9. Tidigare utredningsförslag
9.1. Äldre utredningar
Övergången till en i huvudsak digital hantering av personuppgifter inom socialtjänsten och hälso- och sjukvården har pågått under lång tid. Det har gjorts flera översyner av regleringen av behandling av personuppgifter inom dessa områden. Några exempel är Socialdata-
utredningen vars slutbetänkande (SOU 1999:109)1 låg till grund för
lagen om behandling av personuppgifter inom socialtjänsten som trädde i kraft 2001, Patientdatautredningen vars slutbetänkande (SOU 2006:82)2 låg till grund för patientdatalagen som trädde i kraft 2008 och Socialtjänstdatautredningen vars slutbetänkande (SOU 2009:32)3 lämnades i mars 2009.
Socialtjänstdatautredningen förslog bl.a. regler som skulle ge
förbättrade möjligheter för utbyte av personuppgifter mellan socialtjänsten och hälso- och sjukvården. Utredningen menade att det finns ett påtagligt ökat behov av informationsutbyte mellan socialtjänsten och hälso- och sjukvården. En grundläggande förutsättning för att samverkan ska kunna fungera genom hela vårdkedjan är att den information som behövs för att planera den enskildes vård och omsorg finns tillgänglig, bl.a. för gemensamma verksamhetsuppföljningar. Därför föreslog utredningen att införa ändamålsbestämmelser som anger att personuppgifter inom socialtjänsten respektive hälso- och sjukvården får behandlas för gemensamma verksamhetsuppföljningar mellan de båda verksamhetsområdena. Utredningen föreslog även, för att likställa socialtjänstens regelverk med hälso- och sjukvårdens, en ny sekretessbestämmelse som bryter sekretessen mellan olika myndigheter som bedriver viss socialtjänstverk-
1Behandling av personuppgifter inom socialtjänsten (SOU 1999:109). 2Patientdatalag (SOU 2006:82). 3Socialtjänsten – Integritet – Effektivitet (SOU 2009:32).
samhet inom en och samma kommun. Vidare föreslogs en sekretessbestämmelse som skulle gälla för gemensam uppföljning, utvärdering och kvalitetssäkring (verksamhetsuppföljning).4Socialtjänst-
datautredningens förslag ledde dock inte till några lagstiftnings-
åtgärder.
9.2. Anpassningen till dataskyddsförordningen
Inför att dataskyddsförordningen skulle börja tillämpas tillsattes
Dataskyddsutredningen vars uppdrag var att föreslå en nationell regler-
ing som kompletterar dataskyddsförordningen. I uppdraget ingick inte att se över registerförfattningarna eller annan sektorsspecifik reglering om behandling av personuppgifter. Förslagen i utredningens betänkande5 ledde bl.a. till att personuppgiftslagen och personuppgiftsförordningen upphävdes och att kompletterande bestämmelser samlades i den nya dataskyddslagen.
Socialdataskyddsutredningen undersökte vilka konsekvenser data-
skyddsförordningen medför i fråga om behandling av personuppgifter inom Socialdepartementets verksamhetsområde, samt föreslog anpassningar i nationell rätt (SOU 2017:66).6 Utredningens förslag ledde till ändringar i ett stort antal lagar inom Socialdepartementets verksamhetsområde. I den efterföljande propositionen uttalade regeringen att laglig behandling av personuppgifter som sedan tidigare förekom i olika verksamheter bör kunna fortsätta. Ändringar i förutsättningarna för att ytterligare behandla personuppgifter skulle få övervägas i annan ordning. Lagförslagen avgränsades till att hantera de anpassningar i författningar inom Socialdepartementets verksamhetsområde som vid det tillfället bedömdes behövas med anledning av dataskyddsförordningen.7
4SOU 2009:32 s. 25 ff. 5Ny dataskyddslag – Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39). 6Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s data-
skyddsförordning (SOU 2017:66).
9.3. Digitaliseringsrättsutredningen
Det har också genomförts utredningar som på ett generellt plan berör övergången till ett digitalt arbetssätt och hantering av digital information. Digitaliseringsrättsutredningen hade i uppdrag att kartlägga och analysera i vilken utsträckning det förekommer lagstiftning som i onödan försvårar digital utveckling och samverkan inom den offentliga förvaltningen. Utredningen ansåg att en allt mer digitaliserad förvaltning samtidigt kan innebära att samhället öppnar upp för olika risker. God informationssäkerhet är därför nödvändig i den digitala förvaltningen. Vad som ur integritetssynpunkt kan anses tillåtet, såväl när det gäller dataskyddsreglering som sekretessreglering, är också centralt. Digitaliseringsrättsutredningen föreslog i sitt slutbetänkande (SOU 2018:25)8 bl.a. en ny reglering om digital kommunikation i förvaltningslagen (2017:900). Förslaget innehåller en ny huvudregel om att myndigheters kommunikation med personer ska vara digital, om det inte är olämpligt av säkerhetsskäl eller av andra skäl.9 Förslaget har ännu inte lett till några lagändringar utan bereds för närvarande.
9.4. Integritetskommittén
Integritetskommittén ansåg i sitt slutbetänkande (SOU 2017:52)10 att
det behövs en ny reglering för den behandling av personuppgifter som förekommer inom socialtjänsten och att behandling av personuppgifter inom socialtjänsten i likhet med vad som gäller i hälso- och sjukvården bör regleras i en egen lag. Vidare ansåg kommittén att nya integritetsstärkande regler borde införas i patientdatalagen där vårdgivarens övergripande ansvar för en säker och ändamålsenlig hantering av personuppgifter skulle uttryckas tydligare och på ett samlat sätt i patientdatalagen.11 I sitt delbetänkande (SOU 2016:41)12 gjorde kommittén en kartläggning av de integritetsrisker som en vanlig medborgare kan utsättas för. Det som är förknippat med den högsta risken för den personliga integriteten ansågs oftast handla om den stora
8Juridik som stöd för förvaltningens digitalisering (SOU 2018:25). 9SOU 2018:25 s. 20. 10Så stärker vi den personliga integriteten. Slutbetänkande av integritetskommittén (SOU 2017:52). 11SOU 2017:52 s. 24 f. 12Hur står det till med den personliga integriteten? (SOU 2016:41
).
insamling och hantering av personuppgifter som stora delar av befolkningen genomgår. Här ingår informationshanteringen inom hälso- och sjukvård och s.k. välfärdstjänster inom socialtjänsten, inte minst frågor om rätt behörighet och åtkomstkontroller.13
Riksdagen har ansett att regeringen bör överväga om det finns anledning att göra en översyn av patientdatalagen och annan relevant lagstiftning. Det är enligt riksdagen angeläget att lagstiftningen på området är anpassad till de krav som dagens teknik ställer, samtidigt som den personliga integriteten beaktas.14
9.5. Styrning för en mer jämlik vård
Utredningen Styrning för en mer jämlik vård lämnade sitt slutbetänkande i oktober 2019 (SOU 2019:42)15. Utredningen ansåg att en avgörande komponent för att nå målbilden en vård på lika villkor för hela befolkningen är att skapa ett fungerande informationsutbyte om patienten. Särskilt viktig är en sådan utveckling för de patienter som har de största behoven, som konsumerar mest vård och som ofta har behov av insatser från både region och kommun. Att olika vårdgivare behöver få del av varandras vårddokumentation för att kunna ge bästa möjliga vård, var enligt utredningen ett centralt tema under hearingar, i samtal med nätläkare och med andra privata vårdgivare. Utredningen hänvisade till att flera tidigare utredningar (SOU 2014:23, SOU 2015:32 och SOU 2016:2) slagit fast att nuvarande lagstiftning om informationsutbyte inte ger tillräckliga förutsättningar för de gränsöverskridande organisationer och arbetssätt som hälso- och sjukvården behöver utveckla. Trots de senaste årens utveckling mot en ökad mångfald av vårdgivare, större valmöjligheter för patienten, samt ett ökat åtagande för kommuner som hälso- och sjukvårdshuvudmän, har frågan om hur informationen enkelt ska kunna följa med patienten över vårdgivargränser inte beaktats.16
13SOU 2016:41 s. 76 f och 245. 14 Socialutskottets betänkande 2018/19:SoU8 punkt 58, rskr. 2018/19:233. 15Digifysiskt vårdval – Tillgänglig primärvård baserad på behov och kontinuitet (SOU 2019:42). 16SOU 2019:42 s. 338.
9.6. Rätt information i vård och omsorg
Utredningen Rätt information i vård och omsorg tillsattes år 2011 med uppdraget att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Utredningen lämnade ett omfattande slutbetänkande (SOU 2014:23)17 med ett stort antal förslag som på olika sätt syftade till att öka förutsättningarna för en mer ändamålsenlig och sammanhållen informationshantering. Utredningen föreslog exempelvis att man skulle införa två nya lagar som reglerar informationshantering inom hälso- och sjukvården och socialtjänsten, en socialtjänstdatalag och en hälso- och sjukvårdsdatalag. Vidare föreslog utredningen att man skulle ändra reglerna om direktåtkomst genom sammanhållen journalföring på så sätt att samtliga vårdgivare som finansieras av samma huvudman ska kunna dela uppgifter om en patient med hjälp av direktåtkomst under samma förutsättningar, oavsett om verksamheten drivs i offentlig eller privat regi.18
Utredningen identifierade ett antal faktorer av stor betydelse för att skapa en ännu mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården. Dit hörde bl.a. att de rättsliga förutsättningarna för samverkan kring patienter ligger i linje med de krav på samverkan som finns i lagstiftningen och de behov som finns hos patienten. En annan viktig faktor var att de rättsliga förutsättningarna för att säkra och utveckla hälso- och sjukvårdens kvalitet ligger i linje med de krav som finns i lagstiftningen. Utredningen ansåg bl.a. att dagens lagstiftning är alltför organisationsorienterad och har lett till negativa följder som inte varit avsedda när det gäller informationshantering i vård och omsorg. Utredningen gjorde antagandet att personer i allmänhet sannolikt förutsätter att den information som behövs i en vårdprocess finns tillgänglig för samtliga vårdgivare på ett likvärdigt sätt, oavsett om vården utförs av en eller flera utförare. Utredningen förespråkade därför en informationshantering med individen i centrum för att leva upp till personers behov och förväntningar.19 Utredningen påtalade att den under arbetets gång fått höra synpunkter om att informationshan-
17Rätt information på rätt plats i rätt tid (SOU 2014:23). 18 För en sammanfattning av utredningens förslag, se SOU 2014:23 s. 27 ff. 19SOU 2014:23 s. 283 f.
teringen inte ligger i linje med de politiska initiativen kring ökad mångfald, större valfrihet och tydligare fokus på folkhälsa och prevention.20
Förslagen fick blandad kritik av remissinstanserna. Vissa menade att utredningens förslag på ett bra sätt väger in behovet av skydd för patienternas personliga integritet. Justitieombudsmannen, Justitiekanslern, Myndigheten för samhällsskydd och beredskap, Datainspektionen och Sveriges advokatsamfund kritiserade dock förslagen skarpt för att de inte tillräckligt beaktade den personliga integriteten.21
Utredningens förslag har medfört endast mindre lagändringar, bl.a. har bestämmelser i patientdatalagen som gäller personer med permanent nedsatt beslutsförmåga införts.22 Förslagen om en genomgripande förändring och en ny socialtjänstdatalag respektive en hälso- och sjukvårdsdatalag har inte genomförts.
9.7. Framtidens socialtjänst
Utredningen Framtidens socialtjänst hade i uppdrag att göra en översyn av socialtjänstlagen (2001:453) och vissa av socialtjänstens uppgifter. Syftet med uppdraget var bl.a. att utforma en socialtjänst som bidrar till social hållbarhet med individen i fokus och som med ett förebyggande perspektiv ger människor lika möjligheter och rättigheter. Utredningen lämnade sitt slutbetänkande Hållbar social-
tjänst – En ny socialtjänstlag (SOU 2020:47) i augusti 2020. Utred-
ningen lämnade bl.a. förslag om en ny socialtjänstlag som ska ersätta den nuvarande lagen. Utredningen uttalade att uppföljning är en nödvändig förutsättning för att säkerställa god kvalitet i socialtjänsten och att det finns starka indikationer på att kvalitetsarbetet inte fungerar tillfredställande i socialtjänsten i dag. Utredningen föreslog därför att det ska klargöras i socialtjänstlagen att kvaliteten i verksamheten systematiskt och fortlöpande ska följas upp, utvecklas och säkras. Vidare föreslog utredningen att det ska införas en ny
20SOU 2014:23 s. 296. 21 För närmare information om remissinstansernas synpunkter, se Socialdepartementets promemoria Remissammanställning över betänkande Rätt information på rätt plats i rätt tid 2014-10-09 S2014/00112/FS. 22SOU 2013:45, prop. 2013/14:202, bet. 2013/14:SoU20,och rskr. 2013/14:328.
lag om socialtjänstdataregister. Syftet med den lagen är att utöka Socialstyrelsens möjlighet att behandla personuppgifter för nationell statistik till att i större utsträckning motsvara de förutsättningar som finns inom hälso- och sjukvården.23
Förslaget bereds för närvarande i Regeringskansliet.
23SOU 2020:47 s. 35 ff.
10. Pågående utredningsarbete
10.1. Utredningen samordnad utveckling för god och nära vård
Utredningen tillsattes år 2017 med uppdraget att stödja regioner, berörda myndigheter och organisationer i arbetet med att samordnat utveckla en modern, jämlik, tillgänglig och effektiv hälso- och sjukvård med fokus på primärvården. Utredningen har överlämnat tre delbetänkanden. Det andra delbetänkandet God och nära vård. En pri-
märvårdsreform (SOU 2018:39) har utmynnat i en proposition som
lämnades i maj 2020. Enligt regeringen bör hälso- och sjukvården ställas om så att primärvården är navet i vården och samspelar med annan hälso- och sjukvård och med socialtjänsten. Målet med omställningen är att patienten ska få en god, nära och samordnad vård som stärker hälsan.1
Utredningens huvudbetänkande, God och nära vård – En reform
för ett hållbart hälso- och sjukvårdssystem (SOU 2020:19) överlämnades
i mars 2020. Förslagen i huvudbetänkandet, tillsammans med tidigare förslag, syftar till att bidra till en reform av hälso- och sjukvårdssystemen ur ett flertal aspekter, med en stark och resursstark primärvård som bas. Ett av utredningens uppdrag rör hur samverkan mellan primärvården och den kommunala hälso- och sjukvården kan underlättas. I detta ingår hur gränssnittet mellan dessa verksamheter bör se ut och hur förutsättningar för att samordna vårdinsatser för patienter och brukare i alla åldrar med omfattande och komplexa vårdbehov kan förbättras.2
Utredningen har identifierat ett behov av att stärka samverkan mellan regioner och kommuner för att säkerställa att patienter får en sammanhängande, personcentrerad hälso- och sjukvård. Utredningen
1Prop. 2019/20:164, bet. 2020/21:SoU2, rskr. 2020/21:61. Lagändringarna träder i kraft den 1 juli 2021 (SFS 2020:1043). 2SOU 2020:19 s. 19 f.
har även pekat på behovet av förebyggande och rehabiliterande vård- och omsorgsinsatser. I sitt huvudbetänkande lämnade utredningen ett antal förslag för att stärka samverkan mellan primärvården och den kommunala hälso- och sjukvården, bl.a. när det gäller regleringen av individuella vårdplaner. Utredningen har även lämnat förslag om att där det bedrivs hälso- och sjukvårdsverksamhet ska det finnas de förutsättningar för den samverkan som behövs för att en god vård ska kunna ges. Detta tydliggör kravet på ett hälso- och sjukvårdssystem som hänger ihop även på utförarnivå.3
Utredningens arbete pågår enligt tilläggsdirektiv som gäller tidiga insatser vid psykisk ohälsa och ska redovisas senast i slutet av januari 2021.
3SOU 2020:19 s. 21 ff.
ÖVERVÄGANDEN
och FÖRSLAG
11. Strukturförändringar som påverkar förutsättningarna att bedriva hälso- och sjukvård och socialtjänst
11.1. Inledning
Det har skett stora strukturförändringar inom socialtjänsten och hälso- och sjukvården under de senaste årtiondena. Följande förändringar påverkar på olika sätt förutsättningarna att bedriva hälso- och sjukvård och socialtjänst.
- Det finns i dag fler olika utförare som är verksamma inom hälso- och sjukvård och socialtjänst än tidigare. Allt fler privata vårdgivare bedriver vård- och omsorg med eller utan offentlig finansiering.
- Demografin förändras med en ökande andel äldre personer i befolkningen.
- Den tekniska utvecklingen och ekonomiska skäl leder till en allt högre grad av digitalisering och ökade möjligheter att enkelt dela digitaliserad information.
11.2. Fler olika utförare av verksamheterna än tidigare
Det är regioner och kommuner som ansvarar för att invånarna får tillgång till hälso- och sjukvård och socialtjänst. Tidigare bedrev regioner och kommuner i princip all hälso- och sjukvård i egen regi och privat finansierad hälso- och sjukvård, utanför företagshälsovården, var sällsynt. Utvecklingen på senare år med den nationella vård-
garantin och det fria vårdvalet har dock ritat om kartan för det svenska vårdlandskapet. Utvecklingen har lett till att det finns allt fler privata vårdgivare som bedriver hälso- och sjukvård med offentlig finansiering. Denna utveckling ligger i linje med en politisk ambition att öka andelen privata aktörer inom vård och omsorg.
Som huvudman har regioner och kommuner alltid det yttersta ansvaret för den hälso- och sjukvård som bedrivs med offentlig finansiering och inte är statlig. Detta gäller även när en privat vårdgivare står för utförandet. Huvudmannen behöver bl.a. ha tillgång till uppgifter om patienten för att följa upp och utveckla vården. För patienten innebär utvecklingen en större valfrihet, samtidigt som han eller hon kan komma att få vård och omsorg av flera aktörer. Detta medför ökade behov av att information om patienten kan överföras mellan de olika aktörerna i vårdkedjan.
Den kommunala självstyrelsen och den fria kommunala nämndorganisationen ger regioner och kommuner stor frihet att välja sin organisationsform. Det är sannolikt andra aspekter än möjligheterna till informationsutbyte som avgör hur regioner och kommuner organiserar sina verksamheter. Geografiska och ekonomiska aspekter kan styra men även indelning utifrån kompetensområden eller enligt en s.k. beställar- och utförarmodell är vanligt förekommande. Det är inte ovanligt att en kommun har flera nämnder inom ett och samma verksamhetsområde. Den svenska offentlighets- och sekretesslagstiftningen bygger dock på principen att sekretessgränserna följer myndighetsgränserna. Detta kan leda till att det uppstår ”oönskade” sekretessgränser till följd av hur regioner och kommuner väljer att organisera sin verksamhet.
I en rapport från Riksrevisionen granskades de statliga insatserna som gjorts för att vårdpersonal ska ha tillgång till all relevant patientinformation vid rätt tillfälle. Riksrevisionen anförde att med regeringens ambition att öka andelen privata aktörer inom vård och omsorg blir det allt viktigare att säkerställa ett effektivt utbyte av information över organisationsgränserna. Riksrevisionens granskning visade att hur vården är organiserad får konsekvenser för hanteringen av patientinformation. Granskningen visade exempelvis att det i en region med få vårdgivare är enklare att få tillgång till patientinformation då
patientdatalagen ställer hårdare krav vid informationsutbyte mellan olika vårdgivare än inom en vårdgivare.1
11.3. Demografin förändras med en ökande andel äldre personer
Parallellt med utvecklingen mot fler utförare inom vård och omsorg pågår en demografisk förändring. Det handlar om den i grunden positiva utvecklingen att människor i Sverige lever allt längre. Andelen personer som är 80 år eller äldre förväntas öka kraftigt. År 2019 utgjorde andelen personer över 80 år cirka 5 procent av befolkningen. År 2050 förväntas andelen äldre ha ökat till 9 procent av befolkningen.2
Många äldre personer har flera sjukdomar och sammansatta vårdbehov. Myndigheten för vård-och omsorgsanalys konstaterar i en rapport att 85 procent av personerna över 65 år har minst en kronisk sjukdom. En majoritet av sjukvårdens resurser riktas till gruppen med kronisk sjukdom; de står för cirka 80–85 procent av sjukvårdskostnaderna.3
Kostnaden för sjukvården förväntas öka med cirka 30 procent under perioden 2010–2050.4 Kostnaden för äldreomsorgen förväntas öka med cirka 70 procent. Eftersom antalet äldre kommer att öka och ohälsan är som störst i denna grupp, förväntas antalet personer med svår ohälsa i befolkningen öka med 45 procent perioden 2010–2050.5
Många äldre som får vård i den kommunalt finansierade hälso- och sjukvården har också beviljats socialtjänstinsatser från kommunen. En person kan ta emot socialtjänstinsatser från flera olika utförare, t.ex. hemtjänst och dagverksamhet. Drygt 70 procent av de som är 65 år eller äldre och som tar emot vård från den kommunalt finansierade hälso- och sjukvården har också beviljats socialtjänstinsatser.
Att befolkningen blir äldre medför att fler personer kommer att utveckla de kroniska sjukdomar som normalt följer av hög ålder. Detta leder till ett ökat behov av vård och omsorg. Samtidigt som
1Rätt information vid rätt tillfälle inom vård och omsorg – samverkan utan verkan? (RiR 2011:19) s. 10 f. 2 Se utredningens direktiv s. 3. 3 Myndigheten för vård-och omsorgsanalys rapport VIP i vården – Om utmaningar i vården
av personer med kronisk sjukdom (Rapport 2014:2) s. 8 f. och 21.
4Den ljusnande framtid är vård: delresultat från LEV-projektet, Socialdepartementet, Regeringskansliet (2010). 5 Myndigheten för vård-och omsorgsanalys rapport VIP i vården – Om utmaningar i vården
av personer med kronisk sjukdom (Rapport 2014:2) s. 21.
andelen äldre ökar, kommer andelen personer i arbetsför ålder att minska trots att flera kan arbeta längre. Verksamheter inom hälso- och sjukvård och socialtjänst kommer därför att behöva tillgodose ökade behov utifrån en minskande skattebas i form av inkomst av tjänst och näringsverksamhet. Att ta tillvara de resurser som finns på bästa sätt blir avgörande.
11.4. Den digitala utvecklingen leder till både nya möjligheter och nya utmaningar
Digitaliseringen gör det möjligt att använda sig av personuppgifter i en ny omfattning och för andra ändamål än tidigare. Digitaliseringen gör det även möjligt med nya sätt att lagra, dela och sprida information om patienter. Hälso- och sjukvårdens informationshantering handlar i dag om mycket mer än den traditionella journalföringen där vårdpersonalen dokumenterat i efterhand på papper. Nya tekniska lösningar har potential att ge vårdgivare och huvudmän tillgång till patientdata, som skulle kunna användas för att utveckla och följa upp verksamheten. Också för socialtjänstens del kan digitalisering vara ett sätt att bättre utnyttja resurser och effektivisera verksamheter. Samtidigt måste skyddet för den personliga integriteten respekteras. Hälso- och sjukvården och socialtjänsten är informationsintensiva sektorer som behandlar stora mängder personuppgifter. Många av uppgifterna rör hälsa och personliga förhållanden och är av integritetskänslig karaktär. Sverige har internationellt sett en hög digitaliseringsgrad. EU gör sedan 2014 årliga mätningar av medlemsstaternas utveckling inom digitaliseringsområdet som publiceras i ett s.k. DESI-index (the Digital Economy and Society Index) som bygger på undersökningar inom fem olika områden, bl.a. tillgången till fast bredband, medborgarnas digitala kommunikationer samt e-förvaltning och e-hälsa. Sverige har alltid placerat sig bland de tre länder som ligger högst på listan och låg år 2018 på andra plats efter Danmark.
Att människor i Sverige i allmänhet är vana digitala användare medför också förväntningar på att kunna sköta kontakter med myndigheter digitalt. Enligt en studie från Sveriges Kommuner och Regioner om invånarnas inställning till digital service är drygt tre fjärde-
delar av invånarna positivt inställda till att regioner och kommuner erbjuder digital service och kommunicerar digitalt.6
11.5. Regelverket behöver anpassas
Som framgår ovan finns ett antal faktorer som påverkar de faktiska möjligheterna att hantera och utbyta information om patienter. Det har kommit signaler från flera håll att sättet att bedriva vård kommer att behöva förändras för att klara uppdraget att leverera god och patientsäker vård även i framtiden. För att klara utmaningarna kommer det även att handla om att flytta fokus, från reaktiv vård på sjukhus till preventiv vård i primärvården. Regeringen framhåller i ett utredningsdirektiv att svensk hälso- och sjukvård historiskt har dominerats av investeringar i specialistvård och akutsjukhus. Primärvården har emellertid en central roll att fylla. Det är dit patienten förväntas vända sig först för att få en bedömning, sjukvårdsbehandling eller skickas vidare för utredning eller sjukvårdsbehandling inom specialistsjukvården. I dag vänder sig dock en stor andel av patienterna till andra vårdnivån, t.ex. akutmottagningar, bl.a. på grund av brist på annan tillgänglig vårdinstans. Att personer som egentligen hade kunnat tas om hand inom primärvården eller med preventiva åtgärder vårdas på sjukhus leder till stora belastningar för sjukvårdssystemen. Regeringen framhåller att primärvårdens samordnande roll kan bidra till en helhetssyn på patienten och skapa förutsättningar för samverkan mellan olika yrkeskategorier. Det möjliggör ett förebyggande förhållningssätt som är en viktig förutsättning för en hållbar hälsoutveckling. Regeringen betonar att det är angeläget att primärvården förmår bidra till livsstilsförändringar för att förebygga kroniska eller andra långvariga sjukdomar samt till att minska risken för felaktig läkemedelsanvändning.7 Som ett led i detta blir det allt
6Invånarnas inställning till digital service i välfärden 2020. 7 Se dir. 2017:24 Samordnad utveckling för en modern, jämlik, tillgänglig och effektiv vård med fokus
på primärvården. Genom direktiven tillsattes utredningen Samordnad utveckling för god och nära vård (S 2017:01). Utredningen ska bl.a. samordnat utveckla en modern, jämlik, tillgänglig och
effektiv hälso- och sjukvård med fokus på primärvården. Arbetet utgör ett steg i en strukturförändring av det svenska hälso- och sjukvårdssystemet, som innebär att primärvården blir den verkliga basen och första linjen i hälso- och sjukvården. Utredningen ska även utreda och lämna förslag på hur samverkan mellan primärvården och den kommunala hälso- och sjukvården och omsorgen kan underlättas och hur gränssnittet mellan dessa verksamheter bör se ut. Vidare ska utredningen se över förutsättningarna för att samordna vårdinsatser för patienter med omfattande och komplexa vårdbehov. Se utredningens hemsida : www.sou.gov.se/godochnaravard/.
viktigare att utforma de juridiska förutsättningarna för ett effektivt och säkert utbyte av information mellan verksamheter inom socialtjänst och hälso- och sjukvård.
Socialstyrelsen har i en undersökning från år 2019 kartlagt hur den kommunala hälso- och sjukvården är organiserad. Kartläggningen visar att de många kontakterna mellan olika vårdgivare eller utförare när en person går över från en verksamhet till en annan ställer krav på en väl fungerande samverkan för att inte innebära risker i form av t.ex. missförstånd eller avsaknad av information om nästa behandlingssteg. Socialstyrelsen konstaterar att kontinuiteten i vården och omsorgen är mycket viktig för personers upplevelse av trygghet.8
Datainspektionen har genomfört riktade tillsynsinsatser med fokus på behandling av personuppgifter inom vård och omsorg. Flera av de tillsynsinsatser som gjorts under åren har belyst gränserna och problematiken för hur personuppgifter får hanteras i socialtjänsten och hälso- och sjukvården. I Datainspektionens tillsynsplan för 2019 och 2020 var hälso- och sjukvården ett särskilt utpekat område för insatser under 2019.
Riksdagen har i ett tillkännagivande anfört att regeringen bör överväga om det finns anledning att göra en översyn av patientdatalagen och annan relevant lagstiftning. Det är enligt riksdagen angeläget att lagstiftningen på området är anpassad till de krav som dagens teknik ställer, samtidigt som den personliga integriteten beaktas.9
Regeringen konstaterar i utredningens direktiv (bilaga 1) att en översyn av vissa frågor som gäller hantering av personuppgifter i socialtjänst och hälso- och sjukvårdsverksamhet behöver göras. Bedömningen bygger på förändrade organisationsformer i socialtjänsten och hälso- och sjukvården, den ökade användningen av digitala stöd för personuppgiftshantering samt behovet av klargöranden kring lagstiftningen utifrån vad Datainspektionen uttryckt i sina tillsynsinsatser. Regeringen lyfter i direktiven fram det ökade antalet aktörer inom hälso- och sjukvård och socialtjänst, den allt äldre befolkningen och den allmänna digitaliseringen i samhället som faktorer som påverkar förutsättningarna att bedriva vård- och omsorg. Regeringen hänvisar även till rapporter som visar att patienter och brukare generellt har en positiv inställning till digital service i välfärden, så länge personuppgifterna skyddas på ett tillfredsställande sätt.
8Kommunalt finansierad hälso-och sjukvård – förstudie, art nr. 2019-2-17 s. 7 f. 9 Bet. 2018/19:SoU8 punkt 58 och rskr. 2018/19:233.
Samtliga uppdrag i direktiven rör frågor kring hanteringen av personuppgifter i socialtjänst och hälso- och sjukvård. Regeringen konstaterar att det i princip uteslutande handlar om uppgifter som rör människors hälsa och livssituation, dvs. information av integritetskänslig karaktär. Utredningen ska därför särskilt ta hänsyn till och redogöra för behovet av informationssäkerhet, rättssäkerhet och skydd för den personliga integriteten. Eventuella inskränkningar i integritetsskyddet ska följas av analyser och proportionerliga och tydliga avvägningar där alternativa och mindre integritetskränkande alternativ ska övervägas.
I detta delbetänkande tar utredningen upp frågorna om – möjligheterna att införa direktåtkomst inom och mellan vissa verk-
samheter i socialtjänst och hälso- och sjukvård, – utvidgade möjligheter till informationsöverföring för kvalitets-
utveckling mellan bl.a. vårdgivare i hälso- och sjukvård och kommunala nämnder, och – möjligheterna att införa sekretessbrytande bestämmelser för viss
hantering av personuppgifter i socialtjänst och hälso- och sjukvård.
I följande kapitel berörs dessa frågor i huvudsak utifrån ovan angiven ordning. Utredningen redovisar också den integritetsanalys som gjorts i respektive avsnitt.
12. Sammanhållen omsorgsdokumentation inom socialtjänsten för äldre och personer med funktionsnedsättningar
12.1. Inledning
Behovet av att kunna utbyta information mellan vårdgivare och utförare inom socialtjänsten i syfte att ge en god och säker omsorg, med bibehållen integritet och säkerhet, har ökat under senare år. Utredningens uppdrag är att se över möjligheterna att införa direktåtkomst, i likhet med den möjlighet som i dag ges genom sammanhållen journalföring, genom en s.k. sammanhållen vård- och omsorgsdokumentation mellan på ena sidan verksamheter som avser äldre personer, t.ex. hemtjänst eller dagverksamhet för personer med demenssjukdom, och personer med funktionsnedsättningar som har insatser enligt socialtjänstlagen (2001:453) (SoL) t.ex. boendestöd och insatser enligt lagen (1993:387) om stöd och service till vissa funktionshindrade (LSS) och på andra sidan hälso- och sjukvård. I detta kapitel berörs frågan om sammanhållen omsorgsdokumentation i socialtjänsten för äldre och personer med funktionsnedsättningar. Frågan om en sammanhållen vård- och omsorgsdokumentation mellan hälso- och sjukvården och socialtjänsten berörs i kapitel 13.
Ett väl fungerande informationssystem där all omsorgsdokumentation om en person inom verksamheter som avser äldre eller personer med funktionsnedsättningar samlas i strukturerad form kan å
ena sidan vara till stor nytta, både för omsorgsmottagaren1 och för omsorgsgivarna2 och, i förlängningen, för samhället i stort. Å andra sidan rör det sig i stor utsträckning om behandling av känsliga personuppgifter och personuppgifter som på annat sätt är av känslig karaktär. Om dokumentationen görs tillgänglig mellan olika omsorgsgivare inom socialtjänsten genom direktåtkomst, innebär det att sekretesskyddade uppgifter blir elektroniskt tillgängliga för andra omsorgsgivare utan att det i varje enskilt fall görs en sekretessprövning i samband med utlämnandet. Att öppna en möjlighet till enkel elektronisk åtkomst till sådana uppgifter väcker därför frågor om risker för intrång i den enskildes integritet.
Direktåtkomst brukar således, av skäl som beskrivs närmare i avsnitt 12.3.3 och 12.3.4, anses innebära särskilda integritetsrisker. Utredningen bör därför, vid bedömningen av om det är möjligt att införa direktåtkomst mellan olika verksamheter inom socialtjänsten som avser äldre och personer med funktionsnedsättningar, göra en avvägning mellan behovet av sådan åtkomst till personuppgifterna och de integritetsrisker ett sådant system skulle medföra. För att direktåtkomst ska vara möjlig i detta sammanhang krävs det att behovet, nyttan, väger tyngre än riskerna med åtkomsten till uppgifterna. Vid denna avvägning bör även alternativet utlämnande på medium för automatiserad behandling, dvs. annat elektroniskt utlämnande än direktåtkomst, övervägas, eftersom detta ansetts vara ett mindre integritetskränkande alternativ jämfört med direktåtkomst.
Kapitlet inleds med en beskrivning av behovet av elektronisk åtkomst till personuppgifter mellan socialtjänstens verksamheter avseende äldre och personer med funktionsnedsättningar. Därefter berörs olika former av elektroniskt utlämnande och vilka risker direktåtkomst kan antas innebära ur ett sekretess- och dataskyddsperspektiv samt vilka övriga risker direktåtkomst eller annat elektroniskt utlämnande kan medföra. Utredningens överväganden när det gäller avvägningen mellan verksamhetens behov och risker för integritetsintrång redovisas i avsnitt 12.3.
1 Med omsorgsmottagare avses person som fått eller får insatser för äldre eller personer med funktionsnedsättningar eller som fått eller får behovet av sådana insatser bedömda, se avsnitt 16.1.6. 2 Med omsorgsgivare avses myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar (offentlig omsorgsgivare) och juridisk person eller enskild näringsidkare som utför sådana insatser (privat omsorgsgivare) (se avsnitt 16.2).
Utredningens överväganden och förslag till bestämmelser om sammanhållen vård- och omsorgsdokumentation inom socialtjänsten finns i kapitel 15 och 16.
Bestämmelser om direktåtkomst eller annat elektroniskt utlämnande har inte någon sekretessbrytande effekt i sig. Om myndigheter och andra omsorgsgivare ska kunna medges direktåtkomst till sekretessbelagda uppgifter, måste bestämmelserna om direktåtkomst kombineras med särskilda sekretessbrytande regler som bryter igenom även tystnadsplikten hos privata omsorgsgivare. Utredningens överväganden och förslag till vilka sekretessbrytande regler som krävs för att förslaget om direktåtkomst mellan olika omsorgsgivare inom socialtjänsten ska kunna genomföras finns i kapitel 19.
12.2. Behovet av informationsutbyte
Utredningens bedömning: På motsvarande sätt som inom hälso-
och sjukvården finns det hos verksamheter inom socialtjänsten ett behov av att enkelt och säkert kunna få elektronisk åtkomst till dokumentation om äldre och personer med funktionsnedsättningar.
12.2.1. Bakgrund
Flera statliga utredningar har pekat på att behovet av informationsutbyte inom den individinriktade omsorgsverksamheten inom socialtjänsten för äldre och personer med funktionsnedsättningar är stort, även över omsorgsgivargränser. Bland annat har detta påpekats i betänkandena Äldreomsorgen under pandemin (SOU 2020:80), Läs
mig! Nationell kvalitetsplan för vård och omsorg om äldre personer
(SOU 2017:21) och Rätt information på rätt plats i rätt tid (SOU 2014:23). Beskrivningen i detta avsnitt är delvis hämtad från det sistnämnda betänkandet.
Den kommunala nämnd som är beställare av tjänster behöver kunna följa upp att en omsorgsmottagare får den insats som beviljats. Den personal som utför insatserna behöver ha tillräcklig information om omsorgsmottagaren och dennes situation för att kunna ge en bra omsorg och ett bra bemötande. Den individinriktade omsorgsverk-
samheten inom socialtjänsten för äldre och personer med funktionsnedsättningar vänder sig till omsorgsmottagare som ofta har svårt att själva redogöra för sin situation och sina behov. Många har t.ex. nedsatt kognitiv förmåga på grund av ålder eller funktionsnedsättning, utan att för den skull vara beslutsoförmögna. I många fall får anhöriga ta ett stort ansvar för att förmedla information mellan de olika personer som omsorgsmottagaren möter. För att omsorgsmottagare ska få säkra insatser av hög kvalitet, behöver personal inom socialtjänsten på ett säkert och ändamålsenligt sätt som uppfyller krav på kontinuitet, säkerhet och respekt för omsorgsmottagaren, ha tillgång till uppgifter om omsorgsmottagaren och information om såväl pågående insatser som insatser som omsorgsmottagaren fått tidigare. Personalen behöver såväl ta del av uppgifter som dokumentera uppgifter för att kunna utföra sitt arbete på ett ändamålsenligt och säkert sätt.
12.2.2. Den beslutande nämnden behöver ta del av utförares och andra nämnders dokumentation
Den beslutande kommunala nämnden behöver ta del av utförarnas dokumentation om genomförda insatser för att kunna följa upp att de beslutade insatserna utförs och hur resultatet av dessa blir. Detta är av stor betydelse för den omsorgsmottagare som fått en insats beviljad men även för den beslutande nämnden som ska kunna uppfylla det lagstadgade kravet på god kvalitet och kvalitetsuppföljning i 3 kap. 3 § socialtjänstlagen genom att följa upp att omsorgsmottagaren får den beviljade insatsen utförd enligt nämndens beslut och gällande författningar. Detta gör den beslutande nämnden genom att ta del av den dokumentation som utföraren är skyldig att göra om uppföljning av sina insatser. Av denna dokumentation ska det bl.a. framgå vilka åtgärder som utföraren vidtagit för att omsorgsmottagaren ska få den beviljade insatsen utförd, om det har tillkommit omständigheter eller inträffat händelser som har medfört att insatsen helt eller delvis inte har kunnat genomföras som planerat och om omsorgsmottagaren har framfört några klagomål till utföraren på genomförandet av insatsen.3 Denna dokumentation innehåller i många fall uppgifter som omfattas av sekretess och tystnadsplikt. Doku-
3 6 kap. 3 och 4 §§ Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2014:5) om dokumentation i verksamhet som bedrivs med stöd av SoL, LVU, LVM och LSS.
mentationen är av avgörande betydelse för att omsorgsmottagaren ska kunna få den omsorg som omsorgsmottagaren är i behov av.
I en kommun där det finns en enda socialnämnd som har ansvaret för och själv utför alla insatser som ges enligt socialtjänstlagen och inom socialtjänsten uppstår inga sekretessgränser mellan socialnämnden och de som utför de insatser socialnämnden beslutat om. Det innebär att uppgifter som omfattas av sekretess kan delas mellan personalen hos socialnämnden utan att en sekretessprövning behöver göras.
Många kommuner har dock valt att organisera sin verksamhet så att det inte längre finns bara en kommunal nämnd (myndighet) för varje verksamhetsområde. Införandet av den fria kommunala nämndorganisationen har inneburit att en del kommuner kommit att dela upp socialtjänsten på flera sektorer som organisatoriskt hör till olika nämnder. Det kan exempelvis handla om att kommunen delar upp verksamheten enligt en beställar- och utförarmodell, där det som tidigare var en socialnämnd splittras och blir en eller flera beställar- och utförarnämnder. Ett annat exempel är att dela upp nämndstrukturen geografiskt, t.ex. i kommundels- eller stadsdelsnämnder. Det förekommer även att den organisatoriska uppdelningen är uppbyggd efter olika ämnesområden inom socialtjänsten, t.ex. äldreomsorg, hälso- och sjukvård, stöd till personer med funktionsnedsättningar och individ- och familjeomsorg samt övrig socialtjänst.
I en kommun som organiserat sina nämnder så att det finns en beställar- och en utförarnämnd inom exempelvis äldreomsorgen uppstår det sekretessgränser mellan biståndshandläggaren hos den nämnd som beslutat om en viss insats och den nämnd som fått i uppdrag att se till att insatsen blir utförd. Detta påverkar biståndshandläggarens möjlighet att på ett enkelt och säkert sätt ta del av den kommunala utförarens dokumentation om de utförda insatserna. Vid utredningens kontakter med företrädare för socialtjänsten har det påtalats att det ofta kan uppstå behov av att snabbt kunna justera biståndsbeslut. Det kan exempelvis vara så att hemtjänst beviljats en omsorgsmottagare men att behoven snabbt ändras så att insatsen borde ändras till särskilt boende. Det är då viktigt för omsorgsmottagaren att biståndshandläggaren snabbt och enkelt får tillgång till utförarnas dokumentation så att utförarens uppdrag kan ändras så att det passar omsorgsmottagarens aktuella stödbehov. Den beslutande nämnden ska även dokumentera om behoven hos omsorgsmottagaren förändras på ett
sätt som gör att nämnden bedömer att den beslutade insatsen inte längre svarar mot omsorgsmottagarens behov. Av dokumentationen ska det också framgå vilka åtgärder som har vidtagits av nämnden för att anpassa insatsen till omsorgsmottagarens behov.4 En annan sak som företrädare för socialtjänsten påtalat är att det skulle underlätta om biståndshandläggare kan få elektronisk åtkomst till den genomförandeplan med aktiviteter och mål för insatsen som tas fram hos utföraren och som används som utgångspunkt för de kontinuerliga journalanteckningar som förs hos utföraren. En sådan åtkomst skulle innebära att man inte behöver skicka genomförandeplanen fram och tillbaka mellan biståndshandläggare och utförare.
Olika kommunala nämnder kan även i andra fall ha behov av varandras dokumentation. Som exempel kan nämnas fall då den organisatoriska uppdelningen är uppbyggd efter olika ämnesområden inom socialtjänsten så att ansvaret för äldreomsorg respektive stöd till personer med funktionsnedsättningar är placerat på olika nämnder. Då kan behov uppstå av att de båda nämnderna på ett enkelt sätt kan få tillgång till dokumentation avseende en viss omsorgsmottagare som har insatser från båda nämnderna. Exempelvis när en omsorgsmottagare ansöker om personlig assistans behöver handläggande nämnd veta om omsorgsmottagaren redan har insats i form av hemtjänst beviljad från någon annan nämnd och hur denna insats är utformad.
Som beskrivits i kapitel 11 har valfrihetsreformer och ökat antal privata utförare i socialtjänsten medfört att allt fler aktörer är inblandade i verkställigheten av de insatser som beviljas en omsorgsmottagare. Privata utförares dokumentation avseende de insatser som de utför omfattas av tystnadsplikt gentemot den kommunala nämnd som är beställare av insatsen. Även i detta fall påverkas biståndshandläggarens möjlighet att på ett enkelt sätt ta del av den privata utförarens dokumentation om utförda insatser. Det finns därför en risk att en omsorgsmottagare som har valt en privat utförare inte får omsorg av likvärdig kvalitet som den omsorgsmottagare som har valt en kommunal utförare.
4 5 kap. 24 § Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2014:5) om dokumentation i verksamhet som bedrivs med stöd av SoL, LVU, LVM och LSS.
12.2.3. Olika utförare behöver utbyta uppgifter
Även olika utförare som sida vid sida arbetar för att ge omsorgsmottagaren insatser av god kvalitet kan behöva utbyta uppgifter på ett effektivt och säkert sätt genom att ta del av varandras daganteckningar. Det finns flera exempel på situationer när sådana behov kan uppstå.
En omsorgsmottagare kan exempelvis få olika hemtjänstinsatser utförda av skilda utförare. Det kan röra sig om städning, tvättning, inköp, personlig omvårdnad, matlagning, promenadsällskap, ledsagning m.m. Det kan även vara så att en omsorgsmottagare får en eller flera hemtjänstinsatser av samma slag utförda av olika aktörer beroende när på dygnet de utförs.
I vissa av dessa fall finns behov av att information om omsorgsmottagaren som kan vara relevant når en utförare innan utföraren kommer hem till omsorgsmottagaren för att utföra en insats, eftersom det ger personalen möjlighet att förbereda sitt besök och ytterligare anpassa verksamheten efter omsorgsmottagarens aktuella behov. Det skulle även ge en mer sammanhållen verksamhet över dygnet, vilket är av stort värde för omsorgsmottagarna som ofta är sköra och befinner sig i en utsatt situation på grund av hög ålder eller funktionsnedsättning. Utförarnas information i denna del kan i princip förväntas innehålla uppgifter om aktuell sinnesstämning, mat- och vätskeintag, om omsorgsmottagaren haft avföring, hur omsorgsmottagaren velat ha en viss insats utförd, vilka arbetsuppgifter som utförts vid ett besök samt vilka arbetsuppgifter som inte utförts och av vilken anledning de inte utförts.
12.2.4. Dagens informationsöverföring
I dag hanteras ofta överföring av information genom olika former av elektroniskt utlämnande. Det kan exempelvis handla om att lämna uppgifter på usb-minne eller optiska lagringsmedia eller genom en säker filöverföring av uppgifterna via nätverk.5 Sådant elektroniskt utlämnande kan ske om omsorgsmottagaren lämnat sitt samtycke till behandling av personuppgifterna hos den mottagande omsorgsgivaren samt att den utlämnande verksamheten antingen har omsorgsmottagarens samtycke att bryta sekretessen, eller vid en sekretess-
5Rätt information på rätt plats i rätt tid (SOU 2014:23), Bilaga 4, s. 162.
prövning kommer fram till att uppgifterna kan lämnas ut utan att omsorgsmottagaren lider men. I något fall har kommunen försökt lösa behovet av att följa upp och dokumentera beslutade insatser genom att socialnämnden fått direktåtkomst till vissa sekretesskyddade personuppgifter hos en privat utförare. I ett tillsynsbeslut har dock Datainspektionen förelagt kommunen att upphöra med denna behandling av personuppgifter med hänvisning till att sådan direktåtkomst inte var tillåten på grund av sekretessbestämmelser.6
I praktiken innebär dagens informationsöverföring därmed att dokument skickas fram och tillbaka mellan olika aktörer. Ett exempel på detta är att den genomförandeplan med aktiviteter och mål för en insats som tas fram hos utföraren och som används som utgångspunkt för de kontinuerliga journalanteckningar som förs hos utföraren, skickas fram och tillbaka mellan biståndshandläggare och utförare.
Ett annat sätt att lösa behovet av informationsöverföring i praktiken har under lång tid varit att, med stöd av omsorgsmottagarens samtycke eller åtminstone med omsorgsmottagarens kännedom, anteckna det viktigaste i en pärm eller dagbok som förvaras hos omsorgsmottagaren och som de olika utförarna kan läsa och dokumentera i. Ett annat sätt är att anteckna informationen på post-it-lappar eller att muntlig information överförs genom telefonsamtal eller då personal möts i hallen hos omsorgsmottagaren.
12.2.5. Sammanfattande synpunkter
Regeringen har som mål att tillgången till socialtjänsten ska vara förutsägbar, likvärdig, jämlik, jämställd och rättssäker.7 Det kan dock konstateras att rådande regelverk innebär att möjligheterna till en effektiv och säker informationshantering är mycket beroende av hur kommunen organiserar sig och om privata utförare väljs, vilket påverkar likvärdigheten i socialtjänsten. En kommun med få kommunala nämnder inom socialtjänsten och få privata aktörer bland utförarna har i dag väsentligt bättre förutsättningar till en ändamålsenlig informationshantering, än kommuner med många nämnder och privata utförare i den offentligt finansierade verksamheten.
6 Datainspektionen, dnr 876-2010. 7 Dir. 2017:39 s.1.
De organisatoriska förändringarna påverkar såväl den individinriktade informationshanteringen i samband med beslut och genomförande av insatser i socialtjänsten som den hantering av information som behöver göras i form av uppföljning, kvalitetssäkring, verksamhetsutveckling m.m. Detta drabbar omsorgsmottagarnas möjligheter att få den omsorg som de är i behov av.
Det sätt som information överförs på i dag kan visserligen fungera i vissa situationer och för vissa ändamål men det finns alltid en risk att viktig information inte förs vidare, att den förvanskas på vägen eller att obehöriga tar del av informationen. För att få till stånd en mer säker informationsöverföring för att möta omsorgsmottagarnas behov på ett bättre sätt är dock ett användande av modern teknik mer ändamålsenligt och effektivt.
Det är därför angeläget att socialtjänsten får rättsliga förutsättningar som stimulerar och möjliggör en ändamålsenlig samverkan och informationshantering i den individinriktade verksamheten för äldre och personer med funktionsnedsättningar. Utredningen bedömer därför att det på motsvarande sätt som inom hälso- och sjukvården, finns ett behov av att på ett enkelt och säkert sätt utbyta omsorgsdokumentation över sekretessgränser mellan olika omsorgsgivare inom socialtjänsten.
12.3. En avvägning mellan behov och integritetsrisker
Utredningens bedömning: Det är möjligt att tillåta direktåtkomst
eller annat elektroniskt utlämnande mellan verksamheter inom socialtjänsten som avser äldre och personer med funktionsnedsättningar om det samtidigt införs vissa integritetsstärkande bestämmelser. Regleringen av detta bör utformas med sammanhållen journalföring som förebild.
Vid regleringen av ett frivilligt system med sammanhållen omsorgsdokumentation mellan verksamheter inom socialtjänsten som avser äldre och personer med funktionsnedsättningar, är det enklast och mest ändamålsenligt att, på motsvarande sätt som gäller i fråga om sammanhållen journalföring, tillåta direktåtkomst i kombination med föreskrift om absolut sekretess för överskottsinformation. Det finns dock övervägande fördelar med att i systemet ge möjlighet till åtkomst genom både direktåtkomst och annat elektroniskt utlämnande.
Förutsättningarna för elektroniskt utlämnande mellan verksamheter inom socialtjänsten behöver författningsregleras i lag.
En särskild konsekvensbedömning avseende dataskydd behöver i de allra flesta fall inte göras av de verksamheter som inför sammanhållen omsorgsdokumentation.
Utredningens förslag: Bestämmelser som ger verksamheter inom
socialtjänsten för äldre och personer med funktionsnedsättningar möjlighet att få tillgång till varandras dokumentation genom direktåtkomst eller annat elektroniskt utlämnande införs. Det införs även ett antal integritetsstärkande bestämmelser som ska tillämpas av de verksamheter som väljer att använda sig av sådan elektronisk tillgång. Förutsättningarna för sådan elektronisk tillgång ska regleras i lag.
12.3.1. Bakgrund
Av närmast föregående avsnitt framgår att det finns ett behov av utbyte av omsorgsdokumentation över sekretessgränser mellan olika verksamheter inom socialtjänsten. Elektronisk överföring av information genom direktåtkomst eller annat elektroniskt utlämnande
mellan de olika omsorgsgivarna skulle kunna vara till nytta på många sätt. Snabb och enkel tillgång till information om omsorgsmottagarna kan ge utförligare och säkrare fakta- och kunskapsunderlag vilket är till fördel för omsorgsmottagaren och för dem som arbetar i verksamheten. Sådan informationsöverföring skulle också kunna medföra effektivitetsvinster för den offentliga förvaltningen.
Samtidigt kan det konstateras att ett system som möjliggör direktåtkomst till personuppgifter inom socialtjänsten kan innebära risker ur ett integritetsperspektiv. Inom socialtjänstens verksamhet avseende äldre och personer med funktionsnedsättningar finns ofta behov av att behandla känsliga personuppgifter, särskilt uppgifter om hälsa. Det kan också finnas skäl att behandla uppgifter som inte faller under dataskyddsförordningens definition av känsliga personuppgifter, men som ändå kan vara av integritetskänslig karaktär. Att de personuppgifter som omsorgsgivarna hanterar i sin verksamhet i allt större utsträckning samlas in och lagras elektroniskt i stället för i pappersform kan innebära nackdelar från integritetssynpunkt. Vidare kan direktåtkomst och andra former av elektroniskt utlämnande innebära ökad risk för otillbörliga intrång i omsorgsmottagarnas personliga integritet.
Det kan konstateras att personer kan ha olika uppfattning om vad som utgör en integritetskränkning och vilka förhållanden som medför risker för intrång i den personliga integriteten. När det gäller direktåtkomst finns det dock vissa omständigheter som typiskt sett kan sägas innebära risk för integritetsintrång. Utredningen berör i det följande de risker som direktåtkomst kan innebära ur ett sekretessperspektiv respektive ur ett dataskyddsperspektiv.
Omsorgsmottagaren har rätt till skydd för sin personliga integritet, men denna rätt är inte absolut. I fall som detta, då det är fråga om det är möjligt att införa ett system med direktåtkomst eller annat elektroniskt utlämnande mellan olika omsorgsgivare, måste en avvägning göras mellan behovet av en snabb och enkel tillgång till personuppgifter och eventuella integritetsrisker som ett sådant system kan innebära. För att det ska vara motiverat att införa direktåtkomst eller annat elektroniskt utlämnande måste behovet av behandlingen av personuppgifterna väga tyngre än omsorgsmottagarens intresse av skydd för den personliga integriteten.
12.3.2. Olika former av elektroniskt utlämnande
Direktåtkomst är en form av elektroniskt utlämnande av uppgifter. Uppgifter kan dock lämnas ut elektroniskt även på andra sätt än genom direktåtkomst. I s.k. registerförfattningar används ofta begreppet ”utlämnande på medium för automatiserad behandling”, men även begrepp som ”elektronisk åtkomst” och ”elektroniskt utlämnande” används. Några legaldefinitioner av dessa begrepp finns inte. Vad som avses med begreppen anges ofta i förarbetena till de olika registerförfattningarna.8 Utredningen har i detta betänkande valt att använda begreppet annat elektroniskt utlämnande för sådan elektronisk överföring av uppgifter som inte sker genom direktåtkomst.
Informationshanteringsutredningen, som bl.a. hade i uppdrag att
avgöra om det fanns skäl att i registerförfattningar upprätthålla åtskillnaden mellan olika former av elektroniskt utlämnande, beskrev begreppen direktåtkomst och medium för automatiserad behandling på följande sätt.
Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen.9 I begreppet ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av.10
Med begreppet utlämnande på medium för automatiserad behand-
ling avses vanligen ett överlämnande av elektroniskt lagrade uppgifter
via något slags medium för lagring eller överföring, exempelvis e-post eller USB-minne. Som regel innefattar denna typ av utlämnande att informationen lämnas ut i en form som medför att mottagaren kan bearbeta informationen.11 Utlämnande kan också ske elektroniskt genom en s.k. fråga-svarsfunktion, se vidare nedan.
Informationshanteringsutredningen anförde vidare att det, genom
informationsteknikens utveckling, har blivit allt svårare att dra gränsen mellan de olika utlämnandeformerna.12
8SOU 2012:90 s. 198 f. 9SOU 2012:90 s. 198 f. 10SOU 2012:90 s. 198. som hänvisar till prop. 2004/05:164 s. 83 och prop. 2011/12:45 s. 133. 11SOU 2012:90 s. 198 som hänvisar till prop. 2007/08:126 s. 77. 12SOU 2012:90 s. 199.
Ett visst klargörande har skett genom ett avgörande från Högsta förvaltningsdomstolen, där frågan var om socialnämnderna kunde anses ha direktåtkomst till Försäkringskassans socialförsäkringsdatabas.13 Domstolen konstaterade att de allmänna handlingar hos en myndighet som en annan myndighet genom direktåtkomst får tillgång till utgör allmänna handlingar även hos denna myndighet.14 Av dåvarande 2 kap. 3 § andra stycket tryckfrihetsförordningen (nuvarande 2 kap. 6 § första stycket) framgick att en upptagning anses förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt.
Domstolen anförde vidare att den avgränsning som på detta sätt görs av begreppet direktåtkomst, genom tillämpning av tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet, kan användas även för att bestämma innehållet i detta begrepp i 114 kap. 22 § socialförsäkringsbalken. I det aktuella fallet var alltså frågan om upptagningen kunde anses förvarad hos socialnämnderna i tryckfrihetsförordningens mening. Socialnämnderna kunde inte på egen hand söka information i socialförsäkringsdatabasen, utan ett utlämnande förutsatte att Försäkringskassan reagerade på en begäran om att de efterfrågade uppgifterna skulle lämnas ut. Försäkringskassan ansågs därmed förfoga över frågan om och i så fall vilka uppgifter som skulle lämnas ut. Någon sådan teknisk tillgång till upptagningar som avses enligt nuvarande 2 kap. 6 § första stycket tryckfrihetsförordningen ansågs socialnämnderna inte ha, vilket innebar att förfarandet inte var att betrakta som direktåtkomst enligt socialförsäkringsbalken.
Sammanfattningsvis kan därför sägas att för att ett elektroniskt utlämnande ska anses utgöra direktåtkomst krävs det att den aktuella upptagningen anses förvarad hos mottagaren på det sätt som avses i 2 kap. 6 § första stycket tryckfrihetsförordningen, dvs. att upptagningen är tillgänglig för mottagaren med tekniskt hjälpmedel som mottagaren själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt.
13HFD 2015 ref. 61, den s.k. LEFI Online-domen. 14Prop. 2002/03:135 s. 90.
12.3.3. Risker med direktåtkomst ur ett sekretessperspektiv
Gäller sekretess, som inom socialtjänsten, för uppgift om enskildes personliga förhållanden med omvänt skaderekvisit, ska sekretessprövningen innefatta en prövning av samtliga omständigheter i det enskilda fallet, för att bedöma om uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (se vidare avsnitt 5.5). Många gånger måste handläggaren ta reda på t.ex. mottagarens identitet och avsikter för att kunna avgöra om uppgifterna ska lämnas ut.15 Vid direktåtkomst sker emellertid utlämnandet redan när uppgiften görs tillgänglig för andra, och en skade- och menprövning kan inte göras i det skedet. För att ett system med utlämnande genom direktåtkomst ska fungera i realiteten krävs det att det samtidigt införs en sekretessbrytande bestämmelse eller en uppgiftsskyldighet som gör det möjligt att lämna ut uppgifter som är skyddade av sekretess utan någon sekretessprövning i det enskilda fallet, om de i förväg bestämda förutsättningarna för direktåtkomst är uppfyllda. Skyddet för uppgifterna är således beroende av att den person som inhämtar uppgiften gör en korrekt bedömning av vad han eller hon har rätt att ta del av.
Ytterligare en konsekvens av direktåtkomst som kan ha betydelse ur ett integritetsperspektiv är, som berörs närmare i avsnitt 6.6, att en allmän handling hos en myndighet också utgör en allmän handling hos den myndighet som har tillgång till handlingen genom ett system med direktåtkomst. Exempelvis utgör ospärrade uppgifter i en allmän handling i ett system med sammanhållen journalföring i regel en allmän handling hos alla anslutna myndigheter, oberoende av vilken myndighet som har fört in uppgifterna i systemet, och en begäran om utlämnande kan göras hos alla de anslutna myndigheterna. Ju fler myndigheter som har direktåtkomst till uppgifter i ett gemensamt informationshanteringssystem, desto större blir alltså, typiskt sett, allmänhetens möjlighet att få tillgång till dessa uppgifter. Om det som i det här fallet är fråga om direktåtkomst mellan omsorgsgivare eller utlämnande genom direktåtkomst från sådana omsorgsgivare till hälso- och sjukvård kan det konstateras att sekretesskyddet är lika starkt hos både den utlämnande och mottagande myndigheten. Allmänhetens möjlighet att få ut uppgifter från de anslutna myndigheterna är således i realiteten inte större endast på grund av begäran
15Prop. 1979/80:2 del A s. 82 och SOU 2003:99 s. 132.
kan ställas till fler myndigheter. Däremot kan omständigheten att en upptagning utgör en allmän handling hos samtliga myndigheter som förvarar dem på det sätt som avses i 2 kap. 6 § första stycket tryckfrihetsförordningen innebära att den myndighet som får en framställan om utlämnande av allmän handling, som utgör en sådan upptagning, måste ta del av handlingen för att kunna göra en sekretessprövning. Detta oaktat att de villkor som uppställs för att få behandla uppgifterna i handlingen inte är uppfyllda (se vidare avsnitt 16.5.7). Uppgifterna i den allmänna handlingen kan på så sätt komma att spridas till den eller de personer hos de mottagande myndigheterna som har att göra en sekretessprövning. Förhållandet kan därför innebära en oförutsebar spridning av uppgifterna utanför den myndighet som samlat in dem från omsorgsmottagaren.
Vid sammanhållen journalföring har dock problemet med att vårdgivare som inte uppfyller kraven för att ta del av en handling genom sammanhållen journalföring ändå kan behöva göra det för att kunna pröva en sekretessfråga, lösts genom införandet av en bestämmelse om absolut sekretess i vissa fall. Enligt 25 kap. 2 § offentlighets- och sekretesslagen, OSL, gäller sekretess hos en hälso- och sjukvårdsmyndighet för uppgift om enskilds personliga förhållanden som gjorts tillgänglig av en annan vårdgivare enligt bestämmelserna om sammanhållen journalföring enligt patientdatalagen, om de särskilda förutsättningar som anges för sammanhållen journalföring i samma lag inte är uppfyllda (se vidare avsnitt 6.10). Är de särskilda villkoren för sammanhållen journalföring inte uppfyllda gäller alltså absolut sekretess för uppgifterna och någon sekretessprövning behöver inte göras.
12.3.4. Risker med direktåtkomst ur ett dataskyddsperspektiv
Direktåtkomst anses även utgöra en särskild integritetsrisk ur ett dataskyddsperspektiv. Ett skäl till detta kan vara den omständigheten att den utlämnande myndigheten eller aktören, i det här fallet omsorgsgivaren, inte har kontroll över vilka uppgifter som mottagaren vid varje enskilt tillfälle tar del av och vem som tar del av uppgifterna. Möjligheten att införa direktåtkomst mellan olika omsorgsgivare innebär att informationen potentiellt kan förmedlas till en betydligt större krets av personer än tidigare, eftersom många fler
användare kommer att kunna ta del av omsorgsmottagarnas personuppgifter. Direktåtkomst kan också innebära att det är svårare att säkerställa att obehöriga inte tar del av personuppgifter.
En annan omständighet som typiskt sett brukar ses som en integritetsrisk är att det, som i detta fall, rör sig om behandling av känsliga personuppgifter. Inom socialtjänstens verksamhet avseende äldre och personer med funktionsnedsättningar finns det som regel behov av att behandla uppgifter om omsorgsmottagarens hälsa, eftersom hälsan oftast är anledningen till de beviljade insatserna. Detta gäller inte bara uppgifter om psykisk och fysisk hälsa, utan även uppgifter om mediciner, hjälpmedel och socialt välbefinnande. Det rör sig vidare ofta om en omfattande behandling av sådana uppgifter. Att stora mängder personuppgifter av känslig natur hålls samlade och finns potentiellt tillgängliga för ett större antal omsorgsgivare kan naturligtvis uppfattas som oroande av vissa omsorgsmottagare.
Inom socialtjänsten kan det också finnas behov av att behandla uppgifter som inte definieras som känsliga personuppgifter enligt dataskyddsförordningen, men ändå anses vara av känslig karaktär och av sådant slag att omsorgsmottagaren kan känna oro för att de ska spridas till obehöriga. Exempelvis har uppgifter om att någon är föremål för ekonomiskt eller annat stöd från socialtjänsten eller över huvud taget är föremål för utredning hos socialtjänsten ansetts utgöra personuppgifter av känslig natur.
Vid utredningens kontakter med olika omsorgsgivare inom omsorgsverksamheten har det framförts att det ibland kan röra sig om detaljerad information om omsorgsmottagarens vanor, sinnesstämning eller erfarenheter, uppgifter som sammantaget närmar sig en form av kartläggning av omsorgsmottagaren. Denna information kan i förening ge en mycket närgången bild av omsorgsmottagarens liv. Det har framförts att vissa omsorgsmottagare uppfattar denna typ av information som än mer utlämnande eller integritetskänslig än uppgifter om hälsa, och därmed också som en större integritetsrisk att fler personer potentiellt kan få tillgång till uppgifterna. Ju fler personer som har möjlighet att ta del av uppgifterna, desto större är risken för att någon tar del av uppgifterna utan att det är motiverat i tjänsten, av nyfikenhet.
Det är av avgörande betydelse för omsorgsmottagarens förtroende för ett system med sammanhållen omsorgsdokumentation, som möjliggör direktåtkomst för flera omsorgsgivare, att direktåtkomsten
bara används för syften och i situationer som omsorgsmottagaren kan förutse och ha kontroll över. En viktig del av skyddet för den personliga integriteten är omsorgsmottagarens möjlighet att själv bestämma över tillgången till, och behandlingen av, hans eller hennes personuppgifter. Systemet för sammanhållen journalföring i patientdatalagen lutar sig mot det faktum att patienten har möjlighet att motsätta sig behandlingen i sammanhållen journalföring, samt måste lämna sitt samtycke till behandling hos en mottagande vårdgivare. I de grupper av omsorgsmottagare som det är fråga om här, äldre och personer med funktionsnedsättningar, finns det många som, av olika skäl, har nedsatt beslutsförmåga. De kan t.ex. ha svårt att ta till sig information om vad ett system med sammanhållen omsorgsdokumentation är, vad ett samtycke till sådan behandling av personuppgifter innebär och att det finns möjlighet att motsätta sig att uppgifter görs tillgängliga för andra omsorgsgivare genom sammanhållen omsorgsdokumentation. Det har under utredningstiden framförts att det just när det gäller omsorgsmottagare inom grupperna äldre och personer med funktionsnedsättningar kan vara svårare att bedöma om omsorgsmottagaren har tagit till sig informationen och vad han eller hon vill, och därmed om omsorgsmottagaren kan lämna ett giltigt samtycke.
Omsorgsgivare har påtalat att det finns vissa integritetsrisker förknippade särskilt med verksamhet som avser äldre och personer med funktionsnedsättningar. Dessa personer kan få insatser av socialtjänsten av många olika skäl, inte bara för att de är äldre eller har funktionsnedsättningar. Det kan därför finnas dokumentation hos socialtjänsten gällande insatser på grund av att det t.ex. förekommer våld i nära relationer, att personerna är dömda för brott, eller för att de har missbruk, eller andra uppgifter som kan uppfattas som särskilt känsliga. Det har framförts att det många gånger är omöjligt att särskilja de olika insatserna åt och att det därför är viktigt att tydligt avgränsa vilken dokumentation som direktåtkomsten ska omfatta. Det finns annars risk för att mottagaren får del av överskottsinformation, som inte är relevant för de aktuella insatserna.
12.3.5. Övriga risker med direktåtkomst eller annat elektroniskt utlämnande
Som konstaterats i avsnitt 12.2 kan en omsorgsmottagare inom socialtjänsten ha kontakt med många olika omsorgsgivare, som är ansvariga för skilda typer av insatser. Det kan framstå som självklart att elektronisk tillgång till uppgifter om omsorgsmottagaren är det som är snabbast och enklast för omsorggivaren, och därmed också mest ändamålsenligt för omsorgsmottagaren. Det har dock framförts att muntlig kommunikation mellan de personer som utför insatserna inte alltid kan ersättas med uppgifter i ett gemensamt dokumentationssystem. Olika yrkesgrupper kan ha skilda sätt att dokumentera information på och informationen kan tolkas eller bedömas på olika sätt beroende på vem som tar del av den. Det finns därför en risk för att information som kan vara viktig för andra omsorgsgivare utelämnas och att dokumenterade uppgifter feltolkas. Följden skulle kunna bli, har det framförts, att uppgifterna om omsorgsmottagaren tas ur sitt sammanhang, vilket kan leda till ökad risk för fel och missförstånd.
Det har också framförts att många av socialtjänstens omsorgsmottagare inte känner till vad som finns dokumenterat om dem i omsorgsgivarnas informationssystem, vilket gör det svårt för dem att bedöma vilken information som omsorgsgivare kommer att kunna ta del av vid direktåtkomst eller annat elektroniskt utlämnande. Det finns en risk för att omsorgsmottagarna tappar förtroendet för socialtjänsten och inte lämnar all relevant information, alternativt inte ens söker hjälp hos socialtjänsten, på grund av oro för att tillgången till uppgifterna i systemet inte kommer att vara begränsad. Det har påpekats att det därför är viktigt att omsorgsmottagaren själv får bestämma om informationen ska delas och kan spärra viss eller all information.
12.3.6. Vilken form av elektroniskt utlämnande bör väljas?
Inledning
Utredningen ska se över möjligheterna att införa direktåtkomst mellan vissa verksamheter inom socialtjänsten. Direktåtkomst är en specialform av elektroniskt uppgiftsutlämnande till mottagare utanför en myndighet eller annan verksamhet (se vidare i avsnitt 6.6.2 och 12.3.2). Mottagaren kan exempelvis vara en annan myndighet
eller en privatperson. Som beskrivs i avsnitt 12.3.3 och 12.3.4 är direktåtkomst förknippad med särskilda integritetsrisker. Som utredningen i dessa avsnitt konstaterat är personuppgifter avseende äldre och personer med funktionsnedsättningar inom socialtjänsten ofta är av integritetskänslig karaktär och att stark sekretess gäller för sådana personuppgifter. Det finns därför anledning att vara restriktiv med möjligheten till direktåtkomst till personuppgifter mellan olika aktörer inom socialtjänsten och sådan åtkomst bör endast vara tillåten om det finns särskilda skäl.
Alternativet utlämnande på medium för automatiserad behandling, även kallat annat elektroniskt utlämnande, anses vara mindre integritetskänsligt än utlämnande genom direktåtkomst. Det finns exempel på verksamheter som använder sig av elektroniskt utlämnande som är snarlikt direktåtkomst men är uppbyggt så att det sker en automatiserad prövning i varje enskilt fall innan uppgifterna lämnas ut, en s.k. fråga-svar-funktion, se beskrivningen av Högsta förvaltningsdomstolens prövning i den s.k. LEFI Online-domen16 i avsnitt 12.3.2. Med en sådan tolkning av begreppet direktåtkomst som Högsta förvaltningsdomstolen gjorde i denna dom finns det, enligt utredningens mening, inte från integritetsskyddssynpunkt någon egentlig praktisk skillnad mellan direktåtkomst och elektroniskt utlämnande via en fråga-svar-funktion. I båda fallen kan den utomstående användaren snabbt (”direkt”) och på distans bereda sig tillgång till önskad information om en viss individ.
Det finns ett behov av möjlighet till enkelt digitalt utlämnande
Med hänsyn till detta och till vad som framkommit om behoven av informationsöverföring finns det enligt utredningens mening inom socialtjänstens verksamhet för äldre och personer med funktionsnedsättningar övervägande fördelar med att ge möjlighet till åtkomst genom både direktåtkomst och annat elektroniskt utlämnande. Direktåtkomst, eller en elektronisk fråga-svar-funktion, ger möjlighet för den som behöver en uppgift att snabbt få åtkomst till denna. Som konkret exempel på en vanligt förekommande situation då detta är särskilt värdefullt kan nämnas biståndshandläggares behov av att få information från utföraren om omsorgsmottagarens situation för
att snabbt kunna följa upp omsorgsmottagarens behov av insatser och kunna justera utförarens uppdrag när omsorgsmottagarens situation förändras. Åtkomst genom direktåtkomst eller annat elektroniskt utlämnande till sådan information besparar också utföraren arbete, eftersom utföraren annars måste kontakta biståndshandläggaren och beskriva den ändrade situationen. Detta är ur effektivitetssynpunkt viktigt, eftersom socialtjänstens resurser blir alltmer ansträngda med en ökande andel äldre. Direktåtkomst, eller elektroniskt utlämnande genom en fråga-svar-funktion, innebär även fördelar från informationssäkerhetssynpunkt i denna situation. Detta eftersom utlämnande på annat sätt, t.ex. via mejl, utöver att det ofta inte uppfyller dataskyddskraven när det gäller säkerhet, även i övrigt allmänt sett innebär en mindre säker överföring av uppgifter då obehöriga lättare kan få tillgång till dem. Uppgifter som lämnas ut via exempelvis mejl riskerar också att bli inaktuella, eftersom de inte uppdateras automatiskt.
Direktåtkomst, eller en elektronisk fråga-svar-funktion, har också fördelen att den minskar risken för förvanskning av den information som överförs och för att man missar att överföra relevant information. Detta blir särskilt tydligt när man ser till behovet hos utförare, som arbetar sida vid sida hos en omsorgsmottagare, av att få del av personuppgifter rörande omsorgsmottagaren. Att göra som man gör i dag, dvs. anteckna det viktigaste på post-it-lappar eller i en pärm eller dagbok som förvaras hos omsorgsmottagaren och som de olika utförarna kan läsa och dokumentera i, är inte ett tillräckligt säkert sätt att hantera så viktig och känslig information. Att överföra information muntligen på telefon eller då personal möts i hallen hos omsorgsmottagaren är inte heller tillräckligt säkert. Ett system med annat elektroniskt utlämnande, t.ex. genom usb-minnen som postas eller genom krypterad mejl efter förfrågan, skulle i detta fall enligt utredningens bedömning inte vara tillräckligt, utan det är just utlämnande genom direktåtkomst eller en elektronisk fråga-svar-funktion som för det allra mesta är nödvändigt.
Är direktåtkomst nödvändig?
Det kan ifrågasättas om det inom socialtjänstens verksamhet för äldre och personer med funktionsnedsättningar är nödvändigt med direktåtkomst eller om det skulle vara tillräckligt att åtkomsten sker genom något annat elektroniskt utlämnande, t.ex. via en fråga-svar-funktion.
Samverkansprogrammet för digital utveckling, eSam, rekommen-
derar i sin vägledning för utlämnande i elektronisk form att när myndigheter ska införa tjänster för att lämna ut uppgifter automatiserat, ska nya tjänster inte utformas för direktåtkomst. Som skäl till detta anges att gränsen mellan de uppgiftsutbytande myndigheterna delvis tas bort och att det uppstår överskottsinformation, vilket ökar risken för integritetsintrång och annan spridning av känsliga uppgifter. Man hänvisar även till att det av ingresspunkt 31 i EU:s dataskyddsförordning framgår att varje begäran från en myndighet ska vara skriftlig, motiverad, läggas fram i det enskilda fallet och inte gälla ett helt register eller leda till att register kopplas samman.17
Digitaliseringsrättsutredningen har i sitt betänkande Juridik som stöd för förvaltningens digitalisering (SOU 2018:25) i en kartläggning
konstaterat att när myndigheterna utvecklar system för informationsöverföring synes målsättningen i regel vara att systemen ska spegla den tekniska lösningen i socialförsäkringsdatabasen LEFI Online så att det inte blir inte fråga om direktåtkomst för den mottagande myndigheten. Uppgifterna anses i stället utlämnade på medium för automatiserad behandling och myndigheterna slipper den särskilda problematik med överskottsinformation som blir en effekt av direktåtkomst.18 Mot bakgrund av detta kan det ifrågasättas om det verkligen är nödvändigt att tillåta utlämnande genom direktåtkomst inom socialtjänstens verksamhet för äldre och personer med funktionsnedsättningar. Utredningen ska emellertid, enligt utredningsdirektiven, se över möjligheterna att mellan vissa verksamheter inom socialtjänsten införa direktåtkomst, i likhet med den möjlighet som i dag finns till sammanhållen journalföring inom hälso- och sjukvården. Utredningen konstaterar i avsnitt 12.3.8. nedan att det därför faller sig naturligt att använda systemet med sammanhållen journalföring inom hälso- och sjukvården som utgångspunkt när ett förslag till ett motsvarande system med sammanhållen omsorgsdokumenta-
17Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk form, eSam, maj 2016, s.3, och Rättsliga förutsättningar för digitalt i första hand, eSam, mars 2018, s 38. 18SOU 2018:25 s. 84.
tion inom socialtjänsten ska utformas. Dessutom ska utredningen enligt direktiven även se över möjligheterna att införa samma sorts direktåtkomst mellan dessa verksamheter inom socialtjänsten och hälso- och sjukvården. Mot denna bakgrund bedömer utredningen att det skulle vara enklast och mest ändamålsenligt att även inom socialtjänstens verksamhet för äldre och personer med funktionsnedsättningar tillåta direktåtkomst mellan verksamheterna i kombination med en bestämmelse om absolut sekretess för överskottsinformation på motsvarande sätt som i fråga om sammanhållen journalföring. I utredningens uppdrag ingår även att sammanställa och översiktligt beskriva eventuella ytterligare frågeställningar som utredningen under arbetet med utredningsuppdraget uppmärksammat och som utredningen bedömer kräver vidare analys ur ett dataskydds- eller sekretessperspektiv. Denna del av utredningens uppdrag ska dock inte redovisas i detta delbetänkande utan i utredningens slutbetänkande. Utredningen kan därför komma att återkomma till frågan om det finns anledning att utreda om möjligheten till direktåtkomst i patientdatalagen bör ersättas med något annat elektroniskt utlämnande.
12.3.7. Förutsättningarna för elektroniskt utlämnande behöver författningsregleras
Som tidigare redogjorts för (avsnitt 12.2.2) gäller att uppgifter kan lämnas ut elektroniskt mellan olika omsorgsgivare om behandlingen av personuppgifter som sådan är tillåten och sekretessen för uppgifterna bryts, t.ex. genom omsorgsmottagarens samtycke. Elektronisk åtkomst över sekretessgränser mellan olika omsorgsgivare är därför i dag tillåten i många fall. Däremot är den särskilda form av elektroniskt utlämnande som kallas direktåtkomst, så som den används inom systemet med sammanhållen journalföring inom hälso- och sjukvården, inte möjlig mellan olika omsorgsgivare med sekretessgränser mellan sig. Detta beror på att vid sådan direktåtkomst lämnas handlingarna ut redan genom att de förs in i systemet, utan att det i det skedet finns samtycke från omsorgsmottagaren, på ett sätt som innebär att dokumentationen har gjorts elektroniskt tillgänglig hos andra. Sådan direktåtkomst måste därför kombineras med särskilda sekretessbrytande regler.19
19 Jfr förarbetena till patientdatalagenprop. 2007/08:126 s. 75.
Det finns dock ingen bestämmelse i SoLPUL eller förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, SoLPUF, som hindrar att direktåtkomst eller annat elektroniskt utlämnande används inom socialtjänsten om behandlingen av personuppgifter som sådan är tillåten.
För att någon annan vårdgivare än den som fört in uppgifterna ska få bereda sig tillgång till en patients uppgifter krävs det att patienten samtycker (se avsnitt 6.9.1). Som ovan nämnts kan, med dagens lagstiftning, uppgifter lämnas ut elektroniskt mellan olika omsorgsgivare om omsorgsmottagaren samtycker till det (och om behandlingen av personuppgifter som sådan är tillåten). Eftersom det för att utomstående ska få bereda sig tillgång till uppgifterna enligt bestämmelserna om sammanhållen journalföring alltid krävs ett samtycke av patienten, skiljer sig sådan åtkomst egentligen inte nämnvärt från den elektroniska åtkomst som i dag är tillåten inom socialtjänsten när omsorgsmottagaren samtycker till det. Det innebär att en motsvarande elektronisk åtkomst som finns inom hälso- och sjukvården genom sammanhållen journalföring i praktiken redan är tillåten inom socialtjänsten. Dock är det inom socialtjänsten inte tillåtet att på det sätt som sker vid sammanhållen journalföring göra uppgifter tillgängliga för andra redan innan den enskilde samtyckt till ett utlämnande.
För att en vårdgivare som är ansluten till ett system med sammanhållen journalföring ska få bereda sig åtkomst till uppgifter som en annan vårdgivare har gjort tillgängliga krävs enligt reglerna i patientdatalagen, utöver att patienten samtycker till det, även att uppgifterna rör en patient som vårdgivaren har en aktuell patientrelation med och att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten. En reglering av sammanhållen omsorgsdokumentation inom socialtjänsten skulle därför även kunna ge möjlighet att på liknande sätt strama upp möjligheten till elektronisk åtkomst till dokumentationen om omsorgsmottagarna. En reglering ger också möjlighet att införa andra integritetsstärkande åtgärder för informationsutbyte inom socialtjänsten, som exempelvis att förtydliga vem som har personuppgiftsansvaret för dokumentationen och krav på tilldelning av behörighet för elektronisk åtkomst, loggning och kontroll av elektronisk åtkomst. Se vidare om integritetsstärkande åtgärder i avsnitt 12.3.9.
Det är även så att det i dag finns en stor osäkerhet inom socialtjänsten om när och hur information får utbytas. Det är rimligt att
anta att denna osäkerhet medför att information utbyts i mindre utsträckning än vad som faktiskt är möjligt med nuvarande lagstiftning. En lagreglering som klargör villkoren för informationsutbyte inom socialtjänsten skulle därför även kunna främja informationsutbytet som sådant. Om det finns en tydlig reglering, kommer den antagligen att användas. Härtill kommer att en omsorgsgivares införande av elektronisk åtkomst för utomstående förmodligen i dag måste föregås av en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen, vilket i de allra flesta fall kan undvikas om en motsvarande bedömning gjorts i samband med att en lagreglering av åtkomsten införs (se avsnitt 12.3.12).
12.3.8. Regleringen bör utformas med sammanhållen journalföring som förebild
Direktåtkomst till personuppgifter som behandlas av andra vårdgivare genom sammanhållen journalföring har varit möjligt inom hälso- och sjukvården sedan år 2008, när patientdatalagen trädde i kraft. Lagstiftningen avseende sammanhållen journalföring har, enligt vad som framkommit, varit ändamålsenlig och uppfyllt det avsedda syftet att med bibehållet integritetsskydd öka patientsäkerheten genom enkel och snabb tillgång till information. Dessa bestämmelser har nu alltså tillämpats under drygt ett decennium utan att det kommit fram någon allvarligare kritik mot själva lagstiftningen i sig från integritetsskyddssynpunkt, även om det har funnits vissa tillämpningsproblem på grund av bristande vägledning för att tillämpa lagen.20I de fall det förekommit brister i skyddet av patientens integritet har detta vanligtvis berott på en felaktig tillämpning av bestämmelserna och inte på lagstiftningen i sig och de föreskrivna skyddsåtgärderna. Den avvägning mellan integritet och effektivitet som gjordes när patientdatalagen kom till har accepterats och visat sig fungera. Att anknyta till befintlig lagstiftning ger dessutom ökade möjligheter till en enhetlig tolkning genom rättspraxis. Mot denna bakgrund och utifrån uppdragets utformning anser utredningen det lämpligt att utgå från patientdatalagens bestämmelser om sammanhållen journalföring inom hälso- och sjukvård vid utformningen av sammanhållen vård- och omsorgsdokumentation. I de fall förhållandena inom hälso-
20 Riksrevisionens rapport RiR 2011:19 Rätt information vid rätt tillfälle inom vård och omsorg
– samverkan utan verkan? s. 10 och regeringens skrivelse skr. 2011/12:34.
och sjukvården och socialtjänsten skiljer sig åt på ett avgörande sätt, kommer skillnaderna och vilken betydelse de har för lagstiftningens utformning att analyseras.
12.3.9. Föreslagna integritetsstärkande åtgärder
Vid avvägningen mellan behovet av snabbt och enkelt utbyte av omsorgsdokumentation mellan olika omsorgsgivare inom socialtjänsten och de integritetsrisker ett system med direktåtkomst inom sådan verksamhet kan innebära är det av betydelse vilka integritetsstärkande åtgärder som kan vidtas för att förhindra och försvåra intrång i omsorgsmottagarens personliga integritet.
Med utgångspunkt i patientdatalagens reglering av sammanhållen journalföring inom hälso- och sjukvården föreslår utredningen att en lagstiftning som möjliggör direktåtkomst eller annat elektroniskt utlämnande av uppgifter mellan olika omsorgsgivare inom socialtjänsten ska kombineras med en rad bestämmelser som syftar till att stärka integritetsskyddet.
För det första kan det konstateras att omsorgsmottagarens möjlighet till inflytande över behandlingen av personuppgifter bör vara av avgörande betydelse för om behandlingen uppfattas som en integritetskränkning eller inte. Många ser det som skrämmande med ett system där personuppgifter, även känsliga sådana, finns potentiellt tillgängliga för ett stort antal personer. Om omsorgsmottagaren har ett avgörande inflytande över behandlingen av och tillgången till personuppgifterna, kan det antas att acceptansen för ett system med direktåtkomst är större. Utredningen föreslår att, i likhet med vad som gäller för sammanhållen journalföring, uppgifter om en omsorgsmottagare inte görs tillgängliga för andra omsorgsgivare genom sammanhållen omsorgsdokumentation om omsorgsmottagaren motsätter sig det. Omsorgsmottagaren har därmed möjlighet att motsätta sig behandlingen genom sammanhållen omsorgsdokumentation redan vid det tillfälle då uppgifterna om honom eller henne dokumenteras. Om omsorgsmottagaren motsätter sig sådan behandling, ska uppgifterna, på samma sätt som sker vid sammanhållen journalföring, genast spärras så att andra omsorgsgivare inte kan ta del av dem (se vidare avsnitt 16.5). Att uppgifterna spärras innebär alltså att det på något sätt dokumenteras att omsorgsmottagaren motsatt sig sammanhållen
omsorgsdokumentation, så att uppgifterna inte görs tillgängliga genom direktåtkomst eller annars lämnas ut elektroniskt. Utredningen föreslår dock att vissa särskilda regler ska gälla för barn och för personer som inte endast tillfälligt saknar förmåga att ta ställning, se vidare avsnitt 16.5.5 och 16.5.6.
Rätten att spärra uppgifter ska inte vara tidsbegränsad. Möjligheten att omsorgsgivaren kan forcera en spärr kan upplevas som ett integritetsintrång av den vars uppgifter dokumenteras hos socialtjänsten. Av skäl som utvecklas vidare i avsnitt 16.5.3 föreslår utredningen inte någon möjlighet att häva spärren vid akuta situationer, motsvarande den som finns vid sammanhållen journalföring.
För att omsorgsmottagaren ska kunna ta ställning till om dokumentationen ska göras tillgänglig för andra omsorgsgivare krävs det att han eller hon får korrekt och begriplig information om vad systemet med sammanhållen omsorgsdokumentation innebär och att det är möjligt att motsätta sig sådan behandling av personuppgifter. Utredningen föreslår därför en bestämmelse om krav på information till omsorgsmottagaren innan uppgifterna görs tillgängliga.
Utredningen föreslår också att omsorgsmottagaren ska ha lämnat sitt samtycke till att en omsorgsgivare tar del av personuppgifter som en annan omsorgsgivare gjort tillgängliga i systemet med sammanhållen omsorgsdokumentation. I sådana fall är det alltså inte tillräckligt att den enskilde inte motsätter sig behandlingen, utan ett aktivt samtycke krävs. Vad som ska anses utgöra ett giltigt samtycke i detta sammanhang berörs närmare i avsnitt 16.7.4. Även i detta sammanhang föreslås särskilda bestämmelser för barn och personer som inte endast tillfälligt saknar förmåga att ta ställning, se vidare avsnitt 16.7.5 och 16.9.
Utöver bestämmelser som ska garantera omsorgsmottagaren inflytande över behandlingen av personuppgifter innehåller utredningens förslag ytterligare bestämmelser med syfte att stärka skyddet för omsorgsmottagarens integritet.
Utredningen föreslår att tillämpningsområdet för ett system med sammanhållen omsorgsdokumentation inom socialtjänsten ska vara klart och tydligt definierat, och begränsas till viss verksamhet inom socialtjänsten som avser äldre och personer med funktionsnedsättningar. Regleringens tillämpningsområde på socialtjänstens område berörs vidare i avsnitt 16.1.2-16.1.4. Definitionen är utformad så att
bara omsorgsinsatser omfattas och inte t.ex. insatser i form av ekonomiskt bistånd.
Som beskrivs närmare i avsnitt 7.2 kan dokumentation inom socialtjänsten, till skillnad från en journal inom hälso- och sjukvården, i vissa fall vara gemensam för flera personer. Det kan naturligtvis uppfattas som oroande för den enskilde att uppgifter om honom eller henne kan bli tillgängliga genom ett system med sammanhållen omsorgsdokumentation på grund av att de förekommer i en gemensam dokumentation. Utredningen föreslår därför en förtydligande bestämmelse, som slår fast att reglerna om sammanhållen omsorgsdokumentation bara gäller om dokumentationen förs för varje omsorgsmottagare för sig (se avsnitt 16.1.5).
En annan integritetsstärkande åtgärd är att förtydliga vem som har personuppgiftsansvaret vid sammanhållen omsorgsdokumentation. Vidare krävs för direktåtkomst, enligt utredningens förslag, att vissa grundläggande förutsättningar är uppfyllda. En omsorgsgivare får ha direktåtkomst till personuppgifter bara om uppgifterna rör en omsorgsmottagare som får omsorgsgivarens insatser för äldre eller personer med funktionsnedsättningar eller är föremål för en utredning om att få sådana insatser från omsorgsgivaren och uppgifterna kan antas ha betydelse för dessa insatser. Det är också avgörande att tillgången till personuppgifter inte är större än det finns behov av. För att en omsorgsgivare ska få behandla personuppgifter som en annan omsorgsgivare gjort tillgängliga i systemet med sammanhållen omsorgsdokumentation krävs, utöver att omsorgsmottagaren lämnat sitt samtycke, att uppgifterna rör en omsorgsmottagare som får omsorgsgivarens insatser för äldre eller personer med funktionsnedsättningar eller är föremål för en utredning om att få sådana insatser från omsorgsgivaren. Det krävs också att personuppgifterna kan antas ha betydelse för omsorgsgivarens insatser för omsorgsmottagaren. Vidare ska direktåtkomst vid sammanhållen omsorgsdokumentation bara få användas för de uttryckliga ändamål som anges i regleringen. Undantag ska inte vara möjliga, trots att omsorgsmottagaren har gett sitt uttryckliga samtycke.
Det torde underlätta för omsorgsmottagaren att ta ställning till frågan om direktåtkomst om han eller hon kan kontrollera vilka uppgifter dokumentationen innehåller. För att omsorgsmottagaren på ett enkelt sätt ska kunna ha insyn i vilka uppgifter som finns i hans eller hennes dokumentation inom socialtjänsten, och därmed lättare
kunna ta ställning i fråga om samtycke, föreslår utredningen att omsorgsmottagaren ska kunna få åtkomst till sina personuppgifter och annan dokumentation genom direktåtkomst eller annat elektroniskt utlämnande.
Slutligen bör det förtydligas att det är den som bedriver verksamheten som har ansvar för att den interna elektroniska åtkomsten till uppgifter inte är mer omfattande än vad som krävs för att insatserna för omsorgsmottagaren ska kunna utföras. Utredningen föreslår därför bestämmelser med krav på tilldelning av behörighet för elektronisk åtkomst, loggning och kontroll av elektronisk åtkomst.
I sammanhanget bör också påpekas att den föreslagna regleringen medför en möjlighet för omsorgsgivare att ingå i ett system med sammanhållen omsorgsdokumentation och ger en yttre ram för vad som ska vara tillåtet vid sådan dokumentation och direktåtkomst samt annat elektroniskt utlämnande. Inget hindrar givetvis att omsorgsgivare i sådana samarbeten tillämpar strängare krav än vad den föreslagna regleringen uppställer.
12.3.10. Utredningens samlade avvägning mellan behov och risk för integritetsintrång
Utredningens förslag innebär att samtliga omsorgsgivare inom en viss del av socialtjänsten, såväl offentliga som privata, kan ingå i ett system med möjlighet till snabbare och enklare tillgång till de personuppgifter som behövs i verksamheten. Det huvudsakliga syftet med en sådan reglering är att ge omsorgsmottagarna god och säker omsorg. Andra möjliga effekter av en sådan reglering är minskad administration för omsorgsgivarna då sekretessprövningar kan avskaffas och onödig dubbeldokumentation kan undvikas samt att omsorgsgivare i de allra flesta fall kan låta bli att göra en konsekvensbedömning avseende dataskydd. Samtidigt är det fråga om behandling av ytterst integritetskänsliga personuppgifter, som genom direktåtkomst potentiellt finns tillgängliga för en betydligt större krets av personer än tidigare. Givetvis är integritetsriskerna större när information om ett stort antal individer samlas och lagras elektroniskt så att de är tillgängliga för mer än ett fåtal personer. Det är därför särskilt viktigt att sådan behandling av personuppgifter omgärdas av integritetsskyddande regler. De fördelar som snabb och enkel tillgång till personuppgifter som direktåtkomst i ett system med sam-
manhållen omsorgsdokumentation innebär måste vägas mot de nackdelar och risker för integritetsintrång som en sådan ordning kan medföra.
Som beskrivs i avsnitt 12.2 finns det ett behov av direktåtkomst eller annat elektroniskt utlämnande av personuppgifter mellan olika verksamheter inom socialtjänsten som avser äldre och personer med funktionsnedsättningar. Enligt utredningens förslag får omsorgsmottagarens personuppgifter som huvudregel inte ingå i ett system med sammanhållen omsorgsdokumentation om omsorgsmottagaren motsätter sig det, och omsorgsmottagaren har en icke tidsbegränsad möjlighet att spärra personuppgifterna för sådan behandling. Vidare ska omsorgsmottagarens samtycke krävas för att en omsorgsgivare som är ansluten till systemet ska få åtkomst till personuppgifterna. Det är därmed frivilligt för omsorgsmottagaren att ingå i systemet med sammanhållen omsorgsdokumentation. Särskilda bestämmelser ska gälla för de omsorgsmottagare som behöver särskilt skydd, dvs. barn och personer som inte endast tillfälligt saknar förmåga att ta ställning eller samtycka. Dessutom innehåller utredningens förslag ytterligare integritetsstärkande åtgärder som har till syfte att begränsa och kontrollera behandlingen av personuppgifter. Enligt utredningens bedömning utgör den föreslagna regleringen en lämplig avvägning mellan behovet av en ändamålsenlig reglering för behandlingen av personuppgifter om äldre och personer med funktionsnedsättningar på socialtjänstens område och behovet av skydd för omsorgsmottagarens integritet. De integritetsstärkande åtgärderna är tillräckliga för att väga upp de risker som en ordning med direktåtkomst kan innebära. Utredningens bedömning är därför att det, med de integritetsstärkande bestämmelser som föreslås, är möjligt att införa direktåtkomst eller annat elektroniskt utlämnande mellan verksamheter inom socialtjänsten som avser äldre och personer med funktionsnedsättningar.
Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av skyddet får dock enligt 2 kap. 20 § regeringsformen ske i lag, om de krav som följer av 2 kap. 21 § regeringsformen är uppfyllda (se närmare i avsnitt 3.2).
För den behandling av personuppgifter som sker genom varje omsorgsgivares dokumentation av insatser finns redan lagstöd i SoLPUL och 3 kap. 2 § dataskyddslagen. Att omsorgsgivaren för in denna dokumentation i ett system med sammanhållen omsorgsdokumentation innebär enligt förslaget inte att andra än omsorgsgivaren får ta del av dokumentationen. För att andra omsorgsgivare ska få ta del av dokumentationen ska det enligt förslaget krävas samtycke. Den kartläggning av enskildas personliga förhållanden och det intrång i den personliga integriteten som det innebär att en omsorgsgivare tar del av andra omsorgsgivares dokumentation av insatser förutsätter alltså samtycke. När det gäller utlämnande genom direktåtkomst anses dock allmänna handlingar utlämnade redan när den mottagande myndigheten av annan ges en sådan teknisk tillgång till den utlämnande myndighetens upptagningar som avses i 2 kap. 6 § första stycket tryckfrihetsförordningen, dvs. om upptagningen är tillgänglig för den mottagande myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Enligt utredningens förslag ska det inte krävas något samtycke från omsorgsmottagaren för att en omsorgsgivare ska kunna göra uppgifterna potentiellt tillgängliga för andra omsorgsgivare genom sammanhållen omsorgsdokumentation. Sammanhållen omsorgsdokumentation som bygger på direktåtkomst innebär alltså att handlingarna, oavsett samtycke, anses förvarade och därmed tillgängliga för den mottagande myndigheten. När det är fråga om direktåtkomst skulle det därför kunna diskuteras om det enligt 2 kap. 6 § andra stycket och 20 §regeringsformen krävs reglering i lag. Det saknas dock skäl att göra närmare avvägningar i denna fråga, eftersom utredningen bedömer att inrättandet av ett system där flera omsorgsgivare kan få del av varandras omsorgsdokumentation genom direktåtkomst (eller annat elektroniskt utlämnande) redan av andra skäl bör regleras i lag (se vidare avsnitt 12.3.11).
12.3.11. Reglering i lag
Som beskrivs närmare i avsnitt 3.2 är riksdagen och regeringen överens om att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll bör regleras särskilt i lag. En reglering
som gör det möjligt för flera myndigheter inom socialtjänsten att inrätta ett system där flera myndigheter, men också privata omsorgsgivare, kan få del av olika omsorgsgivares omsorgsdokumentation om en omsorgsmottagare bör därför regleras i lag. Hur en sådan reglering bör utformas berörs i kapitel 15.
12.3.12. Konsekvensbedömning avseende dataskydd
En nyhet i dataskyddsförordningen i förhållande till tidigare reglering är principen om ansvarsskyldighet i artikel 5.2 i dataskyddsförordningen, som innebär att det är den personuppgiftsansvarige som ska säkerställa och kunna visa att principerna i artikel 5.1 i dataskyddsförordningen efterlevs (principerna berörs närmare i avsnitt 4.5).
Genom artikel 35 i dataskyddsförordningen har den personuppgiftsansvarige ett verktyg för att säkerställa och visa att den personuppgiftsansvarige följer dataskyddsförordningen. Enligt artikeln finns det en skyldighet för den personuppgiftsansvarige att göra en konsekvensbedömning innan en behandling av personuppgifter som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter påbörjas. En konsekvensbedömning är en process för att kunna identifiera risker med behandlingen av personuppgifter och ta fram rutiner och åtgärder för att hantera riskerna, och därmed bedöma om det intrång som behandlingen utgör är proportionerligt. Av artikel 35.7 i dataskyddsförordningen framgår minimikraven på vad en konsekvensbedömning ska innehålla.
Det finns en möjlighet att genomföra en konsekvensbedömning redan i lagstiftningsarbetet (artikel 35.10 i dataskyddsförordningen). Det kan underlätta om lagstiftaren så långt det är möjligt genomför en konsekvensbedömning, trots att lagstiftaren inte har exempelvis de tekniska förutsättningarna och därmed inte behovet av konkreta säkerhets- och skyddsåtgärder helt klart för sig. Dessa frågor behöver den personuppgiftsansvarige, som har kunskap om det specifika systemet, själv ta ställning till för att kunna minimera eventuella höga risker.
Den personuppgiftsansvarige ska samråda med Integritetsskyddsmyndigheten före behandlingen om en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen visar att behandlingen skulle leda till en hög risk om inte den personuppgifts-
ansvarige vidtar åtgärder för att minska risken (artikel 36 i dataskyddsförordningen).
I artikel 35.3 i dataskyddsförordningen anges i vilka fall en konsekvensbedömning avseende dataskydd särskilt ska krävas. Därutöver ska tillsynsmyndigheten enligt artikel 35.4 i dataskyddsförordningen upprätta och offentliggöra en förteckning över behandlingar som kräver en sådan bedömning. Datainspektionen (numera Integritetsskyddsmyndigheten) har antagit en förteckning över när en konsekvensbedömning avseende dataskydd ska göras.21
Om en behandling enligt artikel 6.1 c eller e i dataskyddsförordningen har en rättslig grund i EU-rätten eller svensk lag, om denna lagstiftning reglerar den specifika behandlingsåtgärden och om en konsekvensbedömning avseende dataskydd har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av denna rättsliga grund, gäller inte artikel 35.1-7 i dataskyddsförordningen. I sådana fall behöver inte var och en av de som behandlar personuppgifter enligt lagstiftningen göra en egen konsekvensbedömning avseende dataskydd. Enligt Datainspektionen kan dock en bedömning som görs under utarbetandet av lagstiftningen behöva ses över om den antagna lagstiftningen skiljer sig från det bedömda förslaget på ett sätt som påverkar integriteten och frågor som rör uppgiftsskydd.22
Den behandling av personuppgifter som möjliggörs genom sammanhållen omsorgsdokumentation med direktåtkomst eller annat elektroniskt utlämnande kan, med beaktande av vissa omständigheter, sannolikt leda till hög risk för intrång i omsorgsmottagarnas personliga integritet. Den personuppgiftsansvarige skulle alltså i sådana fall innan behandlingen påbörjas behöva göra en konsekvensbedömning avseende dataskydd. Arbetsuppgifter inom socialtjänsten är emellertid arbetsuppgifter av allmänt intresse, vilket betyder att behandlingen har stöd i artikel 6.1 e i dataskyddsförordningen.23Undantaget från kravet på konsekvensbedömning avseende dataskydd kan därför vara tillämpligt. Den behandling av personuppgifter som sker i ett system med sammanhållen omsorgsdokumentation
21 www.datainspektionen.se/globalassets/dokument/beslut/forteckning-konsekvensbedomningar.pdf. 22 Datainspektionens förteckning enligt artikel 35.4 i Dataskyddsförordningen, 2019-01-16, DI-2018-13200 s. 2. 23SOU 2017:66 s. 219 f. och 396 f. och prop. 2017/18:171 s. 78 ff.
kommer vidare att ha stöd i dataskyddslagen, SoLPUL, SoLPUF och den föreslagna lagen.
Utredningen gör bedömningen att den riskanalys som genomförts i avsnitt 12.3 och 13.3 samt de gjorda avvägningarna mellan behov och risk för integritetsintrång är en sådan konsekvensbedömning avseende dataskydd som krävs enligt artikel 35.10 i dataskyddsförordningen. Det innebär att en särskild konsekvensbedömning avseende dataskydd i de allra flesta fall inte behöver göras av varje omsorgsgivare som inför sammanhållen omsorgsdokumentation enligt den föreslagna lagen. I undantagsfall, t.ex. om omsorgsgivaren vill nyttja teknik som inte används i dag och som kan påverka den personliga integriteten, kan det förmodligen krävas att omsorgsgivaren – som har kännedom om det specifika IT-stödet – gör en konsekvensbedömning avseende dataskydd. Det är den personuppgiftsansvarige omsorgsgivaren som har att ta ställning till om det krävs en konsekvensbedömning avseende dataskydd i det enskilda fallet och i så fall hur eventuella risker ska kunna minimeras.
13. Sammanhållen vård- och omsorgsdokumentation mellan hälso- och sjukvård och socialtjänst
13.1. Inledning
I kapitel 12 har utredningen föreslagit att det ska inrättas ett system där omsorgsgivare kan få del av varandras omsorgsdokumentation genom direktåtkomst (eller annat elektroniskt utlämnande) och att detta bör regleras i lag. Ett sådant system för omsorgsdokumentation innebär att omsorgsgivare inom socialtjänstens verksamhet för äldre och personer med funktionsnedsättningar får möjlighet att på frivillig basis föra in omsorgsdokumentation i ett elektroniskt system som andra omsorgsgivare har tillgång till genom direktåtkomst eller annat elektroniskt utlämnande. Behovet av att kunna utbyta information även mellan socialtjänsten och hälso- och sjukvården i syfte att ge en god och säker vård och omsorg, med bibehållen integritet och säkerhet, har ökat under senare år. I utredningens uppdrag ingår att se över möjligheterna att införa direktåtkomst mellan de verksamheter som omfattas av systemet för omsorgsdokumentation och hälso- och sjukvården.
Inom hälso- och sjukvården är direktåtkomst möjlig mellan olika vårdgivare1 genom bestämmelserna om sammanhållen journalföring i 6 kap. patientdatalagen (2008:355). Det kan antas att ett väl fungerande informationssystem där all vård- och omsorgsdokumentation
1 Med vårdgivare avses statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
om en person inom verksamheter som avser äldre eller personer med funktionsnedsättningar samlas i strukturerad form kan vara till stor nytta, både för omsorgsmottagaren eller patienten och för vård- och omsorgsgivarna2, och i förlängningen för samhället i stort. Å andra sidan rör det sig i stor utsträckning om behandling av känsliga personuppgifter och personuppgifter som på annat sätt är av känslig karaktär. Om dokumentationen görs tillgänglig mellan olika vård- och omsorgsgivare genom direktåtkomst, innebär det att sekretesskyddade uppgifter blir elektroniskt tillgängliga för andra vård- och omsorgsgivare utan att det i varje enskilt fall görs en sekretessprövning i samband med utlämnandet. Att ge möjlighet till enkel elektronisk åtkomst till sådana uppgifter väcker frågor om risker för intrång i den personliga integriteten.
Direktåtkomst brukar således, av skäl som beskrivs närmare i avsnitt 12.3.3 och 12.3.4, anses innebära särskilda integritetsrisker. Utredningen bör därför, vid bedömningen av om det är möjligt att införa direktåtkomst mellan hälso- och sjukvården och verksamheter inom socialtjänsten som avser äldre och personer med funktionsnedsättningar, göra en avvägning mellan behovet av sådan åtkomst till personuppgifterna och vilka integritetsrisker ett sådant system skulle medföra. För att direktåtkomst ska vara möjligt krävs det att behovet, nyttan, väger tyngre än riskerna med åtkomsten.
Kapitlet inleds med en beskrivning av behovet av elektronisk åtkomst till personuppgifter mellan hälso- och sjukvården och verksamheter inom socialtjänsten som avser äldre och personer med funktionsnedsättningar. Därefter berörs frågan om vilka generella integritetsrisker ett system med elektronisk tillgång i form av direktåtkomst kan antas innebära samt vilka konkreta risker det medför i hälso- och sjukvården och verksamheter inom socialtjänsten som avser äldre och personer med funktionsnedsättningar. Utredningens överväganden när det gäller avvägningen mellan verksamheternas behov och riskerna för integritetsintrång redovisas i avsnitt 13.3.
Bestämmelser om direktåtkomst har inte någon sekretessbrytande effekt i sig. Om andra vård- och omsorgsgivare ska kunna medges direktåtkomst till sekretessbelagda uppgifter, måste bestämmelserna om direktåtkomst kombineras med särskilda sekretessbrytande reg-
2 Med omsorgsgivare avses myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar (offentlig omsorgsgivare) och juridisk person eller enskild näringsidkare som utför sådana insatser (privat omsorgsgivare) (se avsnitt 16.2 )16.2.4.
ler som bryter igenom även tystnadsplikten hos privata vård- och omsorgsgivare. De sekretessbrytande regler som krävs för att förslaget om direktåtkomst mellan vårdgivare inom hälso- och sjukvården och omsorgsgivare inom socialtjänsten ska kunna genomföras berörs i kapitel 19.
13.2. Behovet av informationsutbyte
Utredningens bedömning: Det finns ett tydligt behov hos verk-
samheter inom socialtjänsten för äldre och personer med funktionsnedsättningar och hälso- och sjukvården att ta del av varandras dokumentation på ett enkelt och säkert sätt.
13.2.1. Bakgrund
Det har länge påtalats att det finns ett stort behov av informationsutbyte mellan hälso- och sjukvårdens och socialtjänstens individinriktade verksamhet för äldre och personer med funktionsnedsättningar.3 Anledningen till detta har angetts vara att det för dessa grupper krävs en omfattande samverkan över organisationsgränser för att patienten eller omsorgsmottagaren i praktiken ska få sina behov tillgodosedda. Behov av informationsöverföring mellan hälso- och sjukvården och socialtjänsten kan uppstå i en mängd olika situationer och avse flera olika typer av verksamheter. Det kan exempelvis handla om sådana integrerade verksamheter där en eller flera vårdgivare arbetar tätt tillsammans med en eller flera utförare av socialtjänst. Äldreomsorgen är ett sådant exempel där man organisatoriskt delat in verksamheten i hälso- och sjukvård och socialtjänst, trots att patienten eller omsorgsmottagaren ofta har så sammansatta behov att det i praktiken kan vara svårt att avgöra om de insatser som han eller hon behöver ska hänföras till hälso- och sjukvård eller socialtjänst. Många äldre som drabbas av både olika typer av sjukdomar och olika fysiska eller kognitiva funktionsnedsättningar är beroende av att insatserna från socialtjänsten och hälso- och sjukvården fungerar och är samordnade. I dag får äldre dessa behov tillgodosedda
3 Se bl.a. betänkandena Äldreomsorgen under pandemin (SOU 2020:80) och Rätt information
på rätt plats i rätt tid (SOU 2014:23).
antingen inom ramen för särskilt boende eller genom hemsjukvård, rehabilitering och hemtjänstinsatser. Utvecklingen har dessutom gått mot att fler äldre med omfattande och komplexa behov av vård och omsorg bor kvar i sina hem. Även för personer med funktionsnedsättningar finns motsvarande situation.
Frågan om informationsutbyte mellan vård- och omsorgsgivare har därför kommit att bli central för att individens behov ska kunna tillgodoses. Såväl i hälso- och sjukvården som i socialtjänsten har antalet aktörer ökat markant under den senaste tjugoårsperioden. Ur ett informationshanteringsperspektiv har det bl.a. medfört att den information som tidigare hölls samman i en eller ett fåtal organisationer nu hanteras av ett flertal aktörer och informationslandskapet är därför i än högre grad än tidigare splittrat. En konsekvens av den organisatoriska ansvarsfördelningen och den ökade mångfalden av aktörer har blivit att samverkan mellan olika aktörer, såväl i frågor om utförandet av själva vården och omsorgen som kring informationshanteringen, är avgörande för att människor med sammansatta behov ska få en vård och omsorg av god kvalitet och säkerhet. Detta är särskilt tydligt för den som bor i särskilt boende och för den som bor i ordinärt boende med insatser från hemsjukvården och socialtjänsten. I sådana verksamheter arbetar all inblandad personal, oavsett organisatorisk tillhörighet, med den enskildes totala hälso- och livssituation. I många fall får anhöriga ta ett stort ansvar för att förmedla information mellan de olika personer som omsorgsmottagaren och patienten möter.
Utredningen kommer nedan att belysa ett antal situationer då behov av informationsutbyte genom elektronisk åtkomst uppstår rörande äldre och personer med funktionsnedsättningar mellan vård och omsorg.
13.2.2. Behovet vid samverkan och samordnade vårdplaner
Som framgår av avsnitt 8.7 finns det i lagstiftningen både krav på allmän samverkan mellan socialtjänsten och hälso- och sjukvården och särskilda bestämmelser om att samordnad vårdplanering ska göras gemensamt mellan olika verksamheter. Det gäller både vid s.k. samordnad individuell plan (SIP) enligt socialtjänstlagen och hälso- och sjukvårdslagen och samordnad individuell plan vid utskrivning från
sluten hälso- och sjukvård. Vid utredningens kontakter med företrädare för vård- och omsorgsgivare har påtalats att behov av elektronisk åtkomst till varandras dokumentation finns i samtliga dessa fall.
13.2.3. Hälso- och sjukvårdens behov av elektronisk åtkomst till socialtjänstens dokumentation
Vid utredningens kontakter med företrädare för vård- och omsorgsgivare har det framkommit att det även utöver de författningsreglerade kraven på samverkan i många situationer finns behov för hälso- och sjukvården att ha elektronisk åtkomst till socialtjänstens dokumentation.
Särskilda behov gällande äldre och personer med funktionsnedsättning
Vid medicinsk utredning av äldre eller personer som har funktionsnedsättningar är helhetsbilden kring personen särskilt viktig för att kunna välja rätt sjukvårdsbehandling och behandlingsnivå. Det kan gälla olika typer av läkemedel, olika typer av undersökningar, var undersökningarna ska utföras och vilken hjälp patienten behöver vid undersökningstillfället. Personer med kognitiva nedsättningar, t.ex. demenssjukdomar, kan inte alltid själva beskriva sina besvär, sin situation eller sina behov. Vissa åtgärder för en äldre person eller en person med en funktionsnedsättning är ibland av sådan typ att de kan klassas både som omsorgsinsatser och medicinska åtgärder. Vid behandling av ett medicinskt tillstånd är ofta en kombination av medicinska åtgärder och omvårdnads- och omsorgsåtgärder nödvändiga för att uppnå ett gott resultat. Det är därför viktigt för den som ansvarar för vården att kunna se helheten av alla insatta åtgärder. Exempelvis har kosten stor betydelse för en diabetessjuk person med svårbehandlat högt blodsocker.
Vid akutvård
Behov att ta del av socialtjänstens dokumentation finns bl.a. i situationer då det krävs relativt snabba medicinska bedömningar och det inte finns tid för att manuellt söka information. Vid akuta besök inom somatisk eller psykiatrisk verksamhet kan tillgång till information från socialtjänstens verksamhet ha avgörande betydelse för bedömning och fortsatt handläggning, exempelvis information om patientens mat- och dryckesintag, aktivitet, mående och beteende den senaste tiden. Även information om särskilda hänsyn som bör tas utifrån personens funktionsnedsättning (exempelvis kommunikationsstöd), och patientens falltendens är av intresse för hälso- och sjukvården i detta skede. Detta behov finns hos även vårdpersonal vid utryckning med ambulans eller läkarbil.
Det är även vanligt att sjuksköterskor inom den kommunala hälso- och sjukvården blir kontaktade av personal från hemtjänsten om att en omsorgsmottagares hälsa försämrats. En sjuksköterska inom den kommunala hälso- och sjukvården har ofta ansvar för många boenden, och behöver i det läget ta del av den omsorgsinformation som finns om patienten för att veta vilket som är patientens normala tillstånd så att en bedömning kan göras av om läget är så allvarligt att ambulans behöver tillkallas eller det är tillräckligt med vård på boendet. Vid mer akuta situationer ökar risken för felaktiga bedömningar när det inte finns tid att ringa eller annars kontakta den aktuella omsorgsgivaren, eller när omsorgsgivaren inte är tillgänglig. Till exempel arbetar vissa hemtjänstutförare endast helgtid respektive kontorstid och de är därmed inte tillgängliga övrig tid. Då finns risk för att beslut fattas med otillräcklig information. Information om vilken hemtjänstutförare en patient har kan ibland ta tid att få fram. Möjligheten att välja bland utförare i en kommun gör att hälso- och sjukvårdspersonal kan behöva leta sig fram bland ett stort antal utförare. Som exempel kan nämnas att i mars 2020 kunde man i Stockholms kommun välja mellan 189 utförare av hemtjänst.
Även då en person som får insatser från socialtjänsten besöker primärvården kan den samlade informationen från omsorgen vara av stor vikt.
Samordning och koordinering av insatser
Om hälso- och sjukvården skulle ha elektronisk åtkomst till socialtjänstens dokumentation, kan även samordningsvinster uppkomma. Det finns ofta ett stort behov att samordna gemensamma insatser kring en patient, t.ex. vid teambesök och samplanering med distriktsläkare, distriktssköterska, hemtjänst och biståndshandläggare i patientens hem. Det kan också vara angeläget utifrån patientens tillstånd att vissa insatser tidsmässigt samordnas. Exempelvis är det optimalt att en patient som samma dag ska få hjälp med omläggning av ett sår på benet och hjälp med dusch, först får hjälp med dusch av hemtjänsten så att det våta förbandet snarast därefter kan bytas av distriktssköterskan. Även andra insatser kan krocka tidsmässigt. Det är t.ex. olyckligt om distriktssköterskan kommer för att lägga om ett sår precis när patienten fått hjälp att komma till matbordet för att äta eller precis ska gå ut på en beviljad promenad med sin ledsagare. Detta hade enklare kunnat undvikas om informationen kunde delas elektroniskt mellan vård- och omsorgspersonal.
Helhetsbild av patientens situation
Även sjuksköterskorna i den kommunala hälso- och sjukvården har stort behov av sådan direktåtkomst för att kunna få en helhetsbild av patientens situation, bl.a. hur patienten äter, hur mycket patienten rör på sig och sover samt om och när patienten har utagerande beteende, för att kunna bedöma vilka åtgärder som behövs för att komma till rätta med problem som kan vara kopplade till detta. Även för att följa risker över tid, såsom fallrisk och risk för malnutrition, eller för att uppmärksamma ett förändrat allmäntillstånd hos patienten finns ett sådant behov. Detta är viktigt för att få en helhetsbild patienten så att rätt bedömningar görs och patientens behov blir tillgodosedda. Åtkomst till socialtjänstens dokumentation skulle även kunna underlätta att spåra och identifiera förändrat beteende så att hälso- och sjukvården kan uppmärksamma saker tidigare och därmed arbeta mer preventivt.
Det faktum att medelvårdtiden på sjukhus blir allt kortare innebär dessutom att sjukvården får mindre tid på sig att skaffa sig en helhetsbild av patientens situation genom omsorgskontakter.
Fysioterapeuter och arbetsterapeuter är en annan grupp inom hälso- och sjukvården som behöver få del av socialtjänstens dokumentation om en patient för att få en helhetsbild av patientens situation i det särskilda boendet eller hemmet för att kunna bedöma behovet av rehabiliteringsinsatser.
Även när en patient ska flytta in på ett särskilt boende behöver den kommunala hälso- och sjukvården få information om patienten i förväg för att inte insatser ska fördröjas. Det finns även ett behov av att få inblick i vård- och omsorgskedjan och information om biståndsbeslutet, t.ex. varför patienten beviljats vissa insatser.
Uppföljning av ordinerade åtgärder
Hälso- och sjukvården har även ett behov av att följa upp de medicinska åtgärder som ordinerats för att se om åtgärderna genomförts enligt ordinationen. Om åtgärderna inte genomförts, är det viktigt att få veta varför så inte skett så att rättelse snabbt kan ske. Elektronisk åtkomst skulle också ge en möjlighet att följa symtom och effekter av medicinering i daganteckningarna. Vid uppföljning och utvärdering av en medicinsk åtgärd kan ofta information från hemtjänst, boendestödjare och ledsagare vara mycket värdefull för att ta ställning till behov av justering eller ändring av åtgärden.
Ett annat exempel på en konkret situation när åtkomst till socialtjänstens dokumentation skulle vara värdefull är när en patient med nedsatt immunförsvar blir förkyld. Om en patient med nedsatt immunförsvar får en förkylning, måste sjuksköterskan få veta detta så att åtgärder kan vidtas direkt. Socialtjänstpersonal har inte alltid den kompetens som behövs för att i rätt tid uppmärksamma sjuksköterskan på detta och har i många fall inte heller fått information från hälso- och sjukvården om att patienten har nedsatt immunförsvar.
13.2.4. Socialtjänstens behov av elektronisk åtkomst till hälso- och sjukvårdens dokumentation
Vid utredningens kontakter med företrädare för vård- och omsorgsgivare har det framkommit att det i många situationer även finns behov för socialtjänsten att ha elektronisk åtkomst till hälso- och sjukvårdens dokumentation. Bland annat har följande situationer nämnts.
I många fall behöver omsorgsmottagare hjälp med att genomföra åtgärder som ordinerats av hälso- och sjukvårdspersonal. Exempelvis behöver en omsorgsmottagare som får bloddialys motionera och det kan därför stå i ordinationen från hälso- och sjukvården att omsorgsmottagaren ska promenera två gånger om dagen. Även fysioterapeuter som är anställda inom hälso- och sjukvården kan i rehabiliteringssituationer behöva ge direktiv till omsorgspersonalen om hur de ska få patienten att röra sig mera på ett ofarligt sätt. All denna information finns i omsorgsmottagarens hälso- och sjukvårdsjournal. Därför behöver omsorgspersonalen få tillgång till hälso- och sjukvårdsjournalen.
Hälso- och sjukvårdsjournalen kan även innehålla viktig bakgrundsinformation om en omsorgsmottagare som omsorgspersonalen behöver ha tillgång till för att kunna ge omsorg av god kvalitet till omsorgsmottagaren. Exempelvis kan det finnas information om att en omsorgsmottagare blivit friskförklarad från cancer. Denna information behöver omsorgspersonalen ha kännedom om för att kunna hjälpa omsorgsmottagaren att vara uppmärksam på tecken på att cancern eller symptom på cancer (t.ex. en knöl i bröstet) kommit tillbaka så att omsorgsmottagaren kan få vård.
Omsorgspersonal kan också ha behov av att få tillgång till information om allergier och smittsamma sjukdomar som omsorgsmottagaren har. Journalanteckningar om exempelvis mun-ohälsa eller risk för undernäring kan vara viktig information som ska planeras in i patientens genomförandeplan och ge ett förtydligande på varför och hur ett uppdrag ska utföras. Omsorgspersonal kan även ha behov av information om begränsningar som omsorgsmottagaren har, exempelvis sväljsvårigheter, samt restriktioner som omsorgsmottagaren fått av hälso- och sjukvården, exempelvis rörelsebegränsningar vid höftoperationer. Det kan även finnas behov av information om vissa diagnoser för att kunna hantera eventuellt insjuknande i kramper eller frånvaroattacker.
Även socialnämndens biståndshandläggare och LSS-handläggare kan ha behov av information om omsorgsmottagaren från hälso- och sjukvårdsjournalen. Detta kan vara information om egenvårdsbedömning som hälso- och sjukvården gjort, vilka diagnoser som omsorgsmottagaren har som påverkar omvårdnaden och bedömningen av patients vårdbehov (t.ex. demens, funktionsvariationer eller epilepsi). Även information om rehabiliteringsinsatser och hälso- och sjukvårdens bedömning av den allmänna dagliga livsföringen (ADL) och
andra funktionsbedömningar är viktig för biståndshandläggare och LSS-handläggare att ha kännedom om.
Vid rena omsorgsinsatser hos omsorgsmottagare är det viktigt för patientsäkerheten att omsorgspersonal har möjlighet att kontrollera information i hälso- och sjukvårdsdokumentationen, t.ex. ordinationslista när omsorgsmottagaren nyligen varit på läkarbesök eller annat besök i hälso- och sjukvården så att ordinationer inte ändrats.
Vid avancerad sjukvård i hemmet, ofta förkortad ASIH, samarbetar personal från många aktörer, exempelvis läkare från hälso- och sjukvården, sjuksköterskor från hemsjukvården och omsorgspersonal från socialtjänsten. Trots att de arbetar ihop med vård och omsorg om en och samma person får de inte läsa varandras anteckningar utan får överföra informationen muntligen med patientens samtycke. Ofta kan det också vara så att flera personer har i uppgift att utföra i princip samma arbetsuppgifter hos omsorgsmottagaren utan att få kommunicera med varandra via verksamhetssystemen vad som är utfört och när. Det blir då svårt att använda resurserna effektivt. Avancerad sjukvård i hemmet spås öka i stor utsträckning i framtiden såtillvida att mer vård kommer att ske på detta sätt och att det kommer att bli allt fler aktörer inblandade i vården.
13.2.5. Dagens informationsöverföring
Företrädare för socialtjänst och hälso- och sjukvård beskriver det som att eftersom det inte finns något bra system för informationsöverföring mellan dessa verksamheter löser olika verksamheter det på olika sätt. Till och med enheter och avdelningar inom samma verksamhet kan ha egna system för att lösa informationsöverföringen. I princip går det till så att socialtjänsten och hälso- och sjukvården dokumenterar i sina respektive verksamhetssystem och sedan överförs denna information till den andra parten, ofta via en pappershandling, som sedan lägger in denna information i sitt eget system.
I vissa fall förvarar socialtjänstpersonal utskrivna patientjournalblad i pärmar för att ha enkel tillgång till informationen. En risk med detta är att informationen inte uppdateras när den blir inaktuell. På särskilda boenden skriver personalen ofta viktig information i ett block i personalrummet där omsorgsmottagarens rumsnummer blir
själva identifikationen. Ett annat sätt att lösa informationsöverföringen är att anteckna information på handskrivna papper som lämnas över eller att muntlig information överförs genom telefonsamtal eller personliga möten. Alla dessa sätt ökar risken för att information kommer på avvägar. Det genererar även merarbete i form av dubbeldokumentation, lång tid i telefon och risker för patientsäkerheten, eftersom papper riskerar att försvinna och muntlig information kan missuppfattas eller glömmas bort. Ofta inhämtas information från sektionschefer vilket innebär att informationen tar en omväg med risk för missuppfattningar och att information missas.
För personal som arbetar med omsorgsuppgifter och dessutom har delegation att utföra kommunal hälso- och sjukvård finns laglig möjlighet att föra in information i båda systemen, men även detta innebär dubbeldokumentation som tar extra tid. Det förekommer att sjuksköterskor på särskilda boenden skriver i socialtjänstens verksamhetssystem under en flik som benämns hälso- och sjukvårdsanteckningar även om detta inte är tillåtet med nuvarande lagstiftning. Man kan dock inte se att det är möjligt att göra på annat sätt med bibehållen patientsäkerhet.
13.2.6. Sammanfattande synpunkter
Det finns ett omfattande regelverk rörande samverkan mellan hälso- och sjukvård och socialtjänst. För att kunna samverka behöver de två verksamheterna ha tillgång till information från varandra. Även då det inte finns någon uttrycklig bestämmelse som föreskriver samverkan är det inte möjligt att ge patienter och omsorgsmottagare god och säker vård och omsorg om inte information kan överföras på ett enkelt och säkert sätt mellan vården och omsorgen. Av det ovan anförda framgår att det med den ordning som tillämpas i dag finns stora risker för att väsentlig information inte förs vidare eller finns enkelt åtkomlig, vilket kan resultera i att omsorgsmottagaren/patienten inte får nödvändig vård och omsorg. Det finns även stora risker för integritetsskyddet.
För att förbättra säkerheten och kvaliteten i vården och omsorgen för äldre och personer med funktionsnedsättningar är det nödvändigt att relevant information enkelt och säkert kan överföras
mellan den slutna vården, regionfinansierad primärvård och övrig öppenvård, kommunal hälso- och sjukvård samt socialtjänst.
Det är därför angeläget att socialtjänsten och hälso- och sjukvården får rättsliga förutsättningar som stimulerar och möjliggör en ändamålsenlig samverkan och informationshantering i den individinriktade verksamheten för äldre och personer med funktionsnedsättningar. Utredningen bedömer därför att det på motsvarande sätt som inom hälso- och sjukvården finns ett tydligt behov av att på ett enkelt och säkert sätt ta del av vård- och omsorgsdokumentation hos andra omsorgsgivare inom socialtjänsten och vårdgivare inom hälso- och sjukvården.
13.3. En avvägning mellan behov och integritetsrisker
Utredningens bedömning: Det är möjligt att tillåta tillgång ge-
nom direktåtkomst eller annat elektronisk utlämnande till personuppgifter mellan verksamheter inom socialtjänsten som avser äldre eller personer med funktionsnedsättningar och hälso- och sjukvården om det samtidigt införs vissa integritetsstärkande bestämmelser.
Förutsättningarna för elektroniskt utlämnande mellan verksamheter inom socialtjänsten som avser äldre eller personer med funktionsnedsättningar och hälso- och sjukvården, här kallad sammanhållen vård- och omsorgsdokumentation, bör författningsregleras i lag. Det framstår som ändamålsenligt att ha regleringen avseende sammanhållen journalföring inom hälso- och sjukvården i patientdatalagen som utgångspunkt vid utformningen av en sådan reglering.
En särskild konsekvensbedömning avseende dataskydd behöver i de allra flesta fall inte göras av de verksamheter som väljer att införa sammanhållen vård- och omsorgsdokumentation.
Utredningens förslag: Det ska var möjligt att frivilligt inrätta ett
system, kallat sammanhållen vård- och omsorgsdokumentation, som ger verksamheter inom socialtjänsten som avser äldre eller personer med funktionsnedsättningar och hälso- och sjukvården möjlighet att få tillgång till varandras vård- och omsorgsdokumentation genom direktåtkomst eller annat elektroniskt utläm-
nande. Det införs ett antal integritetsstärkande bestämmelser som ska tillämpas av de verksamheter som väljer att använda sig av sådan elektronisk tillgång. Förutsättningarna för sådan elektronisk tillgång regleras i lag.
13.3.1. Integritetsrisker
Som anges i avsnitt 12.3.1 finns det olika uppfattning om vad som utgör en integritetsrisk eller ett intrång i den personliga integriteten. Det finns dock vissa förhållanden som man brukar säga typiskt sett innebär integritetsrisker när det är fråga om direktåtkomst.4 De kan därmed antas gälla även vid överföring genom direktåtkomst av personuppgifter mellan olika vårdgivare inom hälso- och sjukvården, mellan olika omsorgsgivare inom socialtjänsten och mellan vårdgivare och omsorgsgivare.
När det gäller risker med direktåtkomst ur ett sekretessperspektiv kan, liksom i avsnitt 12.3.3, konstateras att vid direktåtkomst sker utlämnandet redan när uppgiften görs tillgänglig för andra. En skade- och menprövning kan inte göras i det skedet. För att ett system med sammanhållen vård- och omsorgsdokumentation som bygger på utlämnande genom direktåtkomst ska fungera i praktiken krävs det att det samtidigt införs en sekretessbrytande bestämmelse eller en uppgiftsskyldighet som gör det möjligt att lämna ut uppgifter som är skyddade av sekretess utan någon sekretessprövning i det enskilda fallet, om de i förväg bestämda förutsättningarna för direktåtkomst är uppfyllda. Skyddet för uppgifterna är således beroende av att den person som inhämtar uppgifterna gör en korrekt bedömning av vad han eller hon har rätt att ta del av.
Som berörs närmare i avsnitt 6.6 så innebär direktåtkomst att en allmän handling hos en myndighet också utgör en allmän handling hos den myndighet som har tillgång till handlingen genom ett system med direktåtkomst. En begäran om utlämnande kan därmed göras hos alla de anslutna myndigheterna. Ju fler myndigheter som har direktåtkomst till uppgifter i ett gemensamt informationshanteringssystem, desto större blir alltså, typiskt sett, allmänhetens möjlighet att få tillgång till dessa uppgifter. I nu aktuellt sammanhang,
4 Vad som avses med direktåtkomst och annat elektroniskt utlämnande berörs närmare i avsnitt 6.6.
när det rör sig om direktåtkomst mellan vård- eller omsorgsgivare, är sekretesskyddet lika starkt hos både den utlämnande och mottagande myndigheten. Allmänhetens möjlighet att få ut uppgifter från de anslutna myndigheterna är således i teorin inte större endast på grund av begäran kan ställas till fler myndigheter. Dock innebär direktåtkomst att den myndighet som får en framställan om utlämnande av allmän handling måste ta del av handlingen för att kunna göra en sekretessprövning, oavsett om de villkor som uppställs för att få behandla uppgifterna i handlingen inte är uppfyllda (se vidare avsnitt 16.5.7). Uppgifterna i den allmänna handlingen kan på så sätt komma att spridas till den eller de personer hos de mottagande myndigheterna som har att göra en sekretessprövning. Förhållandet kan därför innebära en oförutsebar spridning av uppgifterna utanför den myndighet som samlat in dem från patienten eller omsorgsmottagaren.
I fråga om risker med direktåtkomst ur ett dataskyddsperspektiv kan på samma sätt som i avsnitt 12.3.4 konstateras att sådan åtkomst anses utgöra en särskild risk, eftersom den utlämnande vård- eller omsorgsgivaren inte har kontroll över vilka uppgifter som mottagaren vid varje enskilt tillfälle tar del av och vem som tar del av uppgifterna. Möjligheten att införa direktåtkomst mellan olika vård- och omsorgsgivare innebär att informationen potentiellt kan förmedlas till en betydligt större krets av personer än tidigare, eftersom många fler användare kan komma att ta del av patienternas och omsorgsmottagarnas personuppgifter. Direktåtkomst kan också innebära att det är svårare att säkerställa att obehöriga inte tar del av personuppgifter.
Ytterligare en riskfaktor är att det är fråga om behandling av känsliga personuppgifter. Både inom hälso- och sjukvård och inom socialtjänst finns det behov av att behandla uppgifter om hälsa, som utgör känsliga personuppgifter enligt dataskyddsförordningens definition. Begreppet innefattar inte endast uppgifter om psykisk och fysisk hälsa, utan även uppgifter om mediciner, hjälpmedel och socialt välbefinnande. Därutöver finns det i hälso- och sjukvård och socialtjänst behov av att behandla personuppgifter som inte utgör känsliga personuppgifter, men som tillsammans med andra uppgifter eller enskilt är av integritetskänslig karaktär. Vidare rör det sig ofta om omfattande behandling av sådana uppgifter. Att stora mängder personuppgifter av känslig natur hålls samlade och finns potentiellt till-
gängliga för ett större antal vård- och omsorgsgivare kan uppfattas som en integritetsrisk. En generell utgångspunkt är, som anges i avsnitt 12.3.4, att ju större informationsmängder som finns samlade elektroniskt så att personuppgifter kan sökas och sammanställas på ett allt enklare sätt, desto mer ökar möjligheterna till kontroll över och kartläggning av enskilda.Därmed också risken för att omsorgsmottagaren drabbas av oacceptabla intrång i sin personliga sfär.
Möjligheten att införa direktåtkomst mellan vårdgivare och omsorgsgivare innebär att informationen potentiellt kan förmedlas till en betydligt större krets av personer än tidigare, eftersom många fler användare kommer att kunna ta del av patienternas och omsorgsmottagarnas personuppgifter. Därmed ökar också risken att personer som inte har rätt till det tar del av uppgifterna eller att uppgifterna sprids utanför den tillåtna kretsen. De sätt som finns att förhindra att personer som inte har rätt till det tar del av uppgifter är att begränsa tillgången på uppgifter och kontrollera åtkomsten, t.ex. genom loggning och tekniska åtgärder. Sådana åtgärder torde minska risken för att personer som inte har rätt till det tar del av uppgifter, men risken elimineras inte helt och hållet. Det är även viktigt att den personuppgiftsansvarige ger medarbetarna instruktioner för behandlingen av personuppgifter.
Ytterligare en risk med direktåtkomst och annat elektroniskt utlämnande som kan bli aktuell i dessa sammanhang är att personuppgifter kan få en större spridning, eftersom de på ett lättare sätt kan ”hämtas hem” och lagras hos mottagande vård- eller omsorgsgivare, även om det inte finns något behov av sådan lagring. Sådan hantering av personuppgifter kan stå i strid med dataskyddsförordningens princip om uppgiftsminimering (se avsnitt 4.5).
I sammanhanget kan också uppmärksammas att det finns bestämmelser i dataskyddsförordningen som är generellt tillämpliga och som har betydelse i detta sammanhang. Enligt artikel 29 i dataskyddsförordningen får personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandla uppgifterna på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt EUrätten eller medlemsstaternas nationella rätt. Vidare gäller enligt artikel 32.4 i dataskyddsförordningen att den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att
varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte EU-rätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.
Omsorgsgivare har påtalat för utredningen att det finns vissa integritetsrisker förknippade särskilt med verksamhet som avser äldre och personer med funktionsnedsättningar. Dessa personer kan få insatser av socialtjänsten av många olika skäl, inte bara för att de är äldre eller har funktionsnedsättningar. Det kan därför finnas dokumentation hos socialtjänsten gällande insatser på grund av att det t.ex. förekommer våld i nära relationer, att personerna är dömda för brott eller för att de har missbruksproblem, eller andra uppgifter som kan uppfattas som särskilt känsliga Det har framförts att det många gånger är omöjligt att särskilja de olika insatserna åt och att det därför är viktigt att tydligt avgränsa vilken dokumentation som direktåtkomsten ska omfatta. Det finns annars risk för att mottagaren får del av information som inte är relevant för de aktuella insatserna.
När det gäller övriga risker som är förknippade med direktåtkomst eller annat elektroniskt utlämnande av uppgifter från vård- eller omsorgsgivare har det, som berörs i avsnitt 12.3.4, framförts att det kan innebära ett problem att åtkomsten till uppgifter i systemet är villkorad av att patienten eller omsorgsmottagaren lämnar ett informerat samtycke till sådan behandling. Många äldre och personer med funktionsnedsättningar kan inte tillgodogöra sig information på ett tillfredsställande sätt och har inte heller förmåga att ta ställning i fråga om samtycke. Det är därför inte helt okomplicerat att uppställa krav på informerat samtycke som villkor för att vård- och omsorgsgivare ska få ta del av uppgifter genom sammanhållen vård- och omsorgsdokumentation.
En omständighet som berörts i avsnitt 12. 3.5 som är relevant även i detta sammanhang är att många omsorgsmottagare inte känner till vad som finns dokumenterat om dem i omsorgsgivarnas informationssystem, vilket gör det svårt för dem att bedöma vilken information som vårdgivare kommer att kunna ta del av vid direktåtkomst. Det finns en risk för att omsorgsmottagarna tappar förtroendet för socialtjänsten och inte lämnar all relevant information, alternativt inte ens söker hjälp hos socialtjänsten, på grund av oro för att tillgången till uppgifterna i systemet inte kommer att vara begränsad.
Det har vid utredningens kontakter med vård- och omsorgsgivare framkommit att det finns risker med att omsorgsgivare inom socialtjänsten kan få del av uppgifter från hälso- och sjukvården om äldre och personer med funktionsnedsättningar. I många fall rör det sig då om personal som inte är sjukvårdsutbildad, vilket ökar risken för feltolkning av informationen. Vidare är det ibland fråga om personal som inte har någon utbildning alls i sekretessfrågor, vilket ökar risken för att sekretessen inte respekteras och uppgifterna sprids vidare till anhöriga och andra utanför den tillåtna kretsen.
Vidare har det framförts att den dokumentation som görs inom socialtjänsten är av skiftande kvalitet och att det ibland förekommer att för mycket dokumenteras. Det kan medföra att det blir svårt för hälso- och sjukvårdspersonalen att urskilja vilken information som är relevant. Det finns då risk för att syftet med regleringen, dvs. enkel och smidig kommunikation, går förlorad, eftersom det finns för mycket information att läsa för att det ska vara överskådligt och personalen ska hinna läsa den.
Slutligen har det påtalats att en oönskad effekt av direktåtkomst eller annan elektronisk åtkomst till uppgifter hos en annan vårdgivare eller omsorgsgivare är att personal tar del av dokumentation i stället för att fråga patienten eller omsorgsmottagaren själv, även när det är möjligt, vilket minskar personens delaktighet i vården eller omsorgen.
13.3.2. Föreslagna integritetsstärkande åtgärder
Som konstaterats i föregående avsnitt kan risken för integritetsintrång inte helt och hållet elimineras. Trots det kan det ändå vara motiverat att göra det möjligt för vård- och omsorgsgivare att få åtkomst till uppgifter om patienter och omsorgsmottagare genom sammanhållen vård- och omsorgsdokumentation, om nyttan med en sådan ordning överväger risken för intrång i enskildas personliga integritet. Avvägningen mellan nyttan av snabbt och enkelt utbyte av information mellan vård- och omsorgsgivare och de integritetsrisker ett system med direktåtkomst eller annan elektronisk åtkomst mellan dessa verksamheter kan innebära påverkas av vilka integritetsstärkande åtgärder som kan vidtas för att förhindra och försvåra intrång i den personliga integriteten.
Utredningen ska, enligt utredningsdirektiven, se över möjligheterna att införa direktåtkomst genom en s.k. sammanhållen vård- och omsorgsdokumentation mellan å ena sidan verksamheter som avser äldre och personer med funktionsnedsättningar som har insatser enligt socialtjänstlagen och LSS och å andra sidan hälso- och sjukvård. Av samma skäl som anges i avsnitt 12.3.8 framstår det som ändamålsenligt att ha regleringen avseende sammanhållen journalföring inom hälso- och sjukvården i patientdatalagen som utgångspunkt vid utformningen av ett sådant system.
Patientens eller omsorgsmottagarens möjlighet till inflytande över behandlingen av personuppgifter kan, som sägs i avsnitt 12.3.9, antas vara av avgörande betydelse för om behandlingen uppfattas som en integritetskränkning eller inte. Det kan vidare antas att patienter och omsorgsmottagare har lättare att acceptera ett system med sammanhållen vård- och omsorgsdokumentation, om patienten eller omsorgsmottagaren har kontroll över om uppgifterna över huvud taget får behandlas och vilka uppgifter som får behandlas i ett sådant system. En förutsättning för att uppgifter ska få göras tillgängliga genom sammanhållen journalföring är att patienten inte motsätter sig det (6 kap. 2 § patientdatalagen). Utredningen föreslår en motsvarande bestämmelse i den föreslagna regleringen (se avsnitt 16.5). Det innebär att uppgifter om en patient eller omsorgsmottagare inte görs tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation, om patienten eller omsorgsmottagaren motsätter sig det. Patienten och omsorgsmottagaren har därmed möjlighet att motsätta sig behandlingen redan vid det tillfälle då kontakten med hälso- och sjukvården eller socialtjänsten inleds och uppgifterna om honom eller henne dokumenteras. Regleringen innebär att om patienten eller omsorgsmottagaren motsätter sig sådan behandling eller behandling av vissa uppgifter, ska uppgifterna genast spärras så att andra vård- och omsorgsgivare inte kan ta del av dem. Att uppgifterna spärras innebär alltså att det på något sätt dokumenteras att patienten eller omsorgsmottagaren motsatt sig, så att uppgifterna inte görs tillgängliga genom direktåtkomst eller annars lämnas ut elektroniskt genom systemet med sammanhållen vård- och omsorgsdokumentation. Utredningen föreslår dock att vissa särskilda regler ska gälla för barn (se avsnitt 16.5.5). När det gäller personer som inte endast tillfälligt saknar förmåga att ta ställning ska vårdgivaren respektive omsorgsgivaren ansvara för att patientens eller
omsorgsmottagarens inställning utreds så långt som möjligt samt att uppgifter om honom eller henne inte görs tillgängliga om det finns anledning att anta att personen skulle ha motsatt sig behandlingen (se 6 kap. 2 a § patientdatalagen och utredningens förslag i avsnitt 16.5.6).
En viktig förutsättning för att patienten eller omsorgsmottagaren ska kunna ta ställning i frågan om tillgängliggörande av dokumentation är att han eller hon får korrekt och tydlig information om vad systemet med sammanhållen vård- och omsorgsdokumentation innebär och att det är möjligt att motsätta sig sådan behandling av personuppgifter. Den registrerade, i det här fallet patienten eller omsorgsmottagaren, har enligt artikel 13 och 14 i dataskyddsförordningen rätt att få viss information från den personuppgiftsansvarige när personuppgifter samlas in från honom eller henne eller om personuppgifterna har erhållits från någon annan än den registrerade. Vård- och omsorgsgivaren är således redan enligt dataskyddsförordningen skyldig att lämna viss information till patienten eller omsorgsmottagaren. Utredningen konstaterar i avsnitt 12.3.9 att rätten till information och omsorgsmottagarens möjlighet att därmed tillvarata sin rätt är ett viktigt led i skyddet av den personliga integriteten och föreslår mot den bakgrunden att det i den föreslagna regleringen tas med en bestämmelse som slår fast att omsorgsmottagaren, innan uppgifter om omsorgsmottagaren görs tillgängliga för andra omsorgsgivare genom sammanhållen omsorgsdokumentation, ska informeras om vad sammanhållen omsorgsdokumentation innebär och rätten att motsätta sig tillgängliggörandet. Motsvarande gäller vid sammanhållen journalföring. Denna rätt till information bör gälla även vid sammanhållen vård- och omsorgsdokumentation. Det bör i detta sammanhang påpekas att patienten eller omsorgsmottagaren, i de fall det rör sig om sammanhållen vård- och omsorgsdokumentation, ska informeras om att omsorgsdokumentation kan lämnas ut till vårdgivare och att vårddokumentation kan lämnas ut till omsorgsgivare genom direktåtkomst eller annat elektroniskt utlämnande.
När det gäller vård- eller omsorgsgivarens möjlighet att ta del av uppgifter om en patient eller omsorgsmottagare i en senare vård- eller omsorgssituation genom sammanhållen vård- och omsorgsdokumentation föreslår utredningen att det ska krävas ett informerat samtycke från patienten eller omsorgsmottagaren. I sådana fall är det, i likhet med vad som i dag gäller vid sammanhållen journalföring, inte till-
räckligt att den enskilde inte motsätter sig behandlingen, utan ett aktivt samtycke krävs (se vidare avsnitt 16.6 och 16.7). För vårdgivares möjlighet att ta del av uppgifter om en patient i sammanhållen omsorgsdokumentation föreslås även särskilda bestämmelser för barn och personer som inte endast tillfälligt saknar förmåga att ta ställning (se vidare avsnitt 16.6.3 och 16.8).
Förutom bestämmelser som ger patienten eller omsorgsmottagaren bestämmanderätt över behandlingen av personuppgifter innehåller utredningens förslag ytterligare bestämmelser med syfte att stärka skyddet för den personliga integriteten. Utöver ett uttryckligt samtycke från patienten krävs det för att en vårdgivare ska få ta del av uppgifter i sammanhållen vård- och omsorgsdokumentation att uppgifterna rör en patient som det finns en aktuell patientrelation med och att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar hos patienten inom hälso- och sjukvården. På motsvarande sätt ska det uppställas som krav för att en omsorgsgivare ska få ta del av vård- och omsorgsdokumentation genom sammanhållen vård- och omsorgsdokumentation att uppgifterna rör en person som får omsorgsgivarens insatser för äldre eller funktionshindrade, eller är föremål för en utredning om att få sådana insatser, och uppgifterna kan antas ha betydelse för dessa insatser. På så sätt avgränsas tillämpningsområdet till de situationer där det finns ett verkligt och aktuellt behov av behandlingen av personuppgifter. En vård- eller omsorgsgivare ska inte få behandla uppgifter om en patient eller en omsorgsmottagare i ett system med sammanhållen vård- och omsorgsdokumentation under andra förutsättningar än de som regleras, även om patienten eller omsorgsmottagaren samtycker till det. Ytterligare en integritetsstärkande åtgärd som utredningen föreslår är att förtydliga vem som har personuppgiftsansvaret vid sammanhållen vård- och omsorgsdokumentation.
Det kan antas att det är lättare för patienten eller omsorgsmottagaren att ta ställning till frågan om direktåtkomst om han eller hon har insyn i vilka uppgifter vård- och omsorgsdokumentationen innehåller. I patientdatalagen finns det bestämmelser om att en vårdgivare, under vissa förutsättningar, får medge en enskild direktåtkomst till uppgifter om den enskilde själv (5 kap. 5 § patientdatalagen). På motsvarande sätt bör en patient kunna ta del av vård- och omsorgsdokumentation och en omsorgsmottagare ta del av vård- och omsorgsdokumentation om sig själv i ett system med sammanhållen vård- och
omsorgsdokumentation (se avsnitt 12.3.9). Detta för att patienten eller omsorgsmottagaren på ett enkelt sätt ska kunna ha insyn i vilka uppgifter som finns i hans eller hennes dokumentation och därmed lättare kunna ta ställning i fråga om inställning till behandling och samtycke.
Slutligen bör det förtydligas att det är den personuppgiftsansvarige vård- eller omsorgsgivaren som har ansvar för att den interna elektroniska åtkomsten till uppgifter hos vård- eller omsorgsgivaren inte är mer omfattande än vad som krävs för att vården eller insatserna för patienten eller omsorgsmottagaren ska kunna utföras. Utredningen föreslår därför bestämmelser med krav på tilldelning av behörighet för elektronisk åtkomst samt dokumentation och kontroll av elektronisk åtkomst vid sammanhållen vård- och omsorgsdokumentation.
I sammanhanget bör också påpekas att den föreslagna regleringen som möjliggör sammanhållen vård- och omsorgsdokumentation innebär just en möjlighet för vård- och omsorgsgivare att ingå i ett sådant system. Bestämmelserna anger de grundläggande förutsättningarna för behandling av personuppgifter genom sammanhållen vård- och omsorgsdokumentation. Det finns dock ingenting som hindrar att de vård- och omsorgsgivare som samarbetar i ett sådant system ställer upp strängare krav än den föreslagna lagstiftningen.
13.3.3. Utredningens samlade avvägning mellan behov och risk för integritetsintrång
Utredningens förslag innebär att vård- och omsorgsgivare får möjlighet att samarbeta genom sammanhållen vård- och omsorgsdokumentation om äldre och personer med funktionsnedsättningar. Syftet med sammanhållen vård- och omsorgsdokumentation är att möjliggöra snabbare och smidigare informationsöverföring mellan vård- och omsorgsgivarna, vilket i förlängningen ska leda till god och säker vård och omsorg för den enskilde. Andra möjliga positiva effekter av en sådan reglering är tidsvinster för vård- och omsorgsgivare, då mindre tid behöver läggas på sekretessprövningar, sökning och inhämtande av information samt onödig dubbeldokumentation. I stället för att som i dag lägga tid på att ringa runt för att nå rätt person i en annan verksamhet kan den som behöver viss information för att kunna utföra en arbetsuppgift ta del av den, om förutsätt-
ningarna för det är uppfyllda, genom den gemensamma vård- och omsorgsdokumentationen. Tid och resurser kan också sparas, eftersom det i de flesta fall inte finns något krav på att vård- och omsorgsgivare ska göra en konsekvensbedömning avseende dataskydd inför varje behandling av personuppgifter, eftersom en bedömning härmed redan gjorts (se vidare avsnitt 12.3.10 och 12.3.12).
Samtidigt rör det sig om omfattande behandling av uppgifter om människors hälsa och andra personuppgifter av ytterst integritetskänslig karaktär. Ett system med sammanhållen vård- och omsorgsdokumentation innebär vidare att sådana uppgifter kommer att finnas potentiellt tillgängliga för en betydligt större krets än tidigare. Som konstateras i avsnitt 12.3.10 kan integritetsriskerna antas vara större när känslig information om ett stort antal individer samlas och lagras elektroniskt så att de är tillgängliga för mer än ett fåtal personer. Med möjlighet för vård-och omsorgsgivare att ”hämta hem” uppgifter på elektronisk väg ökar också risken för att uppgifter lagras hos mottagaren även om det inte finns behov av sådan lagring. Det är därför särskilt viktigt att sådan behandling av personuppgifter omgärdas av integritetsskyddande regler. Nyttan av snabb och enkel tillgång till personuppgifter mellan vård- och omsorgsgivare genom ett system med sammanhållen vård- och omsorgsdokumentation måste vägas mot de risker för integritetsintrång som ett sådant system kan innebära.
Som beskrivs i avsnitt 13.2 finns det ett behov av att ta del av omsorgsinformation avseende äldre och personer med funktionsnedsättningar inom hälso- och sjukvården. Det finns också ett behov av att ta del av vårddokumentation inom verksamhet inom socialtjänsten som avser äldre och personer med funktionsnedsättningar. Som anges i föregående avsnitt finns det många risker förknippade med direktåtkomst. Direktåtkomst innebär dock inte i sig en ovillkorlig rätt för alla vård- och omsorgsgivare som ingår i systemet med sammanhållen vård- och omsorgsdokumentation att ta del av samtliga uppgifter, utan tillgången kan begränsas på olika sätt. Utredningens förslag innebär att uppgifterna får göras tillgängliga genom sammanhållen vård- och omsorgsdokumentation under förutsättning att patienten eller omsorgsmottagaren inte motsätter sig det. Patienten eller omsorgsmottagaren ska kunna spärra samtliga eller vissa uppgifter, vilket innebär att uppgifterna inte är tillgängliga för andra vård- och omsorgsgivare i systemet. Möjligheten att spärra
uppgifterna ska inte vara tidsbegränsad. Vidare ska som huvudregel patientens eller omsorgsmottagarens samtycke krävas för att en vård- och omsorgsgivare som är ansluten till systemet i en aktuell vård- eller omsorgsrelation ska få åtkomst till personuppgifterna. Det föreslagna systemet med sammanhållen vård- och omsorgsdokumentation bygger alltså på patientens eller omsorgsmottagarens frivilliga deltagande. Särskilda bestämmelser ska dock, av skyddsskäl, gälla för barn. När det gäller personer som inte endast tillfälligt saknar förmåga att ta ställning eller samtycka föreslår utredningen en långtgående skyldighet för vård- och omsorgsgivaren att utröna patientens eller omsorgsmottagarens inställning. Sådan reglering finns redan när det gäller sammanhållen journalföring inom hälso- och sjukvården (6 kap.2 a och 3 a §§patientdatalagen).
Tillgängligheten ska inte endast vara beroende av patientens eller omsorgsmottagarens inställning. Direktåtkomst eller annan elektroniskt utlämnande ska endast vara tillåtet om vissa angivna villkor är uppfyllda, nämligen om det rör sig om en aktuell vårdrelation eller omsorgsmottagaren får insatser eller är föremål för utredning om insatser av omsorgsgivaren. Vidare föreslås, avseende vårdgivares åtkomst till uppgifter som en annan vårdgivare eller en omsorgsgivare har gjort tillgängliga genom sammanhållen omsorgsdokumentation, att det krävs att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten. För att en omsorgsgivare ska få behandla uppgifter som en annan omsorgsgivare eller en vårdgivare gör tillgängliga genom sammanhållen omsorgsdokumentation uppställs också som krav att uppgifterna kan antas ha betydelse för omsorgsgivarens insatser. En sådan reglering ställer således krav på att det ska vara fråga om uppgifter som behövs och är aktuella i det enskilda fallet eller ärendet. Den föreslagna regleringen ger alltså inte stöd för behandling av personuppgifter genom lagring hos den mottagande vård- eller omsorgsivaren för att uppgifterna eventuellt kan vara ”bra att ha”. Det är lämpligt att här erinra om den generellt tillämpliga principen om uppgiftsminimering i dataskyddsförordningen (se avsnitt 4.5). Utredningen berör frågan om möjligheten att ”ladda ner” uppgifter och att det så långt som möjligt ska undvikas i avsnitt 16.18.4.
Som ovan beskrivs kan direktåtkomst eller annan elektronisk åtkomst leda till oro för att uppgifterna kan komma att spridas till obehöriga. Denna risk kan motverkas genom att förtydliga vård- och
omsorgsgivarnas ansvar för att ha adekvata regler för behörighet för elektronisk åtkomst. Vård- och omsorgsgivare ska också ansvara för att åtkomsten till uppgifter genom sammanhållen vård- och omsorgsdokumentation dokumenteras och kontrolleras.
När det gäller risken för större spridning av uppgifterna genom utlämnande av allmän handling med stöd av offentlighetsprincipen kan som i avsnitt 13.3.1 konstateras att risken för spridning inte torde öka på grund av att en begäran om att få ut en handling kan ställas till vilken som helst av de anslutna vård- och omsorgsgivarna. För uppgift om enskilds personliga förhållanden gäller nämligen sekretess med ett omvänt skaderekvisit både inom hälso- och sjukvård och socialtjänst (25 kap. 1 § och 26 kap. 1 § OSL).
Det har av vissa framförts att det inte skulle finnas ett så stort behov för omsorgsgivare att ta del av vårddokumentation. Det har också för utredningen påtalats att sådan tillgång till dokumentation kan leda till risker då personal hos omsorgsgivaren, som inte är sjukvårdsutbildad, kan misstolka informationen och därför ge fel omsorg. Utredningen menar dock att det under utredningstiden har framkommit att det finns ett klart behov hos omsorgsgivare av att ta del av vårddokumentation och att enkel tillgång till sådan dokumentation kan medföra att omsorgen effektiviseras och förbättras. De eventuella risker som sådan informationsöverföring kan innebära bör kunna undvikas genom tydliga rutiner för vilka uppgifter som ska dokumenteras och på vilket sätt samt utbildning om hur sammanhållen vård- och omsorgsdokumentation ska tolkas och användas. Även den angivna risken för överdokumentation borde kunna motverkas genom tydliga regler för vad som ska dokumenteras och utbildning till personalen.
Ett system med sammanhållen vård- och omsorgsdokumentation innebär vissa integritetsrisker, men enligt utredningens bedömning kan de föreslagna integritetsstärkande åtgärderna eliminera, eller i vart fall effektivt motverka dessa risker. Utredningens bedömning är alltså att det, med de särskilda krav på den enskildes samtycke och andra begränsningar som uppställs, är möjligt att införa direktåtkomst eller annan elektronisk åtkomst för vård- och omsorgsgivare till dokumentation om äldre och personer med funktionsnedsättningar.
13.3.4. Reglering i lag
Syftet med den föreslagna regleringen är att göra det möjligt för vård- och omsorgsgivare att ge tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter för andra vård- eller omsorgsgivare, eller få åtkomst, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos andra vård- eller omsorgsgivare. När det gäller vårdgivares behandling av personuppgifter framgår det av 5 kap. 4 § patientdatalagen att utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. Vårdgivares möjlighet att ge åtkomst genom direktåtkomst genom sammanhållen vård- och omsorgsdokumentation måste således regleras i lag eller förordning. Det finns inte något motsvarande krav när det gäller annat elektroniskt utlämnande, men av skäl som berörs närmare i avsnitt 16.3.2 bör regleringen omfatta alla former av elektroniskt utlämnande av uppgifter. Något motsvarande krav på reglering av direktåtkomst i lag eller förordning finns inte i SoLPUL.
Som tidigare nämnts är riksdagen och regeringen överens om att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll bör regleras särskilt i lag (se avsnitt 3.2). Den reglering som utredningen föreslår möjliggör inrättande av system där flera vård- och omsorgsgivare har tillgång till känsliga personuppgifter om ett stort antal patienter och omsorgsmottagare i vad som kan framstå som ett gemensamt register. Denna omständighet talar för att en reglering i lag är mest lämpligt.
Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av skyddet får dock enligt 2 kap. 20 § regeringsformen ske i lag, om de krav som följer av 2 kap. 21 § regeringsformen är uppfyllda (se närmare i avsnitt 3.2).
För den behandling av personuppgifter som sker i form av varje vård- eller omsorgsgivares dokumentation av insatser finns redan lagstöd i patientdatalagen, SoLPUL och 3 kap. 2 § dataskyddslagen. Att vård- eller omsorgsgivaren för in denna dokumentation i ett system med sammanhållen vård- och omsorgsdokumentation innebär enligt förslaget inte att andra än vård- eller omsorgsgivaren får ta del av
dokumentationen. För att andra vård- eller omsorgsgivare ska få ta del av dokumentationen ska det enligt förslaget krävas samtycke från patienten eller omsorgsmottagaren. Den kartläggning av enskildas personliga förhållanden och det intrång i den personliga integriteten som det innebär att en vård- eller omsorgsgivare tar del av andra vård- eller omsorgsgivares dokumentation av insatser förutsätter alltså samtycke. När det gäller utlämnande genom direktåtkomst anses dock allmänna handlingar utlämnande redan när den mottagande myndigheten av annan ges en sådan teknisk tillgång till den utlämnande myndighetens upptagningar som avses i 2 kap. 6 § första stycket tryckfrihetsförordningen, dvs. om upptagningen är tillgänglig för den mottagande myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Enligt utredningens förslag ska det inte krävas något samtycke från patienten eller omsorgsmottagaren för att en vård- eller omsorgsgivare ska kunna göra uppgifterna potentiellt tillgängliga för andra omsorgsgivare genom direktåtkomst vid sammanhållen vård- och omsorgsdokumentation. Sammanhållen vård- och omsorgsdokumentation som bygger på direktåtkomst innebär därför att handlingarna, oavsett samtycke, anses förvarade och därmed tillgängliga för den mottagande myndigheten. När det är fråga om direktåtkomst skulle det därför kunna diskuteras om det enligt 2 kap. 6 § andra stycket och 20 §regeringsformen krävs reglering i lag. Det saknas dock skäl att göra närmare avvägningar i denna fråga, eftersom utredningen bedömer att inrättandet av ett system där vård- och omsorgsgivare kan få del av varandras vård- och omsorgsdokumentation genom direktåtkomst (eller annat elektroniskt utlämnande) redan med hänsyn till riksdagens och regeringens ovan nämnda överenskommelse bör regleras särskilt i lag.
13.3.5. Konsekvensbedömning avseende dataskydd
I avsnitt 12.3.12 har det redogjorts för vilka krav på konsekvensbedömning avseende dataskydd som ställs enligt dataskyddsförordningen. Där konstateras i fråga om sammanhållen omsorgsdokumentation att den riskanalys och avvägning som gjorts i avsnitt 12.3 och 13.3 innebär att en särskild konsekvensbedömning avseende dataskydd i de allra flesta fall inte behöver göras av varje omsorgsgivare
som inför sammanhållen vård- och omsorgsdokumentation enligt den föreslagna lagen. Utredningen gör med hänvisning till den riskanalys och avvägning som gjorts i detta kapitel och i förarbetena till patientdatalagen och ändringar i den lagen motsvarande bedömning i fråga om sammanhållen vårddokumentation inom hälso- och sjukvården.
Även behandlingen av personuppgifter för den sammanhållna vårddokumentationen har stöd i artikel 6.1 c eller e i dataskyddsförordningen.5
I förarbetena till patientdatalagen redovisas ingående resonemang och avvägningar för att uppnå ett tillfredsställande skydd med avseende på skyddet för den personliga integriteten. En utgångspunkt med sammanhållen journalföring var att konstruera ett tillfredsställande integritetsskydd. I syfte att nå ett högt integritetsskydd infördes krav på att patienten ska kunna bestämma vilka uppgifter om sig själv som ska få ingå i sammanhållen journalföring.6 Även vid viktigare ändringar i bestämmelserna om sammanhållen journalföring i patientdatalagen redovisades ingående resonemang och avvägningar i förarbetena.7 I detta kapitel har en riskanalys och avvägning gjorts i fråga om omsorgsgivares tillgång till uppgifter om omsorgsmottagare hos vårdgivare och vårdgivares tillgång till uppgifter om patienter hos omsorgsgivare. Att bestämmelser från patientdatalagen i stället tas in i den föreslagna lagen innebär i sig inte någon ökad risk för fysiska personers rättigheter och friheter.
Utredningen anser därmed att inte heller vårdgivare i regel behöver göra någon konsekvensbedömning avseende dataskydd innan de inför sammanhållen vård- och omsorgsdokumentation enligt den föreslagna lagen.
5SOU 2017:66 s. 327. 6Prop. 2007/08:126 s. 111 ff. 7Prop. 2013/14:202Förbättrad informationshantering avseende vissa patienter inom hälso- och
sjukvården.
14. Kvalitetsuppföljning med personuppgifter från flera vårdinstanser och omsorgsgivare
14.1. Inledning
Regioner och kommuner är ansvariga för att verksamhet inom vård och omsorg drivs på ett säkert sätt och med hög kvalitet. För att kunna ge god vård och omsorg behöver verksamheterna hantera uppgifter om personer och genomförda insatser. Som beskrivits i tidigare avsnitt finns det många situationer där man behöver använda personuppgifter från flera vårdinstanser1 och omsorgsgivare2. Utredningen har i kapitel 12 och 13 lämnat förslag om att införa utökade möjligheter till tillgång till information över organisationsgränser i arbetet med patienter och omsorgsmottagare3 genom direktåtkomst och annat elektroniskt utlämnande.
Det finns emellertid också behov av att behandla personuppgifter och att samla in dessa från andra vårdinstanser och omsorgsgivare i arbetet med att följa upp och utveckla kvaliteten i vård- och omsorgsverksamheterna. Sådan kvalitetsuppföljning kan ske på många sätt och på olika nivåer inom vård- och omsorgsverksamheterna, kliniken, vårdinrättningen, det särskilda boendet, nämnden, regionen, kommunen eller nationen. När en läkare följer upp hur det gått
1 Med vårdinstans avser utredningen myndighet som har ansvar för eller bedriver hälso- och sjukvård (offentlig vårdinstans) och juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdinstans). Utredningen föreslår att begreppet vårdinstans definieras särskilt enligt den föreslagna lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning, se närmare motivering i avsnitt 17.1.2. 2 Med omsorgsgivare avser utredningen myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar (offentlig omsorgsgivare) och juridisk person eller enskild näringsidkare som utför sådana insatser (privat omsorgsgivare) (se avsnitt 16.2). 3 Med omsorgsmottagare avser utredningen person som fått eller får insatser för äldre eller personer med funktionsnedsättningar eller som fått eller får behovet av sådana insatser bedömda (se avsnitt 16.1.6 ).
för en patient som denne behandlat, är det en form av kvalitetsuppföljning på individnivå. När en region eller kommun analyserar stora mängder patientuppgifter och samkör dessa för att mäta resultatet utifrån vissa parametrar, exempelvis kostnadseffektivitet, är det också en form av kvalitetsuppföljning, fast på verksamhetsnivå.
Som regeringen har uppmärksammat varierar möjligheterna till kvalitetsuppföljning beroende på hur regioner och kommuner valt att organisera sina nämnder och i vilken omfattning de använder sig av privata vårdinstanser eller omsorgsgivare. Det råder i regel sekretess mellan olika nämnder för sådana personuppgifter som används inom vård och omsorg. Stark sekretess gäller även i förhållande till privata vårdinstanser och omsorgsgivare. För att kunna använda personuppgifter från andra vårdinstanser och omsorgsgivare för kvalitetsuppföljning krävs dels rättsligt stöd för att lämna ut uppgifterna, dels att mottagaren har stöd för sin vidare behandling av personuppgifterna. Dagens regelverk medför att i en region med flera privata vårdinstanser är möjligheterna till kvalitetsuppföljning sämre än vad de är i en region med få vårdinstanser. Motsvarande gäller för kvalitetsuppföljning inom en kommun med flera privata omsorgsgivare respektive med få omsorgsgivare. Samtidigt är förmodligen behovet av kvalitetsuppföljning större ju flera vårdinstanser och omsorgsgivare som är inblandade i en patients eller omsorgsmottagares vård och omsorg.
Vårdinstanser och omsorgsgivare har skyldighet enligt lag att arbeta med att säkra och utveckla kvaliteten inom sina respektive verksamheter. Förutom regelverket för nationella och regionala kvalitetsregister inom hälso- och sjukvården, finns det dock inga särskilda bestämmelser som syftar till att möjliggöra gemensamma verksamhetsuppföljningar, dvs. där man samlar in personuppgifter från andra vårdinstanser och omsorgsgivare.4 Inom socialtjänsten finns inget regelverk som motsvarar regleringen av kvalitetsregister.
Datainspektionen har vid tillsyn granskat en gemensam verksamhetsuppföljning som innefattade samkörning av personuppgifter från en region och en kommun. Datainspektionen bedömde att det inte fanns legala förutsättningar enligt gällande regler för att använda personuppgifter över region- och kommungränserna och samköra
dessa i gemensamma system.5 För en närmare beskrivning av besluten, se avsnitt 14.4.4 nedan.
I tillsynsbesluten hänvisade Datainspektionen till en skrivning i förarbetena till patientdatalagen (2008:355): ”När det gäller frågan om att förbättra landstingens och kommunernas möjligheter att göra gemensamma uppföljningar av sådana insatser som involverar både hälso-och sjukvård och socialtjänst så utreds detta för närvarande av Socialtjänstdatautredningen (S 2007:92).”6
Frågan om att se över regelverket för att möjliggöra kvalitetsuppföljning med personuppgifter från flera vårdinstanser och omsorgsgivare har uppmärksammats i flera tidigare utredningar. Patient-
datautredningen uttalade att den inte hade någon anledning att betvivla
att det just på vård- och omsorgsområdet finns stora möjligheter att förbättra det samlade omhändertagandet, om gemensam verksamhetsuppföljning av insatserna kan göras över de formella gränser som i dag finns mellan huvudmännen. Patientdatautredningen hade emellertid inte mandat att se över sekretessfrågor i samband med verksamhetsuppföljning på vård- och omsorgsområdet.7Socialtjänstdata-
utredningen8 och Utredningen om rätt information i vård och omsorg9
har lämnat förslag till lagstiftning för att möjliggöra gemensam verksamhetsuppföljning över organisationsgränserna, men dessa förslag har inte lett till några lagstiftningsåtgärder.
14.2. Direktiven samt avgränsning av uppdraget
Utredningens uppdrag är att se över möjligheterna till en utvidgad informationsöverföring för kvalitetsutveckling inom och mellan hälso-och sjukvård och socialtjänst. Enligt direktiven ska utredaren se över möjligheterna till en utvidgad informationsöverföring för kvalitetsutveckling mellan
5 Prövningen skedde i ett tillsynsärende som rörde dåvarande Stockholms läns landsting och Österåkers kommun. Se Datainspektionens beslut den 3 juli 2015, dnr 518-2015 respektive 643-2015. 6Prop. 2007/08:126 s. 175. 7SOU 2006:82 s. 421 ff. 8SOU 2009:32. 9SOU 2014:23.
– vårdinstanser10 i hälso- och sjukvård, – vårdinstanser i hälso- och sjukvård och kommunal nämnd eller ut-
förare av kommunens arbetsuppgifter inom socialtjänst för äldre personer och personer med funktionsnedsättning, och – kommunala nämnder eller utförare av kommunens arbetsuppgif-
ter inom socialtjänsten för äldre personer och personer med funktionsnedsättning.
Möjligheter till kvalitetsuppföljning för privata vårdinstanser inom hälso- och sjukvården respektive privata omsorgsgivare i förhållande till andra myndigheter och andra enskilda än omsorgsmottagaren ska också ingå i utredningens analys.
Direktiven har begränsat på vilken nivå inom region och kommun ett beslut om behandling av personuppgifter för kvalitetsuppföljning får fattas. Detta framgår av att det anges att ett sådant beslutsfattande bör vara förbehållet det högsta politiska organet hos huvudmannen (dvs. regionfullmäktige eller kommunfullmäktige).
Vidare anger direktiven att besluten bör avse – hela eller åtminstone väsentliga delar av huvudmannens hälso-
och sjukvårdsverksamhet, respektive – hela eller åtminstone väsentliga delar av kommunens verksamhet
med omsorg om äldre personer och personer med funktionsnedsättning, samt – att personuppgifter inte bör få spridas utanför regionen eller kom-
munen.
Kvalitetsuppföljning och utvecklingsarbete kan se olika ut och ske med skilda metoder. En av många olika saker som görs inom ramen för ett kvalitetsarbete för att följa upp och säkra verksamhetens resultat är att använda sig av personuppgifter.11 Det finns även sätt att mäta och kvalitetssäkra som inte innefattar användning av personupp-
10 I direktiven används begreppet ”vårdgivare”. När det gäller kvalitetsuppföljning använder utredningen dock i stället ett begrepp, vårdinstans, med en något annorlunda betydelse. För beskrivning av begreppet vårdinstans, se avsnitt 17.1.2. 11 Bilaga 4 till SOU 2014:23 s. 219.
gifter. Utredningens uppdrag begränsar sig dock till sådant kvalitetsarbete som innebär behandling av personuppgifter.
Utredningens uppdrag gäller vidare endast sådan kvalitetsuppföljning som innebär att personuppgifter samlas in från andra vårdinstanser och omsorgsgivare. Behandling av personuppgifter för kvalitetssäkring och verksamhetsuppföljning inom en och samma vårdgivare regleras i patientdatalagen (PDL). Lagen (2001:454) om behandling av personuppgifter inom socialtjänstens område (SoLPUL) och förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten (SoLPUF) innehåller bestämmelser som ger möjlighet för en kommunal myndighet att behandla personuppgifter inom socialtjänsten för tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten.
Utredningen kommer inledningsvis att redogöra för valet av det samlande begreppet kvalitetsuppföljning som kommer att användas i utredningens förslag. Utredningen beskriver i anslutning till detta också vilka förutsättningar som finns enligt gällande rätt att använda personuppgifter från andra vårdinstanser eller omsorgsgivare för kvalitetsuppföljning.
Därefter kommer utredningen att beskriva och analysera behovet av att införa ytterligare regelverk för kvalitetsuppföljning med personuppgifter från andra vårdinstanser eller omsorgsgivare. En avvägning kommer att göras mellan behoven och de integritetsrisker som kan uppstå. Utredningen kommer därför att beakta de generella och mer specifika risker för den personliga integriteten som en utvidgad informationsöverföring för kvalitetsuppföljning kan innebära. I anslutning till detta kommer även en beskrivning av integritetsstärkande åtgärder att göras. Utredningen gör sedan en samlad avvägning av behovet att använda personuppgifter för kvalitetsuppföljning i förhållande till riskerna för den personliga integriteten.
14.3. Utredningen använder begreppet kvalitetsuppföljning
Det förekommer en mängd olika begrepp för att beskriva arbete med kvalitet inom vård och omsorg. Kvalitetsutveckling, kvalitetssäkring, utvärdering, uppföljning, verksamhetsuppföljning och systematiskt kvalitetsarbete är några exempel. Dessa begrepp har inte legaldefini-
tioner och används såvitt utredningen kan bedöma utan någon klar distinktion och med överlappande betydelser i olika sammanhang. Gemensamt är att begreppen omfattar åtgärder som syftar till och är ägnade att förbättra kvaliteten och därmed bidra till en god och säker vård och omsorg.
I patientdatalagens ändamålskatalog (2 kap. 4 § PDL) används formuleringarna systematiskt och fortlöpande utveckla och säkra kva-
liteten i verksamheten (punkt 4) samt administration, planering, uppföljning, utvärdering och tillsyn av verksamheten (punkt 5).
Enligt 6 § SoLPUL får personuppgifter bara behandlas om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska kunna utföras. I 12 § SoLPUF preciseras att tillsyn,
uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten är tillåtna ändamål för kommunala myndigheter att
behandla personuppgifter inom socialtjänsten.
I utredningens direktiv används omväxlande begreppen utveck-
lingsarbete, kvalitetssäkringsarbete, kvalitetsutveckling, verksamhetsuppföljning och kvalitetsuppföljning i beskrivningen av utredningens
uppdrag.12 Som utredningen uppfattar direktiven, är syftet med att där använda olika begrepp inte att göra någon egentligen skillnad i sak mellan dessa. Det avgörande verkar i stället vara att direktiven syftar på en översyn av möjligheterna att samla in personuppgifter från andra vårdinstanser och omsorgsgivare i samband med åtgärder som görs för att förbättra och utveckla kvaliteten i vård- och omsorg.
I förarbetena till patientdatalagen poängteras att verksamhetsuppföljning inte är något självändamål. Syftet med verksamhetsuppföljning är att generera kunskap som i sin tur används för att på olika sätt förbättra eller förändra verksamheten i fråga.13
Utredningen anser inte att det är avgörande vilket begrepp som används, utan det väsentliga är att syftet med åtgärderna är att på olika sätt förbättra eller förändra vården och omsorgen. Utredningen avser i det följande med begreppet kvalitetsuppföljning olika åtgärder som i vid mening syftar till och är ägnade att förbättra och utveckla kvaliteten inom vård och omsorg. Utgångspunkten är att det är främst vid kvalitetsuppföljning mellan olika vårdinstanser och omsorgsgivare som det behövs personuppgifter för att få fram information om en individ från olika vårdinstanser och omsorgsgivare.
12 Se utredningens direktiv (dir. 2019:37) s. 15–17. 13Prop. 2007/08:126 s. 174.
När väl kvalitetsuppföljningen har skett, behöver sannolikt inte personuppgifter användas så ofta för att med hjälp av slutsatserna från kvalitetsuppföljningen utföra kvalitetssäkring och kvalitetsutveckling. Observera att tanken inte är att kvalitetsuppföljning ska användas för att följa upp insatser för en viss patient eller omsorgsmottagare, utan det ska vara fråga om en mer generell uppföljning på verksamhetsnivå. För att göra detta, behöver man dock utgå från uppgifter om patienter och omsorgsmottagare som hämtats från vården och omsorgen.
Utredningen vill framhålla att den nya lagen är tillämplig just när
personuppgifter från andra vårdinstanser eller omsorgsgivare behand-
las. När kopplingen till personuppgifter har tagits bort och det rör sig om data utan koppling till fysiska personer, får den kunskap som genererats inom ramen för en kvalitetsuppföljning givetvis användas på det sätt som regionen eller kommunen finner lämpligt och nyttigt för verksamheten. I det skedet finns det från utredningens perspektiv inget hinder mot att man använder modern teknik där man t.ex. samkör data eller använder sig av AI-tekniker (artificiell intelligens) för att med hjälp av algoritmer ta fram beslutsstöd som är till nytta i den individuella vården och omsorgen.
En fördel med begreppet kvalitetsuppföljning är att det inte används i de gällande registerförfattningarna för vård och omsorg och därmed är frikopplat från dessa. Att använda det bredare begreppet kvalitetsuppföljning kommer förhoppningsvis leda till att färre gränsdragningsproblem uppstår när vårdinstanser och omsorgsgivare behandlar personuppgifter från olika vårdinstanser och omsorgsgivare i syfte att följa upp kvaliteten.
14.4. De legala förutsättningarna för att behandla personuppgifter för kvalitetsuppföljning inom vård och omsorg
Bakgrund
Att vårdgivaren ska planera, leda och kontrollera verksamheten så att kravet på god vård i hälso- och sjukvårdslagen och tandvårdslagen upprätthålls framgår av lag (3 kap. 1 § patientsäkerhetslagen [2010:650], förkortad PSL). Det är också reglerat i lag att kvaliteten inom hälso-
och sjukvården systematiskt och fortlöpande ska utvecklas och säkras (5 kap. 4 § hälso- och sjukvårdslagen [2017:30]). En motsvarande bestämmelse om kvalitetssäkring finns för tandvården (16 § tandvårdslagen [1985:125]). Att kvaliteten i verksamheten systematiskt och fortlöpande ska utvecklas och säkras gäller även för socialtjänsten (se bl.a. 3 kap. 3 § socialtjänstlagen [2001:453] [SoL] och 6 § lagen [1993:387] om stöd och service till vissa funktionshindrade [LSS]). Detta kallas vanligen för systematiskt kvalitetsarbete.
Socialstyrelsen har utfärdat föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete. Dessa föreskrifter och allmänna råd gäller både vård- och omsorgsgivare och innehåller närmare bestämmelser om hur det systematiska kvalitetsarbetet ska bedrivas. Tanken är att gemensamma regler för ledningssystem underlättar för verksamheter som bedriver både hälso- och sjukvård och socialtjänst eller verksamhet enligt LSS att ta fram ändamålsenliga och verksamhetsanpassade ledningssystem för systematiskt kvalitetsarbete.
Registerförfattningarna för vården och omsorgen ger möjlighet till behandling av personuppgifter för kvalitetsuppföljning av den egna verksamheten. Dessa registerförfattningar kompletterar dataskyddsförordningen.
I dag gäller olika förutsättningar för att samla in personuppgifter för kvalitetsuppföljning inom en och samma organisation respektive över organisationsgränser. Det beror bl.a. på hur registerförfattningarna och offentlighets- och sekretesslagen är konstruerade och på den kommunala friheten att välja sin organisationsform. Möjligheten till kvalitetsuppföljning av verksamheter som har patienter eller omsorgsmottagare som får vård och omsorg av flera vårdinstanser och omsorgsgivare varierar därför beroende på hur verksamheterna är organiserade inom regionen eller kommunen.
14.4.1. Innebörden av kvalitet och god kvalitet
Att insatser och verksamheter inom hälso- och sjukvård och socialtjänst ska vara av god kvalitet är ett av de grundläggande kraven som uppställs enligt lag. Som nämnts finns också krav på att den som
bedriver vård eller omsorg ska bedriva ett systematiskt kvalitetsarbete för att bl.a. följa upp att kraven på god kvalitet upprätthålls.14
Förarbetena till hälso- och sjukvårdslagen anger att god kvalitet innebär bl.a. att vården ska ha den medicinskt tekniska kvalitet som behövs och även tillgodose kraven på en god omvårdnad samt vara anpassad till den enskilde patientens särskilda förhållanden. Det måste förutsättas att vården tillgodoser människornas behov av trygghet och säkerhet i medicinskt hänseende.15
I förarbetena till socialtjänstlagen och LSS uttalar regeringen att kvalitet är ett svårfångat begrepp. Vad som utgör god kvalitet låter sig inte fastställas på ett entydigt och objektivt sätt. Människors olika behov, intressen och förväntningar påverkar uppfattningen om vad som är god kvalitet.16
Enligt Socialstyrelsens föreskrifter och allmänna råd om ledningssystem för systematiskt kvalitetsarbete (SOSFS 2011:9) menas med kvalitet
att en verksamhet uppfyller de krav och mål som gäller för verksamheten enligt lagar och andra föreskrifter om hälso- och sjukvård, socialtjänst och stöd och service till vissa funktionshindrade och beslut som har meddelats med stöd av sådana föreskrifter (2 kap. 1 § föreskrifterna).17
God kvalitet i hälso-och sjukvård och socialtjänst beskrivs alltså här i termer av att verksamheterna kan svara mot målen i gällande lagstiftning. Detta kan tjäna som ett riktmärke för vilka åtgärder som kan ingå i kvalitetsuppföljning inom hälso- och sjukvården och socialtjänsten.
I samband med att kravet på kvalitetssäkring lagfästes i hälso- och sjukvårdslagen uttalade regeringen att det är en förpliktelse för vårdgivare att utveckla metoder för att noga följa upp och analysera utvecklingen av kvalitet och säkerhet. Eftersom det ibland saknas samstämmighet om vad som ger en rättvisande belysning av kvaliteten och då olika verksamheter har skilda förutsättningar och problem, är det inte möjligt att fastställa en mall för kvalitet som alla kan tillämpa. Det måste bli en uppgift för Socialstyrelsen att i nära samråd med
14 Se 3 kap. 3 § socialtjänstlagen, 6 § LSS och 5 kap. 1 § hälso- och sjukvårdslagen. 15Prop. 1981/82:97 s. 56. 16 Se prop. 1996/97:124 s. 52 och prop. 2004/05 39 s. 25. 17 För vårdgivare som endast bedriver verksamhet som omfattas av lagen (2001:499) om omskärelse av pojkar eller lagen (2009:366) om handel med läkemedel avses i SOSFS 2011:9 med kvalitet endast att en verksamhet uppfyller de krav och mål som gäller för verksamheten enligt 3 kap. patientsäkerhetslagen (2010:659).
sjukvårdshuvudmännen och berörda professioner inom hälso- och sjukvården konkretisera vilka grundläggande indikatorer som de verksamhetsansvariga ska följa upp.18
När kravet på kvalitetssäkring några år senare skulle införas i socialtjänstlagen anförde regeringen bl.a. att det är önskvärt att det även på socialtjänstområdet sker ett motsvarande arbete för att utvärdera olika vårdinsatser och analysera förekommande förändringsbehov. Samtidigt erinrades om att förutsättningarna i vissa avseenden är olika. Vad som krävs av sjukvården är ofta tämligen klart. Det kan vara svårare att precisera vad som är kvalitet inom socialtjänsten, bl.a. med hänsyn till de varierande lösningar som där kan förekomma, inte minst inom äldreomsorgen. Avsikten med kravet på kvalitetssäkring inom socialtjänsten är att ställa krav på uppföljning och utvärdering av de insatser som görs liksom på en anpassning av utbud och innehåll med hänsyn till utvecklingen i omvärlden.19
Ytterligare några år senare tillkom liknande krav på kvalitet i verksamhet enligt LSS. Verksamheten ska vara av god kvalitet och kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras (6 § LSS). Regeringen uttalade när bestämmelsen infördes att vissa faktorer har avgörande betydelse för att verksamhet enligt LSS ska kunna sägas ha god kvalitet, exempelvis att det finns en överensstämmelse med de mål som gäller för verksamheten och att verksamheten uppfyller de bestämmelser som LSS anger. För att kontinuerligt utveckla kvaliteten i verksamheten måste såväl organisation och arbetsprocesser som resultat och mål vara föremål för uppföljning och utvärdering. Det är av vikt att kvalitetsarbetet utförs på alla nivåer i organisationen. Egenutvärdering eller egenkontroll bör utgöra ett centralt inslag i kvalitetsarbetet.20
14.4.2. Kvalitetsuppföljning inom en region eller kommun
Av offentlighets- och sekretesslagen (2009:400) (OSL) följer att sekretess gäller mellan myndigheter och mellan olika verksamhetsgrenar inom en myndighet. Utredningen har i avsnitt 5.3 redogjort närmare för reglerna om sekretess mellan myndigheter och mellan självständiga verksamhetsgrenar. Eftersom nämnder inom en region
18Prop. 1995/96:176 s. 54 f. 19Prop. 1997/98:113 s. 92. 20Prop. 2004/05:39 s. 25.
eller kommun är att betrakta som egna myndigheter, har införandet av den fria kommunala nämndorganisationen inneburit att sekretessgränser uppstått när en region eller kommun valt att organisera sin verksamhet så att flera nämnder har ansvar för hälso- och sjukvården respektive socialtjänsten.
Uppgifter om enskilds hälsotillstånd och andra personliga förhållanden omfattas i regel av sekretess och tystnadsplikt. Hälso- och sjukvårdssekretessen hindrar dock inte att uppgifter lämnas från en myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet i en region till en annan sådan myndighet i samma region (25 kap. 11 § 1 och 2 OSL). Så kallade kommunala företag räknas i detta sammanhang som myndigheter (2 kap. 3 § OSL). Dessa sekretessbrytande regler medför möjligheter till verksamhetsuppföljning när det gäller hälso- och sjukvård som utförs av olika vårdgivare inom en region. Om en region eller kommun delat in sin hälso- och sjukvårdsverksamhet efter geografiska områden kan därmed sekretessbelagda uppgifter lämnas från exempelvis ”Södra hälso- och sjukvårdsnämnden” till ”Norra hälso- och sjukvårdsnämnden” utan hinder av sekretess. På motsvarande sätt kan uppgifter lämnas från ett kommunalt företag med hälso- och sjukvårdsverksamhet i en region till en myndighet med sådan verksamhet inom regionen. Man kan därmed jämföra uppgifter och utveckla kvaliteten inom regionen eller kommunen som sådan. Det finns dock ingen uttrycklig regel som bryter tystnadsplikten hos sådana privata vårdgivare som regionen eller kommunen valt att anlita. Av förarbeten framgår dock att sådant uppgiftslämnande som inte skulle ha hindrats av sekretess om den privata vårdgivaren hade varit en myndighet inte anses vara ett obehörigt röjande av uppgifterna.21
Det finns inte någon motsvarighet till de sekretessbrytande reglerna i 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen för en myndighet (nämnd) i den kommunala socialtjänsten i förhållande till andra myndigheter (nämnder). Det innebär att om en kommun har organiserat sin socialtjänst på flera nämnder, bryts inte sekretessen mellan dem för exempelvis verksamhetsuppföljningar. Det finns inte heller någon uttrycklig regel som bryter enskilda utförares tystnadsplikt i förhållande till den uppdragsgivande nämnden (se närmare beskrivning i avsnitt 5.5 och 5.6 om sekretess och tystnadsplikt i 26 kap. OSL).
Med patientens eller omsorgsmottagarens samtycke får uppgifter dock lämnas ut och behandlas för kvalitetsuppföljning.
14.4.3. Kvalitetsuppföljning som innebär att personuppgifter samlas in från andra regioner och kommuner
När det gäller möjligheten att bedriva kvalitetsuppföljning av vårdverksamhet över regiongränser gäller andra rättsliga förutsättningar än för kvalitetsuppföljning av sådan verksamhet inom en region. Det finns inga regler som bryter sekretessen i förhållande till vårdgivande myndigheter med verksamhet i en annan region.22 För uppgiftslämnande mellan hälso- och sjukvård och socialtjänst finns inte heller några särskilda sekretessbrytande regler som möjliggör kvalitetsuppföljning. Om två regioner eller kommuner vill samköra personuppgifter för att analysera resultatet av ett gemensamt vård- eller omsorgsförlopp, finns inte någon särskild bestämmelse som bryter sekretessen. Datainspektionen har uttalat sig om frågan om sådana gemensamma verksamhetsuppföljningar i tillsynsbeslut, vilket närmare beskrivs i avsnittet nedan.
I förarbetena till patientdatalagen tog regeringen upp frågan om gemensamma verksamhetsuppföljningar mellan socialtjänst och hälso- och sjukvård. Regeringen anförde då bl.a. följande. Patientdata-
utredningen23 har bl.a. vid samråd med företrädare för Socialstyrelsen
och Sveriges Kommuner och Landsting24 samt med Nationell psykiatrisamordning funnit att nuvarande lagstiftning försvårar samverkan mellan kommun och region när det främst gäller äldre och de med psykiska funktionshinder eller sjukdom vilka behöver stöd och insatser i form av både hälso- och sjukvård och socialtjänst. Patient-
datautredningen anför att bristande legala möjligheter till gemensam
verksamhetsuppföljning baserad på personuppgifter, enligt Socialstyrelsen och Sveriges Kommuner och Landsting, utgör en tillbakahållande faktor när det gäller skapande av gemensamma nämnder eller andra former av samverkansorgan över huvudmannagränser. Samtidigt har huvudmännen i andra författningar ålagts ett ansvar att samverka och tillsammans skapa ett förbättrat omhändertagande av dessa patientkategorier. De legala kraven på samverkan går inte
22 Här bortses från möjligheten att bedriva hälso- och sjukvård genom kommunalförbund. 23 S 2003:03. 24 Numera Sveriges Kommuner och Regioner.
ihop med de legala förutsättningarna för samverkan. Enligt vad Pati-
entdatautredningen erfarit finns ett behov av att utforma en ny
lagstiftning för behandling av personuppgifter inom vård och omsorg. Såväl sekretesslagstiftningen som vårdregisterlagen begränsar landstingens och kommunernas möjligheter att göra gemensamma uppföljningar av sådana insatser som involverar både hälso- och sjukvård och socialtjänst. När det gäller frågan om att förbättra regionernas och kommunernas möjligheter att göra gemensamma uppföljningar av sådana insatser som involverar både hälso- och sjukvård och socialtjänst hänvisade regeringen till att frågan utreddes av Social-
tjänstdatautredningen (S2007:92).25
Socialtjänstdatautredningen föreslog i sitt betänkande, Socialtjänsten – Integritet – Effektivitet (SOU 2009:32) regler som skulle ge
förbättrade möjligheter för utbyte av personuppgifter mellan socialtjänsten och hälso- och sjukvården. Utredningen menade att det fanns ett påtagligt ökat behov av informationsutbyte mellan socialtjänsten och hälso- och sjukvården. En grundläggande förutsättning för att samverkan ska kunna fungera är enligt den utredningen att den information som behövs för att planera den enskildes vård och omsorg finns tillgänglig, bl.a. för gemensamma verksamhetsuppföljningar.
Socialtjänstdatautredningen föreslog därför att man skulle införa
ändamålsbestämmelser som anger att personuppgifter inom socialtjänsten respektive hälso- och sjukvården får behandlas för gemensamma verksamhetsuppföljningar mellan de båda verksamhetsområdena. Vidare föreslogs en sekretessbestämmelse som skulle gälla för gemensam uppföljning, utvärdering och kvalitetssäkring (verksamhetsuppföljning).26Socialtjänstdatautredningens förslag ledde dock inte till några lagstiftningsåtgärder.
Utredningen om rätt information i vård och omsorg lämnade i sitt
betänkande Rätt information på rätt plats i rätt tid (SOU 2014:23) förslag som skulle ge förbättrade möjligheter till kvalitetssäkring och kvalitetsutveckling i hälso- och sjukvården och socialtjänsten. Den utredningen ansåg bl.a. att detta behövdes för att underlätta för regioner och kommuner att leva upp till sitt ansvar som huvudmän för hälso- och sjukvård och socialtjänst.27 Inte heller den utredning-
25Prop. 2007/08:126 s. 175. 26SOU 2009:32 s. 25 ff. 27SOU 2014:23 s. 42 ff.
ens förslag ledde emellertid till några lagstiftningsåtgärder när det gäller att behandla personuppgifter för kvalitetsändamål.
Datainspektionens beslut om samkörning av personuppgifter för gemensam verksamhetsuppföljning
Datainspektionen har i tillsynsbeslut från år 201528 granskat om det finns legala möjligheter för att göra gemensamma verksamhetsuppföljningar som innefattar samkörning av personuppgifter mellan en kommun och en region. Prövningen skedde i ett tillsynsärende som rörde dåvarande Stockholms läns landsting och Österåkers kommun. Datainspektionens bedömning var att kommunens behandling – insamling av personuppgifter och samkörningen över huvudmannagränserna – var oförenlig med SoLPUL och SoLPUF.
Bakgrunden var att kommunen och regionen hade ett samverkansprojekt för att analysera förutsättningar för ersättningsmodeller för vård och omsorg om äldre. Den behandling av personuppgifter som skedde i den gemensamma verksamhetsuppföljningen kan förenklat beskrivas enligt följande. Kommunen gjorde ett uttag ur sin databas av personuppgifter, bl.a. personnummer, som hänfördes till kommunala omsorgsmottagare. Regionen gjorde ett motsvarande uttag avseende patienter ur sin databas. Därefter gjorde ett personuppgiftsbiträde olika former av teknisk bearbetning följt av samkörning och analys av personuppgifterna. I samkörningen ingick alltså personuppgifter som hämtats såväl från kommunen som från regionen.
Bestämmelserna i SoLPUL samt SoLPUF var tillämpliga på den behandling av personuppgifter som kommunen hade genomfört. Patientdatalagen var tillämplig på regionens behandling.
Kommunen bedömdes – i vart fall tillsammans med regionen – vara personuppgiftsansvarig. Kommunen fick anses ha samlat in och behandlat de personuppgifter som hämtats från regionens databas. När det gällde regionen utgick Datainspektionen från att regionen var ensam personuppgiftsansvarig för personuppgiftsbiträdets samkörning av personuppgifter och för den behandling som utfördes av biträdet på uppdrag av regionen.
28 Datainspektionens beslut den 3 juli 2015, dnr 518-2015 respektive 643-2015.
Kommunens behandling av personuppgifter
För att kommunen skulle ha lagliga förutsättningar att samla in personuppgifter från regionen och samköra dessa med kommunens egna personuppgifter var behandlingen tvungen att vara förenlig med SoLPUL och SoLPUF.
Datainspektionen hänvisade till 6 § SoLPUL som ställer upp de yttersta ramarna för när behandling av personuppgifter är tillåten. Enligt bestämmelsen får personuppgifter behandlas bara om behandlingen är nödvändig för att kunna utföra arbetsuppgifter inom socialtjänsten.
En mer detaljerade uppräkning av för vilka ändamål kommunen får behandla personuppgifter finns i 12 § SoLPUF. Dessa ändamål är enligt Datainspektionen liktydiga med arbetsuppgifter för vilka behandlingen av personuppgifter är nödvändig. Exempelvis får en kommunal nämnd, enligt 12 § 10 SoLPUF, behandla personuppgifter för tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten.
Vilken typ av personuppgifter som får behandlas inom socialtjänsten regleras i sin tur i 7 § SoLPUL. Det är bl.a. tillåtet för socialtjänsten att behandla personnummer och samordningsnummer och känsliga personuppgifter (7 § första stycket 1 och 2 SoLPUL). I bestämmelsen anges att personuppgifterna som räknas upp i första stycket endast får behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten.
Datainspektionen betonade att kommunen bara får behandla personuppgifter enligt SoLPUL om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska kunna utföras. Vad som omfattas av begreppet ”arbetsuppgifter inom socialtjänsten” får tolkas bl.a. utifrån uppräkningen av tillåtna ändamål i 12 § SoLPUF. Datainspektionen slog fast att för att kommunen ska få behandla personuppgifter för ett tillåtet ändamål måste uppgifterna som kommunen vill behandla antingen ha lämnats i ett ärende eller vara nödvändiga för verksamheten.
Härefter konstaterade Datainspektionen att kommunens samkörning av de egna personuppgifterna med de personuppgifter som hämtats från regionen inte omfattades av något av de tillåtna ändamålen i 6 § SoLPUL och 12 § SoLPUF.
De angivna bestämmelserna inbegriper enbart behandling av personuppgifter som är hänförliga till kommunens egen verksamhet. Bestämmelserna ger inte stöd för kommunen att samköra personuppgifter i syfte att göra en gemensam verksamhetsuppföljning med regionen. Vidare hade de uppgifter som kommunen hämtat in från regionen inte lämnats i ett ärende och de kunde inte heller anses nödvändiga för kommunens egen interna socialtjänstverksamhet. Kommunen hade därmed saknat lagligt stöd för insamlingen av personuppgifter från regionen.
Datainspektionens slutsats var att behandlingen av personuppgifter inte var nödvändig för att kommunen skulle kunna utföra arbetsuppgifter inom socialtjänsten. Personuppgifterna som samlats in från regionen – som alltså hade sitt ursprung i en annan verksamhet – var inte nödvändiga för kommunens verksamhet. Om en verksamhet ska ta del av uppgifter från en annan verksamhet, så måste det finnas rättsligt stöd för ett utlämnande och mottagaren måste ha stöd för sin behandling. Om flera aktörer agerar tillsammans och är gemensamt personuppgiftsansvariga, måste behandlingen på motsvarande sätt vara tillåten hos respektive aktör. Sammanfattningsvis konstaterade Datainspektionen att det inte fanns legala förutsättningar för kommuner och regioner att göra gemensamma verksamhetsuppföljningar på det sätt som skett.
Regionens behandling av personuppgifter
Datainspektionen tog avstamp i bestämmelsen i 2 kap. 4 § patientdatalagen. För att det skulle vara tillåtet för regionen att samla in och samköra personuppgifterna var behandlingen tvungen att omfattas av något av de tillåtna ändamål som räknas upp i den bestämmelsen. Av särskilt intresse var punkterna 4–6 som anger att personuppgifter får behandlas inom hälso- och sjukvården om det behövs för
– att systematiskt och fortlöpande utveckla och säkra kvaliteten i
verksamheten, – administration, planering, uppföljning, utvärdering och tillsyn av
verksamheten, eller – att framställa statistik om hälso- och sjukvården.
Vilka kategorier av personuppgifter som regionen får behandla (för de ändamål som anges i 2 kap. 4 § PDL) regleras i 2 kap. 7 § patientdatalagen. Datainspektionen hänvisade till att begreppet ”verksamhet” i 2 kap. 4 § första stycket 4 och 5 patientdatalagen syftar på vårdgivarens egen verksamhet. Bland annat uttalades följande i patientdatalagens förarbeten när det gäller regleringen av tillåtna ändamål för behandling av personuppgifter.
Eftersom patientdatalagen får ett väsentligen mera vidsträckt tillämpningsområde i förhållande till vårdregisterlagen är det olämpligt att som idag dela in ändamålen i primära och sekundära ändamål. Både primära och sekundära ändamål handlar om personuppgiftsbehandlingar som, mer eller mindre integrerat, normalt äger rum i varje vårdgivares egen verksamhet.
När det gäller det specifika ändamålet verksamhetsuppföljning framgår följande av förarbetena.
Förslagen undanröjer de oklarheter som idag anses gälla i fråga om de rättsliga förutsättningarna för myndigheter inom hälso- och sjukvården och privata vårdgivare att behandla personuppgifter för ändamålet att följa upp sin egen verksamhet. --- När det gäller frågan om att förbättra landstingens och kommunernas möjligheter att göra gemensamma uppföljningar av sådana insatser som involverar både hälso- och sjukvård och socialtjänst så utreds detta för närvarande av Socialtjänstdatautredningen (S 2007:92).
Att ändamålsbestämmelserna i 2 kap. 4 § patientdatalagen är uttömmande i förhållande till insamling av personuppgifter framgår också av förarbetena.
Patientdatalagens ändamålsreglering blir därmed tydligare och uttömmande i den meningen att vårdgivarna inte själva får besluta om ytterligare ändamål för vilket eller vilka personuppgifter kan samlas in i verksamheten, i vart fall inte utan den registrerades samtycke. Detta är en viktig reglering i integritetshänseende. --- Syftet med ändamålsbestämningen är att ange en yttersta ram för när personuppgifter får samlas in
och fortsättningsvis behandlas med stöd av patientdatalagen och personuppgiftslagen.
Datainspektionen gjorde bedömningen att regionens insamling och samkörning av personuppgifterna inte omfattades av de tillåtna ändamålen i 2 kap. 4 § första stycket 4 och 5 patientdatalagen. Anledningen till detta var att behandlingen inte varit begränsad till regionens egen verksamhet. Dessutom konstaterade Datainspektionen att syftet med behandlingen inte primärt var att framställa statistik om hälso- och sjukvården. Behandlingen omfattades därför inte heller av 2 kap. 4 §första stycket 6 patientdatalagen.
Datainspektionen prövade härefter om finalitetsprincipen kunde ge stöd för behandlingen (för en närmare beskrivning av finalitetsprincipen, även kallad principen om ändamålsbegränsning, se avsnitt 4.5.1). Finalitetsprincipen anger att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Därtill kräver 2 kap. 7 § patientdatalagen att en vårdgivare endast får behandla sådana personuppgifter som behövs för de ändamål som anges i 2 kap. 4 § patientdatalagen. Därmed gav inte heller finalitetsprincipen regionen någon möjlighet att samla in och bearbeta de personuppgifter som inhämtats från kommunen.
Även här konstaterade Datainspektionen att för att en verksamhet ska ta del av uppgifter från en annan verksamhet, måste det finnas rättsligt stöd för ett utlämnande och mottagaren måste ha stöd för sin behandling. Om flera aktörer agerar tillsammans och är gemensamt personuppgiftsansvariga, måste behandlingen på motsvarande sätt vara tillåten hos respektive aktör. Sammanfattningsvis konstaterade Datainspektionen att det inte fanns legala förutsättningar för kommuner och regioner att göra gemensamma verksamhetsuppföljningar på det sätt som skett.
Analys av Datainspektionens beslut
Datainspektionens bedömning bygger på en tolkning av ordalydelsen i ändamålsbestämmelserna i patientdatalagen respektive i SoLPUL och SoLPUF. I författningarna används begreppet ”i verk-
samheten” och ”av verksamheten” (jfr 2 kap. 4 § 4 och 5 PDL)
respektive ”arbetsuppgifter inom socialtjänsten” (6 § SoLPUL) och ”nödvändiga för verksamheten” (7 § SoLPUL) samt ”tillsyn, upp-
följning, utvärdering, kvalitetssäkring och administration av verksamheten” (12 § 10 SoLPUF).
Utgången i besluten bygger på att bestämmelserna endast avser behandling av personuppgifter som hämtats från regionens respektive kommunens egen verksamhet. När det gäller personuppgifter som hämtats över organisationsgränserna, avser dessa inte den egna verksamheten. Därför menar Datainspektionen att det inte finns något stöd i gällande rätt för den behandlingen det innebär att samköra personuppgifterna.
Avgörande för utgången i Datainspektionens beslut var alltså att bestämmelserna i patientdatalagen och SoLPUL respektive SoLPUF inte ger stöd för att göra gemensamma verksamhetsuppföljningar med personuppgifter som har sitt ursprung i en annan verksamhet. Så är t.ex. fallet om uppgifterna rör personer som inte vårdats i den egna verksamheten, dvs. där det inte finns en patient- eller brukarrelation. Personuppgifter som inhämtats från den egna verksamheten får däremot användas för att göra verksamhetsuppföljningar.
För att kommunen skulle ha haft möjlighet att ta del av regionens uppgifter hade det således behövt finnas ett rättsligt stöd för utlämnandet. Kommunen måste också ha haft stöd för sin behandling av de mottagna personuppgifterna. Motsvarande gäller för regionen. För att regionen skulle ha haft möjlighet att ta del av kommunens personuppgifter hade det behövt finnas ett rättsligt stöd för utlämnandet. Regionen måste också ha haft stöd för sin behandling av de mottagna personuppgifterna.
14.5. Behov av personuppgifter från andra vårdinstanser och omsorgsgivare för kvalitetsuppföljning
Utredningens bedömning: Det finns ett klart behov av kvalitets-
uppföljning med personuppgifter från flera vårdinstanser eller omsorgsgivare. Privata vårdinstanser och omsorgsgivare har inte ett lika uttalat behov som offentliga vårdinstanser och omsorgsmottagare av att inhämta personuppgifter från andra vårdinstanser eller omsorgsgivare för kvalitetsuppföljning.
14.5.1. Bakgrund
Förutom regelverket för nationella och regionala kvalitetsregister i patientdatalagen finns det inga särskilda bestämmelser som syftar till att möjliggöra uppföljning av en hälso- och sjukvårdsverksamhet med personuppgifter från flera vårdinstanser. För socialtjänsten finns det ingen motsvarighet till reglerna om kvalitetsregister och inte heller i övrigt några regler som syftar till att möjliggöra behandling av personuppgifter för kvalitetsuppföljning av en socialtjänstverksamhet med personuppgifter från flera omsorgsgivare. Inte heller finns det några regler som tillåter att kvalitetsuppföljning av en hälso- och sjukvårds- eller socialtjänstverksamhet görs med personuppgifter från både vårdinstanser och omsorgsgivare.
Som utredningen konstaterat i tidigare avsnitt finns det ett stort behov av smidig åtkomst till personuppgifter inom den individinriktade vården och omsorgen, även från andra vårdinstanser och omsorgsgivare. Utredningen har i kapitel 12 och 13 lämnat förslag till utökade möjligheter till åtkomst till personuppgifter i det individnära arbetet med patienter och omsorgsmottagare genom sammanhållen vård- och omsorgsdokumentation.
Utredningen anser att det också finns behov av att använda personuppgifter från flera vårdinstanser och omsorgsgivare för kvalitetsuppföljning. Flera tidigare utredningar har också konstaterat att det finns ett sådant behov. Socialtjänstdatautredningen konstaterade redan år 2009 att det fanns ett påtagligt ökat behov av informationsutbyte mellan socialtjänsten och hälso- och sjukvården för att underlätta möjligheterna till en gemensam verksamhetsuppföljning.
Utredningen har hållit en hearing med företrädare för vårdinstanser och omsorgsgivare m.fl. som bekräftat att det fortfarande finns ett sådant behov. Företrädarna har gett exempel på situationer där det finns behov av att kunna ta del av personuppgifter från andra vårdinstanser och omsorgsgivare för kvalitetsuppföljning.
Nedan redogörs för olika behov som kan finnas av att använda personuppgifter från flera vårdinstanser och omsorgsgivare, där dagens lagstiftning inte ger tillräckliga förutsättningar.
14.5.2. En vårdinstans behöver samla in personuppgifter från andra vårdinstanser
En sjukvårdshuvudman, dvs. en region eller kommun, har det yttersta ansvaret för att tillgodose invånarnas behov av hälso- och sjukvård. Sjukvårdshuvudmannen ska styra, planera, beställa, följa upp och ersätta hälso- och sjukvårdsverksamhet. Därför behöver sjukvårdshuvudmannen också kunna följa upp hälso- och sjukvårdsystemet som helhet, även över organisationsgränserna. För huvudmannen – som är beställare av vård i förhållande till privata vårdinstanser – finns det ett stort behov av att kunna inhämta information från andra vårdinstanser för att kunna följa upp kvaliteten på den hälso- och sjukvård som huvudmannen har ansvar att säkerställa.
Ett tydligt exempel är att en region eller kommun som beställt en hälso- och sjukvårdstjänst av en privat vårdinstans behöver kunna följa upp att patienten fått den insats som beställts och att insatsen varit av beställd kvalitet.
Företrädare för offentliga vårdinstanser har påtalat att det i dag uppstår problem då de begär att få ta del av personuppgifter från privata vårdinstanser för att samköra uppgifterna. Det är enligt deras uppfattning inte ovanligt att den privata vårdinstansen hänvisar till sin tystnadsplikt och nekar att lämna ut personuppgifter. Flera offentliga vårdinstanser har påtalat att olika driftsformer inte bör få medföra hinder för att bedriva en god och säker vård eller för att styra och avvända pengarna på ett effektivt sätt.
Att kunna hämta in personuppgifter från andra vårdinstanser för kvalitetsuppföljning av ett vårdförlopp som omfattar flera vårdinstanser kan vara en viktig faktor för bättre resultat i vården. Företrädare för regioner har lyft fram behovet av att kunna söka efter och ta del av personuppgifter hos andra vårdinstanser. Det är i dag svårt att följa en patient när denne flyttas mellan vårdcentraler i olika vårdinstansers regi.
Offentliga vårdinstanser har också behov av utvidgade möjligheter till kvalitetsuppföljning för att kunna möta befolkningens behov av hälso- och sjukvård och fokusera mer på preventiv (förebyggande) vård. Det kan handla om att samköra och analysera data för att kunna förutse vårdbehov utifrån t.ex. geografi och åldersfördelning. För att kunna bedriva förebyggande vård har regionerna ett behov av att använda sig av information från andra vårdinstanser,
så att uppgifterna är så heltäckande som möjligt. I många fall, men inte alltid, räcker det med avidentifierade uppgifter. Det har påtalats att ny teknik ger möjligheter att på ett helt annat sätt än tidigare analysera och samköra uppgifter. Det handlar i detta fall om att använda uppgifter i form av s.k. big data där man plockar ut och analyserar stora mängder data med hjälp av algoritmer. I dag sätter lagstiftningen begränsningar för att få del av personuppgifter på sådant sätt.
Det finns också ett behov av att använda data från andra vårdinstanser för att kunna ta fram beslutsstöd och varningssignaler som kan användas i den individuella vården. Det har från regionernas håll påpekats att det finns stora vinster att göra om de tillåts att använda tekniska funktioner i journalsystemen för att söka och ge varningssignaler, t.ex. om det rör sig om en patient som har särskilda hälsomässiga riskfaktorer. Uppgifterna kan ge en bättre helhetsbild och användas som bas för att kunna ta fram relevanta beslutsunderlag till beslutsfattare för grupper som har insatser från flera vårdinstanser. Det finns även ett behov av att samköra uppgifter för att ha stöd inför beslut kring samverkanslösningar mellan vårdinstanser.
Det finns behov av att enklare få fram en helhetsbild av exempelvis invånarnas nuvarande och kommande behov av hälso- och sjukvård. Man har ett behov av att kunna följa specifika patientflöden mellan vårdinstanserna, bl.a. för att kunna identifiera grupper där stora samordningsvinster och synergieffekter kan uppnås. Att kunna följa patientgrupper över vårdinstansgränserna kan leda till effektiviseringar i flödena. Ur ett folkhälsoperspektiv kan det leda till hälsovinster, samtidigt som det ur ett samhällsperspektiv kan leda till vinster genom att kostnaderna för bostadsanpassningar, färdtjänst, sjukresor etc. kan analyseras.
Företrädare för offentliga vårdinstanser har påpekat att nationella kvalitetsregister innehåller information enligt de konkreta frågor man ställt inom ramen för ett visst register, men att de inte kan användas för mer patientnära uppföljning av den vård en patient fått från andra vårdinstanser.
Den omfattande digitaliseringen av vården som pågår leder också till ökade behov av att följa upp nya, digitala vårdlösningar. De senaste åren har offentligfinansierade vårdinstanser med digital profil, s.k. nätläkare, växt i snabb takt. Patienter söker sig allt oftare till nätläkare för att snabbare få en första läkarkontakt. Om nätläkaren
bedömer att provtagning eller vidare uppföljning genom ett fysiskt läkarbesök krävs, kommer patienten sedan ofta att behöva söka sig till en annan vårdinstans. Därmed ökar sannolikheten för att en patient under ett vårdförlopp kommer i kontakt med flera vårdinstanser. Behovet av kvalitetsuppföljning av sådana förlopp kommer således också att öka.
Digitaliseringen leder vidare till att vård i hemmet ökar allt mer. Det hänger ihop med ökade tekniska möjligheter till detta, exempelvis i form av att vården kan använda sig av monitorering av patienter i hemmet med hjälp av digital teknik som sensorer eller kameror, som ett led i den individnära vården. I sådana situationer ser utredningen att behovet av kvalitetsuppföljning med personuppgifter från flera vårdinstanser kommer att öka.
Företrädare för kommunal hälso- och sjukvård har påpekat att de har behov av uppgifter från regional hälso- och sjukvårdsverksamhet. I den kommunala hälso- och sjukvårdens uppdrag ligger exempelvis att göra utredningar om resursåtgång för multisjuka patienter. I sådana fall kan kommunala vårdinstanser behöva analysera vissa läkemedel, insatser eller kostnader. Då behöver de uppgifter från den regionala hälso- och sjukvården för att t.ex. undersöka skillnader mellan vård som ges i hemmet via kommunal hälso- och sjukvård och vård som bedrivs på sjukhus. Det är administrativt betungande att – vilket krävs i dag – inhämta individuellt samtycke från alla patienter vars uppgifter man behöver analysera, när det handlar om rena kvalitetsuppföljningar.
Det finns slutligen behov av gemensam hantering av avvikelser när det handlar om patienter som rör sig mellan olika vårdinstanser. Det behövs en reglering som gör det möjligt att dela personuppgifter när det gäller det systematiska arbetet med utredning av allvarliga vårdskador och händelser (t.ex. lex Maria). Att kunna göra en utredning som omfattar hela vårdkedjan vore värdefullt så att en upprepning kan undvikas.
14.5.3. En omsorgsgivare behöver samla in personuppgifter från andra omsorgsgivare
När omsorgsmottagare övergår mellan olika omsorgsgivare gör sig liknande behov gällande för att följa upp verksamheten som vid motsvarande övergångar mellan olika vårdinstanser. Den kommunala om-
sorgsgivaren har behov av att följa upp insatser i den offentligt finansierade omsorgen. Behovet gör sig särskilt gällande i de fall en kommun har många privata omsorgsgivare. Det kan exempelvis handla om en omsorgsmottagare som får insatser på ett särskilt boende, där vissa insatser utförs av den kommunalt anställda personalen och andra insatser av personer som är anställda hos en privat utförare. Då finns det ett behov av att analysera omsorgsprocessen som helhet.
När insatser för en omsorgsmottagare har ett nära samband med varandra men utförs av olika omsorgsgivare framstår det som rationellt att en omsorgsgivare, t.ex. socialnämnden, kan göra en kvalitetsuppföljning av alla insatser. Kommunen kan behöva följa upp kostnaderna för exempelvis bostadsanpassningsbidrag enligt LSS. Inom socialtjänsten pågår en utveckling där kommuner anlitar enskilda omsorgsgivare i allt högre grad. Denna utveckling kommer att ytterligare driva på behovet av att kunna följa upp privata omsorgsgivares insatser.
Det har från kommunala företrädare påtalats att äldre eller personer med funktionsnedsättningar inom socialtjänstens omsorg samtidigt kan ha en missbruksproblematik. Vissa kommuner är organiserade så att insatser för personer med missbruk hanteras av en viss nämnd, medan insatser för äldre respektive personer med funktionsnedsättningar sorterar under en annan nämnd. Då en person får insatser från båda dessa nämnder finns sekretessgränser trots att det i praktiken rör sig om insatser för samma person som överlappar varandra. Det finns ett behov av att utan hinder av sekretess kunna följa upp verksamheten och säkra kvaliteten även i dessa fall.
14.5.4. Vårdinstanser och omsorgsgivare behöver samla in personuppgifter från varandra om äldre och personer med funktionsnedsättningar
En patient eller omsorgsmottagare kan i många fall övergå mellan eller samtidigt vara aktuell hos en eller flera vårdinstanser och en eller flera omsorgsgivare. Vid sådana övergångar från en vårdinstans till en omsorgsgivare och vice versa finns i många delar motsvarande behov som gör sig gällande vid övergångar mellan vårdinstanser. Det handlar även här om behovet av att kunna följa specifika flöden mellan vårdinstanser och omsorgsgivare, att identifiera avvikelser och fånga upp och analysera förbättringsområden. En gemensam
uppföljning av vården och omsorgen skulle vara särskilt värdefull för att kunna anpassa samhället till en åldrande befolkning med åtföljande behov av ett förebyggande hälsoarbete, särskilt när det gäller äldre.
När det gäller övergångar mellan vård och omsorg finns ett antal olika bestämmelser som ställer krav på samverkan (se beskrivningen i avsnitt 8.7). Regionen och kommunen ska exempelvis samverka så att den som bor i ett särskilt boende, vistas i en dagverksamhet eller får hemsjukvård från kommunen också får övrig vård, hjälpmedel och sådana förbrukningsartiklar som denne kan behöva (16 kap. 2 § HSL). Regionen ska ingå en överenskommelse med kommunen om ett samarbete i fråga om bl.a. personer med psykiska funktionsnedsättningar (16 kap. 3 § 1 HSL). Motsvarande skyldighet finns för kommunen att ingå överenskommelse med regionen om ett samarbete i fråga om personer med psykiska funktionsnedsättningar (5 kap. 8 a § SoL). Vidare finns bestämmelser som kräver att verksamheterna upprättar en gemensam samordnad vårdplanering i form av särskilda vårdplaner.
Den 1 januari 2018 infördes lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård (samverkanslagen). Myndigheten för vård- och omsorgsanalys (Vårdanalys) har på regeringens uppdrag genomfört en uppföljning av samverkanslagen och lämnat sina slutsatser i en rapport i mars 2020. Vårdanalys anser att det är angeläget att utveckla uppföljningen så att det går att följa den omställning som sker av vård och omsorg och de effekter det får för såväl sluten- och primärvården som kommunerna. Vårdanalys poängterar att uppföljningen behöver fokusera på vård- och omsorgssystemet som en sammanhängande helhet och inte som separata delar. Då behövs data och analyser som beskriver hela vård- och omsorgskedjan. Det handlar exempelvis om att kunna följa hela vård- och omsorgskedjan så att ett slutenvårdsbesök går att koppla till efterföljande vård i primärvården, vård- och omsorgsinsatser inom kommunerna, och även till eventuella återinläggningar.29
Utredningen delar Vårdanalys uppfattning som kom fram i rapporten, dvs. att uppföljningen behöver kunna följa hela vård- och omsorgsförloppet. Till följd av lagstiftningens krav på samverkan kommer en patient eller omsorgsmottagare i många fall att övergå
29Laga efter läge, Uppföljning av lagen om samverkan vid utskrivning från slutenvården, Myndigheten för vård- och omsorgsanalys, Rapport 2020:4 s. 10 och 16.
mellan alternativt samtidigt vara aktuell hos en region och en kommun. När insatser som rör äldre eller personer med funktionsnedsättningar har ett sådant nära samband med varandra är det enligt utredning naturligt att dessa insatser kan följas upp av både vården och omsorgen med hjälp av varandras personuppgifter.
Att samköra personuppgifter om personer som har insatser från både vården och omsorgen kan ge en bättre helhetsbild av vård- och omsorgsbehovet. Denna helhetsbild kan sedan användas som bas för att ta fram relevanta beslutsunderlag, både inför beslut som rör inriktningen av verksamheten och inför beslut som rör den individuella vården av enskilda. Uppgifterna kan även användas för stöd inför beslut kring samverkanslösningar mellan vårdinstanser och omsorgsgivare eller för att analysera förutsättningar för ersättningsmodeller för vård och omsorg.30
Kommunföreträdare har särskilt lyft fram att det finns problem med bristande kommunikation till följd av dagens lagstiftning med strikta sekretessgränser som följer organisationerna. Detta kan leda till att information inte kan utbytas mellan hälso- och sjukvård och verksamheter som bedrivs enligt socialtjänstlagen och LSS, och därmed kan man inte på ett tillräckligt sätt fånga upp brister och utveckla verksamheternas kvalitet. Möjligheten att samköra uppgifter från vårdinstanser och omsorgsgivare skulle sannolikt medföra stora förbättringar av den gemensamma processutvecklingen.
Vårdinstanser behöver också ha rutiner för att identifiera, åtgärda och följa upp avvikelser i hälso- och sjukvården. Sådan avvikelsehantering är en form av kvalitetsuppföljning. Det finns behov av gemensam hantering av avvikelser när det handlar om personer som rör sig från en vårdinstans till en omsorgsgivare.
Företrädare för kommuner har även lyft behovet av samkörning av olika register vid exempelvis hjälpmedelsuppföljning. Det finns även behov av att kunna följa upp kostnader för en viss grupp, såsom. personer som ingår i personkretsen för LSS och som får insatser från både vården och omsorgen.
30 Så skedde i Datainspektionens beslut mot Österåkers kommun och Stockholms läns landsting som redogjorts för i avsnitt 14.4.4.
14.5.5. Privata vårdinstansers och omsorgsgivares behov av att samla in personuppgifter från andra vårdinstanser och omsorgsgivare
Privata vårdinstanser och omsorgsgivare har inte ett huvudmannaansvar för vården och omsorgen på det sätt som regioner och kommuner, med offentliga vårdinstanser och omsorgsgivare, har. Också privata vårdinstanser och omsorgsgivare är emellertid skyldiga att säkerställa att de bedriver en god och säker vård och omsorg. För att kunna göra detta, kan även dessa ha behov av personuppgifter från andra vårdinstanser och omsorgsgivare för kvalitetsuppföljning av vård- eller omsorgsprocesser som involverar flera vårdinstanser och omsorgsgivare. Det kan t.ex. handla om en privat vårdinstans eller omsorgsgivare som upphandlat andra aktörer för vissa delar av vård- eller omsorgsprocessen. Det kan även finnas behov av tillgång till personuppgifter för att kunna ta fram kliniska beslutsstöd baserade på mer än den egna journaldatan. Särskilt för små vårdinstanser och omsorgsgivare blir informationen annars begränsad. Det finns även vissa större vårdföretag som bedriver sin verksamhet i koncernform, där sjukhus bedrivs i ett bolag och vårdcentraler i ett eller flera andra bolag utifrån en regional indelning. Man kan även tänka sig att viss öppen specialiserad vård drivs i eget bolag. I den situationen kan det finnas behov av att kunna följa upp kvaliteten hos den vård som sker hos andra bolag genom att använda patientuppgifter över organisationsgränser. Som beskrivs i avsnitt 19.4.6 har privata vårdinstanser och omsorgsgivare visserligen ett utrymme enligt obehörighetsrekvisitet att lämna ut uppgifter för kvalitetsuppföljning utan hinder av tystnadsplikten i patientsäkerhetslagen. Likväl saknar de stöd för att behandla personuppgifter från en annan verksamhet för kvalitetsuppföljning. Inom socialtjänsten kan det också råda liknande förhållanden för de större privata utförarna som bedriver sin verksamhet i koncernform.
Utredningens bedömning är trots det ovanstående att privata vårdinstansers och omsorgsgivares behov av personuppgifter från andra, för kvalitetsuppföljning av den egna verksamheten, förefaller vara mindre uttalat än offentliga vårdinstansers och omsorgsgivares behov. Detta hänger samman med att privata vårdinstanser och omsorgsgivare inte har det helhetsansvar för att bedriva vård och omsorg och säkerställa kvaliteten för den offentligt finansierade vård och omsorg
som bedrivs av andra, som regioner och kommuner, med offentliga vårdinstanser och omsorgsgivare, har. Behovet av att samla in personuppgifter från andra för kvalitetsuppföljning framstår alltså som större hos de offentliga vårdinstanserna och omsorgsgivarna.
14.5.6. Är det nödvändigt att samla in personuppgifter för kvalitetsuppföljning?
Grunden i kvalitetsarbete är att göra riskanalyser och utreda resultatet av dessa för att kunna ge en god och säker vård och omsorg. Inom vård och omsorg finns stora mängder personuppgifter dokumenterade i individuella journaler och personakter. Vid kvalitetsuppföljning återanvänds vanligen dessa personuppgifter.
Socialstyrelsen fick år 2001 regeringens uppdrag31 att svara för samordningen av arbetet med att förbättra informationsförsörjningen och verksamhetsuppföljningen inom hälso- och sjukvården. Arbetet bedrevs i projektet InfoVU.32 InfoVU har drivit ett antal delprojekt där olika modeller och metoder för verksamhetsuppföljning testats och utvecklats. Dessutom har InfoVU publicerat flera rapporter som berör frågor om verksamhetsuppföljning av resultat, kvalitet och kostnader. Samtliga rapporter framhåller vikten av att verksamhetsuppföljningen sker med individbaserade patientdata, dvs. personuppgifter som direkt eller indirekt kan härledas till enskilda patienter.33
Utredningen anser att det säger sig självt att man på ett eller annat sätt behöver utbyta just personuppgifter för att en vårdinstans eller omsorgsgivare ska kunna göra en kvalitetsuppföljning av ett helt vård- eller omsorgsförlopp som involverar flera vårdinstanser eller omsorgsgivare. Personuppgifter är enligt dataskyddsförordningen varje upplysning som avser en identifierad eller identifierbar fysisk person. En annan sak är att personuppgifterna, när de väl har samlats in från de olika vårdinstanserna och omsorgsgivarna, kan avidentifieras så att informationen inte längre hänför sig till en identifierad eller identifierbar fysisk person. Det är också möjligt att, om personuppgifterna senare behöver kompletteras med ytterligare uppgifter på
31 Tillsammans med Landstingsförbundet och Svenska Kommunförbundet (numera Sveriges Kommuner och Regioner, SKR). 32 Se propositionen Nationell handlingsplan för utveckling av hälso- och sjukvården, prop. 1999/2000:149. 33SOU 2006:82 s. 413.
individnivå, uppgifterna kan pseudonymiseras eller krypteras genom att exempelvis en kod används i stället för namn eller personnummer. Pseudonymiserade och krypterade uppgifter är fortfarande personuppgifter i dataskyddsförordningens mening34, medan avidentifierade uppgifter inte är personuppgifter.
Företrädare för vårdinstanser och omsorgsgivare har uppgett att det visserligen ofta går att pseudonymisera uppgifterna, men att det måste finnas en nyckel någonstans så att man kan tillbakaspåra individen. Det måste vara möjligt att ha kontroll över vilken person som registrerats med en kod eller nyckel, för att kunna lita på resultaten av kvalitetsuppföljningen och så att samma person inte registreras flera gånger.
Utifrån vad som beskrivits ovan anser utredningen att det står klart att kvalitetsuppföljning med uppgifter från flera vårdinstanser eller omsorgsgivare ofta behöver innefatta åtminstone en momentan behandling av personuppgifter.
14.5.7. Sammanfattande synpunkter
Regioner och kommuner, med offentliga vårdinstanser och omsorgsgivare, beställer, finansierar och är ytterst ansvariga för kvaliteten och säkerheten i den utförda vården och omsorgen Utredningen bedömer därför att en offentlig vårdinstans eller omsorgsgivare har ett klart och berättigat behov av att följa upp all den offentligt finansierade vård eller omsorg som vårdinstansen eller omsorgsgivaren ansvarar för. Detta behövs för att kunna ta ansvar som offentlig vårdinstans eller omsorgsgivare genom att styra, planera, beställa och följa upp vården.
Som redogjorts för finns det ett antal regelverk som kräver att vårdinstanser och omsorgsgivare samarbetar med varandra runt individer. Utredningen anser att det finns ett tydligt och berättigat behov av att i sådana fall kunna göra kvalitetsuppföljningar med personuppgifter från andra vårdinstanser och omsorgsgivare i syfte att förbättra och säkra kvaliteten på den vård eller omsorg man ansvarar för eller utför. Denna typ av kvalitetsuppföljning kan inte göras inom ramen för sammanhållen journalföring, eller sammanhållen vård- och omsorgsdokumentation enligt utredningens förslag, eller
34 Se definitionen av personuppgifter och pseudonymisering i artikel 4 i dataskyddsförordningen och skäl 26.
med de kvalitetsregister som finns i dag. Vård- och omsorgsprocessen i sin helhet behöver kunna följas upp för att identifiera hos vilken vårdinstans eller omsorgsgivare det kan finnas brister och hur dessa kan åtgärdas. Vid kvalitetsuppföljning med personuppgifter från andra vårdinstanser eller omsorgsgivare ligger det i sakens natur att just personuppgifter ofta behöver användas, åtminstone momentant.
Utvecklingen med allt fler privata vårdinstanser och omsorgsgivare, digital vård, en allt äldre befolkning med behov av insatser från flera vårdinstanser och omsorgsgivare och en ökad patientrörlighet leder sammantaget till ett allt större behov av att göra kvalitetsuppföljningar med personuppgifter från flera vårdinstanser eller omsorgsgivare.
Sammantaget är det utredningens bedömning att det finns ett klart behov av informationsöverföring för kvalitetsuppföljning – mellan vårdinstanser, – mellan vårdinstanser och omsorgsgivare, såvitt gäller äldre och per-
soner med funktionsnedsättningar, och – mellan omsorgsgivare, såvitt avser äldre och personer med funk-
tionsnedsättningar.
Privata vårdinstanser och omsorgsgivare har enligt utredningens bedömning inte ett lika uttalat behov av kvalitetsuppföljning med personuppgifter från andra vårdinstanser och omsorgsgivare. Anledningen till detta är att de privata vårdinstanserna och omsorgsgivarna inte har något helhetsansvar för den totala vården och omsorgen inom en region eller en kommun. Det är främst när en privat vårdinstans eller omsorgsgivare har anlitat andra vårdinstanser eller omsorgsgivare för att utföra delar av vården och omsorgen som denne har behov av att inhämta personuppgifter från dessa andra vårdinstanser och omsorgsgivare för kvalitetsuppföljning.
14.6. En avvägning mellan behov och integritetsrisker
Utredningens bedömning: Behoven och vinsterna med kvalitets-
uppföljning med personuppgifter från flera vårdinstanser eller omsorgsgivare överväger integritetsriskerna. Detta förutsätter dock att vissa integritetsstärkande bestämmelser införs.
Regleringen av kvalitetsuppföljning med personuppgifter från andra vårdinstanser och omsorgsgivare bör finnas i lag.
En särskild konsekvensbedömning avseende dataskydd behöver göras inför i princip varje kvalitetsuppföljning.
Utredningens förslag: Det införs bestämmelser som tillåter kva-
litetsuppföljning med personuppgifter från flera vårdinstanser eller omsorgsmottagare. Förutsättningarna för sådan kvalitetsuppföljning regleras i lag.
Bakgrund
Av föregående avsnitt framgår att det finns ett behov av kvalitetsuppföljning som innefattar användning av personuppgifter från andra vårdinstanser och omsorgsgivare. Utvidgade möjligheter till sådan kvalitetsuppföljning skulle kunna vara till nytta på många sätt för vården och omsorgen.
Vårdens och omsorgens behov och intresse av att kunna behandla personuppgifter behöver dock vägas mot de integritetsrisker som är förknippade med behandlingen. Risker för den personliga integriteten gör sig särskilt starkt gällande när det, som i detta fall, rör sig om personuppgifter av känslig natur.
Rätten till skydd för den personliga integriteten är dock inte absolut utan får inskränkas. Rättigheten måste förstås utifrån sin kontext i samhället och vägas mot andra grundläggande rättigheter utifrån en proportionalitetsbedömning (skäl 4 i dataskyddsförordningen). För att det ska vara motiverat att införa utvidgade möjligheter till informationsdelning måste behovet av behandlingen av personuppgifterna väga tyngre än den enskildes intresse av skydd för den personliga integriteten.
14.6.1. Generella integritetsrisker
Generellt kan sägas att ju större informationsmängder som finns samlade så att personuppgifter kan sökas och sammanställas på ett enkelt sätt, desto mer ökar möjligheterna till kontroll över och kartläggning av individer. Ju fler organisationer, it-system och användare som har tillgång till uppgifter om en viss person, desto större blir allmänt sett risken för integritetskränkningar, obehörigt röjande och andra former av missbruk.
Dataskyddsförordningen ställer krav på uppgiftsminimering. Man kan argumentera för att redan en stor spridning av personuppgifter i sig, särskilt när det rör sig om känsliga personuppgifter, utgör en integritetsrisk. Risken är också att personal eller användare av it-system kan ta del av mer information än vad de behöver för att kunna utföra sina arbetsuppgifter, vilket i sig motverkar de syften som anges i dataskyddsförordningen om uppgiftsminimering och skydd mot obehörig behandling.
Användningen av personnummer eller samordningsnummer och förekomsten av stora informationssamlingar kan ses som en integritetsrisk, särskilt då det möjliggör samkörning av uppgifter och att personuppgifter behandlas för andra ändamål än de ursprungliga.
Särskild stor risk finns för personer med skyddade personuppgifter och personer som är utsatta för våld eller hedersrelaterat förtryck. Det ska vidare noteras att, i den mån det rör sig om barn, förtjänar deras personuppgifter ett särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter (se skäl 38 till dataskyddsförordningen).
14.6.2. Specifika integritetsrisker när man behandlar personuppgifter från olika vårdinstanser och omsorgsgivare
I hälso- och sjukvårdens patientjournaler är det i princip uteslutande uppgifter om hälsa som dokumenteras. Sådana uppgifter är känsliga personuppgifter i dataskyddsförordningens mening och kräver extra skydd. Också inom socialtjänstens verksamhet avseende äldre och personer med funktionsnedsättningar behandlas i hög grad uppgifter om omsorgsmottagarens hälsa. Detta gäller inte bara uppgifter om psykisk och fysisk hälsa, utan även uppgifter om mediciner, hjälp-
medel och socialt välbefinnande. Inom socialtjänstens verksamhet kan det också finnas behov av att behandla uppgifter som inte definieras som känsliga personuppgifter enligt dataskyddsförordningen, men som ändå är av känslig karaktär. Exempelvis har uppgifter om att någon är föremål för ekonomiskt eller annat stöd från socialtjänsten, eller över huvud taget är föremål för utredning hos socialtjänsten ansetts utgöra personuppgifter av känslig natur. Inom socialtjänsten används ibland begreppet ”uppgifter om ömtåliga personliga förhållanden”. Begreppet omfattar förutom vad som räknas som känsliga personuppgifter även andra uppgifter om personliga förhållanden som kan förekomma inom socialtjänsten och vars behandling kan anses vara kränkande för den personliga integriteten. Det kan t.ex. vara uppgifter om försörjningsförmåga och familjeförhållanden.35
Vid kvalitetsuppföljning, som innebär att man tar del av personuppgifter från andra vårdinstanser eller omsorgsgivare, kommer känsliga personuppgifter som inhämtats för vård och omsorg att användas hos andra vårdinstanser och omsorgsgivare. Där kommer de att behandlas för andra ändamål än vården av eller omsorgen om patienten eller omsorgsmottagaren. Detta utgör i sig en integritetsrisk. Samtidigt ska beaktas att även mottagarna av personuppgifterna har att tillämpa motsvarande bestämmelser om sekretess och tystnadsplikt som utlämnarna, vilket skyddar uppgifterna från ytterligare spridning.
14.6.3. Föreslagna integritetsstärkande åtgärder
Vid avvägningen mellan behovet av kvalitetsuppföljning som innefattar användning av personuppgifter från andra vårdinstanser och omsorgsgivare och de integritetsrisker detta kan innebära, är det av betydelse vilka integritetsstärkande åtgärder som kan vidtas.
En viktig del av skyddet för den personliga integriteten är den enskildes möjlighet att själv bestämma över tillgången till och behandlingen av hans eller hennes personuppgifter. Utredningen föreslår att kvalitetsuppföljning som innefattar användning av personuppgifter från andra vårdinstanser och omsorgsgivare inte ska få ske om den enskilde motsätter sig detta (opt out). Utredningen anser att en sådan konstruktion är en väl avvägd åtgärd för att skydda
35Prop. 2002/03:36 s. 18 och 7 a § SoLPUL.
patienternas och brukarnas personliga integritet. En jämförelse kan göras med bestämmelserna i patientdatalagen. Enligt den allmänna regeln i 2 kap. 2 § första meningen patientdatalagen får behandling av personuppgifter ske även om den enskilde motsätter sig det. Annat gäller dock enligt den andra meningen vid bl.a. sammanhållen journalföring (som förutsätter opt out i ett första skede och samtycke i nästa skede) och nationella och regionala kvalitetsregister (som bygger på en opt out-konstruktion).
Utredningen lämnar förslag om sammanhållen vård- och omsorgsdokumentation som innefattar en lösning motsvarande den vid sammanhållen journalföring där opt out används i ett första skede, när personuppgifterna görs tillgängliga för andra vård- och omsorgsgivare, följt av den enskildas aktiva samtycke i nästa skede, när en vård- och omsorgsgivare ska ta del av de tillgängliggjorda personuppgifterna (se kap. 16). Syftet med behandling för kvalitetsuppföljning är dock ett annat än vid direktåtkomst till omsorgsdokumentation. Dessutom kommer personuppgifterna inte att göras potentiellt tillgängliga utanför organisationen på så sätt som görs vid direktåtkomst. Integritetsriskerna och risken för att någon obehörigen ska ta del av personuppgifter som denne inte behöver för att utföra sina arbetsuppgifter är därför inte lika höga enligt utredningens förslag om kvalitetsuppföljning som vid direktåtkomst.
Behandling av personuppgifter för kvalitetsuppföljning har snarare likheter med systemet med nationella och regionala kvalitetsregister (kvalitetsregister) i 7 kap. patientdatalagen. I kvalitetsregister behandlas personuppgifter för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Behandling av personuppgifter i kvalitetsregister förutsätter inte samtycke, men patienten har en rätt att motsätta sig behandlingen, vilket patienten ska få information om. Utredningen anser att det framstår som en rimlig avvägning mellan behov och integritet att också här föreslå en konstruktion med opt out likt vad som gäller för kvalitetsregister.
Genom att ställa krav på information till patienterna och omsorgsmottagarna om rätten att motsätta sig behandlingen innan deras personuppgifter behandlas för kvalitetsuppföljning, kombinerat med möjligheten att när som helst motsätta sig behandlingen, har patienten eller omsorgsmottagaren fullt självbestämmande. Detta är enligt utredningens bedömning en effektiv integritetsstärkande åtgärd.
Av skäl 28 till dataskyddsförordningen framgår att ett sätt att minska riskerna för de registrerade som berörs är att använda sig av pseudonymisering. Kryptering är en annan integritetsstärkande åtgärd som kan användas för att upprätthålla säkerheten och förhindra behandling som bryter mot dataskyddsförordningen (jfr skäl 83). Både kryptering och pseudonymisering tillgodoser principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen samt bidrar till att uppfylla principen om integritet och konfidentialitet i artikel 5.1 f i dataskyddsförordningen. Pseudonymisering och kryptering utgör också sådana säkerhetsåtgärder som nämns i artikel 32 i dataskyddsförordningen och som kan vidtas för att öka säkerheten vid behandling av personuppgifter. För kvalitetsuppföljning är det inte kopplingen i sig till en viss patient eller omsorgsmottagare som är det intressanta. Kryptering av identitetsuppgifterna bör i de allra flesta fall kunna vidtas. Utredningen föreslår att vid behandling av personuppgifter för kvalitetsuppföljning ska uppgifter om patientens eller omsorgsmottagarens identitet så långt det är möjligt vara krypterade på ett sådant sätt att dennes identitet skyddas (se utredningens närmare övervägande om kryptering i avsnitt 17.7). Även vid utlämnande av personuppgifter för kvalitetsuppföljning ska uppgifter om patientens eller omsorgsmottagarens identitet vara krypterade.
En ytterligare integritetsstärkande åtgärd som utredningen föreslår är att kvalitetsuppföljning bara ska få genomföras om fullmäktige i en region eller en kommun har beslutat om det.36 Genom att reglera att beslutet ska tas på fullmäktigenivå, vilket är det högsta beslutande organet inom regionen eller kommunen, tydliggörs vikten av att beslutet inte får tas slentrianmässigt utan att det är fråga om ett viktigt beslut. Redan det förhållandet att det högsta politiska beslutande organet ska besluta innebär en garanti för att även integritetsaspekterna beaktas på ett tillbörligt sätt i det enskilda fallet. Vidare blir beslutet transparent och offentligt tillgängligt för medborgarna. Enligt utredningens förslag ska beslutet bl.a. beskriva för vilka särskilda och berättigade ändamål som personuppgifterna ska behandlas och klargöra vilka kategorier av personer som behandlingen gäller och de kategorier av personuppgifter som behandlingen gäller. Utredningen föreslår även att beslutet ska offentliggöras på lämpligt sätt samt att det ska kunna överklagas i den ordning som
36 I förekommande fall gäller motsvarande för den beslutande församlingen i ett kommunalförbund.
gäller för laglighetsprövning enligt 13 kap. kommunallagen (se avsnitt 17.3). Därmed kommer beslutet att vara öppet och transparent och dess laglighet kommer att kunna prövas i förvaltningsdomstol.
En viktig metod för att skydda den personliga integriteten vid behandling av personuppgifter i olika it-system är att arbeta aktivt med behörighetsstyrningar, som begränsar vilka som har åtkomst till personuppgifterna. När det gäller uppgifter som ska användas för kvalitetsuppföljning torde det t.ex. vara ett relativt begränsat antal personer som har behov av att ta del av personuppgifterna. Behörighetstilldelningen bör bli därefter, dvs. den allmänna principen att behörighet ska begränsas till sådant som man behöver för sitt aktuella arbete. När kryptering används, torde det för de allra flesta användarna vara tillräckligt att ta del av de krypterade uppgifterna. Om det finns kompletterande uppgifter som gör identifiering möjlig, får bara så få personer som möjligt hos den personuppgiftsansvarige tilldelas behörighet att ta del av dessa.
Kvalitetsuppföljning enligt utredningens förslag bygger på att det finns ett beslut från fullmäktige om vilken vårdinstans eller omsorgsgivare som är personuppgiftsansvarig för behandlingen. Därefter bör det lämpligen ges ett dokumenterat uppdrag från exempelvis verksamhetschef till den personal som ansvarar för att verkställa uppdraget. Det ska alltså inte vara fråga om någon allmän spridning av uppgifterna. Vidare bör verkställigheten av beslutet förenas med exempelvis systematiska och återkommande logg-kontroller, utbildning av och instruktioner till personal och inloggning med autentisering. Detta är krav på personuppgiftsansvariga som framgår av dataskyddsförordningen och exempelvis Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40).
Nya it-system ger nya tekniska möjligheter att skräddarsy och snäva ner användarnas roller i systemen. Ju mer information det finns i ett it-system, desto större krav ställs på ett behörighetstilldelningen och rutinerna för behörighetsstyrning. Här kan verksamheterna genom exempelvis kravställning i upphandling av it-system se till att använda tekniska system som möjliggör att de kan skräddarsy behörighet så personer inte får tillgång till mer information än vad som krävs för att de ska kunna utföra sina arbetsuppgifter. Detta är dock inget som utredningen avser att reglera särskilt i lagen utan
det följer redan av dataskyddsförordningens princip om inbyggt dataskydd (se artikel 25 dataskyddsförordningen).
I detta sammanhang ska även framhållas vikten av att den personuppgiftsansvarige i regel ska göra en konsekvensbedömning avseende dataskyddet samt när det behövs gör en framställning om s.k. förhandssamråd till Datainspektionen (artikel 35 och 36 i dataskyddsförordningen).
De överväganden som utredningen redovisar i detta avsnitt är alltså inte avsedda att utgöra en sådan konsekvensbedömning som ersätter kravet på en konsekvensbedömning avseende dataskydd enligt dataskyddsförordningen (se närmare nedan i avsnitt 14.6.7 om konsekvensbedömning).
14.6.4. Utredningens samlade avvägning mellan behov och risk för integritetsintrång
Ju större spridning personuppgifter får, desto större är allmänt sett riskerna för att den personliga integriteten drabbas. Samtidigt måste integritetsriskerna ses i ett sammanhang där vårdinstanser och omsorgsgivare har ansvar för att bedriva god och säker vård och omsorg, och medborgarna har ett berättigat intresse av att vårdinstanser och omsorgsgivare lever upp till detta.
Den ökade privatiseringen och patientrörligheten gör att allt mer av den offentligt finansierade vården och omsorgen utförs av privata vårdinstanser och omsorgsgivare. Den fria kommunala nämndorganisationen kan leda till att omotiverade sekretessgränser uppstår mellan nämnder inom samma region eller kommun som har närliggande ansvarsområden. De organisatoriska förändringarna påverkar såväl den individinriktade informationshanteringen i vården och omsorgen som behoven av efterföljande kvalitetsuppföljning.
Det lär vara obestridligt att kvalitetsuppföljning av hela vård- och omsorgsprocesser med olika vårdinstanser och omsorgsgivare involverade är nödvändig för att en god och säker vård och omsorg ska kunna uppnås. Fel och andra ofullkomligheter i vård- och omsorgsprocesser kan leda till svåra skador för redan utsatta människor och dessutom innebära slöseri med våra skattepengar och förlängt mänskligt lidande.
Det står följaktligen enligt utredningen klart att offentliga vårdinstanser och omsorgsgivare har ett stort behov av att följa upp sådan
vård och omsorg som finansieras med offentliga medel. Sådan kvalitetsuppföljning skulle också kunna medföra synergieffekter och effektivitetsvinster i stort för den offentliga förvaltningen. En utvidgad möjlighet till kvalitetsuppföljning kommer ge utförligare och säkrare fakta- och kunskapsunderlag. Detta är till fördel för vården och omsorgen i stort, men i förlängningen även för den enskilde patienten eller omsorgsmottagaren. Utredningen bedömer att behoven och vinsterna överväger integritetsriskerna och föreslår därför bestämmelser som tillåter kvalitetsuppföljning som innebär att personuppgifter får samlas in – från andra vårdinstanser och omsorgsgivare, – mellan vårdinstanser, – mellan vårdinstanser och omsorgsgivare, såvitt avser för äldre och
personer med funktionsnedsättningar, och – mellan omsorgsgivare, såvitt avser äldre och personer med funk-
tionsnedsättningar.
Utredningens förslag tar i första hand sikte på offentliga vårdinstansers och omsorgsgivares kvalitetsuppföljning av den verksamhet de ansvarar för eller bedriver. Det finns dock inget som hindrar att fullmäktige beslutar att en privat vårdinstans eller omsorgsgivare får utföra kvalitetsuppföljning av den verksamhet vårdinstansen eller omsorgsgivaren ansvarar för eller bedriver, om det bedöms nödvändigt.
14.6.5. Reglering i lag
Som beskrivs närmare i tidigare avsnitt är riksdagen och regeringen överens om att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll bör regleras särskilt i lag. En reglering som gör det möjligt för vårdinstanser och omsorgsgivare att samla in känsliga personuppgifter för kvalitetsuppföljning bör därför, i likhet med systemet med sammanhållen vård- och omsorgsdokumentation, regleras i lag. Utredningens förslag om hur denna lagstiftning bör utformas berörs i kapitel 15.
14.6.6. Krav på en konsekvensbedömning avseende dataskydd
Utredningen har tidigare beskrivit principen om ansvarsskyldighet i artikel 5.2 i dataskyddsförordningen, som innebär att det är den personuppgiftsansvarige som ska säkerställa och kunna visa att dataskyddsförordningens grundläggande principer efterlevs (principerna berörs närmare i avsnitt 4.5). Huvudregeln är att den personuppgiftsansvarige ska genomföra en konsekvensbedömning avseende dataskydd före en behandling som sannolikt medför hög risk för de registrerade.
Utredningen anser inte att den riskanalys som genomförts i detta kapitel är en sådan konsekvensbedömning avseende dataskydd enligt artikel 35.10 i dataskyddsförordningen som görs i samband med ett lagstiftningsärende. Detta är en skillnad från utredningens bedömning när det gäller sammanhållen vård- och omsorgsdokumentation (se avsnitt 12.3.12 och 13.3.6). Det beror på att den föreslagna lagen till stor del överlåter åt fullmäktige att genom sitt beslut skapa nationell rätt om den aktuella kvalitetsuppföljningen. Då är det viktigt att kravet i dataskyddsförordningen på att en behandling som sannolikt leder till hög risk för fysiska personers rättigheter och friheter ska föregås av en konsekvensbedömning avseende dataskydd (artikel 35 i dataskyddsförordningen) gäller vid kvalitetsuppföljning. Inför i princip varje fullmäktigebeslut om kvalitetsuppföljning, eller i vart fall före igångsättandet av den beslutade kvalitetsuppföljningen, måste det således ofta göras en detaljerad konsekvensbedömning avseende dataskydd. Det bör åligga den vårdinstans eller omsorgsgivare som är utsedd till eller tänkt att bli personuppgiftsansvarig. Konsekvensbedömningen avseende dataskydd kan göras efter att fullmäktige utsett den personuppgiftsansvarige genom beslutet. Det finns dock inget som hindrar att en tilltänkt personuppgiftsansvarig gör en konsekvensbedömning avseende dataskydd innan denne blivit formellt utpekad genom fullmäktiges beslut. Den tilltänkte personuppgiftsansvarige ska även samråda med Datainspektionen om konsekvensbedömningen avseende dataskydd visar att behandlingen skulle leda till hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken (artikel 36 i dataskyddsförordningen).
15. En ny lag om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning
15.1. En ny gemensam lag
Utredningens förslag: Möjligheten för vårdgivare och omsorgs-
givare att ta del av respektive ge tillgång till personuppgifter genom direktåtkomst eller annat elektroniskt utlämnande genom sammanhållen vård- och omsorgsdokumentation regleras i en ny gemensam lag.
Bestämmelserna om sammanhållen journalföring flyttas därför från patientdatalagen till den föreslagna lagen. I den föreslagna lagen finns även bestämmelser som ger möjlighet att göra kvalitetsuppföljningar där personuppgifter samlas in från andra vårdinstanser eller omsorgsgivare.
Den föreslagna lagen har namnet lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Utredningen har tidigare redogjort för att de nya bestämmelser som föreslås när det gäller sammanhållen journalföring respektive sammanhållen omsorgsdokumentation samt kvalitetsuppföljning bör regleras i lag. Frågan är då hur en sådan lagreglering ska utformas. Man kan tänka sig olika lösningar. En lösning är att föra in bestämmelserna i redan existerande lagar. De lagar som ligger närmast till hands är patientdatalagen (2008:355) (PDL) och lagen (2001:454) om behandling av personuppgifter inom socialtjänsten (SoLPUL) som innehåller bestämmelser om behandling av personuppgifter inom hälso- och sjukvården respektive socialtjänsten. Ett annat alternativ är att ta in bestämmelserna i särskilda nya lagar, t.ex. en ny lag om sammanhållen
vård- och omsorgsdokumentation respektive en ny lag om kvalitetsuppföljning. Ytterligare en lösning är att samla bestämmelserna om sammanhållen vård- och omsorgsdokumentation samt kvalitetsuppföljning i en ny, gemensam lag.
Utredningen har övervägt olika alternativ för reglering. Nedan redogörs närmare för utredningens överväganden i denna del.
15.1.1. Sammanhållen journalföring och sammanhållen omsorgsdokumentation bör regleras i en ny lag
Utredningen har övervägt att föra in ett tillägg i patientdatalagen som reglerar vårdgivares åtkomst till sammanhållen omsorgsdokumentation inom socialtjänsten. Samtidigt skulle då bestämmelserna om sammanhållen omsorgsdokumentation föras in i ett eget avsnitt i SoLPUL. En sådan uppdelning riskerar dock att bli svår att överblicka. Det kan också konstateras att bestämmelserna i SoLPUL är allmänt hållna, och endast anger de övergripande bestämmelserna om behandling av personuppgifter inom socialtjänsten. Behandlingen av personuppgifter regleras inte så detaljerat som i patientdatalagen. Exempelvis finns det inte i SoLPUL en närmare definition av för vilka ändamål personuppgifter får behandlas inom socialtjänsten. SoLPUL innehåller, till skillnad från patientdatalagen, inte heller något principiellt förbud mot direktåtkomst.
Utredningens uppdrag rör vidare endast en avgränsad del av hela den verksamhet vars behandling av personuppgifter regleras av SoLPUL. Av skäl som framgår i avsnitt 12.3.8 bör de föreslagna bestämmelserna formuleras med regleringen av sammanhållen journalföring i patientdatalagen som förebild. Möjligheten till tillgång genom direktåtkomst eller annat elektroniskt utlämnande mellan olika omsorgsgivare inom socialtjänsten kommer att kräva en förhållandevis detaljerad reglering på lagnivå. Det kommer t.ex. att krävas bestämmelser som anger tillämpningsområde, definitioner av begrepp som används, regler om inflytande för omsorgsmottagarna, särskilda villkor för att direktåtkomst eller annan elektroniskt utlämnande ska vara tillåten samt regler om tilldelning av behörighet och kontroll. Även denna omständighet talar för att en gemensam lag är den mest lämpliga lösningen.
Mot denna bakgrund gör utredningen bedömningen att det är mest lämpligt att inte ta in de nya bestämmelserna om direktåtkomst eller
annat elektroniskt utlämnande genom sammanhållen omsorgsdokumentation inom socialtjänsten i befintliga lagar. Utredningen anser i stället att det skulle förenkla för tillämparna att samla bestämmelser som rör direktåtkomst genom sammanhållen journalföring respektive genom sammanhållen omsorgsdokumentation (nedan sammanhållen vård- och omsorgsdokumentation) i en och samma lag. Det framstår som lättare att överblicka och därmed mer förutsebart och transparent. Bestämmelserna om sammanhållen vård- och omsorgsdokumentation får tillämpas av vård- och omsorgsgivare avseende samma grupp av patienter och omsorgsmottagare. Bestämmelserna är till sin struktur uppbyggda på ett likartat sätt. De har ett naturligt samband med varandra. Sammanfattningsvis anser utredningen alltså att den bästa lösningen är att ta in bestämmelserna om sammanhållen vård- och omsorgsdokumentation i en ny lag.
En fråga som uppstår är om bestämmelser som riktar sig till enbart vårdgivare bör finnas kvar i 6 kap. patientdatalagen (men kompletteras med att det även ska gälla tillgång till omsorgsdokumentation) eller om samtliga bestämmelser som reglerar direktåtkomst inom vård och omsorg bör hållas samman i en lag. Utredningen anser att det framstår som mest lämpligt och överskådligt att i en lag ha bestämmelserna om sammanhållen journalföring och sammanhållen omsorgsdokumentation. De bägge regelverken med sammanhållen journalföring enligt patientdatalagen och sammanhållen omsorgsdokumentation enligt utredningens förslag har nära beröringspunkter med varandra. De är modulerade enligt samma principer och kommer att ha ett tillämpningsområde som överlappar, när det gäller sammanhållen vård- och omsorgsdokumentation för äldre och funktionshindrade. Utredningen föreslår därför att bestämmelserna om sammanhållen journalföring (nuvarande 6 kap. PDL) flyttas från patientdatalagen och förs in i den nya lagen, som kommer att bli ett samlat, överskådligt regelverk som reglerar vård- och omsorgsgivares möjligheter att ta del av personuppgifter hos varandra genom direktåtkomst eller annat elektroniskt utlämnande.
Utredningen vill betona att någon materiell ändring av gällande bestämmelser i patientdatalagen inte är avsedd. Bestämmelserna ska tillämpas som tidigare med samma materiella innehåll. En ändring görs dock när det gäller formen för utlämnande som kan ske genom direktåtkomst eller annat elektroniskt utlämnande, se närmare utredningens beskrivning av detta i avsnitt 16.3.2. En ändring görs också
beträffande möjligheten att ta del av barns personuppgifter, se avsnitt 16.6.3.
15.1.2. Kvalitetsuppföljning bör regleras i en ny lag
En lagreglering som gör det möjligt att använda personuppgifter från flera vårdinstanser och omsorgsgivare för kvalitetsuppföljning kan utformas på olika sätt. En lösning är att föra in de nya bestämmelserna i redan existerande lagar. De lagar som i så fall ligger närmast till hands är även här patientdatalagen och SoLPUL. Utredningens förslag om kvalitetsuppföljning liknar till sin konstruktion delvis bestämmelserna i 7 kap. patientdatalagen om kvalitetsregister, som handlar om kvalitetssäkring över vårdgivargränser. Ett alternativ skulle kunna vara att ta in de nya bestämmelserna i ett eget kapitel i patientdatalagen. Kvalitetsuppföljning ska emellertid även få ske mellan olika omsorgsgivare, samt mellan olika vårdinstanser och omsorgsgivare. I den delen passar inte en placering i patientdatalagen, som riktar sig till vårdgivare men inte till omsorgsgivare. Att föra in vissa bestämmelser i patientdatalagen och vissa andra i SoLPUL framstår som något svårt att överblicka. Därtill framstår ett införande i SoLPUL som mindre lämpligt, utifrån hur den lagen är konstruerad. Bestämmelserna i SoLPUL är allmänt hållna och i SoLPUL finns bara de övergripande bestämmelserna om behandling av personuppgifter inom socialtjänsten. Den föreslagna regleringen om kvalitetsuppföljning rör vidare en specifik typ av behandling av personuppgifter inom hälso- och sjukvård och socialtjänst. Utredningen föreslår att ett särskilt beslut om kvalitetsuppföljning, med krav på ett visst innehåll, ska fattas på fullmäktigenivå hos respektive region och kommun (se avsnitt 17.3.1). Någon motsvarighet till denna typ av beslutsfattande finns inte i patientdatalagen, SoLPUL eller förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, SoLPUF. Den särskilda bestämmelsen med krav på fullmäktigebeslut talar enligt utrednings mening också för att en ny lag som reglerar formerna för kvalitetsuppföljning är den mest lämpliga lösningen.
Mot denna bakgrund föreslår utredningen att även möjligheten att göra kvalitetsuppföljning där man använder personuppgifter från flera vårdinstanser och omsorgsgivare regleras i en ny lag.
15.1.3. Sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning regleras i en ny gemensam lag
Utredningen anser således att både sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning ska regleras i ny lagstiftning. Eftersom det i båda fallen handlar om förutsättningarna för att utbyta personuppgifter mellan olika instanser inom vården och omsorgen, anser utredningen att det framstår som mest ändamålsenligt att ta in bestämmelserna i samma, gemensamma lag i stället för att föreslå två separata lagar.
Visserligen har sammanhållen vård- och omsorgsdokumentation respektive kvalitetsuppföljning olika användningsområden och syften. Det rör sig dock om känsliga personuppgifter avseende samma grupper av patienter och omsorgsmottagare, som får överföras mellan olika instanser inom vården och omsorgen. Definitionen av kvalitetsuppföljning tar därtill avstamp i definitionen av insatser för äldre
eller personer med funktionsnedsättningar som en kommun eller en region ansvarar för enligt förslaget om sammanhållen omsorgsdoku-
mentation. Kvalitetsuppföljningen har på så sätt ett tillämpningsområde som överlappar tillämpningsområdet för den sammanhållna omsorgsdokumentationen.
Utredningen har fått synpunkter om att dagens regelverk för behandling av personuppgifter inom vård och omsorg kan upplevas som fragmentiserat och svårt att överblicka. Utredningen anser därför att det kan finnas en pedagogisk vinst med att reglera överföring av personuppgifter i en och samma lag. En sådan lösning innebär också bättre överskådlighet och transparens för de registrerade. Därmed kan det också ge en fördel ur integritetsperspektiv.
Slutligen framstår det rent lagtekniskt som smidigare att samla bestämmelserna i en och samma gemensamma lag i stället för att sprida ut bestämmelserna i två separata lagar.
Utredningen föreslår alltså att bestämmelser om sammanhållen vård- och omsorgsdokumentation respektive kvalitetsuppföljning samlas i en ny gemensam lag. Lagen ska få namnet lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
15.2. Bestämmelserna om kvalitetsregister i 7 kap. patientdatalagen flyttas till den nya gemensamma lagen
Utredningens förslag: Bestämmelserna om nationella och regio-
nala kvalitetsregister i patientdatalagen förs över till den föreslagna nya lagen.
En patients personnummer, samordningsnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt, för att systematiskt och fortlöpande utveckla och säkra hälso- och sjukvårdens kvalitet, att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till patienten.
Bestämmelserna om kvalitetsregister finns i dag i 7 kap. patientdatalagen. Kvalitetsregister är en typ av uppgiftssamlingar som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Bestämmelserna gäller, precis som i fallet med kvalitetsuppföljning, när personuppgifter samlas in från olika vårdgivare1 (7 kap. 1 § PDL). Kvalitetsregistren används bl.a. för att göra jämförelser inom hälso- och sjukvården på nationell eller regional nivå (se närmare i avsnitt 17.2.1. om skillnaden mellan kvalitetsregister och kvalitetsuppföljning).
Utredningen har ovan redovisat varför det är motiverat att samla bestämmelserna om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning i en ny gemensam lag. Utifrån de skäl som utredningen redogjort för i den delen, framstår det som motiverat att också ta in bestämmelserna om kvalitetsregister i den gemensamma lagen. Det skulle sannolikt bidra till ökad transparens för de registrerade och ge en bättre överblick över regelverket för dem som har att tillämpa bestämmelserna. En gemensam nämnare är att även bestämmelserna om kvalitetsregister handlar om att överföra personuppgifter från olika instanser. Utredningens förslag till bestämmelser om kvalitetsuppföljning har som synes också delvis modellerats utifrån bestämmelserna om kvalitetsregister.
1 Notera dock att utredningen, när det gäller kvalitetsuppföljning, använder begreppet vårdinstans som har en annan innebörd än begreppet vårdgivare, se avsnitt 17.1.2.
Det ingår inte i utredningens uppdrag att föreslå några materiella ändringar när det gäller patientdatalagens bestämmelser om nationella och regionala kvalitetsregister. Enligt direktiven bör regleringen av kvalitetsregister kvarstå. Avsikten är dock inte att ändra något i sak utan endast att ta in de befintliga bestämmelserna om kvalitetsregister i den gemensamma lagen, med bara de redaktionella ändringar som krävs för att utformningen av den gemensamma lagen ska bli enhetlig. Exempelvis byts begreppet ”den enskilde” som används i patientdatalagens bestämmelser om kvalitetsregister till ”patienten” för att överensstämma med den gemensamma lagens definition av patient. Någon ändring i sak avses dock inte.
En mindre materiell ändring föreslås dock i samband med flytten av bestämmelserna om kvalitetsregister. Det gäller samordningsnum-
mer, som utredningen anser bör få behandlas under samma förutsätt-
ningar som personnummer och namn, se nedan.
Utredningen ser inget hinder mot att bestämmelserna om kvalitetsregister i patientdatalagen, i materiellt oförändrat skick, tas in som ett eget kapitel i den föreslagna gemensamma lagen. Att just kvalitetsregister inte nämns i den föreslagna titeln på den gemensamma lagen bör kunna accepteras, eftersom ordet kvalitetsuppföljning som leder tanken även till kvalitetsregister finns med. Att nämna också kvalitetsregister i titeln skulle göra den för lång och otymplig (lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning samt kvalitetsregister).
Att bestämmelserna om kvalitetsregister flyttas materiellt oförändrade från patientdatalagen till den föreslagna lagen påverkar inte de analyser och konsekvensbedömningar som gjorts i förarbetena till patientdatalagen och ändringar i den lagen. Flytten av bestämmelserna innebär i sig inte någon ökad risk för fysiska personers rättigheter och friheter. I den utsträckning de i tidigare förarbeten gjorda bedömningarna är sådana konsekvensbedömningar avseende dataskydd som avses i artikel 35.10 i dataskyddsförordningen, behöver den personuppgiftsansvarige inte inför upprättandet av ett nytt nationellt eller regionalt kvalitetsregister göra någon egen konsekvensbedömning avseende dataskydd.2
2 Se avsnitt 12.3.12 om regleringen av konsekvensbedömningar avseende dataskydd.
15.2.1 Inte heller samordningsnummer får behandlas när det är tillräckligt att använda kodade eller indirekta personuppgifter.
Av nuvarande 7 kap. 8 § andra stycket patientdatalagen framgår att en enskilds personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för ändamål som anges i 7 kap. 4 § patientdatalagen att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde. Utredningen anser att även samordningsnummer, i likhet med personnummer, bör får behandlas bara under sådana förutsättningar. Med samordningsnummer avses en unik identitetsbeteckning på en person som inte är eller har varit folkbokförd i Sverige. En sådan person får efter begäran från en myndighet eller ett annat organ som regeringen bestämmer tilldelas ett samordningsnummer (18 a § folkbokföringslagen [1991:481]). När samordningsnummer infördes jämställdes sådana nummer med personnummer genom ändringar i dåvarande personuppgiftslagen och flera särskilda registerförfattningar, skatteregisterlagen (1980:343), utsökningsregisterlagen (1986:617), lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga och lagen (1999:353) om rättspsykiatriskt forskningsregister.3
Av dataskyddslagen framgår att uppgifter om personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (3 kap. 10 §). Att personnummer och samordningsnummer i dataskyddssammanhang kan hanteras på likvärdigt sätt ligger i linje med regeringens uttalanden i förarbetena till dataskyddslagen. Där togs behandling av personnummer och samordningsnummer upp under en gemensam rubrik. Regeringen uttalade att personnummer och samordningsnummer inte utgör känsliga personuppgifter i dataskyddsförordningens mening, men ändå har getts en särställning genom att medlemsstaterna getts möjlighet att införa särskilda villkor för behandlingen (artikel 87 i dataskyddsförordningen).4
Utredningen anser det lämpligt att samordningsnummer ska få behandlas under motsvarande förutsättningar som redan gäller för
3Prop. 1999/2000:6 s. 60 ff. 4Prop. 2017/18:105 s. 101.
behandling av personnummer och namn. Detta får anses vara en sådan mindre justering av lagstiftningen om kvalitetsregister som ryms inom ramen för utredningens uppdrag. Det framstår som lämpligt att göra ändringen i samband med den flytt av bestämmelserna om kvalitetsregister som utredningen nu föreslår.
15.3. Rättslig grund enligt dataskyddsförordningen
15.3.1. Allmänt om rättslig grund enligt dataskyddsförordningen
En förutsättning för att införa bestämmelser som ger möjlighet att behandla personuppgifter genom sammanhållen vård- och omsorgsdokumentation och för kvalitetsuppföljning är att dessa är förenliga med dataskyddsförordningen. Nedan redogör utredningen för sin analys av rättsläget, och varför utredningen kommer fram till slutsatsen att det är förenligt med dataskyddsförordningen att införa sådana bestämmelser.
För att få behandla personuppgifter, oavsett om dessa är känsliga eller inte, krävs att det finns en rättslig grund för behandlingen. De rättsliga grunderna räknas upp i artikel 6.1 a–f i dataskyddsförordningen, se avsnitt 4.6. När offentliga myndigheter fullgör sina arbetsuppgifter får detta inte ske med stöd av en s.k. intresseavvägning (artikel 6.1 andra stycket i dataskyddsförordningen). Det innebär att vård- och omsorgsgivare som är myndigheter inte har möjlighet att behandla personuppgifter genom sammanhållen vård- och omsorgsdokumentation eller för kvalitetsuppföljning efter en intresseavvägning enligt artikel 6.1 f i dataskyddsförordningen.
Myndigheter kan i allmänhet inte heller tillämpa samtycke som rättslig grund för behandling av personuppgifter. Ett samtycke ska lämnas frivilligt och bör därför inte komma i fråga som rättslig grund för behandling när det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet (se skäl 42 och 43 till dataskyddsförordningen).
Den rättsliga grund som i första hand blir aktuell när det gäller att behandla personuppgifter genom sammanhållen vård- och omsorgsdokumentation eller för kvalitetsuppföljning är enligt utredningens bedömning att behandlingen är nödvändig för att fullgöra
en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.
Det finns även en annan möjlig rättslig grund när det gäller att behandla personuppgifter genom sammanhållen vård- och omsorgsdokumentation eller för kvalitetsuppföljning. Det finns bestämmelser som innebär att det, jämte det fullmäktigebeslut som ska fattas (se avsnitt 17.3.1), kan finnas en rättslig förpliktelse för vård- eller omsorgsgivaren att göra en kvalitetsuppföljning. På motsvarande sätt finns det bestämmelser om skyldighet för regioner och kommuner att bedriva hälso- och sjukvård respektive socialtjänst och bestämmelser om skyldighet att dokumentera hälso- och sjukvård och socialtjänst. Därmed skulle behandlingen alternativt kunna grundas på artikel 6.1 c i dataskyddsförordningen (se vidare avsnitt 15.3.2 och 15.3.3 om rättslig förpliktelse som alternativ grund för att behandla personuppgifterna).
Arbetsuppgift av allmänt intresse
En behandling av personuppgifter är laglig om den är nödvändig för att utföra en arbetsuppgift av allmänt intresse (artikel 6.1 e i dataskyddsförordningen). Grunden för behandlingen ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. För utredningens allmänna redogörelse av den rättsliga grunden arbetsuppgift av allmänt intresse, se avsnitt 4.6.2.
Av skäl 45 till dataskyddsförordningen framgår att hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster inbegrips i allmänintresset. Vidare framgår att dataskyddsförordningen inte medför något krav på en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på ett allmänt intresse.
Den svenska regeringen har uttalat att sådan verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är av allmänt intresse. Begreppet uppgifter av allmänt intresse omfattar inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Till skillnad från vad som gäller enligt artikel 6.1 c i dataskyddsförordningen (rättslig förpliktelse) behöver den personuppgiftsansvarige inte vara skyldig att utföra arbetsuppgiften för att den rättsliga grunden i led e ska vara
tillämplig Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning.5 Datainspektionen har i en äldre rapport ansett att förbättrande av kvaliteten inom hälso- och sjukvården innebär en verksamhet av allmänt intresse.6 Uttalandet torde fortfarande vara aktuellt, även om det gjordes innan dataskyddsförordningen började tillämpas.
Vid tillämpningen av artikel 6.1 e i dataskyddsförordningen spelar det ingen roll om den personuppgiftsansvarige är en offentlig eller en privat aktör. Om den arbetsuppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna arbetsuppgift är fastställd i enlighet med EU-rätten eller nationell rätt, finns en rättslig grund för nödvändig behandling enligt artikel 6.1 e i dataskyddsförordningen.7
Socialdataskyddsutredningen uttalade att större delen av den
behandling av personuppgifter som sker för de ändamål som anges i patientdatalagen avser insamling av personuppgifter för dokumentering i en patientjournal. Sådan behandling har således stöd i artikel 6.1 c i dataskyddsförordningen. Behandling enligt patientdatalagen, som inte är nödvändig för att uppfylla en rättslig förpliktelse, får enligt den utredningen anses nödvändig för att utföra en arbetsuppgift av allmänt intresse (artikel 6.1 e i dataskyddsförordningen).
Socialdataskyddsutredningen uttalade att redan det förhållandet att
det enligt författning är en rättslig skyldighet för det allmänna att bedriva hälso- och sjukvård, visar att detta är en arbetsuppgift av allmänt intresse i den mening som avses i artikel 6.1 e i dataskyddsförordningen.8 Även arbetsuppgifter inom socialtjänsten är enligt den utredningen på motsvarande sätt att se som arbetsuppgifter av allmänt intresse, vilket innebär att behandlingen har stöd i artikel 6.1 e i dataskyddsförordningen.9
Regeringen har uttalat att flera rättsliga grunder samtidigt kan vara tillämpliga i vissa situationer.10 Det får i det enskilda fallet ankomma på den personuppgiftsansvarige att – som alltid – klargöra med stöd av vilken rättslig grund som behandlingen sker.
5Prop. 2017/18:105 s. 57. 6Nationella kvalitetsregister, Datainspektionens rapport 2002:1 s. 9. 7Prop. 2017/18:105 s. 58. 8SOU 2017:66 s. 327. 9SOU 2017:66 s. 220. 10Prop. 2017/18:105 s. 57.
Behandling av känsliga personuppgifter
I många fall kommer sådana personuppgifter som behandlas genom sammanhållen vård- och omsorgsdokumentation och för kvalitetsuppföljning att vara uppgifter om hälsa, och därmed utgöra känsliga personuppgifter i den mening som avses i artikel 9.1 i dataskyddsförordningen, se avsnitt 4.8. Känsliga personuppgifter får bara behandlas om någon av förutsättningarna i artikel 9.2 i dataskyddsförordningen är uppfyllda.
I detta fall är det artikel 9.2 h i dataskyddsförordningen om behandling för hälso- och sjukvård och social omsorg som torde vara aktuell. Utredningen redovisar den bestämmelsen i avsnitt 4.8.3.
Uppräkningen av syften i artikel 9.2 h i dataskyddsförordningen lär i praktiken täcka nästan all behandling av känsliga personuppgifter som förekommer inom hälso- och sjukvårdsområdet samt socialtjänsten.11
Behandling av känsliga personuppgifter med stöd av artikel 9.2 h i dataskyddsförordningen får ske under förutsättning att kravet på tystnadsplikt som följer av artikel 9.3 i dataskyddsförordningen är uppfyllt.
15.3.2. Sammanhållen vård- och omsorgsdokumentation är förenlig med dataskyddsförordningen
Utredningens bedömning: Det är förenligt med dataskyddsför-
ordningen att införa bestämmelser i svensk nationell rätt för att tillåta behandling av personuppgifter genom sammanhållen vård- och omsorgsdokumentation.
Den rättsliga grunden i dataskyddsförordningen för behandlingen enligt de föreslagna bestämmelserna om sammanhållen vård- och omsorgsdokumentation är, i vart fall, arbetsuppgift av allmänt intresse enligt artikel 6.1 e. Stödet för bestämmelserna som tillåter behandling av känsliga personuppgifter finns i artikel 9.2 h i dataskyddsförordningen.
11 Sören Öman, Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till artikel 9, JUNO version:1A.
Som konstateras i avsnitt 15.3.1 är den rättsliga grund som skulle kunna bli tillämplig i detta sammanhang i första hand artikel 6.1 e i dataskyddsförordningen dvs. att behandlingen är laglig på den grunden att den är nödvändig för att utföra en arbetsuppgift av allmänt intresse.
Utredningen har i avsnitt 4.6 redogjort för förarbetsuttalanden om vad som innefattas i begreppet allmänt intresse. Här kan sammanfattningsvis konstateras att arbetsuppgifter inom hälso- och sjukvården och socialtjänsten anses utgöra arbetsuppgifter av allmänt intresse.12 Även privata aktörer kan utföra arbetsuppgifter av allmänt intresse på uppdrag av en myndighet eller på eget initiativ.
En vårdgivares behandling av andra vårdgivares personuppgifter genom sammanhållen journalföring regleras i dag i 6 kap. patientdatalagen. Dessa regler föreslås flyttas till den föreslagna lagen. Vidare ska bestämmelserna i den föreslagna lagen tillämpas på en vårdgivares behandling av personuppgifter hos omsorgsgivare i vissa fall. De ska också gälla för en viss avgränsad del av den verksamhet inom socialtjänsten som faller inom SoLPUL:s tillämpningsområde och omsorgsgivares behandling av personuppgifter hos vårdgivare. Den föreslagna lagen utgör alltså en specialreglering i förhållande till patientdatalagen och SoLPUL och kompletterar dessa lagar. Enligt utredningens bedömning är den behandling av personuppgifter som får ske med stöd av den föreslagna lagen nödvändig för att utföra en arbetsuppgift av allmänt intresse. Det gäller både om arbetsuppgiften utförs av en offentlig vård- eller omsorgsgivare och om arbetsuppgiften utförs av en privat vård- eller omsorgsgivare. Behandlingen är vidare nödvändig på det sätt som avses i dataskyddsförordningen (se avsnitt 4.6.3). Behandling av personuppgifter för sammanhållen vård- och omsorgsdokumentation enligt den föreslagna lagen kan alltså i vart fall ske med stöd av den rättsliga grunden arbetsuppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen. Det ska noteras att när det gäller själva den dokumentation som socialtjänsten ska utföra enligt lag och föreskrifter, skulle behandlingen kunna tillåtas också på den rättsliga grunden att fullgöra en rättslig förpliktelse (artikel 6.1 c i dataskyddsförordningen).
12 Se SOU 2017:39 s. 124 och SOU 2017:66 s. 219 ff.
Behandling av känsliga personuppgifter
Behandling av känsliga personuppgifter är således förbjuden enligt huvudregeln, men får enligt artikel 9.2 h i dataskyddsförordningen ske om den är nödvändig av skäl som hör samman med bl.a. tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och deras system.
Bestämmelserna i den föreslagna lagen ska få tillämpas på vårdgivares behandling av personuppgifter enligt patientdatalagen, dvs. vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I 1 kap. 3 § patientdatalagen definieras vilken verksamhet som avses med hälso- och sjukvård enligt patientdatalagen.13 Den verksamhet som omfattas av den föreslagna lagen utgör, enligt utredningens bedömning, tillhandahållande av hälso- och sjukvård och förvaltning av hälso- och sjukvårdstjänster på det sätt som avses i artikel 9.2. h i dataskyddsförordningen.14
Vad som avses med social omsorg framgår inte av dataskyddsförordningen. I förarbetena till anpassningen till dataskyddsförordningen av lagstiftningen inom Socialdepartementets område görs bedömningen att social omsorg i detta sammanhang innefattar sådan verksamhet som avses i 2 § SoLPUL.15 Bestämmelserna i den föreslagna lagen ska få tillämpas på dokumentation inom viss angiven verksamhet enligt lagstiftningen om socialtjänst och LSS. Den verksamhet som omfattas av den föreslagna lagen faller, avseende både offentliga och privata omsorgsgivare, alltså inom tillämpningsområdet för 2 § SoLPUL, och utgör enligt utredningens bedömning social omsorg enligt undantagsbestämmelsen i artikel 9.2. h i dataskyddsförordningen.
När det gäller kravet på stöd i EU-rätten eller nationell rätt kan det konstateras att behandlingen av personuppgifter kommer, utöver dataskyddsförordningen, att ske med stöd av 3 kap. 5 § dataskyddslagen, patientdatalagen, SoLPUL och den föreslagna lagen. Vidare är
13 Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering. 14SOU 2017:66 s. 243 f. och prop. 2017/18:171 s. 100 f. 15SOU 2017:66 s. 243 f. och prop. 2017/18:171 s. 100.
kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen uppfyllt, eftersom sekretess gäller inom hälso- och sjukvården enligt 25 kap. offentlighets- och sekretesslagen (2009:400) (OSL) och inom socialtjänsten enligt 26 kap. OSL. För personal inom privat hälso- och sjukvård finns bestämmelser om tystnadsplikt i 6 kap. patientsäkerhetslagen (2010:659) och för personal hos privata omsorgsgivare gäller tystnadsplikt enligt 15 kap. socialtjänstlagen och 29 § LSS.
Sammanfattningsvis gör utredningen bedömningen att behandlingen av känsliga personuppgifter enligt bestämmelserna om sammanhållen vård- och omsorgsdokumentation i den föreslagna lagen kan ske med stöd av artikel 9.2 h i dataskyddsförordningen.
15.3.3. Kvalitetsuppföljning
Utredningens bedömning: Det är förenligt med dataskydds-
förordningen att införa bestämmelser i svensk nationell rätt för att tillåta behandling av personuppgifter för kvalitetsuppföljning.
Den rättsliga grunden i dataskyddsförordningen för behandlingen enligt de föreslagna bestämmelserna om kvalitetsuppföljning som innebär att personuppgifter samlas in från andra vårdinstanser eller omsorgsgivare är, i vart fall, arbetsuppgift av allmänt intresse enligt artikel 6.1 e. Stödet för bestämmelserna som tillåter behandling av känsliga personuppgifter finns i artikel 9.2 h i dataskyddsförordningen.
Den rättsliga grund som i första hand blir aktuell vid behandling av personuppgifter för kvalitetsuppföljning är att behandlingen är nödvändig för att fullgöra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Arbetsuppgift av allmänt intresse är den rättsliga grund som enligt förarbetena bör tillämpas av myndigheter, även utanför området för myndighetsutövning.16 Mot bakgrund av redovisade förarbetsuttalanden (se avsnitt 4.6) står det klart att hälso- och sjukvård samt sociala förmåner som tillhandahålls inom socialtjänsten, samt behandling av personuppgifter som är nödvändig för att utföra sådana arbetsuppgifter, är sådana allmänna intressen som avses i artikel 6.1 e i dataskyddsförordningen. Vid
tillämpningen av artikel 6.1 e i dataskyddsförordningen spelar det vidare ingen roll om den personuppgiftsansvarige är en offentlig eller privat aktör. Om den arbetsuppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna arbetsuppgift är fastställd i enlighet med EU-rätten eller nationell rätt, finns en rättslig grund för nödvändig behandling enligt artikel 6.1 e i dataskyddsförordningen.17
Frågan är då om kvalitetsuppföljning av hälso- och sjukvård och socialtjänst kan anses utgöra ett sådant allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen. Som utredningen har redogjort för i avsnitt 8.3.4 och 8.4.5 är myndigheter inom hälso- och sjukvård och socialtjänst skyldiga att tillgodose en god kvalitet på verksamheterna. Som ett led i detta ska de bedriva ett kvalitetssäkringsarbete och får, när så behövs, enligt olika registerförfattningar behandla personuppgifter för detta ändamål. Denna typ av behandling utgör inte myndighetsutövning mot enskilda. Som anges i avsnitt 4.6.2 finns det inget som tyder på att begreppet allmänt intresse ska uppfattas mer restriktivt enligt dataskyddsförordningen än enligt dataskyddsdirektivet, utan tvärtom vidare.18
Utredningen anser att kvalitetsuppföljning av hälso- och sjukvård och socialtjänst i vart fall är ett sådant allmänt intresse som utgör rättslig grund för att behandla personuppgifter enligt artikel 6.1 e i dataskyddsförordningen.
Som utredningen beskrivit finns det bestämmelser som innebär att det, jämte det fullmäktigebeslut som ska fattas, kan finnas en rättslig förpliktelse för vårdinstanser och omsorgsgivare att göra en kvalitetsuppföljning. Därmed skulle behandlingen alternativt kunna grundas på artikel 6.1 c i dataskyddsförordningen (rättslig förpliktelse). Tillämpningen av artikel 6.1 c i dataskyddsförordningen förutsätter dock att det handlar om ett åliggande. Enligt utredningens bedömning kommer kvalitetsuppföljning ibland att handla om sådana frivilliga åtaganden som görs inom ramen för regionens eller kommunens allmänna befogenhet (den kommunala kompetensen).
Regeringen har uttalat att flera rättsliga grunder samtidigt kan vara tillämpliga i vissa situationer.19 Det får i det enskilda fallet an-
17Prop. 2017/18:105 s. 58. 18SOU 2017:39 s. 123. 19Prop. 2017/18:105 s. 57.
komma på den personuppgiftsansvariga att – som alltid – klargöra med stöd av vilken rättslig grund som behandlingen sker.
För att artikel 6.1 e i dataskyddsförordningen ska vara tillämplig måste grunden för och syftet med verksamheten i fråga vara fastställd i enlighet med EU-rätten eller nationell rätt (artikel 6.3 i dataskyddsförordningen). Det blir den genom bestämmelserna i den föreslagna lagen och det fullmäktigebeslut som ska finnas enligt dessa bestämmelser.
Sammanfattningsvis anser utredningen att det står klart att det utgör arbetsuppgifter av allmänt intresse att bedriva hälso- och sjukvård och socialtjänst samt att utföra sådan kvalitetsuppföljning som krävs för att utveckla vården och omsorgen och att kvalitetsuppföljningen kommer att ha stöd i den svenska rättsordningen. Behandling av personuppgifter för kvalitetsuppföljning är alltså tillåten enligt artikel 6.1 e i dataskyddsförordningen.
Artikel 6.1 e i dataskyddsförordningen innehåller även ett krav på att behandlingen ska vara nödvändig för att utföra arbetsuppgiften av allmänt intresse. Utredningen erinrar om att nödvändighetskravet, enligt regeringens bedömning, inte ska tolkas som att arbetsuppgiften av allmänt intresse måste vara avgränsad så att den bara kan utföras på ett sätt. Den metod som den personuppgiftsansvarige väljer för att utföra sin arbetsuppgift måste dock – som vid all offentlig förvaltning – vara ändamålsenlig, effektiv och proportionerlig och får inte medföra ett onödigt intrång i enskildas privatliv.20
Behandling av känsliga personuppgifter
Som konstateras i avsnitt 15.2.1 innefattar uppräkningen av undantagen från förbudet att behandla känsliga personuppgifter i artikel 9.2 h i dataskyddsförordningen i praktiken nästan all behandling av känsliga personuppgifter som förekommer inom hälso- och sjukvårdsområdet samt socialtjänsten.21 Dataskyddsförordningen tillåter alltså att känsliga personuppgifter behandlas för ändamål som syftar till att förbättra kvaliteten och säkerställa kontinuitet inom hälso- och sjukvård och social omsorg. I Sverige är hälso- och sjukvården och socialtjänsten reglerade i bl.a. hälso- och sjukvårdslagen och
20Prop. 2017/18:105 s. 60. 21 Sören Öman, Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till artikel 9, JUNO version:1A.
socialtjänstlagen. Vidare finns redan bestämmelsen i 3 kap. 5 § dataskyddslagen som ger ett svenskt rättsligt stöd för att behandla känsliga personuppgifter enligt artikel 9.2 h i dataskyddsförordningen, om behandlingen är nödvändig för bl.a. förebyggande hälso- och sjukvård och yrkesmedicin, tillhandahållande av hälso- och sjukvård eller behandling, social omsorg och förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system.
Det står enligt utredningens bedömning klart att känsliga personuppgifter får användas inom vård och omsorg i syfte att utveckla kvaliteten på verksamheten. Kvalitetsuppföljning omfattas enligt utredningens bedömning av artikel 9.2 h i dataskyddsförordningen.
Behandling får ske under förutsättning att kravet på tystnadsplikt som följer av artikel 9.3 i dataskyddsförordningen är uppfyllt. Inom hälso- och sjukvårdens och socialtjänstens områden gäller i Sverige som regel tystnadsplikt, både i den offentliga sektorn, enligt offentlighets- och sekretesslagen, och i den privata sektorn enligt bl.a. patientsäkerhetslagen och 15 kap. socialtjänstlagen. Som redogjorts för i avsnitt 5.4 och 5.5 råder i regel stark sekretess för den typ av personuppgifter som förekommer inom hälso- och sjukvård och socialtjänst. Det innebär enligt utredningens bedömning att kravet på tystnadsplikt som följer av artikel 9.3 i dataskyddsförordningen är uppfyllt.
15.4. Definitioner
Den föreslagna lagen kommer att innehålla en rad begrepp som är centrala för tillämpningen av lagen, t.ex. insatser för äldre och personer med
funktionsnedsättningar och kvalitetsuppföljning. Definitionerna bör
föras in i lagens första kapitel, som innehåller gemensamma bestämmelser för vård- och omsorgsdokumentation och kvalitetsuppföljning. De olika begreppen och hur de ska definieras kommer att beröras närmare i de sammanhang de förekommer, se avsnitt 16.1.6 (omsorgsmottagare och patient), 16.1.8 (vårdgivare och hälso- och sjukvård), 16.1.3 (insatser för äldre eller personer med funktionsnedsättningar), 16.2 (omsorgsgivare), 16.1.8 och 16.3 (sammanhållen vård- och omsorgsdokumentation), 17.1.1 (kvalitetsuppföljning) och 17.1.2 (vårdinstans).
15.5. Förhållandet till annan dataskyddsreglering
Utredningens förslag: Den gemensamma lagen ska innehålla en
upplysning om att den kompletterar dataskyddsförordningen, patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten samt föreskrifter som har meddelats i anslutning till den lagen.
Dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen ska gälla, om inte annat följer av den gemensamma lagen eller föreskrifter som har meddelats med stöd av den.
Personuppgifter ska utan hinder av patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten och anknytande föreskrifter få lämnas ut för att behandlas för sådan kvalitetsuppföljning som är tillåten enligt lagen.
15.5.1. Dataskyddsförordningen
Dataskyddsförordningen är direkt tillämplig och har företräde framför nationell lagstiftning. Den föreslagna lagen kommer därför endast att innehålla bestämmelser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen, när det är tillåtet. För att tillämparen ska få en tydlig uppfattning av vilken reglering som är tillämplig bör den föreslagna lagen innehålla en bestämmelse med en upplysning om att dataskyddsförordningen gäller. Bestämmelsen bör formuleras på samma sätt som i andra lagar som reglerar behandling av personuppgifter inom Socialdepartementets verksamhetsområde.22
Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. Med en statisk hänvisning avses att hänvisningen görs till EU-rättsakten i en viss angiven lydelse. En följd av denna hänvisningsteknik är att den nationella författningen vanligtvis behöver ändras varje gång EU-bestämmelsen ändras. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. Lagrådet har uttalat att en konsekvens-
22Prop. 2017/18:171 s. 73 f. Se t.ex. 3 § lagen (1996:1156) om receptregister, 4 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten och 1 kap. 4 § patientdatalagen (2008:355).
analys bör göras vid valet av hänvisningsteknik och redovisas för var och en av de hänvisningar som görs.23 Vid analysen bör särskilt belysas hur det nationella regelsystemet ändras genom hänvisningen och hur ändringar av rättsakten kan komma att påverka den nationella regleringen. Det innebär att det, enligt Lagrådet, ofta finns anledning att undvika att genom definitioner koppla rättsakten i en viss angiven lydelse till olika författnings-bestämmelser.
I nu aktuellt fall är dataskyddsförordningen direkt tillämplig och syftet med hänvisningen är endast att upplysa om att dataskyddsförordningen gäller. Det framstår därför som mest lämpligt att hänvisningen dit görs dynamisk.
Att dataskyddsförordningen är direkt tillämplig innebär alltså att omsorgsgivarna, utöver bestämmelserna i den föreslagna lagen, även ska tillämpa bestämmelserna i dataskyddsförordningen. En redogörelse för huvuddragen i dataskyddsförordningen finns i kapitel 4. Exempel på bestämmelser som är generellt tillämpliga vid behandling av personuppgifter är bestämmelserna om de grundläggande principerna för behandling av personuppgifter, den registrerades rättigheter och den personuppgiftsansvariges skyldigheter att vidta säkerhetsåtgärder.
15.5.2. Dataskyddslagen
Om en annan lag eller förordning innehåller någon bestämmelse som rör behandling av personuppgifter och som avviker från dataskyddslagen, ska den bestämmelsen tillämpas. Det följer av 1 kap. 6 § dataskyddslagen. Dataskyddslagen är alltså subsidiär i förhållande till annan lagstiftning som reglerar behandling av personuppgifter.
I propositionen som föregick ändringar av författningar på Socialdepartementets område i samband med att dataskyddsförordningen började tillämpas anges att den regleringsteknik som innebär att en registerförfattning gäller utöver den generella nationella regleringen av behandling av personuppgifter kan och bör behållas.24 Eftersom dataskyddslagen som nämnts är subsidiär, behövs egentligen ingen materiell bestämmelse i registerförfattningen för att uppnå detta. Registerförfattningarna innehåller emellertid ändå ofta en upplys-
23Prop. 2015/16:156 s. 34. 24Prop. 2017/18:171 s. 73.
ning om att den generella lagen gäller om inte annat följer av registerförfattningen eller föreskrifter som har meddelats i anslutning till författningen. I linje med de bedömningar som gjorts när sådana bestämmelser införts, är det enligt propositionen lämpligt att uttryckligen upplysa om att registerförfattningen kompletterar dataskyddsförordningen och att det kan finnas tillämpliga bestämmelser om behandling av personuppgifter i dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till den.25
Den föreslagna lagen ska endast reglera frågor som är specifika för sammanhållen vård- och omsorgsdokumentation i hälso- och sjukvården samt viss del av socialtjänsten avseende äldre och personer med funktionsnedsättningar och dessutom viss kvalitetsuppföljning på det området. Tillämpningsområdet är således avgränsat i förhållande till all behandling av personuppgifter som utförs på hälso- och sjukvårdens och socialtjänstens områden. Den föreslagna lagen bör endast innehålla de bestämmelser som är viktigast ur ett integritetsskyddsperspektiv i förhållande till dataskyddsförordningen och dataskyddslagen. Utredningen gör därför bedömningen att den ovan nämnda huvudregeln ska gälla även här, dvs. att den föreslagna lagen ska gälla utöver dataskyddslagen. Alternativet, dvs. att i lagen heltäckande reglera vilka bestämmelser i dataskyddslagen och anknytande föreskrifter som ska gälla, framstår som mindre lämpligt, eftersom även bestämmelserna i dataskyddsförordningen ska tillämpas.
Eftersom dataskyddslagen är subsidiär, krävs egentligen ingen materiell bestämmelse för att den nya lagen ska gälla utöver dataskyddslagen. Av tydlighetsskäl är det dock lämpligt med en bestämmelse som anger att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt den föreslagna lagen, om inte annat följer av den föreslagna lagen eller föreskrifter som har meddelats med stöd av den. När dataskyddslagen är tillämplig, är också bestämmelser som regeringen meddelat i anslutning till dataskyddslagen tillämpliga. Det innebär att eventuella förordningsbestämmelser om undantag från dataskyddslagens tillämplighet gäller.
15.5.3. Patientdatalagen
Patientdatalagen tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården (1 kap. 1 § PDL). Regleringen gäller för både offentliga och privata vårdgivare.
Patientdatalagen innehåller bestämmelser som kompletterar EU:s dataskyddsförordning vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Vid sådan behandling av personuppgifter är även dataskyddslagen tillämplig, men om bestämmelserna i patentdatalagen eller föreskrifter som har meddelats i anslutning till den lagen avviker ska de senare ha företräde (1 kap. 4 § PDL).
Eftersom en vårdgivares behandling av personuppgifter genom sammanhållen vård- och omsorgsdokumentation och en vårdinstans kvalitetsuppföljning enligt den föreslagna lagen innebär en behandling av personuppgifter inom hälso- och sjukvården, kommer också patientdatalagen att vara tillämplig på behandlingen. Den föreslagna lagen kompletterar alltså patientdatalagen och innehåller ytterligare reglering av behandling av personuppgifter inom hälso- och sjukvården. För att tydliggöra att så är fallet bör det i patientdatalagen tas in en bestämmelse om att det i den föreslagna lagen finns ytterligare bestämmelser om vårdgivares och vårdinstansers26 behandling av personuppgifter inom hälso- och sjukvården. Likaså bör det i den föreslagna lagen upplysas om att den kompletterar patientdatalagen.
Att den föreslagna lagen kompletterar patientdatalagen innebär att bl.a. reglerna om behörighetstilldelning och inre sekretess i patientdatalagen gäller fullt ut även vid sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
26 Vårdinstanser är det begrepp som utredningen använder när det gäller kvalitetsuppföljning, för att särskilja det från patientdatalagens definition av vårdgivare.
15.5.4. Lagen om behandling av personuppgifter inom socialtjänsten, SoLPUL
SoLPUL tillämpas vid behandling av personuppgifter inom socialtjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (1 § SoLPUL). Den lagen omfattar både myndigheter och enskilda verksamheter som hanterar personuppgifter inom socialtjänstens område.
SoLPUL innehåller bestämmelser som kompletterar eller tar över bestämmelserna i den direkt tillämpliga dataskyddsförordningen, när det är tillåtet. Om SoLPUL innehåller bestämmelser som avviker från vad som anges i dataskyddslagen, ska bestämmelserna i SoLPUL ha företräde (4 § SoLPUL).
Bestämmelserna i den föreslagna lagen ska gälla för en viss avgränsad del av den verksamhet inom socialtjänsten som faller inom SoLPUL:s tillämpningsområde (se vidare om lagens tillämpningsområde på socialtjänstens område i avsnitt 16.1 och 17.1). Den föreslagna lagen utgör därmed en specialreglering i förhållande till SoLPUL och kompletterar denna. Det finns ingen bestämmelse i SoLPUL som anger att om en lag eller förordning innehåller någon bestämmelse som rör behandling av personuppgifter och som avviker från SoLPUL ska den bestämmelsen tillämpas. Det bör därför i SoLPUL införas en upplysning om att det i den föreslagna lagen kan finnas ytterligare bestämmelser om behandling av personuppgifter inom socialtjänsten. Det är också lämpligt att i den föreslagna lagen uttryckligen upplysa om att den kompletterar SoLPUL och föreskrifter som har meddelats i anslutning till den lagen.
15.5.5. Utlämnande av personuppgifter för behandling för kvalitetsuppföljning
De föreslagna bestämmelserna gäller bara för sådan kvalitetsuppföljning som innebär att personuppgifter samlas in från andra vårdinstanser eller omsorgsgivare. Det lär normalt vara den vårdinstans eller omsorgsgivare som av fullmäktige har pekats ut som personuppgiftsansvarig som samlar in personuppgifter från andra vårdinstanser eller omsorgsgivare, som alltså lämnar ut personuppgifterna. Den person-
uppgiftsansvarige kan emellertid ha anlitat ett personuppgiftsbiträde som samlar in och i övrigt behandlar personuppgifterna för den personuppgiftsansvariges räkning.
Patientdatalagen innehåller tämligen detaljerade bestämmelser som gäller vårdgivares behandling av personuppgifter. Som tillåtna ändamål räknas i 2 kap. 4 § patientdatalagen upp att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten (punkt 4), och administration, planering, uppföljning, utvärdering och tillsyn av verksamheten (punkt 5). Dessa bestämmelser gäller emellertid bara behandling av personuppgifter inom hälso- och sjukvården. Med ”verksamheten” lär bara avses verksamhet inom hälso- och sjukvården. Personuppgifter får vidare också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning (2 kap. 5 § PDL).
SoLPUL innehåller inte lika preciserade bestämmelser om ändamål för behandling av personuppgifter. En yttre ram ges i 6 § SoLPUL. Enligt den bestämmelsen får personuppgifter behandlas bara om behandlingen är nödvändig för att kunna utföra arbetsuppgifter inom socialtjänsten. Personuppgifter får emellertid enligt 6 § andra stycket SoLPUL också behandlas för uppgiftsutlämnande som föreskrivs i lag eller förordning. En mer detaljerad uppräkning av för vilka ändamål en omsorgsgivare får behandla personuppgifter finns i 12 § SoLPUF. Exempelvis får en kommunal nämnd, enligt 12 § 10 SoLPUF, behandla personuppgifter för tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten. Mot bakgrund av formuleringen i 6 § SoLPUL, ”för att kunna utföra arbetsuppgifter inom socialtjänsten”, lär bara avses verksamhet inom socialtjänsten, inte verksamhet som inte innebär utförande av arbetsuppgifter inom socialtjänsten.
Av 18 § SoLPUF framgår att privata omsorgsgivare får behandla personuppgifter för administrationen av verksamheten. Med detta lär avses verksamhet inom socialtjänsten. Det kan också noteras att ändamålen ”tillsyn, uppföljning, utvärdering, kvalitetssäkring” i 12 § 10 SoLPUF inte gäller för privata omsorgsgivare.
Syftet med de föreslagna bestämmelserna är att personuppgifter ska kunna lämnas ut för kvalitetsuppföljning från hälso- och sjukvården till socialtjänsten och vice versa och från privata omsorgsgivare till en annan omsorgsgivare eller vårdenhet. Därför bör det i den nya lagen anges att personuppgifter utan hinder av patientdata-
lagen och lagen om behandling av personuppgifter inom socialtjänsten och anknytande föreskrifter får lämnas ut för att behandlas för sådan kvalitetsuppföljning som är tillåten enligt lagen. Detta är en sådan föreskrift om uppgiftsutlämnande som avses i 6 § andra stycket SoLPUL respektive 2 kap. 5 § patientdatalagen. Den svenska rättsliga grunden för behandlingen av personuppgifterna (dvs. utlämnandet för kvalitetsuppföljning) finns alltså i den nya lagen. Observera att bestämmelsen ger ett rättsligt stöd för att lämna ut personuppgifterna, men medför inte någon skyldighet att lämna ut dessa. Den föreslagna lagen ger endast en möjlighet att frivilligt lämna ut personuppgifter för kvalitetsuppföljningen (se närmare i kap. 17).
Utredningen noterar att den föreslagna lagen kan komma att få vissa konsekvenser i förhållande till SoLPUF. Det ingår emellertid inte i utredningens uppdrag att föreslå ändringar i SoLPUF. Utredningen vill dock uppmärksamma regeringen på att det kan finnas anledning att se över bestämmelserna i SoLPUF för att bättre anpassa dem till den föreslagna lagen och överväga om möjligheterna till uppföljning, utvärdering och kvalitetssäkring bör göras mer enhetliga för kommunala nämnder och privata verksamheter.
15.5.6. Sökbegrepp och sammanställningar av personuppgifter i socialtjänstens verksamhet
Som nämnts gäller de föreslagna bestämmelserna bara för sådan kvalitetsuppföljning som innebär att personuppgifter samlas in från andra vårdinstanser eller omsorgsgivare. Det innebär att den personuppgiftsansvariga vårdenheten eller omsorgsgivare, eller dennes personuppgiftsbiträde, måste försöka samla in personuppgifter från andra vårdinstanser eller omsorgsgivare. De utlämnande vårdinstanserna och omsorgsgivarna behöver för att kunna göra utlämnandet i de flesta fall söka fram personuppgifterna och sammanställa dem inför utlämnandet. Då kan det behöva användas andra uppgifter än namn, personnummer och samordningsnummer. I den nuvarande regleringen av behandling av personuppgifter inom socialtjänsten finns det emellertid restriktioner för just sammanställningar och sökningar.
I 7 a § SoLPUL finns en bestämmelse om sammanställningar av personuppgifter. Bestämmelsen anger att i sammanställningar av personuppgifter får det som huvudregel inte tas in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga personliga förhållanden.
Undantag gäller bl.a. för uppföljning, utvärdering och kvalitetssäkring. Sådana sammanställningar som görs för uppgiftsutlämnande för uppföljning, utvärdering och kvalitetssäkring som föreskrivs i lag eller förordning (6 § andra stycket SoLPUL) får således innehålla exempelvis känsliga personuppgifter. Utredningen föreslår i avsnitt 15.5.5 en föreskrift om uppgiftsutlämnande för kvalitetsuppföljning.
SoLPUL innehåller inte någon bestämmelse om s.k. sökbegränsningar.27 Det finns dock sökbegränsningar i SoLPUF.
Av 15 § SoLPUF framgår att vid handläggning av ärenden och i verksamhet som avses i 12 § 1–9 SoLPUF får en kommunal myndighet endast använda uppgifter om namn eller uppgifter om person-, samordnings- eller ärendenummer som sökbegrepp vid sökning efter uppgifter eller i samband med sammanställningar. Behandling av personuppgifter för uppföljning, utvärdering och kvalitetssäkring regleras emellertid i 12 § 10 SoLPUF. För sådana ändamål får således även andra uppgifter användas av en kommunal myndighet vid sökning efter uppgifter och i samband med sammanställningar.
Enligt 20 § SoLPUF får i privat verksamhet endast uppgifter om namn eller uppgifter om person-, samordnings- eller ärendenummer användas som sökbegrepp vid sökning efter uppgifter eller i samband med sammanställningar. Regeringen bör enligt utredningens mening överväga att komplettera den paragrafen med en bestämmelse om att andra uppgifter dock får användas som sökbegrepp vid sökning och sammanställning för att behandla personuppgifter för sådan kvalitetsuppföljning som är tillåten enligt den föreslagna lagen.
Sammanfattningsvis kan följande sägas. Själva uppgiftsutlämnandet för kvalitetsuppföljning får ske med stöd av den lagregel som föreslås i avsnitt 15.5.5 och har därmed även uttryckligt stöd i 6 § andra stycket SoLPUL. Bestämmelsen i 7 a § SoLPUL hindrar inte att privata och offentliga omsorgsgivare gör sammanställningar med bl.a. känsliga personuppgifter i syfte att kunna lämna ut uppgifter för kvalitetsuppföljning. Bestämmelsen i 15 § SoLPUF hindrar inte att offentliga omsorgsgivare använder alla slags sökbegrepp för att kunna göra utlämnandet för kvalitetsuppföljning. Däremot hindras privata omsorgsgivare av 20 § SoLPUF i dag från att använda alla slags sökbegrepp för att kunna göra utlämnanden för kvalitetsupp-
27Patientdatalagen innehåller en sökbegränsningsregel i 2 kap. 8 § som bl.a. anger att känsliga personuppgifter inte får användas som sökbegrepp. Undantag görs dock för uppgifter om hälsa.
följning, men utredningen anser att regeringen bör överväga att ändra i sin förordning så att det blir tillåtet.
16. Bestämmelser om sammanhållen vård- och omsorgsdokumentation
16.1. Tillämpningsområdet för sammanhållen vård- och omsorgsdokumentation
Utredningens förslag: Bestämmelserna om sammanhållen vård-
och omsorgsdokumentation får tillämpas på vårdgivares behandling av personuppgifter enligt patientdatalagen (2008:355).
Bestämmelserna om sammanhållen vård- och omsorgsdokumentation får även tillämpas på socialtjänstens dokumentation enligt 11 kap. 5 § socialtjänstlagen (2001:453) avseende insatser för äldre eller personer med funktionsnedsättningar. Bestämmelserna får också tillämpas på dokumentation enligt 21 a § lagen (1993:387) om stöd och service till vissa funktionshindrade. Det gäller dock bara om dokumentationen förs för varje omsorgsmottagare för sig.
Med insatser för äldre eller personer med funktionsnedsättningar avses insatser enligt 4 kap. 1 § socialtjänstlagen som dels beskrivs i 3 kap. 6 § första stycket socialtjänstlagen och lämnas till äldre och personer med funktionsnedsättningar, dels beskrivs i 5 kap.5 och 7 §§socialtjänstlagen samt insatser enligt 4 kap. 2 a § socialtjänstlagen och insatser enligt lagen om stöd och service till vissa funktionshindrade.
16.1.1. Vårdgivares behandling av personuppgifter
I 1 kap. 1 § patientdatalagen, förkortad PDL, anges att patientdatalagen ska tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I 6 kap. samma lag finns bestämmelser om sammanhållen journalföring som ger en vårdgivare möjlighet att under vissa förutsättningar ha direktåtkomst till personuppgifter som behandlas av andra vårdgivare och som behandlas för ändamål som anges i 2 kap. 4 § 1 och 2 patientdatalagen. Som framgår av kapitel 15 föreslår utredningen att bestämmelserna som rör direktåtkomst genom sammanhållen journalföring respektive sammanhållen omsorgsdokumentation ska samlas i en och samma lag och benämnas sammanhållen vård- och omsorgsdokumentation. Det framgår även av kapitel 15 att det inte är tanken att någon materiell ändring ska ske av gällande bestämmelser om sammanhållen journalföring i patientdatalagen utan att dessa bestämmelserna ska tillämpas som tidigare med samma materiella innehåll.1 Bestämmelserna om sammanhållen journalföring i patientdatalagen bör alltså upphävas och ersättas med bestämmelser om sammanhållen vård- och omsorgsdokumentation. Det bör därför anges i den föreslagna lagen att bestämmelserna om sammanhållen vård- och omsorgsdokumentation får tillämpas på vårdgivares behandling av personuppgifter enligt patientdatalagen. Att detta gäller sådana personuppgifter som behandlas för ändamål som anges i 2 kap. 4 § 1 och 2 patientdatalagen framgår av avsnitt 16.4.1.
16.1.2. Socialtjänstens behandling av personuppgifter
Avgränsning av tillämpningsområdet inom socialtjänsten
Socialtjänstens behandling av personuppgifter regleras av lagen (2001:454) om behandling av personuppgifter inom socialtjänsten (SoLPUL). Enligt direktiven ska utredningen se över möjligheten att införa direktåtkomst, i likhet med den möjlighet som i dag ges genom sammanhållen journalföring, mellan verksamheter som avser
1 En ändring görs dock i förhållande till regleringen i patientdatalagen när det gäller formen för utlämnande, som ska kunna ske genom direktåtkomst eller annat elektroniskt utlämnande, se närmare utredningens beskrivning av detta i avsnitt 16.3. En ändring görs också rörande möjligheten att ta del av barns personuppgifter, se avsnitt 16.6.3.
äldre personer och personer med funktionsnedsättning samt mellan dessa verksamheter och hälso- och sjukvård.2 Sammanhållen vård- och omsorgsdokumentation bör därför inte omfatta alla personuppgifter som behandlas inom socialtjänsten utan endast de som behandlas i verksamheter som rör äldre och funktionshindrade. Regleringen om sammanhållen vård- och omsorgsdokumentation måste därför avgränsas i enlighet med detta. Tillämpningsområdet för bestämmelserna för socialtjänsten och hälso- och sjukvården kommer att se olika ut när det gäller vilka personuppgifter som får behandlas i sammanhållen vård- och omsorgsdokumentation. Nedan redogör utredningen för hur avgränsningen av tillämpningsområdet för sammanhållen vård- och omsorgsdokumentation inom socialtjänsten bör göras.
Dokumentation inom socialtjänsten
Bestämmelser om dokumentation inom socialtjänsten återfinns i 11 kap. 5 § socialtjänstlagen, förkortad SoL. I denna bestämmelse anges att handläggning av ärenden som rör enskilda samt genomförande av beslut om stödinsatser, vård och behandling ska dokumenteras. Det anges även att dokumentationen ska utvisa beslut och åtgärder som vidtas i ärendet samt faktiska omständigheter och händelser av betydelse. I 21 a § lagen (1993:387) om stöd och service till vissa funktionshindrade (LSS) finns en bestämmelse med samma innebörd. Dessa bestämmelser är även tillämpliga på enskild (privat) verksamhet (7 kap. 3 § SoL och 23 c § LSS).
I Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2014:5) om dokumentation i verksamhet som bedrivs med stöd av SoL, LVU, LVM och LSS finns bestämmelser som ska tillämpas vid dokumentation under handläggning av ärenden som gäller enskilda samt under genomförande och uppföljning av beslut om insatser i verksamhet som omfattas av dokumentationsskyldigheten enligt 11 kap. 5 § eller 7 kap. 3 § första stycketsocialtjänstlagen eller 21 a § eller 23 a § första stycket LSS. I dessa föreskrifter anges att handlingar som avser personer som är eller har varit aktuella för utredning eller insats i en verksamhet ska hållas samman i personakter (4 kap. 2 § SOSFS 2014:5). Med journal i socialtjänstens verksamhet avses enligt samma föreskrifter den del av en personakt där anteck-
2 Dir. 2019:37 s. 13 f.
ningar av betydelse för handläggning av ett ärende samt för genomförande och uppföljning av en insats görs i kronologisk ordning (2 kap. 1 § SOSFS 2014:5). En personakt ska innehålla en journal samt upprättade och inkomna handlingar av betydelse för handläggningen av ett ärende eller för genomförande eller uppföljning av insatser (4 kap. 6 § SOSFS 2014:5). Det finns i dessa föreskrifter också ett krav på att handlingar som upprättas och gäller enskilda ska begränsas till att innehålla uppgifter som bedöms vara tillräckliga, väsentliga och ändamålsenliga i förhållande till vad saken gäller (4 kap. 1 § SOSFS 2014:5).
Dokumentationskraven avser alltså såväl dokumentation som görs av den nämnd som handlägger ärenden och följer upp beslut om insatser som dokumentation, som den som görs av privata och kommunala utförare vid genomförandet av de beslutade insatserna. Det framstår därför enligt utredningens mening som naturligt att utgå från det dokumentationskrav som redan finns i lag för de aktuella verksamheterna vid regleringen av vilka personuppgifter inom socialtjänsten som får behandlas enligt bestämmelserna om sammanhållen vård- och omsorgsdokumentation.
Systemet med personakter innebär att all dokumentation om en person samlas i en akt. Den sammanhållna omsorgsdokumentationen ska enligt direktiven emellertid endast omfatta insatser för äldre och personer med funktionsnedsättningar.3 Om en person har insatser beviljade dels på grund av att personen är äldre eller har en funktionsnedsättning, dels på grund av något annat förhållande (exempelvis missbruk), kommer dokumentation om samtliga dessa insatser att finnas i samma personakt om det är samma nämnd som ansvarar för insatserna. Det finns då i personakten både dokumentation som får ingå i den sammanhållna vård- och omsorgsdokumentationen och dokumentation som inte får ingå. Enligt utredningens mening bör det dock vara möjligt att även med sammanhållen vård- och omsorgsdokumentation samla all dokumentation om en person i en personakt. Detta förutsätter emellertid att personakten förs i elektronisk form och att annan dokumentation än den som ingår i den sammanhållna vård- och omsorgsdokumentationen inte görs tillgänglig för andra omsorgsgivare. Det bör kunna åstadkommas genom tekniska begränsningar.
3 Dir. 2019:37 s. 13 f.
Tillämpningsområdet för omsorgsgivares behandling av personuppgifter inom sammanhållen vård- och omsorgsdokumentation bör därför anges omfatta viss avgränsad dokumentation. Hur denna dokumentation bör avgränsas från annan dokumentation inom socialtjänsten redogör utredningen för i kommande avsnitt.
Den dokumentation som omfattas av sammanhållen vård- och omsorgsdokumentation
Den sammanhållna vård- och omsorgsdokumentationen inom socialtjänsten ska enligt utredningens direktiv omfatta individinriktade omsorgsverksamheter inom socialtjänsten som avser äldre personer, t.ex. hemtjänst eller dagverksamhet för personer med demenssjukdom, och personer med funktionsnedsättningar som har insatser enligt socialtjänstlagen, t.ex. boendestöd och insatser enligt LSS. Verksamheter inom socialtjänstens område där det finns lagstiftning om tvång, t.ex. vård till vuxna personer med missbruksproblem eller verksamheter riktade till barn och unga är uttryckligen exkluderade i direktiven, eftersom de anses vara olämpliga att hantera i ett system med direktåtkomst då personen i de fall en utredning leder till en insats med tvång inte själv kan välja om informationen ska exponeras för andra delar av socialtjänsten eller hälso- och sjukvården.4
Avsikten är alltså att verksamheter som ger individinriktade insatser till äldre och personer med funktionsnedsättningar ska kunna delta i sammanhållen vård- och omsorgsdokumentation. Det är således dokumentation inom verksamheter som riktar sig till vissa grupper av enskilda, dvs. äldre och personer med funktionsnedsättningar, som ska kunna ingå i sammanhållen vård- och omsorgsdokumentation. Gemensamt för dessa verksamheter är att verksamheterna antingen bedömer behov av, eller ger, insatser till äldre och personer med funktionsnedsättningar som de får på grund av behov som uppstått till följd av hög ålder (dvs. är en äldre person) eller funktionsnedsättning.
Äldre och personer med funktionsnedsättningar kan i många fall få andra individinriktade insatser inom socialtjänsten än de insatser som de får på grund av behov som uppstått till följd av hög ålder eller funktionsnedsättning. Det kan exempelvis röra sig om insatser på
4 Dir. 2019:37 s. 14.
grund av missbruk, utsatthet för våld i nära relation, skuldsättning, behov av försörjningsstöd eller att utredning pågår på kommunens familjerättsenhet på grund en vårdnadstvist. Dokumentation av sådana insatser ska enligt direktiven inte ingå i sammanhållen vård- och omsorgdokumentation. Med tanke på de integritetsrisker som finns förknippade med direktåtkomst är det viktigt att tillämpningsområdet för sammanhållen vård- och omsorgsdokumentation inom socialtjänstens verksamhet tydligt avgränsas så att det inte finns några tvivel om vilka personuppgifter som får behandlas enligt bestämmelserna om sammanhållen vård- och omsorgsdokumentation, dvs. vilken omsorgsdokumentation det är som får ingå i den sammanhållna vård- och omsorgsdokumentationen. När det gäller denna avgränsning gör utredningen följande överväganden.
Det finns ingen klar juridisk definition av vad som avses med funktionsnedsättning. I FN:s konvention om rättigheter för personer med funktionsnedsättning beskrivs emellertid begreppen funktionsnedsättning och funktionshinder som begrepp under utveckling och att funktionshinder härrör från samspel mellan personer med funktionsnedsättningar och hinder som är betingade av attityder och miljön, vilka motverkar deras fulla och verkliga deltagande i samhället på lika villkor som andra. Det finns i 5 kap. socialtjänstlagen under rubriken Särskilda bestämmelser för olika grupper med underrubrik Människor med funktionshinder bestämmelser om att socialnämnden ska verka för att människor som av fysiska, psykiska
eller andra skäl möter betydande svårigheter i sin livsföring får möjlig-
het att delta i samhällets gemenskap och att leva som andra (5 kap. 7 §). I Socialstyrelsens termbank anges i sin tur att begreppet funktionshinder innebär en ”begränsning som en funktionsnedsättning innebär för en person i relation till omgivningen” och att funktionsnedsättning innebär ”nedsättning av fysisk, psykisk eller intellektuell funktionsförmåga”. I LSS finns uppräknat vilka personer som har rätt till stöd enligt lagen. Det framgår här att lagen ger rätt till stöd för personer med utvecklingsstörning, autism eller autismliknande tillstånd, med betydande och bestående begåvningsmässigt funktionshinder efter hjärnskada i vuxen ålder föranledd av yttre våld eller kroppslig sjukdom, eller med andra varaktiga fysiska eller psykiska funktionshinder som uppenbart inte beror på normalt åldrande, om de är stora och förorsakar betydande svårigheter i den dagliga livsföringen och därmed ett omfattande behov av stöd eller
service (1 § LSS). Det anges även vilka insatser som regionen respektive kommunen svarar för (2 § LSS).
När det gäller socialtjänstens verksamhet som avser äldre finns det i 4 kap. 2 a § och 5 kap.socialtjänstlagen särskilda bestämmelser om insatser för äldre. Socialtjänstlagen preciserar dock inte vad som menas med äldre. Det ligger därför inom kommunernas befogenhet att i sina riktlinjer för handläggning närmare precisera vilken ålder som kan anses vara vägledande vid handläggningen av olika typer av ärenden om ansökningar om hjälp och stöd till äldre personer.5
Det finns alltså ingen enhetlig definition av vad som avses med vare sig äldre eller personer med funktionsnedsättningar. När det gäller gruppen äldre framstår det enligt utredningens mening dessutom inte som lämpligt att i en lag om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning precisera vad som menas med äldre, eftersom detta skulle kunna få påverkan på kommunernas befogenhet att tolka socialtjänstlagen och därmed deras självbestämmande.
Bestämmelserna i LSS avser bara insatser för personer med funktionsnedsättningar. Som framgår ovan och i avsnitt 8.5 finns det också i socialtjänstlagen bestämmelser som avser insatser för just äldre eller personer med funktionsnedsättningar, 4 kap. 2 a § och 5 kap. 5 och 7 §§. Också 3 kap. 6 § första stycket socialtjänstlagen innehåller bestämmelser om insatser, hemtjänst, dagverksamheter eller annan liknande social tjänst för att underlätta för den enskilde att bo hemma och att ha kontakt med andra, som ofta lämnas till äldre och personer med funktionsnedsättningar på grund av behov som uppstått till följd av hög ålder eller funktionsnedsättning. För att uppnå en tydlig avgränsning av tillämpningsområdet för sammanhållen vård- och omsorgsdokumentation anser utredningen att avgränsningen bör utgå från dessa bestämmelser, dvs. de insatser som beskrivs i bestämmelserna. På så sätt blir det tydligt att dokumentation som avser andra insatser inom socialtjänsten inte får ingå i den sammanhållna vård- och omsorgsdokumentationen. Detta innebär att sådan dokumentation som görs beträffande en omsorgsmottagare, som i och för sig är äldre eller har en funktionsnedsättning, av en insats som beskrivs i andra bestämmelser inte får ingå i den sammanhållna vård- och omsorgsdokumentationen. Det får alltså inte ingå dokumentation av exempelvis insatser som lämnas för behov på
grund av att omsorgsmottagaren har ett missbruk, är utsatt för våld i nära relation, är skuldsatt, inte kan försörja sig eller för att utredning pågår på kommunens familjerättsenhet på grund en vårdnadstvist. Om omsorgsgivaren i dokumentationen nämner att omsorgsmottagaren även får viss annan insats och denna uppgift kan antas ha betydelse för omsorgsgivarens insatser för omsorgsmottagaren som beskrivs i de uppräknade bestämmelserna, eller utredning om sådana insatser (se avsnitt 16.7), är detta dock fråga om en sådan uppgift som får ingå i den sammanhållna vård- och omsorgsdokumentationen.
En närmare beskrivning av de insatser som bör omfattas av sammanhållen vård- och omsorgsdokumentation följer nedan.
Insatser för äldre
Som framgår av avsnitt 8.5 kan äldre enligt socialtjänstlagen få ett antal insatser inom den individinriktade omsorgsverksamheten.
I 5 kap. 5 § socialtjänstlagen finns särskilda bestämmelser om biståndsinsatser för äldre personer i form av stöd och hjälp i hemmet och annan lättåtkomlig service. Sådan hjälp ges oftast i form av hemtjänst, se mer om innebörden av hemtjänst i avsnitt 8.5.5. Det finns även bestämmelser om särskilda boendeformer för service och omvårdnad för äldre som behöver särskilt stöd. Bestämmelserna binder inte kommunen att anordna en viss form av boende, utan kommunen kan anordna de boendeformer som är mest ändamålsenliga med utgångspunkt i de lokala förhållandena.6 Begreppet särskilt boende är inte närmare preciserat i lag utan är sedan den s.k. ädelreformen ett samlingsbegrepp för de former av boenden som tidigare benämndes servicehus eller servicelägenhet, ålderdomshem, gruppboende och sjukhem.7 Även korttidsboende är en del i begreppet särskilt boende.8 Tanken är alltså att de särskilda boendena ska kunna tillgodose varierande och särskilda behov av vård och omsorg hos äldre. Utgångspunkten är att särskilt boende ska vara utformat på ett sådant sätt att de äldres individuella behov av service, omvårdnad och tillsyn går att tillgodose dygnet runt. Vidare ska det särskilda boendet erbjuda en god vård och omsorg som beaktar den äldre personens behov av självbestämmande, integritet, trygghet och livs-
6Prop. 1990/91:14 s. 42. 7Prop. 1990/91:14 s. 38 ff. 8SOU 2017:21 s. 214 med hänvisning till prop. 1990/91:14 s. 54 och prop. 2005/06:115. s. 79 ff.
kvalitet samt möjliggöra kvarboende, dvs. att åldringen ska kunna bo kvar i boendet tills livet är slut, och inte behöva flytta om behoven av service och omvårdnad skiftar.9 Det finns även en bestämmelse om s.k. biståndsbedömda trygghetsboenden, dvs. särskilda boendeformer för äldre som främst behöver stöd och hjälp i boendet och annan lättåtkomlig service och som därutöver har behov av att bryta oönskad isolering. Bistånd till dessa insatser beviljas efter behovsprövning med stöd av 4 kap. 1 § socialtjänstlagen. Insatser som beskrivs i 5 kap. 5 § socialtjänstlagen och som ges som bistånd enligt 4 kap. 1 § socialtjänstlagen lämnas därför till äldre på grund av behov som uppstått till följd av hög ålder och dokumentation av dessa insatser bör därför omfattas av de föreslagna bestämmelserna om sammanhållen vård- och omsorgsdokumentation.
I direktiven nämns som exempel på individinriktad verksamhet inom socialtjänsten dagverksamhet för personer med demenssjukdom som en del av de insatser till äldre som bör omfattas av möjligheten till sammanhållen omsorgsdokumentation.10 Äldre, liksom övriga, som har behov av det, kan få stöd i att ha kontakt med andra genom dagverksamheter eller annan liknande social tjänst enligt 3 kap. 6 § första stycket socialtjänstlagen. Bistånd till de beskrivna insatserna beviljas efter behovsprövning med stöd av 4 kap. 1 § socialtjänstlagen. Inom dagverksamheter har dessutom kommunen ansvaret för hälso- och sjukvård, exklusive läkarinsatser, precis som i särskilda boendeformer (12 kap. 1 § hälso- och sjukvårdslagen, [2017:30] förkortad HSL). Utredningen konstaterar härvid att vissa insatser som beskrivs i 3 kap. 6 § första stycket socialtjänstlagen lämnas till äldre. Bestämmelsen i 3 kap. 6 § första stycket socialtjänstlagen beskriver dock inte uteslutande insatser som riktar sig till äldre på grund av behov som uppstått till följd av hög ålder (till skillnad från bestämmelserna i 5 kap. 5 § socialtjänstlagen) utan insatserna som beskrivs i bestämmelsen kan lämnas även på grund av behov som uppstått av andra skäl. Exempel på detta kan vara att en enskild på grund av missbruk eller en olyckshändelse har behov av hemtjänst för att kunna bo hemma och ha kontakt med andra.
Som utredningen redogjort för ovan är det enligt direktiven dokumentation om vissa grupper av enskilda, dvs. äldre och personer med funktionsnedsättningar, som ska kunna ingå i sammanhållen
9SOU 2017:21 s. 214 f. 10 Dir. 2019 :37 s. 14.
vård- och omsorgsdokumentation (se ovan under Den dokumenta-
tion som omfattas av sammanhållen vård- och omsorgsdokumentation). För att avgränsa så att endast dokumentation rörande äldre
omfattas av sammanhållen vård- och omsorgsdokumentation, bör endast dokumentation som görs vid insatser som beskrivs i 3 kap. 6 § första stycket socialtjänstlagenoch som lämnas till äldre omfattas av de föreslagna bestämmelserna om sammanhållen vård- och omsorgsdokumentation. Avsikten är att respektive region och kommun genom interna riktlinjer får avgöra när någon är äldre. Sådana insatser som lämnas till någon som inte anses som äldre enligt kommunens riktlinjer omfattas däremot inte. Alla insatser i form av hemtjänst, dagverksamhet eller annan liknande social tjänst för att underlätta för den enskilde att bo hemma och att ha kontakt med andra som lämnas till äldre bör omfattas, även om insatsen inte lämnas på grund av behov till följd av hög ålder. Anledningen till detta är att det annars skulle kunna uppstå situationer där dokumentation om vissa delar av en beviljad hemtjänstinsats får ingå i sammanhållen vård- och omsorgsdokumentation, medan dokumentation om andra delar av insatsen inte får det, beroende på om insatsen lämnas på grund av behov som uppstått till följd av hög ålder eller behov som uppstått till följd av något annat, exempelvis en olyckshändelse. Exempelvis skulle de delar av insatsen som lämnas på grund av demens få ingå, medan de delar av insatsen som lämnas på grund av att samma person brutit benet i samband med en bilolycka, inte skulle få ingå.
Det finns även en möjlighet för socialnämnden att med stöd av 4 kap. 2 a § socialtjänstlagen erbjuda hemtjänst till äldre utan föregående behovsprövning. Syftet är att ge de kommuner som så önskar möjlighet att bevilja äldre insatser inom äldreomsorg på ett enklare sätt och med större utrymme för delaktighet och självbestämmande.11 I förarbetena till bestämmelsen uttalade regeringen att eftersom det inte görs någon föregående behovsprövning, har kommunen att förhålla sig till att den som ansöker om en sådan hemtjänstinsats uppfyller de kriterier som kommunen har fastställt i sina riktlinjer och att beslutet ska dokumenteras enligt bestämmelserna om dokumentation i 11 kap.5 och 6 §§ och 7 kap. 3 §socialtjänstlagen.12I bestämmelsen anges särskilt att kommunen ska följa upp insat-
11Prop. 2017/18:106 s. 1. 12Prop. 2017/18:106 s. 22.
serna med utgångspunkt i kommunens riktlinjer, insatsernas kvalitet enligt 3 kap. 3 § socialtjänstlagen och värdegrunden i 5 kap. 4 § socialtjänstlagen. Dokumentation av insatser som beviljats enligt 4 kap. 2 a § socialtjänstlagen lämnas därför på grund av behov som uppstått till följd av hög ålder och bör därför också omfattas av den föreslagna lagen.
Utredningen noterar att sådana insatser för äldre som tillhandahålls enligt lagen (2009:47) om vissa kommunala befogenheter, den s.k. befogenhetslagen, inte dokumenteras enligt 11 kap. 5 § socialtjänstlagen, och omfattas därmed inte heller av de föreslagna bestämmelserna om sammanhållen vård- och omsorgsdokumentation.
Insatser för personer med funktionsnedsättningar
Som framgår av avsnitt 8.5, kan personer med funktionsnedsättningar enligt socialtjänstlagen få ett antal olika insatser från socialtjänsten inom den individinriktade omsorgsverksamheten. I 5 kap. 7 § socialtjänstlagen finns särskilda bestämmelser om biståndsinsatser för personer med funktionsnedsättningar i form av medverkan till att den enskilde får en meningsfull sysselsättning och får bo på ett sätt som är anpassat efter hans eller hennes behov av särskilt stöd. Exempel på sådana insatser är boendestöd och hemtjänst. Personer som till följd av sådana svårigheter som nämnts behöver ett boende med särskild service kan med stöd av denna bestämmelse också få bistånd i form av särskilt boende. Bistånd till dessa insatser beviljas efter behovsprövning med stöd av 4 kap. 1 § socialtjänstlagen. Dokumentation som görs vid utförandet av insatser som beskrivs i 5 kap. 7 § socialtjänstlagen och som lämnas som bistånd enligt 4 kap. 1 § socialtjänstlagen lämnas därför till personer med funktionsnedsättningar på grund av behov som uppstått till följd av funktionsnedsättning, och bör därför omfattas av de föreslagna bestämmelserna om sammanhållen vård- och omsorgsdokumentation.
Personer med funktionsnedsättningar har även rätt att få insatser från region och kommun enligt LSS. Utredningens direktiv är utformade så att den sammanhållna vård- och omsorgsdokumentationen bör, utöver insatser enligt socialtjänstlagen för personer med funktionsnedsättningar, även omfatta verksamheter som avser personer med funktionsnedsättningar som har insatser enligt LSS.
De insatser som lämnas enligt LSS är av olika karaktär, se avsnitt 8.5.6, och vissa av dem innebär, när den funktionshindrade är ett barn, att personuppgifter beträffande vårdnadshavare antecknas i barnets personakt. Detta kan gälla för insatsen rådgivning och annat personligt stöd som ställer krav på särskild kunskap om problem och livsbetingelser för människor med stora och varaktiga funktionshinder (9 § 1 LSS). En sådan insats lämnas, som alla insatser enligt 9 § LSS, till den funktionshindrade, men kan och bör ofta utformas som rådgivning och personligt stöd till hela familjen. Det kan också vara fråga om stöd till exempelvis familjehemsföräldrar. 13 Detsamma kan även sägas gälla korttidsvistelse utanför det egna hemmet (9 § 6 LSS). Om dokumentation av dessa insatser ska ingå i sammanhållen vård- och omsorgsdokumentation, kan personuppgifter avseende vårdnadshavare och familjehemsföräldrar komma att antecknas i barnets personakt och det är då (bara) barnet som kan motsätta sig att uppgifterna ingår i sammanhållen vård- och omsorgsdokumentation. Utredningen anser dock att detta inte utgör något hinder mot att dokumentation om insatser av detta slag ingår i sammanhållen vård- och omsorgsdokumentation. Motsvarande bedömning har gjorts av utredningen i avsnitt 16.1.5 dvs. att dokumentation om omsorgsmottagaren får innehålla personuppgifter om andra personer, t.ex. uppgifter om make eller annan närstående, om det är nödvändigt att dokumentera dessa uppgifter för att omsorgsgivaren ska kunna ansvara för eller utföra insatser för omsorgsmottagaren.
Det är regionen som har ansvar för insatsen rådgivning och annat personligt stöd som ställer krav på särskild kunskap om problem och livsbetingelser för människor med stora och varaktiga funktionshinder (9 § 1 LSS) och kommunen som har ansvar för att lämna de övriga insatser som räknas upp i lagen (9 § 2–9 LSS). Detta innebär att såväl kommunen som regionen har en skyldighet att dokumentera handläggningen av LSS-ärenden samt genomförande av beslut om stödinsatser, vård och behandling enligt LSS. Regionens ansvar för rådgivning och annat personligt stöd enligt LSS är inte sådan hälso- och sjukvård som omfattas av sammanhållen journalföring enligt patientdatalagen (1 kap. 3 § PDL). Utredningen kan dock inte se något hinder mot att dokumentation som görs av såväl kommunen som regionen ingår i den sammanhållna vård- och omsorgs-
13 Per-Anders Sunesson och Lars Lundgren, Nya sociallagarna, kommentaren till 9 § LSS, JUNO version 2019-12-01.
dokumentationen, varför utredningen föreslår att all dokumentation enligt LSS ska omfattas av de föreslagna bestämmelserna om sammanhållen vård- och omsorgsdokumentation. Utredningens förslag är alltså att alla insatser enligt LSS får ingå i sammanhållen vård- och omsorgsdokumentation.
För personer med funktionsnedsättningar finns, liksom för äldre, möjlighet till insats i form av hemtjänst, dagverksamhet eller annan liknande social tjänst för att underlätta för den enskilde att bo hemma och att ha kontakt med andra (3 kap. 6 § första stycket SoL). Bistånd till insatser som beskrivs i 3 kap. 6 § första stycket socialtjänstlagen beviljas efter behovsprövning med stöd av 4 kap. 1 § socialtjänstlagen. Utredningen konstaterar att de insatser som beskrivs i 3 kap. 6 § första stycket socialtjänstlagen ofta lämnas till personer med funktionsnedsättningar. Bestämmelsen i 3 kap. 6 § första stycket socialtjänstlagen beskriver dock inte insatser som uteslutande riktar sig till personer med funktionsnedsättningar på grund av behov som uppstått till följd av funktionsnedsättning (till skillnad från bestämmelserna i 5 kap. 7 § socialtjänstlagen) utan insatserna som beskrivs i bestämmelsen kan lämnas även på grund av behov som uppstått av andra skäl. Exempel på detta kan vara att en enskild på grund av missbruk eller en olyckshändelse har behov av insats för att kunna bo hemma och ha kontakt med andra. Som utredningen redogjort för ovan är det enligt direktiven dokumentation om vissa grupper av enskilda, dvs. äldre och personer med funktionsnedsättningar, som ska kunna ingå i sammanhållen vård- och omsorgsdokumentation (se ovan under rubriken Den dokumentation som omfattas
av sammanhållen vård- och omsorgsdokumentation). För att avgränsa
så att endast dokumentation om personer med funktionsnedsättningar omfattas av sammanhållen vård- och omsorgsdokumentation bör endast dokumentation som görs vid insatser som beskrivs i 3 kap. 6 § socialtjänstlagenoch som lämnas till personer med funktionsnedsättningar omfattas av de föreslagna bestämmelserna om sammanhållen vård- och omsorgsdokumentation. Avsikten är att respektive region och kommun genom interna riktlinjer får avgöra vad som är en funktionsnedsättning i detta avseende. Sådana insatser som lämnas till någon som inte anses som en person med funktionsnedsättning enligt kommunens riktlinjer omfattas däremot inte. Alla insatser i form av hemtjänst, dagverksamhet eller annan liknande social tjänst för att underlätta för den enskilde att bo
hemma och att ha kontakt med andra som lämnas till personer med funktionsnedsättningar bör omfattas, även om insatsen inte lämnas på grund av behov till följd av funktionsnedsättning. Anledningen till detta är att det annars skulle kunna uppstå situationer där dokumentation om vissa delar av en beviljad hemtjänstinsats får ingå i sammanhållen vård- och omsorgsdokumentation medan dokumentation om andra delar av insatsen inte får det beroende på om insatsen lämnas på grund av behov som uppstått till följd av att personen har en funktionsnedsättning eller behov som uppstått till följd av något annat, exempelvis en olyckshändelse. Exempelvis skulle de delar av insatsen som lämnas på grund av att en person har en neuropsykiatrisk diagnos få ingå, medan de delar av insatsen som lämnas på grund av att samma person brutit benet i samband med en bilolycka inte skulle få ingå.
Sammanfattande om insatser för äldre eller personer med funktionsnedsättningar
Mot bakgrund av vad som framkommit ovan i detta avsnitt anser utredningen att tillämpningsområdet för sammanhållen vård- och omsorgsdokumentation bör avgränsas till att omfatta dokumentation avseende vissa insatser för äldre och personer med funktionshinder. Insatser som lämnas enligt LSS ska räknas till dessa insatser. Dessutom ska dokumentation av insatser som beskrivs i 3 kap. 6 § första stycket socialtjänstlagen och som lämnas till äldre och personer med funktionsnedsättningar samt insatser som beskrivs i 5 kap.5 och 7 §§socialtjänstlagen få ingå i den sammanhållna vård- och omsorgsdokumentationen. Det kan exempelvis handla om bistånd enligt socialtjänstlagen till insatser till livsföring i övrigt som innebär stöd i daglig livsföring i form av hemtjänst, dagverksamhet, korttidsvistelse, boendestöd, kontaktperson och särskild boendeform. Även dokumentation av insats i form av hemtjänst till äldre enligt 4 kap. 2 a § socialtjänstlagen, som lämnas utan föregående behovsprövning, ska få ingå i den sammanhållna vård- och omsorgsdokumentationen. För att underlätta så att en sådan avgränsning ska fungera i praktiken är det viktigt att det i socialtjänstens beslut om bistånd finns tydligt angivet att dokumentation avseende insatsen kan ingå i sammanhållen vård- och omsorgsdokumentation, eftersom den är sådan som avses respektive beskrivs i dessa bestämmelser och, när det gäller
insatser som beskrivs i 3 kap. 6 § socialtjänstlagen, även att insatsen lämnas till någon som är äldre eller har funktionsnedsättning. På så sätt blir det tydligt att dokumentation om denna insats får ingå i systemet med sammanhållen vård- och omsorgsdokumentation.14Detta kan innebära att rutiner och verksamhetsstöd för dokumentation kan behöva anpassas så att det tydligt framgår av beslutsdokumentationen om dokumentationen får ingå i sammanhållen vård- och omsorgsdokumentation.
16.1.3. Definition av insatser för äldre eller personer med funktionsnedsättningar
För att de föreslagna bestämmelserna inte ska bli för svårlästa har utredningen gjort bedömningen att det behövs en gemensam benämning för de insatser som får dokumenteras genom sammanhållen vård- och omsorgsdokumentation. Enligt utredningens mening framstår benämningen ”insatser för äldre eller personer med funktionsnedsättningar som lämplig”. Mot bakgrund av vad som framkommit i avsnitten ovan om vilka insatser en omsorgsmottagare kan få beviljade för att omsorgsmottagaren är äldre eller har en funktionsnedsättning bör den gemensamma benämningen insatser för äldre eller personer
med funktionsnedsättningar i lagen betyda insatser
1. enligt 4 kap. 1 § socialtjänstlagen (2001:453) som beskrivs i 3 kap.
6 § första stycket socialtjänstlagen och som lämnas till äldre och personer med funktionsnedsättningar,
2. enligt 4 kap. 1 § socialtjänstlagen som beskrivs i 5 kap. 5 och 7 §§
3. enligt 4 kap. 2 a § socialtjänstlagen, och
4. enligt LSS.
14 Jämför Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2014:5) om dokumentation i
verksamhet som bedrivs med stöd av SoL, LVU, LVM och LSS, där det anges att dokumen-
tationen av ett beslut om bistånd till en insats ska innehålla uppgifter om vilket lagrum och vilka skäl som ligger till grund för beslutet (5 kap. 14 §).
16.1.4. Socialtjänst som inte omfattas av sammanhållen vård- och omsorgsdokumentation
Definitionen av insatser för äldre eller personer med funktionsnedsättningar innebär att dokumentation om insatser som beskrivs i andra bestämmelser i socialtjänstlagen än de uppräknade inte får ingå i sammanhållen vård- och omsorgsdokumentation. Vidare innebär definitionen att bara dokumentation om insatser som lämnas till äldre och personer med funktionsnedsättningar får ingå i sammanhållen vård- och omsorgsdokumentation. Exempelvis får inte dokumentation om insatser som lämnas på grund av att omsorgsmottagaren eller närstående till omsorgsmottagaren har ett missbruk, att omsorgsmottagaren är utsatt för våld i nära relation, är skuldsatt, har behov av försörjningsstöd eller förekommer i en utredning på kommunens familjerättsenhet på grund en vårdnadstvist, vara tillgänglig genom sammanhållen vård- och omsorgsdokumentation. Inte heller dokumentation avseende insatser som bygger på tvångslagstiftning får ingå i sammanhållen vård- och omsorgsdokumentation.
Alla insatser i form av hemtjänst, dagverksamhet eller annan liknande social tjänst för att underlätta för den enskilde att bo hemma och att ha kontakt med andra enligt 3 kap. 6 § första stycket socialtjänstlagen, som lämnas till äldre eller personer med funktionsnedsättningar, bör alltså omfattas. Anledningen till kravet på att insatsen ska lämnas till äldre och personer med funktionsnedsättningar är att 3 kap. 6 § första stycket socialtjänstlagen inte beskriver insatser som uteslutande riktar sig till äldre (som bestämmelserna i 4 kap. 2 a § och 5 kap. 5 §socialtjänstlagen) eller uteslutande till personer med funktionsnedsättningar (som bestämmelsen i 5 kap. 7 § socialtjänstlagen och LSS) utan insatserna som beskrivs i bestämmelsen kan lämnas även av andra skäl än behov som uppstått till följd av hög ålder eller funktionsnedsättning. Exempel på detta kan vara att någon på grund av missbruk eller en olyckshändelse har behov av insatser för att kunna bo hemma och ha kontakt med andra. Turbundna resor, dvs. resor till och från dagverksamhet och korttidstillsyn omfattas dock inte.15
Om det för att ansvara för eller utföra insatser som räknas som insatser för äldre eller personer med funktionsnedsättningar enligt
15 Jfr RÅ 1996 ref. 45 vari fastslogs att 9§ 10 LSS inte anses innefatta dagliga resor till och från det dagcenter där verksamheten bedrivs.
avsnitt 16.1.3 (eller administration eller dokumentation av sådana insatser), är nödvändigt att nämna att omsorgsmottagaren även får viss annan insats, är detta dock fråga om en sådan uppgift som får ingå i den sammanhållna vård- och omsorgsdokumentationen.
16.1.5. Dokumentationen ska föras för varje omsorgsmottagare för sig
När det gäller de verksamheter inom socialtjänsten som rör äldre och personer med funktionsnedsättningar gäller enligt Socialstyrelsens föreskrifter huvudregeln att en personakt endast ska avse en person. Det finns dock gällande vissa andra typer av ärenden en möjlighet att låta en personakt avse flera personer i samma familj. Detta gäller emellertid endast ärenden om ansökan om ekonomiskt bistånd, utredning gällande internationell adoption, utredning av ett tänkbart familjehem och gemensam ansökan om medgivande att ta emot ett barn för stadigvarande vård och fostran. Motsvarande reglering finns inte för sammanhållen journalföring, eftersom det i patientdatalagen anges att det ska föras en patientjournal för varje patient och att en patientjournal inte får vara gemensam för flera patienter (3 kap. 1 § PDL).
Det kan naturligtvis uppfattas som oroande för en person att uppgifter om honom eller henne kan bli tillgängliga genom sammanhållen vård- och omsorgsdokumentation på grund av att de förekommer i dokumentation som rör en annan person, en omsorgsmottagare.
Mot denna bakgrund anser utredningen, trots att huvudregeln enligt myndighetsföreskrifter är att en personakt endast ska avse en person, att det direkt av lagen bör framgå att möjlighet till sammanhållen vård- och omsorgsdokumentation endast finns om dokumentationen förs för varje omsorgsmottagare för sig, dvs. i sak samma regel som finns för journalföring inom hälso- och sjukvården. Detta innebär att den dokumentation som finns i den sammanhållna vård- och omsorgsdokumentationen om en omsorgsmottagare ska avse just en person, dvs. den omsorgsmottagare som fått eller får insatser. Dokumentationen om omsorgsmottagaren kan dock innehålla personuppgifter om andra personer än omsorgsmottagaren, t.ex. uppgifter om make eller annan närstående, om det är nödvändigt att dokumentera dessa uppgifter för att omsorgsgivaren ska kunna an-
svara för eller utföra insatser för äldre eller personer med funktionsnedsättningar eller administrera sådana insatser. Det finns enligt utredningens mening inget hinder mot att sådana uppgifter omfattas av sammanhållen vård- och omsorgsdokumentation. Någon sådan begränsning finns inte heller i dag inom sammanhållen journalföring.
I 7 a § SoLPUL finns ett förbud mot att i sammanställningar av personuppgifter ta in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga personliga förhållanden. Bestämmelserna om sammanhållen vård- och omsorgsdokumentation innebär dock endast att en omsorgsgivares personakt i fråga om insatser för äldre eller personer med funktionsnedsättningar för en person får föras elektroniskt och delas med andra omsorgsgivare. Det är alltså fråga om bestämmelser som gäller en del av en personakt för en person och inte fråga om en sådan sammanställning av personuppgifter som avses i 7 a § SoLPUL.
16.1.6. Omsorgsmottagare och patient
Utredningen föreslår att sammanhållen vård- och omsorgsdokumentation ska få tillämpas på vårdgivares, och i vissa fall även socialtjänstens behandling av personuppgifter. Eftersom socialtjänst och hälso- och sjukvård är två olika typer av verksamhet, som styrs av olika regler om bl.a. sekretess och personuppgiftshantering, anser utredningen att regelverket blir tydligare och mer lättillämpat om regelverket använder olika beteckningar för den vars personuppgifter behandlas inom socialtjänst respektive hälso- och sjukvård.
I regelverket om sammanhållen journalföring i 6 kap. patientdatalagen benämns den vars personuppgifter behandlas för patient. Som tidigare nämnts i avsnitt 16.1.1 är inte tanken att någon materiell ändring ska ske av gällande bestämmelser om sammanhållen journalföring i patientdatalagen utan att dessa bestämmelser i princip ska tillämpas som tidigare med samma materiella innehåll.16 Med hänsyn till detta anser utredningen att begreppet patient även bör användas i bestämmelserna om sammanhållen vård- och omsorgsdokumentation. Begreppet patient finns emellertid inte definierat i vare sig patientdatalagen eller hälso- och sjukvårdslagen. Socialstyrelsens har
16 En ändring görs dock i förhållande till regleringen i patientdatalagen när det gäller formen för utlämnande, som ska kunna ske genom direktåtkomst eller annat elektroniskt utlämnande, se närmare utredningens beskrivning av detta i avsnitt 16.3. En ändring görs också rörande möjligheten att ta del av barns personuppgifter, se avsnitt 16.6.3.
en termbank som innehåller begrepp för fackområdet vård och omsorg. Begreppen i termbanken har analyserats enligt terminologilärans metoder och principer och förankrats internt på Socialstyrelsen samt i bred remiss till regioner, kommuner, privata vårdgivare, myndigheter och andra organisationer. I Socialstyrelsens termbank anges begreppet patient ha innebörden person som erhåller eller är
registrerad för att erhålla hälso- och sjukvård. Utredningen anser där-
för att det är lämpligt att utgå från denna definition i den föreslagna lagen. Därför bör patient i den föreslagna lagen definieras som en person som fått, får eller är registrerad för att få hälso- och sjukvård.
Nästa fråga är hur den som fått eller får omsorg bör benämnas i bestämmelserna om sammanhållen vård- och omsorgsdokumentation. Mot bakgrund av de behov som beskrivits i avsnitt 12.2 och 13.2 gör utredningen bedömningen att det finns behov av utbyte av vård- och omsorgsdokumentation inom socialtjänsten rörande såväl personer som redan fått beslut om insatser för äldre eller personer med funktionsnedsättningar som personer som får behovet av sådana insatser bedömda.
För att de föreslagna bestämmelserna inte ska bli för svårlästa har utredningen gjort bedömningen att det behövs en gemensam benämning för den person inom socialtjänsten vars personuppgifter får behandlas enligt bestämmelserna om sammanhållen vård- och omsorgsdokumentation. En sådan benämning är enligt utredningens mening nödvändig även om en särskild benämning av vissa skulle kunna uppfattas som stigmatiserande eller otidsenlig. Det är därför viktigt att betona att avsikten med en särskild benämning endast är att beskriva den person vars personuppgifter behandlas inom sammanhållen vård- och omsorgsdokumentation. Benämningen är alltså bara avsedd att användas i den föreslagna lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning och vid tillämpning av denna, och inte i stort inom socialtjänsten. Någon benämning som motsvarar patient som skulle kunna användas i den föreslagna lagen finns inte i SoLPUL, där används endast benämningen registrerad
person (se 6 § tredje stycket). Inte heller i socialtjänstlagen finns
någon benämning som motsvarar patient, på flera ställen används dock benämningen enskilda (se bl.a. 3 kap. 1 §). Inget av dessa två begrepp är dock enligt utredningens mening lämpligt som gemensam benämning i fråga om sammanhållen vård- och omsorgsdokumentation. En patient är också en enskild respektive en registrerad
person och tanken är ju att man i den föreslagna lagen ska kunna skilja mellan patienter och andra. Den enskilde kan föra tankarna till enskild (privat) verksamhet och enskild såsom även ett (privat) företag (till skillnad från något offentligt/allmänt). Utredningen har övervägt att använda ordet brukare, som i Socialstyrelsens termbank definieras som ”person som får, eller som är föremål för en utredning om att få, individuellt behovsprövade insatser från socialtjänsten”. Med hänsyn till att sammanhållen vård- och omsorgsdokumentation inte ska gälla för alla brukare, utan endast de brukare som fått eller får insatser för äldre eller personer med funktionsnedsättningar är det enligt utredningens mening inte heller lämpligt att använda begreppet brukare. En sådan användning skulle kunna medföra osäkerhet kring avgränsningen av tillämpningsområdet för sammanhållen vård- och omsorgsdokumentation inom socialtjänsten.
Mot denna bakgrund har utredningen kommit fram till att en ny benämning behövs och att omsorgsmottagare framstår som lämpligt. Omsorgsmottagare passar väl ihop med begreppet omsorgsgivare, som enligt avsnitt 16.2.4 ska användas för att i lagen beteckna myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar (offentlig omsorgsgivare) och juridisk person eller enskild näringsidkare som utför sådana insatser (privat omsorgsgivare). Begreppet omsorgsmottagare är inte heller definierat i Socialstyrelsens termbank och enligt vad utredningen känner till används det inte heller på ett sådant sätt inom området för omsorg, vård och hälsa att det finns risk för sammanblandning eller otydlighet. I den föreslagna lagen bör därför uttrycket omsorgsmot-
tagare ha betydelsen person som fått eller får insatser för äldre eller
personer med funktionsnedsättningar, eller som fått eller får behovet av sådana insatser bedömda (se avsnitt 16.1.3 om definitionen av uttrycket insatser för äldre eller personer med funktionsnedsättningar). Att inte det kortare uttrycket omsorgstagare använts beror på att det kan förväxlas med någon som tar omsorg om någon annan.
16.1.7. Det är frivilligt att använda lagens bestämmelser om sammanhållen vård- och omsorgsdokumentation
Utredningen har uppfattat direktiven så att ingen ska tvingas att göra vård- och omsorgsdokumentation tillgänglig i ett system med sammanhållen vård- och omsorgsdokumentation. I likhet med vad som
i dag gäller för sammanhållen journalföring inom hälso- och sjukvården bör det därför vara frivilligt att inrätta eller ansluta sig till ett system med sammanhållen vård- och omsorgsdokumentation. Detta framgår av att det i de föreslagna bestämmelserna om sammanhållen vård- och omsorgsdokumentation anges när den får (men inte måste) tillämpas, se avsnitt 16.3 och 16.4. Den föreslagna lagen hindrar givetvis inte att någon genom avtal förpliktar sig att använda sammanhållen vård- och omsorgsdokumentation.
16.1.8. Övriga definitioner
Som framgår av avsnitt 16.1.1 bör bestämmelserna om sammanhållen journalföring i patientdatalagen upphävas och ersättas med bestämmelser om sammanhållen vård- och omsorgsdokumentation. Med
sammanhållen vård- och omsorgsdokumentation avses ett elektroniskt
system, som gör det möjligt för en vård- eller omsorgsgivare att ge eller få tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos andra vård- eller omsorgsgivare, se mer om detta i avsnitt 16.3.
Med vårdgivare avses i patientdatalagen statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare) (1 kap. 3 §). Eftersom bestämmelserna om sammanhållen vård- och omsorgsdokumentation ska få tillämpas på vårdgivares behandling av personuppgifter enligt patientdatalagen, anser utredningen att samma definition bör finnas även i den föreslagna lagen.
Även den definition av hälso- och sjukvård som finns i patientdatalagen bör tas in i den föreslagna lagen. Det ska noteras att denna definition innehåller en hänvisning till den upphävda lagen (1944:133) om kastrering. När denna lag upphävdes uttalades i förarbetena att detta föranledde följdändringar i bl.a. patientdatalagen innebärande att hänvisningen till kastreringslagen ändrades till en hänvisning till ”den upphävda” kastreringslagen. Skälet till var att bestämmelser i patientdatalagen om exempelvis hantering och bevarande av journalhandlingar som förts i verksamhet enligt kastreringslagen, även efter
lagens upphävande borde gälla.17 Utredningen bedömer att sammanhållen vård- och omsorgsdokumentation kan innebära hantering av personuppgifter i verksamhet som avses i kastreringslagen och anser därför att hänvisningen till ”den upphävda” kastreringslagen ska finnas med i den aktuella definitionen.
För definition av begreppet omsorgsgivare, se avsnitt 16.2.
16.2. Innebörden av begreppet omsorgsgivare
Utredningens förslag: Verksamheter inom socialtjänsten som
får ha tillgång till sammanhållen vård och omsorgsdokumentation ska benämnas omsorgsgivare. Omsorgsgivare är den myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar enligt definitionen som beskrivs i avsnitt 16.1.3 (offentlig omsorgsgivare). Som omsorgsgivare anses också juridisk person eller enskild näringsidkare som utför sådana insatser (privat omsorgsgivare).
16.2.1. Inledning
Utredningen har i avsnitt 16.1 föreslagit att bestämmelserna om sammanhållen vård- och omsorgsdokumentation får tillämpas på vårdgivares behandling av personuppgifter enligt patientdatalagen och på socialtjänstens behandling av personuppgifter enligt SoLPUL för dokumentation avseende sådana insatser för äldre eller personer med funktionsnedsättningar enligt definitionen som beskrivs i avsnitt 16.1.3. Frågan är då vem inom socialtjänsten som bör ha möjlighet att ge och få tillgång till den sammanhållna vård- och omsorgsdokumentationen. Av de kontakter med företrädare för socialtjänsten som utredningen haft har det framkommit att det finns behov av tillgång till sammanhållen vård- och omsorgsdokumentation såväl för den som ansvarar för insatserna som för den som utför sådana insatser.
16.2.2. Den som ansvarar för insatser inom socialtjänsten
Utredningens uppdrag är att se över möjligheterna att införa direktåtkomst, liknande den möjlighet som i dag ges genom sammanhållen journalföring inom hälso- och sjukvården, dels mellan socialtjänstens verksamheter i vissa delar och verksamheter enligt LSS, dels mellan dessa verksamheter och hälso- och sjukvården. En del av socialtjänstens verksamhet i detta avseende innebär att se till att den enskilde får de insatser som den enskilde har rätt till, dvs. att insatserna genomförs. En annan viktig del av denna verksamhet består av att handlägga och besluta i ärenden om insatser och följa upp besluten om insatser, dvs. att ansvara för insatser. Detta arbete ankommer på den eller de nämnder som kommunfullmäktige bestämmer i respektive kommun (se 2 kap. 4 § SoL och 22 § LSS). Regioner och kommuner kan också besluta att dessa arbetsuppgifter ska ankomma på en gemensam nämnd, se lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet och 9 kap. 21 § kommunallagen (2017:725).
Genom sammanhållen journalföring inom hälso- och sjukvården får en vårdgivare, under vissa särskilda förutsättningar, ha direktåtkomst till personuppgifter som behandlas av andra vårdgivare. Som vårdgivare anses statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (s.k. offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (s.k. privat vårdgivare). Detta innebär att direktåtkomst möjliggörs för såväl offentliga vårdgivare som privata vårdgivare. Eftersom utredningen har i uppdrag att se över om det finns möjlighet att införa liknande direktåtkomst som finns genom sammanhållen journalföring, ska utredningen även utreda möjligheterna att införa direktåtkomst genom sammanhållen vård- och omsorgsdokumentation inte bara för de som utför insatser inom verksamheterna utan även för den myndighet som har ansvar för insatserna, dvs. kommunernas nämnder.
Som framgått av avsnitt 12.2.2 har nämnden ett stort behov av tillgång till utförarnas dokumentation för att kunna följa upp insatsbesluten så att det lagstadgade kravet på god kvalitet uppfylls. Enligt 3 kap. 3 § socialtjänstlagen ska kvaliteten i verksamheten systematiskt och fortlöpande utvecklas och säkras. Därmed åligger det också nämnden att följa upp att den enskilde får den beviljade insatsen
utförd enligt nämndens beslut och gällande författningar. Det är alltid den beslutande nämnden som har ansvaret för att den enskilde verkligen får det bistånd som har beviljats, oavsett om det är den beslutande nämnden själv, en annan nämnd eller en privat utförare som verkställer (utför) den beslutade insatsen. Med detta ansvar följer självklart en skyldighet att dokumentera att beslutet har verkställts samt att följa upp den beviljade insatsen.18 Detta gör kommunen genom att biståndshandläggaren tar del av den dokumentation som utföraren är skyldig att göra om sina insatser. Av denna dokumentation ska det enligt Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2014:5) om dokumentation i verksamhet som bedrivs med stöd av SoL, LVU, LVM och LSS bl.a. framgå vilka åtgärder som utföraren vidtagit för att den enskilde ska få den beviljade insatsen utförd, om det har tillkommit omständigheter eller inträffat händelser som har medfört att insatsen helt eller delvis inte har kunnat genomföras som planerat och om den enskilde har framfört några klagomål till utföraren på genomförandet av insatsen.
Nämndens biståndshandläggare behöver ha tillgång till utförarnas dokumentation för att snabbt kunna upptäcka om ett uppdrag bör justeras när en omsorgsmottagares situation förändras. Att det behövs illustreras tydligt av att det finns exempel på kommuner som har försökt lösa behovet av att följa upp och dokumentera beslutade insatser genom att socialnämnden fått direktåtkomst till vissa sekretesskyddade personuppgifter hos en privat utförare. Datainspektionen förelade dock i ett fall kommunen att upphöra med denna behandling av personuppgifter med hänvisning till att sådan direktåtkomst inte var tillåten på grund av sekretessbestämmelser och dataskyddslagstiftning.19
Olika kommunala nämnder kan även i andra fall ha behov av varandras dokumentation. Som exempel kan nämnas fall då den organisatoriska uppdelningen är uppbyggd efter olika ämnesområden inom socialtjänsten så att ansvaret för äldreomsorg respektive stöd till personer med funktionsnedsättningar är placerat på olika nämnder. Då kan behov uppstå av att de båda nämnderna på ett enkelt sätt får tillgång till dokumentation avseende en viss individ som har insatser från båda nämnderna.
18Prop. 2005/06:115 s. 118, jfr prop. 2009/10:131 s. 27. 19 Datainspektionens beslut 2011-12-07, dnr 876-2010.
Av avsnitt 13.2 framgår att nämnden även kan ha behov av uppgifter från hälso- och sjukvården och vice versa. Som exempel på det förstnämnda kan nämnas information om egenvårdsbedömning som hälso- och sjukvården gjort, vilka diagnoser som omsorgsmottagaren har som påverkar omvårdnaden och bedömningen av patientens vårdbehov (t.ex. demens, funktionsvariationer eller epilepsi). Även information om rehabiliteringsinsatser och hälso- och sjukvårdens bedömning av den allmänna dagliga livsföringen (ADL) och andra funktionsbedömningar är viktiga för biståndshandläggare och LSS-handläggare att ha kännedom om. Som exempel på en situation när hälso- och sjukvården har behov av uppgifter från socialtjänsten kan nämnas att när en patient ska flytta in på ett särskilt boende behöver den kommunala hälso- och sjukvården få information om patienten i förväg för att inte insatser ska fördröjas.
I de allra flesta fall är det endast biståndshandläggaren som har behov av denna elektroniska tillgång i de ärende som handläggaren är ansvarig för, och sådan behörighet borde vara förhållandevis enkel att avgränsa i praktiken. Mot denna bakgrund anser utredningen att även nämnderna som har till arbetsuppgift att handlägga ärenden om insatser och följa upp beslut om insatser bör ha möjlighet att få och ge tillgång genom direktåtkomst eller annat elektroniskt utlämnande till personuppgifter som behandlas av hälso- och sjukvården eller utförare inom socialtjänsten, om det behövs för att handlägga ärenden om insatser och följa upp beslut om insatser för äldre eller personer med funktionsnedsättningar.
Sammanfattningsvis anser utredningen att den myndighet dvs. den nämnd som, enligt 2 kap. 4 § socialtjänstlagen, 22 § LSS, 9 kap. 21 § kommunallagen eller lagen om gemensam nämnd inom vård- och omsorgsområdet, handlägger och beslutar i ett ärende om en insats för äldre eller personer med funktionsnedsättningar bör omfattas av de föreslagna bestämmelserna om sammanhållen vård- och omsorgsdokumentation.
16.2.3. Den som utför insatser inom socialtjänsten
En individ kan få socialtjänstinsatser utförda av olika utförare, såväl privata som kommunala. Det är upp till den nämnd som beslutat om en viss insats att avgöra om insatsen ska tillhandahållas av en kom-
munal nämnd, eller genom en juridisk person eller enskild näringsidkare, genom att upphandla en privat utförare eller inrätta ett valfrihetssystem när det är tillämpligt. I Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2014:5) om dokumentation i verksamhet som bedrivs med stöd av SoL, LVU, LVM och LSS definieras utförare som nämnd eller enskild verksamhet som genomför en beslutad insats. Av samma föreskrifter framgår även att det av dokumentation hos den beslutande nämnden ska framgå vilken utförare som ska genomföra insatsen (5 kap. 19 §). Även utförarna har en dokumentationsskyldighet vid utförandet av de insatser som de har i uppdrag att utföra.
Som utredningen konstaterat i avsnitt 12.2.3 finns det, för att kunna ge omsorgsmottagaren insatser av god kvalitet, ett stort behov för utförarna av att utbyta uppgifter på ett effektivt och säkert sätt när olika utförare av insatser arbetar sida vid sida. Inom systemet med sammanhållen journalföring inom hälso- och sjukvården har privata vårdgivare (dvs. privata utförare av vård) samma möjlighet att få direktåtkomst till personuppgifter hos sjukvårdshuvudmannen som sjukvårdshuvudmannen har att få direktåtkomst till personuppgifter hos den privata vårdgivaren. Frågan är om en liknande möjlighet är lämplig för socialtjänsten inom sammanhållen vård- och omsorgsdokumentation.
För att beslutade insatser ska kunna genomföras på ett ändamålsenligt sätt görs ett informationsutbyte mellan den kommunala nämnd som fattat beslut om insatsen och den utförare som ska genomföra beslutet. Nämndens uppdrag till en utförare ska dokumenteras och dokumentationen ska bl.a. innehålla uppgifter om vilken bedömning som nämnden har gjort av den enskildes behov, vad som ingår i uppdraget, vilket eller vilka mål som gäller för insatsen och former för uppföljning i det enskilda fallet (5 kap. 22 § SOSFS 2014:5). Utföraren ska sedan i sin tur dokumentera dessa uppgifter (6 kap. 1 § SOSFS 2014:5). Det finns alltså dokumentation hos den ansvariga nämnden som utföraren behöver.
Av avsnitt 13.2 framgår att utförare även kan ha behov av uppgifter från hälso- och sjukvården och vice versa. Ett exempel på det förstnämnda är att omsorgsmottagare i många fall behöver hjälp med att genomföra åtgärder som ordinerats av hälso- och sjukvårdspersonal och som finns i omsorgsmottagarens hälso- och sjukvårdsjournal, tex. information om kostrestriktioner och ordination av motion.
Som exempel på en situation när hälso- och sjukvården har behov av uppgifter från utförare kan nämnas för att följa upp de åtgärder som ordinerats för att se om åtgärderna genomförts enligt ordinationen.
Gemensamt för dessa olika behov är dock att utföraren eller vårdgivaren inte har behov att ta del av all information om omsorgsmottagaren. Sammanhållen vård- och omsorgsdokumentation innebär emellertid endast en möjlighet för den ansvariga nämnden, utföraren eller vårdgivaren att tillåta tillgång genom direktåtkomst eller annat elektroniskt utlämnande till sin dokumentation. Den ansvariga nämnden, utföraren eller vårdgivaren avgör alltså i det enskilda fallet om direktåtkomst eller annat elektroniskt utlämnande ska vara möjligt inom sammanhållen vård- och omsorgsdokumentation och vilken dokumentation som ska vara tillgänglig. Mot denna bakgrund anser utredningen att utförare bör ha möjlighet att få och ge tillgång genom direktåtkomst eller annat elektroniskt utlämnande till personuppgifter som behandlas av nämnd eller vårdgivare, om det behövs för att utföra insatser för äldre eller personer med funktionsnedsättningar.
Sammanfattningsvis anser utredningen att den utförare, dvs. den myndighet eller juridiska person eller enskilda näringsidkare som enligt nämndens dokumentation ska utföra en insats för äldre eller personer med funktionsnedsättningar, bör omfattas av de föreslagna bestämmelserna om sammanhållen vård- och omsorgsdokumentation.
16.2.4. Omsorgsgivare – en gemensam benämning
Som framgått ovan har utredningen kommit fram till att såväl den myndighet som ansvarar för insatsen, dvs. nämnden, som den som utför den beslutade insatsen, dvs. en kommunal eller privat utförare, bör ha möjlighet att få och ge tillgång genom direktåtkomst eller annat elektroniskt utlämnande till personuppgifter i systemet med sammanhållen vård- och omsorgsdokumentation. För att de föreslagna bestämmelserna inte ska bli för svårlästa har utredningen gjort bedömningen att det behövs en gemensam benämning för de som har möjlighet till tillgång genom direktåtkomst eller annat elektroniskt utlämnande till uppgifter inom sammanhållen vård- och omsorgsdokumentation.
I regelverket om sammanhållen journalföring i 6 kap. patientdatalagen benämns de som har möjlighet till direktåtkomst vårdgivare, genom att man anger att en vårdgivare får ha direktåtkomst till personuppgifter som behandlas av andra vårdgivare. Vårdgivare definieras i 1 kap. 3 § patientdatalagen som statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare). Begreppet vårdgivare förekommer även i hälso- och sjukvårdslagen, där begreppet definieras som statlig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (2 kap. 3 §). Någon motsvarande benämning finns inte i SoLPUL som skulle kunna användas i den föreslagna lagen, där används endast benämningen socialtjänsten som definieras som ett stort antal vitt skilda verksamheter (se 2 §). I socialtjänstlagen finns inte heller någon benämning som motsvarar vårdgivare, det anges t.ex. i 11 kap. 5 § bara att handläggning ska dokumenteras och inte av vem.
Mot denna bakgrund har utredningen kommit fram till att ett nytt begrepp behövs och att begreppet omsorgsgivare framstår som lämpligt. Omsorgsgivare påminner mycket om begreppet vårdgivare som används i regelverket om sammanhållen journalföring, vilket den nya regleringen om sammanhållen vård- och omsorgsdokumentation är avsedd att efterlikna. Begreppet omsorgsgivare är inte definierat i Socialstyrelsens termbank och enligt vad utredningen känner till används det inte heller på ett sådant sätt inom området för omsorg, vård och hälsa att det finns risk för sammanblandning eller otydlighet.
I den föreslagna lagen bör därför uttrycket omsorgsgivare ha betydelsen myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar (offentlig omsorgsgivare) och juridisk person eller enskild näringsidkare som utför sådana insatser (privat omsorgsgivare).
16.3. Sammanhållen vård- och omsorgsdokumentation ska omfatta även annat elektroniskt utlämnande än direktåtkomst
Utredningens förslag: Vård- och omsorgsgivare kan genom ett
elektroniskt system – under vissa förutsättningar – ge eller få tillgång genom direktåtkomst eller annat elektroniskt utlämnande till personuppgifter om insatser för äldre och personer med funktionsnedsättningar och vårddokumentation hos andra vård- och omsorgsgivare.
16.3.1. Möjlighet till direktåtkomst
Såsom framgår av kapitel 12 är utredningens bedömning att det bör införas en möjlighet till direktåtkomst eller annat elektroniskt utlämnande mellan verksamheter inom socialtjänsten som avser insatser för äldre eller personer med funktionsnedsättningar och att det är lämpligt att utgå från bestämmelserna i patientdatalagen om sammanhållen journalföring inom hälso- och sjukvård vid utformningen av ett motsvarande system för socialtjänsten. Av kapitel 13 framgår vidare att utredningen anser att en sådan möjlighet till direktåtkomst eller annat elektroniskt utlämnande bör införas även mellan socialtjänstens verksamheter för insatser för äldre eller personer med funktionsnedsättningar och hälso- och sjukvården. Av kapitel 15 framgår att regleringen av detta bör samlas i en gemensam lag som bestämmelserna om sammanhållen journalföring bör flyttas över till, och att systemet för detta bör kallas sammanhållen vård- och om-
sorgsdokumentation. Möjligheten för vårdgivare att ta del av upp-
gifter om patienter hos andra vårdgivare genom sammanhållen journalföring kvarstår alltså oförändrad, men utökas med möjligheten för vårdgivare att ta del av uppgifter hos omsorgsgivare samt för omsorgsgivare med möjligheten att ta del av uppgifter hos vårdgivare och andra omsorgsgivare.
Förslaget handlar alltså om en reglering som tillåter ett eller flera system för att göra vård- och omsorgsdokumentation åtkomlig över vårdgivar- och omsorgsgivargränser genom den elektroniska utlämnandeformen direktåtkomst. I den föreslagna lagen avses med direktåtkomst detsamma som enligt patientdatalagen. I förarbetena till pati-
entdatalagen används begreppet direktåtkomst för att beskriva en viss form av elektroniskt utlämnande när den som är ansvarig för informationen inte har kontroll över vilka uppgifter som en mottagare vid ett visst tillfälle tar del av – automatiserad tillgång – och att mottagaren av informationen inte kan påverka innehållet i det informationssystem eller register som informationen lämnas ut från.20
Precis som vid sammanhållen journalföring inom hälso- och sjukvården ska mottagaren ha möjlighet att ta del av innehållet i t.ex. en elektronisk handling utan att för den skull kunna ändra i eller tillföra ny information till de uppgifter som utlämnaren ansvarar för.
Vård- och omsorgsgivarna får själva bestämma hur systemen ska byggas upp och vilka som ska ansluta sig till dem. Den reglering av förutsättningar för direktåtkomsten som föreslås kommer dock att innebära vissa krav på systemen. Med det avses att systemen tekniskt och organisatoriskt måste utformas och anpassas så att dessa krav kan uppfyllas.21 Det bästa vore förmodligen om det bara fanns ett enda system som alla vård- och omsorgsgivare kunde ansluta sig till, men bl.a. respekten för den kommunala självstyrelsen har föranlett slutsatsen att vård- och omsorgsgivarna själva bör få bedöma detta.
16.3.2. Annat elektroniskt utlämnande än direktåtkomst
I bestämmelserna om sammanhållen journalföring i patientdatalagen är enbart tillgång genom direktåtkomst reglerad. Utredningen anser dock att det finns anledning att överväga att inte begränsa den elektroniska tillgången inom sammanhållen vård- och omsorgsdokumentation till endast direktåtkomst. Det bör övervägas om det finns skäl att möjliggöra även annat elektroniskt utlämnande än direktåtkomst i systemet med sammanhållen vård- och omsorgsdokumentation.
Som beskrivs i avsnitten 12.3.3 och 12.3.4 är direktåtkomst förknippad med särskilda integritetsrisker. Vidare kan konstateras att personuppgifter om insatser för äldre eller personer med funktionsnedsättningar inom socialtjänsten och hälso- och sjukvården ofta är av integritetskänslig karaktär och att stark sekretess som regel gäller för sådana personuppgifter. Det finns därmed anledning att vara restriktiv med möjligheten till direktåtkomst till personuppgifter
20Prop. 2007/08:126 s. 106. 21Prop. 2007/08:126 s. 106.
mellan olika aktörer inom socialtjänsten och hälso- och sjukvården. Det kan finnas situationer då det är mer lämpligt och proportionerligt att använda en annan form av elektroniskt utlämnande än direktåtkomst. Det vore olyckligt om det i sådana fall uppstår tveksamhet om det är möjligt att lämna ut uppgifter genom annat elektroniskt utlämnande än direktåtkomst i systemet med sammanhållen vård- och omsorgsdokumentation. Enligt rättspraxis framstår vidare skillnaden mellan direktåtkomst och en elektronisk fråga-svar-funktion i praktiken inte vara stor, se avsnitt 12.3.6. Om ett system är utformat som en elektronisk fråga-svar-funktion, trots att bara direktåtkomst är tillåten, skulle det kunna leda till oönskade konsekvenser, såsom att användarna begår tystnadspliktsbrott. Om den mest integritetskänsliga formen av elektroniskt utlämnande (direktåtkomst) tillåts, finns det från integritetsskyddssynpunkt inte skäl att förbjuda andra former av elektroniskt utlämnande som uppfyller nödvändiga krav på t.ex. säkerhet och integritetsskydd. Det är därför enligt utredningens mening inte lämpligt att utforma regleringen på ett sådant sätt den låser fast det elektroniska utlämnandet i systemet med sammanhållen vård- och omsorgsdokumentation till att ske genom just direktåtkomst.
Inom socialtjänstens verksamhet innebär utredningens förslag om sammanhållen vård- och omsorgsdokumentation att en omsorgsgivare, som är ansluten till ett system med sammanhållen vård- och omsorgsdokumentation, får bereda sig tillgång till uppgifter som en vårdgivare eller annan omsorgsgivare gjort tillgängliga i systemet bara om vissa krav är uppfyllda. Enligt dessa krav ska omsorgsmottagaren samtycka till detta, uppgifterna ska röra en omsorgsmottagare som får omsorgsgivarens insatser för äldre eller personer med funktionsnedsättningar eller vara föremål för en utredning om att få sådana insatser från omsorgsgivaren och uppgifterna ska antas kunna ha betydelse för omsorgsgivarens insatser för omsorgsmottagaren (se avsnitt 16.7). Genom att tillåta även annat elektroniskt utlämnande än direktåtkomst i systemet med sammanhållen vård- och omsorgsdokumentation ges inom socialtjänsten en struktur även för användningen av annat elektroniskt utlämnande än direktåtkomst. De föreslagna integritetsstärkande åtgärderna gäller då för allt elektroniskt utlämnande som sker inom systemet med sammanhållen vård- och omsorgsdokumentation.
När det gäller socialtjänstens verksamhet kan mot detta invändas att genom att likställa de båda formerna av utlämnande och kräva samma struktur för dem riskerar man att göra kraven för annat elektroniskt utlämnande än direktåtkomst strängare än vad de behöver vara, och därmed informationsutbytet mer komplicerat än nödvändigt. I detta sammanhang ska uppmärksammas att inte vare sig SoLPUL eller SoLPUF innehåller några särskilda regler om hur utlämnande får ske, till skillnad från patientdatalagen som anger att utlämnande genom direktåtkomst till personuppgifter endast är tillåten i den utsträckning som anges i lag eller förordning (5 kap. 4 §). Utredningens förslag om en sammanhållen vård- och omsorgsdokumentation innebär dock att så långt som möjligt ska gemensamma regler gälla för omsorgsgivares och vårdgivares åtkomst till varandras dokumentation. Att då inte tillåta direktåtkomst för omsorgsgivare vore svårbegripligt. En sådan ordning skulle dessutom försvåra utvecklingen av verksamhetssystem. Utredningen anser därför att både direktåtkomst och annat elektroniskt utlämnande bör tillåtas vid sammanhållen vård- och omsorgsdokumentation. Härvid ska noteras att möjlighet för vårdgivare att få tillgång genom annat elektroniskt utlämnande än direktåtkomst gäller även vård- och omsorgsdokumentation som avser andra patienter än enbart dem som får socialtjänstens insatser för äldre eller personer med funktionsnedsättningar. Det innebär alltså att vårdgivare får möjlighet att ge andra vårdgivare tillgång till personuppgifter genom annat elektroniskt utlämnande än direktåtkomst.
Sammanhållen vård- och omsorgsdokumentation ger alltså mottagaren möjlighet att få tillgång till uppgifterna genom direktåtkomst eller annat elektroniskt utlämnande. Det ger dock inte en utlämnare av uppgifter möjlighet att sända uppgifter till en mottagare utan att mottagaren först har begärt dem. Annat elektroniskt utlämnande än direktåtkomst kan utgöras av en elektronisk fråga-svar-funktion som för användaren framstår som identisk med eller snarlik direktåtkomst. Men den funktionen får alltså inte ge något svar (lämna ut personuppgifter) utan att det finns en fråga från mottagaren. Det är därmed inte tillåtet att utlämnaren underrättar mottagaren om att det tillkommit eller ändrats uppgifter om en patient eller omsorgsmottagare som denne tidigare har frågat om. Utlämnaren får alltså inte skicka en s.k. push-notis endast innehållande informationen att det tillkommit eller ändrats uppgifter om en patient eller omsorgsmottagare (även
om push-notisen inte innehåller information om vad som tillkommit eller ändrats). Vill mottagaren undersöka om det finns nya uppgifter, får denne skicka utlämnaren en fråga eller själv använda sin direktåtkomst.
Enligt utredningens bedömning kommer inte möjligheten till tillgång till patienters personuppgifter genom annat elektroniskt utlämnande än direktåtkomst att medföra att uppgifter om en patient får en större spridning än med nuvarande reglering. Utredningen redogör i avsnitt 16.18 för vad som bör gälla för bevarande och gallring inom sammanhållen vård- och omsorgsdokumentation. Av detta avsnitt framgår att samma huvudprinciper som i dag gäller för sammanhållen journalföring bör gälla även vid sammanhållen vård- och omsorgsdokumentation för bevarande av handlingar. Detta innebär att endast den vård- eller omsorgsgivare som gör en handling tillgänglig ansvarar för bevarandet av den, att dokumentation och journalhandlingar hos annan vård- och omsorgsgivare normalt inte bör laddas ned i form av en kopia som tillfogas och lagras i den egna dokumentationen samt att det inte är tillåtet att ladda ned och lagra information som inte är nödvändig nu men som ”kan vara bra att ha”.
Mot denna bakgrund föreslår utredningen att den föreslagna regleringen bör tillåta att vård- och omsorgsdokumentation görs tillgänglig över vård- och omsorgsgivargränser även genom annat elektroniskt utlämnande än direktåtkomst.
16.3.3. Allmänt om innebörden av sammanhållen vård- och omsorgsdokumentation
Sammanhållen vård- och omsorgsdokumentation innebär att vård- och omsorgsgivare under de förutsättningar som redogörs för senare i detta kapitel får möjlighet att ta del av varandras dokumentation och journalföring. Det är alltså inte ett nytt sätt att dokumentera som utredningen föreslår utan det ska ske på samma sätt som tidigare i enlighet med de bestämmelser som finns i 3 kap. patientdatalagen och socialtjänstlagen samt LSS. För att sammanhållen vård- och omsorgsdokumentation ska kunna användas behöver dock vård- och omsorgsgivarnas verksamhetssystem utvecklas så att sådan tillgång blir tekniskt möjlig.
Den tillgång som vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation får till varandras dokumentation avser alltså bara en möjlighet att läsa i dokumentationen, och inte att i varandras eller i en gemensam dokumentation föra in uppgifter. Precis som i dag är det varje vård- och omsorgsgivare som ska föra och ansvara för sin dokumentation.
16.3.4. Ingen inskränkning i dagens möjligheter till överföring av information
När systemet med sammanhållen journalföring infördes uttalade regeringen att sammanhållen journalföring inte skulle innebära några inskränkningar i förhållande till de möjligheter som då fanns till överföring, elektroniskt eller manuellt, av journalhandlingar eller andra patientuppgifter mellan vårdgivare. Man angav vidare att de krav som uppställs för den sammanhållna journalföringen är helt knutna till att utlämnandet sker genom direktåtkomst och att för informationsutbyte på andra sätt skulle i princip samma regler som då gällde fortsätta att gälla.22
I 5 kap. 6 § patientdatalagen anges att om en personuppgift får lämnas ut, kan det ske på medium för automatiserad behandling. I förarbetena till bestämmelsen anges att paragrafen tar sikte på utlämnande på medium för automatiserad behandling som kan avse exempelvis utlämnande genom e-post, diskett och cd-rom. När det gäller annat elektroniskt utlämnande än genom direktåtkomst skulle det inte finnas några begränsningar i patientdatalagen och därför valde man att av tydlighetsskäl i denna paragraf ange att en personuppgift kan lämnas ut på medium för automatiserad behandling under förutsättning att personuppgiften får lämnas ut. Det sistnämnda villkoret syftar på att uppgiften inte kan lämnas ut om sekretess gäller för uppgiften. Möjligheten att lämna ut en personuppgift på medium för automatiserad behandling innebär således inte att sekretessen bryts.23
Även om utredningen föreslår att sammanhållen vård- och omsorgsdokumentation även ska omfatta tillgång till personuppgifter genom annat elektroniskt utlämnande än direktåtkomst innebär detta enligt utredningens mening inte några inskränkningar i förhållande till de möjligheter som i dag finns till överföring, elektroniskt, manuellt
22Prop. 2007/08:126 s. 106. 23Prop. 2007/08:126 s. 246 f.
på papper eller muntligt, av dokumentation eller andra uppgifter mellan vård- och omsorgsgivare, så länge överföringen inte görs i ett system med sammanhållen vård- och omsorgsdokumentation. Det är nämligen endast sådant utlämnande som sker efter att alla krav som uppställs för den sammanhållna vård- och omsorgsdokumentationen är uppfyllda som omfattas av bestämmelserna om sammanhållen vård- och omsorgsdokumentation och därmed av de därtill anknytande sekretessbrytande bestämmelserna. Om det i ett enskilt fall är fråga om annat elektroniskt utlämnande än direktåtkomst och något av kraven inte är uppfyllda, är det inte ett utlämnande genom sammanhållen vård- och omsorgsdokumentation som sker utan då får elektroniskt utlämnande ske på samma sätt som tidigare, dvs. efter begäran om utlämnande och sekretessprövning. Formerna för utlämnandet regleras då inte av den föreslagna lagen utan av patientdatalagen (se vad som angetts ovan om 5 kap. 6 § PDL).
16.3.5. Ansvar för dokumentation och handlingar
Vid införandet av sammanhållen journalföring i patientdatalagen betonades i förarbetena att ansvaret för själva journalföringen fortfarande i första hand är knutet till den journalföringspliktiga yrkesutövaren. Varje elektronisk journalhandling skulle genom förslaget till patientdatalag även i fortsättningen vara knuten till en viss vårdgivare som ansvarar för handlingar som upprättas eller inkommer i den egna verksamheten.24 Detsamma bör enligt utredningens mening gälla inom sammanhållen vård- och omsorgsdokumentation för såväl den dokumentationspliktiga omsorgsgivaren som den journalföringspliktiga yrkesutövaren hos vårdgivaren. För socialtjänstens del innebär detta att varje elektronisk uppgift även enligt förslaget ska vara knuten till en viss omsorgsgivare som ansvarar för handlingar som upprättas eller inkommer i den egna verksamheten.
16.4. Vilka personuppgifter omfattas av sammanhållen vård- och omsorgsdokumentation
Utredningens förslag: Tillgång till personuppgifter genom sam-
manhållen vård- och omsorgsdokumentation får bara avse personuppgifter som behandlas för vårddokumentation eller för att ansvara för eller utföra insatser för äldre eller personer med funktionsnedsättningar eller administration eller dokumentation av sådana insatser.
En bestämmelse som anger att vårdgivare inte får ha tillgång genom direktåtkomst till personuppgifter som behandlas av en annan vårdgivare i en utredning om försäkringsmedicinska utredningar tas med i den nya lagen.
16.4.1. Personuppgifter som behandlas för vårddokumentation
Det framgår av 6 kap. 1 § patientdatalagen att inom sammanhållen journalföring får vårdgivarna ha direktåtkomst till andra vårdgivares personuppgifter inom hälso- och sjukvården om det behövs för patientjournalföring och annan dokumentation som behövs i och för vården av patienter. Vårdgivarna får också ha sådan tillgång som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (se 2 kap. 4 § 1 och 2 PDL). Dessa syften brukar benämnas vårddokumentation.
Vid införandet av bestämmelserna i patientdatalagen uttalade regeringen att sådan dokumentation som faller vid sidan av skyldigheten att föra journal, såsom personuppgifter som behandlas helt separat från den ordinära journalföringen, t.ex. vid medicinska serviceenheter, bör omfattas av ett ändamål som rör den individinriktade patientverksamheten alldeles oavsett dess formella status. Därför avses med dessa ändamål inte bara själva insamlingen och registreringen av personuppgifterna utan även senare användning av de registrerade uppgifterna i den omfattning som behövs i patientvården eller patientadministrationen.25
I förarbetena till bestämmelsen anges vidare att begränsningen av ändamålet till vårddokumentation innebär att verksamhet som exem-
pelvis avser detaljhandel med läkemedel inte omfattas av bestämmelserna om sammanhållen journalföring och uppgifter från den verksamheten kan därmed inte ingå i ett sådant system med stöd av patientdatalagen.26 Regeringen påpekade härvid även att utlämnandet av uppgifter i läkemedelsförteckningen till den registrerade eller till förskrivare inom hälso- och sjukvården även fortsättningsvis skulle regleras av lagen (2005:258) om läkemedelsförteckning och alltså inte av patientdatalagen.27
Som beskrivs i avsnitt 15.1.1 bör bestämmelserna i 6 kap. patientdatalagen föras över till den föreslagna lagen och tillämpas på samma sätt som i dag i de fall det rör sig om situationen att en vårdgivare ska ta del av uppgifter som en annan vårdgivare gjort tillgängliga genom sammanhållen vård- och omsorgsdokumentation. Motsvarande regler bör gälla även när en omsorgsgivare ska del av uppgifter som en vårdgivare gjort tillgängliga genom sammanhållen vård- och omsorgsdokumentation. Utredningen föreslår alltså en bestämmelse som anger att vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation endast ska få ha tillgång till personuppgifter hos vårdgivare som behandlas för ändamålet vårddokumentation.
16.4.2. Personuppgifter som behandlas för insatser för äldre eller personer med funktionsnedsättningar
När det gäller situationen att en vård- eller omsorgsgivare ska ta del av uppgifter som en omsorgsgivare har gjort tillgängliga genom sammanhållen vård- och omsorgsdokumentation är det enligt utredningens mening av avgörande betydelse för allmänhetens förtroende för den sammanhållna vård- och omsorgsdokumentationen att patienten eller omsorgsmottagaren kan förutse och ha kontroll över vilka personuppgifter som den verksamhetsöverskridande tillgången till personuppgifter ska avse. Utredningen föreslår därför att direktåtkomst och annat elektroniskt utlämnande vid sammanhållen vård- och omsorgsdokumentation bara ska få användas avseende personuppgifter som behandlas för att ansvara för eller utföra samt administrera eller dokumentera insatser för äldre och personer med funktionsnedsättningar.
26Prop. 2007/08:12 s. 105. 27Prop. 2007/08:12 s. 105. Lagen om läkemedelsförteckning kommer att upphävas den 1 maj 2021 och ersättas av lagen (2018:1212) om nationell läkemedelslista.
I avsnitt 12.2. och 13.2 ges exempel på när personuppgifter behandlas för att kunna ansvara för eller utföra en insats för äldre eller personer med funktionsnedsättningar. Dokumentation av sådana insatser ska alltså få ingå i sammanhållen vård- och omsorgsdokumentation. När det gäller behandling av personuppgifter för att dokumentera insatser framgår det av Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2014:5) om dokumentation i verksamhet som bedrivs med stöd av SoL, LVU, LVM och LSS vilka krav som ställs på dokumentationen. Som exempel på behandling av personuppgifter för administration kan nämnas fakturering samt upprättande av bevakningslistor och bemanningsscheman.
16.4.3. Personuppgifter som behandlas i försäkringsmedicinska utredningar
Enligt 6 kap. 1 § andra stycket patientdatalagen får en vårdgivare inte ha direktåtkomst till personuppgifter som behandlas av en annan vårdgivare i en utredning enligt lagen (2018:744) om försäkringsmedicinska utredningar. Det anges vidare att i den lagen finns särskilda bestämmelser om direktåtkomst vid sådana utredningar. Denna bestämmelse infördes eftersom regeringen ansåg att sammanhållen journalföring innebär en större risk för att personuppgifter behandlas utan att behov av detta finns. Regeringen menade att de fördelar som sammanhållen journalföring för med sig vid vård enligt hälso- och sjukvårdslagen i stor utsträckning saknas vid försäkringsmedicinska utredningar och gav ett antal exempel på detta. Regeringen påpekade också att eftersom personuppgifter inte ska kunna tillgängliggöras genom sammanhållen journalföring vid försäkringsmedicinska utredningar innebär detta att det inte heller är möjligt att tillämpa den sekretessbrytande regeln vid sammanhållen journalföring som finns i 25 kap. 11 § 3 offentlighets- och sekretesslagen (2009:400).28
Eftersom bestämmelsen om försäkringsmedicinska utredningar berör sammanhållen journalföring, bör den enligt utredningens mening tas med i den föreslagna lagen. Med hänsyn till att inom sammanhållen vård- och omsorgsdokumentation har även omsorgs-
givare möjlighet till direktåtkomst till personuppgifter som behandlas av vårdgivare bör förbudet även omfatta omsorgsgivares tillgång.
Frågan är då om bestämmelsen bör ange att även tillgång genom annat elektroniskt utlämnande än direktåtkomst är förbjuden avseende dessa personuppgifter. I 4 kap. 2 § patientdatalagen finns en bestämmelse om tilldelning av behörighet för elektronisk åtkomst som anger att personuppgifter som behandlas i en utredning enligt lagen om försäkringsmedicinska utredningar för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 patientdatalagen inte får göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare samt att det i den lagen finns särskilda bestämmelser om elektronisk åtkomst vid sådana utredningar. Det finns enligt utredningens mening därför redan reglerat vad som gäller annat elektroniskt utlämnande än direktåtkomst beträffande vårdgivares åtkomst till dessa personuppgifter. När det gäller vårdgivares tillgång till dessa personuppgifter behöver alltså inte annat elektroniskt utlämnande än direktåtkomst regleras i den föreslagna lagens bestämmelse om försäkringsmedicinska utredningar. En upplysning om att det i 4 kap. 2 § andra stycket patientdatalagen finns särskilda bestämmelser om elektronisk åtkomst till personuppgifter som behandlas i försäkringsmedicinska utredningar bör dock införas. När det gäller omsorgsgivares tillgång genom annat elektroniskt utlämnande än direktåtkomst vid sammanhållen vård- och omsorgsdokumentation finns det dock ett behov av att reglera detta i bestämmelsen. Det behöver därför anges i den föreslagna lagen att omsorgsgivare inte heller får ha tillgång genom annat elektroniskt utlämnande än direktåtkomst till sådana personuppgifter.
16.5. Patientens och omsorgsmottarens inflytande vid sammanhållen vård- och omsorgsdokumentation
Utredningens förslag: En patient eller omsorgsmottagare får
motsätta sig att uppgifter om honom eller henne görs tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation. I sådant fall ska uppgifterna genast spärras.
16.5.1. Patientens och omsorgsmottagarens rätt att motsätta sig behandlingen
Patientens inflytande vid sammanhållen journalföring
Enligt 6 kap. 2 § patientdatalagen har patienten som huvudregel rätt att, efter att ha blivit informerad om vad sammanhållen journalföring är, motsätta sig att vårddokumentation rörande honom eller henne görs tillgänglig för andra vårdgivare. I sådana fall ska uppgifterna spärras. För barn och patienter som inte endast tillfälligt saknar förmåga att ta ställning finns särskilda regler (6 kap. 2 § fjärde stycket och 2 a § PDL). En patient kan när som helst begära att den vårdgivare som har spärrat uppgifterna häver spärren.
Frågan om i vilken utsträckning patienten ska ha bestämmanderätt över behandlingen av personuppgifter vid sammanhållen journalföring diskuteras i förarbetena till patientdatalagen. Det anges att ett vanligt sätt att beskriva begreppet personlig integritet i samband med informationshantering är att den enskilde ska kunna kontrollera spridningen av uppgifter om sig själv eller ha en rätt att bestämma vilka uppgifter om sig själv som han eller hon vill dela med sig till andra. Det ansågs därför vara en grundläggande principfråga i vad mån patienten bör ha något inflytande över den potentiellt sett breda tillgänglighet till journaluppgifter som informationstekniken möjliggör. Det ansågs vidare eftersträvansvärt att den nya regleringen och möjligheterna till sammanhållen journalföring inte kombineras med restriktioner som tvingar vårdgivarna att hålla sig med parallella, separata informationssystem; ett system för patienter som accepterar den sammanhållna journalföringen och ett system för dem som inte gör det. I stället borde regleringen ta sikte på hur tillgängligheten till journalinformation och annan vårddokumentation ska kunna begränsas i syfte att skydda patienters personliga integritet. Det betonades att en viktig utgångspunkt i denna fråga var att hitta lösningar som är praktiskt smidiga och så pass enkla att tillämpa att de inte skapar en administrativ börda eller annat betydande merarbete i hälso- och sjukvårdspersonalens dagliga arbete och därmed riskerar att förta nyttan i stort med sammanhållen journalföring. En annan utgångspunkt var, enligt förarbetena, att det i första hand inte handlar om sekretessfrågor eller andra lagstiftningstekniska problem utan att fokus i stället sätts på frågorna i sak, t.ex. hur ett tillfredsställande integritetsskydd bör konstrueras och i vad mån detta skydd
bör ta sig uttryck i att patienten har medbestämmanderätt över informationstillgången i sådana breda system som sammanhållen journalföring kan innebära.29
Denna avvägning resulterade i ovan angivna bestämmelse, som innebär att patienten har en möjlighet att motsätta sig tillgängliggörande av uppgifter i ett system för sammanhållen journalföring. Bestämmelsen uppställer alltså inte något krav på att patienten ska lämna ett uttryckligt och informerat samtycke till att uppgifterna om honom eller henne får göras tillgängliga för andra vårdgivare genom sammanhållen journalföring. Enligt förarbetena ger bestämmelsen uttryck för en opt out-modell, eller en ordning i vilket ett tyst samtycke gäller, för att journaluppgifter görs tillgängliga för andra vårdgivare.30 Att patienten kan motsätta sig ett tillgängliggörande innebär inte att han eller hon har rätt att motsätta sig att uppgifter journalförs i det elektroniska system som vårdgivaren använder. Det innebär bara att uppgifterna på den enskildes begäran spärras för tillgänglighet hos andra vårdgivare. En spärrning kan på patientens begäran avse samtliga uppgifter, med vissa i lagen angivna undantag, eller bara vissa uppgifter. Vidare kan en spärrning göras endast i förhållande till någon eller vissa vårdgivare som deltar i det sammanhållna journalsystemet.
Regleringen i den föreslagna lagen
Grundidén med sammanhållen vård- och omsorgsdokumentation är att en vård- eller omsorgsgivare under vissa förutsättningar kan välja att ingå i ett system med sammanhållen vård- och omsorgsdokumentation och ta del av en annan vård- eller omsorgsgivares vård- eller omsorgsdokumentation om en viss patient eller omsorgsmottagare. Möjligheten för vårdgivare att ta del av uppgifter om patienter hos andra vårdgivare genom sammanhållen journalföring kvarstår alltså oförändrad, men utökas med möjligheten för vårdgivare att lämna ut uppgifter till omsorgsgivare samt för omsorgsgivare att lämna ut uppgifter till vård- och omsorgsgivare. Dessutom får vårdgivare ge andra vårdgivare tillgång till personuppgifter även genom annat elektroniskt utlämnande än direktåtkomst. Förslaget innebär alltså att
29Prop. 2007/08:126 s. 110 f. 30Prop. 2007/08:126 s. 249.
en vård- eller omsorgsgivare, om vissa villkor är uppfyllda, ges tillgänglighet till uppgifter om patienter eller omsorgsmottagare hos andra vård- eller omsorgsgivare. Regleringen ställer inte krav på vilka tekniska lösningar som används i systemet med sammanhållen vård- eller omsorgsdokumentation. Det kommer att vara upp till de samarbetande vård- och omsorgsgivarna att bestämma hur ett sådant system ska konstrueras för att fungera tekniskt och samtidigt vara användbart i den praktiska verksamheten. Däremot måste ett sådant system utformas så att det uppfyller de krav som uppställs i lagen, t.ex. avseende tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst (se avsnitt 16.14 och 16.15).
Åtkomsten till dokumentation möjliggörs genom att en vårdgivare gör de uppgifter om en patient som vårdgivaren dokumenterar eller att en omsorgsgivare gör de uppgifter om en omsorgsmottagare som omsorgsgivaren dokumenterar, och som faller inom den föreslagna lagens tillämpningsområde, tillgängliga för de andra vård- och omsorgsgivare som deltar i det aktuella systemet med sammanhållen vård- och omsorgsdokumentation. Den som har direktåtkomst har då teknisk möjlighet att söka bland de tillgängliga uppgifterna hos en annan vård- eller omsorgsgivare. Den som har direktåtkomst, eller åtkomst genom annat elektroniskt utlämnande, har också möjlighet att kopiera uppgifter och spara dem i sitt lokala system.31 Sådan kopiering och lagring bör dock, av skäl som utvecklas vidare nedan, undvikas.
Det bör i sammanhanget föras fram att utlämnandet genom direktåtkomst, eller annat elektroniskt utlämnande, inte behöver avse samtliga uppgifter om en patient eller omsorgsmottagare som faller inom den föreslagna lagens tillämpningsområde. Den föreslagna lagen anger ramen för vilka uppgifter som får göras tillgängliga i ett system med sammanhållen vård- och omsorgsdokumentation. Det är sedan upp till de samarbetande vård- och omsorgsgivarna att inom dessa ramar utforma ett ändamålsenligt system för informationsöverföring. Exempel på ett sådant system som i dag används inom sammanhållen journalföring är det webbaserade verktyget Nationell patientöversikt (ofta kallat NPÖ). Det kan tänkas att vård- och omsorgsgivarna kommer fram till att ett mer begränsat utbyte av uppgifter än det som den föreslagna lagen tillåter är att föredra.
Reglerna om patientens inflytande vid sammanhållen journalföring enligt patientdatalagen ska alltså överföras till den föreslagna
31 Jämför vad som gäller vid sammanhållen journalföring, prop. 2007/08:126 s. 247.
lagen och tillämpas på samma sätt som i dag. Utredningen föreslår också att de även ska gälla i de fall en omsorgsgivare kan få tillgång till vårddokumentation genom sammanhållen vård- och omsorgsdokumentation.
Frågan är nu i vilken utsträckning omsorgsmottagaren själv bör ha möjlighet att bestämma över behandlingen av personuppgifter som avser honom eller henne i ett system med sammanhållen vård- och omsorgsdokumentation. Som anförs i förarbetena till patientdatalagen kan redan den omständigheten att uppgifter är potentiellt sett tillgängliga av olika anledningar uppfattas som skrämmande av den enskilde. Det ansågs därför vara av avgörande betydelse för integritetsskyddet att patienten har möjlighet att få gehör för sin inställning redan vid det aktuella vårdtillfället som journalförs eller då uppgiften annars dokumenteras.32 Utredningen instämmer i denna utgångspunkt, dvs. att möjligheten för omsorgsmottagaren att själv bestämma över hur och i vilken utsträckning personuppgifter om honom eller henne tillgängliggörs är en av de faktorer som påverkar om en behandling uppfattas som ett integritetsintrång eller inte. Det kan antas att omsorgsmottagaren har lättare att acceptera ett system med sammanhållen vård- och omsorgsdokumentation om han eller hon har kontroll över vilka uppgifter som tillgängliggörs för andra vård- eller omsorgsgivare. Frågan om omsorgsmottagarens möjlighet till inflytande är alltså viktig ur ett integritetsperspektiv.
Den fråga som uppkommer i detta sammanhang är om motsvarande huvudregel som i dag gäller för sammanhållen journalföring ska gälla i ett system med sammanhållen vård- och omsorgsdokumentation, dvs. om omsorgsmottagaren ska ha rätt att motsätta sig att uppgifter om honom eller henne görs tillgängliga för andra vård- och omsorgsgivare. Finns det skäl att ställa krav på större inflytande för omsorgsmottagaren, t.ex. genom att kräva ett uttryckligt samtycke, eller bör omsorgsmottagarens inflytande vara detsamma eller mindre än vid sammanhållen journalföring?
Som tidigare konstaterats är de personuppgifter som behandlas i den aktuella verksamheten ofta av känslig natur. Det rör sig många gånger om behandling av en stor mängd uppgifter om omsorgsmottagaren, vilket medför att behandlingen kan uppfattas som särskilt integritetskänslig. Vidare innebär ett system med sammanhållen vård- och omsorgsdokumentation att uppgifterna kommer att vara
potentiellt tillgängliga för alla de vård- och omsorgsgivare som samarbetar i systemet, och därmed också ett större antal personer som arbetar inom de olika verksamheterna. Dessa omständigheter talar för att det kan finnas skäl att införa krav på ett informerat och uttryckligt samtycke från den enskilde för att en omsorgsgivare ska få göra uppgifterna tillgängliga genom sammanhållen omsorgsdokumentation.
Samtidigt kan det konstateras att syftet med ett system med sammanhållen vård- och omsorgsdokumentation är att möjliggöra snabb och smidig informationsöverföring mellan olika vård- och omsorgsgivare, vilket i förlängningen ska förbättra kommunikationen mellan olika aktörer och därmed vården och omsorgen för den enskilde. För att reglerna över huvud taget ska börja användas behöver de vara möjliga att tillämpa i praktiken. Det finns risk för att det önskade målet med enkel och smidig informationsöverföring mellan vård- och omsorgsgivare inte uppnås om sammanhållen vård- och omsorgsdokumentation medför alltför mycket extra arbete och administration i den praktiska verksamheten.
Vidare bör det noteras att uppgifterna i detta första skede, när de dokumenteras, ännu inte är tillgängliga för andra än den vård- eller omsorgsgivare som har en skyldighet att dokumentera dem. Uppgifter som gjorts tillgängliga i ett system med sammanhållen vård- och omsorgsdokumentation är endast potentiellt tillgängliga för andra anslutna omsorgsgivare. Det bör uppställas ytterligare villkor för att en annan vård- eller omsorgsgivare verkligen ska få ta del av uppgifterna. För detta bör det bl.a. krävas samtycke från den enskilde (se avsnitt 16.7.4). Omsorgsmottagaren bör naturligtvis också, när kontakten med en omsorgsgivare inleds, få information om vad gemensam vård- och omsorgsdokumentation innebär så att han eller hon har möjlighet att bilda sig en välgrundad uppfattning om sin inställning till systemet. Utredningen föreslår vidare att omsorgsmottagaren ska ha rätt att när som helst och utan tidsbegränsning spärra sina uppgifter. Han eller hon ska också kunna ges direktåtkomst eller annan elektronisk åtkomst till sin dokumentation och därmed fortlöpande kunna ha insyn i vilken dokumentation som finns om honom eller henne.
Vid en avvägning mellan möjligheten till inflytande för omsorgsmottagaren och behovet av att ett smidigt system för informationsföring gör utredningen bedömningen att de övriga integritetsstär-
kande åtgärder som utredningen föreslår med marginal kompenserar för det eventuella integritetsintrång det innebär att i lagen inte ställa krav på samtycke för att uppgifter ska få göras tillgängliga i systemet med sammanhållen vård- och omsorgsdokumentation. I sammanhanget bör också beaktas att det inte har framkommit att den s.k. opt out-modell som gäller vid sammanhållen journalföring har lett till oacceptabla intrång i den enskildes integritet. Det vore också konstigt och svårbegripligt för de enskilda om det ställdes strängare krav för behandling av omsorgsmottagarens uppgifter än vid behandling av patientuppgifter. De allra flesta berörda omsorgsmottagare har förmodligen även kontakt med hälso- och sjukvården.
Utredningen gör bedömningen att en opt out-modell enligt den ordning som gäller vid sammanhållen journalföring utgör en lämplig avvägning mellan omsorgsmottagarens inflytande över information som rör honom eller henne och en ändamålsenlig reglering som är praktiskt tillämpbar och som inte skapar för stort merarbete i den dagliga verksamheten. Utredningen föreslår därför att omsorgsmottagaren ska ha möjlighet att motsätta sig att omsorgsdokumentation görs tillgänglig för andra vård- eller omsorgsgivare i systemet med sammanhållen vård- och omsorgsdokumentation. Om omsorgsmottagaren utnyttjar denna rätt, ska hans eller hennes uppgifter spärras i systemet med sammanhållen vård- och omsorgsdokumentation och de är därmed inte längre tillgängliga för andra vård- och omsorgsgivare som deltar i systemet. Spärrandet innebär att det ska antecknas att omsorgsmottagaren motsatt sig, så att uppgifterna inte görs tillgängliga genom direktåtkomst eller annars lämnas ut elektroniskt. Det bör noteras att denna möjlighet inte innebär att den enskilde har rätt att motsätta sig att omsorgsgivaren uppfyller kraven på dokumentation enligt 11 kap. 5 § socialtjänstlagen och 21 a § LSS och motsvarande bestämmelser för enskild (privat) verksamhet (7 kap. 3 § SoL och 23 c § LSS).
16.5.2. Spärrade uppgifter
Utredningens förslag: En patient eller omsorgsmottagare kan
när som helst begära att den vård- eller omsorgsgivare som har spärrat uppgifterna häver spärren.
Nästa fråga som uppkommer är vad det innebär att en uppgift spärras. Denna fråga berörs närmare i förarbetena till patientdatalagen.
Att uppgifterna spärras innebär, enligt förarbetena, att andra vårdgivare inte har någon direktåtkomst till uppgifterna. Den spärrade informationen kan alltså inte läsas av personal hos andra vårdgivare.33
Möjligheten att motsätta sig sammanhållen journalföring är inte tidsbegränsad. En patient kan alltså begära att uppgifter om honom eller henne spärras även efter det att uppgifterna har gjorts tillgängliga för andra vårdgivare. Enligt förarbetena bör det normalt sett inte innebära någon olägenhet för patienten att uppgifterna spärras efter det att de har gjorts tillgängliga i det sammanhållna journalföringssystemet, eftersom vårdgivarna som regel inte ska ladda ner andra vårdgivares journalhandlingar för att bifoga dem till den egna journalföringen. Risken är annars att den ”egna” journalen på sikt kommer att tyngas av svåröverskådlig information. Det är inte heller från integritetssynpunkt önskvärt med en sådan kopiering.34
En patient kan när som helst häva en spärr. Det är den vårdgivare som lagt in spärren som då ska häva den. Det är dock inte nödvändigt att patienten själv har kontakt med just den vårdgivare som lagt in spärren när patienten vill häva spärren. Det kan exempelvis ske i samband med att patienten senare besöker en annan vårdgivare. Om patienten då vill häva spärren, får den senare vårdgivaren meddela den vårdgivare som har spärrat uppgifterna att patienten vill ha spärren hävd. I förarbetena anges också att patientens önskan att häva spärren bör dokumenteras på lämpligt sätt, exempelvis i patientens journal.35
Utredningen gör bedömningen att ovan beskrivna ordning är lämplig även i ett system med sammanhållen vård- och omsorgsdokumentation. Att en patient eller en omsorgsmottagare motsätter sig sammanhållen vård- och omsorgsdokumentation bör alltså få till följd att uppgifterna om honom eller henne spärras och därmed inte är tillgängliga för andra vård- eller omsorgsgivare i systemet med sammanhållen vård- och omsorgsdokumentation. Spärrandet innebär att det ska antecknas att patienten eller omsorgsmottagaren motsatt sig sammanhållen vård- och omsorgsdokumentation, så att uppgifterna inte görs tillgängliga genom direktåtkomst eller annars
33Prop. 2007/08:126 s. 249. 34Prop. 2007/08:126 s. 250. 35Prop. 2007/08:126 s. 250.
lämnas ut elektroniskt. Patienten eller omsorgsmottagaren kan motsätta sig att bara en viss vård- eller omsorgsgivares dokumentation görs tillgänglig i systemet med sammanhållen vård- och omsorgsdokumentation eller att bara vissa vård- eller omsorgsgivare medges tillgång. Om patienten eller omsorgsmottagaren på detta sätt bara delvis motsätter sig, bör spärren utformas i enlighet härmed om det är tekniskt möjligt. Är det inte tekniskt möjligt, får inga uppgifter om patienten eller omsorgsmottagaren göras tillgängliga för andra vård- eller omsorgsgivare i systemet med sammanhållen vård- och omsorgsdokumentation.
I likhet med vad som gäller vid sammanhållen journalföring bör möjligheten att motsätta sig sammanhållen vård- och omsorgsdokumentation inte vara tidsbegränsad. Patienten eller omsorgsmottagaren ska alltså när som helst kunna spärra uppgifter för tillgänglighet för andra vård- och omsorgsgivare i systemet. Uppgifterna kan därmed komma att spärras efter det att andra vård- och omsorgsgivare redan har tagit del av dem. Även i detta sammanhang kan det följaktligen förekomma att en vård- eller omsorgsgivare redan har laddat ner uppgifter från systemet och fört in dem i sitt eget elektroniska dokumentationssystem. Det bör då inte krävas att vård- eller omsorgsgivaren raderar redan hämtade uppgifter. (Det bör dock noteras att den enskilde kan ha rätt att få sina personuppgifter raderade med stöd av artikel 17 i dataskyddsförordningen, om de förutsättningar som anges i artikeln är för handen.)
Det bör i sammanhanget betonas att dubbeldokumentation bör undvikas även vid sammanhållen vård- och omsorgsdokumentation. För det första strider det inte sällan mot den grundläggande principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen, dvs. att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till det ändamål för vilka de behandlas (se vidare avsnitt 4.5.2). Inga uppgifter får hämtas hem och föras in i en vård- eller omsorgsgivares interna system för säkerhets skull och för att det kan komma att uppstå ett behov av dem vid ett senare tillfälle. Ett av villkoren för att en vårdgivare ska få behandla uppgifter som en annan vård- eller omsorgsgivare gjort tillgängliga (se avsnitt 16.6) är att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten. För en omsorgsgivare föreslås gälla som krav för behandling av personuppgifter som en annan vård- eller omsorgsgivare gjort tillgängliga att uppgifterna
kan antas ha betydelse för omsorgsgivarens insatser för omsorgsmottagaren. Har informationen ingen betydelse för vårdgivarens vård eller omsorgsgivarens insatser vid tillfället får de inte heller hämtas hem för att de eventuellt kan komma att ha betydelse i framtiden.
Det övergripande syftet med ett system med sammanhållen vård- och omsorgsdokumentation är att de som utför hälso- och sjukvård eller som ansvarar för eller utför insatser inom den angivna socialtjänstverksamheten enkelt och snabbt och till fördel för den enskilde ska kunna ta del av information om patienten eller omsorgsmottagaren hos andra vård- och omsorgsgivare. Smidig kommunikation mellan vård- och omsorgsgivare kan motverkas av att information dokumenteras på flera ställen. Sådan dubbeldokumentation kan leda till svåröverskådliga journaler eller personakter med för mycket information, vilket kan innebära svårigheter för den som ska läsa journalen eller akten att sålla relevant information från icke-relevant information. Liksom inom systemet med sammanhållen journalföring bör alltså, om möjligt, sådan dubbeldokumentation undvikas. I vissa fall är det dock nödvändigt för vård- eller omsorgsgivaren att ladda ner och bevara uppgifter som hämtats genom sammanhållen vård- och omsorgsdokumentation, t.ex. om uppgifterna ligger till grund för omsorgsgivarens beslut om insatser (se vidare avsnitt 16.18.4).36 Det framstår som lämpligt att de vård- och omsorgsgivare som avser att samarbeta i ett system med sammanhållen vård- och omsorgsdokumentation drar upp riktlinjer för tillgänglighet av uppgifter och i vilka sammanhang det kan anses motiverat att dokumentera uppgifter som hämtats från systemet med sammanhållen vård- och omsorgsdokumentation i vård- eller omsorgsgivarens lokala dokumentationssystem.
Patienten eller omsorgsmottagaren bör, på samma sätt som vid sammanhållen journalföring, när som helst kunna häva en spärr. Det framstår som en lämplig ordning att den vård- eller omsorgsgivare som har lagt in spärren ska ansvara för att ta bort spärren. Det bör dock inte krävas att patienten eller omsorgsmottagaren själv tar kontakt med just den vård- eller omsorgsgivare som har lagt in spärren. Framför patienten eller omsorgsmottagaren önskemål om att spärren ska tas bort vid kontakt med en annan vård- eller om-
36 Se kraven på dokumentation av uppgifter i 27 § förvaltningslagen (2017:900) och 11 kap. 5 § socialtjänstlagen.
sorgsgivare som ingår i det aktuella systemet med vård- och omsorgsdokumentation, bör denna vård- eller omsorgsgivare meddela den vård- eller omsorgsgivare som har spärrat uppgifterna att patienten eller omsorgsmottagaren vill ha spärren hävd. Det är lämpligt att patientens eller omsorgsmottagarens önskan att häva spärren dokumenteras på ett tydligt och lättillgängligt ställe, så att det för de vård- och omsorgsgivare som ingår i systemet med sammanhållen vård- och omsorgsdokumentation tydligt framgår att uppgifterna inte längre är spärrade uppgifter.
16.5.3. Uppgift om spärrade uppgifter
Utredningens förslag: Patientdatalagens regler om uppgift om
spärrade uppgifter ska vara fortsatt tillämpliga och föras över till den föreslagna lagen, vilket innebär att uppgift om att det finns spärrade uppgifter om en patient samt uppgift om vilken vårdgivare som har spärrat uppgifterna får göras tillgängliga för andra vårdgivare genom sammanhållen vård- och omsorgsdokumentation. En annan vårdgivare får ta del av uppgift om vilken vårdgivare som har spärrat uppgifterna endast om det finns fara för patientens liv eller annars finns allvarlig risk för patientens hälsa.
Utredningens bedömning: En omsorgsgivare bör inte ha möj-
lighet att häva en uppställd spärr utan den enskildes medgivande eller att ta del av uppgifter som gjorts tillgängliga genom sammanhållen omsorgsdokumentation utan den registrerades samtycke på grund av en akut nödsituation.
I patientdatalagen finns ytterligare undantag från möjligheten att spärra uppgifter om en patient. Enligt 6 kap. 2 § andra stycket patientdatalagen får uppgift om att det finns spärrade uppgifter om en patient samt uppgift om vilken vårdgivare som har spärrat uppgifterna göras tillgängliga för andra vårdgivare genom sammanhållen journalföring. Av första stycket i samma paragraf följer att en patient inte får motsätta sig att sådana uppgifter görs tillgängliga genom sammanhållen journalföring. En annan vårdgivare får dock ta del av uppgift om vilken vårdgivare som har spärrat uppgifterna endast om det föreligger fara för patientens liv eller det annars föreligger allvarlig risk
för dennes hälsa och patienten inte själv kan häva spärren. Om vårdgivaren med ledning av denna uppgift bedömer att de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren (6 kap. 4 § första stycket PDL). Vidare gäller att en vårdgivare får ta del av uppgift om vilken eller vilka vårdgivare som har gjort uppgifterna tillgängliga om det föreligger fara för patientens liv eller det annars föreligger allvarlig risk för dennes hälsa och patientens samtycke inte kan inhämtas. Om vårdgivaren med ledning av denna uppgift bedömer att de ospärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren behandla de ospärrade uppgifterna (6 kap. 4 § andra stycket PDL). Systemet är alltså uppbyggt på så sätt att andra vårdgivare kan ta del av uppgift om att det finns spärrade uppgifter om en patient, utan att ta del av uppgiften om vilken vårdgivare som har spärrat uppgifterna.
Av förarbetena till bestämmelsen framgår att i första hand patienten själv ska begära att en spärr hävs eller att samtycke inhämtas. Det kan emellertid av olika skäl vara omöjligt. Med förutsättningarna att fara föreligger för patientens liv eller att det annars föreligger allvarlig risk för dennes hälsa avses att det i princip ska vara fråga om en allvarlig situation då de spärrade uppgifterna bedöms vara viktiga för den vård eller behandling som omgående måste sättas in. Det ska alltså av hänsyn till patientsäkerheten inte vara möjligt att avvakta en tid för att patienten ska kunna häva spärren (en akut nödsituation). Patienten är kanske medvetslös eller alltför medtagen för att kunna ta ställning till frågan. Vidare kan saken brådska så att det inte finns någon tid att invänta att patienten häver spärren eller att inhämta samtycke. Det ska alltså vara sådana och liknande skäl som gör att patientens val att häva en spärr inte kan inväntas eller att samtycke inte kan inhämtas.37
Undantagsbestämmelsen motiveras i förarbetena med att det inte alltid är till fördel för patienten att en spärrad uppgift inte får öppnas ens om patientens liv är i fara eller det föreligger risk för allvarlig invaliditet. Utan möjligheten till forcering, finns risken att patienterna inte kommer att våga utnyttja sin rätt att begära att uppgifterna spärras trots att de egentligen vill det. Mot den bakgrunden ansågs det befogat att införa en bestämmelse som innebär en möjlighet för
vårdgivaren att forcera en spärr i journalen vid en situation där patienten själv inte kan ge sitt medgivande men där de spärrade uppgifterna i journalen behövs för att kunna rädda patientens liv eller förhindra att patienten drabbas av allvarlig invaliditet.38
Reglerna i 6 kap. 2 § andra stycket patientdatalagen om att uppgift om att det finns spärrade uppgifter om en patient samt uppgift om vilken vårdgivare som har spärrat uppgifterna får göras tillgängliga för andra vårdgivare genom sammanhållen journalföring, bör föras över oförändrade till den nya lagen, med den ändring att bestämmelsen avser uppgifter som görs tillgängliga genom sammanhållen vård- och omsorgsdokumentation. En annan vårdgivare får ta del av uppgift om vilken vårdgivare som har spärrat uppgifterna endast under de förutsättningar som i dag anges i 6 kap. 4 § patientdatalagen (se vidare avsnitt 6.9.1). Det bör uppmärksammas att dessa regler gäller för
vårdgivares behandling av personuppgifter om patienter. Frågan är här
om motsvarande regler bör införas för omsorgsgivares behandling av uppgifter om omsorgsmottagare.
Undantagsbestämmelsen i patientdatalagen är endast tillämplig i akuta nödsituationer, då de spärrade uppgifterna eller uppgifter som patienten inte har samtyckt till behandlingen av kan antas ha betydelse för den vård som patienten oundgängligen behöver. Sådana nödsituationer med ett så akut behov av vård- eller omsorgsinformation att omsorgsmottagarens hävande av en spärr eller samtycke inte kan inväntas, torde inte förekomma inom den verksamhet inom socialtjänsten som omfattas av den föreslagna lagen. Denna bild, dvs. att det inte finns behov att på grund av akut nödsituation kunna bryta igenom en uppställd spärr eller ta del av en uppgift trots att omsorgsmottagarens samtycke inte kan inhämtas, har bekräftats av de omsorgsgivare utredningen har varit i kontakt med. Utredningen bedömer därför att det inte finns skäl att i den föreslagna lagen ta med regler om att omsorgsmottagaren inte får spärra en uppgift om att det finns spärrade uppgifter om honom eller henne och vilken omsorgsgivare som har spärrat uppgiften. Det finns inte heller skäl att föra in bestämmelser som medför möjlighet för en omsorgsgivare att häva en uppställd spärr utan omsorgsmottagarens medgivande eller möjlighet att ta del av uppgifter som gjorts tillgängliga genom sammanhållen omsorgsdokumentation utan omsorgsmottagarens samtycke. Det bör alltså inte införas en möjlighet för omsorgsgivare att
häva en uppställd spärr utan omsorgsmottagarens medgivande, eller ta del av uppgifter som gjorts tillgängliga genom sammanhållen vård- och omsorgsdokumentation utan omsorgsmottagarens samtycke, på så sätt som vårdgivare i undantagsfall får göra.
I avsnitt 16.5.6 berörs i vilken utsträckning uppgifter om en patient eller omsorgsmottagare som inte endast tillfälligt saknar förmåga att ta ställning får göras tillgängliga i ett system med sammanhållen vård- och omsorgsdokumentation, och i avsnitt 16.8 och 16.9 berörs när en vård- eller omsorgsgivare genom systemet får ta del av uppgifter om en sådan patient eller omsorgsmottagare.
16.5.4. Patientens och omsorgsmottagarens rätt till information
Utredningens förslag: Innan uppgifter om en patient eller om-
sorgsmottagare görs tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation, ska patienten eller omsorgsmottagaren informeras om vad den sammanhållna vård- och omsorgsdokumentationen innebär och om att patienten eller omsorgsmottagaren kan motsätta sig att uppgifter görs tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation. En patient ska också informeras om att uppgift om att det finns spärrade uppgifter samt uppgift om vilken vårdgivare som har spärrat uppgifterna får göras tillgängliga för andra vårdgivare genom sammanhållen vård- och omsorgsdokumentation samt att en annan vårdgivare får ta del av uppgift om vilken vårdgivare som har spärrat uppgifterna vid fara för patientens liv eller hälsa.
Rätt till information enligt patientdatalagen
I 6 kap. 2 § tredje stycket patientdatalagen föreskrivs att patienten, innan uppgifterna om patienten görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska informeras om vad sammanhållen journalföring innebär och om att patienten kan motsätta sig att uppgifter görs tillgängliga för andra vårdgivare genom ett sådant system.
Att patienten på detta tidiga stadium ska informeras om den sammanhållna journalföringen bygger, enligt förarbetena till bestämmelsen, på respekten för patientens självbestämmande och integritet och att vården och behandlingen så långt som möjligt ska utformas och genomföras i samråd med patienten. Hur informationen ska lämnas överlåts åt varje personuppgiftsansvarig att bestämma. Något krav på att informationen ska ges i viss form – muntlig eller skriftlig – finns inte. I förarbetena anförs dock att det är viktigt att den personuppgiftsansvarige utarbetar rutiner för hur informationsskyldigheten ska fullgöras. Säkra rutiner ligger i den personuppgiftsansvariges eget intresse, eftersom denne anses ha bevisbördan för att obligatorisk information faktiskt har lämnats till patienten. När det gäller t.ex. patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på andra språk.39
I förarbetena konstateras att informationen ibland inte kan lämnas på ett så tidigt stadium som föreskrivs i paragrafen. Inom hälso- och sjukvården är det vanligt att patientens hälsotillstånd omöjliggör att information lämnas om en behandling av personuppgifter innan uppgifter om patienten registreras. Patienten kan vara medvetslös eller alltför fysiskt eller psykiskt medtagen för att kunna ta till sig information av det slag som här avses. Däremot ska informationen lämnas när patienten kan tillgodogöra sig den igen. Det är vidare inte nödvändigt, enligt förarbetena, att information lämnas vid varje kontakttillfälle med en patient, under förutsättning att inget tvivel råder om att patienten är införstådd med vad den sammanhållna journalföringen innebär.40
Rätt till information enligt den föreslagna lagen
Frågan är här om det i den föreslagna lagen bör tas med ett motsvarande krav på information som förutsättning för att uppgifter om patienter och omsorgsmottagaren ska få göras tillgängliga genom sammanhållen vård- och omsorgsdokumentation.
När det gäller rätten till information till patienter bör de nu gällande reglerna i patientdatalagen föras över och omfatta rätt till in-
39Prop. 2007/08:126 s. 249 f. 40Prop. 2007/08:126 s. 249 f.
formation om sammanhållen vård- och omsorgsdokumentation. Patienten bör vidare ha rätt att få information om att uppgift om att det finns spärrade uppgifter samt uppgift om vilken vårdgivare som har spärrat uppgifterna får göras tillgängliga för andra vårdgivare genom sammanhållen vård- och omsorgsdokumentation samt att en annan vårdgivare får ta del av uppgift om vilken vårdgivare som har spärrat uppgifterna under de förutsättningar som anges i lagen (fara för patientens liv eller hälsa).
Av artikel 13 i dataskyddsförordningen följer att om personuppgifter samlas in från den registrerade, ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna viss information om bl.a. ändamål och rättslig grund för behandlingen, lagringstid, uppgift om den registrerades rätt till tillgång, rättelse, radering, begränsning av behandling, invändning mot behandling och rätten att återkalla ett eventuellt samtycke. Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade.
Vård- och omsorgsgivare är således redan enligt dataskyddsförordningen skyldiga att lämna viss information till patienten eller omsorgsmottagaren. En sådan särskild bestämmelse om informationskrav, som motsvarar den som finns i patentdatalagen, omfattas enligt utredningens bedömning av den personuppgiftsansvariges informationsplikt enligt dataskyddsförordningen.41 Utredningen gör vidare bedömningen att det inte strider mot dataskyddsförordningen att ställa upp ytterligare krav på att den enskilde blir informerad för att personuppgifterna ska få behandlas på ett visst sätt. Enligt artikel 6.2 och 6.3 i dataskyddsförordningen är det tillåtet med sådana särskilda bestämmelser när det gäller personuppgifter som behandlas med stöd av artikel 6.1 e (för att utföra en uppgift av allmänt intresse) i dataskyddsförordningen, vilket det här är fråga om (se avsnitt 15.3). Det är således förenligt med dataskyddsförordningen att i den föreslagna lagen ställa upp särskilda krav på information som förutsättning för att personuppgifter ska få behandlas.
Att patienten och omsorgsmottagaren har fått klar, tydlig och korrekt information om vad sammanhållen vård- och omsorgsdokumentation innebär och om möjligheten att motsätta sig sådan behandling är en förutsättning för att patienten eller omsorgsmottagaren ska
41 Jämför Socialdataskyddsutredningens bedömning avseende 6 kap. 2 § tredje stycket patentdatalagen i SOU 2017:66 s. 344 f.
kunna fatta ett välgrundat beslut i frågan om personuppgifterna bör få göras tillgängliga för andra vård- eller omsorgsgivare eller inte. Rätten till information och patientens eller omsorgsmottagarens möjlighet att därmed tillvarata sin rätt är ett viktigt led i skyddet av den personliga integriteten. Det bör därför i den föreslagna lagen tas med en bestämmelse som slår fast att patienten eller omsorgsmottagaren, innan uppgifter om omsorgsmottagaren görs tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation, ska informeras om vad sammanhållen vård- och omsorgsdokumentation innebär och rätten att motsätta sig tillgängliggörandet.
Den information som vård- och omsorgsgivaren lämnar enligt den föreslagna lagen ska uppfylla kraven i dataskyddsförordningen på information till den registrerade. Av artikel 12 i dataskyddsförordningen följer bl.a. att sådan information ska tillhandahållas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt. När det som här gäller äldre och personer med funktionsnedsättningar som för sin livsföring behöver insatser från socialtjänsten är det särskilt viktigt att informationen anpassas så att mottagaren kan ta till sig den. När det gäller patienter och omsorgsmottagare som inte talar svenska bör den personuppgiftsansvarige se till att informationen översätts eller att det finns skriftlig information på andra språk.
Motsvarande situation som beskrivits i förarbetena till patientdatalagen om att information ibland inte kan lämnas så tidigt som föreskrivs i 6 kap. 2 § patientdatalagen (se ovan under rubriken Rätt
till information enligt patientdatalagen) kan uppstå inom den verk-
samhet inom socialtjänsten som omfattas av den föreslagna lagen, dvs. att omsorgsmottagaren tillfälligt är i ett sådant tillstånd att han eller hon inte kan ta emot informationen. Det kan t.ex. vara fråga om en äldre person vars demenssjukdom tillfälligt är sämre, men vars sjukdomstillstånd kan förändras över tid och därför kan ta till sig informationen vid ett senare tillfälle. En skillnad i förhållande till hälso- och sjukvård som är relevant i detta sammanhang är dock att det sällan rör sig om så akuta situationer inom den här aktuella verksamheten. Det bör alltså i många fall finnas tid att avvakta något med
registreringen av personuppgifter så att omsorgsmottagaren kan ta del av informationen om sammanhållen omsorgsdokumentation. Utredningen gör bedömningen att huvudregeln bör vara att omsorgsmottagaren ska ha tagit del av föreskriven information innan hans eller hennes personuppgifter görs tillgängliga genom sammanhållen vård- och omsorgsdokumentation. Det kan efter hand visa sig att omsorgsmottagarens oförmåga att ta till sig informationen inte endast är tillfällig. Utredningen föreslår särskilda regler i fråga om personer som inte endast tillfälligt saknar förmåga att tillgodogöra sig information och ta ställning i fråga om sammanhållen vård- och omsorgsdokumentation.
16.5.5. Barn och deras vårdnadshavare
Utredningens förslag: Vårdnadshavaren till ett barn får inte
spärra uppgifter om barnet.
Utredningens bedömning: Ett barn som vet vad det gör bör
självt få spärra sina uppgifter.
Särskilda regler för barn och vårdnadshavare i patientdatalagen
Enligt patientdatalagen gäller särskilda regler för vårdnadshavares möjlighet att spärra uppgifter om sitt barn i ett system för sammanhållen journalföring. Av 6 kap. 2 § fjärde stycket patientdatalagen följer att vårdnadshavaren till ett barn inte får spärra uppgifter om barnet. Detta motiveras i förarbetena med att det ökar vårdpersonalens möjligheter att upptäcka barn som far illa och att bedöma om anmälan ska göras till socialnämnden för att barnet ska få erforderligt skydd (se 14 kap. 1 § SoL
)
. Dessa skäl ansågs väga över den integritetskränkning som kan uppstå till följd av att vårdnadshavare inte kan spärra sitt barns uppgifter.42Med barn avses den som är under 18 år. En patients möjlighet att själv bestämma om uppgifter om honom eller henne ska spärras är dock inte villkorad av att han eller hon har fyllt 18 år. I förarbetena anförs att i takt med barnets stigande ålder och mognad ska barnet
42Prop. 2007/08:126 s.115 och 250 f.
själv få bestämma om uppgifter ska spärra eller inte. Barn och ungdomar bör i detta sammanhang hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården. I takt med den underåriges stigande ålder och mognad ska allt större hänsyn tas till barnets önskemål och vilja, om uppgifter om honom eller henne ska få göras tillgängliga för andra vårdgivare eller inte, se 6 kap. 11 § föräldrabalken.43
Utöver bestämmelserna i patientdatalagen bör i sammanhanget nämnas att Förenta nationernas konvention om barnets rättigheter, barnkonventionen, sedan den 1 januari 2020 gäller som svensk lag (lagen [2018:1197] om Förenta nationernas konvention om barnets rättigheter). Lagen innebär ett förtydligande av att rättstillämparna i samtliga mål och ärenden ska tolka svenska bestämmelser i förhållande till barnkonventionen. I detta sammanhang kan bl.a. bestämmelserna om barn och ungas möjlighet till delaktighet och inflytande i frågor som rör dem vara av betydelse.
Därutöver finns det i dataskyddsförordningen särskilda regler avseende behandling av personuppgifter som rör barn. Enligt skäl 38 till dataskyddsförordningen förtjänar barns personuppgifter särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Enligt artikel 12 i dataskyddsförordningen ska den personuppgiftsansvarige vidta lämpliga åtgärder för att den registrerade ska få relevant information i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, i synnerhet för information som är särskilt riktad till barn.
Särskilda regler för barn och vårdnadshavare i den föreslagna lagen
De ovan beskrivna reglerna i patientdatalagen som gäller i de fall patienten är ett barn bör tas in i sak oförändrade i den föreslagna lagen. Frågan är här om motsvarande regler bör gälla i de fall omsorgsmottagaren är ett barn.
43Prop. 2007/08:126 s.115 och 250 f. Jfr bestämmelser om att när patienten är ett barn ska barnets inställning till den aktuella vården eller behandlingen så långt som möjligt klarläggas. Barnets inställning ska tillmätas betydelse i förhållande till hans eller hennes ålder och mognad (4 kap. 3 § patientlagen [2014:821]).
Enligt 14 kap. 1 § socialtjänstlagen är bl.a. myndigheter vars verksamhet berör barn och unga, andra myndigheter inom socialtjänsten och anställda hos sådana myndigheter samt de som är verksamma inom yrkesmässigt bedriven enskild verksamhet och fullgör arbetsuppgifter som berör barn och unga eller inom annan sådan verksamhet inom hälso- och sjukvården eller på socialtjänstens område skyldiga att genast anmäla till socialnämnden om de i sin verksamhet får kännedom om eller misstänker att ett barn far illa. Ett system med sammanhållen vård- och omsorgsdokumentation har som primärt syfte att förbättra och förenkla kommunikationen mellan olika vård- och omsorgsgivare och därmed kunna förbättra hälso- och sjukvården och insatserna för den enskilde. På samma sätt som gäller vid sammanhållen journalföring inom hälso- och sjukvård kan det vid handläggningen av de ärenden och utförande av de insatser inom socialtjänsten som omfattas av den föreslagna lagen och avser personer med funktionsnedsättningar komma fram uppgifter som leder till att det uppmärksammas att ett barn far illa. En möjlig effekt av sammanhållen vård- och omsorgsdokumentation är att den kommer att förbättra möjligheterna att få insyn i ett funktionsnedsatt barns livssituation och därmed också möjligheterna att bedöma om han eller hon av någon anledning far illa. Om vårdnadshavare ges möjlighet att spärra sina funktionsnedsatta barns uppgifter, finns det risk för att missförhållanden som beror på vårdnadshavararen själv inte uppmärksammas eller att det tar längre tid innan missförhållanden upptäcks. Funktionsnedsatta barn kan antas vara i en mer utsatt situation än andra barn. Av samma skäl som på hälso- och sjukvårdsområdet bör därför vårdnadshavare till ett barn som får eller utreds för socialtjänstens insatser enligt lagen inte ha möjlighet att spärra uppgifter avseende barnet för tillgänglighet i ett system med sammanhållen vård- och omsorgsdokumentation. Även i detta fall, anser utredningen, väger skyddet för barnet tyngre än det integritetsintrång det innebär att en vårdnadshavare inte har möjlighet att spärra uppgifter om barnet.
Nästa fråga är om det bör införas någon specifik åldersgräns för när ett barn under 18 år själv ska få besluta att uppgifter som rör honom eller henne ska spärras. Liksom inom hälso- och sjukvården är utgångspunkten inom socialtjänstens verksamhet för barn med funktionsnedsättningar att barnet har rätt att, i olika grad, få vara med och påverka det som berör honom eller henne. I vilken ut-
sträckning barnet ska ha inflytande bedöms utifrån ålder och mognad. Detta framgår, när det gäller verksamhet inom socialtjänsten, bl.a. av barnkonventionen, och 11 kap. 10 § socialtjänstlagen.44
Bedömningen av barnets mognad är alltså central för vilken grad av självbestämmande och inflytande ett barn får ha på socialtjänstens område. Begreppet mognad är inte definierat i vare sig barnkonventionen eller de lagar som styr verksamheterna. I förarbetena till socialtjänstlagen anges att begreppet mognad handlar om förmågan att förstå och bedöma vilka konsekvenser den aktuella frågan medför. Ett yngre barn kräver vanligen mer ledning än ett äldre barn. Men det är viktigt att ta hänsyn till individuella skillnader i barns förmåga vid samma ålder och hur de reagerar i olika situationer.45I vissa undantagsfall finns det specifika åldersgränser i lagstiftningen som anger när barnet får vara med och bestämma. Exempelvis har barn som har fyllt 15 år rätt att föra sin egen talan i mål och ärenden enligt socialtjänstlagen.46
Mognad och förmåga till självbestämmande kan variera mellan olika barn i samma ålder och mellan barn med olika funktionsnedsättningar. Detta kan antas gälla särskilt för de barn inom den grupp för vilken sammanhållen omsorgsdokumentation är aktuell, t.ex. barn med en utvecklingsstörning som har rätt till insatser enligt LSS. En specifik åldersgräns för när ett barn ska ha rätt att spärra uppgifter i ett system med sammanhållen omsorgsdokumentation framstår därmed inte som lämplig. I stället bör, i likhet med vad som gäller för sammanhållen journalföring enligt patientdatalagen, barnet själv har rätt att spärra uppgifter om sig själv i takt med sin stigande ålder och utveckling. Ett barn som vet vad det gör bör alltså själv få spärra sina uppgifter respektive häva en redan införd spärr.
Det bör här betonas att även barn som inte följer en mer typisk mognadsutveckling bör ges möjlighet till inflytande när han eller hon kan anses mogen för det. Hur denna bedömning ska ske kan inte anges närmare i detta sammanhang, utan den bör ske på det sätt som görs redan i dag, på andra områden inom socialtjänsten. Att bedöma
44 Enligt 11 kap. 10 § första stycket socialtjänstlagen gäller, när en åtgärd enligt socialtjänstlagen rör ett barn, att barnet ska få relevant information. Ett barn ska ges möjlighet att framföra sina åsikter i frågor som rör barnet. Om barnet inte framför sina åsikter, ska hans eller hennes inställning så långt det är möjligt klarläggas på annat sätt. Barnets åsikter och inställning ska tillmätas betydelse i förhållande till hans eller hennes ålder och mognad. 45Prop. 2012/13:10 s. 39. 46 Se 11 kap. 10 § socialtjänstlagen. Barn har också rätt att föra sin talan i mål och ärenden enligt lagen (1990:52) med särskilda bestämmelser om vård av unga (se 36 §).
ett funktionsnedsatt barns mognadsgrad och inställning kan t.ex. kräva en långvarig kontakt med barnet eller specialistkompetens.
16.5.6. Patienter eller omsorgsmottagare som inte endast tillfälligt saknar förmåga att ta ställning
Utredningens förslag: En vård- eller omsorgsgivare får göra upp-
gifter om en patient eller omsorgsmottagare som inte endast tillfälligt saknar förmåga att ta ställning tillgängliga för de vård- och omsorgsgivare som är anslutna till ett system med sammanhållen vård- och omsorgsdokumentation, om patientens eller omsorgsmottagarens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts och det inte finns anledning att anta att patienten eller omsorgsmottagaren skulle ha motsatt sig behandlingen.
Reglering i patientdatalagen
Av huvudregeln i 6 kap. 2 § patientdatalagen följer att patienten har rätt att, efter att ha blivit informerad om vad sammanhållen journalföring är, motsätta sig att vårddokumentation rörande honom eller henne görs tillgänglig för andra vårdgivare. Vissa särskilda regler gäller dock för de patienter som inte har möjlighet att ta del av information eller ta ställning i fråga om behandling av personuppgifter i sammanhållen journalföring. Enligt 6 kap. 2 a § patientdatalagen får en vårdgivare, under vissa angivna villkor, göra uppgifter om en patient som inte endast tillfälligt saknar förmåga att ta ställning tillgängliga i ett system för sammanhållen journalföring. För detta krävs att patientens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts och det inte finns anledning att anta att patienten skulle ha motsatt sig behandlingen.
När reglerna om sammanhållen journalföring i patientdatalagen trädde i kraft 2008 innehöll regleringen inga särskilda bestämmelser för vuxna som tillfälligt eller varaktigt brister i beslutsförmåga. Detta motiverades med att förslaget i SOU 2004:112 om en ny lag om ställföreträdare för vuxna med bristande beslutsförmåga inom hälso-
och sjukvården då var under beredning.47 Bestämmelserna i 6 kap.2 a och 3 a §§patientdatalagen, som båda rör personer som inte endast tillfälligt saknar förmåga att ta ställning eller lämna samtycke, infördes år 2014. I förarbetena till bestämmelsen i 6 kap. 2 a § patientdatalagen konstateras att lagstiftaren genom reglerna om sammanhållen journalföring gjorde det tillåtet för vårdgivare att på ett mer effektivt, patientsäkert och integritetsskyddande sätt än tidigare dela vårddokumentation med varandra för att säkerheten och kvaliteten i den vård individen erbjuds inte ska riskeras på grund av bristande tillgång till viktig information. Sammanhållen journalföring möjliggjorde ett sådant informationsutbyte för i princip de flesta patientgrupperna. Utanför stod dock i praktiken patienter som saknade förmåga att ge uttryck för sin inställning till informationsutbytet och där avsaknaden av förmågan inte endast var tillfällig.48
I förarbetena anförs att en stor del av informationshanteringen i hälso- och sjukvården förutsätter att den enskilde själv kan ta ställning och ge uttryck för sin vilja i olika avseenden. Personal inom hälso- och sjukvården möter dock varje dag personer som av en eller annan anledning tillfälligt eller mer varaktigt saknar möjlighet att ge uttryck för sin vilja att exempelvis få en viss vård- och behandlingsinsats. En sådan person har ofta även nedsatt förmåga att ta emot information och lämna samtycke till den informationshantering som vård- och behandlingsinsatsen förutsätter. Informationshanteringen kan handla om att hälso- och sjukvårdspersonal snabbt behöver ta reda på viktig information om den enskilde. Inte minst äldre personer med nedsatt beslutsförmåga är ofta beroende av hälso- och sjukvård som omfattar insatser från flera vårdgivare, privata som offentliga. Har dessa äldre personer dessutom olika och stora vård- och omsorgsbehov får de oftast sina behov tillgodssedda av flera olika aktörer. Det anges i förarbetena att ett effektivt informationsutbyte ofta är en nödvändig förutsättning för att en patient med sammansatta behov ska kunna få en god och säker vård på lika villkor som övriga patienter. Mot denna bakgrund ansågs det motiverat att införa en reglering som möjliggör tillgängliggörande av uppgifter även för personer som inte endast tillfälligt saknar möjlighet att ta ställning i ett system för sammanhållen journalföring.49
47Prop. 2007/08:126 s. 116. 48Prop. 2013/14:202 s. 21 f. 49 Se skälen till regeringens förslag, prop. 2013/14:202 s. 20 ff.
Behövs det en särskild reglering i den föreslagna lagen?
Enligt utredningens direktiv omfattar uppdraget inte att utreda särskilda frågor som rör personer med nedsatt beslutsförmåga.50 Behövs särskild reglering om sådana personer på det område som omfattas av utredningsuppdraget, bör regleringen, enligt direktiven, utformas i enlighet med befintlig reglering, t.ex. 6 kap. 2 a § patientdatalagen och 25 kap. 13 § offentlighets- och sekretesslagen.51 Den fråga som uppkommer i detta sammanhang är om det, i likhet med vad som gäller för sammanhållen journalföring enligt patientdatalagen, bör införas en särskild reglering för personer som inte endast tillfälligt saknar förmåga att ta ställning till behandling av personuppgifter om honom eller henne.
När det gäller patienter som inte endast tillfälligt saknar förmåga att ta ställning ska de regler som i dag gäller vid sammanhållen journalföring tas in i den nya lagen och tillämpas på samma sätt som de tillämpas i dag.
Angående omsorgsmottagare som saknar förmåga att ta ställning kan inledningsvis konstateras att verksamhet som regleras av socialtjänstlagen och LSS ska bygga på respekt för individernas självbestämmanderätt och integritet.52 Regleringen förutsätter många gånger att en person har förmåga att själv vara delaktig eller på annat sätt utöva sitt självbestämmande. Det uppställs i vissa fall krav på att den enskilde är aktiv eller i vart fall ger sitt samtycke till en insats eller att en viss åtgärd vidtas vid genomförandet av en insats. Många av de personer som har behov av omsorg saknar dock förmåga att utöva sitt självbestämmande. Det kan vara fråga om personer med demens eller funktionsnedsättningar av olika slag. Svensk lagstiftning saknar, med vissa undantag53, regler om hur verksamheter och
50 Dir. 2019:37 s. 14. Utredningen konstaterar härvid att det bl.a. i betänkandet Framtidens
teknik i omsorgens tjänst (SOU 2020:14) lämnats förslag till bestämmelser som rör vård och
omsorg till människor med varaktigt nedsatt beslutsförmåga. 51 Om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar sekretess enligt 25 kap. 1 § offentlighets- och sekretesslagen inte att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en enskild vårdgivare eller enskild verksamhet på socialtjänstens område (25 kap. 13 § OSL). 52 Se 1 kap. 1 § 3 stycket socialtjänstlagen och 6 § LSS. 53 Enligt t.ex. 8 § LSS kan, om den enskilde är under 15 år eller uppenbart saknar förmåga att på egen hand ta ställning i frågan, vårdnadshavare, god man, förmyndare, förvaltare eller framtidsfullmaktshavare begära insatser enligt lagen för honom eller henne.
personal inom omsorgen ska gå till väga i situationer som kräver att en person utövar sitt självbestämmande men hans eller hennes förmåga att göra det saknas eller är nedsatt.
Frågor om ställföreträdare för personer med bristande beslutsförmåga inom bl.a. omsorgen har utretts vid flera tillfällen.54 Utredningsarbetet har ännu inte lett till någon generell lagstiftning om ställföreträdarskap för beslutsoförmögna personer inom omsorgen, dvs. personer som helt eller delvis saknar möjlighet att vara delaktiga eller på annat sätt utöva sitt självbestämmande i situationer då detta förutsätts inom omsorgen.55
För personer som helt saknar eller har nedsatt förmåga att hantera sina egna angelägenheter kan en god man eller förvaltare förordnas enligt 11 kap. 4 eller 7 § föräldrabalken. Ett godmanskap enligt 11 kap. 4 § föräldrabalken får omfatta att bevaka den enskildes rätt, förvalta egendom och sörja för person. I uppdraget att bevaka den enskildes rätt anses det ligga en behörighet att bl.a. samtycka till behandling av personuppgifter.56 En förvaltare har, enligt 11 kap. 9 § första stycket föräldrabalken inom ramen för sitt uppdrag ensam rådighet över den enskildes egendom och företräder den enskilde i alla angelägenheter som omfattas av uppdraget.
Datainspektionen har år 2010, innan de särskilda reglerna om personer som inte endast tillfälligt sakar förmåga att ta ställning eller samtycka infördes i patientdatalagen (6 kap. 2 a och 3 a §§), tagit upp frågan om legala ställföreträdares möjlighet att samtycka i patientens ställe. Datainspektionen konstaterade i ärendet att Attendo Care AB i strid med 6 kap. 3 § patientdatalagen lät s.k. ”underförstått samtycke” utgöra grund för direktåtkomst till patientuppgifter vid sammanhållen journalföring.57 Datainspektionen anförde att ett giltigt samtycke enligt dåvarande personuppgiftslagen endast kunde lämnas av den registrerade eller den registrerades legala ställföreträdare. Att regelmässigt utgå från att personer med bristande beslutsförmåga skulle ha gett sitt samtycke om beslutsförmåga funnits saknade därmed, enligt Datainspektionens bedömning, rättsligt stöd. Datainspektionen utgick dock från att en legal ställföreträdare kan lämna
54 Se t.ex. Frågor om förmyndare och ställföreträdare för vuxna (SOU 2004:112), Regler för skydd
och rättssäkerhet för personer med demenssjukdom (SOU 2006:110), Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45) och Stöd och hjälp till vuxna vid ställningstagande till vård, omsorgs och forskning (SOU 2015:80).
55 Se dock lagen (2017:310) om framtidsfullmakter. 56Prop. 2016/17:30 s. 110. 57 Datainspektionens beslut 2010-06-29, dnr 1391-2009.
ett giltigt samtycke till behandling av personuppgifter genom sammanhållen journalföring. Mot bakgrund av ovanstående konstaterade Datainspektionen att den rutin Attendo Care tillämpade för ”underförstådda samtycken” inte innebar att giltiga samtycken enligt personuppgiftslagen inhämtades. Ett ”underförstått samtycke” som inhämtades enligt nämnda rutin utgjorde därmed inte heller ett sådant samtycke som det ställs krav på i 6 kap. 3 § patientdatalagen. Det är således i strid med 6 kap. 3 § patientdatalagen att låta ett sådant samtycke utgöra grund för direktåtkomst till patientuppgifter vid sammanhållen journalföring. Datainspektionen förelade därför Attendo Care att vidta åtgärder för att se till att direktåtkomst till uppgifter i den sammanhållna journalföringen, så länge det inte var fråga om sådan nödsituation som avses i 6 kap. 4 § patientdatalagen, föregås av ett frivilligt, särskilt och otvetydigt samtycke från patienten eller dennes legala ställföreträdare.
I ett ärende om samråd fick Datainspektionen frågan om hantering av registrering av personer som varaktigt saknar beslutsförmåga i det nationella kvalitetsregistret Senior Alert.58 Datainspektionen konstaterade att då en vuxen person varaktigt saknar beslutsförmåga kan han eller hon varken förstå information om registreringen eller uttrycka att han eller hon motsätter sig registreringen. Därmed kan en vårdgivare gentemot en sådan person inte uppfylla sina skyldigheter enligt 7 kap.2 och 3 §§patientdatalagen. Det går då, enligt Datainspektionens bedömning, inte att med stöd av bestämmelserna i patientdatalagen behandla sådana enskildas personuppgifter i ett nationellt kvalitetsregister. Registreringen av personer som varaktigt saknar beslutsförmåga i Senior Alert var därför enligt Datainspektionen inte förenlig med dåvarande lagstiftning, om inte den beslutsoförmögne hade en legal ställföreträdare som efter att ha fått information enligt 7 kap. 3 § patientdatalagen inte motsatte sig registrering av den beslutsoförmögne. En legal ställföreträdare ansågs alltså även här kunna ta ställning i fråga om behandling av personuppgifter som rör den beslutsoförmögne. Datainspektionens slutsats var alltså att information vid behandling av personuppgifter om varaktigt beslutsoförmögna vuxna ska lämnas till deras legala ställföreträdare och att uppgifter om sådana personer som inte har någon legal ställ-
58 Datainspektionens beslut 2011-09-16, dnr 708-2011.
företrädare inte får behandlas, åtminstone inte enligt särskild lagstiftning om kvalitetsregister.59
Mot bakgrund av det anförda torde en god man eller förvaltare alltså kunna ta ställning till eller ge sitt samtycke till att uppgifter om patienten eller omsorgsmottagaren görs tillgängliga i ett system med sammanhållen vård- och omsorgsdokumentation. Detta förutsätter dock att denna arbetsuppgift faller inom ramen för den gode mannens eller förvaltarens uppdrag enligt förordnandet.60 Vidare är det så att många människor med nedsatt beslutsförmåga inte har god man eller förvaltare.
Sammanfattningsvis kan alltså sägas att det, utöver reglerna om godmanskap och förvaltarskap, i lagstiftningen saknas tydliga regler som ger stöd för personal att ta ställning i frågor om samtycke för en beslutsoförmögen persons räkning eller att annars företräda personen i frågor som gäller insatser enligt socialtjänstlagen eller LSS eller behandling av personuppgifter på dessa områden. Det saknas också generella regler om vad som ska beaktas vid ställningstaganden för en beslutsoförmögen persons räkning.
Utredningen föreslår att omsorgsmottagaren, efter information om vad sammanhållen vård- och omsorgsdokumentation är och möjligheten att motsätta sig sådan behandling, ska ha möjlighet att motsätta sig att vård- och omsorgsdokumentation görs tillgänglig för andra vård- och omsorgsgivare (se avsnitt 16.5). Regleringen förutsätter att omsorgsmottagaren kan förstå informationen om sammanhållen vård- och omsorgsdokumentation samt fatta ett övervägt beslut i frågan om behandling av personuppgifter i ett sådant system. Om omsorgsmottagaren utnyttjar denna rätt, ska hans eller hennes uppgifter spärras. Det kan konstateras att många av de omsorgsmottagare som kommer att omfattas av den föreslagna lagen har svårigheter att ta till sig information och har nedsatt beslutsförmåga. Det rör sig t.ex. om äldre personer med demenssjukdom eller personer med funktionsnedsättningar, t.ex. autism eller autismliknande tillstånd. De tillhör den grupp som, enligt motsvarande bestämmelse i 6 kap. 2 a § patientdatalagen, inte endast tillfälligt saknar förmåga att ta ställning i fråga om tillgängliggörande av personuppgifter. Som framgår av det föregående saknas
59 Sören Öman och Hans-Olof Lindblom, Personuppgiftslagen, kommentaren till 3 §, JUNO version 4C. 60 En förvaltares uppdrag kan innefatta att bevaka rätt, förvalta egendom och sörja för person (11 kap. 7 § föräldrabalken).
det i lagstiftningen generella regler för hur frågor som kräver omsorgsmottagarens medgivande eller samtycke ska hanteras inom verksamhet enligt socialtjänstlagen och LSS.61
I likhet med vad som gäller vid sammanhållen journalföring enligt patientdatalagen är syftet med den förslagna lagen att, med bibehållet integritetsskydd, möjliggöra enkel och smidig informationsöverföring mellan inblandade vård- och omsorgsgivare för att förbättra omsorgen om omsorgsmottagaren. Det kan antas att omsorgsmottagare med nedsatt beslutsförmåga, t.ex. äldre med demens och personer med en kognitiv funktionsnedsättning, tillhör just den grupp som är i störst behov av sådan informationsöverföring mellan omsorgsgivarna eftersom det är de som ofta har svårigheter att själva förmedla informationen. Att då ha bestämmelser som utesluter denna grupp från sammanhållen vård- och omsorgsdokumentation framstår inte som ändamålsenligt.
För att det ska finnas någon dokumentation att tillgängliggöra krävs normalt att det har beslutats om eller utförts en insats som omsorgsmottagaren på ett eller annat sätt gått med på. Att den som har svårt att förstå kan gå med på en konkret insats behöver inte innebära att denne också har förmåga att ta ställning till den mer abstrakta frågan om att ge andra potentiell tillgång till dokumentation om insatsen.
Det finns alltså ett behov att behandla personuppgifter om omsorgsmottagare med nedsatt beslutsförmåga i ett system med sammanhållen vård- och omsorgsdokumentation. Att göra uppgifter om en omsorgsmottagare som inte kan ta till sig information om behandlingen eller ta ställning i fråga om behandlingen av personuppgifter i ett system med sammanhållen omsorgsdokumentation medför en ökning av risken för intrång i den personliga integriteten. En avvägning måste därför göras mellan den personliga integriteten och intresset av att tillgängliggöra personuppgifter för omsorgsmottagare som inte själva kan fatta dessa beslut.
Utredningen redovisar i avsnitt 12.2 och 13.2 att det finns ett klart behov av enkel och snabb informationsöverföring mellan olika omsorgsgivare inom verksamhet för äldre och personer med funktionsnedsättningar samt mellan sådana verksamheter och hälso- och sjukvårdsverksamhet. Som ovan konstateras kan behovet av en god kommunikation mellan de olika aktörerna antas vara särskilt stort i de fall
61 Se dock 8 § första stycket LSS.
omsorgsmottagaren själv har svårt att utrycka sin vilja eller att kommunicera. Utredningen bedömer att behovet av en god vård och omsorg i detta fall väger tyngre än omsorgsmottagarens behov av skydd för den personliga integriteten. Vid denna bedömning har beaktats de särskilda villkor som utredningen föreslår ska gälla för tillgängliggörande i dessa fall samt de övriga integritetsstärkande åtgärder som föreslås som villkor för sammanhållen vård- och omsorgsdokumentation.
Det bör alltså i den föreslagna lagen tas med en särskild reglering om att vård- och omsorgsgivare får göra uppgifter om en patient eller en omsorgsmottagare som inte endast tillfälligt saknar förmåga att ta ställning tillgängliga för de omsorgsgivare som är anslutna till ett system med sammanhållen omsorgsdokumentation. Det bör dock bara få ske om vissa villkor är uppfyllda, se följande avsnitt.
Villkor för tillgängliggörande
Enligt utredningens direktiv bör, om det behövs särskild reglering om personer med nedsatt beslutsförmåga, den föreslagna regleringen utformas i enlighet med befintlig reglering, t.ex. 6 kap. 2 a § patientdatalagen och 25 kap. 13 § offentlighets- och sekretesslagen. Utredningen bedömer att det bör införas bestämmelser om omsorgsmottagare som inte endast tillfälligt saknar förmåga att ta ställning till frågan om tillgängliggörande av uppgifter i ett system med sammanhållen vård- och omsorgsdokumentation. Nästa fråga att ta ställning till är om regleringen ska utformas enligt befintlig reglering.
Enligt 6 kap. 2 a § patientdatalagen krävs för tillgängliggörande genom sammanhållen journalföring för det första att patientens inställning i detta avseende så långt som möjligt klarlagts. I förarbetena till bestämmelsen anges att, med hänsyn till behovet av integritetsskydd för dessa patienter, patientens inställning till behandling av personuppgifter så långt som möjligt ska klarläggas och vara vägledande. Framkommer det vid utredning av patientens inställning att patienten skulle ha motsatt sig sådan behandling ska uppgifterna inte göras tillgängliga i systemet med sammanhållen journalföring. Undantag gäller för det fall att patienten senare häver denna spärr eller om det är fråga om en akut nödsituation.62
Hur omfattande åtgärder vårdgivaren behöver vidta för att klarlägga inställningen får avgöras av förhållandena i det enskilda fallet. Med att det inte finns anledning att anta menas att det inte ska finnas konkreta omständigheter som visar att patienten skulle motsätta sig behandlingen av personuppgifter. En vårdgivare kan t.ex. ha fått information av en närstående eller en vård- och omsorgsanställd om att patienten skulle ha motsatt sig att dennes personuppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring. Sådan information får anses medföra att någon behandling i form av tillgängliggörande i ett system för sammanhållen journalföring inte bör ske. Skulle omständigheterna vara sådana att patienten när han eller hon hade förmåga att ta ställning har givit uttryck för att han eller hon inte vill att vårdgivare ska tillgängliggöra personuppgifterna för annan vårdgivare så bör inte heller uppgifterna tillgängliggöras genom sammanhållen journalföring. Detta bör gälla under förutsättning att inte alltför lång tid har förflutit mellan viljeyttringen och oförmågan att ta ställning. Saknas kännedom eller går det inte att ta reda på vad patienten har för inställning och finns det inte någon omständighet som visar att patienten skulle motsätta sig behandlingen, så kan tillgängliggörande ske.63
I förarbetena förtydligas att närstående inte har någon formell rätt att besluta i den enskildes ställe. Närstående kan dock ge viktig information som kan ligga till grund för bedömningen av vad som kan anses klarlagt om patientens inställning till behandlingen av personuppgifter. Vårdgivaren har att informera patienten om vad sammanhållen journalföring innebär och möjligheten att motsätta sig. Det anges i förarbetena att det kan vara lämpligt att vårdgivaren om möjligt informerar den enskildes närstående om sammanhållen journalföring och försöker klargöra den enskildes inställning till sådan behandling, dock under förutsättning att sekretess inte hindrar det.64
I nu aktuellt sammanhang skulle motsvarande reglering innebära att omsorgsgivaren ges utredningsskyldighet i fråga om omsorgsmottagarens inställning när det gäller att göra uppgifter om honom eller henne tillgängliga i ett system med sammanhållen vård- och omsorgsdokumentation. Omsorgsgivaren ska alltså så långt som möjligt klargöra omsorgsmottagarens inställning i frågan. Det kan bl.a. ske genom kontakter med omsorgsmottagarens närstående eller andra
63Prop. 2013/14:202 s. 42. 64Prop. 2013/14:202 s. 42.
personer som omsorgsmottagaren har haft kontakt med, exempelvis hälso- och sjukvårdspersonal. Omsorgsmottagarens inställning ska, om den går att fastställa, vara vägledande. En sådan reglering innebär också att det, om det saknas kännedom om omsorgsmottagarens inställning eller det inte är möjligt att ta reda på omsorgsmottagarens inställning och det inte finns någon omständighet som tyder på att omsorgsmottagaren skulle motsätta sig behandlingen, kan uppgifterna göras tillgängliga. Utredningen gör bedömningen att en sådan bestämmelse utgör en lämplig avvägning mellan möjligheten att tillgängliggöra uppgifter avseende de omsorgsmottagare som förmodligen bäst behöver ett system med sammanhållen vård- och omsorgsdokumentation och omsorgsgivarens skyldighet att så långt som möjligt utreda omsorgsmottagarens inställning i denna fråga.
Möjligheten för en omsorgsgivare att göra uppgifter om en omsorgsmottagare som inte endast tillfälligt saknar förmåga att ta ställning tillgängliga genom sammanhållen vård- och omsorgsdokumentation bör alltså, i likhet med vad som gäller för sammanhållen journalföring, villkoras av att omsorgsmottagarens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts och det inte finns anledning att anta omsorgsmottagaren skulle ha motsatt sig behandlingen.
16.5.7. Uppgift om ospärrade uppgifter
Utredningens förslag: Det ska införas en uppgift i systemet med
sammanhållen vård- och omsorgsdokumentation om att det finns ospärrade uppgifter om en patient eller omsorgsmottagare. Andra vård- och omsorgsgivare ska kunna ta del av denna uppgift utan att ta del av uppgift om vilken vård- eller omsorgsgivare som har gjort uppgiften tillgänglig och övriga uppgifters innehåll.
Uppgift om ospärrade uppgifter enligt patientdatalagen
Enligt 6 kap. 2 § femte stycket patientdatalagen ska ospärrade uppgifter om patienten göras tillgängliga för de vårdgivare som är anslutna till systemet med sammanhållen journalföring. Det ska vidare införas en uppgift i systemet om att det finns ospärrade uppgifter om patienten. Andra vårdgivare ska kunna ta del av sistnämnda upp-
gift utan att ta del av uppgift om vilken vårdgivare som gjort uppgiften tillgänglig och övriga uppgifters innehåll.
Bestämmelsen infördes mot bakgrund av att handlingar med ospärrade uppgifter som huvudregel utgör allmänna handlingar hos alla myndigheter som är anslutna till ett system med sammanhållen journalföring. Bestämmelsen medför att en vårdgivare, utan att ta del av känsliga uppgifter, kan se om det finns ospärrade uppgifter avseende en person i systemet eller inte. Syftet med bestämmelsen är att en vårdgivande myndighet som är ansluten till ett system med sammanhållen journalföring ska kunna pröva om en begäran om utfående av en allmän handling avseende en viss person kan avslås redan på den grunden att det inte förvaras någon sådan handling hos myndigheten, utan att myndigheten ska behöva ta del av ospärrade uppgifter när förutsättningar för det saknas enligt patientdatalagen.65
Bestämmelsen kompletterades med en ny bestämmelse i den dåvarande sekretesslagen (7 kap. 1 c § sekretesslagen [1980:100], som motsvaras av 25 kap. 2 § OSL), enligt vilken absolut sekretess gäller hos en vårdgivande myndighet för uppgift om enskilds personliga förhållanden om dessa uppgifter har gjorts tillgängliga hos myndigheten av en annan sådan myndighet eller av en privat vårdgivare enligt vad som föreskrivs om sammanhållen journalföring och förutsättningarna för att myndigheten ska få behandla uppgiften enligt patientdatalagen inte är uppfyllda. Sekretessbestämmelsen blir tillämplig om en slagning i systemet med sammanhållen journalföring visar att det finns ospärrade uppgifter avseende den person som en begäran om utfående av allmänna handlingar avser, och vårdgivaren saknar befogenhet enligt patientdatalagen att ta del av uppgifterna. Eftersom uppgifterna i ett sådant fall omfattas av absolut sekretess, behöver myndigheten inte ta del av uppgifterna för att avgöra sekretessfrågan.
Tryckfrihetsförordningen och sammanhållen journalföring
Journalen och andra handlingar i en personakt inom den allmänna socialtjänsten omfattas av 2 kap. tryckfrihetsförordningens bestämmelser om allmänna handlingar. Frågan blir vilken betydelse det får
för utformningen av bestämmelsen om vilka uppgifter som ska anges i systemet med sammanhållen omsorgsdokumentation.
Enligt 2 kap. 3 § tryckfrihetsförordningen avses med en handling en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt. En handling är enligt 2 kap. 4 § tryckfrihetsförordningen allmän, om den förvaras hos en myndighet och enligt 9 eller 10 § samma lag är att anse som inkommen till eller upprättad hos en myndighet. Reglerna om allmänna handlingars offentlighet gäller också för handlingar hos bl.a. kommunala bolag (2 kap. 3 OSL).
Enligt 2 kap. 6 § första stycket tryckfrihetsförordningen anses en upptagning förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt. Det gäller oberoende av om förfogandet avser handlingar som genererats i myndighetens egen verksamhet eller som är inkomna t.ex. genom att myndigheten har direktåtkomst till andra organs elektroniska information.66
Det finns två undantag från huvudregeln om när en upptagning ska anses förvarad hos en myndighet. Undantagen gäller endast sammanställningar av uppgifter ur en upptagning för automatiserad behandling. För det första gäller enligt 2 kap. 6 § andra stycket tryckfrihetsförordningen att en sammanställning av uppgifter ur en upptagning för automatiserad behandling anses förvarad hos myndigheten endast om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder och inte annat följer av 7 § samma kapitel. Sammanställningar som inte kan tas fram genom rutinbetonade åtgärder anses däremot inte förvarade hos myndigheten och utgör alltså inte allmänna handlingar.
Det andra undantaget föreskrivs i 2 kap. 7 § tryckfrihetsförordningen. Enligt bestämmelsen anses en sammanställning inte förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig, den s.k. begränsningsregeln. Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en fysisk person. Syftet med bestämmelsen är att allmänheten inte med stöd av offentlighetsprincipen ska kunna ta del av sammanställningar av uppgifter ur upptagningar som myn-
digheten av hänsyn till skyddet för enskildas integritet själv är rättsligen förhindrad att ta fram i sin egen verksamhet.67 Endast begränsningar i lag eller förordning är relevanta, t.ex. förbud i registerförfattningar för en myndighet att använda vissa sökbegrepp eller att ta fram sammanställningar genom samkörning mellan olika register.68 Den typ av ändamålsbegränsningar som finns i 6 kap.3 och 4 §§patientdatalagen utgör dock inte en sådan begränsning som avses i undantagsbestämmelsen i 2 kap. 7 § tryckfrihetsförordningen.69Undantagsregeln gäller även om sammanställningen kan tas fram med rutinbetonade åtgärder.
Enligt huvudregeln i 2 kap. 9 § tryckfrihetsförordningen anses en handling ha kommit in till en myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare till handa. I fråga om en upptagning gäller i stället att den anses ha kommit in till myndigheten när någon annan har gjort den tillgänglig för myndigheten på det sätt som anges i 6 § samma kapitel.
En handling anses enligt 2 kap. 10 § tryckfrihetsförordningen ha upprättats hos en myndighet, när den har expedierats. En handling som inte har expedierats anses upprättad när det ärende som den hänför sig till har slutbehandlats hos myndigheten eller, om handlingen inte hänför sig till ett visst ärende, när den har justerats av myndigheten eller färdigställts på annat sätt. Särskilda regler gäller dock enligt andra stycket 1 samma bestämmelse för diarier, journaler samt sådana register eller andra förteckningar som förs fortlöpande. De anses ha upprättats när de har färdigställts för anteckning eller införing.
Frågan om när en allmän handling hos en vårdgivare utgör en allmän handling också hos en annan vårdgivare som ingår i samma system för sammanhållen journalföring diskuterades i förarbetena till patientdatalagen. Det bör noteras att sammanhållen journalföring bygger på direktåtkomst och att resonemanget nedan alltså utgår från att utlämnande sker genom direktåtkomst. Om en befattningshavare som för in en uppgift i en journalhandling tillhör en myndighet, blir upptagningen en förvarad och upprättad allmän handling hos den egna myndigheten. För det fall en patient motsätter sig att uppgiften görs tillgänglig för andra vårdgivare genom sammanhållen journalföring, ska uppgiften spärras. Den får då inte göras elektroniskt tillgänglig för
67Prop. 2001/02:70 s. 23. 68Prop. 1975/76:160 s. 87 f. och prop. 2001/02:70 s. 23. 69SOU 2012:90 s. 116.
andra vårdgivare. Spärrade uppgifter blir, enligt regeringens bedömning, alltså inte allmänna handlingar hos andra myndigheter som är anslutna till sammanhållen journalföring. Upptagningen är dock en förvarad och upprättad allmän handling hos den myndighet som ansvarar för upptagningen.70
Om uppgiften inte spärras utan görs tillgänglig för andra till informationssystemet anslutna myndigheter genom direktåtkomst, blir uppgiften enligt huvudregeln i nuvarande 2 kap. 6 § första stycket tryckfrihetsförordningen att anse som en förvarad och inkommen allmän handling hos varje ansluten annan myndighet redan genom den tekniska och potentiella möjlighet som dessa har att ta fram uppgiften. Även journalhandlingar och andra uppgifter som görs tillgängliga för myndigheter av privata vårdgivare, blir redan vid tillgängliggörandet genom direktåtkomst inkomna allmänna handlingar hos alla anslutna myndigheter som tekniskt kan bereda sig tillgång till uppgifterna.71
När det gäller den s.k. begränsningsregeln i nuvarande 2 kap. 7 § tryckfrihetsförordningen konstateras i förarbetena till patientdatalagen att de villkor för behandlingen i ett system för sammanhållen journalföring som föreslås (nuvarande 6 kap.3 och 4 §§patientdatalagen) inte kan anses utgöra sådana rättsliga begränsningar som avses i nuvarande 2 kap. 7 § tryckfrihetslagen.72 Det innebär att en sammanställning av ospärrade uppgifter som en annan vårdgivare gjort tillgängliga för en vårdgivande myndighet är förvarad hos myndigheten, och därmed en allmän handling, om sammanställningen kan göras tillgänglig med rutinbetonade åtgärder. Sammanfattningsvis kan alltså sägas att ospärrade uppgifter som huvudregel utgör allmänna handlingar hos alla myndigheter som är anslutna till den sammanhållna journalföringen, dels om det är fråga om färdiga elektroniska handlingar, dels om det är fråga om en sammanställning av ospärrade uppgifter som kan göras tillgänglig med rutinbetonade åtgärder och utan användning av förbjudna sökbegrepp.73
I förarbetena konstateras vidare att en konsekvens av att ospärrade uppgifter i ett system med sammanhållen journalföring som huvudregel utgör allmänna handlingar hos alla anslutna myndig-
70Prop. 2007/08:126 s. 123. 71Prop. 2007/08:126 s. 123 f. 72Prop. 2007/08:126 s. 125. Bedömningen görs med stöd av uttalanden i förarbetena till personuppgiftslagen (prop. 1997/98:44 s. 44 och SOU 2004:6 s. 246). 73Prop. 2007/08:126 s. 129 f.
heter, oavsett vem som infört uppgifterna i systemet, är att en begäran att få del av sådana uppgifter kan göras hos vem som helst av de anslutna myndigheterna. En begäran att få ta del av en allmän handling ska som huvudregel prövas av den eller de myndigheter hos vilken begäran görs (2 kap. 17 § andra stycket tryckfrihetsförordningen). Med tanke på den stränga sekretess som råder för uppgifterna i patientjournaler torde dock, enligt förarbetena, möjligheterna för allmänheten att med stöd av tryckfrihetsförordningens bestämmelser få del av allmänna handlingar hos myndigheter inom hälso- och sjukvården vara mycket små. Dock gäller att eftersom hälso- och sjukvårdssekretessen inte är absolut utan gäller med en presumtion för sekretess, måste en vårdgivare som är ansluten till ett sådant system, om någon begär att uppgifter i systemet lämnas ut, ta del av uppgifterna för att kunna pröva om de kan lämnas ut. Detta gäller även om det rör sig om ospärrade uppgifter som någon annan vårdgivare har gjort tillgängliga hos vårdgivaren och oavsett om förutsättningarna i 6 kap. 3 eller 4 § patientdatalagen, t.ex. att det ska finnas en aktuell patientrelation med den person uppgifterna rör och att patienten ska samtycka till behandlingen av uppgifterna, är uppfyllda eller inte. I förarbetena sägs att eftersom de regler i patientdatalagen som syftar till att skydda den enskildes integritet beträffande ospärrade uppgifter i förhållande till andra vårdgivare i ett system för sammanhållen journalföring således i praktiken kan sättas ur spel genom att någon utomstående, en enskild eller en annan myndighet, begär att få tillgång till de allmänna handlingar som den sammanhållna journalen består av, har således patienten, när denne ska välja mellan att spärra uppgifterna och lämna dem ospärrade, i praktiken inte en sådan kontroll över uppgifternas vidare spridning inom ramen för den sammanhållna journalföringen som förutsätts i patientdatalagen. Regeringen befarade att denna ordning, om den inte justerades, kunde leda till att förtroendet för systemet med sammanhållen journalföring rubbas.74
En myndighet kan avslå en begäran att ta del av en allmän handling av huvudsakligen två skäl, antingen därför att det inte finns någon sådan allmän handling hos myndigheten eller därför att alla uppgifterna i handlingen omfattas av sekretess. Om en vårdmyndighet inte har eller har haft någon patientrelation med en person och det inte heller finns några ospärrade uppgifter om personen i syste-
met, ska en begäran om utfående av allmän handling med uppgifter avseende den personen avslås på den grunden att det inte finns någon sådan allmän handling hos myndigheten. För att myndigheten ska kunna göra en sådan prövning utan att ta del av eventuella ospärrade uppgifter om personen när förutsättningar härför saknas, krävs att det tekniska systemet är uppbyggt så att myndigheten kan se om det över huvud taget finns ospärrade uppgifter om en viss person. Av detta skäl infördes bestämmelsen i patientdatalagen om att en vårdgivare, när denne gör uppgifter om en patient tillgängliga för andra vårdgivare i ett system med sammanhållen journalföring, även ska införa en uppgift i systemet om att det finns ospärrade uppgifter om patienten i fråga. Övriga vårdgivare ska kunna ta del av en sådan uppgift utan att ta del av uppgift om vilken vårdgivare som gjort uppgiften tillgänglig eller ta del av övriga uppgifters innehåll.75
Samtidigt som ovan beskrivna bestämmelse infördes, infördes även en bestämmelse i dåvarande sekretesslagen (motsvarande 25 kap. 2 § OSL), enligt vilken absolut sekretess gäller hos en vårdgivande myndighet för uppgifter som en annan vårdgivare har gjort tillgänglig för myndigheten i ett system för sammanhållen journalföring i sådana situationer då de förutsättningar för behandling av uppgifterna som anges i 6 kap.3 och 4 §§patientdatalagen inte är uppfyllda. Regeringen uttalade att om dessa förutsättningar däremot är uppfyllda eller myndigheten tidigare har behandlat uppgifter om personen i fråga med stöd av nämnda bestämmelser, bör hälso- och sjukvårdssekretessen gälla hos myndigheten för sådana uppgifter med samma styrka som vanligt, dvs. med ett omvänt skaderekvisit. Regleringen innebär att om en begäran om att få ut en allmän handling avseende en viss person riktas till en vårdgivande myndighet som inte har eller har haft en vårdrelation till personen i fråga och om en slagning i systemet med sammanhållen journalföring visar att det finns ospärrade uppgifter avseende den personen, behöver myndigheten inte ta del av dessa uppgifter för att kunna avgöra sekretessfrågan. Eftersom myndigheten i en sådan situation saknar befogenhet enligt patientdatalagen att behandla uppgifterna, omfattas uppgifterna av absolut sekretess och myndigheten behöver inte ta del av de närmare uppgifterna om personen för att kunna konstatera att så är fallet.76
75Prop. 2007/08:126 s. 130 f. 76Prop. 2007/08:126 s. 131.
Uppgift om ospärrade uppgifter i den förslagna lagen
På samma sätt som vid sammanhållen journalföring kommer en ospärrad uppgift i ett system med sammanhållen vård- och omsorgsdokumentation att anses som en förvarad och inkommen allmän handling hos varje ansluten annan offentlig vård- och omsorgsgivare när systemet bygger på direktåtkomst. Det gäller dock förmodligen inte vid annat elektroniskt utlämnande, t.ex. vid utlämnande genom en s.k. fråga-svar-funktion (se vidare avsnitt 12.3.2). Även journalhandlingar och andra uppgifter i handlingar som görs tillgängliga för offentliga vård- och omsorgsgivare av privata vård- och omsorgsgivare, blir vid tillgängliggörandet genom direktåtkomst inkomna allmänna handlingar hos alla offentliga vård- och omsorgsgivare som tekniskt kan bereda sig tillgång till uppgifterna. De villkor som utredningen föreslår ska vara uppfyllda för att en vård- eller omsorgsgivare ska få behandla uppgifter i systemet med sammanhållen vård- och omsorgsdokumentation (se avsnitt 16.6 och 16.7) utgör, enligt utredningens bedömning, inte någon sådan begränsning som innebär att undantagsbestämmelsen i den s.k. begränsningsregeln i 2 kap. 7 § tryckfrihetsförordningen är tillämplig.
Som konstateras tidigare innebär bestämmelserna i tryckfrihetsförordningen att en begäran att få ta del av uppgifter i en allmän handling kan göras hos vilken som helst av de offentliga vård- och omsorgsgivare som är anslutna till ett system med sammanhållen vård- och omsorgsdokumentation genom direktåtkomst. På samma sätt som inom hälso- och sjukvården gäller sekretess med ett omvänt skaderekvisit för uppgift om enskilds personliga förhållanden inom socialtjänsten och därmed jämställd verksamhet (26 kap. 1 § OSL). Sekretessen är emellertid inte absolut, vilket innebär att den offentliga omsorgsgivare som får en begäran om utlämnande av allmän handling måste göra en sekretessprövning. Detsamma gäller om en myndighet får en begäran från en annan myndighet om att få ospärrade uppgifter som myndigheten förfogar över (6 kap. 5 § OSL). Det krävs att omsorgsgivaren tar del av uppgifterna för att kunna pröva om de kan lämnas ut.
En offentlig omsorgsgivare kan avslå en begäran att ta del av en allmän handling på grund av att det inte finns någon sådan allmän handling hos omsorgsgivaren eller därför att alla uppgifterna i handlingen omfattas av sekretess. Om den offentliga omsorgsgivaren inte
har eller har haft någon omsorgsrelation med en person och det inte heller finns några ospärrade uppgifter om personen i systemet med sammanhållen vård- och omsorgsdokumentation ska en begäran om att få ut en allmän handling med uppgifter om den personen avslås på den grunden att det inte finns någon sådan allmän handling hos omsorgsgivaren. För att den offentliga omsorgsgivaren ska kunna göra en sekretessprövning avseende ospärrade uppgifter hos en annan vård- eller omsorgsgivare utan att ta del av de ospärrade uppgifterna när förutsättningar för det enligt den föreslagna villkorsbestämmelsen saknas, bör systemet utformas på ett sådant sätt att den omsorgsgivare som ska göra sekretessprövningen kan se om det över huvud taget finns ospärrade uppgifter om en viss person. I likhet med vad som gäller för sammanhållen journalföring bör det därför införas en bestämmelse som innebär att en omsorgsgivare, i samband med att denne gör uppgifter om en person tillgänglig för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation, även ska införa en uppgift om att det finns ospärrade uppgifter om personen i fråga. Vidare bör gälla att övriga vård- och omsorgsgivare ska kunna ta del av en sådan uppgift utan att ta del av uppgift om vilken omsorgsgivare som gjort uppgiften tillgänglig eller ta del av övriga uppgifters innehåll. Bestämmelserna innebär, tillsammans med den bestämmelse om absolut sekretess som föreslås i avsnitt 19.2, att den offentliga omsorgsgivaren kan pröva en begäran om att få ut en allmän handling (eller en myndighets begäran om att få uppgifter) om en person hos en annan vård- och omsorgsgivare och avslå begäran på grund av sekretess, utan att myndigheten behöver ta del av innehållet av uppgifterna om det saknas förutsättningar för det enligt den föreslagna lagen.
Det bör förtydligas att reglerna om allmänna handlingars offentlighet endast gäller för myndigheter, och de organ som enligt tryckfrihetsförordningen och offentlighets- och sekretesslagen jämställs med myndigheter. Uppgifter som hos en vård- eller omsorgsgivare som är en myndighet utgör allmän handling utgör alltså inte en allmän handling hos en privat vård- eller omsorgsgivare.
Frågan om sekretess för uppgift om enskilds personliga förhållanden som gjorts tillgänglig enligt reglerna om sammanhållen omsorgsdokumentation hos en offentlig omsorgsgivare och om tystnadsplikt inom privat bedriven sådan verksamhet berörs i avsnitt 19.3 och 19.4.6.
16.6. Vårdgivares tillgång till andras uppgifter genom sammanhållen vård- och omsorgsdokumentation
Utredningens förslag: En vårdgivare får behandla uppgifter som
andra vård- och omsorgsgivare gjort tillgängliga genom sammanhållen vård- och omsorgsdokumentation om uppgifterna rör en patient som det finns en aktuell patientrelation med, uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården, eller för att bedöma behovet av eller utföra insatser enligt lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter och patienten samtycker till det.
Vårdgivaren får också behandla sådana uppgifter om uppgifterna rör en patient som det finns eller har funnits en patientrelation med, om uppgifterna kan antas ha betydelse för att utfärda ett sådant intyg som avses i 3 kap. 16 § patientdatalagen (2008:355) och patienten samtycker till det.
Samtycke till behandlingen krävs dock inte, om patienten är ett barn som inte självt kan samtycka.
16.6.1. Ytterligare villkor för behandling av personuppgifter vid sammanhållen journalföring
För att en vårdgivare ska få behandla uppgifter som en annan vårdgivare gjort tillgängliga i ett system för sammanhållen journalföring är det inte tillräckligt att patienten inte motsätter sig att uppgifterna görs tillgängliga enligt 6 kap. 2 § patientdatalagen. Därutöver uppställs i 6 kap. 3 § patientdatalagen tre villkor för behandlingen, nämligen dels att uppgifterna rör en patient som det finns en aktuell patientrelation med, dels att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården, eller för att bedöma behovet av eller utföra insatser enligt lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, och dels att patienten samtycker till det. Vårdgivaren får även behandla sådana uppgifter om uppgifterna rör en patient som det finns eller har funnits en patientrelation med och uppgifterna kan antas ha betydelse för att utfärda ett intyg om vården och patienten samtycker till det. I fråga om uppgifter om
barn gäller inte kraven på samtycke. Innebörden av förutsättningarna har beskrivits i avsnitt 6.9.
16.6.2. Villkor för vårdgivares tillgång till andra vård- och omsorgsgivares uppgifter
Som beskrivs i avsnitt 15.1.1 är avsikten att reglerna om vårdgivares behandling av personuppgifter genom sammanhållen journalföring ska tas in i den föreslagna nya lagen och tillämpas på samma sätt vid vårdgivares behandling av personuppgifter hos andra vårdgivare genom sammanhållen vård- och omsorgsdokumentation. Vidare bör samma villkor ställas upp för att en vårdgivare ska få behandla uppgifter som en omsorgsgivare gör tillgängliga genom sammanhållen vård- och omsorgsdokumentation. För att en vårdgivare ska få behandla uppgifter om en person som en omsorgsgivare gjort tillgängliga, dvs. uppgifter om en patient som samtidigt är omsorgsmottagare, bör det i den nya lagen uppställas samma krav som i dag gäller vid sammanhållen journalföring, dvs. dels att uppgifterna rör en patient som det finns en aktuell patientrelation med, dels att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården, eller för att bedöma behovet av eller utföra insatser enligt lagen om koordineringsinsatser för sjukskrivna patienter, och dels att patienten samtycker till det. I förarbetena till bestämmelsen om krav på samtycke (6 kap. 3 § första stycket 3 PDL) anges att det ska vara ett sådant samtycke som avses i personuppgiftslagen (1998:204).77 Utredningen anser dock att i stället för att samtycket ska uppfylla de krav som uppställdes i den tidigare personuppgiftslagen, bör den enskildes samtycke, uppfylla de krav som följer av dataskyddsförordningen (se vidare om innebörden av detta i avsnitt 16.7.4). Detta trots att själva definitionen av samtycke inte har ändrats i sak i dataskyddsförordningen i förhållande till personuppgiftslagen.78 Någon ändring i sak i förhållande till vad som gäller vid sammanhållen journalföring är inte avsedd.
Vårdgivaren ska också få behandla sådana uppgifter om uppgifterna rör en patient som det finns eller har funnits en patientrelation med, uppgifterna kan antas ha betydelse för att utfärda ett sådant
77Prop. 2007/08:126 s. 252 f. 78Prop. 2017/18:171 s. 140.
intyg som avses i 3 kap. 16 § patientdatalagen och patienten samtycker till det. Anledningen till att vårdgivare oavsett om vårdgivaren har en aktuell patientrelation med patienten i fråga eller ej bör få behandla även omsorgsgivares uppgifter för att utfärda intyg om vården är exempelvis att det i omsorgsgivarnas dokumentation kan finnas uppgifter om uppföljning av ordinerade åtgärder (se avsnitt 13.2.3) som kan vara av intresse för utfärdande av intyg om vård.
Utredningen föreslår att särskilda regler ska gälla om patienten är ett barn, se följande avsnitt.
16.6.3. Barn och deras vårdnadshavare
För att en vårdgivare ska få behandla sådana uppgifter om ett barn som en vårdgivare inte har rätt att spärra enligt 6 kap. 2 § fjärde stycket andra meningen patientdatalagen krävs inte något samtycke (6 kap. 3 § tredje stycket PDL). Detta beror enligt förarbetena på att vårdnadshavare inte ges möjlighet att spärra barnets uppgifter i det första skedet.79
Sedan reglerna om sammanhållen journalföring infördes har barnkonventionen börjat gälla som svensk lag.80 Enligt artikel 12 i barnkonventionen ska konventionsstaterna tillförsäkra det barn som är i stånd att bilda egna åsikter rätten att fritt uttrycka dessa i alla frågor som rör barnet. Barnets åsikter ska tillmätas betydelse i förhållande till barnets ålder och mognad. För detta ändamål ska barnet, i alla domstolsförfaranden och administrativa förfaranden som rör barnet, särskilt beredas möjlighet att höras, antingen direkt eller genom en företrädare eller ett lämpligt organ och på ett sätt som är förenligt med nationella procedurregler.
En reglering som innebär att vårdnadshavares samtycke inte krävs för behandling av personuppgifter genom sammanhållen vård- och omsorgsdokumentation, utan att barnet med utgångspunkt i mognad och ålder självt ska få bestämma i frågan, ligger i linje med barnkonventionens krav på barnets inflytande över frågor som rör honom eller henne.
Mot denna bakgrund bör reglerna i 6 kap. 3 § tredje stycket patientdatalagen tas in i den föreslagna lagen med den modifieringen
79Prop. 2007/08:126 s. 116. 80 Lagen (2018:1197) om Förenta nationernas konvention om barnets rättigheter trädde i kraft den 1 januari 2020.
att det bara är när barnet självt inte kan samtycka, som behandling av personuppgifter utan samtycke får ske. Den bestämmelsen bör även tillämpas vid vårdgivares behandling av omsorgsgivares uppgifter för att förebygga, utreda eller behandla sjukdomar och skador hos patienten eller för att utfärda intyg enligt 3 kap. 16 § patientdatalagen. I den föreslagna lagen bör det alltså framgå att kravet på samtycke för att en vårdgivare ska få behandla uppgifter som andra vård- eller omsorgsgivare gjort tillgängliga genom sammanhållen vård- och omsorgsdokumentation inte gäller, om patienten är ett barn som inte självt kan samtycka.
16.7. Omsorgsgivares tillgång till andras uppgifter genom sammanhållen vård- och omsorgsdokumentation
Utredningens förslag: En omsorgsgivare får behandla uppgifter
som en annan vård- eller omsorgsgivare gjort tillgängliga genom sammanhållen vård- och omsorgsdokumentation om uppgifterna rör en omsorgsmottagare som får omsorgsgivarens insatser eller är föremål för en utredning om att få sådana insatser, uppgifterna kan antas ha betydelse för omsorgsgivarens insatser för omsorgsmottagaren eller utredning om insatser samt att omsorgsmottagaren samtycker till det.
Samtycke till behandling av omsorgsdokumentation krävs dock inte, om omsorgsmottagaren är ett barn som inte självt kan samtycka.
16.7.1. Villkor för omsorgsgivares tillgång till andra vård- och omsorgsgivares uppgifter
För att ett system med sammanhållen vård- och omsorgsdokumentation ska vara ändamålsenligt för de vård- och omsorgsgivare som ingår i ett sådant system, och därmed till nytta för patienterna och omsorgsmottagarna, är det avgörande att patienterna och omsorgsmottagarna känner förtroende för systemet. Om patienten eller omsorgsmottagaren befarar att uppgifterna om honom eller henne kommer att spridas till obehöriga eller användas för andra syften än
han eller han kunna förutse, finns det risk för att patienten eller omsorgsmottagaren motsätter sig behandlingen. Det finns alltså skäl att ställa upp villkor för när uppgifter som inte är spärrade i ett system med sammanhållen vård- och omsorgsdokumentation får behandlas av en annan vård- eller omsorgsgivare än den som tillfört uppgifterna till systemet.
I likhet med vad som gäller för sammanhållen journalföring enligt patientdatalagen är det, för att systemet ska vara till gagn för omsorgsmottagare och vård- och omsorgsgivare, av vikt att omsorgsmottagaren inte, för att inte riskera att tappa kontrollen över behandlingen av uppgifterna, spärrar uppgifterna i ett inledande skede för säkerhets skull. Det är därför motiverat att omsorgsmottagaren ges den slutgiltiga kontrollen över när en vård- eller omsorgsgivare får ta del av en omsorgsgivares omsorgsdokumentation om honom eller henne. En sådan opt out-modell, eller ”tyst samtycke” som gäller i det inledande skedet, när den enskilde omsorgsmottagaren inleder kontakt med en omsorgsgivare framstår inte som en tillräckligt integritetsstärkande åtgärd. Det bör i stället uppställas ett krav på samtycke från omsorgsmottagaren för att en vård- eller omsorgsgivare ska få ta del av sådan omsorgsdokumentation som tillförts systemet av en annan omsorgsgivare.
Samtycket utgör i detta sammanhang en integritetshöjande åtgärd och inte en rättslig grund enligt artikel 6.1 i dataskyddsförordningen eller för att enligt artikel 9.2 i dataskyddsförordningen få behandla känsliga personuppgifter. Den rättsliga grunden är, i vart fall, att behandlingen av personuppgifterna är nödvändiga för att utföra en arbetsuppgift av allmänt intresse (att ta omsorg om en omsorgsmottagare som behöver det) på det sätt som framgår av artikel 6.1 e i dataskyddsförordningen. I fråga om känsliga personuppgifter finns stödet för att tillåta behandlingen i artikel 9.2 h i dataskyddsförordningen, eftersom behandlingen är nödvändig av skäl som hänger samman med social omsorg och då tystnadsplikt gäller inom verksamheterna.
Sammanfattningsvis gör utredningen bedömningen att det i den föreslagna lagen bör införas villkor som är jämförbara med de som i dag gäller för vårdgivares behandling av personuppgifter som annan vårdgivare gjort tillgängliga genom sammanhållen journalföring för att ospärrade uppgifter i ett system för sammanhållen vård- och omsorgsdokumentation ska få behandlas av en omsorgsgivare, nämligen
att uppgifterna rör en omsorgsmottagare som får omsorgsgivarens insatser eller på annat sätt har en aktuell omsorgsrelation med och uppgifterna kan antas ha betydelse för omsorgsgivarens insatser för omsorgsmottagaren samt att omsorgsmottagaren samtycker till det.
16.7.2. Omsorgsmottagaren får omsorgsgivarens insatser eller är föremål för utredning om insats
Ett av villkoren för att en vårdgivare ska få behandla uppgifter som en annan vårdgivare gjort tillgängliga i systemet med sammanhållen journalföring är enligt 6 kap. 3 § 1 patientdatalagen att uppgifterna rör en patient som det finns en aktuell patientrelation med. Enligt förarbetena är bestämmelsen inte en regel om s.k. inre sekretess, utan den anger under vilka förutsättningar vårdgivaren som sådan får använda direktåtkomst till annan vårdgivares information som vårdgivaren medgetts genom den sammanhållna journalföringen. Härigenom begränsas den legala räckvidden i förhållande till den faktiska tillgången till andra vårdgivares information till att enbart omfatta de patienter som vårdas eller behandlas inom den egna verksamheten. Innebörden av formuleringen aktuell patientrelation har beskrivits i avsnitt 6.9.2.
Som tidigare anförts kan acceptansen för ett system med sammanhållen vård- och omsorgsdokumentation antas bli större, om omsorgsmottagaren har möjlighet att förutse och ha kontroll över vilka uppgifter om honom eller henne som är tillgängliga för vård- och omsorgsgivarna i ett sådant system. Det finns därför skäl att tydliggöra och begränsa under vilka förutsättningar en omsorgsgivare får tillåta direktåtkomst eller annat elektroniskt utlämnande av uppgifter till en annan omsorgsgivare eller till en vårdgivare. På samma sätt som patientdatalagen uppställer krav på att det ska finnas en aktuell patientrelation för att en vårdgivare ska få behandla uppgifter som en annan vårdgivare gjort tillgängliga, bör det i den förslagna lagen uppställas krav på att uppgifterna som omsorgsgivaren önskar behandla rör en omsorgsmottagare som omsorgsgivaren på något sätt har en aktuell kontakt eller relation med. Frågan är vilket begrepp som lämpligast betecknar denna relation mellan omsorgsgivare och omsorgsmottagare.
I patientdatalagen används begreppet aktuell patientrelation för att avgränsa bestämmelsens tillämpningsområde, se mer om detta
begrepp i avsnitt 6.9.2. Ett alternativ är därför att, med beaktande av formuleringen i patientdatalagen, i den föreslagna lagen uppställa krav på att det ska finnas en aktuell omsorgsrelation mellan omsorgsgivaren och omsorgsmottagaren, för att omsorgsgivaren ska få behandla uppgifter som en annan omsorgsgivare eller en vårdgivare tillfört systemet med sammanhållen vård- och omsorgsdokumentation. Det torde i de flesta fall inte vara svårt att avgöra om en omsorgsgivare som utför insatser inom den föreslagna lagens tillämpningsområde har en aktuell omsorgsrelation med omsorgsmottagaren. Det kan t.ex. vara fråga om en kommunal utförare som utför hemtjänst hos en äldre person eller en privat aktör som utför insatser enligt LSS för en person med en funktionsnedsättning. I sådana fall torde omsorgsrelationen påbörjas när beslutet om stöd fattas och pågå tills rätten till hemtjänst, stöd eller service upphör, såvitt avser den aktuella omsorgsgivaren.
Begreppet aktuell omsorgsrelation är alltså en lämplig beteckning på de fall då omsorgsgivaren utför insatser avseende äldre och personer med funktionsnedsättningar samt personer som har insatser enligt LSS. I avsnitt 16.2 har utredningen emellertid kommit fram till att begreppet omsorgsgivare inte endast ska avse de aktörer som utför insatser för äldre eller personer med funktionsnedsättningar, utan även de som handlägger och beslutar i ärenden om sådana insatser samt följer upp beslut om sådana insatser, dvs. ansva-
rar för insatser. Följaktligen bör även den relation som uppstår mel-
lan omsorgsgivaren och omsorgsmottagaren vid handläggningen av ett ärende, beslut i ett ärende och uppföljning av beslutet kunna utgöra en aktuell relation i den föreslagna bestämmelsens bemärkelse. Det kan konstateras att sådan verksamhet, dvs. handläggning, beslutsfattande och uppföljning, faller utanför det som vanligtvis brukar avses med omsorg. Det är således svårt att endast utifrån begreppets ordalydelse förstå att även sådan verksamhet kan innebära att det finns en aktuell omsorgsrelation mellan omsorgsgivare och omsorgsmottagaren. Denna risk för otydlighet talar för att ett annat uttryckssätt bör väljas.
Utredningen har övervägt andra uttryckssätt som på ett bättre sätt beskriver samtliga dessa relationer mellan omsorgsgivaren och omsorgsmottagaren. Utredningen konstaterar i avsnitt 16.1.2 att det, för att uppnå en tydlig avgränsning av lagens tillämpningsområde, är nödvändigt att utgå från de bestämmelser i socialtjänstlagen
som beskriver vilka insatser äldre och personer med funktionsnedsättningar kan få på grund av behov som uppstått till följd av hög ålder eller funktionsnedsättning och de insatser som omfattas av LSS, som ju bara gäller för (vissa) personer med funktionsnedsättningar. Med insatser för äldre eller personer med funktionsnedsättningar avses i den föreslagna lagen insatser enligt 4 kap. 1 § socialtjänstlagen som beskrivs i 3 kap. 6 § första stycket socialtjänstlagen och som lämnas till äldre och personer med funktionsnedsättningar, insatser enligt 4 kap. 1 § socialtjänstlagen som beskrivs i 5 kap.5 och 7 §§socialtjänstlagen, insatser enligt 4 kap. 2 a § socialtjänstlagen och insatser enligt LSS. Som beskrivs närmare i avsnitt 16.1.6 avses med omsorgsmottagare en person som fått eller får insatser för äldre eller personer med funktionsnedsättningar eller som fått eller får behovet av sådana insatser bedömda. Det framstår därmed som lämpligt att ett villkor för att få ta del av uppgifter i sammanhållen vård- och omsorgsdokumentation är att omsorgsmottagaren får en sådan insats för äldre eller personer med funktionsnedsättningar som omfattas av lagen från omsorgsgivaren eller är föremål för en utredning om en sådan insats. För att en omsorgsgivare ska få behandla uppgifter som en annan vård- eller omsorgsgivare har gjort tillgängliga genom sammanhållen vård- och omsorgsdokumentation bör i den föreslagna lagen uppställas som krav att uppgifterna rör en omsorgsmottagare som får sådana insatser som omfattas av lagen från omsorgsgivaren, eller är föremål för en utredning om att få sådana insatser, från omsorgsgivaren. Med en sådan formulering framgår att inte bara de omsorgsgivare som har en aktuell relation med omsorgsmottagaren genom att de utför insatser för omsorgsmottagaren omfattas, utan även de omsorgsgivare som ansvarar för en sådan insats.
Kravet innebär att relationen ska finnas med just den omsorgsmottagare som uppgifterna avser. Det är alltså inte tillåtet att genom sammanhållen omsorgsdokumentation ta del av uppgifter om en omsorgsmottagare, t.ex. en familjemedlem, annat än om uppgifterna förekommer i dokumentation om den aktuella omsorgsmottagaren.
16.7.3. Uppgifterna ska antas ha betydelse för omsorgsgivarens insatser
Kravet på att uppgifterna som omsorgsgivaren önskar ta del av ska
antas vara av betydelse för omsorgsgivarens insatser innebär att en
faktisk prövning av uppgiftens eller uppgifternas betydelse för omvårdnaden av omsorgsmottagaren måste göras. Det krävs alltså att en handläggare, anställd eller annan person som utför en insats enligt den föreslagna lagen gör en konkret bedömning av om uppgifterna skulle kunna komma att göra någon skillnad för utförandet av insatsen eller utredningen om insatsen. I avsnitt 12.2 och 13.2 ges exempel på när en omsorgsgivare har behov av en personuppgift för att ansvara för eller utföra en insats för äldre eller personer med funktionsnedsättningar. Samtidigt måste det beaktas att bestämmelserna i den föreslagna lagen bör vara möjliga att tillämpa i den dagliga verksamheten. Kraven på bedömningen av om en uppgift kan antas ha betydelse för utförandet av omsorgsgivarens insatser eller handläggning, beslut i ärenden om omsorgsgivarens insatser samt uppföljning av beslut om omsorgsgivarens insatser får därför inte ställas för högt. Eftersom den som ska göra prövningen, av uppenbara skäl, ännu inte har tagit del av uppgifterna, måste prövningen många gånger utgå från vad som typiskt sett kan anses gälla om inte omsorgsmottagaren själv kan lämna närmare upplysningar. Något slentrianmässigt inhämtande av uppgifter från en annan vård- eller omsorgsgivares vård- eller omsorgsdokumentation eller inhämtande av uppgifter som kan vara bra att ha är emellertid aldrig aktuellt.
Det är bara om uppgifterna kan antas ha betydelse för omsorgsgivarens insatser eller ansvar för insatser enligt just de bestämmelser som omfattas av den föreslagna lagen som uppgifterna får inhämtas. Om en omsorgsgivare exempelvis utför insatser både för äldre och för missbrukare, får omsorgsgivaren alltså inte inhämta uppgifter från en annan omsorgsgivare eller vårdgivare om en äldre missbrukare för att kunna utföra en insats avseende missbruk.
16.7.4. Samtycke
Som utredningen anger i avsnitt 12.3.9 bör det ställas krav på samtycke från omsorgsmottagaren för att en omsorgsgivare ska få ta del av sådan vård- och omsorgsdokumentation som en annan vård- eller
omsorgsgivare gjort tillgänglig i systemet med sammanhållen vård- och omsorgsdokumentation. Frågan är vilka krav som ska ställas för att villkoret på samtycke till behandling av uppgifter i ett system med sammanhållen omsorgsdokumentation ska anses uppfyllt.
Av förarbetena till motsvarande bestämmelse i patientdatalagen framgår att det fordras ett aktivt samtycke från patientens sida. Det ska vara ett sådant samtycke som avses i den tidigare personuppgiftslagen, dvs. det ska vara frivilligt, särskilt och otvetydigt. Kravet på att samtycket ska vara frivilligt ger, enligt förarbetena, uttryck för att den enskilde verkligen ska ha ett val. En registrerad kunde vidare, enligt den då gällande personuppgiftslagen, inte lämna ett giltigt generellt samtycke till behandling av personuppgifter som inte är preciserat till något eller några ändamål. Det följer av kravet på att samtycket ska vara särskilt. Att samtycket ska vara otvetydigt anses enligt förarbetena innebära att det inte får råda någon tvekan om att den registrerade godtar behandlingen av personuppgifter.81
Av förarbetena till patientdatalagen framgår vidare att samtycket bör inhämtas först i skede 2, dvs. då patienten kommit till en annan vårdgivare än den som har upprättat vårddokumentationen. Under förutsättning att den då gällande personuppgiftslagens krav på att ett samtycke ska vara särskilt och otvetydigt uppfylls, ansågs det emellertid finnas utrymme att i vissa fall lämna ett samtycke i förväg. Redan i skede 1, dvs. då patienten är hos den första vårdgivaren som dokumenterar uppgifterna, kan med andra ord patienten inte bara låta bli att kräva en spärr, utan också lämna samtycke i förväg till att en viss eller vissa kommande vårdgivare får använda direktåtkomst vid en planerad och konkret vårdsituation.82
Angående samtycket anges vidare i förarbetena att det är lämpligt att samtycket dokumenteras, även om det inte finns något formellt krav på detta. Samtycket ska givetvis föregås av att patienten får information om vad han eller hon samtyckt till. Inget hindrar att ett samtycke lämnas i förväg innan den aktuella patientrelationen har uppstått. Många gånger kan det vara en praktisk ordning att patienten redan i samband med att uppgifter om honom eller henne görs tillgängliga i ett sammanhållet journalsystem samtycker till att annan vårdgivare senare får ta del av uppgifterna. Detta är möjligt under förutsättning att samtycket är särskilt och otvetydigt. Ett praktiskt
81 Prop. 2007/08 :126 s. 252 f. 82Prop. 2007/08:126 s. 116.
exempel på då samtycke kan lämnas i förväg är då patienten befinner sig i en vårdprocess som inbegriper flera olika vårdgivare och där patienten skickas runt mellan dessa i ett remissförfarande.83 Det anges i Socialstyrelsens föreskrifter att vårdgivaren ska säkerställa att en patientjournal, i förekommande fall, innehåller uppgifter om sådant samtycke.84
I stället för att uppfylla de krav som uppställdes i den tidigare personuppgiftslagen, bör den enskildes samtycke, som utgör villkor för omsorgsgivarens åtkomst till uppgifter i ett system med sammanhållen vård- och omsorgsdokumentation, uppfylla de krav som följer av dataskyddsförordningen (se vidare avsnitt 4.4.5).85 Ett samtycke är enligt dataskyddsförordningen varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11 i dataskyddsförordningen). Själva definitionen av samtycke har inte ändrats i sak i förhållande till dataskyddsdirektivet och personuppgiftslagen.86
Viljeyttringen kan alltså ske antingen genom ett uttalande eller genom en bekräftande handling och den ska avse att den registrerade godtar behandling av personuppgifter som rör honom eller henne. Det krävs inte enligt dataskyddsförordningen att samtycket är skriftligt, men vid tvist har den personuppgiftsansvarige bevisbördan för att samtycke lämnats (artikel 5.2, 7.1 och 24.1).87
Definitionen av begreppet samtycke i dataskyddsförordningen innebär att ett s.k. hypotetiskt samtycke inte kan godtas. Inte heller s.k. tyst samtycke, där den registrerade informeras om en tilltänkt behandling av personuppgifter och ges en viss frist för att motsätta sig behandlingen, kan godtas, eftersom samtycket ska vara en otvetydig viljeyttring genom ett uttalande eller genom en entydig bekräftande handling. Däremot kan, som framgår av definitionen, s.k. konkludent handlande konstituera ett samtycke, t.ex. när den registrerade lämnar efterfrågade personuppgifter efter att ha fått information
83 Prop. 2007/08 :126 s. 253. 84 Se 5 kap. 5 § 9 i Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40). 85Prop. 2017/18:171 s. 140 f. 86Prop. 2017/18:171 s. 140. 87 Sören Öman, Dataskyddsförordningen (GDPR) m.m., kommentaren till artikel 4, JUNO Version:1A.
om den tilltänkta behandlingen av dessa och om att det är frivilligt att lämna personuppgifter och att ett uppgiftslämnande betraktas som ett samtycke. Samtycket ska avse just det aktuella ändamålet för behandlingen av personuppgifter.88
Med frivilligt menas att den registrerade har ett fritt val att medverka i behandlingen. Samtycke bör inte, enligt skäl 42, betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke. Samtycke bör därför inte utgöra giltig rättslig grund för behandling av personuppgifter om det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Detta gäller särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43).
Det kan alltså råda sådan betydande ojämlikhet mellan den registrerade och en myndighet som personuppgiftsansvarig att det är osannolikt att samtycke kan lämnas frivilligt som rättslig grund för en behandling av personuppgifter. Det är emellertid inte uteslutet att myndigheter i vissa fall kan använda samtycke som rättslig grund. Ett exempel är när myndigheten erbjuder vissa extra tjänster, t.ex. ett nyhetsbrev eller tillgång till information om den registrerades ärenden via internet. Ett annat exempel kan vara när en myndighet inte har några maktbefogenheter i förhållande till den registrerade, t.ex. en analysmyndighet eller en myndighet med forskningsuppdrag.89
För att samtycket ska vara informerat bör, enligt skäl 42, den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Det är alltså bara behandling av personuppgifter för det ändamål som den registrerade blivit informerad om som samtycket kan avse. Har den personuppgiftsansvarige informerat om att behandlingen av personuppgifterna ska gå till på visst sätt, men denne senare önskar göra på något annat sätt, måste ett nytt samtycke
88 Sören Öman, Dataskyddsförordningen (GDPR) m.m., kommentaren till artikel 4, JUNO Version:1A. 89 Sören Öman, Dataskyddsförordningen (GDPR) m.m., kommentaren till artikel 4, JUNO Version:1A.
hämtas in.90 Av artikel 7.3 följer att den registrerade före samtycket också ska informeras om att samtycket när som helst kan återkallas.
Mot bakgrund av de krav som följer av dataskyddsförordningen bör omsorgsmottagarens samtycke till en omsorgsgivares behandling av personuppgifter som vårdgivare eller en annan omsorgsgivare gjort tillgängliga genom sammanhållen vård- och omsorgsdokumentation, för att vara giltigt, vara en frivillig, specifik, informerad och otvetydig viljeyttring. Något krav på skriftligt samtycke från omsorgsmottagaren bör inte ställas i den föreslagna lagen. Uppkommer tvist om en person lämnat samtycke eller inte bör den personuppgiftsansvarige omsorgsgivaren, i likhet med vad som gäller för sammanhållen journalföring, ha bevisbördan för att sådant samtycke har lämnats. Det finns därför skäl för de samarbetande vård- och omsorgsgivarna att utarbeta goda rutiner för dokumentation av samtycke vid inhämtande av uppgifter från ett system med sammanhållen vård- och omsorgsdokumentation.
Samtycket bör vara specifikt och entydigt och avse ett visst aktuellt ändamål för behandlingen av personuppgifter. Det kan t.ex. vara fråga om flera olika utförare inom hemtjänsten som utför insatser för en omsorgsmottagare, och omsorgsmottagaren ger sitt samtycke till att omsorgsgivarna, för att kunna utföra dessa insatser, får ta del av varandras uppgifter och uppgifter hos omsorgsmottagarens vårdgivare genom sammanhållen vård- och omsorgsdokumentation. Kravet på att samtycket ska vara specifikt bör dock inte hindra att omsorgsmottagaren lämnar ett samtycke i förväg i vissa situationer, förutsatt att ändamålet med behandlingen är tydligt avgränsat. Det kan exempelvis vara lämpligt om omsorgsmottagaren har insatser som utförs löpande av flera olika omsorgsgivare, t.ex. personlig assistans som utförs av en omsorgsgivare på natten och av en annan omsorgsgivare på dagen. Omsorgsmottagaren bör i sådana fall kunna samtycka till att dessa omsorgsgivare inhämtar de uppgifter om omsorgsmottagaren som är nödvändiga för insatserna från varandra kontinuerligt, utan att omsorgsmottagaren behöver ge sitt samtycke vid varje enstaka tillfälle. En omsorgsmottagare bör alltså kunna lämna samtycke till behandling av personuppgifter av en eller flera omsorgsgivare på förhand, under förutsättning att omsorgsmottagaren kan överblicka vilken behandling som avses och vilka
90 Sören Öman, Dataskyddsförordningen (GDPR) m.m., kommentaren till artikel 4, JUNO Version:1A.
omsorgsgivare som kan komma att behandla uppgifterna genom sammanhållen vård- och omsorgsdokumentation. Det bör också vara tillräckligt att ett sådant samtycke lämnas till en av de vård- eller omsorgsgivare som är anslutna till den sammanhållna vård- och omsorgsdokumentationen. De samarbetande vård- och omsorgsgivarna får tillsammans komma överens om ett sätt att sinsemellan kommunicera att en vårdmottagare har lämnat samtycke i förväg och samtyckets omfattning. Det bör betonas att det är den personuppgiftsansvarige vård- eller omsorgsgivaren som har ansvar för att kontrollera att det finns ett giltigt samtycke innan behandling av personuppgifter utförs.
När det gäller kravet på att samtycket ska vara frivilligt kan konstateras att många av de omsorgsgivare som omfattas av förslaget är myndigheter. Det bör i detta sammanhang dock noteras att samtycke inte utgör den rättsliga grunden för behandling av personuppgifter i ett system för sammanhållen omsorgsdokumentation, utan är en integritetsstärkande åtgärd, varför utrymmet för att bedöma omsorgsmottagarens samtycke som frivilligt torde vara större än när samtycket utgör den rättsliga grunden för behandlingen. Att införa ett system med sammanhållen omsorgsdokumentation ska vara en frivillig möjlighet för omsorgsgivarna, och omsorgsmottagarens deltagande i ett sådant system ska enligt utredningens förslag också vara frivilligt. Samtycket uppställs inte som krav för att omsorgsmottagaren ska få omvårdnad. Situationen kan möjligtvis i stället jämföras med exemplet ovan, då en myndighet erbjuder vissa extra tjänster. Enligt utredningens bedömning befinner sig omsorgsmottagaren inte, typiskt sett, i en sådan beroendeställning till myndigheten i detta fall att omsorgsmottagarens samtycke inte kan anses frivilligt rent generellt.
Det finns vissa särskilda regler i dataskyddsförordningen som begränsar barns möjlighet att lämna samtycke (se bl.a. artikel 8.1). Bortsett från dessa bestämmelser tycks det som att ett barn självt kan lämna ett giltigt samtycke.91 Frågan vad som bör gälla i fråga om samtycke till behandling av personuppgifter avseende barn berörs i nästa avsnitt.
91 Sören Öman, Dataskyddsförordningen (GDPR) m.m., kommentaren till artikel 4, JUNO Version:1A.
Datainspektionen har gjort bedömningen att den registrerades legala ställföreträdare kan lämna sådant samtycke som krävs enligt 6 kap. 3 § patientdatalagen.92 En legal ställföreträdares möjlighet att ta ställning i fråga om behandling av personuppgifter eller lämna ett giltigt samtycke i de fall omsorgsmottagaren inte endast tillfälligt saknar förmåga att lämna sådant samtycke som krävs enligt den föreslagna lagen berörs i avsnitt 16.5.6 och 16.9.
16.7.5. Barn och deras vårdnadshavare
Enligt 6 kap. 3 § tredje stycket patientdatalagen gäller undantag från kravet på patientens samtycke i de fall en vårdgivare behandlar sådana uppgifter om ett barn som en vårdgivare inte har rätt att spärra enligt 6 kap. 2 § fjärde stycket andra meningen patientdatalagen. Denna undantagsregel följer, enligt förarbetena, av att vårdnadshavare inte ges möjlighet att spärra barnens uppgifter i det första skedet.93
Utredningen föreslår, av skyddsskäl, att en vårdnadshavare inte ska ha möjlighet att motsätta sig att uppgifter om ett barn görs tillgängliga genom sammanhållen vård- och omsorgsdokumentation (se avsnitt 16.5.5). En sådan reglering blir dock meningslös, om en vårdnadshavare i ett senare skede kan förhindra att en vårdgivare eller en annan omsorgsgivare tar del av sådana uppgifter genom att inte lämna sitt samtycke till behandlingen. För att skydda barnet och för att möta barnkonventionens krav på att barnets åsikter ska tillmätas betydelse i förhållande till barnets ålder och mognad bör en omsorgsgivares möjlighet att ta del av vårdgivares eller andra omsorgsgivares uppgifter om ett barn genom sammanhållen vård- och omsorgsdokumentation inte vara villkorad av vårdnadshavarens samtycke. Om omsorgsmottagaren är ett barn ska det alltså inte uppställas något krav på vårdnadshavarens samtycke för att omsorgsgivaren ska få behandla personuppgifter om barnet genom sammanhållen vård- och omsorgsdokumentation.
I avsnitt 16.6.3 och 16.8 har utredningen beträffande vårdgivares åtkomst till vård- och omsorgsdokumentation föreslagit undantag från kravet på samtycke för barn som inte själva kan samtycka och i
92 Datainspektionens beslut 2010-06-29, dnr 1391-2009. 93Prop. 2007/08:126 s. 116.
vissa fall för patienter som inte endast tillfälligt saknar förmåga att lämna samtycke. Av samma skäl som anförs där bör det av den föreslagna lagen framgå att kravet på samtycke för att en omsorgsgivare ska få behandla uppgifter som andra omsorgsgivare gjort tillgängliga genom sammanhållen vård- och omsorgsdokumentation inte gäller, om omsorgsmottagaren är ett barn som inte självt kan samtycka.
När det gäller möjligheten för personal inom socialtjänsten att ta del av vårddokumentation synes detta behov vara något mindre än att ta del av andra omsorgsgivares dokumentation. Detta förhållande tillsammans med att det kan anses särskilt känsligt att personal inom socialtjänsten tar del av vårddokumentation gör att det inte bör finnas något undantag från kravet på omsorgsmottagarens samtycke i det fall omsorgsmottagaren är ett barn. I det fall omsorgsmottagaren är ett barn krävs alltså barnets samtycke för att en omsorgsgivare ska få behandla vårdgivares uppgifter om barnet genom sammanhållen vård- och omsorgsdokumentation. Om barnet inte kan samtycka, får omsorgsgivaren inte ta del av vårddokumentationen alls.
16.8. När patienten inte kan samtycka
Utredningens förslag: En vårdgivare får ta del av uppgift om
vilka andra vård- och omsorgsgivare som har gjort uppgifter tillgängliga genom sammanhållen vård- och omsorgsdokumentation, om patienten inte endast tillfälligt saknar förmåga att lämna samtycke.
Vårdgivaren får även behandla de uppgifter som andra vård- och omsorgsgivare gjort tillgängliga genom sammanhållen vård- och omsorgsdokumentation om vårdgivaren bedömer att dessa kan antas ha betydelse för den vård som är nödvändig med hänsyn till patientens hälsotillstånd, patientens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts, och det inte finns anledning att anta att patienten skulle ha motsatt sig behandlingen av personuppgifterna.
16.8.1. Regleringen i patientdatalagen
När det gäller personer som inte endast tillfälligt saknar förmåga att lämna samtycke gäller särskilda regler i patientdatalagen. En vårdgivare får avseende sådana personer enligt 6 kap. 3 a § första stycket patientdatalagen ta del av uppgift om vilken vårdgivare som har gjort uppgifter tillgängliga. Vårdgivaren får vidare enligt andra stycket samma bestämmelse behandla de uppgifter som gjorts tillgängliga genom sammanhållen journalföring om vårdgivaren bedömer att uppgifterna kan antas ha betydelse för den vård som är nödvändig med hänsyn till patientens hälsotillstånd samt patientens inställning till sådan behandling så långt som möjligt klarlagts och det inte finns anledning att anta att patienten skulle ha motsatt sig behandlingen.
En vårdgivare får alltså ta del av uppgift om vilken vårdgivare som har gjort uppgifter tillgängliga enligt 6 kap. 2 eller 2 a § patientdatalagen, om en patient inte endast tillfälligt saknar förmåga att lämna sådant samtycke som annars föreskrivs i patientdatalagen. Uppgifterna kan ha gjorts tillgängliga i systemet med sammanhållen journalföring antingen enligt 6 kap. 2 § patientdatalagen i de fall patienten hade förmåga att ta ställning till om dessa skulle få göras tillgängliga eller enligt 6 kap. 2 a § patientdatalagen i de fall patienten inte hade sådan förmåga. En bedömning ska göras huruvida patienten saknar förmåga att lämna det samtycke som i normalfallet krävs för åtkomst till uppgifter genom sammanhållen journalföring. Vidare ska det vara fråga om uppgifter som rör en patient som vårdgivaren har en aktuell patientrelation med och uppgifterna ska antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården. Bedömningen av patientens förmåga att samtycka har inte, enligt förarbetena, någon räckvidd utanför den konkreta situationen då bedömningen görs. Med hänsyn till hur patientens hälsotillstånd utvecklas eller förändras kan patientens förmåga variera över tid och även variera beroende på vilken fråga som patienten behöver ta ställning till.94
I 6 kap. 3 a § andra stycke regleras under vilka förutsättningar vårdgivaren även ska få behandla personuppgifter som gjorts tillgängliga av en annan vårdgivare. Om vårdgivaren med ledning av uppgifterna om vilken vårdgivare som gjort uppgifter tillgängliga bedömer att ospärrade uppgifter om patienten kan antas ha betydelse för den
vård som är nödvändig med hänsyn till patientens hälsotillstånd, får vårdgivaren även behandla uppgifterna. För behandling krävs dock att vissa ytterligare villkor är uppfyllda. För det första ska patientens inställning till vårdgivarens möjlighet att även få behandla uppgifter som en annan vårdgivare gjort tillgängliga i systemet med sammanhållen journalföring så långt som möjligt ha klarlagts. Det ska vidare inte finnas anledning att anta att patienten skulle ha motsatt sig behandlingen. Detta tar särskilt sikte på de fall då patienten tidigare haft förmåga att ta ställning till tillgängliggörande av personuppgifter i sammanhållen journalföring men vid tiden för direktåtkomst till en annan vårdgivares patientuppgifter saknar förmåga att lämna samtycke. Hur omfattande åtgärder vårdgivaren behöver vidta för att klarlägga inställningen får avgöras av förhållandena i det enskilda fallet. Med rekvisitet att det inte finns anledning att anta menas att det inte ska finnas konkreta omständigheter som visar att patienten skulle motsätta sig behandlingen.95
Det är den vårdgivare som behöver ta del av uppgifter hos en annan vårdgivare som ska göra bedömningen av om patienten har förmåga att ge sitt samtycke till behandlingen eller inte och göra bedömningen om uppgifterna kan antas ha betydelse för vården. Det kan vara den eller de behöriga befattningshavarna hos vårdgivaren som ges denna åtkomst respektive får behandla uppgifterna. Vem eller vilka som är behöriga befattningshavare bestäms av vårdgivaren.96 Paragrafen ska inte tillämpas i akuta situationer då det är fara för patientens liv eller det annars finns allvarlig fara för patientens hälsa. I sådana akuta situationer kan bestämmelsen i 6 kap. 4 § andra stycket patientdatalagen om hävande av spärrade uppgifter tillämpas.
När patientdatalagen och reglerna om sammanhållen journalföring infördes fanns inga särskilda regler för vuxna personer som tillfälligt eller mer varaktigt har en nedsatt förmåga att lämna samtycke (se vidare avsnitt 16.5.6). Detta ledde, enligt förarbetena till 6 kap. 3 a § patientdatalagen, till bristande överenstämmelse mellan hälso- och sjukvårdspersonalens förutsättningar att utföra och ge vård och möjligheterna att på ett effektivt sätt ta del av den information som behövs för att kunna ta ställning till vilka vårdinsatser som ska ges. Enligt den praxis som gäller inom hälso- och sjukvården får personalen erbjuda och ge den patient som på grund av nedsatt
95Prop. 2013/14:202 s. 43. 96Prop. 2013/14:202 s. 44 med hänvisning till prop. 2007/08:126 s. 253.
beslutsförmåga inte kan samtycka till vårdinsatser den vård som utifrån vetenskap och beprövad erfarenhet bedöms vara den bästa för patienten. En läkare får i mötet med en patient med nedsatt beslutsförmåga erbjuda och ge nödvändig vård, men fick som en följd av patientdatalagens dåvarande utformning inte genom direktåtkomst ta del av den vårddokumentation som fanns hos en annan vårdgivare och som kunde behövas för att kunna ge bästa möjliga vård. Det ansågs inte vara en tillfredsställande ordning att hälso- och sjukvårdspersonal har möjlighet att bestämma om vården för patienten men samtidigt saknar legala förutsättningar att ta del av nödvändig information.97
Det samtycke som krävs enligt 6 kap. 3 § patientdatalagen ska vara särskilt och otvetydigt. Kravet på samtycke innebär att det, enligt förarbetena, i praktiken inte är möjligt att vare sig tillgängliggöra eller ta del av uppgifter om en vuxen person som inte kan samtycka till behandlingen. Personer med nedsatt beslutsförmåga utestängdes från fördelarna med sammanhållen journalföring. Det anges i förarbetena att nödvändigt informationsutbyte för att kunna ge dessa patienter en god och säker vård i stället får göras på något annat sätt än genom direktåtkomst, dvs. genom begäran om utlämnande av handlingar och uppgifter, med stöd av den sekretessbrytande bestämmelse som medger utlämnande av nödvändiga uppgifter i vården och behandlingen av patienter som av olika skäl har nedsatt beslutsförmåga (25 kap. 13 § OSL). När det gäller patienter med nedsatt beslutsförmåga, som ofta har sammansatta vårdbehov, var alltså hälso- och sjukvården hänvisad till det enda sätt för informationsutbyte som gällde samtliga patienter innan patientdatalagen och reglerna om sammanhållen journalföring trädde i kraft. Det sägs i förarbetena att det inte är tillfredsställande att en patientgrupp som normalt sett har större nytta av denna form av informationsutbyte än andra grupper är utestängd från fördelarna med sammanhållen journalföring.98
Det anges i förarbetena att vården av en person med nedsatt beslutsförmåga blir säkrare om personalen inom vården vid behov kan ta del av journalanteckningar upprättade av en annan vårdgivare. Tillgång till rätt information gör att de patientsäkerhetsrisker som
97Prop. 2013/14:202 s. 24. 98Prop. 2013/14:202 s. 24 f.
uppstår i övergångarna mellan olika vårdgivare, och som också uppstår mellan olika vårdgivare som under samma tid behandlar samma patient, men för olika åkommor, reduceras.99
Mot denna bakgrund ansågs det finnas skäl att införa särskilda regler för att göra det möjligt för en vårdgivare att ta del av uppgifter om personer med nedsatt beslutsförmåga i ett system med sammanhållen journalföring.
16.8.2. Regleringen i den föreslagna lagen
Som beskrivs i avsnitt 15.1.1 bör bestämmelserna i 6 kapitlet patientdatalagen föras över till den föreslagna lagen och tillämpas på samma sätt som i dag i de fall det rör sig om en vårdgivare som tar del av uppgifter som en annan vårdgivare gjort tillgängliga genom sammanhållen vård- och omsorgsdokumentation. Motsvarande regler bör gälla även när en vårdgivare tar del av uppgifter som en omsorgsgivare gjort tillgängliga genom sammanhållen vård- och omsorgsdokumentation. I den föreslagna lagen bör det därför föras in en bestämmelse som motsvarar 6 kap. 3 a § patientdatalagen och som anger vad som gäller om patienten inte endast tillfälligt saknar förmåga att lämna sådant samtycke som annars krävs för behandling av personens uppgifter. I sådant fall ska en vårdgivare, på samma sätt som enligt nuvarande bestämmelse i patientdatalagen, få ta del av uppgift om vilka andra vårdgivare eller omsorgsgivare som har gjort uppgifter tillgängliga genom sammanhållen vård- och omsorgsdokumentation.
I den nya lagen bör det också införas en bestämmelse som anger att vårdgivaren även får behandla de uppgifter som gjorts tillgängliga genom sammanhållen vård- och omsorgsdokumentation om vårdgivaren bedömer att dessa kan antas ha betydelse för den vård som är nödvändig med hänsyn till patientens hälsotillstånd, patientens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts, och det inte finns anledning att anta att patienten skulle ha motsatt sig behandlingen av personuppgifterna.
16.9. När omsorgsmottagaren inte kan samtycka
Utredningens förslag: En omsorgsgivare får ta del av uppgift om
vilka andra omsorgsgivare som har gjort uppgifter tillgängliga genom sammanhållen vård- och omsorgsdokumentation, om omsorgsmottagaren inte endast tillfälligt saknar förmåga att lämna samtycke.
Omsorgsgivaren får även behandla de uppgifter som andra omsorgsgivare gjort tillgängliga genom sammanhållen vård- och omsorgsdokumentation, om omsorgsgivaren bedömer att dessa kan antas ha betydelse för de insatser för äldre eller personer med funktionsnedsättningar som är nödvändiga med hänsyn till omsorgsmottagarens behov, eller en utredning om sådana insatser, omsorgsmottagarens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts, och det inte finns anledning att anta att omsorgsmottagaren skulle ha motsatt sig behandlingen av personuppgifterna.
Enligt utredningens direktiv omfattar uppdraget inte att utreda särskilda frågor som rör personer med nedsatt beslutsförmåga.100 Behövs särskild reglering om sådana personer på det område som omfattas av utredningsuppdraget bör regleringen utformas i enlighet med befintlig reglering, t.ex. 6 kap. 2 a § patientdatalagen och 25 kap. 13 § offentlighets- och sekretesslagen.101 I detta avsnitt berörs frågan om den föreslagna lagen bör innehålla särskild reglering avseende omsorgsmottagare som har nedsatt beslutsförmåga, och hur den i så fall bör utformas.
Som konstaterats i avsnitt 16.5.6 saknas det i svensk lagstiftning, med vissa undantag, regler om hur verksamheter och personal inom omsorgen ska gå till väga i situationer som kräver att en person ska lämna samtycke, men personens förmåga att lämna ett sådant samtycke är nedsatt. I vissa fall har personen en god man eller förvaltare
100 Dir. 2019:37 s. 14. Utredningen konstaterar härvid att det bl.a. i betänkandet Framtidens
teknik i omsorgens tjänst (SOU 2020:14) lämnats förslag till bestämmelser som rör vård och
omsorg till människor med varaktigt nedsatt beslutsförmåga. 101 Om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar sekretess enligt 25 kap. 1 § offentlighets- och sekretesslagen inte att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en enskild vårdgivare eller enskild verksamhet på socialtjänstens område (25 kap. 13 § OSL).
förordnad, som inom ramen för sitt uppdrag kan lämna ett sådant samtycke. Det är dock långt ifrån alla omsorgsmottagare, som omfattas av den föreslagna lagstiftningen om sammanhållen vård- och omsorgdokumentation, som har en god man eller förvaltare.
Som utredningen anger i avsnitt 12.3.9 bör det som huvudregel ställas krav på samtycke från omsorgsmottagaren för att en omsorgsgivare ska få ta del av sådan vård- och omsorgsdokumentation som tillförts systemet av en annan vård- eller omsorgsgivare. Kravet på uttryckligt och informerat samtycke innebär dock att personer som inte kan lämna ett sådant samtycke utesluts från ett system med sammanhållen vård- och omsorgsdokumentation. Som anges i avsnitt 16.5.6 kan det konstateras att många av de omsorgsmottagare som kommer att omfattas av den föreslagna lagen av olika anledningar har en bristande beslutsförmåga. Det kan exempelvis gälla för en del äldre med demenssjukdom eller vissa personer med olika typer av kognitiva funktionsnedsättningar, som alltså inte endast tillfälligt saknar förmåga att lämna samtycke till att en omsorgsgivare tar del av uppgifter om honom eller henne genom sammanhållen vård- och omsorgsdokumentation. Syftet med den föreslagna regleringen om sammanhållen vård- och omsorgsdokumentation är att förenkla och förbättra informationsöverföringen mellan olika vård- och omsorgsgivare, med bättre och tryggare vård för patienten och omsorg för omsorgsmottagaren som mål. Det kan antas att de omsorgsmottagare som har nedsatt förmåga att ta del av information och lämna ett informerat samtycke i detta sammanhang också är de som på grund av att de själva har svårt att kommunicera har störst behov av en välfungerande informationsöverföring mellan vård- och omsorgsgivarna. Det framstår som otillfredsställande att dessa omsorgsmottagare, på grund av att de saknar förmåga att lämna ett giltigt samtycke, inte ska kunna omfattas av reglerna om sammanhållen vård- och omsorgsdokumentation. Det finns alltså skäl att även här göra undantag från huvudregeln om samtycke och föreslå särskilda bestämmelser för omsorgsmottagare som inte endast tillfälligt saknar förmåga att lämna samtycke.
Att möjliggöra behandling av personuppgifter avseende en omsorgsmottagare genom sammanhållen vård- och omsorgsdokumentation utan att omsorgsmottagaren lämnat sitt samtycke till sådan behandling kan innebära en ökad risk för integritetsintrång. Utredningen gör dock bedömningen att det, på grund av den nytta det kan antas medföra för omsorgsmottagaren, ändå kan vara motiverat att
tillåta sådan behandling i vissa fall. Det finns dock av integritetsskäl anledning att begränsa behandlingen genom särskilda villkor. Utredningen gör bedömningen att de särskilda villkor som uppställs för behandling av personuppgifter om en person som inte enbart tillfälligt saknar förmåga att lämna samtycke enligt 6 kap. 3 a § patientdatalagen, utgör en lämplig avvägning mellan möjliggörande av behandling av personuppgifter som rör personer som inte själva kan lämna ett giltigt samtycke och begränsning av möjligheten att behandla sådana uppgifter. På motsvarande sätt som enligt patientdatalagen innebär kravet på att uppgifterna kan antas ha betydelse för de aktuella insatserna eller en utredning om sådana insatser att någon, innan uppgifterna behandlas, ska göra en bedömning av om uppgifterna kan antas ha betydelse för omsorgsgivarens insatser eller utredning om insatser och är nödvändiga med hänsyn till omsorgsmottagarens behov. Som anges i avsnitt 16.7.3 bör kravet på bedömningen inte ställas för högt, men en bedömning i det enskilda fallet ska i vart fall alltid göras. Det torde motverka slentrianmässig behandling av uppgifter i dessa sammanhang.
I 6 kap. 3 a § andra stycket 2 och 3 patientdatalagen anges som ytterligare förutsättning att patientens inställning till behandlingen av personuppgifter så långt som möjligt klarlagts och att det inte finns anledning att anta att patienten skulle ha motsatt sig behandlingen. Ett sådant utredningskrav bör lämpligen tas med i den föreslagna bestämmelsen om vad som gäller i de fall omsorgsmottagaren inte kan samtycka till behandling av personuppgifter. Kravet innebär att den omsorgsgivare som önskar ta del av uppgifter i ett system med sammanhållen vård- och omsorgsdokumentation ska försöka utreda omsorgsmottagarens inställning i frågan. Därvid kan uppgifter från omsorgsmottagarens närstående eller andra personer som han eller hon har kontakt med vara av betydelse. Om omsorgsmottagaren på något sätt, t.ex. i ett tidigare skede när han eller hon hade förmåga att ge uttryck för sin inställning, har gett uttryck för att han eller hon motsätter sig behandling ska detta vara vägledande. Finns det däremot inget som tyder på att omsorgsmottagaren motsätter sig behandlingen bör den kunna ske.
I avsnitt 16.8 har utredningen beträffande vårdgivares åtkomst till vård- och omsorgsdokumentation föreslagit undantag från kravet på samtycke för patienter som inte endast tillfälligt saknar förmåga att lämna samtycke. Motsvarande undantag finns inom sammanhållen
journalföring (se 6 kap. 3 a § patientdatalagen) och har i detta avsnitt föreslagits av utredningen inom sammanhållen vård- och omsorgsdokumentation när det gäller vårdgivare. När det gäller möjligheten för personal inom socialtjänsten att ta del av vårddokumentation synes behovet vara något mindre än i de ovan nämnda fallen. Detta förhållande tillsammans med att det kan anses särskilt känsligt att personal inom socialtjänsten tar del av vårddokumentation gör att det inte bör finnas något undantag från kravet på omsorgsmottagarens samtycke, ens för barn och omsorgsmottagare som inte endast tillfälligt saknar förmåga att lämna samtycke, för att en omsorgsgivare ska få ta del av vårdgivares dokumentation genom sammanhållen vård- och omsorgsdokumentation.
Sammanfattningsvis bedömer utredningen att omsorgsgivarens möjlighet att ta del av uppgifter om en omsorgsmottagare som inte endast tillfälligt saknar förmåga att lämna samtycke, som en annan omsorgsgivare tillfört till sammanhållen vård- och omsorgsdokumentation, ska regleras särskilt i den föreslagna lagen. En omsorgsgivare bör i sådana fall för det första få ta del av uppgift om vilken omsorgsgivare som har gjort uppgifter tillgängliga. Omsorgsgivaren bör vidare få behandla uppgifterna om omsorgsmottagaren. Detta får dock endast ske under förutsättning att omsorgsgivaren bedömer att uppgifterna kan antas ha betydelse för sådana insatser för omsorgsmottagaren som är nödvändiga med hänsyn till omsorgsmottagarens behov, eller en utredning om sådana insatser, samt att omsorgsmottagarens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts och det inte finns anledning att anta att omsorgsmottagaren skulle ha motsatt sig behandlingen.
Ett normalt utvecklat barn är inte en sådan omsorgsmottagare som inte endast tillfälligt saknar förmåga att lämna samtycke, jämför avsnitt 16.7.5 om krav på samtycke från barn.
16.10. Fara för patientens liv eller hälsa
Utredningens förslag: Om det finns spärrade uppgifter om en
patient och det finns fara för dennes liv eller det annars finns allvarlig risk för dennes hälsa, får vårdgivaren, om patienten inte kan häva spärren, ta del av uppgift om vilken eller vilka vårdgivare som har spärrat uppgifterna. Om vårdgivaren med ledning av denna uppgift bedömer att de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren.
Om det finns ospärrade uppgifter om en patient och det finns fara för dennes liv eller det annars finns allvarlig risk för dennes hälsa, får vårdgivaren, om patientens samtycke inte kan inhämtas, ta del av uppgift om vilken eller vilka vårdgivare som har gjort uppgifterna tillgängliga. Om vårdgivaren med ledning av denna uppgift bedömer att ospärrade uppgifter som en annan vårdgivare gjort tillgängliga kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren behandla de ospärrade uppgifterna.
I 6 kap. 4 § patientdatalagen finns särskilda regler om sammanhållen journalföring som gäller om det föreligger fara för patientens liv eller hälsa. Om det finns spärrade uppgifter om en patient och det föreligger fara för patientens liv eller annars föreligger allvarlig risk för dennes hälsa, får vårdgivaren om patienten inte kan begära att spärren hävs enligt 2 § fjärde stycket samma lag, ta del av uppgiften om vilken eller vilka vårdgivare som har spärrat uppgifterna. Om vårdgivaren med ledning av denna uppgift bedömer att de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren. Genom att vårdgivaren kan se hos vilken eller vilka vårdgivare som det finns spärrade uppgifter kan vårdgivaren bedöma om uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Endast en spärr för uppgifter som kan antas ha sådan betydelse får hävas. Rekvisitet ”kan antas ha betydelse” förutsätter enligt förarbetena att den som avser att bereda sig tillgång till uppgifterna gör något aktivt ställningstagande till vilken betydelse uppgifterna kan
ha. Det bör vara den eller de behöriga befattningshavarna hos vårdgivaren som ges denna åtkomst respektive får behandla uppgifterna. Vem som är behörig befattningshavare bestäms av vårdgivaren. Självfallet ska i första hand patienten själv begära att en spärr hävs eller att samtycke inhämtas. Det kan emellertid av olika skäl vara omöjligt. Med förutsättningarna att fara föreligger för patientens liv eller att det annars föreligger allvarlig risk för dennes hälsa avses att det i princip ska vara fråga om en allvarlig situation då de spärrade uppgifterna bedöms vara viktiga för den vård eller behandling som omgående måste sättas in. Det ska alltså av hänsyn till patientsäkerheten inte vara möjligt att avvakta en tid för att patienten ska kunna häva spärren (en akut nödsituation). Patienten är kanske medvetslös eller alltför medtagen för att kunna ta ställning till frågan. Vidare kan saken brådska så att det inte finns någon tid att invänta att patienten häver spärren eller att inhämta samtycke. Det ska alltså vara sådana och liknande skäl som gör att patientens val att häva en spärr inte kan inväntas eller att samtycke inte kan inhämtas.102
Av 6 kap. 4 § andra stycket patientdatalagen framgår att motsvarande bestämmelser som anges i första stycket även ska gälla i akuta nödsituationer beträffande ospärrade uppgifter som har gjorts tillgängliga av andra vårdgivare i systemet med sammanhållen journalföring när patientens samtycke inte kan inhämtas enligt 3 § patientdatalagen. Eftersom uppgifterna är ospärrade behöver dock inte vårdgivaren som behandlar patienten i den akuta nödsituationen vända sig till andra vårdgivare med någon begäran.103
Utredningen anser att den aktuella regeln om vårdgivares behandling av uppgifter när det finns fara för patientens liv bör tas in i den föreslagna lagen och fortsätta att tillämpas på samma sätt som nu. Det kan övervägas om bestämmelsen bör utsträckas till att gälla även tillgänglig omsorgsdokumentation i sammanhållen vård- och omsorgsdokumentation. Utredningen gör dock bedömningen att det inte torde finnas ett så stort behov av omsorgsdokumentation i de fall patienten befinner sig i en sådan akut nödsituation som avses i 6 kap. 4 § patientdatalagen. Bestämmelsen ska alltså även fortsättningsvis avse vårdgivares åtkomst till vårddokumentation i de fall det föreligger fara för en patients liv eller hälsa.
102Prop. 2007/08:126 s. 253 f. 103 Prop. 2007/08 :126 s. 253.
16.11. En uttömmande reglering
Utredningens förslag: En vård- eller omsorgsgivare får inte be-
handla uppgifter om en patient eller en omsorgsmottagare genom sammanhållen vård- och omsorgsdokumentation under andra förutsättningar än dem som anges i lagen, även om patienten eller omsorgsmottagarens uttryckligen samtycker till det.
Enligt 6 kap. 5 § patientdatalagen får en vårdgivare inte behandla en annan vårdgivares uppgifter om en patient i ett system för sammanhållen journalföring under andra förutsättningar än dem som anges i 6 kap. 3 och 4 §§ samma lag, även om patienten uttryckligen samtycker till det. Enligt förarbetena till bestämmelsen är det viktigt att direktåtkomst inte används för andra ändamål än de angivna, inte ens med patientens samtycke. Anledningen till detta är bl.a. att direktåtkomst är en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter.104
Utredningens förslag innebär att en vård- eller omsorgsgivare, under vissa angivna förutsättningar, får ha tillgång, genom direktåtkomst eller annan elektroniskt utlämnande, till personuppgifter hos andra vård- och omsorgsgivare i ett system med sammanhållen vård- och omsorgsdokumentation. Även om förslaget innehåller en rad integritetsstärkande åtgärder, går det inte att bortse från att direktåtkomst typiskt sett anses innebära en särskild integritetsrisk. De personuppgifter som kommer att göras tillgängliga genom sammanhållen vård- och omsorgsdokumentation är många gånger av integritetskänslig karaktär. Dessa omständigheter talar för att det i den föreslagna lagen ska uppställas tydliga ramar för när en vård- eller omsorgsgivare får behandla uppgifter om patienter och omsorgsmottagare som en annan vård- eller omsorgsgivare gjort tillgängliga genom sammanhållen vård- och omsorgsdokumentation. Som tidigare anförts kan det vidare antas att det är en fördel för förtroendet för ett system med sammanhållen vård- och omsorgsdokumentation om uppgifterna enbart behandlas för de syften och ändamål som patienten och omsorgsmottagaren kan förutse och kontrollera. En slutsats som kan dras av detta är att villkoren för när en vård- och omsorgsgivare får
behandla uppgifter i ett system med sammanhållen vård- och omsorgsdokumentation bör anges uttryckligen i den föreslagna lagen.
Mot denna bakgrund bedömer utredningen att det i lagen bör förtydligas att en vård- eller omsorgsgivare inte får behandla en annan vård- eller omsorgsgivares uppgifter om en patient eller omsorgsmottagare genom sammanhållen vård- och omsorgsdokumentation under andra förutsättningar än dem som anges i lagen, även om patienten eller omsorgsmottagaren uttryckligen samtycker till det.
Bestämmelsen i artikel 6.1 a i dataskyddsförordningen om att behandling är laglig om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål är direkt tillämplig och ger ingen möjlighet till nationell begränsning. Det är därför inte tillåtet att förbjuda enskilda att behandla personuppgifter med stöd av ett giltigt samtycke från den registrerade annat än när det gäller känsliga personuppgifter (artikel 9.2 a i dataskyddsförordningen) och personuppgifter om lagöverträdelser (artikel 10 i dataskyddsförordningen). Däremot kan myndigheter trots dataskyddsförordningen förbjudas att använda möjligheten att behandla personuppgifter med stöd av samtycke.105 De personuppgifter som kommer att behandlas i ett system med sammanhållen vård- och omsorgsdokumentation utgör för det mesta känsliga personuppgifter (om främst hälsa) enligt dataskyddsförordningens definition. Det föreslagna förbudet utgör vidare bara en integritetsstärkande åtgärd för personuppgifter som redan behandlas och innebär att dessa inte får återanvändas, ens med den registrerades samtycke. Behandlingen av personuppgifter i systemet med sammanhållen omsorgsdokumentation grundas på, i vart fall, artikel 6.1 e (allmänt intresse) i dataskyddsförordningen. Därmed är det, enligt artikel 6.2 och 6.3 i dataskyddsförordning, tillåtet med nationella bestämmelser om de närmare villkoren för behandlingen som gäller för både myndigheter och enskilda. Ett förbud för såväl allmänna som privata vård- och omsorgsgivare att behandla personuppgifter som redan finns i ett system med sammanhållen vård- och omsorgsdokumentation, trots den enskildes samtycke till sådan behandling, är således förenligt med dataskyddsförordningen.106
105SOU 2017:66 s. 203 f. och 231. 106 Jämför Socialdataskyddsutredningens bedömning avseende 6 kap. 5 § patientdatalagen i SOU 2017:66 s. 348 f.
16.12. Personuppgiftsansvar vid sammanhållen vård- och omsorgsdokumentation
Utredningens förslag: Vård- eller omsorgsgivaren är personupp-
giftsansvarig för den behandling av personuppgifter som vård- eller omsorgsgivaren utför vid sammanhållen vård- och omsorgsdokumentation. Personuppgiftsansvaret omfattar även sådan behandling av personuppgifter som utförs när vård- eller omsorgsgivaren genom direktåtkomst eller annat elektronisk utlämnande i ett enskilt fall bereder sig tillgång till personuppgifter hos andra vård- och omsorgsgivare.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen vård- och omsorgsdokumentation.
16.12.1. Allmänt om personuppgiftsansvar
Personuppgiftsansvarig är, enligt definitionen i artikel 4 i dataskyddsförordningen, en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Definitionen av begreppet personuppgiftsansvarig och vad ansvaret innebär berörs närmare i avsnitt 4.4.4. Den personuppgiftsansvarige ska bl.a. genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter sker i enlighet med dataskyddsförordningen.
Av definitionen i artikel 4 i dataskyddsförordningen framgår att om ändamålen och medlen för behandlingen bestäms av EU-rätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i EU-rätten eller i medlemsstaternas nationella rätt. Det är alltså tillåtet enligt dataskyddsförordningen att i nationell lagstiftning ange vem som är personuppgiftsansvarig för en viss behandling av personuppgifter (jfr artikel 6.2 och 6.3 samt skäl 45 i dataskyddsförordningen).107
107SOU 2017:66 s. 213 f. och prop. 2017/18:171 s. 68 f.
16.12.2. Regleringen av personuppgiftsansvaret vid sammanhållen journalföring
Som anges i avsnitt 12.3.8 finns det skäl att utgå från de bestämmelser som gäller för sammanhållen journalföring i patientdatalagen vid utformningen av regleringen av sammanhållen vård- och omsorgsdokumentation. Det kan därför vara av värde att se närmare på övervägandena avseende fördelningen av personuppgiftsansvaret i patientdatalagen.
I patientdatalagen finns det sådana särskilda bestämmelser om personuppgiftsansvar som nämns i närmast föregående avsnitt. Enligt 2 kap. 6 § patientdatalagen är en vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I en region och en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Personuppgiftsansvaret omfattar även sådan behandling av personuppgifter som vårdgivaren, eller den myndighet i en region eller en kommun som är personuppgiftsansvarig, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till personuppgifter om en patient hos en annan vårdgivare eller annan myndighet i samma region eller kommun. Vidare gäller att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen journalföring (6 kap. 6 § PDL). I förarbetena till patientdatalagen motiveras valet av personuppgiftsansvarig med att personuppgiftsansvaret inom den allmänna hälso- och sjukvården ska läggas på myndighetsnivå för att uppnå en samordning mellan personuppgiftsansvaret och ansvaret för allmänna handlingar enligt tryckfrihetsförordningen, då gällande sekretesslagen (1980:100) och arkivlagen (1990:782).108
Frågan om hur personuppgiftsansvaret ska fördelas vid sammanhållen journalföring diskuteras i förarbetena till patientdatalagen. Det anges att vid tillämpningen av den då gällande personuppgiftslagen (1998:204) anses den som endast har tillgång till personuppgifter genom att t.ex. söka bland och läsa uppgifter som ingår i en uppgiftssamling, utan att själv ha varken några rättsliga befogenheter
eller faktiska möjligheter att ändra eller komplettera de uppgifter som ingår i samlingen, inte vara personuppgiftsansvarig för den behandling som sökningar och bearbetningar vid sådan tillgång innefattar. Den som har sådan begränsad tillgång anses nämligen normalt inte ha sådan rätt att bestämma över ändamålet med och medlen för behandlingen att det finns utrymme att betrakta denne som personuppgiftsansvarig enligt personuppgiftslagen. I förarbetena anförs emellertid vidare att vårdgivare och myndigheter inom ett landsting eller en kommun, enligt förslaget till patientdatalag, ska vara personuppgiftsansvariga för den behandling av personuppgifter som utförs av dem samt att begreppet behandling av personuppgifter infattar alla åtgärder som vidtas beträffande sådana uppgifter (3 § personuppgiftslagen). Vid hantering av personuppgifter i elektronisk form omfattas därmed varje åtgärd som vidtas av vårdgivaren i fråga om en personuppgift, vare sig det är fråga om insamling, registrering, lagring, sökning, bearbetning, utlämnande, radering eller någon annan åtgärd.109 I propositionen konstateras att bestämmelsen anses innebära att den vårdgivare som använder sig av sin direktåtkomst och bereder sig tillgång till andra vårdgivares uppgifter för att söka efter eller läsa vårddokumentation blir personuppgiftsansvarig för den personuppgiftsbehandling som detta innebär.110
I förarbetena till patientdatalagen diskuteras också hur personuppgiftsansvaret ska fördelas mellan de samarbetande vårdgivarna vid sammanhållen journalföring och om det behövs särreglering av personuppgiftsansvaret vid sådant samarbete. Det anförs att en detaljreglering med utpekande av en personuppgiftsansvarig i och för sig skulle vara önskvärd från integritetssynpunkt, eftersom den enskilde lättare kan ta tillvara sina rättigheter om det direkt i en författning klart framgår vem han eller hon ska vända sig till med krav eller klagomål. En ordning som t.ex. innebär att varje myndighet eller privat vårdgivare som samverkar i sammanhållen journalföring har ett solidariskt ansvar för all behandling av personuppgifter
109Prop. 2007/08:126 s. 61 f. I propositionen hänvisas till Sören Öman och Hans-Olof Lindblom, Personuppgiftslagen. En kommentar, 3 uppl., 2007 s. 81. Bestämmelsen motsvaras i dag av definitionen av behandling i artikel 4 i dataskyddsförordningen, enligt vilken med behandling avses en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. 110Prop. 2007/08:126 s. 62.
som förekommer eller en ordning som innebär att en viss på förhand utsedd vårdgivare ges ett ensamt ansvar skulle undanröja risken för att en enskild behöver vända sig till mer än en vårdgivare med klagomål. Det konstateras dock att regleringen i patientdatalagen innebär att de privata vårdgivarna, de dåvarande landstingen och kommunerna inom lagens ramar närmare får bestämma samarbetsformer, teknisk organisering, omfattning och andra parametrar vid sammanhållen journalföring. Det anses mot den bakgrunden olämpligt att peka ut vem som ska vara personuppgiftsansvarig för behandlingar som kan komma att förekomma i de olika slags system för sammanhållen journalföring som kommer att byggas upp. Enligt förarbetena talar övervägande skäl för att regleringen i stället bör ta sin utgångspunkt i att det vid sammanhållen journalföring är den som har faktisk möjlighet att påverka om och hur en enskild behandling av personuppgifter ska företas, som bör vara personuppgiftsansvarig för den behandlingen. Huvudregeln enligt 2 kap. 6 § i patientdatalagen är därför tillämplig även vid sammanhållen journalföring. I förarbetena betonas att det är av stor vikt att parterna i ett samarbete med sammanhållen journalföring träffar avtal där de närmare formerna för samarbetet preciseras.111
16.12.3. Personuppgiftsansvaret vid sammanhållen vård- och omsorgsdokumentation
Utredningen har i föregående avsnitt redogjort för principerna för vårdgivarens personuppgiftsansvar vid sammanhållen journalföring. Dessa regler bör, av skäl som anges i avsnitt 12.3.9 och 13.3.2, tas in i den föreslagna lagen om sammanhållen vård- och omsorgsdokumentation och fortsätta att tillämpas på samma sätt. Frågan i detta avsnitt är hur personuppgiftsansvaret för omsorgsgivarna bör regleras vid sammanhållen vård- och omsorgsdokumentation.
SoLPUL innehåller inga särskilda regler om personuppgiftsansvar. Sådana regler finns emellertid i SoLPUF. Enligt 11 § SoLPUF är en kommunal myndighet personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som myndigheten utför. Om behandlingen görs gemensamt för flera myndigheter inom kommunen, är varje myndighet personuppgiftsansvarig för sin egen behandling.
111 Prop. 2007/08 :126 s. 134 f.
En enskild (privat) utförare av socialtjänst är enligt 17 § SoLPUF personuppgiftsansvarig för den behandling av personuppgifter som utförs i dess verksamhet.
Utredningens förslag innebär att vård- och omsorgsgivare, såväl offentliga som privata, under vissa angivna förutsättningar får ha tillgång genom direktåtkomst eller annat elektroniskt utlämnande till personuppgifter som behandlas av andra vård- eller omsorgsgivare, om det behövs för patientens vård eller att utföra vissa angivna insatser för en omsorgsmottagare (se avsnitt 16.6 och 16.7). Det följer redan av de ovan beskrivna bestämmelserna i SoLPUF att offentliga och privata omsorgsgivare är personuppgiftsansvariga för den behandling av personuppgifter som omsorgsgivaren utför i sin verksamhet. Av tydlighetsskäl är det dock, i likhet med vad som gäller enligt patientdatalagen, lämpligt att det anges uttryckligen i den föreslagna lagen att en omsorgsgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför vid sammanhållen vård- och omsorgsdokumentation. Det bör också i den föreslagna lagen slås fast att personuppgiftsansvaret omfattar även sådan behandling av personuppgifter som utförs när omsorgsgivaren genom direktåtkomst eller annat elektroniskt utlämnande i ett enskilt fall bereder sig tillgång till personuppgifter hos en annan vård- eller omsorgsgivare.
Som anförs i förarbetena till patientdatalagen kan det vara en fördel ur ett integritetsperspektiv med en ordning som innebär ett solidariskt ansvar – eller med nuvarande terminologi ett gemensamt personuppgiftsansvar – för all behandling av personuppgifter som förekommer i ett system med sammanhållen vård- och omsorgsdokumentation, eller en ordning som innebär att en viss på förhand utsedd aktör ges ett ensamt ansvar för behandlingen av personuppgifterna (se närmast föregående avsnitt).112 Inom socialtjänsten gäller dock, genom bestämmelserna i SoLPUF, redan ett uppdelat personuppgiftsansvar. Det har inte framkommit att det lett till några betydande tveksamheter om vem som är personuppgiftsansvarig för en viss behandling av personuppgifter. Det framstår därför som mest lämpligt att den som har faktisk möjlighet att påverka sin egen behandling i det enskilda fallet ska vara personuppgiftsansvarig. Det framstår naturligtvis också som mest lämpligt att samma principer för personuppgiftsansvar ska gälla för såväl vårdgivare som omsorgs-
112 Prop. 2007/08 :126 s. 134.
givare i ett system med sammanhållen vård- och omsorgsdokumentation.
Även i detta sammanhang bör betonas att det är lämpligt att de inblandade omsorgsgivarna avtalar om formerna för samarbetet. Uppstår fråga om vem som är personuppgiftsansvarig avseende en viss behandling av personuppgifter i systemet med sammanhållen vård- och omsorgsdokumentation får en bedömning av de faktiska omständigheterna i det enskilda fallet göras. Eventuella avtal där personuppgiftsansvaret preciseras kan beaktas vid en sådan bedömning, men det är de faktiska omständigheterna i det enskilda fallet som är avgörande, dvs. vem eller vilka som faktiskt har utfört behandlingen av personuppgifterna.113
Omsorgsgivaren ska alltså vara personuppgiftsansvarig för den behandling av personuppgifter som den utför vid sammanhållen vård- och omsorgsdokumentation. Bestämmelsen innebär bl.a. att den omsorgsgivare som gör en personuppgift tillgänglig för andra genom att uppgiften dokumenteras utan att spärras har personuppgiftsansvaret för att det sker på ett lagligt sätt. I ansvaret ingår vidare att lämna omsorgsmottagaren information om den sammanhållna vård- och omsorgsdokumentationen och vad den innebär. Personuppgiftsansvaret omfattar även fortsatt lagring och tillgängliggörande av personuppgifterna. Som anges ovan är den vård- eller omsorgsgivare som får åtkomst genom direktåtkomst, eller annat elektroniskt utlämnande, och bereder sig tillgång till andra vård- och omsorgsgivares uppgifter för att söka efter och läsa personuppgifter, personuppgiftsansvarig för den behandling av personuppgifter som detta innebär.
16.12.4. Föreskrifter
I förarbetena till patientdatalagen anges att det, både av organisatoriska skäl och av integritetshänsyn ibland kan finnas behov av en tydlig reglering av personuppgiftsansvaret för övergripande frågor. Det ansågs dock inte möjligt att i förväg ange i vilka sådana fall en särreglering behövs, eftersom det inte kunde förutses i vilken omfattning och i vilka former sammanhållen journalföring skulle utvecklas. I patientdatalagen infördes i stället en bestämmelse som ger
113 Jämför Sören Öman, Dataskyddsförordningen (GDPR) m.m., kommentaren till artikel 4, JUNO Version:1A.
regeringen eller den myndighet som regeringen bestämmer möjligheter att vid behov närmare reglera personuppgiftsansvaret i övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder. Regleringen avses ta sikte på såväl generella förhållanden som förhållanden vid en viss sammanhållen journalföring.114 Några sådana föreskrifter har ännu inte utfärdats.
I dataskyddsförordningen ställs vissa krav på den personuppgiftsansvarige. Bland annat ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24). Åtgärderna ska ses över och uppdateras vid behov.
Liksom inför införandet av reglerna för sammanhållen journalföring i patientdatalagen konstaterar utredningen att det av tydlighets- och integritetsskäl kan vara lämpligt att reglera personuppgiftsansvaret avseende sådana övergripande frågor. Det kan dock även i detta sammanhang anföras att det i detta skede är svårt att förutse i vilken utsträckning möjligheten att införa sammanhållen vård- och omsorgsdokumentation inom hälso- och sjukvården och vissa delar av socialtjänsten kommer att användas och i så fall hur sådana system kommer att utformas. Frågan om en viss vård- eller omsorgsgivare bör ha det övergripande ansvaret för tekniska och organisatoriska åtgärder beror bl.a. på hur samarbetet mellan de olika vård- och omsorgsgivarna kommer att se ut. Det kan alltså finnas behov av att, efter hand som reglerna för sammanhållen vård- och omsorgsdokumentation börjar tillämpas och samarbeten mellan olika vård- och omsorgsgivare växer fram, närmare reglera vilken vård- eller omsorgsgivare som bör ha det övergripande ansvaret för vissa frågor i ett sådant samarbete. Regeringen, eller den myndighet som regeringen bestämmer, bör därför bemyndigas att meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen vård- och omsorgsdokumentation.
16.12.5. Personuppgiftsansvaret om vård- eller omsorgsverksamhet upphör
Frågan om personuppgiftsansvar när en vårdverksamhet upphör berörs i förarbetena till patientdatalagen. Det anges att i de fall en personuppgiftsansvarig vårdgivare, som deltar i sammamanhållen journalföring, upphör med sin verksamhet och denna verksamhet överförs till en annan vårdgivare, kan den senare överta journaluppgifterna i fråga, om patienterna går med på det. Likaså kan en myndighets hälso- och sjukvårdsverksamhet upphöra och övertas av en privat vårdgivare, ett enskilt organ, exempelvis på grund av bolagisering. Myndighetens journaler får då överlämnas till den privata vårdgivaren, om journalerna behövs i dennes verksamhet, se 2 kap. 17 § tryckfrihetsförordningen och lagen (1994:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring (se nuvarande 2 kap. 21 § tryckfrihetsförordningen och lagen
[
2015:602] om överlämnande av allmänna handlingar för för-
varing). Även det omvända kan förekomma; att en privat verksamhet, inklusive patienter och journaler, återgår till ett landsting eller en kommun vid upphörd entreprenad. För den fortsatta behandlingen och tillgängliggörandet i den sammanhållna journalen av övertagna journaluppgifter i fall som de nu berörda, kommer den nye (eller nygamle) vårdgivaren (eller myndigheten) att ha motsvarande personuppgiftsansvar som den förre vårdgivaren i den mån den nye vårdgivaren också deltar i den sammanhållna journalföringen.115
Det ovan beskrivna gäller i dag i de fall en offentlig eller privat vårdgivare upphör med sin verksamhet, och bör gälla även när en omsorgsgivare som ingår i ett system med sammanhållen vård- och omsorgsdokumentation upphör med sin verksamhet.
När det gäller omsorgsgivare kan det konstateras att det på motsvarande sätt kan förekomma att en personuppgiftsansvarig omsorgsgivare, som ingår i ett system med sammanhållen vård- och omsorgsdokumentation, upphör med sin verksamhet. Att verksamheten upphör innebär i detta sammanhang att omsorgsgivaren inte längre ansvarar för eller utför sådana insatser som omfattas av den föreslagna regleringen om sammanhållen vård- och omsorgsdokumentation. Är det fråga om en privat omsorgsgivare kan t.ex. företaget som driver verksamheten gå i konkurs eller förlora en
upphandling. Om verksamheten övertas av en annan privat omsorgsgivare, kan den senare omsorgsgivaren få kopior av omsorgsdokumentationen och överta den tidigare omsorgsgivarens plats i den sammanhållna vård- och omsorgsdokumentationen, om omsorgsmottagaren lämnar sitt samtycke till den avvikelsen från gällande tystnadsplikt och de övriga som ingår i systemet med sammanhållen vård- och omsorgsdokumentation godkänner eller åtminstone tolererar det. Den senare omsorgsgivaren är då i fortsättningen personuppgiftsansvarig, medan den tidigare omsorgsgivaren inte längre får ingå i systemet med sammanhållen vård- och omsorgsdokumentation. Vidare kan en privat verksamhet återgå till offentlig verksamhet, t.ex. om kommunen inte tecknar ett nytt entreprenadavtal utan väljer att i stället bedriva verksamheten i egen regi. Omsorgsgivaren som fortsätter att bedriva verksamheten är i dessa fall därefter personuppgiftsansvarig för den fortsatta behandlingen och tillgängliggörandet i den sammanhållna vård- och omsorgsdokumentationen, om omsorgsgivaren väljer och får tillåtelse att delta i systemet med sammanhållen vård- och omsorgsdokumentation. Får kommunen, med omsorgsmottagarens samtycke, kopior av tidigare omsorgsdokumentation, kan kommunen lägga in den i systemet med sammanhållen vård- och omsorgsdokumentation, om inte omsorgsmottagaren motsätter sig det. Kommunen är då personuppgiftsansvarig för all den dokumentation som kommunen tillfört systemet.
Det kan också inträffa att offentlig omsorgsverksamhet övergår i privat regi. Myndighetens omsorgsdokumentation får då överlämnas till den privata omsorgsgivaren, om det rör sig om allmänna handlingar och dokumentationen behövs i verksamheten, se 2 kap. 21 § tryckfrihetsförordningen och lagen om överlämnande av allmänna handlingar för förvaring. Den nya omsorgsgivaren blir då personuppgiftsansvarig för den fortsatta behandlingen och tillgängliggörandet av överlämnad omsorgsdokumentation i systemet med sammanhållen vård- och omsorgsdokumentation.
Är det i stället fråga om verksamhet som upphör helt, utan att någon annan omsorgsgivare tar över, bör omsorgsdokumentation från verksamheten enligt utredningens bedömning inte längre ingå i systemet med sammanhållen vård- och omsorgsdokumentation. Det finns då inte längre någon omsorgsgivare som kan ansvara för och göra dokumentationen tillgänglig för de övriga vård- och omsorgs-
givare som deltar i systemet med sammanhållen vård- och omsorgsdokumentation. Det är dock lämpligt om det framgår av systemet att det kan finnas arkiverad omsorgsdokumentation och var man kan få tag i den, dock utan att några personuppgifter framgår.
Arkivering och gallring av allmänna handlingar i ett system med sammanhållen vård- och omsorgsdokumentation berörs närmare i avsnitt 16.18.
16.13. Patientens och omsorgsmottagarens elektroniska tillgång till sina personuppgifter
Utredningens förslag: Vård- och omsorgsgivare får medge en
patient eller omsorgsmottagare tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till sådana uppgifter om personen själv som får lämnas ut till honom eller henne och som andra vård- och omsorgsgivare får ha tillgång till genom sammanhållen vård- och omsorgsdokumentation.
Föreskrifter om de skyddsåtgärder som ska gälla vid direktåtkomst eller annat elektroniskt utlämnande kan meddelas av regeringen eller den myndighet som regeringen bestämmer.
16.13.1. Regleringen i patientdatalagen
När det gäller patientens elektroniska tillgång till uppgifter om patienten själv som behandlas för vårddokumentation och som får lämnas ut till patienten finns det särskilda regler i patientdatalagen. Dessa innebär att en vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 patientdatalagen, dvs. för vårddokumentation (5 kap. 5 § PDL). Av samma bestämmelse framgår att den enskilde under samma förutsättningar får medges direktåtkomst till dokumentation som avses i 4 kap. 3 § första stycket första meningen patientdatalagen, dvs. direktåtkomst till uppgifter om den åtkomst som förekommit till uppgifter om patienten (logglistor). Det anges vidare i samma bestämmelse att regeringen eller den myndighet som
regeringen bestämmer får meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst.
Denna möjlighet för patienter att ta del av uppgifter om sig själva genom direktåtkomst, t.ex. via internet, gäller oavsett om vårdgivaren deltar i sammanhållen journalföring eller inte. Bakgrunden till bestämmelsen är att regeringen vid införandet av möjligheten ansåg att det fanns ett stort intresse bland allmänheten att kunna ta del av sina journaluppgifter på detta sätt och att möjligheten att ge patienter direktåtkomst till sina patientuppgifter skulle bidra till deras möjligheter att på ett bättre sätt aktivt delta i sin vård.116
När det gällde möjlighet till direktåtkomst till logglistor ansåg regeringen att allmänhetens förtroende för hälso- och sjukvårdens informationshantering skulle förstärkas om patienten får klar och tydlig information om vilken åtkomst som förekommit till uppgifter om honom eller henne. Man menade att för den patient som oroar sig för att någon obehörig läst journalen är bearbetade logglistor med förklaringar ett utmärkt verktyg för att själv kunna konstatera om oron varit befogad eller inte. Även vetskapen om patientens rätt att själv kontrollera åtkomsten borde ha en starkt avhållande verkan gällande obehörig åtkomst. Därför ansåg regeringen att det borde vara tillåtet för vårdgivare att ge sina patienter direktåtkomst till logglistor som avser elektronisk åtkomst till uppgifter om dem.117
Mot bakgrund av detta och av att det i 5 kap. 4 § patientdatalagen anges att direktåtkomst till personuppgifter som behandlas enligt patientdatalagen bara får förekomma i den utsträckning som anges i lag eller förordning, togs bestämmelsen med i 5 kap. 5 § patientdatalagen.
Regeringen ansåg att det krävdes säkerhetsåtgärder för att vårdgivare skulle få medge sina patienter direktåtkomst till patientuppgifter. Det uttalades i förarbetena att det t.ex. behövde finnas tillräckligt säkra tekniska lösningar för att säkerställa identifieringen av den som efterfrågar uppgifter samt tekniska lösningar för att spärra uppgifter som inte får lämnas ut till en patient på grund av att de är sekretessbelagda eller omfattas av tystnadsplikt i förhållande till patienten. Regeringen ansåg att det inte var möjligt att i lag precisera de krav som bör ställas och föreslog därför att regeringen eller, efter bemyndigande, Socialstyrelsen efter samråd med Datainspektionen
116Prop. 2007/08:126 s. 158. 117Prop. 2007/08:126 s. 150 och 158.
skulle få meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid direktåtkomst för enskilda.118 Socialstyrelsen har med stöd av detta bemyndigande meddelat föreskrifter.119
I utredningens uppdrag ingår även att se över möjligheterna att ge ett ombud åtkomst till patientjournalen. Denna del av utredningens uppdrag ska dock inte redovisas i detta betänkande utan i utredningens slutbetänkande. Utredningen kan därför komma att återkomma till frågan om ombuds elektroniska åtkomst till omsorgsdokumentation i slutbetänkandet.
16.13.2. Regleringen i den föreslagna lagen
Patienters tillgång
Möjligheten i 5 kap. 5 § patientdatalagen för patienter att ta del av uppgifter om sig själva och uppgifter om logglistor genom direktåtkomst, t.ex. via internet, gäller uppgifter som en annan vårdgivare får ha åtkomst till. Eftersom utredningens uppdrag är att se över möjligheterna att införa direktåtkomst, i likhet med den möjlighet som i dag ges genom sammanhållen journalföring, mellan vissa verksamheter inom socialtjänsten och hälso- och sjukvården, bör denna möjlighet enligt utredningens mening även gälla uppgifter hos vårdgivare som en omsorgsgivare får ha åtkomst till genom sammanhållen vård- och omsorgsdokumentation. En bestämmelse om detta bör därför tas med i den föreslagna lagen. Möjligheten bör tillämpas på samma sätt som i dag, dock med ändringen att med direktåtkomst bör uttryckligen jämställas annat elektroniskt utlämnande.120 Eftersom andra vårdgivare redan lär få ha åtkomst till allt det som omsorgsgivare kommer att få åtkomst till hos vårdgivaren, blir dock inte patientens tillgång till journaluppgifter större.
En särskild bestämmelse om att en patient får ha elektronisk tillgång till sammanhållen vård- och omsorgsdokumentation om honom eller henne gör också regelverket kring sammanhållen vård- och omsorgsdokumentation tydligare än om endast 5 kap. 5 § patientdatalagen skulle tillämpas avseende sådan tillgång. En hänvisning till den bestämmelsen bör dock av tydlighetskäl införas i lagen.
118Prop. 2007/08:126 s. 160. 119 Se 4 kap. 11 och 12 §§ Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40). 120 Se mer om utredningens överväganden i denna del avsnitt 16.3.2.
Omsorgsmottagares tillgång
Som ovan nämnts finns det i 5 kap. 4 § patientdatalagen en bestämmelse om att direktåtkomst till personuppgifter som behandlas enligt patientdatalagen bara får förekomma i den utsträckning som anges i lag eller förordning. Motsvarande principiella förbud mot direktåtkomst finns inte i SoLPuL. Utredningen anser dock att det i den föreslagna lagen bör anges att omsorgsgivare får medge en omsorgsmottagare direktåtkomst till sådana uppgifter om omsorgsmottagaren själv som andra vård- och omsorgsgivare får ha åtkomst till inom systemet med sammanhållen vård- och omsorgsdokumentation samt till uppgifter i logglistor. Det är viktigt av följande skäl att det tydligt framgår av lagen att omsorgsgivaren har en sådan möjlighet. Utredningen föreslår som beskrivs i avsnitt 16.6.2 och 16.7.4 att omsorgsmottagaren måste lämna sitt samtycke för att en vård- eller omsorgsgivare ska få ta del av personuppgifter som andra vård- eller omsorgsgivare gjort tillgängliga i systemet med sammanhållen vård- och omsorgsdokumentation. Omsorgsmottagaren ska vidare ha rätt att spärra uppgifter så att de inte görs potentiellt tillgängliga för andra vård- eller omsorgsgivare (avsnitt 16.5.1). Vårdgivare har i dag enligt 5 kap. 5 § patientdatalagen en möjlighet att låta patienter ta del av uppgifter om sig själva genom direktåtkomst, t.ex. via internet. Omsorgsmottagaren har vanligtvis inte kännedom om de närmare personuppgifter som kan ha dokumenterats om omsorgsmottagaren av omsorgsgivare. För att omsorgsmottagaren ska kunna ta välgrundad ställning till om samtycke ska lämnas eller en spärr begäras behöver denne kunna ta del av den dokumentation som finns hos omsorgsgivarna. För att omsorgsmottagaren på ett enkelt sätt ska kunna ha insyn i vilka uppgifter som finns i dokumentationen, och därmed lättare kunna ta ställning i frågorna om samtycke och uppgiftsspärr, föreslår utredningen en bestämmelse om att omsorgsmottagaren får ges tillgång genom direktåtkomst eller annat elektroniskt utlämnande till sina personuppgifter i den sammanhållna vård- och omsorgsdokumentationen. Därmed kan omsorgsmottagaren också bli mera jämställd med dem som tar omsorg om honom eller henne. När det gäller tillgång till uppgifter om logglistor anser utredningen att samma skäl gör sig gällande för omsorgsmottagares tillgång som ovan anförts för patienters tillgång.
Förslaget innebär att omsorgsmottagare kan ges en möjlighet att t.ex. via internet ta del av uppgifter om sig själva som andra vård- eller omsorgsgivare får ha tillgång till genom direktåtkomst eller annat elektroniskt utlämnande. Någon rättighet för omsorgsmottagare att ha direktåtkomst till sina uppgifter bör dock enligt utredningens mening inte införas för närvarande, ens till sådan dokumentation som omfattas av sammanhållen vård- och omsorgsdokumentation. Konsekvenserna av införandet av en sådan rättighet kan nämligen inte till fullo överblickas. Det är möjligt att en sådan rättighet skulle kunna hämma införandet av sammanhållen vård- och omsorgsdokumentation, som behövs av effektivitetsskäl, genom att det kan behövas annan teknik än som behövs för vård- och omsorgsgivares elektroniska åtkomst.
Det kan naturligtvis inträffa att en omsorgsmottagare som har getts elektronisk tillgång till sin dokumentation har synpunkter på innehållet i den och vill få den korrigerad. Omsorgsmottagaren har emellertid inte rätt att styra över den dokumentation som görs i större utsträckning än som följer av dataskyddsförordningen och nationell lagstiftning. Det ska dock antecknas om omsorgsmottagaren har en annan uppfattning än handläggaren om någonting som denne har antecknat (11 kap. 6 § SoL).
Ett skäl mot att ge omsorgsmottagare tillgång genom direktåtkomst eller annat elektroniskt utlämnande till sin dokumentation är risken för att omsorgsmottagarna utsätts för påtryckningar från t.ex. anhöriga att visa dem dokumentationen. Det går naturligtvis inte att helt bortse från risken att några omsorgsmottagare kan komma utsättas för sådana påtryckningar och mot sin vilja ge efter för dem. En sådan risk finns emellertid redan nu, eftersom en person kan förmå t.ex. en anhörig att ge honom eller henne fullmakt att begära ut dokumentation beträffande denne. Utredningen anser därför att detta inte är ett skäl som med tillräcklig styrka talar emot att införa uttryckliga bestämmelser om omsorgsmottagarens tillgång genom direktåtkomst eller annat elektroniskt utlämnande till sin dokumentation.
Tillgången genom direktåtkomst eller annat elektroniskt utlämnande får förstås bara avse sådana uppgifter om omsorgsmottagaren själv som får lämnas ut till honom eller henne. Det är dock omsorgsgivaren som avgör i vilken utsträckning sådana uppgifter ska göras tillgängliga för omsorgsmottagarna. Vissa uppgifter i socialtjänstens
dokumentation omfattas av sekretess mot omsorgsmottagaren. Detta gäller främst uppgift i anmälan eller utsaga av en enskild om någons hälsotillstånd eller andra personliga förhållanden, till skydd för anmälare eller uppgiftslämnare, se 26 kap. 5 § offentlighets- och sekretesslagen. Noteras ska även att det i vissa fall finns möjlighet till hemlighållande av uppgift underårigs vistelseort i 26 kap. 2 § offentlighets- och sekretesslagen. Därför är det nödvändigt att en sekretessprövning görs i samband med att uppgifter görs tekniskt åtkomliga för omsorgsmottagaren eller att det införs rutiner som innebär att sådana uppgifter inte antecknas i den sammanhållna vård- och omsorgsdokumentationen. För att understryka detta bör anges i bestämmelsen att tillgång genom direktåtkomst eller annat elektroniskt utlämnande (bara) får medges till uppgifter som får lämnas ut till omsorgsmottagaren.
Föreskrifter om säkerhetsåtgärder
Utredningen anser att det, av samma skäl som anfördes vid införandet av sammanhållen journalföring, även vid sammanhållen vård- och omsorgsdokumentation kan finnas behov av föreskrifter om säkerhetsåtgärder motsvarande dem som Socialstyrelsen meddelat med stöd av bemyndigandet i 5 kap. 5 § patientdatalagen. Det anges, som ovan nämnts, även i dataskyddsförordningen att den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24). Åtgärderna ska ses över och uppdateras vid behov.
Frågan är om det i den föreslagna lagen är nödvändigt med ett bemyndigande i lag för att Socialstyrelsen ska få meddela föreskrifter. Regeringen får enligt 8 kap. 7 § regeringsformen meddela föreskrifter om verkställighet av lag och föreskrifter som inte enligt grundlag ska meddelas av riksdagen. Enligt 8 kap. 11 § regeringsformen får regeringen bemyndiga en myndighet under regeringen att meddela föreskrifter enligt 8 kap. 7 § regeringsformen. När det gäller kommuner finns det i regeringsformen en särskild bestämmelse om att föreskrifter ska meddelas av riksdagen genom lag om de avser åligganden för kommunerna (8 kap. 2 § 3). Också före-
skrifter om skyldigheter för enskilda ska meddelas av riksdagen genom lag (8 kap. 2 § 2 regeringsformen).
Det är enligt de föreslagna bestämmelserna om sammanhållen vård- och omsorgsdokumentation frivilligt för vård- och omsorgsgivare att ansluta sig till ett system med sammanhållen vård- och omsorgsdokumentation. Den vård- eller omsorgsgivare som frivilligt utnyttjar den möjligheten måste dock följa de föreskrifter som kan ha meddelats av regeringen eller bemyndigad myndighet. Föreskrifterna kan på grund av frivilligheten inte sägas avse några åligganden för kommuner eller några skyldigheter för enskilda. Utredningen gör därför bedömningen att det inte är nödvändigt med ett bemyndigande i lag.
Det kan dock ibland finnas anledning att i en lag upplysa om att regleringen av en viss fråga i en lag inte är uttömmande utan förutsätts bli kompletterad med föreskrifter på lägre nivå.121 Därmed klargörs att riksdagen genom lagen inte inskränkt regeringens möjligheter att meddela kompletterande föreskrifter i frågan. Detta kan i detta fall uttryckas som att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid åtkomst genom direktåtkomst eller annat elektroniskt utlämnande. Med hänsyn till att det finns ett bemyndigande i 5 kap. 5 § i patientdatalagen som Socialstyrelsen meddelat föreskrifter med stöd av och att den möjligheten till elektronisk tillgång är snarlik den nu föreslagna finns det enligt utredningens mening för tydlighets skull skäl att ta med en sådan upplysningsbestämmelse i den föreslagna lagen.
121Gröna boken – Riktlinjer för författningsskrivning (Ds 2014:1) s. 90.
16.14. Tilldelning av behörighet för intern elektronisk åtkomst
Utredningens förslag: Omsorgsgivaren ska bestämma villkor för
tilldelning av behörighet till personalen i den egna organisationen för åtkomst till personuppgifter som hålls tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation. Sådan behörighet ska begränsas till vad som behövs för att den enskilde medarbetaren ska kunna fullgöra sina arbetsuppgifter i fråga om insatser för äldre eller personer med funktionsnedsättningar.
Enligt en upplysningsbestämmelse kan närmare föreskrifter om detta meddelas av regeringen eller den myndighet som regeringen bestämmer.
Bestämmelsen om vårdgivares behörighetstilldelning i 4 kap. 2 § patientdatalagen ska gälla även för vårdgivares behörighetstilldelning avseende åtkomst till sammanhållen vård- och omsorgsdokumentation.
16.14.1. Regleringen i patientdatalagen
I patientdatalagen ställs krav på vårdgivarna att, när det gäller elektronisk patientjournalföring och övrig elektronisk patientdokumentation, bestämma villkor för tilldelning av behörighet för åtkomst till personuppgifter och dokumentation (4 kap. 2 § PDL). Det anges vidare att behörigheten ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Det anges sedan särskilt att vid sammanhållen journalföring ska behörighet tilldelas enligt samma principer (6 kap. 7 § PDL).122 Detta innebär att bestämmelserna om vårdgivares behörighetstilldelning gäller all verksamhet, inte bara den som omfattas av sammanhållen journalföring.123
122 Datainspektionen har i en vägledning beskrivit kraven på att genomföra sådana behovs- och riskanalyser som ska ligga till grund för behörighetstilldelning inom hälso- och sjukvården. Se Datainspektionens vägledning Behovs- och riskanalys inom hälso- och sjukvården – en väg-
ledning (dnr DI-2020-11495 2020-12-01).
123 Datainspektionen har i ett tillsynsprojekt granskat samtliga regioner utifrån patientdatalagens bestämmelser. Inom ramen för tillsynsprojektet har Datainspektionen funnit både goda exempel och kommit med beslut om förbättringsåtgärder och sammanställt erfarenheterna
Regeringen ansåg att det inte tedde sig möjligt att i generella termer reglera hur behörighetstilldelning till hälso- och sjukvårdspersonal och andra befattningshavare bör utformas, i vart fall inte lagstiftningsvägen och att närmare riktlinjer och föreskrifter därför borde meddelas på myndighetsnivå. Regeringens ansåg att det skulle ankomma på Socialstyrelsen att efter samråd med Datainspektionen meddela föreskrifter i ämnet.124 Socialstyrelsen har meddelat föreskrifter med stöd av detta bemyndigande.125
16.14.2. Regleringen i den föreslagna lagen
Det ska finnas krav på behörighetstilldelning
Den sammanhållna vård- och omsorgsdokumentationen bygger som tidigare sagts på att patienterna och omsorgsmottagarna samtycker till att en vård- eller omsorgsgivare får ta del av dokumentation hos en annan vård- eller omsorgsgivare. Om denna potentiella tillgänglighet inte hanteras på ett bra sätt så att patienterna och omsorgsmottagarna kan känna sig säkra på att känslig information inte läses av obehöriga, finns det risk för att patienter och omsorgsmottagare väljer att stå utanför systemet. Det är därför viktigt att förtydliga att det är den som bedriver verksamheten (den personuppgiftsansvarige) som har ansvar för att den elektroniska åtkomsten till personuppgifter hos den egna vård- eller omsorgsgivaren eller en annan vård- eller omsorgsgivare inte är mer omfattande än vad som krävs för att insatserna för patienten eller omsorgsmottagaren ska kunna utföras.
I patientdatalagen ställs som ovan nämnts krav på vårdgivarna att, när det gäller elektronisk patientjournalföring och övrig elektronisk patientdokumentation, bestämma villkor för tilldelning av behörighet
från projektet i en vägledning om behovs- och riskanalys samt utredning av obehörig åtkomst för hälso- och sjukvården, www.datainspektionen.se/lagar--regler/patientdatalagen/hurforhindrar-man-obefogad-spridning-av-patientuppgifter/. Datainspektionen inledde i mars 2019 en granskning av åtta vårdgivare för att granska hur vårdgivarna styr personalens åtkomst till journalsystemen och om journalsystemens loggar innehåller tillräcklig information för att det ska gå att upptäcka om någon obehörig tar del av patientuppgifterna. Datainspektionen upptäckte brister som i sju av de åtta granskade fallen medförde att Datainspektionen beslutade att vårdgivarna skulle betala sanktionsavgifter för överträdelserna (Datainspektionens beslut 2020-12-02 dnr DI-2019-3839—3846). 124Prop. 2007/08:126 s. 149. 125 Se bl.a. 4 kap. 2 och 3 §§ Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40).
för åtkomst till personuppgifter och på dokumentation. I SoLPUL finns dock inte några uttryckliga krav på att anpassa yrkesutövarens behörigheter för elektronisk åtkomst till personuppgifter efter de behov av uppgifter som yrkesutövaren har för att kunna utföra sitt arbete.
Utredningen anser att det för sammanhållen vård- och omsorgsdokumentation på grund av de skäl som anförts ovan bör finnas bestämmelser som motsvarar de som i dag gäller för sammanhållen journalföring med krav på tilldelning av behörighet för elektronisk åtkomst. Krav på behörighetstilldelning för omsorgsgivare bör därför uppställas i den föreslagna lagen. I patientdatalagen finns det redan bestämmelser om vårdgivares behörighetstilldelning som gäller all verksamhet, inte bara den som kommer att omfattas av sammanhållen vård och omsorgsdokumentation. Eftersom ingen ändring av innebörden av dessa bestämmelser är avsedd i sak, är det enligt utredningens mening av tydlighetsskäl lämpligt att i den föreslagna lagen ange att den bestämmelsen även gäller vårdgivares åtkomst till sammanhållen vård- och omsorgsdokumentation.
Innebörden av behörighetstilldelning
Behörighet för åtkomst avser en användares faktiska möjligheter att ta del av uppgifter i exempelvis socialtjänstens verksamhetssystem. Behörighetsstyrning är de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete. Den som arbetar inom socialtjänsten och behöver åtkomst till vissa omsorgsmottagares personuppgifter ska tilldelas en individuell behörighet för åtkomst till dessa personuppgifter. Behörigheten för åtkomst till personuppgifter ska vara anpassad efter den anställdes behov av personuppgifter för att kunna utföra sitt för tillfället aktuella arbete. Det innebär exempelvis att skilda personalkategorier behöver ha olika behörigheter för elektronisk åtkomst till personuppgifter. Sådana personuppgifter som en anställd eller motsvarande över huvud taget inte har behov av att ta del av för att kunna utföra sitt arbete, ska i normala fall inte heller vara elektroniskt tillgängliga för den anställde. I verksamheter som hanterar en stor mängd mycket integritetskänsliga uppgifter, som socialtjänsten, ställs stora krav på
en ändamålsenlig behörighetsstyrning. Även om det vid behörighetsstyrning kan vara svårt att vid varje givet tillfälle uppnå ett exakt förhållande mellan en användares behov och en användares tekniska möjligheter att ta del av personuppgifter, måste ambitionen hos den som bedriver verksamheten vara att komma så nära som möjligt. Samtidigt är det viktigt att inte behörigheten blir för snäv och på så sätt bidrar till att personuppgifter inte är tillgängliga för användaren när det behövs. Behörighetsstyrningen behöver därför innehålla moment av både risk- och behovsanalys.
Enligt de föreslagna bestämmelserna om sammanhållen vård- och omsorgsdokumentation är det vårdgivaren respektive omsorgsgivaren som får ha tillgång till personuppgifter. Vård- och omsorgsgivare agerar genom sina befattningshavare och för att en befattningshavare av vård- eller omsorgsgivaren ska få ges elektronisk åtkomst till personuppgifterna krävs det att han eller hon har behov av det för sitt arbete. Utgångspunkten för tilldelning av behörighet för personalens elektroniska åtkomst till uppgifter om omsorgsmottagare ska alltså begränsas till vad befattningshavaren behöver för att kunna utföra sina arbetsuppgifter inom socialtjänsten. Detta gäller för den del av befattningshavarens arbetsuppgifter som avser behandling av personuppgifter för att ansvara för eller utföra insatser för äldre eller personer med funktionsnedsättningar, samt administration eller dokumentation av sådana insatser. Däri ligger bl.a. att behörigheter ska följas upp och ändras efter hand som ändringar i befattningshavarens arbetsuppgifter ger anledning till det.
Vid införandet av sammanhållen journalföring inom hälso- och sjukvården uttalade regeringen att behörighet vid sammanhållen journalföring bör tilldelas enligt principen att varje vårdgivare prövar sin personals elektroniska åtkomst till andra vårdgivares vårddokumentation som finns tillgänglig för vårdgivaren i den sammanhållna journalföringen.126 Utredningen anser att samma princip bör gälla för sammanhållen vård- och omsorgsdokumentation, dvs. att varje vård- eller omsorgsgivare ska pröva sin personals elektroniska åtkomst till andra vård- och omsorgsgivares dokumentation som finns tillgänglig för vård- eller omsorgsgivaren i den sammanhållna vård- och omsorgsdokumentationen. Dessutom ska vård- eller omsorgsgivaren pröva sin personals elektroniska åtkomst till person-
uppgifter i den vård- och omsorgsdokumentation som vård- eller omsorgsgivaren själv gjort tillgänglig i systemet.
Föreskrifter
Utredningen anser att det även vid sammanhållen vård- och omsorgsdokumentation kan finnas behov av föreskrifter om behörighetstilldelning motsvarande dem som Socialstyrelsen meddelat med stöd av bemyndigandet i 4 kap. 2 § patientdatalagen. Det är här enligt utredningens bedömning fråga om sådana föreskrifter om verkställighet av lag som regeringen kan meddela enligt 8 kap. 7 § första stycket 1 regeringsformen, se utredningens resonemang om detta i avsnitt 16.13.2. Med hänsyn till att det finns ett bemyndigande i 4 kap. 2 § patientdatalagen som Socialstyrelsen redan meddelat föreskrifter med stöd av, finns det enligt utredningens mening för tydlighets skull skäl att ta med en upplysningsbestämmelse i den föreslagna lagen om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter.
16.14.3. Alternativ reglering
Om författningsförslagen i avsnitt 1.3 om en generell sekretessbrytande bestämmelse inom socialtjänsten genomförs, kommer den reglering som föreslagits i avsnitt 16.14.2 att behöva utformas något annorlunda. SoLPUL kommer i så fall att innehålla en bestämmelse om tilldelning av behörighet för åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat. Denna bestämmelse gäller för behandling av personuppgifter inom socialtjänsten. Bestämmelsen kommer att omfatta omsorgsgivares behörighetstilldelning för åtkomst till elektroniska personuppgifter som hålls tillgängliga genom sammanhållen vård- och omsorgsdokumentation. Enligt bestämmelsen i SoLPUL ska behörigheten anpassas och begränsas till vad som behövs för att befattningshavaren ska kunna fullgöra sina arbetsuppgifter inom socialtjänsten (i stort). Det bör därför regleras i den föreslagna lagen att bestämmelsen i SoLPUL gäller på det sättet att behörigheten ska begränsas till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter i fråga om insatser
för äldre eller personer med funktionsnedsättningar, administration av sådana insatser och dokumentation.
16.15. Kontroll av elektronisk åtkomst
Utredningens förslag: Omsorgsgivaren ska se till att åtkomst till
personuppgifter genom sammanhållen vård- och omsorgsdokumentation dokumenteras och kan kontrolleras. Omsorgsgivaren ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna.
Enligt en upplysningsbestämmelse kan närmare föreskrifter om detta meddelas av regeringen eller den myndighet som regeringen bestämmer.
Bestämmelsen om vårdgivares åtkomstkontroll i 4 kap. 3 § patientdatalagen ska gälla även för vårdgivares åtkomstkontroll avseende åtkomst till sammanhållen vård- och omsorgsdokumentation.
16.15.1. Regleringen i patientdatalagen
I patientdatalagen ställs krav på vårdgivaren att de ska se till att åtkomst till personuppgifter i elektronisk patientjournalföring och övrig elektronisk patientdokumentation dokumenteras och kontrolleras och att vårdgivaren ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter (4 kap. 3 § PDL). Det anges sedan särskilt att vid sammanhållen journalföring ska åtkomstkontroll ske enligt samma principer (6 kap. 7 § PDL).
Regeringen uttalade i förarbetena att en sådan bestämmelse inte bara innebär att faktiska dataintrång med större säkerhet kommer att kunna konstateras och beivras utan även att bestämmelsen borde få en starkt avhållande verkan på personal som, om risken för upptäckt är liten, kan frestas att olovligen läsa uppgifter. Det uttalades särskilt beträffande sammanhållen journalföring att samma principer om åtkomstkontroll ska tillämpas, dvs. att en vårdgivare har samma skyldigheter när det gäller elektronisk åtkomst till andra vårdgivares patientuppgifter genom sammanhållen journalföring.127
Regeringen ansåg att det, av samma skäl som nämnts beträffande behörighetstilldelning (se avsnitt 16.14.2), även i dessa frågor kan behövas närmare föreskrifter som borde meddelas på myndighetsnivå. Med tanke på Socialstyrelsens ställning som central förvaltningsmyndighet för hälso- och sjukvårdsverksamhet ansåg regeringen att denna myndighet lämpligen borde ansvara för att föreskrifter meddelas, dock först efter samråd med Data-inspektionen.128Socialstyrelsen har med stöd av detta bemyndigande meddelat föreskrifter.129
16.15.2. Regleringen i den föreslagna lagen
I patientdatalagen ställs som ovan nämnts krav på vårdgivarna när det gäller dokumentation och kontroll av åtkomst till personuppgifter i elektronisk patientjournalföring och övrig elektronisk patientdokumentation. I SoLPUL finns dock inte några uttryckliga bestämmelser om loggning och kontroll av att ingen otillåten åtkomst till uppgifter om enskilda har förekommit. Utredningen anser därför, på grund av de skäl som anförts i avsnitt 16.15.2, att det för sammanhållen vård- och omsorgsdokumentation bör finnas bestämmelser som motsvarar de som i dag gäller för sammanhållen journalföring med krav på loggning och kontroll av elektronisk åtkomst. Det bör således i den föreslagna lagen tas med en bestämmelse om att en omsorgsgivare ska se till att åtkomst till personuppgifter genom sammanhållen vård- och omsorgsdokumentation dokumenteras och kan kontrolleras samt göra systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna. Loggarna måste sparas en tid för att möjliggöra kontrollen. Systematiska och återkommande stickprovskontroller av loggarna behöver göras och antalet stickprovskontroller bör vara proportionerliga i förhållande till antalet slagningar som görs i systemet. I patientdatalagen finns det redan bestämmelser om vårdgivares åtkomstkontroll som gäller all verksamhet, inte bara den som kommer att omfattas av sammanhållen vård och omsorgsdokumentation. Eftersom ingen ändring av innebörden av dessa bestämmelser är avsedd i sak, är det enligt utredningens mening av tydlighetsskäl lämpligt att ange i den föreslagna
128Prop. 2007/08:126 s. 150. 129 Se bl.a. 4 kap. 9 § Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40).
lagen att de bestämmelserna även gäller vårdgivares åtkomstkontroll avseende åtkomst till sammanhållen vård- och omsorgsdokumentation.
Utredningen anser att det även vid sammanhållen vård- och omsorgsdokumentation kan finnas behov av föreskrifter om åtkomstkontroll motsvarande dem som Socialstyrelsen meddelat med stöd av bemyndigandet i 4 kap. 3 § patientdatalagen. Det är här enligt utredningens bedömning fråga om sådana föreskrifter om verkställighet av lag som regeringen kan meddela enligt 8 kap. 7 § första stycket 1 regeringsformen, se utredningens resonemang om detta i avsnitt 16.13.2. Med hänsyn till att det finns ett bemyndigande i 4 kap. 3 § patientdatalagen som Socialstyrelsen redan meddelat föreskrifter med stöd av, finns det enligt utredningens mening för tydlighetens skull skäl att i den föreslagna lagen ta med en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter.
16.15.3. Alternativ reglering
Om författningsförslagen i avsnitt 1.3 om en generell sekretessbrytande bestämmelse inom socialtjänsten genomförs, kommer den reglering som föreslagits i avsnitt 16.15.2 att behöva utformas något annorlunda. SoLPUL kommer i så fall att innehålla en bestämmelse om kontroll av åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat. Denna bestämmelse gäller för behandling av personuppgifter inom socialtjänsten. Bestämmelsen kommer att omfatta omsorgsgivares åtkomstkontroll till personuppgifter som hålls tillgängliga genom sammanhållen vård- och omsorgsdokumentation. Detta behöver därför inte regleras i den föreslagna lagen, men den föreslagna lagen bör i förtydligande syfte innehålla en upplysning om att bestämmelsen finns.
16.16. Säkerheten i övrigt vid behandling av personuppgifter
Utredningens bedömning: De generella bestämmelserna om
den personuppgiftsansvariges och personuppgiftsbiträdets skyldigheter i fråga om säkerhet vid behandling av personuppgifter i dataskyddsförordningen och anknytande svensk lagstiftning är i övrigt tillräckliga.
Dataskyddsförordningen är direkt tillämplig, vilket innebär att omsorgsgivarna, förutom bestämmelserna i den föreslagna lagen, även ska tillämpa dataskyddsförordningens bestämmelser.
Kapitel IV i dataskyddsförordningen innehåller bestämmelser om skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden. Enligt artikel 32 ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Detta ska ske med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter. Som exempel på åtgärder som kan vara lämpliga nämns förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärderna. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, t.ex. risken för obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Ansvaret enligt artikel 32 innefattar bl.a. att se till att personer som får tillgång till personuppgifter med anledning av sitt arbete endast behandlar dessa på instruktion från den personuppgiftsansvarige, under förutsättning att EU-rätten eller nationell rätt inte ålägger personen att behandla uppgifterna.
De föreslagna bestämmelserna om tilldelning av behörighet, loggning och kontroll av elektronisk åtkomst (avsnitt 16.14 och 16.15) kan sägas utgöra en precisering av dataskyddsförordningens krav på att den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
Dataskyddsförordningen innehåller ytterligare bestämmelser om den personuppgiftsansvariges ansvar som har betydelse för säkerheten i samband med behandling av personuppgifter. Den personuppgiftsansvarige ska, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med förordningen. Dessa åtgärder ska ses över och uppdateras vid behov (artikel 24). Av artikel 25 följer att den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder vilka är utformade för ett effektivt genomförande av dataskyddsprinciper och för integrering av de nödvändiga skyddsåtgärderna vid behandlingen av personuppgifter, så att kraven i dataskyddsförordningen uppfylls och den registrerades rättigheter skyddas (s.k. inbyggt dataskydd). Den personuppgiftsansvarige ska vidare genomföra lämpliga tekniska och organisatoriska åtgärder för att i standardfallet säkerställa att bara personuppgifter som är nödvändiga för varje specifikt ändamål för behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Dessa åtgärder ska bl.a. säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer. (s.k. dataskydd som standard).
När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde gäller enligt artikel 28 särskilda regler. Den personuppgiftsansvarige ska endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i förordningen och säkerställer att den registrerades rättigheter skyddas. Artikeln innehåller också särskilda regler för det fall personuppgiftsbiträdet i sin tur anlitar ett personuppgiftsbiträde. Om den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, ska hanteringen regleras genom avtal eller motsvarande rättsakt. Av artikel 29 följer att personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende endast får behandla personuppgifter enligt instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt EU-rätten eller nationell rätt.
Varje personuppgiftsansvarig och varje personuppgiftsbiträde ska var för sig skriftligen upprätta ett register över behandling som utförts under dess ansvar (artikel 30). Registret ska bl.a. innehålla kontaktuppgifter, upplysning om ändamål med behandlingen, en beskrivning av kategorier av registrerade och kategorier av personuppgifter, upplysning om eventuella mottagare av uppgifterna, tidsfrister för radering och en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder. Registret ska på begäran göras tillgängligt för tillsynsmyndigheten.
Personuppgiftsincidenter ska anmälas till tillsynsmyndigheten inom 72 timmar. Den personuppgiftsansvarige är också skyldig att dokumentera alla personuppgiftsincidenter (artikel 33). Även den registrerade ska få information om personuppgiftsincidenten, om den sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (artikel 34). Den personuppgiftsansvarige och personuppgiftsbiträdet är även skyldiga att utnämna ett dataskyddsombud under förutsättningar som närmare anges i dataskyddsförordningen (artikel 37). Dataskyddsombudets arbetsuppgift är bl.a. att övervaka efterlevnaden av dataskyddsförordningen, andra dataskyddsbestämmelser och den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter, inbegripet ansvarstilldelning, information till och utbildning av personal som deltar i behandlingen och tillhörande granskning (artikel 39.1 b).
Utredningen anser att de generella bestämmelserna om skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden som finns i dataskyddsförordningen och de generella bestämmelser som kan komma att meddelas i svensk lagstiftning, är tillräckliga och att det inte behövs några flera bestämmelser om skyldigheter avseende säkerhet i den föreslagna lagen.
16.17. Information om elektronisk åtkomst som förekommit
Utredningens förslag: En patient eller omsorgsmottagare har rätt
att på begäran få information om vilken elektronisk åtkomst som förekommit till uppgifter om honom eller henne i systemet med sammanhållen vård- och omsorgsdokumentation (logglistor). Patienten eller omsorgsmottagaren får medges tillgång genom direktåtkomst eller annat elektroniskt utlämnande till dokumentation om den åtkomst till uppgifter om patienten eller omsorgsmottagaren som förekommit. En bestämmelse om omsorgsgivarens skyldighet i detta avseende tas in i den föreslagna lagen. Denna bestämmelse ska upplysa om att det i 8 kap. 5 § patientdatalagen finns bestämmelser om motsvarande skyldighet för vårdgivare.
Enligt en upplysningsbestämmelse kan närmare föreskrifter meddelas av regeringen eller den myndighet som regeringen bestämmer, bl.a. om de skyddsåtgärder som ska gälla vid direktåtkomst eller annan elektronisk åtkomst.
16.17.1. Regleringen i patientdatalagen
Enligt patientdatalagen finns det en rätt för patienten att i både den offentliga och privata hälso- och sjukvården på begäran få information om vilken direktåtkomst och elektronisk åtkomst som förekommit till elektroniskt behandlade uppgifter om honom eller henne (8 kap. 5 § PDL). Regeringen angav som skäl för denna rättighet att allmänhetens förtroende för hälso- och sjukvårdens informationshantering skulle förstärkas om den enskilde fick klar och tydlig information om vilken åtkomst som förekommit till uppgifter om honom eller henne. Man anförde vidare att för den patient som oroar sig för att någon obehörig läst journalen är bearbetade logglistor med förklaringar givetvis ett utmärkt verktyg att själv kunna konstatera om oron varit befogad eller inte samt att vetskapen om patientens rätt att själv kontrollera åtkomsten torde ha en starkt avhållande verkan för obehöriga.130
Beträffande hur själva informationen ska lämnas angavs i författningskommentaren till bestämmelsen att avsikten är att informationen ska vara begriplig och vägledande för patienten när han eller hon själv ska bilda sig en uppfattning om huruvida åtkomsten varit befogad eller inte. Det bör t.ex. tydligt framgå när och från vilken enhet inom hälso- och sjukvården en slagning har skett. Vid sammanhållen journalföring bör vidare varje vårdgivare kunna redovisa vilken åtkomst till den egna verksamhetens journaluppgifter som har förekommit från andra vårdgivare. Även dessa andra mottagande vårdgivare bör kunna redovisa när direktåtkomst har använts.131
Enligt en annan bestämmelse i patientdatalagen kan en patient även ges direktåtkomst eller annan elektronisk åtkomst till dokumentation om den åtkomst till uppgifter om patienten som förekommit i systemet med sammanhållen journalföring, dvs. logglistor (se 5 kap. 5 § PDL och avsnitt 16.13). När den bestämmelsen infördes hänvisade regeringen i förarbetena till samma skäl som för att införa en bestämmelse om rätt för patienter att på begäran få information om vilken elektronisk åtkomst som förekommit till uppgifter om honom eller henne. Regeringen uttalade att det inte finns något behov av att namnge vårdpersonal eller att presentera andra uppgifter som indirekt kan hänföras till en fysisk person, dvs. det är tillräckligt att för detta ändamål ange från vilken avdelning, klinik eller motsvarande enhet som åtkomsten härrör, och att sådana uppgifter inte bör lämnas ut till den enskilde.132 Regeringen ansåg det dock vara lämpligast att frågan om den information som ska ges till patienten regleras mera i detalj på föreskriftsnivå.133
16.17.2. Regleringen i den föreslagna lagen
Som beskrivs i avsnitt 12.3.8 anser utredningen att sammanhållen journalföring inom hälso- och sjukvården bör användas som utgångspunkt när ett förslag till ett motsvarande system med sammanhållen vård- och omsorgsdokumentation utformas. Utredningen anser därför att motsvarande bestämmelser om information om elektronisk åtkomst som förekommit som gäller vid sammanhållen journalföring, bör gälla vid sammanhållen vård- och omsorgsdokumentation. De
131Prop. 2007/08:126 s. 265. 132Prop. 2007/08:126 s. 159. 133Prop. 2007/08:126 s. 150 f.
överväganden som redogjorts för i avsnitt 16.16 har enligt utredningens mening även bäring på information om elektronisk åtkomst som förekommit i systemet med sammanhållen vård- och omsorgsdokumentation.
Utredningen föreslår i avsnitt 16.15 att vård- och omsorgsgivare ska ha en skyldighet att se till att åtkomst till personuppgifter genom sammanhållen vård- och omsorgsdokumentation dokumenteras och kan kontrolleras. Hos socialnämnden eller en kommunal utförare utgör sådan dokumentation, ofta kallad logglistor, allmänna handlingar som omsorgsmottagaren kan begära utlämnade med stöd av offentlighetsprincipen i 2 kap. tryckfrihetsförordningen. Någon sekretess torde normalt inte kunna anföras som skäl mot att lämna ut sådana listor. Någon rätt för omsorgsmottagare att få logglistor från privata omsorgsgivare finns däremot inte i dag.
En rätt för omsorgsmottagaren att på begäran hos en omsorgsgivare få information om vilken elektronisk åtkomst som förekommit till uppgifter om honom eller henne i systemet med sammanhållen vård- och omsorgsdokumentation bör därför tas med i den föreslagna lagen. Omsorgsmottagaren bör enligt utredningens mening även kunna ges tillgång genom direktåtkomst eller annat elektroniskt utlämnande till dokumentation om den åtkomst till uppgifter om omsorgsmottagaren som förekommit i systemet med sammanhållen vård- och omsorgsdokumentation (logglistor).
I patientdatalagen finns det redan bestämmelser om vårdgivares skyldighet att lämna information om vilken elektronisk åtkomst som förekommit som gäller all verksamhet, inte bara den som kommer att omfattas av sammanhållen vård- och omsorgsdokumentation. Eftersom ingen ändring av innebörden av dessa bestämmelser är avsedd i sak, är det enligt utredningens mening lämpligt att i den föreslagna lagen upplysa om att sådana bestämmelser finns i patientdatalagen.
Utredningen anser att det även vid sammanhållen vård- och omsorgsdokumentation kan finnas behov av föreskrifter om den information som ska lämnas till omsorgsmottagaren. Exakt vad informationen ska innehålla och hur eller hur ofta den ska lämnas bör inte närmare regleras i lag utan, vid behov, av regeringen eller, efter vidarebemyndigande, av Socialstyrelsen efter samråd med Integritetsskyddsmyndigheten. Det är här enligt utredningens bedömning fråga om sådana föreskrifter om verkställighet av lag som regeringen
kan meddela enligt 8 kap. 7 § första stycket 1 regeringsformen, se utredningens resonemang om detta i avsnitt 16.13.2. Med hänsyn till att det finns ett bemyndigande i 8 kap. 5 § patientdatalagen finns det enligt utredningens mening för tydlighets skull skäl att i den föreslagna lagen ta med en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter.
16.17.3. Alternativ reglering
Om författningsförslagen i avsnitt 1.3 om en generell sekretessbrytande bestämmelse inom socialtjänsten genomförs, kommer den reglering som föreslagits i avsnitt 16.17.2 att behöva utformas något annorlunda. SoLPUL kommer i så fall att innehålla en bestämmelse om att den som bedriver verksamhet inom socialtjänsten på begäran av en registrerad ska lämna information om den elektroniska åtkomst till uppgifter om den registrerade som förekommit. Denna bestämmelse gäller för behandling av personuppgifter inom socialtjänsten. Bestämmelsen kommer att ge omsorgsgivare en skyldighet att lämna information om den elektroniska åtkomst som förekommit till uppgifter om omsorgsmottagaren bl.a. genom systemet med sammanhållen vård- och omsorgsdokumentation. Detta behöver därför inte regleras i den föreslagna lagen, men den föreslagna lagen bör i förtydligande syfte innehålla en upplysning om att bestämmelsen finns.
16.18. Bevarande och gallring
Utredningens förslag: Dokumentation ska bevaras hos den vård-
och omsorgsgivare som ansvarar för handlingen. Övriga vård- och omsorgsgivare får gallra handlingen. Om en handling är tillgänglig för en myndighet bara genom sammanhållen vård- och omsorgsdokumentation och myndigheten inte ansvarar för den, får myndigheten gallra handlingen från sitt arkiv.
16.18.1. Inledning
Vid sammanhållen vård- och omsorgsdokumentation uppkommer frågor om vilka konsekvenserna blir från bevarande- och arkivsynpunkt då dokumentation inte spärras utan görs tillgänglig över vård- och omsorgsgivargränser. Med skyldigheten att bevara dokumentation sammanhänger frågor om möjligheten att gallra dokumentation. Efter en beskrivning av centrala bestämmelser i sammanhanget och vilka regler som gäller för sammanhållen journalföring, redogör utredningen för vad som bör gälla vid sammanhållen vård- och omsorgsdokumentation.
16.18.2. Gällande rätt på socialtjänstens område
Grundläggande bestämmelser om bevarande och gallring av uppgifter i socialtjänsten finns i socialtjänstlagen och i LSS. Dessutom gäller bestämmelserna i arkivlagen för bevarande och gallring av allmänna handlingar. Huvudregeln enligt arkivlagen är att allmänna handlingar ska bevaras. En myndighets arkiv bildas i huvudsak av de allmänna handlingarna från myndighetens verksamhet. För handlingar som omfattas av den s.k. journalregeln i 2 kap. 10 § andra stycket 1 tryckfrihetsförordningen, blir varje anteckning arkiverad i och med att den har gjorts, 3 § arkivförordningen (1991:446).
För elektronisk information gäller till en början en undantagsregel som är av särskilt intresse i fråga om sammanhållen omsorgsdokumentation. Upptagningar för automatisk behandling som är tillgängliga för flera myndigheter så att de utgör allmänna handlingar hos alla dessa myndigheter, ska bilda arkiv endast hos en av myndigheterna (3 § första stycket andra meningen arkivlagen). Samma upptagning ska alltså inte bevaras och bilda arkiv hos alla myndigheterna. Ett annat undantag från huvudregeln om att myndigheters allmänna handlingar ska bevaras är bestämmelsen om att allmänna handlingar får gallras under vissa förutsättningar (10 § arkivlagen). Med gallring kan avses att information i sin helhet förstörs. Så måste dock inte ske för att det ska vara fråga om gallring. Gallring av elektronisk information kan t.ex. ske genom att informationen skrivs ut på papper som bevaras varefter informationen raderas från datamediet. Gallring kan också innebära att information överförs från ett datamedium till annat datamedium som medför sämre sammanställ-
nings- eller sökmöjligheter, sämre möjligheter att kontrollera handlingars autencitet m.m.134
Gallring görs av den arkivbildande myndigheten. En kommunal myndighet får dock inte på egen hand avgöra vad som ska gallras ur dess arkiv. Gallringsföreskrifter för sådana myndigheter fattas av kommunfullmäktige respektive regionfullmäktige. Deras föreskriftsrätt begränsas dock av att hänsyn ska tas till att återstående material ska tillgodose arkivbildningens syften. Avvikande gallringsbestämmelser i lag eller förordning tar över arkivlagens regler om bevarande och gallring.
I 7 kap. 3 § socialtjänstlagen anges gällande enskild verksamhet att anteckningar och andra uppgifter i en personakt som tillhör sådan sammanställning av uppgifter som avses i SoLPUL ska bevaras och därefter gallras två efter det att sista anteckningen gjordes i akten. Med personakt avses en akt med handlingar rörande en eller flera enskilda personer. Det framgår av samma bestämmelse att uppgifter i en sammanställning som avses i lagen om behandling av personuppgifter inom socialtjänsten ska gallras två år efter det att de förhållanden som uppgifterna avser har upphört. Bestämmelser med motsvarande innebörd finns även i 23 c § LSS. När det gäller allmän
verksamhet finns ingen kortaste bevarandetid angiven utan det anges
endast att anteckningar och andra uppgifter i en personakt hos socialnämnden som tillhör en sådan sammanställning av uppgifter som avses i SoLPUL ska gallras fem år efter det att sista anteckningen gjordes i akten (12 kap. 1 § SoL och 21 c § LSS).
16.18.3. Regleringen i patientdatalagen
När möjligheterna till sammanhållen journalföring infördes uttalade regeringen att det var angeläget dels att sammanhållen journalföring inte skulle leda till omfattande arkivbildning m.m. som är ekonomiskt och administrativt belastande för de deltagande aktörerna eller som får negativa konsekvenser från integritetssynpunkt, dels att bevarandet av allmänna handlingar inte skulle försämras. Enligt regeringen kunde sådana negativa konsekvenser avvärjas genom en huvudprincip som innebär att varje vårdgivare som deltar i ett sammanhållet journalföringssystem ansvarar för bevarandet av de jour-
nalhandlingar eller annan vårddokumentation som vårdgivaren själv gör tillgängliga i det sammanhållna journalföringssystemet. De andra deltagande vårdgivarna skulle inte få ett sådant ansvar enbart på grund av att de har en potentiell tillgång till dessa handlingar.135
När patientdatalagen infördes beslutades det om att journalhandlingar ska bevaras minst tio år (3 kap. 17 § PDL). Regeringen uttalade då att arkivansvar eller annat ansvar för bevarande bör följa verksamhetsansvar och personuppgiftsansvar för den enskilda personuppgiftsbehandlingen, och en journalhandling eller annan handling därför bara bör bevaras och bilda arkiv hos bara en myndighet eller en privat vårdgivare. För att tydliggöra detta infördes det i patientdatalagen en regel om att bestämmelser i patientdatalagen eller i annan lag eller förordning om att journalhandlingar ska bevaras viss minsta tid, inte är tillämpliga på sådana journalhandlingar som har gjorts tillgängliga genom sammanhållen journalföring hos andra vårdgivare och som dessa vårdgivare endast har en potentiell tillgång till (6 kap. 8 § första stycket PDL). Det innebar, enligt regeringen, i princip att det är endast en, inte flera, vårdgivare som ansvarar för bevarandet och arkivbildningen av journalhandlingar. Detta angavs gälla även om en vårdgivare bereder sig tillgång till en annan införande vårdgivares journalhandling, så länge inte journalhandlingen tankas hem och lagras av den förstnämnde vårdgivaren.136
I patientdatalagen finns även en generell bestämmelse om att myndigheter får gallra sådana potentiella handlingar (6 kap. 8 § andra stycket). Som nämnts ovan ska upptagningar för automatisk behandling som är tillgängliga för flera myndigheter så att de utgör allmänna handlingar hos alla dessa myndigheter, bilda arkiv hos endast en av myndigheterna (3 § första stycket andra meningen arkivlagen). Regeringen menade i förarbetena att bestämmelsen i 6 kap. 8 § andra stycket patientdatalagen därför behövs för att inte någon av de i en sammanhållen journalföring deltagande myndigheterna ska bli arkivansvarig för privata vårdgivares journalhandlingar m.m. som de potentiellt sett har tillgång till och som utgör allmänna handlingar hos vårdgivare som är myndigheter. Handlingar som en myndighet de facto inte tar del av har ingen betydelse för
135Prop. 2007/08:126 s. 137 f. 136Prop. 2007/08:126 s. 138.
myndighetens verksamhet och bestämmelsen strider därmed inte mot arkivväsendets syften.137
När det gäller de fall då en vårdgivare faktiskt bereder sig tillgång till annan införande vårdgivares journalhandling uttalade regeringen att vid sammanhållen journalföring bör en tidigare journalhandling hos annan vårdgivare normalt inte laddas ned i form av en kopia som tillfogas och lagras i den egna journalföringen såsom en ny journalhandling. Regeringen ansåg härvid att kraven på att journalen ska innehålla de uppgifter som behövs för en god och säker vård i 3 kap. 2 § i sig inte innebär något krav på att varje vårdgivare vid sammanhållen journalföring måste ha ”kompletta” uppgifter. En av poängerna med den sammanhållna journalföringen är ju att dubbeldokumentation ska kunna undvikas. Regeringen ansåg också att det är önskvärt från integritetssynpunkt att uppgifter inte hålls tillgängliga på mer än ett ”ställe”. Normalt bör det därför vara fullt tillräckligt för vårdsyftet att vårdpersonal tar del av den tillgängliga informationen.138
Regeringen konstaterade därefter att alltså inte finns något krav på myndigheter som är anslutna till en sammanhållen journalföring att de laddar ner och lagrar kopior av andra vårdgivares journalhandlingar som får betydelse i den egna patientvården. Å andra sidan menade man, kan det vara svårt att helt undvara nedladdning av kopior, eftersom det i undantagsfall kan vara av helt avgörande betydelse för en god och säker vård hos den senare vårdgivaren att den tidigare informationen bifogas den egna journalinformationen. Sker en nedladdning, innebär det att en ny handling framställts, på motsvarande sätt som vid manuell hantering av en patientjournal när en papperskopia på en journalhandling, som en vårdgivare fått från en annan vårdgivare, bifogas patientjournalen. Regeringen framhöll härvid att det självfallet inte är tillåtet att ladda ned och lagra information som inte är nödvändig nu men som ”kan vara bra att ha”. Inte heller får det göras bara därför att informationen kan komma till nytta i den egna verksamhetsuppföljningen eller liknande. Det följer av kravet på att det ska finnas ett konkret och aktuellt vårdsyfte varje gång direktåtkomsten används. Regeringen pekade härvid på vikten av att vårdgivarna tar fram regler och rutiner som förhindrar att den sammanhållna journalföringen skapar en ny form av onödig över-
137Prop. 2007/08:126 s. 138. 138Prop. 2007/08:126 s. 138 f.
dokumentation som går tvärt emot en av intentionerna med den sammanhållna journalföringen och dessutom är negativ från integritetssynpunkt.139
16.18.4. Föreslagen reglering
Som beskrivs i avsnitt 12.3.8 anser utredningen att sammanhållen journalföring inom hälso- och sjukvården ska användas som utgångspunkt när ett förslag till ett motsvarande system med sammanhållen vård- och omsorgsdokumentation ska utformas. Utredningen anser därför att motsvarande bestämmelser om gallring och bevarande som gäller för sammanhållen journalföring ska gälla för sammanhållen vård- och omsorgsdokumentation och att ingen ändring av innebörden av dessa bestämmelser ska ske i sak. De överväganden som redogjorts för i avsnitt 16.17.3 har enligt utredningens mening därför i stor utsträckning även bäring på gallring och bevarande i systemet med sammanhållen vård- och omsorgsdokumentation. Utredningen anser därför att samma huvudprinciper bör gälla även vid sammanhållen vård- och omsorgsdokumentation. Detta gäller även med beaktande av att sammanhållen vård- och omsorgsdokumentation, till skillnad från sammanhållen journalföring, även omfattar tillgång genom annat elektroniskt utlämnande än direktåtkomst, se i avsnitt 16.3.2.
Särskilda överväganden för omsorgsgivarnas del
Eftersom det finns bestämmelser om kortaste bevarandetid i socialtjänstlagen (7 kap. 3 §) och i LSS (23 c §), anser utredningen att det av samma skäl som regeringen anfört gällande sammanhållen journalföring bör anges i den föreslagna lagen att dessa bestämmelser gäller bara för den omsorgsgivare som ansvarar för en handling, dvs. har gjort den tillgänglig i systemet med sammanhållen omsorgsdokumentation. Därmed behöver inte de omsorgsgivare som bara har potentiell tillgång till handlingen bevara den enligt de nämnda bestämmelserna.
Det ska alltså anges i lagen att om en handling är tillgänglig för en myndighet bara genom sammanhållen vård- och omsorgsdokumentation och myndigheten inte ansvarar för den, får myndigheten
gallra handlingen från sitt arkiv. Vid sammanhållen vård- och omsorgsdokumentation bör, i likhet med som vad som sägs i förarbetena till bestämmelserna om sammanhållen journalföring, enligt utredningens mening en tidigare dokumentation hos annan vård- eller omsorgsgivare normalt inte laddas ned i form av en kopia som tillfogas och lagras i den egna dokumentationen såsom en ny handling. De krav som uppställs för omsorgsgivarnas del på att dokumentationen ska utvisa beslut och åtgärder som vidtas i ärendet samt faktiska omständigheter och händelser av betydelse i 11 kap. 5 § socialtjänstlagen, kan enligt utredningens mening inte anses innebära ett krav i sig på att varje omsorgsgivare vid sammanhållen vård- och omsorgsdokumentation måste ha kompletta uppgifter.
Normalt bör det enligt utredningen vara fullt tillräckligt för att möta de behov som beskrivits i avsnitt 12.2 och 13.3 att vård- och omsorgspersonal endast tar del av den information som är tillgänglig i systemet med sammanhållen vård- och omsorgsdokumentation. Med tanke på de förslag som lämnas i fråga om åtkomstdokumentation m.m. i avsnitt 16.15, går en sådan behandling av personuppgifter alltid att rekonstruera i efterhand. Det finns således inget behov av att kopiera informationen för att i händelse av befarat rättsligt efterspel visa vad man gjort eller liknande.
Det finns alltså inte utifrån socialtjänstlagens bestämmelser något krav på myndigheter som är anslutna till ett system med sammanhållen vård- och omsorgsdokumentation att ladda ner och lagra kopior av andra vård- och omsorgsgivares dokumentation som får betydelse i den egna omsorgen. I offentlighets- och sekretesslagen föreskrivs dock att om en myndighet för handläggning av ett mål eller ärende använder sig av en upptagning för automatiserad behandling, ska upptagningen tillföras handlingarna i målet eller ärendet i läsbar form, om det inte finns särskilda skäl mot det (4 kap. 3 §). I förarbetena till patientdatalagen angavs att den bestämmelsen inte gäller journalföring i faktisk hälso- och sjukvård, annat än i speciella undantagsfall vid tvångsvård.140 När det gäller dokumentation inom socialtjänsten förhåller det sig dock enligt utredningens mening delvis annorlunda. Enligt 27 § förvaltningslagen ska en myndighet snarast dokumentera sådana uppgifter som myndigheten får på annat sätt än genom en handling och som kan ha betydelse för ett beslut i ärendet. Det ska framgå av dokumentatio-
nen när den gjorts och av vem. Dokumentation som görs tillgänglig via direktåtkomst eller annat elektroniskt utlämnande genom sammanhållen vård- och omsorgsdokumentation är tänkt att kunna användas som underlag exempelvis för biståndshandläggares beslut i ärenden om insatser. Bestämmelsen om att en sådan upptagning ska tillföras handlingarna i ärendet i läsbar form gäller således vid ärendehandläggning enligt socialtjänstlagen och LSS för omsorgsgivare som ansvarar för, dvs. beslutar om, insatser. Däremot gäller den bestämmelsen inte när insatsen utförs, eftersom det då inte är fråga om ärendehandläggning utan ett faktiskt handlande.
Utredningen anser att det även inom sammanhållen vård- och omsorgsdokumentation, liksom inom sammanhållen journalföring, kan vara svårt att helt undvika nedladdning av kopior. Ett exempel inom socialtjänstens verksamhet är situationen som nämns i stycket ovan, dvs. när omsorgsgivare beslutar om en insats kan handlingar som omsorgsgivaren tar del av hos vårdgivare eller andra omsorgsgivare vara nödvändiga att ladda ned och bevaras hos den omsorgsgivare som fattar beslutet på grund av bestämmelserna i 4 kap. 3 § offentlighets- och sekretesslagen och 27 § förvaltningslagen. Att den tidigare informationen bifogas den egna dokumentationen kan även i vissa andra undantagsfall vara av helt avgörande betydelse för att insatsen ska bli av god kvalitet. Sker en nedladdning, innebär det att en ny handling framställs, på motsvarande sätt som vid manuell hantering när en papperskopia, som en omsorgsgivare fått från en vårdgivare eller en annan omsorgsgivare, bifogas personakten. I sammanhanget kan framhållas att det självfallet inte är tillåtet att ladda ned och lagra information som inte är nödvändig vid tillfället men som kan vara bra att ha. Inte heller får det göras bara därför att informationen kan komma till nytta i den egna verksamhetsuppföljningen eller liknande. Det följer av kravet på att uppgifterna ska röra en omsorgsmottagare som får omsorgsgivarens insatser för äldre eller personer med funktionsnedsättningar eller är föremål för en utredning om att få sådana insatser från omsorgsgivaren och uppgifterna kan antas ha betydelse för sådana insatser från omsorgsgivaren, se avsnitt 16.7.2. och 16.7.3. I de fall när dokumentation blir ny dokumentation hos en senare omsorgsgivare bör hanteringen och bevarandet av den nya dokumentation följa samma regler som gäller för övrig dokumentation som har sitt ursprung i den egna verksamheten.
17. Bestämmelser om kvalitetsuppföljning
17.1. Tillämpningsområde
Utredningens förslag: Med kvalitetsuppföljning avses i den
gemensamma lagen uppföljning av kvaliteten på
1. hälso- och sjukvård som en huvudman ansvarar för enligt
hälso- och sjukvårdslagen (2017:30), och
2. insatser för äldre och personer med funktionsnedsättningar
som en kommun eller en region ansvarar för enligt socialtjänstlagen (2001:453) och lagen (1993:387) om stöd och service till vissa funktionshindrade. Lagen gäller bara för sådan kvalitetsuppföljning som innebär att personuppgifter samlas in från andra vårdinstanser eller omsorgsgivare.
Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.
Med vårdinstans avses myndighet som har ansvar för eller bedriver hälso- och sjukvård (offentlig vårdinstans) och juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdinstans).
17.1.1. Innebörden av begreppet kvalitetsuppföljning
Det är utredningens avsikt att begreppet kvalitetsuppföljning ska ges en vid tolkning i den föreslagna lagen. Kvalitetsuppföljning ska omfatta sådana åtgärder som på olika sätt syftar till och är ägnade att förbättra eller utveckla vården och omsorgen. Som tidigare nämnts i avsnitt 14.3 handlar valet av begreppet kvalitetsuppföljning inte om
att särskilja åtgärder som ska ingå i just kvalitetsuppföljning från åtgärder som ingår i andra, närliggande begrepp som kvalitetssäkring eller verksamhetsuppföljning.
I begreppet kvalitetsuppföljning kan alltså ingå sådan behandling av personuppgifter som avses i 2 kap. 4 § första stycket 4 och 5 patientdatalagen (2008:355) (PDL) som riktar sig till vårdgivare (behandling för att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten och administration, planering, uppföljning, utvärdering och tillsyn av verksamheten). På motsvarande sätt kan sådana åtgärder som omfattas av 12 § 10 förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten (SoLPUF) ingå när det gäller kommunala myndigheter, dvs. att behandla personuppgifter för tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten.
Med begreppet kvalitetsuppföljning avses således olika åtgärder som i vid mening syftar till och är ägnade att förbättra och utveckla kvaliteten inom vård- och omsorg. Det kan t.ex. handla om att synliggöra förekomsten av risktillbud eller s.k. avvikande händelser (onormala vårdtider, infektioner, komplikationer, återinläggningar etc.) eller att mäta servicegrad och nöjdhet hos patienter och omsorgsmottagare. Det kan också handla om att en nämnd som beställt en hälso- och sjukvårdstjänst eller en omsorgstjänst av privata utförare följer upp att personer får den insats som beställts samt analysera insatsens kvalitet utifrån olika aspekter. Det kan också handla om att följa upp ett vårdförlopp eller en process som omfattar flera vårdinstanser och omsorgsgivare. Tanken är inte att kvalitetsuppföljning ska användas för att följa upp hur vården eller omsorgen fallit ut på individnivå, utan kvalitetsuppföljning är något som ska ske på verksamhetsnivå och ta sikte på större skeden och processer.
Som utredningen framhållit (se avsnitt 15.1.2) gäller den gemensamma lagen just när personuppgifter från andra vårdinstanser och omsorgsgivare behandlas. Om kopplingen till personuppgifter väl tas bort, och det rör sig om data utan koppling till fysiska personer, får den kunskap som genererats inom ramen för kvalitetsuppföljningen givetvis användas på det sätt som regionen eller kommunen finner lämpligt. I det skedet finns såvitt utredningen kan bedöma inget hinder mot att man använder modern teknik och exempelvis samkör data eller använder sig av AI-tekniker för att med hjälp av
algoritmer ta fram beslutsstöd som kan användas i det preventiva arbetet och komma till nytta i den individuella vården och omsorgen.
I begreppet kvalitetsuppföljning ligger att uppföljningen ska ske planmässigt. Det ligger i sakens natur att planen för kvalitetsuppföljningen måste dokumenteras skriftligt. Att utan någon strukturerad plan hämta in personuppgifter om en patient eller omsorgsmottagare från en annan vårdinstans eller omsorgsgivare bara för att det i det enskilda fallet finns misstankar om brister i kvaliteten är inte sådan kvalitetsuppföljning som avses.
Som framgår av avsnitt 17.3.1 är en förutsättning för kvalitetsuppföljning enligt den föreslagna lagen att den har beslutats av det högsta (politiska) organet i en region eller kommun. Av beslutet ska bl.a. framgå för vilka särskilda och berättigade ändamål som de insamlade personuppgifterna ska behandlas, dvs. ett konkret angivande av varför personuppgifterna ska behandlas. Mot den bakgrunden anser utredningen att den beskrivning av begreppet kvalitetsuppföljning som här lämnas är tillräcklig. Begreppet får i sina detaljer konkretion av de beslut som fattas på högsta politiska kommunala nivå. Begreppet kvalitetsuppföljning bildar bara en yttersta ram för detta politiska beslutsfattande.
17.1.2. Innebörden av begreppet vårdinstans
För att förenkla lagtexten krävs definitioner av det organ som ska vara personuppgiftsansvarigt för behandlingen av personuppgifter enligt beslutet om kvalitetsuppföljning och de organ från vilka personuppgifter får samlas in för kvalitetsuppföljningen. Enligt utredningen förefaller det lämpligast att det vid kvalitetsuppföljning är samma typ av organ som avses inom både den offentliga hälso- och sjukvården och den offentliga socialtjänsten.
Begreppen vårdgivare och omsorgsgivare, som används i fråga om sammanhållen vård- och omsorgsdokumentation, är olika konstruerade när det gäller det offentliga. Med omsorgsgivare avses den myndighet (nämnd) inom en region eller kommun som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar. Begreppet vårdgivare, som det används vid sammanhållen vård- och omsorgsdokumentation, är emellertid annorlunda konstruerat (se avsnitt 16.1.8). Inom den offentliga hälso- och sjukvården är det näm-
ligen den juridiska personen, dvs. regionen eller kommunen, som är vårdgivare enligt definitionerna i den föreslagna lagen och patientdatalagen. Hos regioner och kommuner finns nämnder (myndigheter) som utövar ledningen av eller utför den faktiska hälso- och sjukvården. Dessa nämnder är dock inte vårdgivare enligt definitionerna. Med offentliga vårdgivare avses således (hela) regionen eller kommunen och inte varje myndighet (nämnd) inom regionen eller kommunen. Frågan är om begreppen vårdgivare och omsorgsgivare kan användas beträffande regleringen av kvalitetsuppföljning.
Begreppet vårdgivare, som alltså syftar på hela regionen eller kommunen, är nödvändigt att använda i fråga om vård- och omsorgsdokumentation, eftersom avsikten är att vad som i dag gäller för sammanhållen journalföring inte ska förändras. I fråga om behandling av personuppgifter för kvalitetsuppföljning, som i dag inte är föremål för särskild reglering, är det däremot inte nödvändigt att anknyta till begreppet vårdgivare.
Om det avsedda organet vore hela regionen eller hela kommunen, skulle det bli fritt för en myndighet att utan fullmäktigebeslut samla in personuppgifter för kvalitetsuppföljning från andra myndigheter i samma region eller kommun. Att det avsedda organet i stället utgörs av varje aktuell myndighet (nämnd) inom en region eller kommun ger det bästa integritetsskyddet, eftersom insamling av personuppgifter för kvalitetsuppföljning från flera myndigheter inom en region eller kommun då förutsätter ett beslut av fullmäktige. Samtidigt inskränks inte den kommunala självbestämmanderätten, eftersom det är regionen eller kommunen som kan besluta om kvalitetsuppföljningen.
Inom en kommunal offentlig vårdgivare är redan i dag varje myndighet (nämnd) personuppgiftsansvarig (2 kap. 6 § första stycket PDL). I regioner och kommuner är varje nämnd en egen myndighet. Därför anser utredningen att det organ som pekas ut vid kvalitetsuppföljning ska vara varje myndighet (nämnd) inom en region eller kommun. Begreppet omsorgsgivare1 kan därmed användas även vid kvalitetsuppföljning, medan det för vårdens del behövs ett begrepp med annan innebörd än den som vårdgivare har vid sammanhållen vård- och omsorgsdokumentation.
1 Omsorgsgivare definieras enligt den föreslagna lagen som myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar (offentlig omsorgsgivare) och juridisk person eller enskild näringsidkare som utför sådana insatser (privat omsorgsgivare).
Det är direkt olämpligt att i en och samma lag använda samma uttryck i olika betydelser, eftersom det kan leda till missförstånd. Därför behövs ett nytt begrepp. Begreppet vårdinstans förefaller lämpligt. Det är nytt i den meningen att det inte redan används i någon lag eller förordning och inte heller definieras i Socialstyrelsens termbank. Begreppet är också beskrivande och för tankarna till en av flera instanser inom vården. Begreppet vårdinstans bör därför användas för att beteckna myndighet (nämnd) som har ansvar för eller bedriver hälso- och sjukvård (offentlig vårdinstans) och juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdinstans).
I regioner och kommuner är som sagt varje nämnd en egen myndighet. Med offentlig vårdinstans, dvs. myndighet som har ansvar för eller bedriver hälso- och sjukvård, avses en nämnd inom en region eller kommun. Det innebär att t.ex en klinik, vårdcentral eller sjukhusavdelning inte är en offentlig vårdinstans enligt definitionen.
Observera att privata aktörer som bedriver hälso- och sjukvård i och för sig är vårdinstanser, utifrån den definition som föreslås. En förutsättning för att utpekas som en sådan vårdinstans som kan omfattas av ett beslut om kvalitetsuppföljning är dock att regionen eller kommunen har ansvar för den bedrivna hälso- och sjukvården. En privat vårdinstans, som inte har något uppdrag eller någon finansiering från en offentlig vårdinstans, kan därmed inte omfattas av ett beslut om kvalitetsuppföljning.
17.1.3. Lagen gäller bara vid kvalitetsuppföljning med personuppgifter från flera vårdinstanser eller omsorgsgivare
Utredningens uppdrag är att se över regelverket och vid behov föreslå en utvidgad informationsöverföring för kvalitetsuppföljning mellan olika vårdinstanser, omsorgsgivare och mellan vårdinstanser och omsorgsgivare i förhållande till varandra.
När det gäller kvalitetsuppföljning av hälso- och sjukvård inom en vårdgivare (region eller kommun på den offentliga sidan) regleras detta av ändamålsbestämmelserna i 2 kap. 4 § patientdatalagen. Av bestämmelsen följer att personuppgifter som primärt samlas in därför att de behövs i den individinriktade patientverksamheten, s.k. vårddokumentation, får användas för verksamhetsuppföljning på ett
mer eller mindre övergripande plan inom verksamheten.2 Bestämmelsen ger rättsliga förutsättningar för regioner och kommuner – och privata vårdgivare – att behandla personuppgifter för att följa upp sin egen verksamhet inom hälso- och sjukvården.3 När det gäller verksamhet inom socialtjänsten får en kommunal nämnd, enligt 12 § 10 SoLPUF, behandla personuppgifter för tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten. Någon motsvarande bestämmelse finns inte för privata omsorgsgivare. Bestämmelserna i patientdatalagen och SoLPUF tillåter enligt Datainspektionen bara behandlingen av sådana personuppgifter som härrör från den personuppgiftsansvariges egen verksamhet (se närmare avsnitt 14.4.4 under rubriken Datainspektionens beslut om samkörning av personuppgifter för gemensam verksamhetsuppföljning).
Utredningen har i tidigare avsnitt bedömt att det finns ett klart och berättigat behov av att göra kvalitetsuppföljningar med personuppgifter från flera vårdinstanser eller omsorgsgivare i syfte att förbättra och säkra kvaliteten på den vård eller omsorg man ansvarar för. Detta grundar utredningen bl.a. på följande. Det finns ett antal regelverk som kräver att vårdinstanser och omsorgsgivare samarbetar med varandra runt individer. Regioner och kommuner har ett berättigat intresse av att kunna följa upp sådan vård och omsorg som finansieras med offentliga medel. Kvalitetsuppföljning av hela vård- och omsorgsprocesser med olika vårdinstanser och omsorgsgivare involverade är nödvändig för att en god och säker vård och omsorg ska kunna uppnås.4 Beslut från Datainspektionen, uttalanden från tidigare utredningar samt exempel från verksamhetsföreträdare ger därtill en samstämmig bild av att tillräcklig kvalitetsuppföljning med personuppgifter från flera vårdinstanser eller omsorgsgivare inte kan ske med dagens lagstiftning, trots att det gäller insatser som sker inom en vårdinstans eller omsorgsgivares ansvarsområde.
Utredningen föreslår därför bestämmelser som ger möjlighet att samla in och annars behandla personuppgifter från flera vårdinstanser och omsorgsgivare för kvalitetsuppföljning avseende en regions
2 Se 2 kap. 4 § 3 och 4 patientdatalagen. Sådan behandling får ske även utan samtycke från den enskilde (2 kap. 2 § PDL). Att sekretessen i sådana fall bryts till förmån för en annan hälso- och sjukvårdande myndighet inom samma eller region framgår av bestämmelsen i 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen (2009:400). 3Prop. 2007/08:126 s. 174 f. 4 Se avsnitt 14.6 för utredningens avvägning mellan behov och integritetsrisker.
eller kommuns ansvarsområde. Avsikten med de föreslagna bestämmelserna är att en vårdinstans eller omsorgsgivare, med hjälp av personuppgifter som samlas in från andra vårdinstanser eller omsorgsgivare, ska kunna följa upp kvaliteten i den verksamhet som en region eller en kommun ansvarar för.
Det kan t.ex. handla om att en region eller kommun behöver följa upp en vård- och omsorgsprocess för grupper av patienter eller omsorgsmottagare som rör sig mellan olika vårdinstanser eller omsorgsgivare med hjälp av personuppgifter från alla berörda vårdinstanser och omsorgsgivare.
Bestämmelserna om kvalitetsuppföljning i den föreslagna lagen kompletterar de regler i patientdatalagen, lagen (2001:454) om behandling av personuppgifter inom socialtjänsten (SoLPUL) och SoLPUF som redan tillåter kvalitetsuppföljning. Bestämmelserna i den föreslagna lagen ska bara tillämpas när personuppgifter behöver samlas in från flera vårdinstanser eller omsorgsgivare för kvalitetsuppföljning avseende en regions eller kommuns ansvarsområde. Det finns som nämnts redan regler som avser kvalitetssäkring och uppföljning m.m. inom en vårdinstans eller en omsorgsgivare. Dessa regler ska även i fortsättningen tillämpas i de fall när enbart personuppgifter från den egna organisationen används.
Utredningsuppdraget är begränsat till att se över möjligheterna till en utvidgad informationsöverföring för kvalitetsuppföljning. Den föreslagna lagstiftningen innebär därför ingen uppgiftsskyldighet utan ger bara en möjlighet att samla in personuppgifter som andra vårdinstanser eller omsorgsgivare är beredda att lämna ut.
17.1.4. Kvalitetsuppföljningen får avse hälso- och sjukvård och socialtjänstens insatser för äldre och personer med funktionsnedsättningar
Utredningens förslag kompletterar bl.a. bestämmelserna i patientdatalagen. Hälso- och sjukvård har något varierande definitioner i olika författningar. Utredningen bedömer att det framstår som mest ändamålsenligt att låta begreppet hälso- och sjukvård vara samma som enligt definitionen i patientdatalagen.
Med hälso- och sjukvård avses således verksamhet som avses i hälso- och sjukvårdslagen (2017:30) (förkortad HSL), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen
(1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering (1 kap. 3 § PDL).
När det gäller kvalitetsuppföljning inom socialtjänsten anger utredningens direktiv att denna möjlighet ska gälla endast socialtjänst för äldre och personer med funktionsnedsättningar. Utredningen har i avsnitt 16.1.2 gjort en detaljerad genomgång av vilka insatser som ska omfattas av de förslagna bestämmelserna om sammanhållen vård- och omsorgsdokumentation. Utredningen bedömer att det är lämpligt att knyta den utvidgade möjligheten till kvalitetsuppföljning till just dessa insatser. Det framstår som det mest rationella, för att undvika att skapa gränsdragningsproblem. Det torde också gynna tillämparna om de kan bygga sina it-system utifrån definitionen av insatser för äldre eller personer med funktionsnedsättningar i den föreslagna lagen i stället för att införa ytterligare en definition av vad som avses med insatser för äldre och personer med funktionsnedsättningar.
Kvalitetsuppföljning ska därför omfatta insatser för sådana omsorgsmottagare som en kommun eller en region ansvarar för enligt socialtjänstlagen (2001:453) (SoL) eller lagen (1993:387) om stöd och service till vissa funktionshindrade (LSS). Med omsorgsmottagare avses en person som fått eller får insatser för äldre eller personer med funktionsnedsättningar eller som fått eller får behovet av sådana insatser bedömda (se definitionen i den föreslagna lagen). För en närmare beskrivning av vad som innefattas i insatserna hänvisas till avsnitt 16.1.2.
Utredningen anser att också personuppgifter som rör barn bör få ingå i kvalitetsuppföljning. Uppgifter om barn anses visserligen vara extra skyddsvärda och förtjänar därför ett särskilt skydd. Det anges i dataskyddsförordningen att sådant särskilt skydd bör gälla i synnerhet när barns personuppgifter ska användas i marknadsföringssyfte eller för att skapa personlighets- eller användarprofiler (skäl 38). Enligt utredningens förslag ska personuppgifterna inte användas i kommersiella syften utan ingå i kvalitetsuppföljning, som ett led i att förbättra och utveckla kvaliteten i hälso- och sjukvården och socialtjänsten. Det handlar om en behandling av personuppgifter som vilar
på den rättsliga grunden arbetsuppgift av allmänt intresse. Utredningen anser därför att det vore olyckligt att generellt undanta den stora grupp patienter och omsorgsmottagare som är barn från att ingå i kvalitetsuppföljning. Barns personuppgifter får följaktligen ingå vid kvalitetsuppföljning när det gäller hälso- och sjukvård respektive insatser vid funktionsnedsättningar. Uppgifter om barn är inte aktuella vid kvalitetsuppföljning av insatser för äldre. Se avsnitt 17.5.3 om barns och deras vårdnadshavares möjlighet att motsätta sig kvalitetsuppföljning.
17.1.5. Kvalitetsuppföljning av verksamhet inom regionens eller kommunens ansvarsområde
Den föreslagna lagen gäller för kvalitetsuppföljning av sådan hälso- och sjukvård respektive sådana socialtjänstinsatser för äldre eller personer med funktionsnedsättningar som en region eller kommun
ansvarar för. Nyckelordet är alltså ansvar; en region eller kommun
får besluta att följa upp sådan verksamhet som den ansvarar för oberoende av vem som utför verksamheten.
Av avsnitt 17.3.1 framgår att kvalitetsuppföljning förutsätter ett fullmäktigebeslut i vilket det ska anges bl.a. vilken vårdinstans eller omsorgsgivare som är personuppgiftsansvarig för behandlingen av personuppgifter vid kvalitetsuppföljningen.
Fullmäktige hos regionen eller kommunen får således besluta om kvalitetsuppföljning av hela den verksamhet (hälso- och sjukvård respektive socialtjänstinsatser för äldre eller personer med funktionsnedsättningar) som regionen eller kommunen ansvarar för. Fullmäktige ska emellertid peka ut en vårdinstans eller omsorgsgivare (dvs. en myndighet/nämnd eller ett privat företag) som personuppgiftsansvarig. För beskrivning av innebörden av begreppen vårdinstans och omsorgsgivare enligt den föreslagna lagen, se avsnitt 17.1.2. Det är bara den utpekade personuppgiftsansvarige som får samla in personuppgifter från andra vårdinstanser eller omsorgsgivare för den beslutade kvalitetsuppföljningen. Personuppgifterna får om det behövs samlas in från andra vårdinstanser eller omsorgsgivare med verksamhet inom eller utanför den beslutsfattande regionen eller kommunen. Generellt kan sägas att när det handlar om insatser som regionen eller kommunen betalar för, är det regionen eller kommunen som ansvarar och därmed har fullmäktige möjlighet att besluta om kvalitetsuppföljning.
Den utpekade personuppgiftsansvarige kan vara en offentlig eller privat vårdinstans eller omsorgsgivare. Därmed kan de privata vårdinstansernas och omsorgsgivarnas eventuella behov av att utföra kvalitetsuppföljning med personuppgifter från andra vårdinstanser eller omsorgsgivare tillgodoses.
Även statliga myndigheter kan bedriva hälso- och sjukvård eller socialtjänst. Eftersom kvalitetsuppföljning bara får gälla den hälso- och sjukvård respektive socialtjänst som den beslutande regionen eller kommunen ansvarar för, utesluts dock kvalitetsuppföljning av sådan hälso- och sjukvård eller socialtjänst som statliga myndigheter ansvarar för.
Utanför den föreslagna lagen faller kvalitetsuppföljning av privat hälso- och sjukvård som inte någon region eller kommun ansvarar för. Den helt privatfinansierade hälso- och sjukvården faller alltså utanför regionens ansvar. En sådan vårdgivare kan med stöd av 2 kap. 4 § patientdatalagen följa upp sin egen verksamhet inom hälso- och sjukvården. Även privata omsorgsgivares insatser för äldre eller personer med funktionsnedsättningar som inte utförs som socialtjänst på uppdrag av en kommun eller en region, t.ex. städning med RUT-avdrag för en åldring, faller också utanför lagens tillämpningsområde.
Som tidigare beskrivits finns det många former av samverkan mellan myndigheter eller privata företag, dvs. mellan vårdinstanser eller omsorgsgivare. Det kan t.ex. handla om samverkan kring en viss individ som kräver samordnade vårdplaner inom vård och omsorg, samverkan i gemensam nämnd eller avtalssamverkan. Oavsett formerna för samverkan är en en region eller kommun alltid ytterst ansvarig för sin respektive del. Man har följaktligen kvar ansvaret även vid samverkan. Det innebär att vid samverkan får fullmäktige besluta om kvalitetsuppföljning bara avseende den del av samarbetet som den aktuella regionen eller kommunen själv ansvarar för. De personuppgifter som behandlas vid kvalitetsuppföljningen kan emellertid samlas in från någon annan, t.ex. från samverkanspartnern.
Nedan görs en närmare genomgång och exemplifiering av vad som i olika sammanhang menas med insatser som en region eller kommun ansvarar för på så sätt att fullmäktige hos denne får besluta om kvalitetsuppföljning. Exemplifieringen är tänkt att tjäna till vägledning, men är inte avsedd att vara uttömmande. Det kan finnas andra sammanhang där en region eller kommun ansvarar för vård eller omsorg på så sätt att bestämmelserna om kvalitetsuppföljning kan tillämpas.
Regioners och kommuners ansvar för vård och omsorg
Regionernas respektive kommunernas befogenheter och åligganden inom vården och omsorgen framgår huvudsakligen av olika speciallagar såsom hälso- och sjukvårdslagen och socialtjänstlagen. Begreppet ansvar ska i detta sammanhang förstås utifrån bestämmelserna om huvudmans ansvar enligt hälso- och sjukvårdslagen respektive ansvaret enligt socialtjänstlagen och LSS för insatser för äldre eller personer med funktionsnedsättningar. Regioner och kommuner kan inte utan uttryckligt lagstöd överlåta ansvaret mellan varandra eller till någon annan.
Enligt 2 kap. 2 § hälso- och sjukvårdslagen avses med huvudman den region eller kommun som enligt den lagen ansvarar för att erbjuda hälso- och sjukvård. Inom en huvudmans geografiska område kan en eller flera vårdgivare (myndigheter eller privata företag) bedriva verksamhet. Regionen har det övergripande ansvaret för att erbjuda hälso- och sjukvård åt personer som är bosatta inom regionen (8 kap. 1 § HSL). Kommuner har ansvaret för att erbjuda en god hälso- och sjukvård åt äldre och personer med funktionsnedsättningar som efter beslut av kommunen bor i särskilda boendeformer enligt socialtjänstlagen. Kommunen ska även erbjuda hälso- och sjukvård åt dem som vistas i sådan dagverksamhet som avses i 3 kap. 6 § socialtjänstlagen (12 kap. 1 § HSL). Medan regionen enligt hälso- och sjukvårdslagen har ansvar för hälso- och sjukvård för alla invånare i regionen, är kommunens ansvar för hälso- och sjukvård avgränsat till att avse dessa särskilt utpekade grupper av patienter (”äldre och funktionshindrade”).
Varje kommun svarar för socialtjänsten inom sitt område och har det yttersta ansvaret för att enskilda får det stöd och den hjälp som de behöver (2 kap. 1 § SoL). Kommunens arbetsuppgifter inom socialtjänsten framgår av socialtjänstlagen. Kommunen har också ansvar enligt LSS för personer med vissa funktionsnedsättningar. Kommunfullmäktige får, på motsvarande sätt som inom hälso- och sjukvården, besluta om kvalitetsuppföljning av sådana insatser som utförs av myndigheter och privata företag inom dess ansvarsområde. Utredningens direktiv omfattar emellertid inte all verksamhet enligt socialtjänstlagen. Direktiven avgränsar kvalitetsuppföljning inom socialtjänst till att avse äldre och personer med funktionsnedsättningar. I avsnitt 16.1.2 har utredningen på ett detaljerat sätt redo-
gjort för vilka insatser och vilka kategorier av personer som kan omfattas av sammanhållen vård- och omsorgsdokumentation, varför detta inte beskrivs närmare här. Motsvarande insatser som enligt förslaget om sammanhållen omsorgsdokumentation inom socialtjänsten, ska finnas möjlighet att följa upp genom kvalitetsuppföljning.
Att regionens eller kommunens ansvar kvarstår när uppgifter överlämnas genom avtal till privata utförare följer också av kommunallagens (2017:725), förkortad KL, bestämmelser. Utredningen har i avsnitt 8.6 beskrivit att ansvaret kvarstår för regioner och kommuner när dessa anlitar privata utförare av vård och omsorg. Kommunallagen föreskriver vidare att när skötseln av en kommunal angelägenhet genom avtal har lämnats över till en privat utförare, ska regionen eller kommunen kontrollera och följa upp verksamheten (10 kap. 8 § KL). Detta innebär att regionen eller kommunen har det yttersta ansvaret även för förvaltningsuppgifter som har anförtrotts åt en entreprenör. Paragrafen slår fast att överföring av förvaltningsuppgift till en entreprenör ska föregås av ett fullmäktigebeslut med villkor som gör det möjligt för regionen eller kommunen att kontrollera och följa verksamheten, vilken i dag inte omfattas av offentlighetsprincipen.5 När privata utförare anlitas av en region eller kommun för att utföra vård eller omsorg, kvarstår således regionens eller kommunens ansvar. Det innebär att en region eller kommun ansvarar för sådan vård och omsorg som de privata utförarna utför. Fullmäktige bör därför ha möjlighet att besluta om kvalitetsuppföljning av verksamheten för att följa upp resultat och kostnader för de insatser som de privata vårdinstanserna och omsorgsgivarna utför, med personuppgifter från de privata utförarna. Motsvarande gäller när en region eller kommun anlitar en offentlig vårdinstans eller omsorgsgivare utanför regionen eller kommunen för att utföra vården eller omsorgen.
Personuppgifterna får alltså samlas in från vårdinstanser och omsorgsgivare inom eller utanför den beslutande regionen eller kommunen. Avgörande är att den verksamhet som kvalitetsuppföljningen avser ingår i den beslutande regionens eller kommunens ansvar.
5 Olle Lundin och Tom Madell, Kommunallagen, kommentaren till 10 kap. 8 §, JUNO, version 2A.
Några exempel på vad som menas med ansvar inom hälso- och sjukvårdsverksamhet
När det gäller hemsjukvård ligger det formella ansvaret på regionen. Kommunerna har dock möjlighet att på frivillig väg erbjuda personer som vistas i kommunen hemsjukvård (12 kap. 2 § HSL). Regionen har även möjlighet att överlåta skyldigheten att erbjuda hemsjukvård till en kommun inom regionen genom en särskild överenskommelse. Överenskommelsen får inte avse ansvar för sådan hälso- och sjukvård som ges av läkare (14 kap. 1 § HSL).
Det innebär att i de fall en region och en kommun har ingått en överenskommelse i enlighet med hälso- och sjukvårdslagen om att överlåta ansvaret för hemsjukvården till kommunen, har kommunen möjlighet att använda kvalitetsuppföljning för att följa upp den hemsjukvård som kommunen ansvarar för enligt överenskommelsen. Regionen får i sin tur följa upp de insatser där regionen har ett kvarstående ansvar, dvs. för läkarinsatser.
Kvalitetsuppföljning får avse sådan hälso- och sjukvårdsverksamhet som regionen eller kommunen ansvarar för, även när den utförs av någon annan. Så är exempelvis fallet när en region eller kommun anlitar en privat utförare med stöd av lagen (2008:962) om valfrihetssystem.
Ett annat exempel på när ansvaret, i den mening som utredningen avser, kvarstår på regionen är när en region betalar ersättning till privata läkare eller fysioterapeuter som etablerat sig i regionen enligt lagen (1993:1651) om läkarvårdsersättning eller lagen (1993:1652) om ersättning för fysioterapi. Lagarna innehåller bestämmelser om ersättning till privatpraktiserande läkare respektive fysioterapeuter i den öppna hälso- och sjukvården. När en läkare eller fysioterapeut har etablerat sig inom en region och får ersättning med offentliga medel enligt de nämnda lagarna, kvarstår regionens yttersta ansvar för hälso- och sjukvården i den mening som utredningen avser. Att ansvaret kvarstår hos regionen följer redan av de allmänna bestämmelserna i kommunallagen (se t.ex. 6 kap. 6 § KL och 10 kap. 8 och 9 §§ KL). Lagen om läkarvårdsersättning och lagen om ersättning för fysioterapi innehåller dessutom bestämmelser som ger regionen möjlighet att genomföra verksamhetsuppföljning och samtidigt en skyldighet för läkarna respektive fysioterapeuterna att vid en verksam-
hetsuppföljning lämna ut uppgifter till regionen.6 I samband med att lagarna infördes uttalade regeringen att sjukvårdshuvudmannens ansvar för planering och finansiering av hälso- och sjukvården medför ett stort och berättigat behov av att följa upp verksamheten på ett sätt som totalt ger ett bra resultat i hela hälso- och sjukvården med avseende på kostnader, effektivitet och kvalitet.7 Motsvarande argument om huvudmannens (dvs. regionens) totalansvar och därmed berättigade intresse att följa upp kvaliteten hos privatpraktiserande läkare och fysioterapeuter gör sig gällande vid utredningens förslag om kvalitetsuppföljning.
Regionen har alltså ansvar för vården på så sätt att regionfullmäktige bör ha möjlighet att besluta om kvalitetsuppföljning av verksamhet som bedrivs enligt lagen om läkarvårdsersättning eller lagen om ersättning för fysioterapi.
Även inom tandvården gäller att en region har det yttersta ansvaret inom regionen, även när den faktiska tandvården utförs av någon annan. Varje region ska erbjuda en god tandvård åt dem som är bosatta inom regionen. Tandvård som regionen själv bedriver benämns folktandvård. En region får sluta avtal med någon annan om att utföra de uppgifter som regionen och dess folktandvård ansvarar för enligt tandvårdslagen (5 § tandvårdslagen). En privat vårdgivare inom tandvården är skyldig att på begäran av regionen för uppföljning och utvärdering lämna uppgifter om munhälsobedömning, undersökning eller behandling (11 § tandvårdsförordningen [1998:1338]). När regionen har slutit avtal med privata utförare om att utföra sådan tandvård, som regionen och dess folktandvård ansvarar för enligt tandvårdslagen, kvarstår regionens ansvar för tandvården på så sätt att regionfullmäktige bör ha möjlighet att besluta om kvalitetsuppföljning av tandvårdsverksamheten.
Helt privatfinansierad hälso- och sjukvård faller däremot utanför regionens ansvar och får inte ingå i kvalitetsuppföljningen.
6 I bestämmelserna anges att en läkare som begär läkarvårdsersättning respektive en fysioterapeut som begär fysioterapiersättning ska medverka till att den egna verksamheten kan följas upp och utvärderas. Läkaren respektive fysioterapeuten ska årligen till regionen lämna en redovisning med uppgifter om bl.a. utförda vårdåtgärder och antalet patientbesök. Läkaren och fysioterapeuten ska på begäran av regionen lämna upplysningar och visa upp patientjournal samt övrigt material som rör behandling av en patient och som behövs för kontroll av begärd ersättning (25 § lagen om läkarvårdsersättning respektive 26 § lagen om ersättning för fysioterapi). 7Prop. 1993/94:75 s. 60.
Nationell högspecialiserad vård (s.k. rikssjukvård) är en särskild form av hälso- och sjukvård som regioner kan få tillstånd att bedriva efter ansökan hos Socialstyrelsen.8 Av Socialstyrelsens föreskrifter om nationell högspecialiserad vård (HSLF-FS 2018:48) följer att regionen har ansvar för att verksamheten uppfyller de generella villkoren i 4 kap. i föreskrifterna och de specifika villkoren i beslutet om tillstånd. Om en region sluter avtal med en privat vårdgivare om att denne ska utföra vården, ska regionen ansvara för att verksamheten uppfyller villkoren (4 kap. 1 § föreskrifterna). Utredningen ser ingen anledning att göra skillnad på regioners ansvar för hälso- och sjukvård som de utför direkt utifrån hälso- och sjukvårdslagen och den hälso- och sjukvård som de utför utifrån tillstånd från Socialstyrelsen. En region ansvarar följaktligen för den rikssjukvård som regionen bedriver med stöd av tillstånd av Socialstyrelsen. Regionen bör därför få besluta om kvalitetsuppföljning avseende sådan rikssjukvård. En region som remitterar sina patienter till en annan region för att där få rikssjukvård, har inte ansvar för själva rikssjukvården. En annan sak är att remitterande region kan ha ansvar för andra delar av patientens hälso- och sjukvård.
Det är inget som hindrar att region och kommun tillsammans väljer att följa upp en vård- och omsorgsprocess som involverar både vårdinstanser och omsorgsgivare, genom att initiera en kvalitetsuppföljning (det som ibland kallas gemensam verksamhetsuppföljning). Det finns inte heller några hinder mot att en region som bedriver rikssjukvård tillsammans med remitterande regioner samverkar för att genomföra en gemensam kvalitetsuppföljning av vårdkedjan. Vid gemensam verksamhetsuppföljning krävs dock ett särskilt beslut av det högsta beslutande organet i respektive samverkande region och kommun avseende den del av vården och omsorgen som regionen eller kommunen ansvarar för. Personuppgifterna som behandlas, får dock hämtas från vårdinstanser och omsorgsgivare i en andra kommuner eller regioner, när detta behövs för den beslutade kvalitetsuppföljningen. Vid en regions eller kommuns kvalitetsuppföljning av sin egen del i en vård- eller omsorgsprocess med flera vårdinstanser eller omsorgsgivare inblandade lär det regelmässigt behövas personuppgifter från alla eller åtminstone någon av de andra medverkande vårdinstanserna och omsorgsgivarna.
8 Se 2 kap. hälso- och sjukvårdsförordningen (2017:80) m.m. angående förfarandet med nationell högspecialiserad vård.
Särskilt om ansvarsfördelningen enligt LSS
Enligt LSS finns det en särskild ansvarsfördelning mellan kommun och region. Varje kommun ska svara för de flesta insatserna (insatser enligt 9 § 2–10 LSS), medan regionen ska ansvara för rådgivning och annat personligt stöd som ställer krav på särskild kunskap om problem och livsbetingelser för människor med stora och varaktiga funktionshinder (9 § 1 LSS). Det innebär att kommunfullmäktige som utgångspunkt får besluta om kvalitetsuppföljning av alla insatser enligt lagen utom sådan rådgivning och personligt stöd som regionen ansvarar för, där regionfullmäktige i stället får besluta om kvalitetsuppföljningen.
En region och en kommun som ingår i regionen får sluta avtal om att ansvar för en eller flera arbetsuppgifter enligt LSS överlåts från regionen till kommunen eller från kommunen till regionen. Om en sådan överlåtelse sker, ska föreskrifterna i LSS om region eller kommun gälla för den till vilken uppgiften överlåtits (17 § andra stycket LSS). Om region och kommun har överenskommit om en annan ansvarsfördelning än den som följer direkt av lagen, får det som överenskommits om ansvar genomslag när det gäller vem som får besluta om kvalitetsuppföljning. Region- respektive kommunfullmäktige får då besluta om kvalitetsuppföljning av de insatser regionen respektive kommunen ansvarar för till följd av överenskommelsen.
Utöver avtalssamverkan enligt 9 kap. 37 § kommunallagen får en region eller kommun med bibehållet ansvar sluta avtal med en enskild person om att tillhandahålla insatser enligt LSS (17 § första stycket LSS). Om ett sådant avtal sluts, kvarstår alltså ansvaret, och därmed möjligheten för fullmäktige att besluta om kvalitetsuppföljning av insatserna, på regionen respektive kommunen.
Ansvar vid samverkan mellan region och kommun inom vård eller omsorg
När regioner och kommuner samverkar inom vård och omsorg ska fullmäktige ha möjlighet att besluta om kvalitetsuppföljning av den del i samverkan regionen respektive kommunen själv ansvarar för. Vid den beslutade kvalitetsuppföljningen kan nödvändiga person-
uppgifter samlas in från de vårdinstanser eller omsorgsgivare som ingår i samverkan.
I de fall regioner och kommuner samverkar med stöd av författning eller genom avtalssamverkan eller andra former av samverkan inom vård eller omsorg, är ansvarsfördelningen avgörande för vem som har möjlighet att besluta om kvalitetsuppföljning. Det är därför viktigt att de som samverkar har klart för sig vem som ansvarar för vilka insatser. Utredningen utgår från att detta i de flesta fall inte vållar några problem. Ansvaret för respektive insats följer av lag och det framgår också av lag i vilka fall och former det lagstadgade ansvaret kan överlåtas på annan.
Som utredningen redogjort för kan samverkan mellan regioner och kommuner ske i olika former. Gemensam nämnd, kommunalförbund och avtalssamverkan enligt 9 kap. 37 § kommunallagen är några exempel på detta. Det finns också ett antal regelverk och situationer som kräver att regioner och kommuner samverkar kring en person. Det gäller bl.a. samverkan kring personer i särskilt boende, insatser vid utskrivning från sluten vård samt insatser för äldre och personer med funktionsnedsättningar. Det kan även finnas andra regelverk och sammanhang som kräver samverkan mellan regioner och kommuner, som utredningen inte nämner. Motsvarande principer ska gälla även då, dvs. det är fullmäktige i den region eller kommun som i enlighet med lag ytterst ansvarar för en insats som får besluta om kvalitetsuppföljning avseende insatsen. För tydlighets skull bör framhållas att tanken inte är att det ska beslutas om kvalitetsuppföljning avseende en person som det samverkats kring, utan att kvalitetsuppföljningen ska avse större skeden och processer som omfattar många personer.
Observera att om flera ansvariga inom en samverkan samtidigt vill genomföra kvalitetsuppföljning, krävs ett beslut av fullmäktige i respektive region och kommun avseende den regionens respektive kommunens ansvarsområde.
Gemensam nämnd inom vård- och omsorgsområdet
Som utredningen tidigare tagit upp kan regioner och kommuner välja att överlämna fullgörandet av sina uppgifter inom vård och omsorg till en gemensam nämnd, se lagen (2003:192) om gemensam nämnd inom
vård- och omsorgsområdet och 9 kap. 21 § kommunallagen. Det är fullmäktige som får besluta att en nämnd ska vara gemensam med en annan region eller en annan kommun. En gemensam nämnd tillsätts i någon av de samverkande regionerna eller kommunerna och ingår i denna regions eller kommuns organisation (9 kap. 19 och 20 §§ KL). Den gemensamma nämnden är, liksom övriga nämnder i en region eller en kommun, en egen myndighet men inte en egen juridisk person. I stället verkar den gemensamma nämnden som företrädare för sina huvudmän. Varje samverkande region eller kommun är fortfarande huvudman för den eller de frågor som de har lagt på den gemensamma nämnden att sköta.9
I de fall arbetsuppgifter har överlämnats till en gemensam nämnd, är det därmed fortfarande region och kommun som har huvudmannaskapet och ytterst ansvarar för de insatser som regionen eller kommunen låter den gemensamma nämnden utföra. Det ankommer alltså på fullmäktige i den region eller kommun som samverkar genom den gemensamma nämnden att besluta om kvalitetsuppföljning av de insatser som regionen eller kommunen låter den gemensamma nämnden utföra.
Kommunalförbund
Kommuner och regioner får bilda kommunalförbund och lämna över skötseln av kommunala angelägenheter till sådana förbund (3 kap. 8 § KL). Om inget annat anges eller följer av bestämmelserna om regioner och kommuner i kommunallagen, tillämpas dessa bestämmelser även för kommunalförbund (9 kap. 2 § KL). I de fall ett kommunalförbund bildats för hälso- och sjukvård eller omsorg, utför (sköter) kommunalförbundet insatserna, men det är fortfarande respektive region eller kommun som har ansvaret för dem. Det är därför fullmäktige i respektive region eller kommun som får besluta om kvalitetsuppföljning avseende det som regionen eller kommunen ansvarar för.
Privata utförare har inte ansvar för andras insatser och får inte besluta om kvalitetsuppföljning
Kvalitetsuppföljning med personuppgifter från flera vårdinstanser eller omsorgsgivare bör endast vara möjlig för sådana insatser som en region eller kommun ansvarar för. När regioner och kommuner överlämnar skötseln av kommunala angelägenheter till enskilda utförare, kvarstår regionernas och kommunernas ansvar mot de egna kommunmedlemmarna. Regionen eller kommunen har enligt lag fortfarande det yttersta ansvaret för verksamheten. Därför är det motiverat att låta fullmäktige i regionen eller kommunen besluta om kvalitetsuppföljning av det som utförs av de anlitade privata vårdinstanserna och omsorgsgivarna. Privata vårdinstanser och omsorgsgivare bör däremot inte ha möjlighet att besluta om kvalitetsuppföljning med personuppgifter från andra vårdinstanser eller omsorgsgivare; det krävs ett fullmäktigebeslut, dvs. ett beslut på politisk nivå.
En annan sak är att inget hindrar att fullmäktige i en region eller kommun i beslutet om kvalitetsuppföljning anger att en privat vårdinstans eller omsorgsgivare ska vara personuppgiftsansvarig, dvs. får genomföra kvalitetsuppföljningen genom att samla in personuppgifter från andra privata och offentliga vårdinstanser och omsorgsgivare.
17.1.6. Personuppgifter och uppgifter om avlidna får användas för kvalitetsuppföljning
Utredningen har tidigare tagit upp frågan om personuppgifter behövs för att genomföra kvalitetsuppföljning. Det står enligt utredningen klart att vårdinstanser och omsorgsgivare på ett eller annat sätt behöver utbyta personuppgifter för att en region eller en kommun ska kunna göra en kvalitetsuppföljning av ett helt vård- eller omsorgsförlopp som involverar flera vårdinstanser och omsorgsgivare.
Som alltid när det gäller behandling av personuppgifter ska givetvis principerna i artikel 5 i dataskyddsförordningen om uppgiftsminimering, lagringsminimering, integritet och konfidentialitet tillämpas. Som en integritetsstärkande åtgärd föreslår utredningen bestämmelser om att uppgifter om patientens eller omsorgsmottagarens identitet så långt det är möjligt ska vara krypterade, se avsnitt 17.7.
Personuppgifter är uppgifter som avser identifierbara fysiska personer som är i livet. Dataskyddsförordningen gäller inte för uppgifter om avlidna personer. Medlemsstaterna får fastställa bestämmelser för behandlingen av personuppgifter rörande avlidna personer (skäl 27). Patientdatalagen gäller i tillämpliga delar även uppgifter om avlidna personer (1 kap. 1 § andra stycket PDL). I SoLPUL och SoLPUF finns ingen reglering om behandling av uppgifter om avlidna.
Det förekommer en mängd uppgifter om avlidna personer inom hälso- och sjukvården och i socialtjänstens verksamhet för äldre och personer med funktionsnedsättningar. Även uppgifter om avlidna patienter och omsorgsmottagare kan vara integritetskänsliga, t.ex. för överlevande släktingar. Därför omfattas även sådana uppgifter av patientdatalagens bestämmelser om behandling av personuppgifter i tillämpliga delar, t.ex. när det gäller för vilka ändamål uppgifter om avlidna får användas eller när det gäller vilken elektronisk åtkomst som får förekomma till uppgifter om avlidna.
Det kan finnas ett alldeles särskilt behov av att följa upp insatser för personer som har avlidit av dem exempelvis inom ramen för gemensamma avvikelser och allvarliga vårdskador.
Principerna i dataskyddsförordningen omfattar som sagt bara uppgifter om personer som är i livet. Uppgifter om avlidna omfattas således inte av dataskyddsförordningens bestämmelser om dataskydd utan medlemsstaterna får själva avgöra om det behövs några regler om behandling av uppgifter om avlidna.
För att det inte – på grund av att patientdatalagen omfattar uppgifter om avlidna – ska råda någon tvekan om att uppgifter om avlidna får användas vid sådan kvalitetsuppföljning som regleras i den föreslagna lagen bör även den föreslagna lagen tillämpas på uppgifter om avlidna. Detta inskränker inte socialtjänstens nuvarande möjligheter att använda uppgifter om avlidna för kvalitetsuppföljning.
17.2. Den föreslagna kvalitetsuppföljningen och andra regler om behandling av personuppgifter för kvalitetsändamål inom vård och omsorg
17.2.1. Skillnaden mellan kvalitetsuppföljning och kvalitetsregister
Nationella och regionala kvalitetsregister (nedan kvalitetsregister) är en typ av uppgiftssamlingar som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregister regleras särskilt i 7 kap. patientdatalagen. Kvalitetsregistren möjliggör jämförelser inom hälso- och sjukvården på nationell eller regional nivå. Bestämmelserna gäller när personuppgifter samlas in från flera vårdgivare (7 kap. 1 § PDL).
Man kan då fråga sig vad som är skillnaden mellan sådan kvalitetssäkring som får ske enligt reglerna om kvalitetsregister och de regler som utredningen föreslår om kvalitetsuppföljning med personuppgifter från flera vårdinstanser (eller omsorgsgivare).
Kvalitetsregister inrättas med det huvudsakliga syftet att följa upp medicinsk och annan kvalitet i själva vårdinsatserna och alltså inte för att kontrollera sjukvårdens kostnadseffektivitet och produktivitet allmänt sett. Någon knivskarp gräns mellan medicinsk och ekonomisk verksamhetsuppföljning är visserligen svår att dra. Det centrala med ett kvalitetsregister är dock uppföljningen av vårdinsatserna. Bestämmelserna om kvalitetsregister är inte tillämpliga på ett register vars huvudsakliga syfte är att följa upp hälso- och sjukvårdens kostnadseffektivitet.10 Man skulle kunna se det som att kvalitetsregister tillmötesgår professionens behov av uppgifter för analys, medan kvalitetsuppföljning kan användas av sjukvårdshuvudmannen för att genomföra mer allmänna analyser av kvalitet och kostnadseffektivitet.
Med utredningens förslag om kvalitetsuppföljning blir tillämpningsområdet för kvalitetsuppföljning ett annat än det för kvalitetsregister.
Det finns för det första inte någon motsvarighet till kvalitetsregister inom socialtjänsten. Kvalitetsregister kan alltså endast användas för verksamheter som lyder under hälso- och sjukvårdslagstiftningen, men inte för sådana insatser som sker inom socialtjäns-
ten. Utredningens förslag innebär således en utvidgad möjlighet att följa upp kvalitet med uppgifter från flera omsorgsgivare. Förslagen öppnar också upp för att göra kvalitetsuppföljningar med personuppgifter från både vårdinstanser och omsorgsgivare, t.ex. när det gäller vård- och omsorgsprocesser som involverar både hälso- och sjukvård och socialtjänstinsatser för äldre eller personer med funktionsnedsättningar.
Kvalitetsuppföljning ska kunna användas för att följa upp hälso- och sjukvård respektive socialtjänst som man själv ansvarar för, med hjälp av personuppgifter från andra. Ett typexempel är att en region kan använda kvalitetsuppföljning för att följa upp kostnader och resultat för insatser som utförs av privata vårdinstanser. Motsvarande gäller inom socialtjänst, där en kommun kan följa upp insatser av privata utförare inom dess ansvarsområde.
Ett annat tillämpningsområde för kvalitetsuppföljning är att följa upp vårdprocesser med flera vårdinstanser inblandade. Tidigare utredningar har pekat på att kvalitetsregister inte stödjer kvalitetssäkring av vårdprocesser som sträcker sig över flera vårdinstanser. Kvalitetsregister är ofta inrättade för att följa upp en viss diagnos. Om en patient får vård från flera vårdinstanser för samma hälsoproblem, kommer uppgifter om patienten att rapporteras in till kvalitetsregistret från flera vårdinstanser. Detta är särskilt vanligt vid sådan vård som utförs inom region- eller rikssjukvård, vilket bl.a. omfattar stora sjukdomsgrupper som t.ex. hjärtsjukvård eller cancer. I dessa fall genomförs ofta utredning och eftervård hos en vårdinstans, men det operativa ingreppet görs hos en annan vårdinstans. I sådana situationer finns det ett behov av ett effektivt utbyte av information, för att kvalitetssäkra och utveckla vårdprocessen. Det finns många ytterligare exempel på vårdprocesser med flera vårdinstanser involverade. I regioner och kommuner med stor mångfald av vårdinstanser, privata och offentliga, är det snarare regel än undantag att flera vårdinstanser är inblandade i en vårdprocess. Även den hälso- och sjukvård som bedrivs i samverkan mellan region och kommun, t.ex. rörande äldre, involverar flera vårdinstanser. De kvalitetsregister som finns innebär att möjligheterna för de inblandade vårdinstanserna att kvalitetssäkra hela vårdprocessen är begränsade. Bestämmelsen i 7 kap. 9 § patientdatalagen ger vårdgivare möjlighet att ta del av de uppgifter vårdgivaren själv registrerat om sina patienter, men inte uppgifter som andra vårdgivare registrerat om
samma patienter. Någon motsvarande möjlighet föreslås inte när det gäller kvalitetsuppföljning. Resultatet av bestämmelsen blir i praktiken att bara den som för kvalitetsregistret, men inte den ansvariga regionen eller kommunen, har möjlighet att använda kvalitetsregistret för att säkra och utveckla resultatet av den sammantagna vård som patienterna har fått. Vidare tillåter regleringen av kvalitetsregister, till skillnad från regleringen av kvalitetsuppföljning, forskning som ett sekundärt ändamål.
I sammanhanget vill utredningen framhålla att avsikten med att införa bestämmelser om kvalitetsuppföljning inte är att inskränka eller på något sätt försämra användningen av kvalitetsregister. Kvalitetsuppföljning ska ses som en ytterligare möjlighet att, vid sidan av den existerande ordningen med kvalitetsregister, göra uppföljning av kvaliteten i hälso- och sjukvård och socialtjänst.
17.2.2. Skillnad mellan kvalitetsuppföljning och statistik
Det går en skiljelinje mellan att använda uppgifter för särskilda statistikändamål och att använda uppgifter för kvalitetsuppföljning. Skiljelinjen har belysts av dåvarande Regeringsrätten i avgörandet RÅ 2004 ref. 9. Frågan i målet var bl.a. om uppgifter från Socialstyrelsens dödsorsaksregister kunde lämnas ut med stöd av de undantag från sekretess som angavs i dåvarande 9 kap. 4 § sekretesslagen (1980:100) (numera 24 kap. 8 § offentlighets- och sekretesslagen [2009:400], förkortad OSL 11) när uppgifterna behövs för statistikändamål. Domstolen klargjorde i detta sammanhang bl.a. följande.
Det förhållandet att uppgifter inom ramen för uppföljning, utvärdering och liknande verksamhet sammanställs statistiskt kan inte anses innebära att uppgifterna används för statistikändamål i den mening som avses i 9 kap. 4 § sekretesslagen.
Av rättsfallet framgår att uppgifter kan sammanställas statistiskt inom ramen för kvalitetsuppföljning och liknande verksamheter utan att det blir fråga om att använda dem särskilt för statistikändamål i offentlighets- och sekretesslagens mening.
11 I den bestämmelsen anges att sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde (24 kap. 8 § OSL).
Utredningen föreslår att uppgifter som behandlas för kvalitetsuppföljning också får användas för framställning av statistik, se avsnitt 17.4.2.
17.2.3. Skillnad mellan kvalitetsuppföljning och forskning
I 2 § lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) ges en definition av vad som avses med forskning enligt den lagen. Med forskning avses där vetenskaplig forskning samt utvecklingsarbete på vetenskaplig grund. I förarbetena till bestämmelsen anförs att avgränsningen bl.a. bygger på OECD:s riktlinjer12. Vidare påpekas att fråga uppkommer om gränsdragningen mellan vetenskaplig forskning och t.ex. kvalitetssäkring och resultatuppföljning. Därvid hänvisas till hälso- och sjukvårdslagen enligt vilken kvaliteten i verksamheten inom hälso- och sjukvården systematiskt och fortlöpande ska utvecklas och säkras. Sådan och liknande verksamhet avses inte utgöra forskning i etikprövningslagens mening.13
Även i 3 § lagen (1998:543) om hälsodataregister görs en skillnad mellan uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård å ena sidan och forskning och epidemiologiska undersökningar å andra sidan.
Ett påpekande om att begreppet forskning inte får förväxlas med uppföljning, utvärdering eller kvalitetssäkring görs också i förarbetena till SoLPUL.14 Den lagen tillämpas inte vid behandling av personuppgifter för forsknings- och statistikändamål (3 § SoLPUL).
Utredningen anser att personuppgifter som behandlas för kvalitetsuppföljning inte bör få användas för forskning, se avsnitt 17.4.2.
12 Organisationen för ekonomiskt samarbete och utveckling (OECD) har tagit fram internationella riktlinjer för integritetsskydd och persondataflöde. 13Prop. 2002/03:50 s. 90 f. och 192. 14Prop. 2000/01:80 s. 138.
17.3. Beslut om kvalitetsuppföljning
Utredningens förslag: Behandling av personuppgifter för kvali-
tetsuppföljning enligt den föreslagna lagen får genomföras bara om fullmäktige i den ansvariga regionen eller kommunen har beslutat om det.
Av beslutet ska framgå
1. för vilka särskilda och berättigade ändamål som personupp-
gifterna ska behandlas,
2. vilken vårdinstans eller omsorgsgivare som är personuppgifts-
ansvarig för behandlingen,
3. de kategorier av personer som behandlingen gäller,
4. de kategorier av personuppgifter som behandlingen gäller,
5. från vilka vårdinstanser och omsorgsgivare som personupp-
gifter kommer att samlas in, och
6. den period under vilken personuppgifterna kommer att lagras
eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period. Personuppgifterna ska gallras när perioden enligt punkt 6 ovan löpt ut.
Bestämmelser om hur beslutet överklagas finns i 13 kap. kommunallagen.
17.3.1. Region- eller kommunfullmäktige ska besluta om kvalitetsuppföljning
Av utredningens direktiv framgår att beslut om behandling av personuppgifter för kvalitetsuppföljning, som avses omfatta hela eller åtminstone väsentliga delar av huvudmannens hälso- och sjukvårdsverksamhet, bör vara förbehållen det högsta politiska organet hos huvudmannen. Detta bör gälla oavsett om verksamheten bedrivs i egen regi eller av privata utförare. Motsvarande gäller enligt direktiven för socialtjänstens insatser för äldre och personer med funktionsnedsättningar som en kommun ansvarar för. Liksom för regionerna bör beslut om sådan behandling av personuppgifter för kvalitetsuppföljning vara
förbehållna det högsta politiska organet och besluten bör avse hela eller åtminstone väsentliga delar av kommunens verksamhet med omsorg om äldre och personer med funktionsnedsättningar.
Den föreslagna lagen gäller för kvalitetsuppföljning av hälso- och sjukvård som en huvudman ansvarar för enligt hälso- och sjukvårdslagen och av socialtjänstens insatser för äldre eller personer med funktionsnedsättningar som en kommun eller en region ansvarar för. Utredningens förslag syftar alltså till att regioner och kommuner ska få följa upp sådan vård eller omsorg som de ansvarar för.
Det högsta politiska organet hos regioner och kommuner är fullmäktige. När utredningen i det följande använder begreppet fullmäktige avses, om inte annat framgår av sammanhanget, både regionfullmäktige och kommunfullmäktige. Utredningen anser det lämpligt att det högsta organet hos den region eller kommun som ansvarar för vården eller omsorgen, dvs. fullmäktige, ska besluta om kvalitetsuppföljning med personuppgifter från flera vårdinstanser eller omsorgsgivare. Därmed får man en garanti för att det görs bara när det är befogat. Fullmäktige får bara besluta om kvalitetsuppföljning av sådana insatser som regionen eller kommunen har ansvar för. Se närmare i avsnitt 17.1.5 om vad som menas med ansvar i detta sammanhang.
Fullmäktiges arbetsuppgifter fastslås i 5 kap. kommunallagen. Fullmäktige ska besluta i ärenden av principiell beskaffenhet eller annars av större vikt för kommuner och regioner. I kommunallagen preciseras att detta främst gäller – mål och riktlinjer för verksamheten, – budget, skatt och andra viktiga ekonomiska frågor, – nämndernas organisation och verksamhetsformer, – val av ledamöter och ersättare i nämnder och beredningar, – val av revisorer, – grunderna för ekonomiska förmåner till förtroendevalda, – årsredovisning och ansvarsfrihet, – folkomröstning i kommunen eller regionen, och – extra val till fullmäktige (5 kap. 1 § första stycket KL).
Uppräkningen ovan är inte uttömmande utan ska ses som exempel på sådana betydelsefulla ärenden som ankommer på fullmäktige. Fullmäktige beslutar också i andra ärenden som anges i kommunallagen eller i andra författningar (5 kap. 1 § andra stycket KL).
Vid kvalitetsuppföljning kan potentiellt stora mängder känsliga personuppgifter komma att samlas in från flera vårdinstanser eller omsorgsgivare. Det handlar i princip uteslutande om uppgifter som omfattas av stark sekretess och som i regel inte får lämnas ut från vårdinstanserna och omsorgsgivarna (såvida det inte bygger på att den enskilde har gett sitt samtycke till att uppgifterna lämnas ut). Det är av stor vikt för patienternas och omsorgsmottagarnas personliga integritet och ytterst för tilltron till systemet med kvalitetsuppföljning att beslut om kvalitetsuppföljning inte tas slentrianmässigt eller av enskilda befattningshavare, utan att beslutet fattas av det högsta politiskt ansvariga organet.
Genom att ange i den föreslagna lagen att det är en arbetsuppgift för fullmäktige att besluta om behandling av personuppgifter för kvalitetsuppföljning betonas att det rör sig om en ärendetyp av större vikt för regioner och kommuner. Vidare ger beslut på fullmäktigenivå goda möjligheter till insyn i beslutsprocessen. Kommunallagen innehåller detaljerade regler om hur fullmäktiges ärenden ska beredas, beslutas och offentliggöras. Fullmäktiges sammanträden är som huvudregel offentliga, protokoll ska föras och offentliggöras på anslagstavlan etc. Detta i sig leder till en större transparens och möjlighet för medborgarna att ha insyn i processen. Att beslut om kvalitetsuppföljning ska tas på fullmäktigenivå får därför enligt utredningens mening ses som en kraftfull integritetsstärkande åtgärd som samtidigt bidrar till att öka beslutens legitimitet.
Av utredningens direktiv följer att fullmäktiges beslut om kvalitetsuppföljning bör avse hela eller åtminstone väsentliga delar av huvudmannens hälso- och sjukvårdsverksamhet respektive av kommunens verksamhet med omsorg om äldre och personer med funktionsnedsättningar. Utredningen förutsätter att fullmäktige kommer att följa dessa riktlinjer vid beslut om kvalitetsuppföljning.
Innehållet i beslutet bör offentliggöras på lämpligt sätt
Utredningen har övervägt att föreskriva att beslut om kvalitetsuppföljning ska offentliggöras på lämpligt sätt, för att öka transparensen. Det finns dock redan bestämmelser i 13 kap. kommunallagen som föreskriver att beslut av fullmäktige ska tillkännages på särskilt sätt. Utredningen förutsätter att regioner och kommuner därutöver kommer att göra innehållet i beslut om kvalitetsuppföljning känt genom att exempelvis publicera information om det på sin webbplats.
Observera att ett sådant offentliggörande inte är detsamma som att lämna sådan individuell information om behandlingen av personuppgifter och om möjligheten att motsätta sig behandlingen som ska lämnas till de registrerade. Denna informationsskyldighet beskrivs närmare nedan i avsnitt 17.6.
17.3.2. Beslutet får inte delegeras
Fullmäktige får som utgångspunkt uppdra åt en nämnd att i fullmäktiges ställe besluta i ett visst ärende eller en viss grupp av ärenden. Ärenden som anges i 5 kap. 1 § första stycket kommunallagen eller som enligt lag eller annan författning ska avgöras av fullmäktige får dock inte delegeras till nämnderna (5 kap. 2 §KL). Genom att beslut om kvalitetsuppföljning med personuppgifter från flera vårdinstanser eller omsorgsgivare ska fattas på fullmäktigenivå klargörs att det handlar om beslut av stor och principiell vikt, samtidigt som det enligt de skäl som angetts ovan bör bidra till att stärka integritetsskyddet och allmänhetens möjlighet till insyn i processen. Utredningen anser därför att beslut om kvalitetsuppföljning inte ska få delegeras till nämnder eller, i nästa led, vidaredelegeras till tjänstemän. Genom att ange i speciallag att det är just fullmäktige som får besluta om kvalitetsuppföljning, får beslutandemöjligheten inte delegeras (5 kap. 2 § KL).
Utredningen vill förtydliga att tanken inte är att fullmäktige ska vara involverad i den faktiska behandlingen av personuppgifterna. Fullmäktiges beslut ger en ram för vad som får utföras. Själva verkställigheten av beslutet av kvalitetsuppföljning måste givetvis ske inom olika nämnder och hos olika tjänstemän, eller privata utförare, beroende på de lokala förutsättningarna och på vad fullmäktige fin-
ner lämpligt när den beslutar om kvalitetsuppföljning. I fullmäktiges beslut ska det slås fast vilken vårdinstans eller omsorgsgivare som är personuppgiftsansvarig för behandlingen av personuppgifterna.
17.3.3. Beslutets innehåll
Det är en grundläggande princip enligt dataskyddsförordningen att personuppgifter ska samlas in på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (artikel 5.1 a i dataskyddsförordningen). Den personuppgiftsansvarige ska kunna visa att denna, samt övriga grundläggande principer i dataskyddsförordningen, efterlevs (principen om ansvarsskyldighet i artikel 5.2 i dataskyddsförordningen). Dessa grundprinciper måste alltid beaktas när ny registerlagstiftning införs.
Möjligheten till kvalitetsuppföljning av hälso- och sjukvård och socialtjänst enligt utredningens förslag vilar på den rättsliga grunden arbetsuppgift av allmänt intresse, alternativt i vissa fall rättslig förpliktelse. När man lagstiftar om behandling av personuppgifter som bygger på dessa rättsliga grunder, kan man precisera kraven för att fastställa vem den personuppgiftsansvarige är, vilken typ av personuppgifter som får behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut, ändamålsbegränsningar, lagringstid samt andra åtgärder för att tillförsäkra en laglig och rättvis behandling. Den lagstiftningen bör då också reglera frågan huruvida en personuppgiftsansvarig som utför en arbetsuppgift av allmänt intresse ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning (skäl 45 till dataskyddsförordningen).
Utredningen föreslår därför att det ska finnas ett antal krav som preciserar vad ett beslut om kvalitetsuppföljning ska innehålla. Beslutet blir därmed den konkretiserande ”lagstiftning” som avses i dataskyddsförordningen. Syftet är att höja skyddet för levande och dödas integritet och säkerställa att beslut om kvalitetsuppföljning lever upp till principerna i dataskyddsförordningen. Utredningen har samtidigt beaktat att den föreslagna lagen inte bör detaljstyra hur ett beslut om kvalitetsuppföljning ska se ut, eller hur kvalitetsuppföljningen ska genomföras. Det närmare innehållet i och utformningen av beslutet bör överlåtas åt fullmäktige att besluta om. Det är
just principerna om dataskydd som på detta sätt bör komma till uttryck som en integritetsstärkande åtgärd i den föreslagna lagen. Utredningen anser att förslaget på ett väl avvägt sätt bör kunna bidra till en högre nivå av skydd för personuppgifterna och till en ökade transparens för de registrerade, utan att för den skull i alltför hög grad detaljstyra hur en kvalitetsuppföljning ska gå till.
Utredningen vill samtidigt betona att beslutets innehåll, för den vårdinstans eller omsorgsgivare som utpekas som personuppgiftsansvarig, kan utgöra ett inslag i den personuppgiftsansvariges ansvarsskyldighet enligt artikel 5.2 i dataskyddsförordningen. Genom att förhålla sig till villkoren i fullmäktiges beslut kan den personuppgiftsansvarige visa att denne följer de grundläggande principerna i dataskyddsförordningen.
Utredningen beskriver nedan närmare syftet med att införa de olika kraven på vad som ska finnas med i beslut om kvalitetsuppföljning utifrån kopplingen till bestämmelserna i dataskyddsförordningen.
Av beslutet ska framgå de särskilda och berättigade ändamål som personuppgifterna ska behandlas för
Det är en grundläggande dataskyddsprincip att personuppgifter ska samlas in för särskilda, uttryckligt angivna ändamål (artikel 5.1 b i dataskyddsförordningen). Den personuppgiftsansvarige ska även ange ändamålen med behandlingen i den registerförteckning som den personuppgiftsansvarige ska föra (artikel 30.1 b i dataskyddsförordningen) samt lämna information om ändamålen för behandlingen till den registrerade (artikel 13 c, 14.1 c och 15.1 a i dataskyddsförordningen).
Utredningen anser därför att det framstår som lämpligt att ställa krav på att fullmäktige ska beskriva de särskilda ändamålen med behandlingen i beslutet om kvalitetsuppföljning. Detta bidrar sannolikt även till att den personuppgiftsansvarige kan leva upp till kraven i dataskyddsförordningen på att ändamålen ska vara särskilda och uttryckligt angivna.
Tanken är att det i beslutet ska beskrivas mer detaljerat vad som ska följas upp och från vilka personuppgifter får samlas in. Beslutet bör lämpligen anknyta till, och precisera, det primära, övergripande ändamål som anges i den föreslagna lagen, se avsnitt 17.4.1.
Av beslutet ska framgå vilken vårdinstans eller omsorgsgivare som är personuppgiftsansvarig för behandlingen
Med personuppgiftsansvarig avses den som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen bestäms av medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i medlemsstaternas nationella rätt (artikel 4.7 i dataskyddsförordningen). Det är därmed tillåtet enligt dataskyddsförordningen att i nationell rätt ange vem som är personuppgiftsansvarig för en viss behandling av personuppgifter.
Patientdatalagen innehåller en allmän bestämmelse om personuppgiftsansvar. En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I en region och en kommun är dock varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför (2 kap. 6 § första stycket PDL). I förarbetena till patientdatalagen motiveras valet av personuppgiftsansvarig med att personuppgiftsansvaret inom den allmänna hälso- och sjukvården ska läggas på myndighetsnivå för att uppnå en samordning mellan personuppgiftsansvaret och ansvaret för allmänna handlingar enligt tryckfrihetsförordningen, då gällande sekretesslag (1980:100) och arkivlagen (1990:782).15
SoLPUL innehåller i dag inga särskilda bestämmelser om personuppgiftsansvar. Sådana bestämmelser finns emellertid i SoLPUF. Enligt 11 § SoLPUF är en kommunal myndighet personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som myndigheten utför. Om behandlingen görs gemensamt för flera myndigheter inom kommunen, är varje myndighet personuppgiftsansvarig för sin egen behandling. En enskild utförare av socialtjänst är enligt 17 § SoLPUF personuppgiftsansvarig för den behandling av personuppgifter som utförs i dess verksamhet.
Fullmäktige är den högsta beslutande församlingen i region och kommun. Fullmäktige bedriver dock ingen egen hälso- och sjukvårdsverksamhet eller socialtjänst. Tanken är således att fullmäktige ska fatta beslut om att kvalitetsuppföljning får ske, men att själva verkställigheten och behandlingen av personuppgifterna utförs av
någon annan. Även om man i någon mening kan säga att det är fullmäktige som genom att besluta om kvalitetsuppföljning bestämmer i vart fall ändamålen för behandlingen av personuppgifter, framstår det inte som lämpligt att fullmäktige utpekas som personuppgiftsansvarig för behandlingen. Det bör inte heller bli fråga om att fullmäktige ska utföra någon sådan central behandling av personuppgifter (CPUA) som myndigheter inom hälso- och sjukvården ska göra i fråga om kvalitetsregister enligt 7 kap. 7 § patientdatalagen.
Personuppgiftansvaret bör således, enligt utredningens, förslag inte ligga på fullmäktige. I stället bör fullmäktige i beslutet peka ut vilken vårdinstans eller omsorgsgivare som ska vara personuppgiftsansvarig. För att öka förutsebarheten och öppenheten i förhållande till de registrerade och för att någon ska ta ett verkligt ansvar för behandlingen anser utredningen alltså att fullmäktige särskilt ska ange i beslutet vilken vårdinstans eller omsorgsgivare som är personuppgiftsansvarig för behandlingen av personuppgifterna. Den allmänna regeln om personuppgiftsansvar i 2 kap. 6 § patientdatalagen respektive de allmänna reglerna om personuppgiftsansvar i SoLPUL och SoLPUF bör kunna tjäna till ledning.
Fullmäktige får peka ut en offentlig eller privat vårdinstans eller omsorgsgivare som personuppgiftsansvarig för behandlingen av personuppgifter för kvalitetsuppföljningen. Privata vårdinstanser och omsorgsgivare är normalt personuppgiftsansvariga för den behandling som utförs i deras verksamheter (jfr den allmänna bestämmelsen i 2 kap. 6 § PDL respektive och 17 § SoLPUF). Motsvarande gäller för offentliga vårdinstanser och omsorgsgivare, dvs. de olika myndigheterna inom en region eller en kommun. Privata vårdinstanser och omsorgsgivare kommer enligt utredningens förslag inte att få möjlighet att för egen del besluta om kvalitetsuppföljning med personuppgifter från flera vårdinstanser eller omsorgsgivare. Fullmäktige hos den ansvariga regionen eller kommunen kan dock besluta att kvalitetsuppföljning får genomföras med personuppgifter från privata vårdinstanser eller omsorgsgivare samt att en privat vårdinstans eller omsorgsgivare ska vara personuppgiftsansvarig. Utredningens överväganden när det gäller privata vårdinstansers möjligheter att lämna ut personuppgifter för behandling för kvalitetsuppföljning finns i avsnitt 15.5.5.
För den behandling som själva utlämnandet av personuppgifter för kvalitetsuppföljning (till den utpekade personuppgiftsansvarige
vårdinstansen eller omsorgsgivaren) innebär är varje utlämnande vårdinstans eller omsorgsgivare personuppgiftsansvarig. Det behöver inte anges i fullmäktiges beslut.
Av beslutet ska framgå de kategorier av personer respektive de kategorier av personuppgifter som behandlingen gäller
I den registerförteckningen som den personuppgiftsansvarige ska föra, ska den personuppgiftsansvarige lämna en beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter (artikel 30.1 c i dataskyddsförordningen). När personuppgifter inte har erhållits från de registrerade, föreskriver dataskyddsförordningen att den personuppgiftsansvarige ska informera om de kategorier av personuppgifter som behandlingen gäller (artikel 14.1 d och 15.1 b i dataskyddsförordningen). Mot denna bakgrund samt då skäl 45 rekommenderar medlemsstaterna att precisera vilka registrerade som berörs, föreslår utredningen att beslutet om kvalitetsuppföljning ska innehålla de kategorier av personer som behandlingen gäller. Utredningen anser att den föreslagna formuleringen ”kategorier av personer” täcker in vad som avses i dataskyddsförordningen, nämligen att precisera de kategorier av fysiska personer som berörs av kvalitetsuppföljningen, t.ex. de som vårdats på visst sätt inom regionen eller kommunen.
Med motsvarande motivering anser utredningen att det bör finnas ett krav på att i beslutet ange de kategorier av personuppgifter som behandlingen gäller.
Av beslutet ska framgå från vilka vårdinstanser och omsorgsgivare som personuppgifter kommer att samlas in
Att införa ett krav på att ange i beslutet från vilka vårdinstanser och omsorgsgivare personuppgifterna kommer att samlas in, bidrar till transparens och öppenhet i förhållande till de registrerade och klargör omfattningen av kvalitetsuppföljningen. Dataskyddsförordningen anger att, när personuppgifterna inte har erhållits från de registrerade, ska den personuppgiftsansvarige tillhandahålla information om varifrån personuppgifterna kommer (artikel 14.1 f och 15.1 g i dataskyddsförordningen). Utredningen föreslår att det ska framgå av
beslutet från vilka vårdinstanser och omsorgsgivare som personuppgifter kommer att samlas in. Detta kan bidra till att den personuppgiftsansvarige lättare kan uppnå kraven i dataskyddsförordningen på transparens och öppenhet.
Det är frivilligt för vårdinstanser och omsorgsgivare att lämna ut personuppgifter för kvalitetsuppföljning. Utredningen föreslår inte någon uppgiftsskyldighet. Att det i beslutet angetts att personuppgifter kommer att samlas in från en viss vårdinstans eller omsorgsgivare innebär således inte att denne får en uppgiftsskyldighet att lämna ut personuppgifter. Om personuppgifter faktiskt kan samlas in från en vårdinstans eller omsorgsgivare, är följaktligen beroende av dennes vilja och möjlighet att medverka. Den föreslagna lagen och fullmäktigebeslutet ger endast en möjlighet att frivilligt lämna personuppgifter för kvalitetsuppföljningen.
Av beslutet ska framgå den period under vilken personuppgifterna kommer att lagras
Principen om lagringsminimering kräver att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (artikel 5.1 e i dataskyddsförordningen). En registerföreteckning ska om möjligt innehålla de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter (artikel 30.1 f i dataskyddsförordningen). De registrerade ska få information om den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period (artikel 13.2 a, 14.2 a och 15.1 d i dataskyddsförordningen).
Utredningen förslår därför att fullmäktige om möjligt anger lagringsperioden eller, om det inte möjligt, åtminstone de kriterier som ska användas för att fastställa lagringsperioden redan när beslutet fattas. En sådan bestämmelse korresponderar med de krav som dataskyddsförordningen ställer på den personuppgiftsansvarige om att fastställa lagringsperioden alternativt kriterierna för denna.
Tidsperioden måste vara på något sätt avgränsad och det är således inte tillåtet att besluta att personuppgifterna ska lagras tills vidare eller för evigt. Däremot är det inte tanken att fullmäktige varje år ska behöva fatta ett nytt beslut om kvalitetsuppföljning avseende
t.ex. en årligt återkommande uppföljning som avser ett eller flera särskilda ändamål. Då kan det vara tillräckligt att i beslutet uppskatta lagringstiden till exempelvis tio år för de uppgifter som får samlas in vid årlig uppföljning under den kommande tioårsperioden.
Personuppgifterna ska gallras när den period under vilken personuppgifterna kommer att lagras löpt ut
Myndigheter är enligt arkivlagen skyldiga att bevara sina allmänna handlingar. Arkivlagen reglerar även möjligheten till gallring av allmänna handlingar. Enligt 10 § tredje stycket arkivlagen gäller dock avvikande bestämmelser om gallring i annan författning före bestämmelserna i arkivlagen.
Utredningen föreslår att det av fullmäktiges beslut om kvalitetsuppföljning ska framgå den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period. Utredningen föreslår vidare en uttrycklig bestämmelse om att personuppgifterna ska gallras när den perioden löpt ut. Detta är den enda särskilda gallringsbestämmelse som utredningen anser behöver tas med i lagen. Se mer i avsnitt 17.12 där utredningen beskriver sitt förslag när det gäller bevarandetider och gallring av personuppgifterna.
17.3.4. Fullmäktige kan ändra beslutet
Fullmäktige har möjlighet att fatta beslut om kvalitetsuppföljning. Av detta följer att fullmäktige också har möjlighet att besluta om att ändra ett tidigare fattat beslut om kvalitetsuppföljning, exempelvis genom att föreskriva nya särskilda och berättigade ändamål för behandlingen eller att ändra den period under vilken uppgifterna kommer att lagras. Dessutom kan fullmäktige upphäva ett tidigare beslut, vilket för med sig att personuppgifter inte längre får behandlas enligt den föreslagna lagen för den beslutade kvalitetsuppföljningen.
Observera att om nya särskilda ändamål föreskrivs genom fullmäktiges ändringsbeslut, får dessa inte vara oförenliga med de särskilda ändamål som föreskrevs i det ursprungliga beslutet och som personuppgifterna samlats in för. Detta följer av finalitetsprincipen i artikel 5.1 b i dataskyddsförordningen. Innan redan insamlade per-
sonuppgifter får användas för det nya särskilda ändamålet, måste de registrerade informeras om detta. Kan information inte lämnas till någon registrerad som man samlat in personuppgifter från, får dennes personuppgifter inte behandlas för det nya särskilda ändamålet. Detta följer av artikel 13.3 och 14.4 i dataskyddsförordningen. Det nya särskilda ändamålet kommer dock under alla förhållanden att kunna tillämpas för de personuppgifter som samlas in efter ändringsbeslutet.
17.3.5. Beslutet kan överklagas enligt formerna för laglighetsprövning i kommunallagen
Varje medlem av en region eller kommun har rätt att få lagligheten av regionens eller kommunens beslut prövad genom att överklaga beslutet till förvaltningsrätt (13 kap. 1 § KL.). Beslut av fullmäktige får överklagas, om det inte i lag eller annan författning finns särskilda bestämmelser om överklagande (13 kap. 2 § 1 KL och 13 kap. 3 § KL).
Huvudregeln är, att varje meningsyttring från fullmäktige som manifesterats i protokollet över ett fullmäktigesammanträde kan bli föremål för laglighetsprövning, även om beslutet inte medför några direkta verkningar eller innebär ett egentligt avgörande av en fråga.16Eftersom förslaget är att fullmäktige ska fatta beslut om kvalitetsuppföljning, anser utredningen att beslutet på motsvarande sätt som andra fullmäktigebeslut bör kunna överklagas enligt formerna för laglighetsprövning.
Om en speciallag inte har några regler om överklagande, är det kommunallagens regler om laglighetsprövning som gäller. I detta fall anser utredningen dock att det är lämpligt att en hänvisning tas in till bestämmelserna om laglighetsprövning i 13 kap. kommunallagen för att undvika oklarheter om vad som gäller.
16 Se t.ex. RÅ 1975 ref. 102, RÅ81 2:38, RÅ 1943 ref. 34 och RÅ 1975 ref. 65.
17.4. Ändamål
Utredningens förslag: Personuppgifter får behandlas för kvali-
tetsuppföljning som beslutats enligt den föreslagna lagen. Personuppgifter som behandlas för kvalitetsuppföljning får också behandlas för
1. den ansvariga regionens eller kommunens framställning av
statistik, och
2. fullgörande av någon annan uppgiftsskyldighet som följer av
lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen. I den föreslagna lagen regleras uttömmande för vilka ändamål som personuppgifter som samlats in för kvalitetsuppföljning får behandlas.
17.4.1. Primärt ändamål
En grundprincip enligt dataskyddsförordningen är att personuppgifter ska samlas in för särskilda, uttryckligt angivna ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (artikel 5.1 b i dataskyddsförordningen).
För tydlighets skull bör det av den föreslagna lagen framgå att personuppgifter får behandlas för kvalitetsuppföljning som beslutats enligt lagen. Det är det s.k. primära övergripande ändamålet. Av vad som sägs i avsnitt 17.5.1 framgår att personuppgifter dock inte får behandlas för kvalitetsuppföljning om den patient eller omsorgsmottagare som motsätter sig det. Av avsnitt 17.3.1 framgår att det är fullmäktige som i sitt beslut om kvalitetsuppföljning ska ange, dvs. precisera, de särskilda och berättigade ändamål som personuppgifterna ska behandlas för. Det övergripande primära ändamålet ska alltså brytas ner i sådana särskilda och berättigade ändamål som fullmäktige ska ange i beslutet om kvalitetsuppföljning.
Som angetts i avsnitt 17.1.1 ska kvalitetsuppföljning omfatta sådana åtgärder som på olika sätt syftar till och är ägnade att förbättra eller utveckla vården och omsorgen inom en regions eller kommuns ansvarsområde. Det kan t.ex. handla om att följa upp medicinsk och annan kvalitet i vård- eller omsorgsinsatserna men
också om att följa upp insatsernas kostnadseffektivitet och produktivitet. Viss sådan behandling av personuppgifter som avses i 2 kap. 4 § första stycket 4 och 5 patientdatalagen (dvs. behandling för att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten och administration, planering, uppföljning, utvärdering och tillsyn av verksamheten) samt sådana åtgärder som omfattas av 12 § 10 SoLPUF (dvs. att behandla personuppgifter för tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten) kan därmed ingå i kvalitetsuppföljning.
17.4.2. Sekundära ändamål
Om behandling av personuppgifter är nödvändig för att fullgöra en arbetsuppgift av allmänt intresse, kan medlemsstaternas nationella rätt fastställa och närmare ange för vilka arbetsuppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig (skäl 50 i dataskyddsförordningen).
Enligt utredningens mening är det i detta fall befogat att personuppgifter som samlats in för kvalitetsuppföljning får behandlas också för vissa andra, s.k. sekundära ändamål. Av avsnitt 17.3.1 framgår att det är fullmäktige som i sitt beslut om kvalitetsuppföljning ska ange, dvs. precisera, de särskilda och berättigade ändamål som personuppgifterna ska behandlas för. Bestämmelserna om sekundära ändamål kompletterar de särskilda primära ändamål som fullmäktige har beslutat om och gäller automatiskt.
När det gäller uppgifter som samlats in för kvalitetsuppföljning, bör statistik vara ett tillåtet sekundärt ändamål . Det finns enligt utredningens bedömning ett klart och berättigat behov för regioner och kommuner att få använda uppgifter som behandlas för kvalitetsuppföljning för att framställa olika slags statistik. Kvalitetsuppföljning innebär regelmässigt att statistiska metoder används, t.ex. för att göra jämförelser. För en beskrivning av skillnaden mellan kvalitetsuppföljning och statistik, se avsnitt 17.2.2.
Det är bara den ansvariga regionens eller kommunens egen framställning av statistik som omfattas av det sekundära ändamålet. Personuppgifter som behandlas för kvalitetsuppföljning får därmed inte lämnas ut till någon utanför regionen eller kommunen för framställning av statistik.
Utredningen har också övervägt att, i likhet med vad som gäller för kvalitetsregister, införa forskning som ett sekundärt ändamål. Utredningens direktiv anger emellertid att personuppgifter som behandlas för kvalitetsuppföljning inte bör få spridas utanför regionen respektive kommunen. Genom att tillåta forskning som ett sekundärt ändamål skulle personuppgifterna sannolikt få spridning utanför regioner och kommuner, till universitet och andra statliga eller privata forskningsinstanser. Mot bakgrund av direktiven anser utredningen att utlämnande av personuppgifter för forskning inte bör tillåtas. Vidare bedömer utredningen att regioner och kommuner inte har ett tillräckligt tungt vägande behov av att själva utföra forskning med personuppgifterna. Forskning bör därmed inte anges som ett sekundärt ändamål.
Utredningen erinrar i sammanhanget om att dataskyddsförordningen inte gäller behandling av sådan anonym information, som inte längre kan härledas till en identifierbar fysisk person. Anonym information inbegriper information för statistiska ändamål eller forskningsändamål (skäl 26 till dataskyddsförordningen). När eller om personuppgifterna väl har anonymiserats och inte längre kan härledas till identifierbara fysiska personer, gäller alltså inte längre bestämmelserna i den föreslagna lagen eller i övrigt bestämmelser om dataskydd. Anonymiserade uppgifter kan således användas och lämnas ut, både för statistik och forskning.
Personuppgifterna får, enligt ett särskilt föreskrivet sekundärt ändamål, lämnas ut för att fullgöra någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen17. Det kan t.ex. gälla skyldigheterna enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen. I dessa fall har myndigheten som förvarar uppgifterna att göra en prövning av om uppgifterna omfattas av sekretess eller kan lämnas ut. Se närmare om sekretess för uppgifter som behandlas för kvalitetsuppföljning i avsnitt 19.4.
17 Av 6 kap. 5 § offentlighets- och sekretesslagen framgår att en myndighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång.
17.4.3. Personuppgifter som behandlas för kvalitetsuppföljning får inte behandlas för några andra ändamål
Utredningen föreslår att det uttömmande ska regleras för vilka övergripande ändamål personuppgifter får behandlas. Det är en starkt integritetsstärkande åtgärd att man redan på förhand har klart för sig ändamålen med behandlingen, och inte senare har möjlighet att behandla personuppgifterna för andra ändamål.
Behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in är som utgångspunkt inte förbjuden, så länge det nya ändamålet inte är oförenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in (finalitetsprincipen). Av hänsyn till enskildas personliga integritet anser utredningen dock i detta fall att inga andra sekundära ändamål än de som anges i den föreslagna lagen bör vara tillåtna. Utredningens förslag om ändamål för kvalitetsuppföljning är alltså uttömmande. Motsvarande konstruktion finns när det gäller kvalitetsregister, där man angett i patientdatalagen att personuppgifter i kvalitetsregister inte får behandlas för några andra ändamål än de som räknas upp i 6 kap.4 och 5 §§patientdatalagen (6 kap. 6 § PDL). Eftersom bestämmelsen uttömmande räknar upp tillåtna ändamål, är behandling för andra ändamål per definition oförenlig med dessa. Det innebär att finalitetsprincipen inte gäller vid behandling av personuppgifter för kvalitetsuppföljning.
17.4.4. Sättet för att lämna ut eller samla in personuppgifter
Utredningen föreslår inte några särskilda bestämmelser om sättet för att lämna ut eller samla in personuppgifter för kvalitetsuppföljning, annat än att uppgifter om patientens eller omsorgsmottagarens identitet ska vara krypterade vid utlämnandet (se avsnitt 17.7). Det innebär att den föreslagna lagen inte innehåller några andra restriktioner i detta avseende. Sådana restriktioner kan dock följa av andra bestämmelser. Exempelvis är utlämnande av personuppgifter genom direktåtkomst enligt patientdatalagen i dag endast tillåten i den utsträckning som anges i lag eller förordning (5 kap. 4 § PDL). Något motsvarande förbud mot direktåtkomst, eller annat elektroniskt utlämnande, finns inte enligt SoLPUL. Vid insamling och utlämnande av person-
uppgifter måste bestämmelserna om säkerhet – och alla andra bestämmelser – i dataskyddsförordningen följas.
17.5. Patient- och brukarinflytande
Utredningens förslag: Personuppgifter får inte behandlas för
kvalitetsuppföljning om patienten eller omsorgsmottagaren motsätter sig det.
För en patient eller omsorgsmottagare som inte endast tillfälligt saknar förmåga att ta ställning till om personuppgifter ska få behandlas för kvalitetsuppföljning, ska gälla att personuppgifterna får behandlas om
1. hans eller hennes inställning till sådan behandling så långt som
möjligt klarlagts, och
2. det inte finns anledning att anta att han eller hon skulle ha
motsatt sig behandlingen.
17.5.1. Personuppgifter får inte behandlas för kvalitetsuppföljning om patienten eller omsorgsmottagaren motsätter sig det
Utredningen föreslår att patienten eller omsorgsmottagaren ska ha rätt att motsätta sig att dennes personuppgifter behandlas för kvalitetsuppföljning, dvs. uppföljning som omfattar behandling av personuppgifter från flera vårdinstanser eller omsorgsgivare. Konstruktionen motsvarar det som brukar kallas opt out och som i dag gäller för kvalitetsregister. Utredningen redogör nedan närmare för sina övervägande och de avvägningar som lett fram till förslaget om just opt out.
Att bedriva hälso- och sjukvård och socialtjänst rör sig i dataskyddsförordningens mening om en arbetsuppgift av allmänt intresse (se tidigare analys av rättslig grund enligt dataskyddsförordningen, avsnitt 15.3.3). När det rör sig om en arbetsuppgift av allmänt intresse som rättslig grund krävs inte att behandlingen av personuppgifter också bygger på samtycke. Dessutom bör, när myndigheter utför arbetsuppgifter, samtycke normalt inte utgöra grunden för behand-
lingen, eftersom det där ofta råder en betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige.
Registerförfattningarna för hälso- och sjukvården och socialtjänsten reglerar verksamheter som avser arbetsuppgifter av allmänt intresse i dataskyddsförordningens mening. Personuppgifter får, och i många fall ska, behandlas oavsett den registrerades inställning till behandlingen. Inom hälso- och sjukvården finns exempelvis en författningsreglerad skyldighet att föra patientjournal. På motsvarande sätt gäller inom socialtjänsten en skyldighet att föra omsorgsdokumentation, utan att patienten eller omsorgsmottagaren kan stoppa den behandlingen av personuppgifter genom att motsätta sig den.
Av 2 kap. 2 § första meningen patientdatalagen följer att behandling av personuppgifter som är tillåten enligt patientdatalagen får utföras även om patienten motsätter sig den. Av 6 § tredje stycket SoLPUL framgår att en omsorgsmottagare inte har rätt att motsätta sig sådan behandling av uppgifter som är tillåten enligt SoLPUL.
Från utgångspunkten i patientdatalagen finns ett antal situationer där man har ansett det motiverat att låta hänsyn till patientens personliga integritet och självbestämmande ha företräde. Bestämmelsen som tillåter behandling av personuppgifter trots att patienten motsätter sig det har därför förenats med ett antal viktiga undantag i patientdatalagen. Det gäller i de fall som anges i 4 kap. 4 § patientdatalagen (elektronisk åtkomst vid s.k. inre sekretess), 6 kap. patientdatalagen (direktåtkomst genom sammanhållen journalföring), 7 kap. 2 § patientdatalagen (nationella kvalitetsregister) eller om något annat framgår av annan lag eller förordning (2 kap. 2 § första stycket andra meningen PDL). Det finns alltså flera sorters behandling av personuppgifter, där man som en integritetsstärkande åtgärd kräver att den registerade inte motsätter sig, alternativt aktivt samtycker till, behandlingen för att denna ska få ske. Detta gäller även när det rör sig om en arbetsuppgift av allmänt intresse som rättslig grund för att alls få behandla personuppgifterna.
Den i dag tillåtna möjligheten att behandla personuppgifter för kvalitetsuppföljning inom en region, en kommun eller ett privat företag (ändamålen i 2 kap. 4 och 5 §§ PDL) kräver inte patientens samtycke. Där gäller huvudregeln som medför att behandling av personuppgifter som är tillåten enligt patientdatalagen får utföras även om patienten motsätter sig den (2 kap. 2 § första meningen PDL). I det fallen har regeringen bedömt att det allmännas intresse
av en komplett verksamhetsuppföljning väger tyngre än den registrerades intresse av maximalt integritetsskydd. I förarbetena till patientdatalagen delade regeringen Patientdatautredningens bedömning att verksamhetsuppföljning inte medför någon nämnvärd spridning av personuppgifter inom en vårdgivares verksamhet, dvs. inom en region, en kommun eller ett privat företag. Detta samt med beaktande av hur viktigt det är att verksamhetsuppföljning baseras på ett heltäckande och korrekt material, ledde till bedömningen att det inte skulle införas någon rätt för patienten att begränsa användningen av uppgifterna för verksamhetsuppföljning inom en vårdgivare.18 Motsatt bedömning gjordes när det gällde förslaget om att patienten skulle kunna få uppgifter spärrade från åtkomlighet för en större krets av hälso- och sjukvårdpersonal (s.k. inre sekretess). I det fallet ansåg regeringen att patienten skulle ha möjlighet att spärra uppgifterna då detta låg i linje med de grundläggande principerna i hälso- och sjukvårdslagen om att verksamheten ska bygga på respekt för patientens självbestämmande och integritet och så långt som möjligt utföras och genomföras i samråd med patienten.19
Regeringen ansåg när det gällde kvalitetsregister att det var i hälso- och sjukvårdslagens anda att registerföringen förutsätter att den registrerade inte har något emot den, särskilt med tanke på att vårdgivarens deltagande i registerföringen i nationella kvalitetsregister inte är en direkt författningsreglerad skyldighet. En undersökning som
Patientdatautredningen genomförde visade också att en majoritet av
de tillfrågade menade att patienten borde ha ett inflytande i detta avseende.20
Den föreslagna lagen kompletterar patientdatalagen (avsnitt 15.5.3) och förhindrar därför inte den behandling av personuppgifter för kvalitetsuppföljning inom en region, en kommun eller ett privat företag som redan är tillåten enligt den lagen. Inom hälso- och sjukvården är det alltså i praktiken bara när sjukvårdshuvudmannen (regionen eller kommunen) vill behandla personuppgifter för kvalitetsuppföljning som samlas in från offentliga vårdinstanser (myndigheter) som inte ingår i den egna regionen eller kommunen, från privata vårdinstanser eller från omsorgsgivare som den föreslagna lagen behöver användas.
18Prop. 2007/08:126 s. 175. 19Prop. 2007/08:126 s. 151. 20Prop. 2007/08:126 s. 188.
Utredningens förslag innebär att personuppgifter, oftast av känslig natur, ska kunna samlas in för kvalitetsuppföljning från flera vårdinstanser eller omsorgsgivare. Det handlar om potentiellt stora mängder känsliga personuppgifter om en patient eller omsorgsmottagare som kan komma att behandlas utanför den myndighet eller det företag där personuppgifterna ursprungligen dokumenterades. Det kommer därmed att medföra en spridning av personuppgifterna över vad som annars skulle skyddas av yttre sekretessgränser. Utredningen har tidigare pekat på att en viktig del av skyddet för den personliga integriteten är den registerades möjlighet att själv bestämma över tillgången till och behandlingen av hans eller hennes personuppgifter. I hälso- och sjukvårdslagstiftningen är respekten för patientens självbestämmande och integritet en grundprincip. Även vid insatser enligt socialtjänstlagen betonas att verksamheten ska bygga på respekt för människors självbestämmanderätt och integritet.
Utredningen anser att det framstår som lämpligt att kvalitetsuppföljning med personuppgifter från flera vårdinstanser eller omsorgsgivare förutsätter att patienten eller omsorgsmottagaren inte har något emot detta. Utredningen gör i denna del bedömningen att patienternas och omsorgsmottagarnas intresse av självbestämmande och integritet väger mycket tungt, även med beaktande av regionernas och kommunernas totalansvar för verksamhetens kvalitet. Detta är i överensstämmelse med konstruktionen för kvalitetsregister och i linje med hälso- och sjukvårdslagens och socialtjänstlagens anda om självbestämmande och frivillighet. Det motsvarar vidare vad som gäller i fråga om journalföring enligt patientdatalagen genom att en vårdgivare får journalföra och använda uppgifterna inom den egna organisationen, medan patienten kan motsätta sig att uppgifterna görs tillgängliga utanför organisationen. Det ligger också i dataskyddsförordningens anda att använda den registrerades inställning till behandlingen som en integritetsstärkande åtgärd. Detta bör särskilt gälla när det som i detta fall inte handlar om en skyldighet för vårdinstanser och omsorgsgivare att använda kvalitetsuppföljning med personuppgifter från flera vårdinstanser eller omsorgsgivare, utan det är en frivillig möjlighet som ges i den föreslagna lagen.
Utredningen har i tidigare avsnitt lämnat förslag om sammanhållen vård- och omsorgsdokumentation som innefattar en lösning
motsvarande den vid sammanhållen journalföring. Opt out används i ett första skede, innan personuppgifterna görs tillgängliga för andra vård- och omsorgsgivare, följt av den registrerades aktiva samtycke i nästa skede, när en annan vård- eller omsorgsgivare vill ta del av de tillgängliggjorda personuppgifterna. Personuppgifter som behandlas för kvalitetsuppföljning kommer dock inte att göras potentiellt tillgängliga utanför den vårdinstans eller omsorgsgivare som är personuppgiftsansvarig och den vårdinstans eller omsorgsgivare som har lämnat personuppgifterna på så sätt som görs vid direktåtkomst. Utredningen bedömer att integritetsriskerna och risken för att någon obehörigen ska ta del av personuppgifterna inte är lika höga vid kvalitetsuppföljning som vid direktåtkomst genom sammanhållen journalföring eller sammanhållen omsorgsdokumentation. Uppgifter om patientens eller omsorgsmottagarens identitet ska vidare så långt det är möjligt vara krypterade både när de lämnas ut och när de behandlas för kvalitetsuppföljning. Utredningen anser därför att ett aktivt samtycke inte krävs, utan att det är en tillräckligt integritetsstärkande åtgärd med information i kombination med en rätt att motsätta sig behandlingen.
Något som kan tala mot en lösning med opt out är att underlaget till kvalitetsuppföljningen riskerar att inte bli tillräckligt stort, om alltför många väljer att inte medverka. Regionen eller kommunen har ett totalansvar för vården eller omsorgen och därmed ett berättigat intresse av att kunna följa upp verksamheten. Ju mer komplett underlaget är, desto mer korrekt och nyttig blir kvalitetsuppföljningen. Mot det allmännas intresse av en komplett kvalitetsuppföljning ska dock vägas skyddet av patienternas och omsorgsmottagarnas personliga integritet. Såvitt utredningen känner till är det ganska få patienter som inte vill finnas i kvalitetsregister och därför väljer att använda sin rätt att motsätta sig det. Motsvarande kan enligt utredningens bedömning förväntas gälla även vid kvalitetsuppföljning inom vården och omsorgen. De allra flesta som frivilligt underkastat sig vården och omsorgen lär förmodligen inte ha något emot att deras personuppgifter används för kvalitetsuppföljning och i förlängning förbättring av vården och omsorgen. Det kommer troligtvis endast röra sig om en liten minoritet patienter och omsorgsmottagare som väljer att inte delta i kvalitetsuppföljning. Det fåtal patienter och omsorgsmottagare som motsätter sig att delta bör därför inte få några påtagliga effekter för resultatet av kvalitets-
uppföljningen. Utredningen anser vid en avvägning därför att patienternas och omsorgsmottagarnas intresse av självbestämmande och integritet har företräde framför det allmännas intresse av en komplett kvalitetsuppföljning. Eftersom patienter och omsorgsmottagare har rätt att motsätta sig själva vården eller omsorgen, som är frivillig, eller specifika moment inom vården eller omsorgen, vore det vidare ologiskt om de inte också hade rätt att motsätta sig kvalitetsuppföljning av denna.
En annan omständighet som kan tala mot en lösning med opt out är att det kan komma att krävas komplicerade tekniska lösningar för att hantera patienters och omsorgsmottagares motsättanden till olika kvalitetsuppföljningsändamål. Utredningen konstaterar dock att det redan i dag krävs komplexa tekniska lösningar vid behandling av personuppgifter inom vård och omsorg till följd av befintliga regelverk som ställer krav på att kunna hantera stora mängder känslig information med bl.a. opt out. Utredningen anser inte att eventuella tekniska svårigheter är en tillräckligt tungt vägande faktor för att avstå från att föreslå en konstruktion med opt out. Om det skulle anses för tekniskt svårt att hantera motsättanden i fråga om olika kvalitetsuppföljningsändamål, kan vårdinstansen eller omsorgsgivaren välja att vid alla kvalitetsuppföljningar utesluta de som motsatt sig något kvalitetsuppföljningsändamål.
Utredningen föreslår alltså en konstruktion som ger patienten eller omsorgsmottagaren rätt att motsätta sig behandlingen av personuppgifter för kvalitetsuppföljning med personuppgifter från flera vårdinstanser eller omsorgsgivare. Utredningen bedömer sammanfattningsvis att en konstruktion med opt out är en väl avvägd åtgärd för att skydda patienternas och omsorgsmottagarnas personliga integritet. Det stämmer även överens med de grundläggande principerna i dataskyddsförordningen och lagstiftningen om hälso- och sjukvård och socialtjänst om den patientens och omsorgsmottagarens rätt till integritet och självbestämmande. Samtidigt anser utredningen att kvalitetsuppföljning inte utgör en lika stor risk för patientens eller omsorgsmottagarens personliga integritet som exempelvis direktåtkomst vid sammanhållen vård- och omsorgsdokumentation, varför det inte bör krävas ett aktivt samtycke.
Om patienten eller omsorgsmottagaren motsätter sig behandlingen av personuppgifter för ett särskilt kvalitetsuppföljningsändamål, får dennes personuppgifter inte behandlas för det ända-
målet (men väl för andra särskilda kvalitetsuppföljningsändamål, om patienten eller omsorgsmottagaren inte har motsatt sig behandling även för dessa ändamål). Om patientens eller omsorgsmottagarens personuppgifter redan har behandlats för kvalitetsuppföljningsändamålet, måste den behandlingen upphöra så snart det är praktiskt möjligt. En patient eller omsorgsmottagare kan motsätta sig behandlingen för ett särskilt kvalitetsuppföljningsändamål helt eller delvis, t.ex. bara avseende personuppgifter från en viss vårdinstans eller omsorgsgivare. Patienten eller omsorgsmottagaren kan också motsätta sig all behandling av personuppgifter för kvalitetsuppföljning enligt den föreslagna lagen. Ett sådant generellt motsättande antecknas lämpligen i dokumentationen om patienten eller omsorgsmottagaren. Motsättandet kan göras hos den personuppgiftsansvariga vårdinstansen eller omsorgsgivaren eller hos någon vårdinstans eller omsorgsgivare som har lämnat eller avser att lämna patientens eller omsorgsmottagarens personuppgifter för kvalitetsuppföljningen. Det får förutsättas att den vårdinstans eller omsorgsgivare som tar emot ett motsättande och inte är personuppgiftsansvarig genast underrättar den personuppgiftsansvarige. En patient eller omsorgsmottagare som en gång motsatt sig kan ta tillbaka sitt motsättande (i praktiken lämna ett samtycke), varefter personuppgifterna får behandlas för kvalitetsuppföljning enligt den föreslagna lagen.
17.5.2. Personer som inte endast tillfälligt saknar förmåga att ta ställning
En stor del av informationshanteringen i hälso- och sjukvården förutsätter att patienten själv kan ta ställning och ge uttryck för sin vilja i olika avseenden. Personal inom vård och omsorg möter dock ofta personer som av olika anledningar tillfälligt eller mer varaktigt saknar möjlighet att ge uttryck för sin vilja. En sådan person torde även ha nedsatt förmåga att ta emot information och lämna samtycke till den informationshantering som vård- eller omsorgsinsatsen förutsätter.21
Frågan är vad som bör gälla för personer, som har varaktigt nedsatt beslutsförmåga, vid kvalitetsuppföljning med personuppgifter från flera vårdinstanser eller omsorgsgivare. Som tidigare angetts
21 Jfr regeringens uttalanden i prop. 2013/14:202 s. 20 ff som gäller hälso- och sjukvården.
ingår det inte i utredningens uppdrag att utreda särskilda frågor som rör personer med nedsatt beslutsförmåga (jfr avsnitt 16.5.6 och 16.9). Behövs särskild reglering om sådana personer på det område som omfattas av utredningsuppdraget, bör regleringen enligt utredningens direktiv utformas i enlighet med befintlig reglering, t.ex. 6 kap. 2 a § patientdatalagen och 25 kap. 13 § offentlighets- och sekretesslagen.22
Datainspektionen har i ett samrådsyttrande som gällde ett nationellt kvalitetsregister bedömt att endast den registrerade eller en legal ställföreträdare kunde företräda den registrerade i situationer där behandlingen av personuppgifter förutsatte information och en möjlighet att motsätta sig registreringen. Enligt Datainspektionens bedömning kunde man inte registrera personer som varaktigt saknar beslutsförmåga i det nationella kvalitetsregistret Senior Alert med stöd av bestämmelserna i dåvarande patientdatalagen (dvs. innan bestämmelserna om personer med varaktigt nedsatt beslutsförmåga infördes).23 Motsvarande gäller enligt utredningen även vid behandling för kvalitetsuppföljning. För att få behandla personuppgifter som avser personer med varaktigt nedsatt beslutsförmåga, och som inte har en ställföreträdare, krävs att det införs en särskild reglering.
Numera har en lagändring gjorts genom att särskilda bestämmelser om beslutsoförmögna har förts in i 7 kap. 2 a § patientdatalagen. Av den bestämmelsen framgår följande.
För den enskilde som inte endast tillfälligt saknar förmåga att ta ställning enligt 7 kap. 2 § första stycket får personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister, om
1. hans eller hennes inställning till sådan personuppgiftsbehandling så långt som möjligt klarlagts, och
2. det inte finns anledning att anta att han eller hon skulle ha motsatt sig personuppgiftsbehandlingen.
I förarbetena till den bestämmelsen uttalade regeringen bl.a. följande.24
22 Dir. 2019:37 s. 14. Utredningen konstaterar i sammanhanget att det bl.a. i betänkandet Fram-
tidens teknik i omsorgens tjänst (SOU 2020:14) lämnats förslag till bestämmelser som rör personer
med varaktigt nedsatt beslutsförmåga. 23 Datainspektionens beslut 2011-09-16, dnr 708-2011. 24Prop. 2013/14:202 s. 29.
Det är ett grundläggande allmänt intresse och ett krav i lagstiftningen att kvaliteten i hälso- och sjukvården systematiskt och fortlöpande utvecklas och säkras. Det gäller all hälso- och sjukvård och alldeles oavsett om patienten som får vård har förmåga att ta ställning till vårdinsatserna eller den nödvändiga informationshanteringen. Förutsättningarna för att kvalitetssäkra och utveckla vården för personer som i dag eller i framtiden har nedsatt beslutsförmåga är begränsade. Regeringen anser att det ska finnas lika goda legala förutsättningar att förbättra vården, omhändertagandet och livskvaliteten för personer med nedsatt beslutsförmåga som det gör för personer som kan samtycka och ge uttryck för sin inställning i dessa frågor. Det handlar om bärande värden i samhället och om att tillgodose alla människors behov av trygghet och rätt till bästa möjliga vård och omhändertagande.
I patientdatalagen finns vidare särskilda regler för de patienter som inte har möjlighet att ta del av information eller ta ställning i fråga om behandling av personuppgifter i sammanhållen journalföring (6 kap. 2 a § PDL). Enligt dessa får en vårdgivare, under vissa angivna villkor, göra uppgifter om en patient som inte endast tillfälligt saknar förmåga att ta ställning tillgängliga i ett system för sammanhållen journalföring. För detta krävs att patientens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts och det inte finns anledning att anta att patienten skulle ha motsatt sig behandlingen. Inom verksamhet enligt socialtjänstlagen och LSS innehåller lagstiftningen inga generella regler för hur insatser som kräver den enskildes medgivande eller samtycke ska hanteras.25 Utredningen har för sammanhållen vård- och omsorgsdokumentation föreslagit motsvarande bestämmelser för personer med varaktigt nedsatt beslutsförmåga som de som gäller för sammanhållen journalföring, se avsnitt 16.5.6.
Utredningen anser att det finns starka skäl för att, på motsvarande sätt som i fråga om kvalitetsregister och sammanhållen journalföring, inkludera patienter och omsorgsmottagare vars varaktigt nedsatta beslutsförmåga annars skulle hindra dem från att medverka med sina personuppgifter till kvalitetsuppföljning.
Att behandla uppgifter om patienter och omsorgsmottagare som inte kan ta till sig information om behandlingen eller ta ställning i fråga om behandlingen av personuppgifter för kvalitetsuppföljning medför en ökad spridning av personuppgifterna. Därmed ökar risken för intrång i den personliga integriteten. En avvägning måste
25 Se dock 8 § första stycket LSS.
därför göras mellan den personliga integriteten och intresset av att behandla uppgifter om patienter och omsorgsmottagare med varaktigt nedsatt beslutsförmåga.
Utredningen har, när det gäller förslaget att personer med varaktigt nedsatt beslutsförmåga ska kunna omfattas av den sammanhållna omsorgsdokumentationen, tagit fasta på att behovet av en god och säker vård och omsorg väger tyngre än omsorgsmottagarens behov av skydd för den personliga integriteten. En skillnad i förhållande till den sammanhållna vård- och omsorgsdokumentationen är att när det gäller kvalitetsuppföljning handlar det inte om personuppgifter som behövs för patientens eller omsorgsmottagarens vård och omsorg. Patienten eller omsorgsmottagaren har därmed inte samma direkta intresse av att uppgifterna ska kunna användas för att det gagnar den egna personen. Detta skulle kunna tala för att patientens eller omsorgsmottagarens integritetsintresse bör ges en större vikt. Utredningen ser dock ingen anledning att anta att patienter eller omsorgsmottagare med varaktigt nedsatt beslutsförmåga i lägre grad än andra patienter eller omsorgsmottagare skulle vilja bidra med sina personuppgifter till ändamål som syftar till att förbättra kvaliteten på vård och omsorg. Om man inte inför en särreglering för varaktigt beslutsoförmögna, skulle det medföra att patienter och omsorgsmottagare med varaktigt nedsatt beslutsförmåga inte kan medverka till kvalitetsuppföljning (såvida de inte har legala ställföreträdare, se avsnittet nedan). Att frånta dessa patienter och omsorgsmottagare möjligheten att delta i kvalitetsuppföljning, framstår enligt utredningens mening inte som tillfredställande.
Mot integritetsintresset ska även vägas behovet av att kvalitetsuppföljningar kan baseras på ett så heltäckande och korrekt material som möjligt, vilket regeringen anfört i förarbetena till patientdatalagen.26 Många av de som har behov av vård eller omsorg saknar förmåga att utöva sitt självbestämmande och kan således inte heller motsätta sig behandling av personuppgifter. Det kan vara fråga om patienter eller omsorgsmottagare med demens eller funktionsnedsättningar av olika slag. Utredningens uppdrag när det gäller socialtjänst avser enbart äldre och personer med funktionsnedsättningar, där en inte obetydlig andel kan förväntas ingå i gruppen med varaktigt nedsatt beslutsförmåga. Utredningen har i avsnitt 14.5 redovisat att det finns ett klart behov av informationsöverföring mellan
olika vårdinstanser och omsorgsgivare, inklusive när det gäller verksamhet för äldre eller personer med funktionsnedsättningar. Det kan antas att personer med nedsatt beslutsförmåga, t.ex. äldre med demens och personer med en kognitiv funktionsnedsättning, tillhör en grupp som oftare än andra får insatser i samverkan från flera vårdinstanser eller omsorgsgivare. En kvalitetsuppföljning av vård- och omsorgsprocesser med flera vårdinstanser eller omsorgsgivare inblandade kan också vara särskilt värdefull för att kunna anpassa samhället till en åldrande befolkning med medföljande behov av ett förebyggande hälsoarbete. Därför är behovet stort att kunna använda även varaktigt beslutsoförmögnas uppgifter för kvalitetsuppföljning. Att då utesluta denna grupp från att delta i kvalitetsuppföljning med personuppgifter från flera vårdinstanser eller omsorgsgivare framstår inte som ändamålsenligt.
Utredningen anser att det finns ett berättigat och tungt vägande intresse av att uppgifter om patienter och omsorgsmottagare med varaktigt nedsatt beslutsförmåga får ingå i kvalitetsuppföljning. Utredningen föreslår därför särskilda bestämmelser om behandling av personuppgifter om patienter eller omsorgsmottagare med varaktigt nedsatt beslutsförmåga. Bestämmelserna bör utformas på motsvarande sätt som 7 kap. 2 a § patientdatalagen (och som i utredningens förslag i avsnitt 16.5.1om att i första skedet kunna motsätta sig att delta i sammanhållen omsorgsdokumentation).
Lagstiftaren har genom regleringen i patientdatalagen gjort avvägningen att integritetshänsyn kräver att patienten vid registrering i ett kvalitetsregister får information om vad registreringen innebär och en möjlighet att motsätta sig denna. Utredningen anser att en liknande avvägning måste göras för patienter och omsorgsmottagare med varaktigt nedsatt beslutsförmåga för att tillgodose det grundläggande behovet av integritetsskydd. I ett första skede innebär det att en bedömning ska göras av patientens eller omsorgsmottagarens förmåga att själv ta ställning till medverkan i den aktuella kvalitetsuppföljningen. Personalen ska stötta patienten eller omsorgsmottagaren på ett sådant sätt att denne i så stor utsträckning som möjligt kan hävda sin självbestämmanderätt. Om patienten eller omsorgsmottagaren bedöms varaktigt inte själv kunna förstå vad saken gäller, gäller det att så långt möjligt ta reda på vad som är känt om dennes inställning till behandlingen av personuppgifter. Personalen kan då behöva ta
hjälp av information från t.ex. anhöriga och andra närstående.27Behandling av personuppgifter om en patient eller omsorgsmottagare som inte endast tillfälligt saknar förmåga att ta ställning bör endast få göras under förutsättning att dennes inställning till behandlingen av personuppgifter så långt möjligt har klarlagts och det inte framkommit att han eller hon skulle ha motsatt sig behandlingen.
Legala ställföreträdare
Registreringen av patienter som varaktigt saknar beslutsförmåga i kvalitetsregister var enligt Datainspektionens beslut om det nationella kvalitetsregistret Senior Alert inte förenlig med dåvarande lagstiftning.28 Annat gällde dock enligt Datainspektionen om den beslutsoförmögne hade en legal ställföreträdare som efter att ha fått information enligt 7 kap. 3 § patientdatalagen inte motsatte sig registreringen av den beslutsoförmögne. En legal ställföreträdare ansågs alltså kunna ta ställning i fråga om behandling av personuppgifter som rör den beslutsoförmögne.
Utredningen har bedömt att information vid behandling av personuppgifter om varaktigt beslutsoförmögna vuxna torde kunna lämnas till den beslutsoförmögnes legala ställföreträdare för att kunna behandlas enligt förslaget om sammanhållen vård- och omsorgsdokumentation. På motsvarande sätt anser utredningen att rätten att motsätta sig behandling för kvalitetsuppföljning ska kunna ankomma på legala ställföreträdare vid behandling för kvalitetsuppföljning. En god man eller förvaltare ska följaktligen kunna ta ställning till, och när så är aktuellt, motsätta sig att patientens eller omsorgsmottagarens personuppgifter behandlas för kvalitetsuppföljning. Detta förutsätter givetvis att denna arbetsuppgift faller inom ramen för den gode mannens eller förvaltarens uppdrag enligt förordnande. En god man eller förvaltare torde, beroende på vad dennes uppdrag omfattar, i många fall kunna ta ställning till om personuppgifterna får användas för kvalitetsuppföljning.29 Om per-
27 Jfr regeringens uttalanden vid införandet av bestämmelsen i 7 kap. 2 a § patientdatalagen, prop. 2013/14:202 s. 32. 28 Datainspektionens beslut 2011-09-16, dnr 708-2011. 29 En förvaltares uppdrag kan innefatta att bevaka rätt, förvalta egendom och sörja för person (11 kap. 7 § föräldrabalken).
sonen inte har god man eller förvaltare, gäller i stället den föreslagna allmänna regeln om personer med varaktigt nedsatt beslutsförmåga.
17.5.3. Barn
30
och deras vårdnadshavare
Utredningens bedömning: Det bör inte finnas några särskilda
bestämmelser för barn när det gäller kvalitetsuppföljning. Det innebär att barnets vårdnadshavare som regel kan motsätta sig att barnets personuppgifter behandlas för kvalitetsuppföljning. I likhet med vad som gäller i övrigt inom hälso- och sjukvården och socialtjänsten ska allt större hänsyn ska tas till barnets önskemål utifrån barnets ålder och mognad. Det barn som vet vad det gör kan självt motsätta sig behandlingen.
Vårdnaden om ett barn består till dess att barnet fyller 18 år. Vårdnadshavaren har rätt och skyldighet att bestämma i frågor som rör barnets personliga angelägenheter. Vårdnadshavaren ska i takt med barnets stigande ålder och utveckling ta allt större hänsyn till barnets synpunkter och önskemål (6 kap. 11 § föräldrabalken).
För uppgifter om ett barn gäller sekretess som utgångspunkt även i förhållande till dennes vårdnadshavare. Sekretessen gäller dock inte i förhållande till vårdnadshavaren i den utsträckning denne enligt 6 kap. 11 § föräldrabalken har rätt och skyldighet att bestämma i frågor som rör den underåriges personliga angelägenheter, såvida det inte kan antas att den underårige lider betydande men om uppgiften röjs för vårdnadshavaren, eller det annars anges i offentlighets- och sekretesslagen (12 kap. 3 § första stycket OSL). Om sekretess inte gäller i förhållande till vårdnadshavaren, förfogar denne ensam eller, beroende på den underåriges ålder och mognad, tillsammans med den underårige över sekretessen till skydd för den underårige (12 kap. 3 § andra stycket OSL). Det betyder att en vårdnadshavare, när det gäller yngre barn, i regel får ha full insyn i barnets uppgifter i exempelvis en patientjournal och att vårdnadshavaren ensam kan häva den sekretess som annars gäller för uppgifterna om barnet. Med barnets stigande ålder och mognad kan sedan vårdnadshavaren besluta tillsammans med barnet. Slutligen, särskilt när det gäller
30 Med barn avses den som är under 18 år.
äldre barn som närmar sig 18-årsåldern, kan barnet självt disponera över sina uppgifter utan att vårdnadshavaren har rätt att ta del av dessa och häva den sekretess som gäller till skydd för barnet.
I tidigare avsnitt har utredningen beskrivit de särskilda bestämmelser som anger att vårdnadshavaren till ett barn inte får spärra uppgifter om barnet i ett system för sammanhållen journalföring (6 kap. 2 § fjärde stycket PDL). Dessa bestämmelser tar då över i förhållande till föräldrabalkens regler som annars ger vårdnadshavaren rätt att bestämma i frågor som rör den underåriges personliga angelägenheter, vilket typiskt sett omfattar uppgifter i barnets patientjournal. Motivet till att införa särskilda regler när det gäller just spärrmöjligheten var att öka vårdpersonalens möjligheter att upptäcka barn som far illa och att kunna bedöma om det behöver göras en orosanmälan enligt socialtjänstlagen för att barnet ska få erforderligt skydd. I det fallet bedömde regeringen att skyddet för barnet vägde tyngre än skyddet för barnets integritet.31 Se närmare beskrivning i avsnitt 16.5.5.
Av samma skäl som på hälso- och sjukvårdsområdet har utredningen i avsnitt 16.5.5 föreslagit att det ska finnas särskilda bestämmelser som innebär att vårdnadshavare inte får spärra uppgifter om barnet från tillgänglighet i ett system med sammanhållen vård- och omsorgsdokumentation.
Utredningen anser att det inte finns några motsvarande skyddsintressen för barn vid kvalitetsuppföljning, som när det gäller spärrar för direktåtkomst till uppgifter om barnet. Intresset av att ett barns uppgifter ingår i kvalitetsuppföljning handlar inte om att skydda barnet från missförhållanden som utövas av vårdnadshavaren eller att kunna fullgöra någon lagstadgad anmälningsplikt. Vid kvalitetsuppföljning handlar det i stället om ett allmänt intresse av att vårdinstanser och omsorgsgivare kan följa upp och utveckla vården och omsorgen. Då är det naturligtvis önskvärt att många individer deltar i kvalitetsuppföljningen, så att uppföljningen bygger på ett så fullständigt underlag som möjligt. Utredningen ser dock ingen anledning att när det gäller kvalitetsuppföljning införa någon särreglering som begränsar vårdnadshavares möjlighet att påverka barns deltagande i kvalitetsuppföljning. Utredningen noterar också att det inte finns någon särreglering för barn när det gäller kvalitetsregister utan där får man falla tillbaka på allmänna principer om vårdnadshavares
31Prop. 2007/08:126 s. 115 och 250 f.
möjligheter och att allt större hänsyn ska tas till barnets önskemål utifrån barnets ålder och mognad. Utredningen anser att detta är förenligt med det särskilda skydd för uppgifter om barn som kommer till uttryck i bl.a. skäl 38 till dataskyddsförordningen (se avsnitt 16.5.5).
Utredningen anser att det inte heller finns skäl att införa någon specifik åldersgräns för när ett barn självt ska få motsätta sig deltagande i kvalitetsuppföljning. Utredningen anser att det framstår som mest lämpligt att barns självbestämmande respekteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården och socialtjänsten. Utredningen hänvisar i denna del till de resonemang som förts i avsnitt 16.5.5.
17.6. Information
Utredningens förslag: Innan personuppgifter behandlas för
kvalitetsuppföljning ska den som är personuppgiftsansvarig se till att patienten eller omsorgsmottagaren, utöver den information som ska lämnas enligt annan författning eller dataskyddsförordningen, får information om rätten att när som helst motsätta sig behandlingen.
Om det inte är möjligt att lämna informationen innan behandlingen av personuppgifterna påbörjas, ska den lämnas så snart som möjligt därefter.
I dataskyddsförordningen finns allmänna krav på information som personuppgiftsansvariga ska lämna till registrerade vars personuppgifter behandlas. Dessa bestämmelser gäller även för information till patienter och omsorgsmottagare när personuppgifter behandlas för kvalitetsuppföljning. Även dataskyddslagen och patientdatalagen innehåller kompletterande bestämmelser om information.
Artikel 12 i dataskyddsförordningen ställer krav på att klar och tydlig information ska ges till den registrerade. Bland annat anger bestämmelsen att den personuppgiftsansvarige ska vidta lämpliga åtgärder för att tillhandahålla all information som avses i dataskyddsförordningen. Informationen ska ges i en koncis, klar och tydlig, begriplig och lätt tillgänglig form med användning av ett klart och tydligt språk. Detta gäller i synnerhet för information som är riktad
till barn. Informationen ska tillhandahållas skriftligt eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form.
Av dataskyddsförordningens bestämmelser om information (se artikel 13 och 14 i dataskyddsförordningen) följer vidare ett antal krav på sådan särskild information som ska ges till en registrerad vid behandling av dennes personuppgifter. Att lämna information bidrar till transparens så att de registrerade kan tillvarata sina rättigheter enligt dataskyddsförordningen och till att patientens eller omsorgsmottagarens deltagande i kvalitetsuppföljningen är frivilligt.
Som utredningen redogjort för i avsnitt 16.5.4 är det förenligt med dataskyddsförordningen (jfr artikel 6.2 och 6.3 i dataskyddsförordningen) att i den föreslagna lagen ställa upp särskilda krav på information som förutsättning för att personuppgifter ska få behandlas.
Att patienten eller omsorgsmottagaren har fått klar, tydlig och korrekt information om vad behandlingen av personuppgifterna vid kvalitetsuppföljningen innebär, och om möjligheten att motsätta sig sådan behandling, är en förutsättning för att patienten eller omsorgsmottagaren ska kunna fatta ett välgrundat beslut om denne vill delta i kvalitetsuppföljning med sina personuppgifter. Därför är det viktigt att informationen, så långt det är möjligt, lämnas innan behandlingen påbörjas. Utredningen föreslår därför att detta uttryckligen ska framgå av den föreslagna lagen.
Inom hälso- och sjukvården och socialtjänsten kan emellertid ibland uppstå situationer då information inte kan lämnas på ett tidigt stadium, t.ex. då patientens eller omsorgsmottagarens fysiska eller psykiska tillstånd gör det omöjligt för denne att ta del av informationen. Det kan exempelvis bero på att en patient är medvetslös eller att en omsorgsmottagare är alltför fysiskt eller psykiskt medtagen för att kunna ta till sig information av detta slag.32 Inom socialtjänsten rör det sig sannolikt inte om ett så pass allvarligt tillstånd som medvetslöshet, utan det kan snarare vara fråga om en äldre person vars demenssjukdom tillfälligt förvärrats. I likhet med vad regeringen uttalade i fråga om behandling av personuppgifter i kvalitetsregister, anser utredningen att sådana situationer inte ska förhindra att behandlingen av personuppgifterna ändå kan påbörjas, trots att man inte kunnat lämna information. Därför föreslår utredningen att informationen i en sådan situation ska lämnas så snart det kan ske. Undantag från kravet att informera innan behandling av personupp-
gifter påbörjas föreslås alltså gälla vid kvalitetsuppföljning i de situationer där informationen inte kan lämnas på ett tidigt stadium. Undantaget innebär i fråga om de patienter och omsorgsmottagare som bedöms som varaktigt oförmögna att ta till sig informationen (och inte har en legal ställföreträdare, se avsnitt 17.5.2), att deras personuppgifter får behandlas för kvalitetsuppföljning utan föregående information. Skulle patienten eller omsorgsmottagaren bli så bra att denne kan ta till sig informationen, ska informationen genast lämnas.
Eftersom utredningen föreslår att man ska få motsätta sig behandling av personuppgifter för kvalitetsuppföljning, till skillnad från vad som generellt gäller inom hälso- och sjukvård och socialtjänst, bör särskild information lämnas om rätten att motsätta sig behandlingen och vad detta medför. Se vidare i avsnitt 17.5.1 där utredningen beskriver konsekvensen av att en patient eller omsorgsmottagare motsätter sig behandling av personuppgifter för kvalitetsuppföljning samt hur vårdinstanser och omsorgsgivare kan hantera ett motsättande. Det får förutsättas att den vårdinstans eller omsorgsgivare som tar emot ett motsättande och inte är personuppgiftsansvarig genast underrättar den personuppgiftsansvarige.
Hur informationen ska lämnas bör, i likhet med vad som gäller
enligt patientdatalagen, överlåtas åt varje personuppgiftsansvarig att bestämma. Något rättsligt krav på att informationen ska lämnas i viss form, muntlig eller skriftlig, föreslås alltså inte. Utredningen utgår från att personuppgiftsansvariga utarbetar rutiner för att säkerställa att informationsskyldigheten här, liksom vid övrig behandling av personuppgifter, säkerställs. Till exempel kan man tänka sig att den ordning med informationsblad och information på hemsidor, som i dag förekommer i fråga om t.ex. kvalitetsregister, kan vara ett lämpligt sätt att informera även om kvalitetsuppföljning. Ofta är det förmodligen naturligt att den vårdinstans eller omsorgsgivare som lämnar uppgifter till den personuppgiftsansvariga vårdinstansen eller omsorgsgivaren tar hand om att lämna informationen, eftersom det är denne som har kontakt med patienten eller omsorgsmottagaren.
När det gäller patienter och omsorgsmottagare som inte talar svenska bör den personuppgiftsansvarige se till att informationen översätts eller att det finns skriftlig information på andra språk.
Utöver den individuella information som ska lämnas gäller att beslutet om kvalitetsuppföljning ska hanteras enligt kraven i kom-
munallagen på att offentliggöra beslut. Vidare gäller att beslutet ska offentliggöras på lämpligt sätt, enligt vad utredningen beskrivit ovan i avsnitt 17.3.1.
17.7. Kryptering
Utredningens förslag: Vid utlämnande av personuppgifter för
kvalitetsuppföljning ska uppgifter om patientens eller omsorgsmottagarens identitet vara krypterade på ett sådant sätt att dennes identitet skyddas. Vid den senare behandlingen av personuppgifterna för kvalitetsuppföljning ska uppgifter om patientens eller omsorgsmottagarens identitet också, så långt det är möjligt, vara krypterade på ett sådant sätt att dennes identitet skyddas.
Vid behandling av personuppgifter måste den personuppgiftsansvarige se till att uppgifterna skyddas på ett tillräckligt bra sätt genom att vidta lämpliga säkerhetsåtgärder. Den personuppgiftsansvarige ska enligt principen om inbyggt dataskydd genomföra lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering (artikel 25 i dataskyddsförordningen). Som utredningen redogjort för i avsnitt 14.6.4 är pseudonymisering och kryptering verktyg som kan användas som integritetsstärkande åtgärder. Eftersom kvalitetsuppföljning är en behandling där stora mängder känsliga personuppgifter kan komma att överföras och behandlas, anser utredningen att det är befogat att i den föreslagna lagen ta med särskilda bestämmelser om säkerhetsåtgärder.
Eftersom det vid kvalitetsuppföljning inte i sig är intressant vilken patient eller omsorgsmottagare uppgifter rör, bör patienters eller omsorgsmottagares identitet så långt det är möjligt skyddas. Det innebär att uppgifter om patientens eller omsorgsmottagarens identitet, dvs. uppgifter om namn och personnummer, så långt det är möjligt inte bör vara tillgängliga i klartext i samband med kvalitetsuppföljning. Det kan uppnås genom kryptering av namn och personnummer. En form av kryptering som ofta är lämplig när man som vid kvalitetsuppföljning behöver samla in och sammanställa uppgifter från flera källor är s.k. envägskryptering (icke reversibel kryptering) med en hashfunktion. Envägskryptering innebär att personnumret, ofta tillsammans med en slumpmässigt vald teckensträng
(s.k. salt), krypteras med hashfunktionen (en algoritm) till en teckensträng. Den teckensträngen kan sedan inte utan mycket stora ansträngningar avkrypteras till personnumret. Använder man samma hashfunktion (och eventuellt salt) på ett personnummer, blir emellertid den resulterande teckensträngen alltid densamma. Därmed kan man, när det finns uppgifter att lägga till, koppla uppgifter till individer utan att känna till deras personnummer. Om de utlämnande vårdinstanserna och omsorgsgivarna, som har personnumren i klartext, krypterar personnumren med samma metod före utlämnandet, kan den personuppgiftsansvariga vårdinstansen eller omsorgsgivaren således koppla uppgifter från flera håll till en patient eller omsorgsmottagare utan att känna till dennes personnummer.
Kryptering är en integritetsstärkande åtgärd som kan användas för att skydda de känsliga personuppgifter som ingår i kvalitetsuppföljningen. Kryptering tillgodoser principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen, eftersom metoden innebär att den personuppgiftsansvarige inte behandlar fler direkt identifierande personuppgifter än vad som är nödvändigt för ändamålet med behandlingen. Krav på kryptering uppfyller också villkoren i principen om integritet och konfidentialitet i artikel 5.1 f i dataskyddsförordningen, som anger att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna med användning av lämpliga tekniska och organisatoriska åtgärder. Pseudonymisering och kryptering utgör också sådana säkerhetsåtgärder som nämns i artikel 32 i dataskyddsförordningen och som ska vidtas i den mån det är lämpligt.33
Utredningen anser således att det i den föreslagna lagen bör uppställas krav på att de identitetsuppgifter som används i samband med kvalitetsuppföljning så långt det går ska vara förvanskade så att patienternas och omsorgsmottagarnas identitet skyddas.
När det gäller formuleringen av kravet på förvanskning är det i allmänhet numera lämpligt att om det går anknyta till begrepp som är definierade i den direkt tillämpliga dataskyddsförordningen. I artikel 4.5 i dataskyddsförordningen definieras pseudonymisering enligt följande.
33SOU 2017:66 s. 288 f.
[B]ehandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.
Definitionen förutsätter uttryckligen att det finns kompletterande uppgifter som gör att uppgifterna kan tillskrivas en specifik registrerad för att det ska vara fråga om pseudonymisering. Pseudonymisering enligt definitionen verkar därmed utesluta sådan envägskryptering som beskrivits ovan och som i flera fall kan ge ett bättre skydd än andra metoder för förvanskning.34 Envägskryptering innebär ju att det inte finns några kompletterande uppgifter som gör att de (redan) behandlade och krypterade personnumren kan tillskrivas en specifik registrerad; de krypterade personnumren kan inte återskapas. Att pseudonymisering och kryptering inte används som synonymer i dataskyddsförordningen visas av att båda orden används i artikel 6.4 e och 32.1 a i dataskyddsförordningen. Av dessa skäl anser utredningen att det inte är lämpligt att anknyta till begreppet pseudonymisering i dataskyddsförordningen. I stället bör ett nationellt begrepp, som innefattar envägskryptering, användas. Utredningen anser att begreppet kryptering är lämpligt.
Begreppet kryptering förekommer i dag i bl.a. 14 § lagen (1996:1156) om receptregister35 och 4 kap. 6 § patientdatalagen. I 4 kap. 6 § första stycket patientdatalagen finns det en upplysning om att det i 14 § lagen om receptregister finns bestämmelser om att E-hälsomyndigheten ska lämna ut vissa uppgifter till regionerna om förskrivning av läkemedel och andra varor och att uppgifter om patientens identitet ska vara krypterade vid utlämnandet. Sådana upp-
34 Regeringen verkar dock ha gjort motsatt bedömning, se prop. 2017/18:298 s. 64. 35 Lagen om receptregister upphävs den 1 maj 2021 och ersätts av lagen (2018:1212) om nationell läkemedelslista. Bestämmelsen i 4 kap. 6 § patientdatalagen kommer därför att upphävas och ersättas med följande lydelse som träder i kraft den 1 maj 2021, se SFS 2018:1214, 2019:991 och 2020:307. I 6 kap. 3 § lagen (2018:1212) om nationell läkemedelslista finns bestämmelser om att Ehälsomyndigheten ska lämna ut vissa uppgifter till regionerna om förskrivning av läkemedel och andra varor och att uppgifter om patientens identitet ska vara krypterade vid utlämnandet. Uppgifter som avses i första stycket får inte behandlas i syfte att röja en patients identitet utan att patienten samtycker till det. Uppgifter om en patients identitet som har dokumenterats inom hälso- och sjukvården och som regionerna ska sambearbeta med sådana uppgifter som avses i första stycket, ska vara krypterade så att patientens identitet skyddas vid behandlingen.
gifter om patientens identitet får enligt 4 kap. 6 § andra stycket patientdatalagen inte behandlas i syfte att röja en patients identitet utan att patienten samtycker till det. Av tredje stycket i den paragrafen framgår att uppgifter om en patients identitet som har dokumenterats inom hälso- och sjukvården och som regionerna ska sambearbeta med sådana uppgifter om patientens identitet som har lämnats ut från E-hälsomyndigheten, ska vara krypterade så att patientens identitet skyddas vid behandlingen. Enligt förarbetena innefattar begreppet kryptering i lagen om receptregister och patientdatalagen envägskryptering.36
Ordet kryptering förekommer på flera ställen i dataskyddsförordningen, men det finns där ingen definition av kryptering.
Med kryptering avser utredningen alla former av kryptering, pseudonymisering enligt definitionen i dataskyddsförordningen och andra former av kodnyckelförfaranden samt envägskryptering.
Vid behandling av personuppgifter för kvalitetsuppföljning bör uppgifter om patientens eller omsorgsmottagarens identitet så långt
det är möjligt vara krypterade på ett sådant sätt att dennes identitet
skyddas. Formuleringen ”så långt det är möjligt” syftar på det fallet att man ibland kan använda sig av tvåvägskryptering och då temporärt behöver avkryptera uppgifterna för att sammanföra eller lägga till uppgifter för individer.
Värt att notera är att principerna för dataskydd gäller all information som rör en identifierad eller identifierbar fysisk person, således också när identitetsuppgifterna är krypterade så länge kodnyckeln finns i behåll eller övriga uppgifter är så omfattande att s.k. bakvägsidentifiering är möjlig. Även när identitetsuppgifterna är krypterade är det således som regel fråga om behandling av personuppgifter när det finns kompletterande uppgifter som gör identifiering möjlig, dvs. en s.k. kodnyckel. I sådana fall bör bara så få personer som möjligt hos den personuppgiftsansvarige tilldelas behörighet att ta del av kodnyckeln. Vidare bör det krävas att den personuppgiftsansvarige ser till att åtkomst till kodnyckeln och de personuppgifter som inte är föremål för kryptering dokumenteras och kan kontrolleras samt att den personuppgiftsansvarige gör systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna.
Offentlighets- och sekretesslagen innehåller en bestämmelse om sekretess för chiffer, kod m.m. Av bestämmelsen (18 kap. 9 § OSL)
följer att sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om chiffer, kod eller liknande metod, om det kan antas att syftet med metoden motverkas om uppgiften röjs och metoden har till syfte att – underlätta befordran eller användning i allmän verksamhet av upp-
gifter utan att föreskriven sekretess åsidosätts, eller – göra det möjligt att kontrollera om data i elektronisk form har
förvanskats.
Bestämmelsen är intagen i 18 kap. offentlighets- och sekretesslagen, som främst avser intresset att förebygga eller beivra brott. Bestämmelsen syftar emellertid till att skydda hemliga uppgifter i allmän verksamhet även om de är sekretesskyddade av hänsyn till något annat intresse som avses i 2 kap. 2 § tryckfrihetsförordningen. Sekretessen gäller endast om ett röjande av uppgiften kan antas motverka syftet med chiffret, dvs. att slå vakt om sekretessen i allmän verksamhet.37 Av 2 kap. 2 § 6 tryckfrihetsförordningen framgår att rätten att ta del av allmänna handlingar får begränsas om det krävs med hänsyn till skyddet för enskildas personliga eller ekonomiska förhållanden.
Den kodnyckel som behöver framställas och förvaras för att kunna göra identifiering av de patienter och omsorgsmottagare som ingår i kvalitetsuppföljning möjlig, behöver enligt utredningens mening skyddas av hänsyn till enskildas personliga förhållanden. Det står också klart att ett syfte med metoden – kvalitetsuppföljning som bygger på krypterade uppgifter – är just att minska röjandet av sekretesskyddade uppgifter. Utredningen bedömer därför att bestämmelsen i 18 kap. 9 § offentlighets- och sekretesslagen kan tillämpas på uppgifter som lämnar eller kan bidra till upplysning om själva kodnyckeln. Det innebär att sekretess gäller för uppgifterna om kodnyckeln, om det kan antas att syftet med metoden motverkas om uppgiften röjs.
37 Eva Lenberg m.fl., Offentlighets- och sekretesslagen, kommentaren till 18 kap. 9 § offentlighets- och sekretesslagen, JUNO version: 21.
17.8. Behörighetstilldelning, loggning och kontroll av åtkomst
Utredningens förslag: Om det finns kompletterande uppgifter
som gör identifiering möjlig, får bara så få personer som möjligt hos den personuppgiftsansvarige tilldelas behörighet att ta del av dem. Den personuppgiftsansvarige ska se till att åtkomst till de kompletterande uppgifterna och de personuppgifter som inte är föremål för kryptering dokumenteras och kan kontrolleras. Den personuppgiftsansvarige ska också göra systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna.
Kvalitetsuppföljning bygger som tidigare sagts på att patienterna och omsorgsmottagarna accepterar att delta i kvalitetsuppföljningen och inte väljer att motsätta sig behandlingen. Det handlar om potentiellt stora mängder känsliga personuppgifter som enligt utredningens förslag kommer att kunna överföras från andra vårdinstanser och omsorgsgivare och behandlas. Det är av stor vikt att dessa känsliga personuppgifter hanteras på ett säkert sätt och skyddas från obehörig åtkomst. Utan inbyggda säkerhetsåtgärder, som behörighetstilldelning, loggning och kontroll avseende åtkomsten till uppgifterna, finns risk att patienter och omsorgsmottagare inte vill delta i systemet. Det är därför viktigt att förtydliga att det är den personuppgiftsansvarige som har ansvar för att åtkomsten till personuppgifter inte är mer omfattande än vad som krävs.
Behörighetsstyrning kan uttryckas som arbete med att avgöra hur stor tillgång till uppgifter i ett verksamhetssystem som en person med en viss funktion eller roll ska få. Behörighetsstyrning är fundamentalt för att se till att ingen obehörig åtkomst sker inom en organisation.38 Genom att användare endast får tillgång till sådana personuppgifter som han eller hon har behov av i sitt arbete, kan risken för otillåten behandling av personuppgifter förebyggas eller åtminstone minskas. Loggkontroller medger uppföljning av användarnas behandling av personuppgifter och syftar till att upptäcka situationer då personuppgifter behandlats på ett otillåtet sätt.
38 Socialstyrelsens skrift Säker personuppgiftsbehandling i socialtjänsten, Rättsläge och utgångs-
punkter, 2019, s. 27.
Tilldelning och begränsning av behörigheter samt loggkontroll är säkerhetsåtgärder enligt dataskyddsförordningen. Av artikel 5.1 f framgår att personuppgifter ska behandlas på ett sätt som säkerställer ett lämpligt skydd för personuppgifterna, inbegripet bl.a. skydd mot obehörig eller otillåten behandling, med användning av lämpliga tekniska eller organisatoriska åtgärder (principen om integritet och konfidentialitet). Behov av logguppföljning (loggning) är också något som följer av säkerhetskraven i artikel 5.1 f och artikel 32 i dataskyddsförordningen. Tilldelning och begränsning av behörigheter är sådana tekniska och organisatoriska åtgärder som den personuppgiftsansvarige ska vidta på eget initiativ enligt dataskyddsförordningen. Utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull upphör, kan mer specifika krav även fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen.39
I 4 kap.1–3 §§patientdatalagen finns exempel på ett antal bestämmelser som på olika sätt reglerar den interna tillgången till personuppgifter inom hälso- och sjukvården. Bestämmelserna innebär bl.a. att en medarbetare får ta del av uppgifter om patienter endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete. En vårdgivare ska också begränsa behörigheten till uppgifter till vad som behövs för att en medarbetare ska kunna fullgöra sina arbetsuppgifter samt se till att åtkomst dokumenteras och kontrolleras.40 Inom socialtjänsten finns inte samma detaljreglering i lag av hur behörighetsstyrning ska ske. I 11 kap. 5 § andra stycket socialtjänstlagen anges att handlingar ska förvaras så att obehöriga inte kan ta del av dem. Detta innebär att känsliga personuppgifter ska skyddas från att obehöriga tar del av dem, och kan ses som ett uttryck för principen om integritet och konfidentialitet. Se avsnitt 16.14 och 16.15 för närmare beskrivning
39SOU 2017:66 s. 287. 40 Datainspektionen har i en vägledning beskrivit kraven på att genomföra sådana behovs- och riskanalyser som ska ligga till grund för behörighetstilldelning inom hälso- och sjukvården. Se Datainspektionens vägledning Behovs- och riskanalys inom hälso- och sjukvården – en vägled-
ning (dnr DI-2020-11495 2020-12-01). Jfr även Datainspektionens beslut 2020-12-02 dnr DI-
2019-3839—3846. Besluten bygger på en granskning av åtta vårdgivare där Datainspektionen har granskat hur vårdgivarna styr personalens åtkomst till journalsystemen och om journalsystemens loggar innehåller tillräcklig information för att det ska gå att upptäcka om någon obehörig tar del av patientuppgifterna. Datainspektionen upptäckte brister som i sju av de åtta granskade fallen medförde att Datainspektionen beslutade att vårdgivarna skulle betala sanktionsavgifter för överträdelserna.
av hur behörighetstilldelning och loggkontroll tillämpas inom hälso- och sjukvård och socialtjänst.
Bestämmelserna i 4 kap. 2 § patientdatalagen (tilldelning av behörighet för elektronisk åtkomst) och 4 kap. 3 § (kontroll av elektronisk åtkomst) riktar sig till vårdgivare. Eftersom utredningen när det gäller kvalitetsuppföljning använder begreppet vårdinstans, som har en annan betydelse än vårdgivare, behövs särskilda bestämmelser som riktar sig till den personuppgiftsansvarige när det gäller tilldelning av behörighet för elektronisk åtkomst och kontroll av sådan åtkomst.
Om det finns kompletterande uppgifter som gör identifiering av personerna som deltar i kvalitetsuppföljningen möjlig, själva kodnyckeln, är dessa givetvis särskilt skyddsvärda. Utredningen anser därför att det är befogat att i den föreslagna lagen ta med särskilda krav på behörighetstilldelning avseende sådana kompletterande uppgifter, utöver vad som redan gäller enligt patientdatalagen och socialtjänstlagen.
Det torde endast vara ett mycket begränsat antal personer som i arbetet behöver tillgång till de kompletterande uppgifterna. Användarna ska tilldelas rätt behörighet, dvs. tillräckligt för att de ska kunna utföra sina arbetsuppgifter på ett säkert sätt men samtidigt inte mer omfattande än vad som är nödvändigt för detta. Utredningen anser därför att det bör komma till uttryck i lagen att så få personer som möjligt hos den personuppgiftsansvarige får tilldelas behörighet att ta del av de kompletterande uppgifterna. Personer utanför den personuppgiftsansvarige, exempelvis inhyrda konsulter eller personer hos personuppgiftsbiträden, ska inte få tilldelas sådan behörighet. Den personuppgiftsansvarige ska även se till att åtkomst till de kompletterande uppgifterna och de personuppgifter som inte är föremål för kryptering dokumenteras och kan kontrolleras. Detta bidrar till att upprätthålla dataskyddsförordningens principer om uppgiftsminimering, integritet och konfidentialitet.
När bestämmelsen om krav på loggkontroll infördes i patientdatalagen uttalade regeringen att en sådan bestämmelse inte bara innebär att faktiska dataintrång med större säkerhet kommer att kunna konstateras och beivras, utan även att bestämmelsen borde få en starkt avhållande verkan från att olovligen läsa uppgifter.41 För att höja medvetenheten hos den personuppgiftsansvarige om sitt ansvar
att vidta loggkontroller och därmed öka skyddet för patienternas och omsorgsmottagarnas personliga integritet, anser utredningen att det också bör komma särskilt till uttryck i den föreslagna lagen att logguppföljning ska ske. Utredningen anser även att ett krav på loggkontroll kan förväntas få en avhållande effekt. Utredningen anser att kravet bör formuleras så att den personuppgiftsansvarige ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna.
Dokumentationen, de s.k. loggarna, måste sparas en tid för att möjliggöra kontroll. Systematiska och återkommande stickprovskontroller av loggarna behöver göras och antalet stickprovskontroller ska vara proportionerliga i förhållande till antalet slagningar som görs i systemet.
17.8.1. Alternativ reglering
Om författningsförslagen i avsnitt 1.3 om en generell sekretessbrytande bestämmelse inom socialtjänsten genomförs, kommer den reglering som här ovan föreslagits om behörighetstilldelning, loggning och kontroll av åtkomst att behöva utformas något annorlunda (jfr förslaget om alternativ reglering i avsnitt 16.14.3 och 16.15.3). SoLPUL kommer i så fall att innehålla en bestämmelse om tilldelning av behörighet för åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat (9 §). Enligt bestämmelsen i SoLPUL ska behörigheten anpassas och begränsas till vad som behövs för att befattningshavaren ska kunna fullgöra sina arbetsuppgifter inom socialtjänsten (i stort). SoLPUL kommer i sådana fall även att innehålla en bestämmelse om kontroll av åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat(10 §). Bestämmelserna gäller för behandling av personuppgifter i socialtjänsten, dvs även vid kvalitetsuppföljning som omfattar personuppgifter i socialtjänsten. Detta behöver därför inte regleras i den föreslagna lagen. Utredningen anser dock att den föreslagna lagen bör innehålla en upplysning om att bestämmelserna finns. Dessutom ska gälla att vid kvalitetsuppföljning ska behörigheten (till skillnad från de allmänna bestämmelserna i PDL och SoLPUL) begränsas till så få personer som möjligt hos den personuppgiftsansvarige.
Det bör även anges i den föreslagna lagen att bestämmelserna om behörighetstilldelning och åtkomstkontroll i 4 kap.2 och 3 §§patientdatalagen också gäller för vårdinstanser. Detta eftersom vårdinstanser är ett begrepp som utredningen föreslår just när det gäller kvalitetsuppföljning, och som inte förekommer i patientdatalagen.
Om den alternativa regleringen genomförs, kan bestämmelserna om behörighetstilldelning och kontroll av åtkomst regleras i samma paragraf. Det innebär att i sådana fall behövs inte en egen paragraf som reglerar kontroll av åtkomst.
17.9. Känsliga personuppgifter
Utredningens bedömning: Kravet på tystnadsplikt som följer av
artikel 9.3 i dataskyddsförordningen är uppfyllt för de känsliga personuppgifter som kan komma att ingå i en behandling av personuppgifter för kvalitetsuppföljning. Det är lämpligt att påminna om tystnadsplikten i den föreslagna lagen.
Utredningens förslag: Personuppgifter om hälsa får behandlas
för kvalitetsuppföljning. Andra känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen får behandlas för kvalitetsuppföljning bara om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.
Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i dataskyddsförordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen är uppfyllt.
Artikel 9.1 i dataskyddsförordningen räknar upp de olika kategorier av personuppgifter som utgör s.k. känsliga personuppgifter42. Behandling av känsliga personuppgifter får enligt artikel 9.2 h i dataskyddsförordningen ske om den är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahål-
42 De angivna kategorierna av personuppgifter benämns i artikel 9 i dataskyddsförordningen som särskilda kategorier av uppgifter, men kallas vanligen i svenska registerförfattningar för
känsliga personuppgifter, se t.ex. 3 kap. 1 § dataskyddslagen. Som utredningen redogjort för i
avsnitt 4.8 avser utredningen med känsliga personuppgifter det som räknas upp i artikel 9.1 i dataskyddsförordningen.
lande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller den nationella rätten eller enligt avtal med yrkesverksamma på hälsoområdet.
Utredningen har i avsnitt 15.3.3 redogjort för sin uppfattning att känsliga personuppgifter får behandlas för kvalitetsuppföljning av vård och omsorg med stöd av artikel 9.2 h i dataskyddsförordningen. I artikel 9.4 i dataskyddsförordningen anges att medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandling av vissa kategorier av känsliga personuppgifter, nämligen genetiska eller biometriska uppgifter eller uppgifter om hälsa. Att särskilda nationella villkor för att få behandla känsliga personuppgifter för kvalitetsuppföljning av vård och omsorg är tillåtna framgår av artikel 6.2 och 6.3 i dataskyddsförordningen.
I 3 kap. 5 § dataskyddslagen anges att känsliga personuppgifter får behandlas om behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård eller behandling, social omsorg samt förvaltning av hälso- och sjukvårdstjänster, social omsorg och deras system. Bestämmelsen erinrar även om att sådan behandling får ske endast under förutsättning att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen är uppfyllt. Regeringen uttalade i förarbetena till dataskyddslagen, att även om dessa krav visserligen följer direkt av dataskyddsförordningen, var det av stor vikt för verksamheten inom de områden som omfattas av bestämmelsen att förutsättningarna för att behandla känsliga personuppgifter framgår tydligt.43 Bestämmelserna i dataskyddslagen är subsidiära i förhållande till annan lagstiftning (1 kap. 6 § dataskyddslagen). Ett förbud i annan lagstiftning mot att behandla känsliga personuppgifter för vård eller omsorg tar således över bestämmelsen i 3 kap. 5 § dataskyddslagen.
I 7 kap. 8 § tredje stycket patientdatalagen anges att uppgifter om hälsa får behandlas i nationella och regionala kvalitetsregister. Andra känsliga personuppgifter får behandlas i nationella och regionala kvalitetsregister endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det. I förarbetena till patientdatalagen angav regeringen att det var en omöjlighet att närmare preci-
sera i detalj vilka personuppgifter som får behandlas i alla de sinsemellan olika nationella kvalitetsregistren, i vart fall på lagstiftningsnivå. Regeringen slog dock fast att uppgifter om hälsa är känsliga personuppgifter som måste få behandlas i nationella och regionala kvalitetsregister. Däremot ansåg regeringen att det från integritetssynpunkt fanns skäl att inskränka utrymmet för behandling av andra känsliga personuppgifter. De närmare förutsättningarna borde dock inte anges i författning utan i beslut i enskilda fall rörande ett visst kvalitetsregister.44
Utredningen konstaterar att en stor del av de personuppgifter som kommer att hämtas från andra vårdinstanser och omsorgsgivare för att behandlas för kvalitetsuppföljning sannolikt utgör personuppgifter om hälsa i dataskyddsförordningens mening. Därmed utgör de alltså känsliga personuppgifter. Precis som när det gäller kvalitetsregister finns ett klart behov av att i lag tillåta behandling av uppgifter om hälsa för kvalitetsuppföljning. I likhet med vad som gäller för kvalitetsregister, bör behandling av andra känsliga personuppgifter för kvalitetsuppföljning endast få ske om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.
Ett villkor för behandling av känsliga personuppgifter enligt artikel 9.2 h i dataskyddsförordningen är att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen är uppfyllt. Där anges att personuppgifter bara får behandlas av eller under ansvar av en yrkesutövare, eller av en annan person, som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.
Inom hälso- och sjukvården och socialtjänsten gäller i Sverige som regel tystnadsplikt, både i den offentliga sektorn (enligt offentlighets- och sekretesslagen) och i den privata sektorn (enligt bl.a. patientsäkerhetslagen [2010:659] och 15 kap. socialtjänstlagen). Som redogjorts för i bl.a. avsnitt 5.4 och 5.5 råder i regel stark sekretess och tystnadsplikt för den typ av personuppgifter som förekommer inom hälso- och sjukvård och socialtjänst. Otillåtet röjande av en sekretessbelagd uppgift är straffsanktionerat som brott mot tystnadsplikt enligt 20 kap. 3 § brottsbalken. Straffbestämmelsen avser både sådan tystnadsplikt som gäller offentliga funktionärer enligt offentlighets- och sekretesslagen och sådana tystnadsplikter som gäller i enskild verksamhet och följer av andra författningar.
44 Prop. 2007/08 :126 s. 185.
Avgörande för straffansvar är att man obehörigen åsidosätter en lagstadgad tystnadsplikt. Det sagda innebär enligt utredningens bedömning att kravet på tystnadsplikt som följer av artikel 9.3 i dataskyddsförordningen är uppfyllt för de känsliga personuppgifter som kan komma att ingå i en behandling av personuppgifter för kvalitetsuppföljning. Utredningen anser dock att det är lämpligt att i den föreslagna lagen ta med en påminnelse om kravet på tystnadsplikt.
17.10. Uppgifter om lagöverträdelser
Utredningens bedömning: Det är förenligt med dataskydds-
förordningen att i nationell lagstiftning uppställa en begränsning för behandling av personuppgifter som rör lagöverträdelser på det sätt som här föreslås.
Utredningens förslag: Uppgifter om lagöverträdelser som avses
i artikel 10 i dataskyddsförordningen får behandlas för kvalitetsuppföljning bara om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.
Uppgifter som rör lagöverträdelser tillhör inte de särskilda kategorier av personuppgifter som omfattas av förbudet mot behandling i artikel 9.1 i dataskyddsförordningen, men anses ändå vara en kategori personuppgifter som förtjänar särskilt skydd. Av artikel 10 i dataskyddsförordningen framgår att behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av myndighet eller då behandling är tillåten enligt EU-rätten eller medlemsstaternas nationella rätt. Detta gäller där lämpliga säkerhetsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.
När det gäller personuppgifter som rör lagöverträdelser finns särskilda bestämmelser i dataskyddslagen. Personuppgifter som avses i artikel 10 i dataskyddsförordningen får behandlas av myndigheter. Även andra än myndigheter får behandla sådana personuppgifter, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv (3 kap. 8 § dataskyddslagen).
Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen. Den myndighet som regeringen bestämmer får i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter. Ett beslut får förenas med villkor (3 kap. 9 § dataskyddslagen).
Begreppet hälso- och sjukvård i patientdatalagen omfattar bl.a. verksamhet som avses i lagen (1991:1129) om rättspsykiatrisk vård. Bestämmelsen i patientdatalagen ger vårdgivare möjlighet att i vissa undantagsfall behandla vissa uppgifter om lagöverträdelser, närmare bestämt sådana som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden. Kravet är att det är absolut nödvändigt för ett sådant ändamål som anges i 2 kap. 4 § patientdatalagen. I verksamhet enligt lagen om rättspsykiatrisk vård kan man t.ex. tänka sig situationer då det är absolut nödvändigt att behandla personuppgifter som avser lagöverträdelser.
I socialtjänstens verksamhet får uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden behandlas. Personuppgifterna får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten (7 § 3 SoLPUL).
I fråga om kvalitetsregister, gäller i stället att uppgifter om lagöverträdelser som avses i 2 kap. 7 § patientdatalagen får behandlas endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det (7 kap. 8 a § PDL).
Utredningen anser att kvalitetsuppföljning har likheter med den typ av behandling av personuppgifter som behövs när det gäller kvalitetsregister. I likhet med vad som gäller för kvalitetsregister, anser utredningen att behandling av uppgifter om lagöverträdelser endast ska få ske om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger detta. De närmare förutsättningarna för sådan behandling som medges bör inte anges närmare i den föreslagna lagen utan i beslutet om medgivande.
Enligt utredningens bedömning är det förenligt med dataskyddsförordningen att i nationell lagstiftning uppställa en begränsning för behandling av personuppgifter som rör lagöverträdelser på det sätt som här föreslagits.
17.11. Vårdinstansers och omsorgsgivares åtkomst till tidigare lämnade uppgifter
Utredningens bedömning: Vårdinstanser och omsorgsgivare
bör inte få ha åtkomst genom direktåtkomst eller annat elektroniskt utlämnande till de uppgifter som vårdinstansen eller omsorgsgivaren tidigare lämnat till annan för kvalitetsuppföljning.
Som framgår av tidigare avsnitt föreslår utredningen att en personuppgiftsansvarig vårdinstans och omsorgsgivare ska få behandla personuppgifter från andra vårdinstanser eller omsorgsgivare för kvalitetsuppföljning. Utredningens förslag har på många sätt likheter med den reglering som gäller för kvalitetsregister inom hälso- och sjukvården. I lagstiftningen om kvalitetsregister inom hälso- och sjukvården finns en bestämmelse som anger att en vårdgivare får ha direktåtkomst till de uppgifter som vårdgivaren tidigare lämnat till ett kvalitetsregister (7 kap. 9 § PDL). Utredningen anser att det därför bör övervägas om möjlighet till sådan direktåtkomst bör införas även för kvalitetsuppföljning.
Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen.45 I begreppet ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av.46 Se mer om direktåtkomst i avsnitt 6.6.2.
Den ovan nämnda bestämmelsen om direktåtkomst till kvalitetsregister infördes i patientdatalagen för att sådan direktåtkomst redan förekom i flera av de dåvarande nationella kvalitetsregistren som tillämpade inrapportering via internet och direktåtkomsten användes av den inrapporterande vårdinrättningen för att göra t.ex. lokala uppföljningar av den egna verksamheten.47
Utredningen menar att motsvarande nytta visserligen i vissa fall kan finnas även för vårdinstanser och omsorgsgivare som lämnar personuppgifter för kvalitetsuppföljning. Detta skulle kunna gälla vid kvalitetsuppföljning som sker över tid, t.ex. för att se om en
45SOU 2012:90 s. 198 f. 46SOU 2012:90 s. 198 f. som hänvisar till prop. 2004/05:164 s. 83 och prop. 2011/12:45 s. 133. 47Prop. 2007/08:126 s. 192.
förändring av verksamheten vid en klinik ger bättre resultat än tidigare. En sådan möjlighet till direktåtkomst skulle även kunna medföra att vårdinstanser och omsorgsgivare ser fördelar med att lämna personuppgifterna i ett visst bestämt format vilket kan underlätta den mottagande vårdinstansens och omsorgsgivarens arbete med att strukturera och analysera uppgifterna.
De personuppgifter som vårdinstansen eller omsorgsgivaren lämnar för kvalitetsuppföljning ska dock enligt utredningens förslag delvis krypteras, se avsnitt 17.7. Detta innebär att nyttan av direktåtkomst till de personuppgifter som lämnats för kvalitetsuppföljning enligt utredningens mening blir starkt begränsad när samma personuppgifter i icke krypterad form redan finns inom den egna verksamheten. Utredningen ser därför inte skäl att införa en möjlighet till direktåtkomst för uppgiftslämnande vårdinstanser och omsorgsgivare som motsvarar den som uppgiftslämnande vårdinstanser har till personuppgifter i kvalitetsregister. En sådan möjlighet finns dessutom inte i dag för kvalitetsuppföljning, vilket var fallet för direktåtkomst till personuppgifter i kvalitetsregister när bestämmelsen som tillåter detta infördes i patientdatalagen.
Utredningens förslag innebär därför inte att en befintlig möjlighet till direktåtkomst påverkas, och kan därmed inte heller anses innebära en försämring för de uppgiftslämnande vårdinstanserna och omsorgsgivarna.
17.12. Bevarande och gallring
Utredningens förslag: Av fullmäktiges beslut om kvalitetsupp-
följning ska det framgå bl.a. den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
Personuppgifterna ska gallras när den perioden löpt ut.
17.12.1. Principen om lagringsminimering och nationella bestämmelser om lagringstider
Principen om lagringsminimering är grundläggande vid all behandling av personuppgifter. Det slås fast i artikel 5.1 e i dataskyddsför-
ordningen. Av bestämmelsen framgår att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen. Detta gäller under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter.
Utredningen har i tidigare avsnitt bedömt att behandling av personuppgifter för kvalitetsuppföljning i de flesta fall bygger på att det utgör en sådan arbetsuppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen. Vid behandling av personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen ska grunden närmare fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt (artikel 6.3 i dataskyddsförordningen).48 Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e i dataskyddsförordningen, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen. Hit hör bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling och lagringstid för personuppgifterna i fråga. Medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionellt mot det legitima mål som eftersträvas (artikel 6.3 i dataskyddsförordningen).
När lagstiftaren fastställer den rättsliga grunden i nationell rätt – i detta fall inför bestämmelser om kvalitetsuppföljning – får det alltså förenas med särskilda bestämmelser om lagringstider. Att införa särskilda nationella gallringsbestämmelser för att fastställa lagringstiden för personuppgifterna är enligt utredningen en sådan särskild
48
I vissa fall kan behandlingen möjligen även bygga på den rättsliga grunden i artikel 6.1 c, dvs. att behandlingen är nödvändig för att fullgöra en rättsliga förpliktelse. Också i de fallen gäller vad som stagas i artikel 6.3 i dataskyddsförordningen.
bestämmelse som lagstiftaren kan införa för att anpassa tillämpningen av dataskyddsförordningen.
17.12.2. Nationella bestämmelser om bevarande och gallring
Svenska myndigheter, kommunala företag och vissa andra organ är enligt arkivlagen (1990:782) skyldiga att bevara sina allmänna handlingar. Myndighetens arkiv bildas av allmänna handlingar från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 12 § tryckfrihetsförordningen49 och som myndigheten beslutar ska tas om hand för arkivering. Myndigheternas arkiv är en del av det nationella kulturarvet. Arkiven ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov (3 § arkivlagen).
I förarbetena till dataskyddslagen har regeringen uttalat att det står klart att behandling av personuppgifter som utförs för att uppfylla de krav som ställs i arkivlagen och anslutande föreskrifter måste anses ske för arkivändamål av allmänt intresse. Den behandling av personuppgifter som myndigheter och andra utför när de i enlighet med föreskrifter om arkiv arkiverar sina handlingar utgör således en vidarebehandling som sker för arkivändamål av allmänt intresse. Behandlingen i arkiv ska enligt artikel 5.1 b i dataskyddsförordningen inte anses som oförenlig med de ursprungliga ändamålen. Det krävs då inte någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (skäl 50 till dataskyddsförordningen).50
Utgångspunkten enligt arkivlagen är att allmänna handlingar ska bevaras för framtiden (detta kallas ibland evig bevarandetid). Av 10 § arkivlagen följer dock att allmänna handlingar får gallras. Med gallring avses att handlingar sorteras ut och förstörs. Vid gallring från upptagningar för automatisk databehandling raderas information från det
492 kap. 12 § tryckfrihetsförordningen anger att en minnesanteckning som har gjorts hos en myndighet och som inte har expedierats inte heller efter den tidpunkt då den enligt 2 kap. 10 § tryckfrihetsförordningen är att anse som upprättad ska anses som allmän handling hos myndigheten. Minnesanteckningen anses dock som upprättad om den har tagits om hand för arkivering. Utkast eller koncept till en myndighets beslut eller skrivelse och andra därmed jämställda handlingar som inte har expedierats anses inte som allmänna. Handlingen anses dock vara allmän om den tas om hand för arkivering. 50Prop. 2017/18:105 s. 110 f.
fysiska underlaget. Att föreskriven gallring sker är viktigt både av integritetsskäl och av ekonomiska skäl. Gallring på den statliga sidan sker med stöd av föreskrifter eller särskilda beslut av Riksarkivet. Gallringsföreskrifter för kommunala eller regionala myndigheter meddelas i allmänhet av kommunerna eller regionerna själva.51
I förarbetena till arkivlagen anges att gallringen utgör en praktisk nödvändighet. Utan den skulle arkivmaterialet växa i en omfattning som vore ohanterlig, utan att det skulle medföra några fördelar från insyns- eller informationssynpunkt. Tvärtom skulle arkiven bli mer svårhanterliga. Gallringen syftar till att arkiven inte ska tyngas av handlingar som saknar påtagligt informationsvärde, som bara utgör en dubblering av information som bättre kan sökas i ett annat arkiv eller som har ett informationsvärde som är markant begränsat i tiden. Vid gallring ska alltid beaktas att arkiven utgör en del av kulturarvet. Det arkivmaterial som återstår ska kunna tillgodose de ändamål som anges i 3 § tredje stycket arkivlagen. Även efter en genomförd gallring måste arkiven kunna tillgodose rätten att ta del av allmänna handlingar, rättskipningens och förvaltningens behov och forskningens behov.52
Det är den arkivbildande myndigheten som verkställer föreskriven gallring i arkivet (6 § arkivlagen). Av 8 § andra stycket arkivlagen framgår att kommunstyrelsen är arkivmyndighet i kommunen och regionstyrelsen i regionen, om inte kommunfullmäktige eller regionfullmäktige har utsett någon annan nämnd eller styrelse till arkivmyndighet.
Huvudregeln är alltså att allmänna handlingar ska bevaras i myndigheternas arkiv med en evig bevarandetid. Gallring får dock under vissa förutsättningar ske. Avvikande gallringsbestämmelser i lag eller förordning tar över arkivlagens regler om bevarande och gallring (10 § tredje stycket arkivlagen). Särskilda gallringsregler finns t.ex. i de registerlagar som reglerar personregister på integritetskänsliga områden.
51 Catharina Adlercreutz, lagkommentar till § 10 arkivlagen, JUNO version: 2B. 52Prop. 1989/90:72 s. 42.
17.12.3. Fullmäktige ska besluta om lagringsperioden
Enligt utredningens förslag ska det ankomma på fullmäktige att i samband med beslut om kvalitetsuppföljning ange den lagringsperiod som kommer att behövas för den beslutade kvalitetsuppföljningen (se ovan i avsnitt 17.3.3 som beskriver beslutets innehåll). Utredningen anser att detta går i linje med artikel 6.3 i dataskyddsförordningen om att lagringstider kan anges i den nationella rätten. Genom att således överlämna åt fullmäktige att besluta om lagringstiden fastställs lagringstiden i den nationella rätten.
17.12.4. Personuppgifterna ska gallras när den lagringsperiod som fullmäktige angett i beslutet har löpt ut
Fråga uppkommer då hur länge de insamlade personuppgifter bör få bevaras för den beslutade kvalitetsuppföljningen. För att fastställa lagringsperiod krävs en lämplig avvägning mellan intressena av å ena sidan dataskydd och integritet och å andra sidan rätten att ta del av allmänna handlingar. Principen om lagringsminimering medför att personuppgifter inte ska lagras under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Detta syftar till att skydda de registrerades personliga integritet. Samtidigt tillåter dataskyddsförordningen en förlängd bevarandetid för handlingar som behöver sparas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistik. För svenskt vidkommande ska även beaktas handlingsoffentligheten och dess utgångspunkt om allmänna handlingars bevarande, som syftar till att tillgodose allmänhetens intresse av insyn i myndigheternas verksamhet. Gallring får ske, bl.a. av praktiska och ekonomiska skäl, eftersom det inte blir praktiskt hanterbart med alltför stora samlingar i myndigheters arkiv. Även integritetsskäl talar mot att i onödan låta handlingar med känsliga personuppgifter bevaras i arkiven. Gallringen får dock inte ske på sådant sätt att man inte längre kan tillgodose rätten att ta del av allmänna handlingar, rättskipningens och förvaltningens behov och forskningens behov.
Det kan vara relevant att göra jämförelser med bestämmelser om gallring och bevarandetider i registerförfattningar inom vård och omsorg, eftersom personuppgifterna för kvalitetsuppföljningen hämtas från sådan verksamhet. Inom hälso- och sjukvården gäller som
huvudregel att en journalhandling ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen (3 kap. 17 § PDL). Som motiv till att förlänga den lagstadgade bevarandetiden för patientjournaler från tre till tio år angav regeringen bl.a. patientsäkerhetsskäl samt vikten av att ha tillgång till uppgifter ur journalhandlingar för forskning, uppföljning och utvärdering.53 I de gallringsråd som ges ut av Sveriges Kommuner och Regioner och Riksarkivet rekommenderas en evig bevarandetid för patientjournaler. Detta bl.a. för att säkerställa att journalen ska finnas kvar under patientens livstid och därefter kunna stå till forskningens förfogande.54 I praktiken har de flesta regioner meddelat föreskrifter om evig bevarandetid för patientjournaler.
Någon motsvarande bestämmelse om kortaste bevarandetid finns inte för omsorgsdokumentation inom socialtjänsten. Det finns dock regler om att anteckningar och andra uppgifter i en personakt hos socialnämnden som tillhör en sådan sammanställning av uppgifter som avses i SoLPUL ska gallras fem år efter det att sista anteckningen gjordes i akten (12 kap. 1 § SoL och 21 c § LSS).55
Även de särskilda gallringsregler som gäller för kvalitetsregister kan vara av visst intresse. Av 7 kap. 10 § patientdatalagen framgår att huvudregeln är att personuppgifter i ett nationellt eller regionalt kvalitetsregister ska gallras när de inte längre behövs för det ändamål som anges i 7 kap. 4 § patientdatalagen. Regeringen ansåg inte att evig bevarandetid var en tillfredställande lösning för personuppgifter i kvalitetsregister. En motsatt utgångspunkt skulle enligt regeringens uppfattning i stället gälla, dvs. att personuppgifterna ska gallras då de inte längre behövs för det primära ändamålet med ifrågavarande kvalitetsregister, att systematiskt och fortlöpande säkra och utveckla hälso- och sjukvårdens kvalitet. Även i kvalitetsregister som förs fortlöpande och fylls på med nya personuppgifter, ska gallring regelbundet ske av äldre uppgifter så snart de inte längre behövs för verksamheten. Regeringen menade att detta balanserar önskemålet om att skydda den registrerades integritet mot behovet av att kunna genomföra långsiktig uppföljning.56
53Prop. 2007/08:126 s. 98 f. 54Bevara eller gallra, nr 6: Patientjournaler och övrig vårddokumentation, Sveriges kommuner och Regioners och Riksarkivets gallringsråd 2014-12-04 s. 14. 55 Som redogjorts för i avsnitt 16.18.2 finns det bestämmelser för enskilda omsorgsgivare om en bevarandetid på två år för anteckningar och andra uppgifter i en personakt som tillhör sådan sammanställning av uppgifter som avses i SoLPUL (7 kap. 1 § SoL respektive 23 c § LSS). 56Prop. 2007/08:126 s. 193 f.
Det anges i 7 kap. 10 § patientdatalagen om kvalitetsregister att det är just personuppgifterna som ska gallras. Av förarbetena till den bestämmelsen framgår att gallring kan ske genom att personuppgifterna avidentifieras. Regeringen uttalade att det räcker att personuppgifterna i fråga avidentifieras så att de inte längre direkt eller indirekt kan knytas till den registrerade, för att uppfylla lagens krav. Handlar det om kodade uppgifter, kan det därmed räcka med att kodnyckeln förstörs förutsatt att bakvägsidentifiering därefter inte är möjlig. Det räcker normalt inte att bara gallra bort personnummer och namn. Ofta går det att via uppgifter såsom operationsdatum, kön, ålder, opererande klinik och liknande uppgifter härleda uppgifter till en viss patient. Detta ska alltså inte vara möjligt efter avidentifiering.57
Kvalitetsuppföljning med personuppgifter från flera vårdinstanser eller omsorgsgivare är ett redskap som regioner och kommuner kan använda, momentant eller under en viss förutbestämd tid, i syfte att följa upp och utveckla de verksamheter de ansvarar för. Personuppgifterna för kvalitetsuppföljningen kommer att hämtas från vård- och omsorgsdokumentation, bl.a. journaler och personakter, där de ska bevaras under föreskriven tid. Dessutom ska fullmäktige i beslutet om kvalitetsuppföljning ange från vilka vårdinstanser och omsorgsgivare som personuppgifter kommer att samlas in. Därmed är allmänhetens insynsintresse tillräckligt tillgodosett.
Själva kvalitetsuppföljningen är enligt utredningens bedömning av temporär betydelse. Själva konstruktionen i den föreslagna lagen bygger på att en kvalitetsuppföljning, av integritetsskyddsskäl, får bedrivas med personuppgifter endast under en viss, förutsedd period som regionen eller kommunen själv får bestämma. Utredningen anser inte att det finns starka skäl för att bevara de handlingar som ingår i kvalitetsuppföljningen i efterhand när kvalitetsuppföljningen har avslutats. I vart fall ser utredningen ingen anledning att bevara själva personuppgifterna för arkivering. Personuppgifterna får ju enligt den föreslagna lagen inte behandlas för annat än den beslutade kvalitetsuppföljningen, regionens eller kommunens framställning av statistik och fullgörandet av föreskriven uppgiftsskyldighet. Därmed bör det av integritetsskyddsskäl föreskrivas att personuppgifterna ska gallras när den lagringsperiod som fullmäktige bestämt har löpt ut. Det ankommer på den myndighet som förvarar person-
uppgifterna, dvs. den personuppgiftsansvarige enligt fullmäktiges beslut, att verkställa den föreskrivna gallringen (6 § arkivlagen).
Utredningen anser inte att det är lämpligt att i den föreslagna lagen ge någon närmare riktlinje om kortaste eller längsta tillåtna bevarandetid utan detta får ankomma på fullmäktige att besluta om. Fullmäktige har att beakta dataskyddsförordningens princip om lagringsminimering och göra en bedömning av hur länge lagring av personuppgifterna behövs för den beslutade kvalitetsuppföljningen. Det viktiga är att perioden är väl avgränsad och proportionerlig utifrån det angivna ändamålet. Evig bevarandetid är inte tillåten. Tanken är dock inte att fullmäktige ska behöva fatta ett nytt beslut om kvalitetsuppföljning varje år för exempelvis en årligt återkommande kvalitetsuppföljning som ska pågå löpande de kommande tio åren. I ett sådant fall kan man tänka sig att fullmäktige uppskattar lagringstiden till tio år för dessa uppgifter. Det finns också, som utredningen angett i avsnitt 17.3.4, möjlighet för fullmäktige att vid behov ändra ett tidigare fattat beslut och förlänga eller förkorta den period under vilken uppgifterna kommer att lagras.
Det ska observeras att det är personuppgifterna som ska gallras när den period för vilket beslutet om kvalitetsuppföljning gäller har löpt ut. Det innebär att alla uppgifter som kan användas för att identifiera de registrerade ska utplånas så att uppgifterna är fullt ut avidentifierade. Annars handlar det fortfarande om personuppgifter i dataskyddsförordningens mening.
18. Följdändringar i patientdatalagen
18.1. Inledning
Utredningen har i avsnitt 15.5.3 och 15.5.4 föreslagit att patientdatalagen (2008:355) (PDL) och lagen (2001:454) om behandling av personuppgifter inom socialtjänsten ska innehålla upplysning om att det i den föreslagna lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning finns ytterligare bestämmelser om behandling av personuppgifter. Det finns enligt utredningens mening anledning att införa ytterligare några upplysningar i patientdatalagen. Den föreslagna lagen medför också att vissa andra följdändringar behöver göras i patientdatalagen.
18.2. Även annat elektroniskt utlämnande än direktåtkomst ska omfattas
Utredningens förslag: Vissa bestämmelser i patientdatalagen
som gäller direktåtkomst ändras så att de även gäller tillgång genom annat elektroniskt utlämnande än direktåtkomst.
Utredningen har i avsnitt 16.3 bedömt att den föreslagna regleringen bör tillåta att vård- och omsorgsdokumentation görs åtkomlig över vård- och omsorgsgivargränser även genom annat elektroniskt utlämnande än direktåtkomst. Enligt utredningens bedömning medför detta att vissa bestämmelser i patientdatalagen bör ändras för konsekvensens skull. Utredningen redogör nedan för de bestämmelser som utredningen anser bör ändras.
18.2.1. Upplysningsbestämmelsen i 3 kap. 1 §
I 3 kap. 1 § patientdatalagen som handlar om att föra patientjournal, finns i andra stycket en upplysning om att i 6 kap. finns det bestämmelser om direktåtkomst till andra vårdgivares uppgifter om patienter genom sammanhållen journalföring. Utredningen föreslår i avsnitt 15.1.1 att bestämmelserna om sammanhållen journalföring förs samman med bestämmelserna om sammanhållen vård- och omsorgsdokumentation i en gemensam lag. Det är därför genom sammanhållen vård- och omsorgsdokumentation enligt den definition av detta som anges i 1 kap. 1 § i lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning som tillgången till andra vårdgivares uppgifter om patienter sker. Eftersom sammanhållen vård- och omsorgsdokumentation innehåller bestämmelser om tillgång till andra vårdgivares uppgifter om patienter, och bestämmelser om att detta kan ske även genom annat elektroniskt utlämnande än direktåtkomst, anser utredningen att detta bör framgå av upplysningsbestämmelsen i 3 kap. 1 § andra stycket patientdatalagen.
18.2.2. Vårdgivare får ge en patient tillgång genom annat elektroniskt utlämnande än direktåtkomst
Enligt 5 kap. 5 § patientdatalagen får en vårdgivare medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 patientdatalagen. Den enskilde får under samma förutsättningar medges direktåtkomst till sådan dokumentation som avses i 4 kap. 3 § första stycket första meningen patientdatalagen. Denna bestämmelse har kommit till eftersom det i patientdatalagen anges att vårdgivares behandling av personuppgifter genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning (5 kap. 4 § PDL). Det finns inget motsvarande krav på att tillgång genom annat elektroniskt utlämnande än direktåtkomst ska regleras i lag eller förordning för att vara tillåten. Utredningen har i avsnitt 16.13 föreslagit en bestämmelse som ger vård- och omsorgsgivare möjlighet att medge en patient eller omsorgsmottagare tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till sådana uppgifter om personen själv som får lämnas ut till honom eller henne och som
andra vård- och omsorgsgivare får ha tillgång till genom direktåtkomst eller annat elektroniskt utlämnande. För att det ska vara tydligt för vårdgivarna att de kan använda samma tekniska lösning för patienters tillgång till uppgifter om sig själva enligt 5 kap. 5 § patientdatalagen och enligt de nya bestämmelserna om sammanhållen vård- och omsorgsdokumentation anser utredningen att det av 5 kap. 5 § patientdatalagen bör framgå att vårdgivare kan medge en enskild tillgång även genom annat elektroniskt utlämnande än direktåtkomst. Av samma skäl bör bemyndigandet för regeringen i andra stycket också kompletteras så att det även omfattar föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan annat elektroniskt utlämnande än direktåtkomst som avses i första stycket.
18.2.3. Information till registrerade enligt 8 kap. 6 §
Den som är personuppgiftsansvarig ska bl.a. lämna information till den registrerade om vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling (8 kap. 6 § 6 PDL). Utredningen anser visserligen att begreppet utlämnande av uppgifter på medium för automatiserad behandling får anses ingå i begreppet annat elektroniskt utlämnande, som nu införs i lagen, och att det förstnämnda därför borde kunna ersättas med det sistnämnda. Begreppet utlämnande av uppgifter på medium för automatiserad behandling används dock även i 5 kap. 6 § patientdatalagen, där det anges att om en personuppgift får lämnas ut, kan det ske på medium för automatiserad behandling. Det är därför inte lämpligt att byta ut begreppet utlämnande av uppgifter på medium för automatiserad behandling i den aktuella bestämmelsen. Bestämmelsen bör därför, av tydlighetsskäl, kompletteras så att även annat elektroniskt utlämnande anges i den aktuella bestämmelsen.
18.3. Sammanhållen journalföring tas bort ur patientdatalagen
Utredningens förslag: Bestämmelserna i 6 kap. patientdatalagen
om sammanhållen journalföring upphävs, eftersom de förs över till den föreslagna lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
De bestämmelser i patientdatalagen som hänvisar till 6 kap. patientdatalagen eller bestämmelser i 6 kap. patientdatalagen ändras så att de i stället hänvisar till motsvarande bestämmelse i den föreslagna lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Definitionen av sammanhållen journalföring upphävs i patientdatalagen.
Utredningen föreslår i avsnitt 15.1.1 att bestämmelserna om sammanhållen journalföring (nuvarande 6 kap. PDL) flyttas från patientdatalagen och tillsammans med bestämmelserna om sammanhållen omsorgsdokumentation tas in i den föreslagna lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Upplysningsbestämmelsen i 3 kap. 1 § patientdatalagen om att det i 6 kap. patientdatalagen finns bestämmelser om direktåtkomst till andra vårdgivares uppgifter om patienter genom sammanhållen journalföring ska därför ändras så att den anger att bestämmelser om sammanhållen vård- och omsorgsdokumentation finns i den föreslagna lagen. Eftersom begreppet sammanhållen journalföring inte längre kommer att användas i patientdatalagen, kan definitionen av begreppet i 1 kap. 3 § patientdatalagen upphävas.
I patientdatalagen finns två bestämmelser om den enskildes inställning till personuppgiftsbehandling. I den ena bestämmelsen, 2 kap. 2 § patientdatalagen, anges att behandling av personuppgifter som är tillåten enligt patientdatalagen får utföras även om den enskilde motsätter sig den, med undantag för de fall som anges i 4 kap. 4 §, 6 kap. och 7 kap. 2 §patientdatalagen eller om något annat framgår av annan lag eller förordning. Eftersom utredningen föreslår att 6 kap. patientdatalagen ska upphävas och bestämmelser med motsvarande innebörd införas i den föreslagna lagen bör hänvisningen till 6 kap. tas bort ur denna bestämmelse i patientdatalagen.
Den andra bestämmelsen om den enskildes inställning till personuppgiftsbehandling, 2 kap. 3 § patientdatalagen, anger att behandling av personuppgifter som inte är tillåten enligt patientdatalagen ändå får ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte i de fall som anges i 6 kap. 5 § patientdatalagen eller om något annat framgår av annan lag eller förordning. Eftersom utredningen föreslår att 6 kap. patientdatalagen ska upphävas och bestämmelser med motsvarande innebörd införas i den föreslagna lagen bör hänvisningen till 6 kap. 5 § patientdatalagen tas bort i denna bestämmelse.
I 2 kap. 6 § patientdatalagen, som handlar om vårdgivares personuppgiftsansvar, anges i tredje stycket att det i 6 kap. patientdatalagen finns särskilda bestämmelser om personuppgiftsansvar. Eftersom utredningen föreslår att 6 kap. patientdatalagen upphävas och bestämmelser med motsvarande innebörd införas i den föreslagna lagen bör hänvisningen till 6 kap. patientdatalagen ersättas med en hänvisning till den föreslagna lagen.
I 5 kap. 4 § patientdatalagen anges att utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning samt att ytterligare bestämmelser om utlämnande genom direktåtkomst finns bl.a. i 6 kap. patientdatalagen. Även denna bestämmelse bör därför ändras så att den hänvisar till den föreslagna lagen.
I 8 kap. 6 § patientdatalagen finns en bestämmelse om vilken information den personuppgiftsansvarige ska lämna till den registrerade. Det anges också att det i 6 kap. 2 § patientdatalagen finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall. Även i 8 kap. 7 § patientdatalagen finns en hänvisning som anger att det i patientdatalagen finns föreskrifter om andra rättigheter för den enskilde, bland annat i 6 kap. 2 §. Eftersom utredningen föreslår att 6 kap. 2 § ska ersättas av 2 kap. 3 § i den föreslagna lagen bör 8 kap.6 och 7 §§patientdatalagen ändras så att de i stället hänvisar till 2 kap. 3 § i den föreslagna lagen.
Utredningen vill betona att ändringarna som redogjorts för i detta avsnitt inte innebär någon materiell ändring av de aktuella bestämmelserna, utan endast är ändringar till följd av att bestämmelserna om sammanhållen journalföring i patientdatalagen upphävs.
18.4. Bestämmelserna om nationella och regionala kvalitetsregister flyttas från patientdatalagen
Utredningens förslag: Bestämmelserna i 7 kap. patientdatalagen
om nationella och regionala kvalitetsregister upphävs och förs över till den föreslagna lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
De bestämmelser i patientdatalagen som hänvisar till 7 kap. patientdatalagen eller bestämmelser i 7 kap. patientdatalagen ändras så att de i stället hänvisar till motsvarande bestämmelser i den föreslagna lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Utredningen föreslår i avsnitt 15.2 att bestämmelserna om nationella och regionala kvalitetsregister i patientdatalagen (nuvarande 7 kap. PDL) upphävs och förs in i den föreslagna lagen.
I 2 kap. 2 § patientdatalagen anges att behandling av personuppgifter som är tillåten enligt patientdatalagen får utföras även om den enskilde motsätter sig den, med undantag för de fall som anges i 4 kap. 4 §, 6 kap. och 7 kap. 2 § eller om något annat framgår av annan lag eller förordning. Eftersom utredningen föreslår att 7 kap. 2 § patientdatalagen upphävs och en bestämmelse med motsvarande innebörd införs i den nya lagen bör hänvisningen till 7 kap. 2 § patientdatalagen tas bort i denna bestämmelse.
I 2 kap. 4 § patientdatalagen finns uppräknat ett antal ändamål för personuppgiftsbehandlingen inom hälso- och sjukvården. Det anges i bestämmelsens andra stycke att det i 7 kap.4 och 5 §§patientdatalagen finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister. Eftersom utredningen föreslår att dessa två bestämmelser ska upphävas och flyttas till den nya lagen bör 2 kap. 4 § patientdatalagen ändras så att den i stället hänvisar till bestämmelserna i den nya lagen.
I 2 kap. 6 § patientdatalagen, som handlar om vårdgivares personuppgiftsansvar, anges i tredje stycket att det i 7 kap. patientdatalagen finns särskilda bestämmelser om personuppgiftsansvar. Eftersom utredningen föreslår att 7 kap. patientdatalagen ska upphävas och bestämmelser med motsvarande innebörd införas i den nya lagen ska
hänvisningen till 7 kap. patientdatalagen ersättas med en hänvisning till den nya lagen.
I 5 kap. 4 § patientdatalagen anges att utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning samt att ytterligare bestämmelser om utlämnande genom direktåtkomst finns bland annat i 7 kap. 9 §. Eftersom utredningen föreslår att 7 kap. 9 § ska flyttas till den nya lagen ska 5 kap. 4 § i patientdatalagen ändras så att den i stället hänvisar till bestämmelsen i den nya lagen.
I 8 kap. 6 § patientdatalagen finns en bestämmelse om vilken information den personuppgiftsansvarige ska lämna till den registrerade. Det anges också att det i 7 kap. 3 § patientdatalagen finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall. Även i 8 kap. 7 § patientdatalagen finns en hänvisning som anger att det i patientdatalagen finns föreskrifter om andra rättigheter för den enskilde, bl.a. i 7 kap. 3 § patientdatalagen. Eftersom utredningen föreslår att denna bestämmelse ska upphävas och ersättas av en bestämmelse i den nya lagen bör 8 kap. 6 och 7 §§ i patientdatalagen ändras så att de i stället hänvisar till den nya lagen.
Utredningen vill betona att ändringarna som redogjorts för i detta avsnitt inte ska innebära någon materiell ändring av de aktuella bestämmelserna1, utan endast är ändringar till följd av att bestämmelserna om kvalitetsregister i patientdatalagen upphävs.
18.5. Bestämmelser om kvalitetsuppföljning införs
Utredningens förslag: Patientdatalagen ska innehålla en upplys-
ning om att det i den föreslagna lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning finns bestämmelser om vilken information som ska lämnas till den enskilde i vissa fall och föreskrifter om andra rättigheter för den enskilde.
1 Med undantag av att utredningen föreslår att samordningsnummer läggs till som en kategori av personuppgifter som under vissa förutsättningar får behandlas i kvalitetsregister, se motivering i avsnitt 15.2.1.
I 8 kap. 6 § tredje stycket patientdatalagen hänvisas till bestämmelser i patientdatalagen som föreskriver att information ska lämnas till den registrerade i vissa fall. Bestämmelsen hänvisar bl.a. till 7 kap. 3 § patientdatalagen som föreskriver att den enskilde ska få viss information innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister. Utredningen föreslår i avsnitt 17.6 en bestämmelse med liknande innebörd för kvalitetsuppföljning. Av tydlighetsskäl anser därför utredningen att 8 kap. 6 § tredje stycket patientdatalagen även bör upplysa om att det i den föreslagna lagen finns särskilda bestämmelser om att information ska lämnas i vissa fall.
I 8 kap. 7 § patientdatalagen anges att det i patientdatalagen finns föreskrifter om andra rättigheter för den enskilde i ett antal bestämmelser, bl.a. i 7 kap.2 och 3 §§patientdatalagen. Dessa bestämmelser innebär att en enskild har rätt att inte bli registrerad i ett nationellt eller regionalt kvalitetsregister och att den enskilde ska informeras innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister. Utredningen föreslår i avsnitt 17.5 och 17.6 bestämmelser med liknande innebörd för kvalitetsuppföljning. Utredningen anser därför, av tydlighetsskäl, att 8 kap. 7 § patientdatalagen även bör upplysa om att det i den föreslagna lagen finns föreskrifter om andra rättigheter för den enskilde.
19. Sekretess och tystnadsplikt vid sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning
19.1. Bestämmelser som bryter sekretessen mellan vård- och omsorgsgivare vid sammanhållen vård- och omsorgsdokumentation
Utredningens förslag:Offentlighets- och sekretesslagen ändras
på så sätt att hälso- och sjukvårdssekretessen enligt 25 kap. 1 § offentlighets- och sekretesslagen inte hindrar att uppgift lämnas till en vård- eller omsorgsgivare som är en myndighet eller till en enskild (privat) vård- eller omsorgsgivare enligt vad som föreskrivs om sammanhållen vård- och omsorgsdokumentation.
I offentlighets- och sekretesslagen införs en ny bestämmelse med innebörden att socialtjänstsekretessen enligt 26 kap. 1 § offentlighets- och sekretesslagen inte hindrar att uppgift lämnas till en vård- eller omsorgsgivare som är en myndighet eller till en enskild (privat) vård- eller omsorgsgivare enligt vad som föreskrivs om sammanhållen vård- och omsorgsdokumentation.
Utredningens bedömning: Någon särreglering behövs inte för
de privata vård- och omsorgsgivarna.
19.1.1. Behovet av sekretessbrytande bestämmelser
Uppgifter inom offentligt bedriven hälso- och sjukvård och socialtjänst omfattas av offentlighets- och sekretesslagen (2009:400), OSL. Inom hälso- och sjukvården gäller som huvudregel sekretess för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap. 1 § OSL). Sekretess gäller alltså med ett omvänt skaderekvisit, dvs. det finns en presumtion för att uppgifterna inte ska lämnas ut. Detsamma gäller för uppgift om en enskilds personliga förhållanden inom socialtjänst och därmed jämställd verksamhet (26 kap. 1 § OSL).
Sekretess gäller som huvudregel både i förhållande till enskilda och andra myndigheter (8 kap. 1 § OSL). Sekretess kan även gälla inom mellan olika verksamhetsgrenar inom en myndighet, när dessa är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL).
Om en myndighet eller en enskild begär att en allmän handling som innehåller en uppgift som skyddas av sekretess ska lämnas ut, ska begäran prövas av den myndighet som förvarar handlingen (2 kap. 17 § tryckfrihetsförordningen). Vid ett omvänt skaderekvisit är, som anges ovan, sekretess huvudregel. Enligt förarbetena till den tidigare sekretesslagen (1980:100) har den som ska tillämpa ett omvänt skaderekvisit i praktiken ett begränsat utrymme för sin bedömning.1 För att kunna bedöma om en uppgift omfattas av sekretess vid tillämpningen av ett omvänt skaderekvisit måste hänsyn tas till samtliga omständigheter i det enskilda fallet. Många gånger måste handläggaren ta reda på mottagarens identitet och avsikter för att kunna avgöra om uppgifterna ska lämnas ut.
Utredningen föreslår en reglering som möjliggör för vård- och omsorgsgivare att ha åtkomst, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas av andra vård- eller omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation. Den föreslagna regleringen möjliggör vård- och omsorgsgivarnas behandling av personuppgifter genom sammanhållen vård- och omsorgsdokumentation, men har inte någon sekretessbrytande effekt i sig. Som beskrivits i det föregående kommer tillgängliggörandet av uppgifter om patienter och omsorgsmottagare genom sammanhållen vård- och omsorgsdokumentation att ske i två steg
1Prop. 1979/80:2 del A s. 82, SOU 2003:99 s. 132.
(se avsnitt 16.5 respektive 16.6 och 16.7). I det första steget har patienten eller omsorgsmottagaren möjlighet att motsätta sig tillgängliggörande genom att spärra uppgifterna. Om uppgifterna inte spärras utan är tillgängliga för andra vård- eller omsorgsgivare, kan en vård- eller omsorgsgivare i ett senare skede, steg två, efter patientens eller omsorgsmottagarens informerade samtycke, ta del av uppgifterna. Uppgifterna anses utlämnade respektive inkomna i tryckfrihetsförordningens och offentlighets- och sekretesslagens mening redan vid det första steget, om uppgifterna utan att spärras tillförs ett system med sammanhållen vård- och omsorgsdokumentation som bygger på direktåtkomst.
Utan någon särskild reglering innebär de ovan redovisade huvudreglerna om sekretessprövning och sekretessgränser mellan och inom myndigheter och i förhållande till privat verksamhet att den myndighet som förvarar en allmän handling med en uppgift som ingår i sammanhållen vård- och omsorgsdokumentation, i det här fallet den vård- eller omsorgsmyndighet som gjort uppgiften tillgänglig, ska göra en sekretessprövning i varje enskilt fall om någon av de andra anslutna vård- eller omsorgsgivarna önskar ta del av uppgiften. Myndigheten ska vid en sådan s.k. skade- och menprövning bedöma om uppgiften kan hänföras till en enskild och om det innebär skada och men för den enskilde eller dennes närstående om uppgiften lämnas ut. Vid denna prövning ska samtliga omständigheter i det enskilda fallet beaktas, såsom mottagarens identitet och avsikter. Om prövningen resulterar i slutsatsen att den uppgift som begärs ut omfattas av sekretess, får uppgiften inte lämnas ut.
Sekretessbestämmelserna i 25 kap. 1 § och 26 kap. 1 §offentlighets- och sekretesslagen innebär alltså att den myndighet som förvarar en uppgift ska göra en sekretessprövning i det enskilda fallet vid varje begäran om att uppgiften ska lämnas ut. De föreslagna reglerna om sammanhållen vård- och omsorgsdokumentation genom direktåtkomst förutsätter dock rutinmässigt och i vissa fall omfattande utlämnande av uppgifter från de vård- och omsorgsgivare som samarbetar genom sammanhållen vård- och omsorgsdokumentation. Direktåtkomst innebär att den utlämnande vård- eller omsorgsgivaren inte det enskilda fallet har kontroll över vilken eller vilka andra vård- eller omsorgsgivare som tar del av ospärrade uppgifter och för vilket ändamål det sker i. Kravet på sekretessprövning i varje enskilt fall utgör således ett hinder mot sammanhållen vård- och omsorgs-
dokumentation som bygger på direktåtkomst. För att systemet ska fungera som avsett krävs sekretessbrytande bestämmelser som bryter igenom sekretesskyddet hos myndigheter och tystnadsplikten hos privata vård- och omsorgsgivare.
19.1.2. Sekretessbrytande bestämmelse vid sammanhållen journalföring
I samband med att reglerna om sammanhållen journalföring i 6 kap. patientdatalagen infördes, infördes en sekretessbrytande bestämmelse i dåvarande sekretesslagen. Enligt bestämmelsen, nuvarande 25 kap. 11 § 3 offentlighets- och sekretesslagen, hindrar inte hälso- och sjukvårdssekretess i 25 kap. 1 § samma lag att uppgift lämnas till en myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet eller till en privat vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Regleringen innebär att den enda prövning som en vårdgivare behöver göra innan denne gör uppgifter om en patient tillgänglig för andra vårdgivare genom sammanhållen journalföring, är om den förutsättning som anges i patientdatalagen är uppfylld, dvs. att patienten inte motsätter sig att så sker.2
Utredningen föreslår att reglerna om sammanhållen journalföring tas in i den föreslagna lagen, och fortsatt tillämpas på samma sätt som i dag. På samma sätt bör den sekretessbrytande bestämmelsen i 25 kap. 11 § offentlighets- och sekretesslagen gälla även fortsättningsvis när uppgift lämnas till en hälso- och sjukvårdsmyndighet eller till en privat vårdgivare enligt vad som föreslås om sammanhållen vård- och omsorgsdokumentation.
Frågan är om motsvarande sekretessbrytande bestämmelse bör gälla för de omsorgsgivare som ska lämna ut uppgifter genom sammanhållen vård- och omsorgsdokumentation samt om den sekretessbrytande regeln vid sammanhållen journalföring ska ändras så att den gäller även för utlämnande till omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation.
19.1.3. Finns det någon tillämplig sekretessbrytande bestämmelse?
Som huvudregel gäller alltså sekretess även mellan myndigheter (8 kap. 1 § OSL). Det har dock ansetts att sekretessregleringen inte bör hindra myndigheterna från att utväxla uppgifter i de fall intresset av att uppgifterna lämnas ut bör ha företräde framför det intresse som sekretessen ska skydda. Därför har ett antal sekretessbrytande bestämmelser och undantag från sekretessen införts i offentlighets- och sekretesslagen. När en ny sekretessbrytande bestämmelse är under övervägande bör man alltid undersöka om det redan finns en tillämplig sekretessbrytande bestämmelse.
I 10 kap. offentlighets- och sekretesslagen finns vissa generella sekretessbrytande regler. Även om sekretess gäller för en viss uppgift enligt någon annan bestämmelse i lagen får den ändå lämnas ut om någon av bestämmelserna i 10 kap. offentlighets- och sekretesslagen är tillämplig. Till exempel hindrar inte sekretess att en uppgift lämnas till en annan enskild eller till en myndighet om den enskilde samtycker till det (10 kap. 1 § OSL) eller om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet (10 kap. 2 § OSL). Båda dessa bestämmelser skulle kunna vara tillämpliga i de situationer som är aktuella här. Det kan dock konstateras att båda bestämmelserna kräver någon form av prövning i det enskilda fallet, vilket inte är ändamålsenligt vid det omfattande och rutinmässiga utlämnade av uppgifter som det kan bli fråga om vid sammanhållen vård- och omsorgsdokumentation genom direktåtkomst. Som ovan nämns måste sekretessprövningen göras redan i steg ett, när vård- eller omsorgsgivaren gör uppgiften tillgänglig för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation, om uppgiften då blir tekniskt tillgänglig för andra vård- och omsorgsgivare i systemet. Det val som patienten eller omsorgsmottagaren gör när han eller hon väljer att inte spärra uppgifterna från tillgängliggörande motsvarar inte det samtycke som krävs för att efterge sekretessen enligt 10 kap. 1 § offentlighets- och sekretesslagen. Det samtycke från patienten eller omsorgsmottagaren som enligt den föreslagna regleringen ska krävas för att uppgiften i steg två ska lämnas ut till annan vård- eller omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation har ingen sådan sekretessbrytande verkan som avses i 10 kap. 1 § offentlighets-
och sekretesslagen, eftersom uppgiften i detta skede redan anses utlämnad i steg ett. När det gäller utlämnande med stöd av 10 kap. 2 § offentlighet- och sekretesslagen kan det konstateras att tillgängliggörandet av uppgifter genom sammanhållen vård- och omsorgsdokumentation i de flesta fall inte torde vara nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet.
Enligt den s.k. generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen får, utöver vad som följer av vissa angivna bestämmelser i kapitlet, sekretessbelagd uppgift lämnas till myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Bestämmelsen gäller dock inte vid sekretess enligt bl.a. 25 kap. 1 § eller 26 kap. 1 §, vilket det ju är fråga om i nu aktuella fall. Inte heller denna bestämmelse kan tillämpas för att bryta sekretessen vid utlämnande genom sammanhållen vård- och omsorgsdokumentation.
När det gäller utlämnande med direktåtkomst av uppgifter från en vårdgivare genom sammanhållen vård- och omsorgsdokumentation krävs det en bestämmelse som bryter sekretessen för uppgifter om samtliga patienter som omfattas av den föreslagna lagstiftningen om sammanhållen vård- och omsorgsdokumentation, samt i förhållande till både allmänna och privata vård- och omsorgsgivare. I 25 kap. 11–14 och 17 c § offentlighets- och sekretesslagen finns särskilda bestämmelser som bryter hälso- och sjukvårdssekretess enligt 25 kap. 1 § samma lag. Enligt 25 kap. 11 § 1 och 2 samma lag hindrar inte sjukvårdssekretessen att uppgift lämnas från en myndighet som bedriver hälso- och sjukvård i en kommun till en annan sådan myndighet i samma kommun eller från en myndighet som bedriver hälso- och sjukvård i en region till en annan sådan myndighet i samma region. Bestämmelserna gäller endast utlämnande till en annan hälso- och sjukvårdsmyndighet, och kan därför inte tillämpas vid utlämnande till allmänna eller privata omsorgsgivare. I 25 kap. 11 § 3 finns den ovan nämnda sekretessbrytande bestämmelsen som gäller vid sammanhållen journalföring. Den gäller som nämnts endast vid utlämnande till annan offentlig eller privat vårdgivare samt om förutsättningarna enligt 6 kap. patientdatalagen är uppfyllda.
I 25 kap. offentlighets- och sekretesslagen finns ytterligare sekretessbrytande bestämmelser som skulle kunna vara aktuella. Enligt 25 kap. 12 § offentlighets- och sekretesslagen hindrar inte hälso- och sjukvårdssekretessen att en uppgift om en enskild eller närstående
till denne lämnas från en myndighet inom hälso- och sjukvården till en annan sådan myndighet eller till en myndighet inom socialtjänsten, om det behövs för att ge den enskilde nödvändig vård, behandling eller annat stöd och denne inte har fyllt arton år. Vidare följer av 25 kap. 13 § samma lag att, om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar sekretess inte att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en privat vårdgivare eller en privat verksamhet på socialtjänstens område. De båda bestämmelserna har dock alltför begränsade tillämpningsområden för att kunna ligga till grund för utlämnande av uppgifter från vårdgivare till offentliga och privata vård- och omsorgsgivare genom direktåtkomst via sammanhållen vård- och omsorgsdokumentation.
För att möjliggöra utlämnande med direktåtkomst från en omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation krävs en bestämmelse som bryter sekretessen för uppgift om omsorgsmottagare vid utlämnande till såväl offentliga som privata vård- och omsorgsgivare. Bestämmelser som bryter socialtjänstsekretessen enligt 26 kap. 1 § offentlighets- och sekretesslagen finns i 26 kap. 8–10 §§. Den bestämmelse som skulle kunna vara tillämplig vid utlämnande av uppgifter är 26 kap. 9 § samma lag. Bestämmelsen innebär att socialtjänstsekretessen inte hindrar att uppgift om en enskild eller någon närstående till denne lämnas från en myndighet inom socialtjänsten till en annan sådan myndighet eller till en myndighet inom hälso- och sjukvården, om det behövs för att ge den enskilde nödvändig vård, behandling eller annat stöd och denne inte har fyllt arton år. Även denna bestämmelse har ett för begränsat tillämpningsområde för att ligga till grund för utlämnande av uppgifter från omsorgsgivare genom direktåtkomst via sammanhållen vård- och omsorgsdokumentation.
Sammanfattningsvis kan alltså sägas att varken de ovan nämnda sekretessbrytande bestämmelserna eller någon annan sekretessbrytande bestämmelse i offentlighets- och sekretesslagen kan tillämpas på det generella och rutinmässiga sätt som krävs för utlämnande av uppgifter genom direktåtkomst via sammanhållen vård- och omsorgsdokumentation.
19.1.4. Är det lämpligt med sekretessgenombrott?
Som framgått av avsnitt 12.2 och 13.2 har vård- och omsorgsgivare behov av att på ett smidigt sätt kunna ta del av vård- och omsorgsdokumentation om patienter eller omsorgsmottagare hos andra vård- och omsorgsgivare. Syftet med den föreslagna lagen är att få till stånd ett snabbare och enklare utbyte av information mellan vårdgivare och omsorgsgivare, vilket i sin tur ska leda till bättre vård eller omsorg. För att ett system med sammanhållen vård- och omsorgsdokumentation ska fungera som avsett krävs det dock, som konstateras ovan, lättnader i sekretesskyddet i form av sekretessbrytande bestämmelser.
Det är samtidigt viktigt att patientens eller omsorgsmottagarens förtroende för hälso- och sjukvården och socialtjänsten kan upprätthållas. För att patienten eller omsorgsmottagaren ska kunna få adekvat vård och lämpligt stöd är det viktigt att han eller hon känner förtroende för hälso- och sjukvården och socialtjänsten och vågar lämna uppgifter om sin hälsa och andra personliga förhållanden till myndigheterna. Detta förtroende kan minska om patienten eller omsorgsmottagaren upplever att skyddet för uppgifterna hotas genom t.ex. införande av sekretessbrytande bestämmelser. En avvägning mellan behovet av sekretessbrytande bestämmelser och den risk som sådana bestämmelser kan innebära för den personliga integriteten måste därför göras.
Vid bedömningen av om det är lämpligt att införa sekretessbrytande bestämmelser som möjliggör sammanhållen vård- och omsorgsdokumentation är det av betydelse vilka andra integritetsstärkande åtgärder som vidtas och vilket sekretesskydd uppgifterna har hos mottagande vård- och omsorgsgivare. När det gäller integritetsstärkande åtgärder föreslår utredningen att patienten eller omsorgsmottagaren, på samma sätt som i dag gäller för en patient vid sammanhållen journalföring, ska ha möjlighet att spärra uppgifter för tillgänglighet genom sammanhållen vård- och omsorgsdokumentation. Patienten eller omsorgsmottagaren ska vidare ha kontroll över spridningen av uppgifterna genom att det ska krävas ett informerat samtycke för att personal hos vård- eller omsorgsgivare ska få tal del av ospärrade uppgifter (se avsnitt 16.6 och 16.7). Andra integritetsgarantier som föreslås är krav på behörighetstilldelning och åtkomstkontroll samt att patienten och omsorgsmottagaren ska ha rätt att få information
om vilken elektronisk åtkomst som har förekommit (se avsnitt 16.14, 16.15 och 16.17).
När det gäller sekretesskyddet för uppgifterna hos de mottagande vård- och omsorgsgivarna som är myndigheter kan det konstateras att, som anges ovan, sekretess gäller med ett omvänt skaderekvisit för uppgift om enskilds hälsotillstånd och andra personliga förhållanden inom hälso- och sjukvården (25 kap. 1 § OSL) och för uppgift om enskilds personliga förhållanden inom socialtjänsten och därmed jämställd verksamhet (26 kap. 1 § OSL). Samma starka sekretess gäller därmed för uppgifterna både hos den utlämnande och den mottagande vård- eller omsorgsgivaren som är myndighet (utlämnande från privata vård- eller omsorgsgivare berörs i avsnitt 19.1.6).
Direktåtkomst kan innebära att uppgifter som den mottagande myndigheten inte har behov av i sin verksamhet men ändå har potentiell tillgång till inte skyddas av samma starka sekretess som hos den utlämnande myndigheten eller inte omfattas av någon sekretess alls. Det har därför ansetts finnas ett behov av en bestämmelse om överföring av sekretess vid direktåtkomst. Av 11 kap. 4 § offentlighets- och sekretesslagen följer att om en myndighet har elektronisk tillgång till en upptagning för automatiserad behandling hos en annan myndighet och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Detta gäller dock inte för uppgift som ingår i ett beslut hos den mottagande myndigheten. Denna bestämmelse om överföring av sekretess är tillämplig på uppgifter som den mottagande myndigheten har rätt att ha direktåtkomst till och sådan information som den mottagande myndigheten därutöver rent tekniskt kan få tillgång till vid direktåtkomst. Bestämmelsen ska dock enligt 11 kap. 8 § offentlighets- och sekretesslagen inte tillämpas på en uppgift där det finns en primär sekretessbestämmelse till skydd för samma intresse som är tillämplig på uppgiften hos den mottagande myndigheten. Sekretess som är direkt tillämplig hos den mottagande myndigheten har därför företräde framför överförd sekretess, oavsett om den primära sekretessen är starkare eller svagare än den överförda sekretessen.
I nu aktuella fall gäller alltså primär sekretess med samma styrka hos de mottagande myndigheterna och de utlämnande myndigheterna. Sekretesskyddet kommer således, oavsett om utlämnandet sker genom direktåtkomst eller annat elektroniskt utlämnande, vara
detsamma hos såväl de mottagande offentliga vård- och omsorgsgivarna som de utlämnande vård- och omsorgsgivarna. Utredningen föreslår därutöver att absolut sekretess ska gälla för uppgifterna i vissa fall (se avsnitt 19.2).
Utredningen gör bedömningen att de föreslagna åtgärderna som syftar till att stärka patientens eller omsorgsmottagarens personliga integritet och det existerande sekretesskyddet för uppgifter om enskildas personliga förhållanden inom hälso- och sjukvård och socialtjänst innebär tillräcklig kompensation för det minskade integritetsskydd som en sekretessbrytande bestämmelse kan innebära. Mot bakgrund av syftet med sammanhållen vård- och omsorgsdokumentation, dvs. en enkel och effektiv informationsöverföring mellan vård- och omsorgsgivare som ska gynna patienter och omsorgsmottagare, menar utredningen att övervägande skäl talar för att införa sekretessbrytande bestämmelser och ändra existerande reglering för att möjliggöra utlämnande av uppgifter från vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation.
19.1.5. Utformningen av en sekretessbrytande bestämmelse
Utlämnande av uppgifter genom direktåtkomst innebär, typiskt sett, att mottagaren har direkt tillgång till den utlämnande myndighetens uppgiftssamlingar och kan söka information på egen hand, dock utan att kunna påverka innehållet. Det brukar också innebära att den utlämnande myndigheten inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. För att mottagaren ska kunna söka efter de uppgifter som mottagaren har behov av, i det här fallet uppgifter om aktuell patient eller omsorgsmottagare, behöver den mottagande vård- eller omsorgsgivaren rent tekniskt ha möjlighet att ta del av uppgifter i fråga om alla personer som är aktuella hos den utlämnande vård- eller omsorgsgivaren, eftersom mottagaren inte i förväg kan veta vilka personer som kan komma att bli aktuella i ärenden och därför måste ha möjlighet att söka bland samtliga uppgifter hos utlämnande vård- och omsorgsgivare. Som tidigare nämnts utgör sådan information som en mottagande vård- eller omsorgsgivare rent tekniskt har tillgång till hos den utlämnande vård- och omsorgsgivaren i samband med direktåtkomst, som huvudregel allmän handling hos den mottagande myn-
digheten, även om förutsättningarna för att mottagaren ska få behandla uppgifterna enligt reglerna om sammanhållen vård- och omsorgsdokumentation inte är uppfyllda (se avsnitt 16.5.7). Eftersom samtliga uppgifter som är potentiellt tillgängliga för mottagande vård- och omsorgsgivare genom direktåtkomst typiskt sett blir allmän handling hos mottagaren, måste en sekretessbrytande bestämmelse som ska möjliggöra ett uppgiftsutbyte mellan vård- och omsorgsgivare genom direktåtkomst omfatta alla uppgifter som den utlämnande myndigheten rent tekniskt gör tillgängliga för den mottagande myndigheten genom sammanhållen vård- och omsorgsdokumentation. Den sekretessbrytande bestämmelsen kan således inte begränsas till att avse enbart sådana uppgifter som den mottagande vård- eller omsorgsgivaren i ett visst enskilt fall har rätt att ta del av enligt den föreslagna regleringen om sammanhållen vård- och omsorgsdokumentation.
Utredningen föreslår inte endast utlämnande genom direktåtkomst, utan även genom annat elektroniskt utlämnande. Vid utlämnande av uppgifter genom annat elektroniskt utlämnande än direktåtkomst sker utlämnandet typiskt sett genom att den mottagande myndigheten skickar en förfrågan om att få vissa uppgifter, som besvaras manuellt eller automatiserat av den utlämnande myndigheten. Mottagaren, i det här fallet mottagande vård- och omsorgsgivare, har vid denna form av utlämnande inte möjlighet att själva söka uppgifter i de utlämnande myndigheternas uppgiftssamlingar. Sekretessbrytande bestämmelser brukar i sådana fall utformas så att de avser utlämnande av uppgifter i enskilda fall, t.ex. om vissa särskilda villkor är uppfyllda. I nu aktuellt fall skulle en sekretessbrytande bestämmelse kunna formuleras så att sekretess inte gäller för en uppgift om den rör en patient eller omsorgsmottagare som får vård- eller omsorgsgivarens vård eller insatser och uppgifterna kan antas ha betydelse för vård- eller omsorgsgivarens vård eller insatser. Detta skulle innebära att kraven för att sekretessen ska brytas motsvarar de förutsättningar som uppställs för att en vård- eller omsorgsgivare ska få behandla personuppgifter genom sammanhållen vård- och omsorgsdokumentation. På så sätt avgränsas den sekretessbrytande bestämmelsens tillämpningsområde till de uppgifter som vård- eller omsorgsgivaren behöver i det enskilda fallet.
Som konstateras i avsnitt 6.6 och12.3.2 är det dock inte helt klart vilken typ av utlämnande som ska anses utgöra direktåtkomst och
vad som ska anses utgöra annat elektroniskt utlämnande. Det framstår inte som ändamålsenligt med två olika typer av sekretessbrytande bestämmelser, där frågan om det rör sig om direktåtkomst eller annat elektroniskt utlämnande är avgörande för vilken sekretessbrytande bestämmelse som är tillämplig. Den sekretessbrytande bestämmelse som krävs för att bryta sekretessen som gäller för omsorgsgivare enligt 26 kap. 1 § offentlighets- och sekretesslagen bör därför utformas på samma sätt som den sekretessbrytande bestämmelse som gäller vid sammanhållen journalföring, som alltså gäller samtliga uppgifter som mottagaren har teknisk tillgång till genom sammanhållen journalföring.
Utredningen föreslår därför en sekretessbrytande bestämmelse som innebär att sekretessen enligt 26 kap. 1 § offentlighets- och sekretesslagen inte hindrar att uppgift lämnas till en vård- eller omsorgsgivare som är en myndighet eller till en privat omsorgs- eller vårdgivare enligt vad som föreskrivs om sammanhållen vård- och omsorgsdokumentation i 2 kap. i den föreslagna lagen. Bestämmelsen bör placeras i 26 kap. offentlighets- och sekretesslagen som innehåller bestämmelser om sekretess till skydd för enskild inom socialtjänst och därmed jämställd verksamhet, under rubriken ”sekretessbrytande bestämmelser”.
När det gäller sekretessbrytande bestämmelser inom sjukvården finns det som nämnts redan en sekretessbrytande bestämmelse i 25 kap. 11 § 3 offentlighets- och sekretesslagen, som innebär att sekretess enligt 25 kap. 1 § offentlighets- och sekretesslagen (hälso- och sjukvårdssekretess) inte hindrar att uppgift lämnas till en myndighet som bedriver verksamhet som avses i nyss nämnda paragraf eller till en privat vårdgivare enligt det som föreskrivs om sammanhållen journalföring i patientdatalagen. Bestämmelsen bör ändras på så sätt att sekretessen inte hindrar att uppgift lämnas till en vård- eller omsorgsgivare som är en myndighet eller till en privat vård- eller omsorgsgivare enligt det som föreskrivs i 2 kap. i den föreslagna lagen.
19.1.6. Utlämnande från privata vård- och omsorgsgivare
Offentlighets- och sekretesslagen gäller bara för myndigheter och för verksamheter som enligt lagen jämställs med myndigheter, t.ex. s.k. kommunala företag. Sekretessen enligt 25 kap. 1 § och 26 kap. 1 §offentlighets- och sekretesslagen gäller således inte för privat hälso- och sjukvård eller privata verksamheter enligt socialtjänstlagen eller lagen (1993:387) om stöd och service till vissa funktionshindrade (LSS). För sådan verksamhet finns i stället regler om tystnadsplikt. För personal inom privat hälso- och sjukvård gäller tystnadsplikt enligt 6 kap.12–14 §§patientsäkerhetslagen (2010:659). Där anges bl.a. att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda (privata) hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. På socialtjänstens område gäller att den som är eller har varit verksam inom yrkesmässigt bedriven enskild (privat) verksamhet enligt socialtjänstlagen eller LSS inte obehörigen får röja vad han eller hon fått veta om enskildas personliga förhållanden (15 kap. 1 § socialtjänstlagen och 29 § LSS).
Tystnadsplikt innebär alltså att uppgifter inte obehörigen får lämnas ut utanför tystnadspliktsgränsen. När det gäller tolkningen av obehörighetsrekvisitet anges i förarbetena till bestämmelserna om tystnadsplikt på hälso- och sjukvårdsområdet att det ter sig naturligt att söka viss ledning i de skaderekvisit som finns i motsvarande bestämmelse i den dåvarande sekretesslagens. Enligt förarbetena ska det därmed vara en nära överensstämmelse mellan tystnadsplikten för offentliga funktionärer och tystnadsplikten för hälso- och sjukvårdspersonal i privat tjänst.3 Som obehörigt röjande anses inte att någon fullgör uppgiftsskyldighet som följer av lag eller förordning. I förarbetena till patientdatalagen konstateras att ståndpunkten är att den enskilde ska åtnjuta samma skydd för sin personliga integritet vare sig han eller hon får vård av en offentlig eller privat vårdgivare.4
Vid bedömningen av om tystnadsplikten får brytas kan därför vägledning hämtas i den offentliga sekretessregleringen. I föregående
3Prop. 1980/81:28 s. 23. 4Prop. 2007/08:126 s. 131 f.
avsnitt föreslår utredningen bestämmelser som bryter sekretessen vid utlämnande av uppgifter från offentliga vård- och omsorgsgivare till offentliga och privata vård- och omsorgsgivare, som sker med stöd av bestämmelserna i den föreslagna lagen om sammanhållen vård- och omsorgsdokumentation. De föreslagna sekretessbrytande reglerna bör således medföra att obehörighetsrekvisiten i 6 kap.12–14 §§patientsäkerhetslagen, 15 kap. 1 § socialtjänstlagen och 29 § LSS ska tolkas på motsvarande sätt vid utlämnande av uppgifter från privata vård- eller omsorgsgivare. Motsvarande bedömning gjordes vid införandet av sammanhållen journalföring.5 Någon ändring i dessa lagar behöver således inte göras för att den som omfattas av de nämnda tystnadspliktsreglerna ska kunna lämna uppgifter i samma utsträckning som motsvarande personalkategorier inom den offentliga sektorn.
19.2. Sekretess för uppgift om personliga förhållanden inom socialtjänst vid sammanhållen vård- och omsorgsdokumentation
Utredningens förslag: Absolut sekretess ska gälla hos en myn-
dighet inom socialtjänsten för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig genom direktåtkomst av en annan omsorgsgivare eller en vårdgivare genom sammanhållen vård- och omsorgsdokumentation, om förutsättningarna enligt reglerna om sådan dokumentation för att myndigheten ska få behandla uppgiften inte är uppfyllda.
Om sådana förutsättningar finns eller om myndigheten har behandlat sådana uppgifter enligt nämnda bestämmelser tidigare gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Detta gäller dock inte om annat följer av 26 kap. 5, 6 eller 7 § offentlighets- och sekretesslagen.
Den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen ska inskränka rätten att meddela och offentliggöra uppgifter.
Sekretessen för uppgift i allmän handling ska gälla i högst sjuttio år.
19.2.1. Behovet av en sekretessbestämmelse
Syftet med sammanhållen vård- och omsorgsdokumentation är att, med bibehållet integritetsskydd för patienten och omsorgsmottagaren, göra det enklare och smidigare för vård- och- omsorgsgivare att utbyta information, vilket i sin tur ska leda till bättre vård och omsorg. Som konstateras i avsnitt 12.3.3-12.3.5 och 13.3.1 innebär sammanhållen vård- och omsorgsdokumentation, där utlämnande till vård- och omsorgsgivare sker genom direktåtkomst, vissa särskilda integritetsrisker. För att lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning ska få genomslag och börja tillämpas i större omfattning krävs det att patienterna och omsorgsmottagarna känner förtroende för och är villiga att omfattas av de system med sammanhållen vård- och omsorgsdokumentation som vård- och omsorgsgivarna upprättar. Utredningen förslår därför en rad integritetsstärkande regler, se vidare avsnitt 12.3.9 och 13.3.2. Vissa av dessa regler syftar till att skydda omsorgsmottagarens personliga integritet i förhållande till allmänheten. Ändamålet med andra regler, såsom förslaget om tilldelning av behörighet och kontroll av åtkomst, är att skydda patientens och omsorgsmottagarens personliga integritet i förhållande till de vård- och omsorgsgivare som är anslutna till systemet med sammanhållen vård- och omsorgsdokumentation och deras medarbetare.
En av de integritetsstärkande åtgärder som utredningen föreslår är att omsorgsmottagaren, liksom en patient när det gäller sammanhållen journalföring, ska ha inflytande över spridningen av uppgifter genom att kunna motsätta sig att uppgifter görs tillgängliga genom sammanhållen vård- och omsorgsdokumentation (se avsnitt 16.5). Uppgifterna ska då spärras. Utredningen föreslår också att omsorgsmottagaren i ett andra steg, när en omsorgsgivare önskar ta del av uppgifter vid ett senare tillfälle, ska kunna neka omsorgsgivaren möjlighet att ta del av ospärrade uppgifter som en annan vård- eller omsorgsgivare gjort tillgängliga genom sammanhållen omsorgsdokumentation (avsnitt 16.7.4). Utöver omsorgsmottagarens samtycke krävs dessutom att vissa särskilda villkor är uppfyllda för att en omsorgsgivare ska få ta del av uppgifter som en annan vård- eller omsorgsgivare gjort tillgängliga, nämligen att uppgifterna rör en omsorgsmottagare som får omsorgsgivarens insatser eller är föremål för en utredning om att få sådana insatser från omsorgsgivaren samt att
uppgifterna kan antas ha betydelse för omsorgsgivarens insatser (se avsnitt 16.7.2 och 16.7.3). Utredningen förslår alltså en rad begränsande regler för när en omsorgsgivare får ta del av uppgifter om omsorgsmottagaren som gjorts tillgängliga genom sammanhållen vård- och omsorgsdokumentation.
I avsnitt 16.5.7 berörs frågan om vilken betydelse tryckfrihetsförordningens och offentlighets- och sekretesslagens reglering har för utlämnande av allmänna handlingar vid sammanhållen vård- och omsorgsdokumentation. Sammanfattningsvis kan här sägas att en ospärrad uppgift som en offentlig vård- eller omsorgsgivare gjort tillgänglig genom sammanhållen vård- och omsorgsdokumentation som huvudregel anses som en förvarad och inkommen allmän handling hos varje ansluten annan offentlig vård- och omsorgsgivare när systemet bygger på direktåtkomst. Även uppgifter i handlingar som görs tillgängliga för offentliga vård- och omsorgsgivare av privata vård- eller omsorgsgivare, blir vid tillgängliggörandet genom direktåtkomst inkomna allmänna handlingar hos alla offentliga vård- och omsorgsgivare som tekniskt kan bereda sig tillgång till uppgifterna. En begäran att få ta del av en allmän handling kan därmed göras hos vilken som helst av de offentliga vård- och omsorgsgivare som är anslutna till ett system med sammanhållen vård- och omsorgsdokumentation genom direktåtkomst. En begäran att få ta del av en allmän handling ska som huvudregel prövas av den eller de myndigheter hos vilken begäran görs (2 kap. 17 § andra stycket tryckfrihetsförordningen). En offentlig vård- eller omsorgsgivare som får en begäran om utlämnande av en allmän handling som finns hos en annan vård- eller omsorgsgivare och som vård- eller omsorgsgivaren har getts tillgång till genom direktåtkomst måste alltså göra en sekretessprövning. Detsamma gäller om en myndighet får en begäran från en annan myndighet om att få ospärrade uppgifter som myndigheten förfogar över (6 kap. 5 § OSL).
Inom socialtjänsten gäller sekretess för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (26 kap. 1 § OSL). Sekretess gäller därmed med ett omvänt skaderekvisit, vilket innebär att det finns en presumtion för att uppgifterna inte kan lämnas ut. Som konstateras i avsnitt 16.5.7 är allmänhetens möjligheter att med stöd av tryckfrihetsförordningens regler ta del av allmänna handlingar hos omsorgsgivarna ytterst begrän-
sade. Sekretessen är dock inte absolut, vilket innebär att en sekretessprövning måste göras. För att en behörig person hos den omsorgsgivare som fått begäran om utlämnande ska kunna bedöma sekretessfrågan krävs det att han eller hon tar del av den begärda handlingen. Detta gäller även i de fall det rör sig om en handling som en annan vård- eller omsorgsgivare gjort tillgänglig genom sammanhållen vård- och omsorgsdokumentation men de särskilda villkor för behandling som föreslås inte är uppfyllda, t.ex. att uppgifterna inte rör en omsorgsmottagare som får omsorgsgivarens insatser eller att omsorgsmottagaren inte lämnat sitt samtycke till behandlingen. Omsorgsgivaren skulle alltså i sådana fall behöva åsidosätta de särskilda villkor som uppställts i den föreslagna lagen för att skydda den enskildes integritet och begränsa tillgången till ospärrade uppgifter, för att kunna ta ställning i sekretessfrågan. Liksom i förarbetena till patientdatalagen kan det konstateras att en sådan ordning innebär att omsorgsmottagaren, när han eller hon ska välja mellan att spärra uppgifterna eller lämna dem ospärrade, i praktiken inte har sådan kontroll över uppgifterna som förutsätts i den föreslagna lagen, och att det, om detta inte justeras, kan leda till att förtroendet för systemet rubbas.6
Vid en begäran om utlämnande av allmän handling hos en omsorgsgivare skulle omsorggivaren därför behöva ta del av uppgifter om omsorgsmottagaren även om den inte är behörig att göra det enligt de krav som ställs upp i den föreslagna lagen, för att kunna avgöra om den handling som begärts ut förvaras hos myndigheten och om sekretess gäller för uppgifterna i den. En sådan ordning innebär således att syftet med de begränsande villkor som anges i den föreslagna lagen (se 2 kap. 7 och 9 §§) motverkas och att uppgifterna kan komma att spridas utanför den begränsade krets som kan antas ha behov av uppgifterna för att ansvara för eller utföra sina insatser. En sådan ordning kan, som anges i det föregående, leda till osäkerhet hos omsorgsmottagarna om de verkligen har kontroll över spridningen av uppgifterna, och i förlängningen ett minskat förtroende för sammanhållen vård- och omsorgsdokumentation.
Ett sätt att lösa problemet med att omsorgsgivare som egentligen inte uppfyller kraven för att ta del av handlingen ändå skulle behöva göra det för att kunna pröva en sekretessfråga är att, liksom vid sammanhållen journalföring, i offentlighets- och sekretesslagen föra
in en bestämmelse om absolut sekretess hos omsorgsgivaren för uppgift som en annan vård- eller omsorgsgivare har gjort tillgänglig för omsorgsgivaren genom sammanhållen vård- och omsorgsdokumentation. En sådan bestämmelse bör kombineras med en regel som innebär att en omsorgsgivare, i samband med att denne gör uppgifter om en person tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation, även ska införa en uppgift i systemet om att det finns ospärrade uppgifter om personen i fråga. Vidare ska vård- och omsorgsgivare kunna ta del av en sådan uppgift utan att ta del av uppgift om vilken vård- eller omsorgsgivare som gjort uppgiften tillgänglig eller ta del av övriga uppgifters innehåll (se avsnitt 16.5.7). Motsvarande regel för vårdgivare finns i dag i 6 kap. 2 § femte stycket patientdatalagen.
Absolut sekretess innebär att uppgifterna inte kan lämnas ut och att det inte ska göras någon sekretessprövning.7 En sådan sekretessbestämmelse bör i detta sammanhang utformas så att sekretess gäller hos en omsorgsgivare för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en annan vård- eller omsorgsgivare enligt bestämmelserna om sammanhållen vård- och omsorgsdokumentation, om förutsättningar enligt 2 kap. 7 eller 9 § i den föreslagna lagen för att omsorggivaren ska få behandla uppgiften inte är uppfyllda. En sådan bestämmelse skulle, i kombination med reglerna om att vård- och omsorgsgivare ska införa uppgifter om att det finns ospärrade uppgifter, innebära att om en begäran om utlämnande av allmän handling som innehåller uppgift om en omsorgsmottagare görs hos en omsorgsgivare som inte utför eller har utfört någon insats för omsorgsmottagaren och om det framgår i systemet att det finns ospärrade uppgifter om omsorgsmottagaren, omsorgsgivaren inte behöver ta del av uppgifterna för att kunna avgöra sekretessfrågan. Omsorgsgivaren kan då avslå begäran om utlämnande, eftersom absolut sekretess gäller för uppgifterna. Någon sekretessprövning som innefattar en granskning av handlingen behöver inte göras. Regleringen har den fördelen att omsorgsgivaren i sådana fall inte behöver ta del av de närmare uppgifterna om personen för att kunna konstatera att uppgifterna omfattas av sekretess.
Om förutsättningarna i 2 kap. 7 eller 9 § i den förslagna lagen är uppfyllda eller omsorgsgivaren har behandlat uppgiften med stöd av
7 Uppgifterna kan dock eventuellt ändå lämnas ut med stöd av en sekretessbrytande bestämmelse.
dessa bestämmelser tidigare, bör sekretess med ett omvänt skaderekvisit gälla för uppgifterna. Det innebär att, i likhet med socialtjänstsekretessen enligt 26 kap. 1 § offentlighets- och sekretesslagen, sekretess gäller för uppgift om den enskildes personliga förhållanden om det inte står klart att de kan röjas utan att den enskilde eller någon närstående till denne lider men.
19.2.2. Finns det en tillämplig sekretessgrund?
En ny sekretessbestämmelse får bara införas om det finns en tillämplig sekretessgrund i tryckfrihetsförordningen. De s.k. sekretessgrunderna framgår av 2 kap. 2 § första stycket tryckfrihetsförordningen. Bestämmelsen anger uttömmande vilka intressen som får skyddas genom att allmänna handlingar hålls hemliga. Den sekretessgrund som skulle kunna vara aktuell i detta sammanhang är den som anges i punkten 6, som medger begränsning av rätten att ta del av allmänna handlingar om det krävs med hänsyn till skyddet för enskildas personliga eller ekonomiska förhållanden.
Syftet med att införa absolut sekretess för uppgifter om en enskilds personliga förhållanden är att säkerställa att en omsorgsgivare inte ska behöva ta del av en uppgift om en omsorgsmottagare endast för att pröva sekretessfrågan, om inte förutsättningarna för att ta del av uppgiften är uppfyllda. Avsikten är att öka omsorgsmottagarens inflytande över tillgången till uppgifter om hans eller hennes personliga förhållanden genom sammanhållen vård- och omsorgsdokumentation och därmed stärka skyddet av uppgifterna i förhållande till de vård- och omsorgsgivare som samarbetar i ett sådant system. En ny sekretessbestämmelse till skydd för den enskildes personliga förhållanden är alltså tillåten genom sekretessgrunden i 2 kap. 2 § första stycket 6 tryckfrihetsförordningen.
19.2.3. Behövs det en ny sekretessbestämmelse?
I fall som detta, när en ny sekretessbestämmelse övervägs, måste man ta ställning till om det verkligen behövs en ny sekretessbestämmelse eller om det skydd för uppgifter man vill åstadkomma redan kan anses falla under en befintlig sekretessreglering som kan tillämpas.
Utan den reglering som övervägs gäller sekretess inom socialtjänsten och därmed jämställd verksamhet enligt 26 kap. 1 § offentlighets- och sekretesslagen för uppgift om enskilds personliga förhållanden inom de offentliga omsorgsgivarnas verksamhet. Sekretess gäller enligt bestämmelsen med ett omvänt skaderekvisit, vilket innebär en presumtion för att uppgifterna inte ska lämnas ut. En sekretessprövning måste likväl göras i de fall en allmän handling med uppgifterna begärs ut, vilket innebär att omsorgsgivaren behöver ta del av uppgifterna för att kunna göra prövningen. Det innebär att en eller flera tjänstemän eller någon annan hos omsorggivaren måste ta del av uppgifterna trots att villkoren för att ta del av uppgifterna i den föreslagna lagen inte är uppfyllda, vilket innebär en spridning av uppgifterna utanför den avgränsade krets som anges i lagen. Även om sekretess med ett omvänt skaderekvisit innebär ett starkt skydd, uppnås inte syftet att omsorgsgivarana inte ska behöva ta del av uppgifter enbart för att avgöra sekretessfrågan. För att uppnå detta syfte krävs absolut sekretess.
I 26 kap. offentlighets- och sekretesslagen finns bestämmelser om absolut sekretess i 3 § om sekretess vid kommunal familjerådgivning och 4 § om sekretess i verksamhet som avser omhändertagande av personakt i vissa fall. Ingen av dessa bestämmelser är tillämplig vid utlämnande av uppgift genom direktåtkomst i ett system med sammanhållen vård- och omsorgsdokumentation.
Det finns vidare vissa sekretessbestämmelser som gäller hos alla myndigheter, t.ex. minimiskyddsreglerna till skydd för enskildas personliga integritet i 21 kap. offentlighets- och sekretesslagen. Enligt 21 kap. 1 § offentlighets- och sekretesslagen gäller sekretess för uppgift som rör en enskilds hälsa eller sexualliv om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs. Bestämmelsen innehåller ett rakt skaderekvisit, vilket innebär att det finns en presumtion för att uppgiften kan lämnas ut. Inte heller denna bestämmelse, eller någon annan bestämmelse i 21 kap. offentlighets- och sekretesslagen, kan tillämpas för att undvika att uppgifter behöver lämnas ut till omsorgsgivare enbart för att möjliggöra sekretessprövning.
Sammanfattningsvis gör utredningen bedömningen att det inte finns någon tillämplig sekretessbestämmelse för uppgift om enskilds personliga förhållanden hos en omsorgsgivare och som uppfyller det önskade syftet.
19.2.4. Intresseavvägning
Rätten att ta del av allmänna handlingar är ett uttryck för offentlighetsprincipen. Syftet med denna rätt är enligt 2 kap. 1 § tryckfrihetsförordningen att främja ett fritt meningsutbyte, en fri och allsidig upplysning och ett fritt konstnärligt skapande. Offentlighetsprincipen är en grundläggande princip i den svenska rättsordningen, och innebär att allmänheten har rätt till insyn i och tillgång till information om samhällsorganens verksamhet. Syftet med principen är bl.a. att genom allmänhetens insyn i offentlig verksamhet garantera rättssäkerheten, effektiviteten i förvaltningen, effektiviteten i folkstyret och att främja allmänhetens förtroende för myndigheterna.
En sekretessbestämmelse innebär en begränsning av den grundlagsfästa rätten att ta del av allmänna handlingar. När fråga uppkommer om att införa en ny sekretessbestämmelse måste det därför alltid göras en avvägning mellan behovet av sekretess och intresset av att insynen i en offentlig verksamhet inte begränsas. Frågan i detta fall är hur stort allmänintresset av insyn är när det gäller uppgift om enskilds personliga förhållande hos omsorgsgivare.
Det kan konstateras att det rör sig om uppgifter om enskilds personliga förhållanden inom hälso- och sjukvården och socialtjänsten, d.v.s. uppgifter som ofta är av mycket känslig karaktär såsom uppgift om omsorgsmottagarens fysiska och psykiska hälsa. För sådana uppgifter gäller enligt nuvarande regler sekretess med ett omvänt skaderekvisit, dvs. utgångspunkten, vid en begäran om utlämnande, är att uppgifterna inte ska lämnas ut. Det är tydligt att det finns ett behov av ett starkt skydd för uppgifterna, både i förhållande till allmänheten och till andra vård- och omsorgsgivare som samarbetar i ett system med sammanhållen vård- och omsorgsdokumentation.
Det kan konstateras att allmänheten kan ha ett intresse och behov av insyn i omsorgsgivarnas verksamhet. Medierna och enskilda bör ha möjlighet att granska den verksamhet som omfattas av den föreslagna lagstiftningen. Det är av vikt att verksamheten kan granskas, både med hänsyn till att omsorgsmottagarna får god omsorg samt för att kontrollera att allmänna medel används på det mest ändamålsenliga sättet.
Den föreslagna regleringen innebär en begränsning i förhållande till nuvarande reglering på så sätt att en omsorgsgivare, som ska pröva en begäran om utlämnande av allmänna handlingar, inte ska
behöva ta del av uppgifter om en omsorgsmottagare som omsorgsgivaren inte utför eller har utfört insatser för. Den föreslagna regleringen innebär dock att uppgifter om en omsorgsmottagare, på samma sätt som i dag, kommer att omfattas av ett omvänt skaderekvisit hos åtminstone en omsorgsgivare som ansvarar för eller utför eller har utfört en insats för omsorgsmottagaren. Allmänhetens möjlighet till insyn, som alltså redan i dag är liten, kommer i praktiken inte att bli mindre än enligt nuvarande reglering. För mediernas rapportering och allmänhetens insyn i verksamheten har det därför ingen betydelse att rätten att ta del av allmänna handlingar inskränks på det föreslagna sättet. Vid en avvägning bedömer utredningen att behovet av skydd för omsorgsmottagarens uppgifter väger tyngre än behovet av insyn i verksamheten, och att en sekretessbestämmelse med den föreslagna lydelsen bör införas.
19.2.5. Utformningen av en sekretessbestämmelse
Med hänsyn till att sekretess är ett undantag från huvudregeln om offentlighet ska en sekretessbestämmelse utformas så att handlingsoffentligheten inte begränsas mer än vad som är nödvändigt för att uppfylla syftet med bestämmelsen. Bestämmelsens tillämpningsområde bestäms av föremålet för sekretessen, sekretessens räckvidd och styrka.
Sekretessregleringens föremål och räckvidd
Med sekretessens föremål avses vilka uppgifter som ska kunna hemlighållas med stöd av den föreslagna sekretessbestämmelsen. Som framgår av det föregående finns det ett behov av att skydda uppgift om enskildas personliga förhållande i ett system med sammanhållen vård- och omsorgsdokumentation. Med uppgift om enskilds personliga förhållanden avses t.ex. uppgift om psykisk och fysisk hälsa och ekonomi, men också mindre integritetskänsliga uppgifter, såsom någons adress.8 Det kan vara svårt att i förväg närmare ange vilka uppgifter om enskildas personliga förhållanden som är skyddsvärda. En till synes harmlös uppgift kan i kombination med andra uppgifter sammantaget innebära att den enskilde lider men om uppgiften röjs.
8Prop. 1979/08:2 del A s. 84.
Sekretessen i den föreslagna bestämmelsen bör därför omfatta samtliga uppgifter om en enskilds personliga förhållanden som gjorts tillgängliga för myndigheten enligt bestämmelserna om direktåtkomst genom sammanhållen vård- och omsorgsdokumentation.
Det bör uppmärksammas att bestämmelsen om absolut sekretess endast ska vara tillämplig vid utlämnande genom direktåtkomst. Vid annat elektroniskt utlämnande uppstår inte den ovan nämnda problematiken med att potentiellt tillgängliga handlingar är att anse som allmänna handlingar hos samtliga myndigheter som är anslutna till ett system med sammanhållen vård- och omsorgsdokumentation. I bestämmelsen bör det därför uttryckligen anges att den endast är tillämplig om uppgiften gjorts tillgänglig av en annan vård- eller omsorgsgivare genom direktåtkomst enligt bestämmelserna i den föreslagna lagen.
När det gäller frågan om sekretessregleringens räckvidd bör sekretessbestämmelsen gälla hos samtliga myndigheter som bedriver verksamhet som avses i 26 kap. 1 § offentlighets- och sekretesslagen, men det är förstås bara de myndigheter som är anslutna till system med sammanhållen vård- och omsorgsdokumentation som berörs.
Sekretessens styrka
Nästa fråga utredningen har att ta ställning till är vilken styrka sekretessen bör ha. Huvudregeln när en ny sekretessregel ska utformas är att det inte ska gälla mer sekretess än vad som är nödvändigt för att skydda de intressen som har föranlett bestämmelsen.
Syftet med den föreslagna bestämmelsen är att en omsorgsgivare, som inte utför eller har utfört någon insats för en omsorgsmottagare eller på annat sätt ansvarar eller har ansvarat för sådana insatser inte ska behöva ta del av uppgifter om omsorgsmottagaren bara för att pröva en begäran om utlämnande av allmänna handlingar. För att uppnå detta syfte krävs det att sekretessen är absolut, dvs. att någon sekretessprövning inte ska göras vid begäran om utlämnande av handlingen.
I de fall omsorgsgivaren som ska pröva begäran om utlämnande av allmänna handlingar utför eller har utfört insatser för omsorgsmottagaren som begäran om utlämnande rör, finns det inte skäl att begränsa omsorgsgivarens tillgång till uppgifterna. I sådana fall bör,
liksom i dag enligt 26 kap. 1 § offentlighets- och sekretesslagen, sekretess gälla med ett omvänt skaderekvisit.
Undantag
I 26 kap. 1 § femte stycket offentlighets- och sekretesslagen anges att sekretessen enligt första stycket inte gäller om annat följer av 26 kap. 5, 6 eller 7 § offentlighets- och sekretesslagen. Bestämmelsen innebär undantag från sekretessen enligt 26 kap. 1 § första stycket offentlighets- och sekretesslagen om annat följer av bestämmelserna om särskild anmälningssekretess i 26 kap.5 och 6 §§offentlighets- och sekretesslagen. De bestämmelserna innehåller raka skaderekvisit och innebär alltså en svagare sekretess än 26 kap. 1 § första stycket offentlighets- och sekretesslagen. Vidare är beslut i vissa ärenden som anges i 26 kap. 7 § offentlighets- och sekretesslagen helt undantagna från sekretessen enligt 26 kap. 1 § första stycket offentlighets- och sekretesslagen.
Utredningen föreslår i föregående avsnitt att i de fall omsorgsgivaren, som ska pröva begäran om utlämnande av allmänna handlingar, utför eller har utfört insatser för omsorgsmottagaren som begäran om utlämnande rör, gäller på samma sätt som enligt 26 kap. 1 § första stycket offentlighets- och sekretesslagen sekretess med ett omvänt skaderekvisit. Det finns inte skäl att införa en starkare sekretess eller en reglering med färre undantag i de fall som anges i den föreslagna bestämmelsens andra stycke än vad som gäller enligt huvudregeln om sekretess till skydd för enskild inom socialtjänst och därmed jämställd verksamhet. Motsvarande undantag från sekretessen som gäller enligt 26 kap. 1 § femte stycket offentlighets- och sekretesslagen bör därför införas i den föreslagna bestämmelsen om sekretess hos myndigheter inom socialtjänsten vid sammanhållen vård och omsorgsdokumentation. Undantaget innebär att bestämmelserna i 26 kap. 5, 6 eller 7 § offentlighets- och sekretesslagen i förekommande fall ska tillämpas i stället för den föreslagna sekretessbestämmelsens andra stycke.
Sekretesstiden
I sekretessbestämmelser anges regelmässigt för hur lång tid sekretessen ska gälla. Det är skyddsintresset som avgör hur lång sekretesstiden bör vara. När det gäller uppgifter om enskildas personliga förhållanden bestäms ofta sekretesstiden till 70 år (se 25 kap. och 26 kap.offentlighets- och sekretesslagen). Bakgrunden till det är att sekretessen som utgångspunkt bör gälla under större delen av den enskildes livstid.9 Det finns inte skäl för att här frångå denna ordning. Utredningen föreslår därför att en tidsgräns på 70 år ska gälla i den nya sekretessbestämmelsen.
Placeringen av sekretessbestämmelsen
Sekretessen i den föreslagna bestämmelsen gäller hos en myndighet som bedriver verksamhet inom socialtjänst och enligt lagstiftningen om stöd och service till vissa funktionshindrade. Bestämmelsen bör därför lämpligen införas i 26 kap. offentlighets- och sekretesslagen, som innehåller bestämmelser om sekretess till skydd för enskild inom socialtjänst och därmed jämställd verksamhet. Bestämmelsen bör av systematiska skäl, liksom motsvarande bestämmelse avseende sammanhållen journalföring inom hälso- och sjukvården, införas efter kapitlets första paragraf som definierar vilken verksamhet som omfattas av sekretessregleringen. En ny rubrik bör också införas, så att det tydligt framgår att bestämmelsen gäller vid sammanhållen vård- och omsorgsdokumentation.
19.2.6. Rätten att meddela och offentliggöra uppgifter
Av 1 kap.1, 2 och 7 §§tryckfrihetsförordningen och 1 kap.1 och 10 §§yttrandefrihetsgrundlagen framgår att var och en har rätt att meddela och offentliggöra uppgifter i vilket ämne som helst i tryckt eller därmed jämställd skrift eller i radioprogram, film, tekniska upptagningar eller därmed jämställt medium. Denna rätt att meddela och offentliggöra uppgifter kan begränsas genom bestämmelser om sekretess. Med sekretess avses både förbud att röja en uppgift muntligen (tystnadsplikt) och genom utlämnande av en allmän handling (hand-
9Prop. 1979/80:2 del A s. 460 och 493 f.
lingssekretess). Enligt huvudregeln har rätten att meddela och offentliggöra uppgifter företräde framför tystnadsplikten. Vissa undantag från denna huvudregel, dvs. situationer där tystnadsplikten har företräde, regleras direkt i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Av 7 kap. 20 § första stycket 2 och 22 § första stycket 3 och andra stycket tryckfrihetsförordningen och 5 kap. 1 § och 4 § första stycket 3 och andra stycket yttrandefrihetsgrundlagen framgår vidare att det inte är tillåtet att med stöd av rätten att meddela och offentliggöra uppgifter uppsåtligen åsidosätta en tystnadsplikt i de fall som anges i en särskild lag. Den särskilda lag som avses är offentlighets- och sekretesslagen. Särskilda bestämmelser om rätten att meddela och offentliggöra uppgifter och tystnadsplikt finns i 13 kap. OSL, i slutet av varje kapitel i lagens fjärde–sjätte avdelningar och lagens sjunde avdelning. Rätten att meddela och offentliggöra uppgifter har dock aldrig företräde framför handlingssekretessen (7 kap. 20 § 1 och 22 § första stycket 2 och andra stycket tryckfrihetsförordningen samt 5 kap. 1 § och 4 § första stycket 2 och andra stycket yttrandefrihetsgrundlagen).
Utredningen föreslår att en ny sekretessbestämmelse till skydd för uppgift om enskilds personliga förhållanden vid sammanhållen vård- och omsorgsdokumentation införs i 26 kap. offentlighets- och sekretesslagen. Enligt förslaget ska bestämmelsen utformas utan skaderekvisit, dvs. absolut sekretess ska gälla. Denna omständighet, liksom det förhållandet att uppgifterna har lämnats till ursprungsmyndigheten i förtroende, talar för att tystnadsplikten bör ha företräde framför rätten att meddela och offentliggöra uppgifter.10Övriga sekretessbestämmelser i 26 kap. offentlighets- och sekretesslagen har utformats med absolut sekretess eller ett omvänt skaderekvisit. Den tystnadsplikt som följer av dessa bestämmelser inskränker, med vissa angivna undantag, rätten att meddela och offentliggöra uppgifter (26 kap. 15 § offentlighets- och sekretesslagen). Utredningen bedömer att det saknas skäl att avvika från nuvarande ordning i fråga om tystnadsplikt och meddelarfrihet på socialtjänstens område. Utredningen föreslår därför att den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen ska inskränka rätten att meddela och offentliggöra uppgifter.
10Prop. 1979/80:2 del A s. 111.
19.3. Sekretess för uppgift om personliga förhållanden inom hälso- och sjukvård vid sammanhållen vård- och omsorgsdokumentation
Utredningens förslag: Offentlighets- och sekretesslagen ändras
på så sätt att absolut sekretess ska gälla hos en vårdgivare som är en myndighet för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en annan vårdgivare eller en omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation, om förutsättningarna enligt reglerna om sådan dokumentation för att myndigheten ska få behandla uppgiften inte är uppfyllda.
Om sådana förutsättningar finns eller om myndigheten har behandlat sådana uppgifter enligt nämnda bestämmelser tidigare gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
För uppgift i en allmän handling gäller sekretessen enligt båda bestämmelserna i högst sjuttio år.
19.3.1. Behovet av sekretessbestämmelser
Som nämnts ovan gäller i dag sekretess enligt 25 kap. 2 § offentlighets- och sekretesslagen hos en myndighet som bedriver hälso- och sjukvård om en enskilds personliga förhållanden som gjorts tillgänglig av en annan vårdgivare enligt bestämmelserna om sammanhållen journalföring i patientdatalagen. Denna sekretessbestämmelse bör även fortsättningsvis tillämpas på motsvarande sätt vid vårdgivares åtkomst till vårddokumentation vid sammanhållen vård- och omsorgsdokumentation. Frågan är här om bestämmelsen bör utsträckas till att gälla även vid vårdgivares tillgång till omsorgsdokumentation genom sammanhållen vård- och omsorgsdokumentation.
Utredningen konstaterar i avsnitt 13.2 att det finns ett behov av att ta del av omsorgsinformation avseende äldre och personer med funktionsnedsättningar inom hälso- och sjukvården. Det finns också ett behov av att ta del av vårddokumentation inom verksamhet inom socialtjänsten som avser äldre och personer med funktionsnedsättningar. Syftet med sådant informationsutbyte är att förbättra säkerheten och kvaliteten i vården och omsorgen för äldre och personer med funktionsnedsättningar. Ett system med sammanhållen
vård- och omsorgsdokumentation innebär vissa integritetsrisker, men utredningen bedömer att det, med de särskilda krav på patientens eller omsorgsmottagarens samtycke och andra integritetsstärkande åtgärder som föreslås, är möjligt att införa direktåtkomst, eller annat elektroniskt utlämnande, för vård- och omsorgsgivare till dokumentation om äldre och personer med funktionsnedsättningar (se avsnitt 12.3 och 13.3). Utredningen föreslår mot denna bakgrund en ny lag om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning som reglerarar bl.a. vårdgivares åtkomst till sammanhållen omsorgsdokumentation inom socialtjänsten. Bestämmelserna innebär att en vårdgivare under vissa angivna förutsättningar får ha åtkomst, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter genom sammanhållen vård- och omsorgsdokumentation (se vidare avsnitt 16.6).
Syftet med den föreslagna lagen om sammanhållen vård- och omsorgsdokumentation är att, med bibehållet integritetsskydd för patienten eller omsorgsmottagaren, möjliggöra smidigt och enkelt informationsutbyte mellan vård- och omsorgsgivare, vilket i sin tur ska leda till bättre vård och omsorg för patienter och omsorgsmottagare. Som tidigare berörts (se avsnitt 12.3.3–12.3.5 och 13.3.1) innebär en reglering som möjliggör utlämnande genom direktåtkomst vissa särskilda integritetsrisker. Tryckfrihetsförordningens och offentlighets- och sekretesslagens reglering innebär att en ospärrad uppgift som en offentlig vård- eller omsorgsgivare gjort tillgänglig genom sammanhållen journalföring eller de föreslagna reglerna om sammanhållen vård- och omsorgsdokumentation, som huvudregel anses som en förvarad och inkommen allmän handling hos varje ansluten annan offentlig vård- eller omsorgsgivare, om utlämnandet sker genom direktåtkomst. Det gäller även uppgifter i handlingar som görs tillgängliga för offentliga vård- eller omsorgsgivare av privata vård- eller omsorgsgivare. Handlingarna blir därför redan vid tidpunkten för tillgängliggörandet genom direktåtkomst inkomna allmänna handlingar hos alla offentliga vård- och omsorgsgivare som tekniskt kan bereda sig tillgång till uppgifterna. En begäran att få ut en allmän handling kan alltså ställas till samtliga de myndigheter som har åtkomst till uppgiften genom direktåtkomst, dvs. inte endast till den myndighet som gjort uppgiften tillgänglig.
Inom hälso- och sjukvården och socialtjänsten gäller sekretess för uppgift om en enskilds personliga förhållanden, om det inte står
klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap. 1 § och 26 kap. 1 § OSL). Sekretess gäller därmed med ett omvänt skaderekvisit, vilket innebär att utgångspunkten är att uppgifterna inte kan lämnas ut. Detta innebär att en sekretessprövning måste göras i varje enskilt fall (se närmare om sekretessprövningen vid ett omvänt skaderekvisit i avsnitt 19.1.1). Även vid vårdgivares åtkomst till omsorgsdokumentation genom direktåtkomst uppkommer den problematik som beskrivs i avsnitt 19.1.1, dvs. att den myndighet som får en begäran om utlämnande av allmän handling och som har åtkomst till uppgift i handlingen genom direktåtkomst måste göra en sekretessprövning och därmed ta del av uppgiften, även om de särskilda villkor som gäller för att ta del av uppgiften inte är uppfyllda. För att en behörig person hos den myndighet som fått begäran om utlämnande ska kunna bedöma sekretessfrågan krävs det nämligen att han eller hon tar del av den begärda handlingen, även om det rör sig om en handling som en annan vård- eller omsorgsgivare gjort tillgänglig genom sammanhållen vård- och omsorgsdokumentation, men de särskilda villkor som krävs för behandling inte är uppfyllda. Utredningen konstaterar i avsnitt 19.2.1 att en sådan ordning kan leda till behandling av personuppgifter som patienten eller omsorgsmottagaren inte kunnat förutse och kontrollera, vilket riskerar att rubba förtroendet för integritetsskyddet vid utbyte av information mellan vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation. Utredningen bedömer att det, på samma sätt som vid sammanhållen journalföring, vid de föreslagna reglerna om sammanhållen vård- och omsorgsdokumentation finns ett behov av bestämmelser om absolut sekretess i de fall en offentlig vårdgivare har tillgång till omsorgsgivares uppgifter genom direktåtkomst. Absolut sekretess innebär att uppgifterna inte kan lämnas ut och att det inte ska göras någon sekretessprövning. En sådan bestämmelse innebär, tillsammans med reglerna i den föreslagna lagen om sammanhållen vård- och omsorgsdokumentation om att vård- eller omsorgsgivare ska införa uppgift om att det finns ospärrade uppgifter i systemet, att om en begäran om utlämnande av allmän handling som innehåller uppgift om en patient görs hos en vårdgivare som inte har eller har haft någon relevant vårdkontakt med patienten och om det framgår i systemet att det finns ospärrade uppgifter om patienten, behöver myndigheten inte ta del av uppgifterna för att kunna avgöra sekretessfrågan. Vårdgivaren kan då avslå
begäran om utlämnande utan att göra en sekretessprövning, eftersom absolut sekretess gäller för uppgifterna.
Om vårdgivaren uppfyller de krav som anges för behandling av personuppgifter genom sammanhållen vård- och omsorgsdokumentation eller vårdgivaren har behandlat uppgiften med stöd av dessa bestämmelser tidigare, bör i stället sekretess med ett omvänt skaderekvisit gälla för uppgifterna. Det innebär att sekretess gäller för uppgift om den enskildes personliga förhållanden om det inte står klart att den kan röjas utan att den enskilde eller någon närstående till denne lider men.
19.3.2. Finns det en tillämplig sekretessgrund?
Syftet med att införa absolut sekretess för uppgifter om en enskilds personliga förhållanden vid sammanhållen vård- och omsorgsdokumentation är att säkerställa att en vård- eller omsorgsgivare inte ska behöva ta del av en uppgift om en patient eller omsorgsmottagare endast för att pröva sekretessfrågan, om inte förutsättningarna för att ta del av uppgiften är uppfyllda. På samma sätt som anges i avsnitt 19.2.2 är avsikten med den föreslagna sekretessbestämmelsen att öka patientens inflytande över tillgången till uppgifter om hans eller hennes personliga förhållanden genom sammanhållen vård- och omsorgsdokumentation och därmed stärka skyddet av uppgifterna i förhållande till de vård- och omsorgsgivare som samarbetar i ett sådant system. Nya sekretessbestämmelser till skydd för den enskildes personliga förhållanden vid vårdgivares behandling av personuppgifter genom sammanhållen vård- och omsorgsdokumentation kan därför grundas på 2 kap. 2 § första stycket 6 tryckfrihetsförordningen.
19.3.3. Behövs en ny sekretessbestämmelse?
Utan särskild reglering gäller alltså sekretess inom hälso- och sjukvård med ett omvänt skaderekvisit (25 kap. 1 § OSL). För att vårdgivare som får en begäran om utlämnande inte ska behöva ta del av uppgifter som är tillgängliga genom direktåtkomst för att göra en sekretessprövning, om villkoren för behandling av uppgifterna inte är uppfyllda, krävs att absolut sekretess gäller för uppgifterna. Utredningen konstaterar i avsnitt 19.2.3 att det inte finns någon generell sekretess-
bestämmelse i offentlighets- och sekretesslagen som uppfyller det önskade syftet.
I 25 kap. offentlighets- och sekretesslagen, som innehåller bestämmelser om hälso- och sjukvårdssekretess, finns vissa bestämmelser om absolut sekretess. Bestämmelsen om absolut sekretess vid sammanhållen journalföring enligt 25 kap. 2 § offentlighets- och sekretesslagen gäller dock endast för uppgift som gjorts tillgänglig av en annan vårdgivare enligt bestämmelserna om sammanhållen journalföring. Inte heller i övrigt finns det i 25 kap. offentlighets- och sekretesslagen någon sådan generell sekretessbestämmelse som kan tillämpas för uppgift hos omsorgsgivare vid sammanhållen vård- och omsorgsdokumentation. Det finns därmed ett behov av en särskild bestämmelse som innebär att uppgifter om enskilda personliga förhållanden skyddas genom absolut sekretess hos en vårdgivare när uppgifterna är tillgängliga genom direktåtkomst genom sammanhållen vård- och omsorgsdokumentation.
19.3.4. Intresseavvägning
Utredningen slår i avsnitt 19.2.4 fast att allmänheten kan ha ett intresse av och behov av insyn i omsorgsgivarnas verksamhet, och att medierna och enskilda bör ha möjlighet att granska den verksamhet som omfattas av den föreslagna lagstiftningen om sammanhållen vård- och omsorgsdokumentation. På samma sätt är det viktigt att allmänheten och medierna kan få insyn i och granska hälso- och sjukvårdsverksamhet. Den här föreslagna regleringen om absolut sekretess i vissa fall innebär en begränsning i förhållande till nuvarande reglering på så sätt att en vårdgivare, som ska pröva en begäran om utlämnande av allmänna handlingar, inte ska behöva ta del av uppgifter om en patient som vårdgivaren inte har någon aktuell vårdrelation till. Det gäller redan i dag enligt 25 kap. 2 § första stycket offentlighets- och sekretesslagen i fråga om uppgift om enskildas personliga förhållanden som gjorts tillgänglig av en annan vårdgivare genom sammanhållen journalföring. Med den föreslagna regeringen skulle absolut sekretess gälla även för uppgift som gjorts tillgänglig av en omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation. Den föreslagna regleringen innebär dock att uppgifter om en patient, på samma sätt som i dag, kommer att omfattas av ett
omvänt skaderekvisit hos en vårdgivare som har en aktuell patientrelation till patienten. Allmänhetens eller mediernas möjlighet till insyn, som redan i dag är begränsad på hälso- och sjukvårdsområdet, kommer således i praktiken inte att bli mindre än enligt nuvarande reglering. På samma sätt som i avsnitt 19.2.4 kan det konstateras att mediernas möjlighet till rapportering och allmänhetens insyn i verksamheten inte ändras genom de föreslagna bestämmelserna. Vid en avvägning bedömer utredningen att behovet av skydd för patientens uppgifter väger tyngre än behovet av insyn i hälso- och sjukvårdsverksamheten, och att den föreslagna sekretessbestämmelsen bör införas.
19.3.5. Utformningen av sekretessbestämmelserna
Utredningen menar, av skäl som berörs närmare i avsnitt 12.3.8, att en reglering av behandling av personuppgifter genom sammanhållen vård- och omsorgsdokumentation så långt som möjligt ska likna det system som redan gäller för sammanhållen journalföring enligt patientdatalagen. Bestämmelserna om absolut sekretess vid sammanhållen vård- och omsorgsdokumentation bör därför utformas i enlighet med bestämmelsen om absolut sekretess vid sammanhållen journalföring i 25 kap. 2 § offentlighets- och sekretesslagen. Mot den bakgrunden och med den motivering som ges i avsnitt 19.2.5 bör sekretessen i de föreslagna bestämmelserna omfatta samtliga uppgifter om en enskilds personliga förhållanden som gjorts tillgängliga genom direktåtkomst för vårdgivaren enligt bestämmelserna om sammanhållen vård- och omsorgsdokumentation.
När det gäller bestämmelsernas räckvidd bör sekretessen gälla hos samtliga myndigheter som bedriver verksamhet som avses i 25 kap. 1 § offentlighets- och sekretesslagen. Som konstateras i avsnitt 19.2.5. är bestämmelserna naturligtvis tillämpliga endast om myndigheten är ansluten till ett system med sammanhållen vård- och omsorgsdokumentation.
När det gäller sekretessbestämmelsernas styrka är det av betydelse att själva syftet med bestämmelserna är att en vårdgivare, som inte har någon aktuell patientrelation med en patient inte ska behöva ta del av uppgifter om patienten bara för att pröva en begäran om utlämnande av allmänna handlingar. För att uppnå detta syfte krävs,
som anges i avsitt 19.2.5, just att sekretessen är absolut, dvs. att någon sekretessprövning inte ska göras vid begäran om utlämnande av handlingen.
I de fall vårdgivaren som ska pröva begäran om utlämnande av allmänna handlingar har en aktuell patientrelation med patienten som begäran om utlämnande rör, finns det inte skäl att begränsa tillgången till uppgifterna. I sådana fall bör, liksom enligt nuvarande reglering, sekretess gälla med ett omvänt skaderekvisit.
Sekretesstiden bör, av samma skäl som anges i avsnitt 19.2.5, bestämmas till sjuttio år.
Utredningen föreslår alltså att bestämmelsen i 25 kap. 2 § offentlighets- och sekretesslagen ändras på så sätt att sekretess gäller hos en myndighet som bedriver verksamhet som avses i 1 § samma kapitel, för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig för myndigheten genom direktåtkomst av en annan vårdgivare eller en omsorgsgivare enligt lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning, om förutsättningar enligt 2 kap. 6, 8 eller 10 §§ samma lag för att myndigheten ska få behandla uppgiften inte är uppfyllda. Om sådana förutsättningar är uppfyllda eller myndigheten har behandlat uppgiften enligt nämnda bestämmelser tidigare, gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Bestämmelsen bör införas under en ny rubrik med lydelsen ”Sammanhållen vård- och omsorgsdokumentation”.
19.3.6. Rätten att meddela och offentliggöra uppgifter
Utredningen föreslår alltså en sekretessbestämmelse som innebär att absolut sekretess ska gälla för uppgift om enskilds personliga förhållanden hos en vårdgivare som är en myndighet för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig för myndigheten genom direktåtkomst av en annan vårdgivare eller en omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation. Även här rör det sig om uppgifter som en patient, som också i vissa fall är omsorgsmottagare, lämnat till en myndighet i förtroende. Av 25 kap. 18 § andra stycket offentlighets- och sekretesslagen framgår vidare att den tystnadsplikt som i dag följer av 2 § samma kapitel inskränker rätten att meddela och offentliggöra uppgifter, när det är
fråga om uppgift om annat än verkställighet av beslut om omhändertagande eller beslut om vård utan samtycke. Det är lämpligt att regleringen om absolut sekretess för uppgift hos vårdgivare vid sammanhållen vård- och omsorgsdokumentation överensstämmer med nu gällande regler om absolut sekretess i vissa fall för uppgift som behandlas med stöd av reglerna om sammanhållen journalföring i patientdatalagen. Mot denna bakgrund och av samma skäl som anförs i avsnitt 19.2.6 bör den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen inskränka rätten att meddela och offentliggöra uppgifter. Någon ändring av 25 kap. 18 § offentlighets- och sekretesslagen krävs inte, eftersom den föreslagna bestämmelsen redan omfattas av hänvisningen i bestämmelsens andra stycke.
19.4. Bestämmelser som bryter sekretessen mellan vård- och omsorgsgivare vid kvalitetsuppföljning över vård- och omsorgsgivargränser
Utredningens förslag:Offentlighets- och sekretesslagen ändras
på så sätt att hälso- och sjukvårdssekretessen enligt 25 kap. 1 § offentlighets- och sekretesslagen inte hindrar att uppgift lämnas för kvalitetsuppföljning.
I offentlighets- och sekretesslagen införs en ny bestämmelse med innebörden att socialtjänstsekretessen enligt 26 kap. 1 § offentlighets- och sekretesslagen inte hindrar att uppgift lämnas för kvalitetsuppföljning.
Utredningens bedömning: Någon särreglering behövs inte för
de privata vård- och omsorgsgivarna.
19.4.1. Inledning
Utredningen föreslår i kapitel 17 en reglering som möjliggör kvalitetsuppföljning över vård- och omsorgsgivargränser som innefattar utbyte av personuppgifter mellan vårdgivare, mellan vårdgivare och omsorgsgivare samt mellan omsorgsgivare, i de båda senare fallen såvitt avser uppgifter om äldre och personer med funktionsnedsättningar. Uppgifterna som kan användas för kvalitetsuppföljning
hämtas från vård- och omsorgsdokumentation, bl.a. individuella journaler och personakter. För offentliga vård- och omsorgsgivare gäller offentlighets- och sekretesslagen. Enligt 25 kap. 1 § offentlighets- och sekretesslagen gäller sekretess inom hälso- och sjukvård för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men, dvs. med ett omvänt skaderekvisit. Det innebär att det finns en presumtion för att uppgifterna inte ska lämnas ut. Detsamma gäller för uppgift om en enskilds personliga förhållanden inom socialtjänst och därmed jämställd verksamhet (26 kap. 1 § OSL). Som beskrivs närmare i avsnitt 5.4 och 5.5 innebär de generella reglerna om sekretess mellan myndigheter att sekretess som huvudregel kommer att gälla med ett omvänt skaderekvisit för uppgift om patientens eller omsorgsmottagarens personliga förhållanden mellan den vård- eller omsorgsgivare som förvarar uppgiften och den vård- och omsorgsgivare som behöver den för kvalitetsuppföljning. Den reglering som föreslås i kapitel 17 kan ligga till grund för behandling av personuppgifter för kvalitetsuppföljning i de fall villkoren i den föreslagna lagen är uppfyllda, men den innebär inte att hälso- och sjukvårdssekretessen eller socialtjänstsekretessen bryts vid utlämnande av uppgifter från offentligt bedriven hälso- och sjukvård eller socialtjänst. För detta krävs sekretessbrytande bestämmelser.
19.4.2. Behovet av sekretessbrytande bestämmelser
Som anges ovan gäller sekretess med ett omvänt skaderekvisit för uppgift om enskilds personliga förhållanden inom hälso- och sjukvård samt socialtjänst, vilket innebär att sekretess är huvudregel. Ett omvänt skaderekvisit innebär att den som ska utföra sekretessprövningen har ett begränsat utrymme för sin bedömning.11 För att kunna avgöra om en uppgift omfattas av sekretess vid tillämpningen av ett omvänt skaderekvisit måste hänsyn tas till samtliga omständigheter i det enskilda fallet, t.ex. genom att ta reda på mottagarens identitet och avsikter för att kunna avgöra om uppgifterna ska lämnas ut.
11Prop. 1979/80:2 del A s. 82 och SOU 2003:99 s. 132.
Utredningen föreslår en reglering som möjliggör för vård- och omsorgsgivare att lämna ut och ta emot personuppgifter över vård- och omsorgsgivargränser, i syfte att uppgifterna ska kunna användas för kvalitetsuppföljning. Det omvända skaderekvisitet innebär att den utlämnande myndigheten ska göra en skade- och menprövning avseende varje enskild patient eller omsorgsmottagare vars uppgifter begärs ut. Som anges ovan ska samtliga omständigheter beaktas vid denna prövning. Det ska därför göras en prövning utifrån mottagarens identitet och avsikter. Detta torde dock inte utgöra någon risk i de flesta fall då mottagaren är en annan vård- eller omsorgsgivare som ska använda uppgifterna i enlighet med den föreslagna regleringen om kvalitetsuppföljning. Det ska dock även göras en prövning av om uppgiften kan hänföras till en enskild, och om det innebär skada och men för den enskilde eller dennes närstående om uppgiften lämnas ut. Det kan antas att sådan kvalitetsuppföljning som möjliggörs genom förslaget kommer att innefatta en så stor mängd uppgifter och ett så pass rutinmässigt utlämnande att det framstår som i praktiken omöjligt att göra en sekretessprövning i varje enskilt fall. Som utredningen konstaterat i avsnitt 14.5.7 finns det ett klart och berättigat behov av utbyte av personuppgifter mellan vård- och omsorgsgivare för kvalitetsuppföljning. För att personuppgifter ska kunna lämnas från en vård- eller omsorgsgivare till en annan vård- eller omsorgsgivare för kvalitetsuppföljning på avsett vis krävs sekretessbrytande bestämmelser som bryter sekretessen hos myndigheter och tystnadsplikten hos privata vård- och omsorgsgivare.
19.4.3. Finns det någon tillämplig sekretessbrytande bestämmelse?
Som beskrivs i avsnitt 19.1.3 bör man alltid, när en ny sekretessbrytande bestämmelse övervägs, ta ställning till om det redan finns en tillämplig sekretessbrytande bestämmelse. Den föreslagna regleringen om kvalitetsuppföljning över vård och omsorgsgivargränser förutsätter en eller flera sekretessbrytande bestämmelser som gör det möjligt att lämna ut uppgifter för vilka sekretess gäller enligt 25 kap. 1 § och 26 kap. 1 §offentlighets- och sekretesslagen från de offentliga vård- och omsorgsgivare som omfattas av den föreslagna lagens tillämpningsområde. Utlämnande från privata vård- och om-
sorgsgivare och frågan om brytande av tystnadsplikt berörs i avsnitt 19.4.6.
I 10 kap. offentlighets- och sekretesslagen finns vissa sekretessbrytande bestämmelser som gäller all offentlig verksamhet. En sekretessbrytande bestämmelse som skulle kunna vara tillämplig i nu aktuella fall är 10 kap. 1 § offentlighets- och sekretesslagen, som anger att sekretess inte hindrar att en uppgift lämnas till en annan enskild eller till en myndighet om den enskilde samtycker till det. Den enskilde kan helt eller delvis häva den sekretess som gäller till skydd för honom eller henne, om inte annat anges i offentlighets- och sekretesslagen (12 kap. 2 § OSL).
I samband med patientdatalagen infördes en ny sekretessbrytandebestämmelse som innebär att hälso- och sjukvårdssekretessen inte hindrar att uppgifter lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagens särskilda reglering (nuvarande 25 kap. 11 § 4 OSL). I förarbetena till regleringen berörs frågan om sekretessbrytande bestämmelser för den överföring av sekretessbelagda uppgifter som sker när en vårdenhet inrapporterar uppgifter om sina patienter till ett kvalitetsregister som hanteras centralt utanför den myndighet till vilken inrapporteringen hör. Det angavs att den enskilde patienten hade rätt att, efter att ha blivit grundligt informerad, motsätta sig registrering i kvalitetsregister enligt en opt out-modell och att kvalitetsregisterföringen därigenom i praktiken kommer att bygga på patienternas tysta samtycke. Ett sådant s.k. tyst samtycke hade sekretessbrytande verkan enligt dåvarande 14 kap. 4 § sekretesslagen (1980:100) (numera 12 kap. 1 § och 2 § första stycket OSL). I allmänhet kommer således förslaget när det gäller nationella och regionala kvalitetsregister att vara väl förenligt med att uppgifter lämnas ut i sekretesslagens mening med stöd av 14 kap. 4 § sekretesslagen. Samtidigt är det, enligt förarbetena, inte helt tillfredsställande att ett rutinmässigt och ibland omfattande flöde av uppgifter, som omfattas av en sekretess med ett omvänt skaderekvisit, lämnas enbart med stöd av ett tyst, i det närmaste presumerat, samtycke från den berörda patienten. Samtycket kan ibland, inte minst i fråga om kvalitetsregister för akutsjukvård eller liknande, bygga på ett ganska passivt val av en patient som just i valsituationen har andra problem att tänka på än en eventuell kvalitetsregistrering. Behandlingen av personuppgifter kan vidare påbörjas innan den enskilde fått information om behandlingen. Sker
inrapportering i dessa fall, kan man knappast åberopa tyst samtycke till stöd för uppgiftsutlämnandet. Sammantaget ansågs dåvarande 14 kap. 4 § sekretesslagen inte ge ett tillräckligt tydligt stöd för inrapportering till kvalitetsregister enligt förslaget. 12
Utredningen föreslår att patienten eller omsorgsmottagaren ska ha rätt att motsätta sig att dennes personuppgifter behandlas för kvalitetsuppföljning, dvs. kvalitetsuppföljning som omfattar behandling av personuppgifter från flera vård- eller omsorgsgivare (se vidare avsnitt 17.5.1) Konstruktionen motsvarar alltså det som gäller för kvalitetsregister, dvs. en modell som bygger på det som i förarbetena kallas tyst samtycke. Ett annat uttryck för tyst samtycke är opt out. Ett sätt att lösa frågan om utlämnande av uppgifter för vilka sekretess gäller är att man i samband med insamlandet av uppgifter också efterfrågar patientens eller omsorgsmottagarens samtycke till att uppgifterna lämnas ut till andra vård- eller omsorgsgivare för kvalitetsuppföljning.
Ett samtycke enligt offentlighets- och sekretesslagen behöver dock inte vara uttryckligt. Det går också att godta ett s.k. presumerat samtycke. Den enskilde kan t.ex. genom sitt beteende visa att han eller hon accepterar ett visst utlämnande. Man kan dock, enligt förarbetena till den tidigare sekretesslagen, inte sätta likhetstecken mellan ett presumerat samtycke och en bedömning att röjande av en uppgift inte kan vara annat än till nytta för den berörde.13 Med andra ord, att den som vill lämna ut uppgiften om den enskilde anser att utlämnandet skulle vara till nytta för honom eller henne medför inte att den enskilde har lämnat ett presumerat samtycke. Grunden för utlämnandet skulle i här aktuella fall då vara antagandet att patienten eller omsorgsmottagaren, genom att inte motsätta sig att uppgifterna används för kvalitetsuppföljning, har lämnat ett presumerat samtycke till att så sker.
Som anges ovan förutsätter den föreslagna lagstiftningen om kvalitetsuppföljning i vissa fall ett omfattande och kontinuerligt utbyte av personuppgifter mellan vårdgivare, mellan vård- och omsorgsgivare respektive mellan omsorgsgivare. Utredningen menar, på samma sätt som anges i förarbetena ovan, att det inte är helt tillfredsställande att ett rutinmässigt och ibland omfattande utbyte av uppgifter, som omfattas av en sekretess med ett omvänt skade-
12Prop. 2007/08:126 s. 196 f. 13Prop. 1979/80:2 del A s. 331.
rekvisit, lämnas enbart med stöd av ett presumerat samtycke från den berörda patienten eller omsorgsmottagaren. På samma sätt kan samtycket ibland bygga på ett ganska passivt val av patienten eller omsorgsmottagaren som just i valsituationen haft annat att tänka på än behandling av hans eller hennes personuppgifter för kvalitetsuppföljning.14 Utredningen bedömer att 10 kap. 1 § och 12 kap. 2 §offentlighets- och sekretesslagen inte ger ett tillräckligt tydligt stöd för det utlämnande av sekretessbelagda uppgifter mellan vård- och omsorgsgivare som kan bli aktuellt vid tillämpning av den föreslagna regleringen.
Enligt 10 kap. 2 § offentlighets- och sekretesslagen hindrar inte sekretess att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Tillämpningsområdet för bestämmelsen beror på vilka krav som ställs på den verksamhet där uppgiften förvaras och vad verksamheten ska utföra. Bestämmelsen ska tillämpas restriktivt, och det räcker t.ex. inte med att myndighetens verksamhet blir mindre effektiv om uppgifterna inte lämnas ut.15 Utredningen bedömer att utlämnande av uppgifter från en vård- eller omsorgsgivare för användning i kvalitetsuppföljning hos en annan vård- eller omsorgsgivare inte är nödvändig för den utlämnande vård- eller omsorgsgivaren på det sätt som avses i 10 kap. 2 § offentlighets- och sekretesslagen. Inte heller den bestämmelsen kan därför tillämpas vid utlämnande av uppgifter för kvalitetsuppföljning enligt den föreslagna lagen.
Den s.k. generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen kan inte tillämpas i dessa fall, eftersom undantag gäller för sekretess enligt 25 kap. 1 § och 26 kap. 1 §offentlighets- och sekretesslagen. Det finns, eller föreslås, inte heller någon sådan uppgiftsskyldighet som möjliggör utlämnande med stöd av 10 kap. 28 § offentlighets- och sekretesslagen.
I 25 kap.11–14 och 17 c §§offentlighets- och sekretesslagen finns särskilda bestämmelser som bryter hälso- och sjukvårdssekretess enligt 25 kap. 1 § samma lag. Det följer av 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen att sekretess inte hindrar att uppgift lämnas från en myndighet som bedriver hälso- och sjukvård i en kommun till en annan sådan myndighet i samma kommun eller
14 Prop 2007/08:126 s. 196. 15Prop. 1979/80:2 del A s. 465.
från en myndighet som bedriver hälso- och sjukvård i en region till en annan sådan myndighet i samma region. Bestämmelserna är alltså begränsade till utlämnande till en annan hälso- och sjukvårdsmyndighet, och kan därmed inte tillämpas vid utlämnande till omsorgsgivare, vilket det finns behov av i detta sammanhang. Bestämmelsen i 25 kap. 11 § 4 offentlighets- och sekretesslagen är endast tillämplig vid utlämnade av uppgifter till ett nationellt eller regionalt kvalitetsregister enligt 7 kap. patientdatalagen. Vidare kan den kvalitetsuppföljning som möjliggörs med den föreslagna lagen inte anses utgöra sådan verksamhet (forskning, framställning av statistik eller administration) som möjliggör utlämnande med stöd av 25 kap. 11 § 5 offentlighets- och sekretesslagen. Utredningen bedömer att inte heller någon av de andra sekretessbrytande bestämmelserna i 25 kap. offentlighets- och sekretesslagen är möjlig att tillämpa för utlämnande över vård- och omsorgsgivargränser för kvalitetsuppföljning.
Bestämmelser som bryter socialtjänstsekretessen enligt 26 kap. 1 § offentlighets- och sekretesslagen finns i 26 kap. 8–10 §§ samma lag (se närmare avsnitt 19.1.3). Även dessa bestämmelser är för avgränsade för att kunna ligga till grund för utlämnande av uppgifter från omsorgsgivare till andra omsorgsgivare eller vårdgivare för kvalitetsuppföljning.
Utredningens bedömning är sammanfattningsvis att det inte finns någon befintlig sekretessbrytande bestämmelse som kan bryta sekretessen vid utlämnande av uppgifter från en vård- eller omsorgsgivare till en annan vård- eller omsorgsgivare för att uppgifterna ska användas för sådan kvalitetsuppföljning som avses i den föreslagna lagen.
19.4.4. Är det lämpligt med sekretessgenombrott?
Utredningen beskriver i tidigare avsnitt att vårdgivare har behov av att inhämta information både från offentliga och privata vårdgivare, för att kunna följa upp kvaliteten på den hälso- och sjukvård som kommunen eller regionen har ansvar för att säkerställa. Vidare har vård- och omsorgsgivare behov av att utbyta personuppgifter om äldre och personer med funktionsnedsättningar för kvalitetsuppföljning, bl.a. för att kunna följa patientflöden över vård- och omsorgsgivargränser, för att identifiera avvikelser och för att fånga upp
och analysera förbättringsområden (se vidare avsnitt 14.5). Det finns ett antal olika bestämmelser som ställer krav på samverkan mellan vård och omsorg när en person övergår mellan, alternativt samtidigt är aktuell hos, en region och en kommun som ansvariga huvudmän. Det framstår som naturligt att kvaliteten i vården och omsorgen i sådana fall bör följas upp med hjälp av personuppgifter som hämtas från både från vården och omsorgen. Utredningen konstaterar också att olika omsorgsgivare behöver utbyta personuppgifter om äldre och personer med funktionsnedsättning. Kommunala omsorgsgivare har behov av att följa upp insatser i den offentligt finansierade omsorgen, särskilt i de fall en kommun har många privata omsorgsgivare.
Sammanfattningsvis kan konstaterats att det finns ett klart och berättigat behov för offentliga vård- och omsorgsgivare, som har ansvar som huvudmän, att kontinuerligt följa upp verksamheten. Även privata vård- och omsorgsgivare är skyldiga att säkerställa att de bedriver en god och säker vård och omsorg. Det framstår också som klart att det vid sådan kvalitetsuppföljning finns behov av att behandla just personuppgifter. Det bör lyftas fram att själva syftet med kvalitetsuppföljningen är att vården och omsorgen om patienten eller omsorgsmottagaren ska utvecklas och förbättras.
Mot behovet av att utbyta personuppgifter mellan vård- och omsorgsgivare bör man ställa riskerna med ett mer omfattande utbyte av personuppgifter. Som anges i avsnitt 19.1.4 är det viktigt, för att patienten eller omsorgsmottagaren ska kunna få adekvat vård eller omsorg, att han eller hon känner förtroende för hälso- och sjukvården och socialtjänsten och vågar lämna uppgifter om sin hälsa och andra personliga förhållanden till myndigheterna. Om patienten eller omsorgsmottagaren upplever att skyddet för uppgifterna inte är tillräckligt, eller att uppgifterna kan komma att spridas på ett sätt som inte kan förutses, riskerar tilliten till vård- och omsorgsgivare och deras förmåga att skydda patientens eller omsorgsmottagarens personliga integritet att minska. När man som i det här fallet överväger att införa en sekretessbrytande bestämmelse bör det därför göras en avvägning mellan behovet av bestämmelsen och den risk som bestämmelsen kan innebära.
Vid avvägningen mellan behovet av kvalitetsuppföljning som innefattar utbyte av personuppgifter över vård- och omsorgsgivargränser och de integritetsrisker som ett sådant utbyte av personupp-
gifter kan innebära, är det av betydelse hur regleringen är utformad i stort men främst vilka integritetsstärkande åtgärder som föreslås.
Utredningen föreslår att kvalitetsuppföljning som innefattar utbyte av personuppgifter över vård- och omsorgsgivargränser inte ska få ske om patienten eller omsorgsmottagaren motsätter sig detta (opt out) (se vidare avsnitt 17.5.1). Ett uttryckligt samtycke anses inte nödvändigt, utan utredningen anser att det framstår som en rimlig avvägning mellan behov och integritet att föreslå en konstruktion med opt out likt vad som gäller för nationella och regionala kvalitetsregister. Utredningen föreslår också att patienten eller omsorgsmottagaren ska bli informerade om rätten att motsätta sig behandling, innan hans eller hennes personuppgifter behandlas för kvalitetsuppföljning. Patienten eller omsorgsmottagaren ska också ha möjlighet att när som helst motsätta sig behandlingen. Särskilda regler föreslås för personer som inte endast tillfälligt saknar förmåga att ta ställning (se avsnitt 17.5.2). När det gäller barn ska enligt utredningens förslag samma regler gälla för barn som gäller i övrigt inom hälso- och sjukvården och socialtjänsten i fråga om barns självbestämmande (se avsnitt 17.5.3).
Utredningen föreslår också att personuppgifter som behandlas för kvalitetsuppföljning så långt det är möjligt ska vara krypterade. Ytterligare en integritetsstärkande åtgärd som utredningen föreslår är att kvalitetsuppföljning bara får genomföras om fullmäktige i en region eller en kommun har beslutat om det. Genom att föreskriva i lag att beslutet ska tas på fullmäktigenivå, tydliggörs vikten av att beslutet inte får tas slentrianmässigt utan att det är fråga om något viktigt. Vidare blir beslutet transparent och offentligt tillgängligt för medborgarna.
I sammanhanget bör uppmärksammas att de generella bestämmelserna om den personuppgiftsansvariges och personuppgiftsbiträdets skyldigheter i fråga om säkerhet vid behandling av personuppgifter i dataskyddsförordningen och anknytande svensk lagstiftning naturligtvis är tillämpliga även vid behandling av personuppgifter för kvalitetsuppföljning över vård- och omsorgsgivargränser. Det innebär bl.a. ansvar för behörighetstilldelning och åtkomstkontroll (se vidare avsnitt 17.8). Som utredningen konstaterar i avsnitt 14.6.7 gäller även kravet i dataskyddsförordningen att en behandling som sannolikt leder till hög risk för fysiska personers rättigheter och friheter ska föregås av en konsekvensbedömning avseende dataskydd (artikel
35 i dataskyddsförordningen) vid kvalitetsuppföljning. Inför i princip varje fullmäktigebeslut om kvalitetsuppföljning ska det således i regel göras en detaljerad konsekvensbedömning avseende dataskydd.
När det gäller sekretesskyddet för uppgifterna hos de mottagande vård- och omsorgsgivarna som är myndigheter kan det konstateras att sekretess gäller med ett omvänt skaderekvisit för uppgift om enskilds hälsotillstånd och andra personliga förhållanden inom hälso- och sjukvården (25 kap. 1 § OSL) och för uppgift om enskilds personliga förhållanden inom socialtjänsten och därmed jämställd verksamhet (26 kap. 1 § OSL). Stark sekretess kommer således att gälla för uppgifterna även hos den mottagande vård- eller omsorgsgivaren som är myndighet (utlämnande från privata vård- eller omsorgsgivare berörs i avsnitt 19.4.6).
Utredningen konstaterar i avsnitt 14.5.6 att det i många fall är nödvändigt att överföra just personuppgifter för att en vård- eller omsorgsgivare ska kunna göra en ändamålsenlig kvalitetsuppföljning av vården eller omsorgen, men föreslår att identitetsuppgifter ska krypteras inför överföringen. Utredningen föreslår vidare att det ska anges i den föreslagna lagen att personuppgifter som behandlas för kvalitetsuppföljning ska krypteras, så långt detta är möjligt. När det gäller kvalitetsuppföljning kommer det i många fall att vara lämpligt att kryptera personuppgifter genom att byta ut patientens eller omsorgsmottagarens personnummer mot en icke informationsbärande teckensträng. I vissa fall vill den myndighet som utför kvalitetsutvecklingen kunna identifiera enskilda patienter eller omsorgsmottagare i ett senare skede, t.ex. om man önskar göra en uppföljning av vissa patienters eller omsorgsmottagares utveckling över tid. En möjlighet är att myndigheten då bevarar en s.k. kodnyckel, dvs. information om vilken teckensträng som motsvarar ett visst personnummer, för att i ett senare skede kunna ”översätta” teckensträngar till personnummer igen. Utredningens bedömning är att sekretess kommer att gälla för uppgift i en sådan kodnyckel enligt 18 kap. 9 § offentlighets- och sekretesslagen (se avsnitt 17.7). Enligt paragrafens första punkt gäller sekretess för uppgift som lämnar eller kan bidra till upplysning om chiffer, kod eller liknande metod, om det kan antas att syftet med metoden motverkas om uppgiften röjs och metoden har till syfte att underlätta befordran eller användning i allmän verksamhet av uppgifter utan att föreskriven sekretess åsidosätts.
I förarbetena till bestämmelsen sägs som exempel på tillämpningsområde att genom kryptering kan vissa kända uppgifter t.ex. personnummer omvandlas, efter en bestämd formel med verkan att uppgifterna anonymiseras.16 Härigenom kan det bli möjligt att fritt hantera sekretesskyddade uppgifter t.ex. inom statistik och forskning.
I nu aktuellt fall är fråga om att använda krypterade personuppgifter för att underlätta användandet av uppgifterna från vård- och omsorgsdokumentation, för vilka sekretess gäller med ett omvänt skaderekvisit, för kvalitetsuppföljning av verksamheterna. Det kan antas att syftet med krypteringen, dvs. att skydda patienternas eller omsorgsmottagarnas identiteter, går om intet om kopplingen mellan löpnummer och personnummer, dvs. kodnyckeln, röjs. I sådana fall gäller sekretess för själva koden eller metoden med ett rakt skaderekvisit, dvs. det finns en presumtion för att uppgifterna är offentliga. En uppgift som kan röja kopplingen mellan löpnummer och personnummer eller annan personuppgift som kan röja patientens eller omsorgsmottagarens identitet får med ett sådant skaderekvisit inte lämnas ut så snart det kan antas att meningen med koden eller metoden för kryptering går förlorad om uppgiften röjs. Det kan således antas att de flesta utlämnandeprövningar kommer att resultera i bedömningen att syftet med koden motverkas om kodnyckeln blir offentlig. Utredningens slutsats är således att sekretess kommer att gälla i de allra flesta fall även för kodnyckeln eller liknande.
Det kan alltså konstateras att den föreslagna regleringen innebär att en rad åtgärder ska vidtas som syftar till att stärka skyddet för patientens och omsorgsmottagarens integritet i samband med utbyte av uppgifter mellan vård- och omsorgsgivare för kvalitetsuppföljning. Regleringen innebär vidare att sekretesskyddet hos såväl utlämnande som mottagande myndigheter kommer att vara kommer åtminstone lika starkt som tidigare. Utredningen bedömer att de föreslagna åtgärderna väger upp för det minskade integritetsskydd som en sekretessbrytande bestämmelse kan innebära. I avvägningen ska också beaktas att syftet med den föreslagna regleringen om kvalitetsuppföljning är att förenkla och förbättra vård- och omsorgsgivares kvalitetsarbete, till nytta för patienter och omsorgsmottagare. Utredningens sammantagna bedömning är att det bör införas sekretessbrytande bestämmelser i offentlighets- och sekretesslagen som innebär att hälso- och sjukvårdssekretessen och socialtjänst-
16Prop. 1979/80:2 del A s. 143 f.
sekretessen (25 kap. 1 § och 26 kap. 1 § OSL) inte hindrar att uppgift om enskilds personliga förhållanden lämnas till en vård- eller omsorgsgivare om syftet är att uppgiften ska användas för kvalitetsuppföljning enligt den föreslagna lagen.
19.4.5. Utformningen av sekretessbrytande bestämmelser
Utredningen har i föregående avsnitt kommit fram till att det, för att underlätta en ändamålsenlig överföring av personuppgifter mellan vård- och omsorgsgivare är motiverat med en sekretessbrytande bestämmelse, dock under förutsättning att de särskilda villkor som ska gälla för kvalitetsuppföljning enligt den föreslagna lagen är uppfyllda. Den sekretessbrytande bestämmelsen ska endast vara tillämplig vid behandling av personuppgifter för kvalitetsuppföljning enligt den föreslagna lagen, dvs. vid uppföljning av kvaliteten på hälso- och sjukvård som en region eller kommun ansvarar för enligt hälso- och sjukvårdslagen (2017:30) och insatser för äldre eller personer med funktionsnedsättningar som en region eller kommun ansvarar för (se närmare om lagens tillämpningsområde i avsnitt 17.1). Lagen uppställer vissa särskilda krav, t.ex. att fullmäktige i den ansvariga regionen eller kommunen har beslutat om behandlingen av personuppgifter för kvalitetsuppföljning (se avsnitt 17.3.1) samt att personuppgifterna endast ska behandlas för vissa i lagen angivna ändamål (avsnitt 17.4). Den sekretessbrytande bestämmelsen ska alltså vara tillämplig endast när personuppgifter begärs ut från en vård- eller omsorgsgivare för att behandlas för kvalitetsuppföljning med stöd av den föreslagna lagen. För att tydliggöra att de särskilda villkor som gäller för kvalitetsuppföljning ska vara uppfyllda för att bryta hälso- och sjukvårdssekretessen (25 kap. 1 § OSL) eller socialtjänstsekretessen (26 kap. 1 § OSL) bör de sekretessbrytande bestämmelserna, på samma sätt som gäller för utlämnande av uppgifter till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen, formuleras på så sätt att sekretessen inte hindrar att uppgift lämnas enligt den föreslagna lagen. Vidare innebär formuleringen att de sekretessbrytande bestämmelsernas tillämpningsområden begränsas till de uppgifter som den aktuella vård- eller omsorgsgivaren behöver för kvalitetsuppföljning i det enskilda fallet.
När det gäller brytande av hälso- och sjukvårdssekretessen bör den sekretessbrytande bestämmelsen lämpligen införas som en ny punkt i 25 kap. 11 § offentlighets- och sekretesslagen, som innehåller en rad sekretessbrytande bestämmelser på hälso- och sjukvårdsområdet, bl.a. utlämnande av uppgifter vid sammanhållen journalföring och, som nämns ovan, till ett nationellt eller regionalt kvalitetsregister. En sekretessbrytande bestämmelse som bryter socialtjänstsekretessen enligt 26 kap. 1 § offentlighets- och sekretesslagen bör lämpligen införas i kapitel 26 samma lag, under rubriken ”Sekretessbrytande bestämmelser”. De föreslagna sekretessbrytande bestämmelserna är tillämpliga vid utlämnande av uppgifter till såväl offentliga som privata vård- och omsorgsgivare.
19.4.6. Utlämnande från privata vård- och omsorgsgivare
Som anges i avsnitt 14.5.2 har kommuner och regioner behov av att inhämta uppgifter från privata vårdgivare, t.ex. om kommunen eller regionen har beställt en hälso- och sjukvårdstjänst av en privat vårdgivare och behöver följa upp att patienten fått den insats som beställts och att insatsen varit av beställd kvalitet. Vidare har kommunala omsorgsgivare behov av att följa upp insatser inom den offentligt finansierade omsorgen, som utförs av privata omsorgsgivare (se avsnitt 14.5.4). Som beskrivs i avsnitt 19.1.6 gäller offentlighets- och sekretesslagen bara för myndigheter och för verksamheter som enligt lagen jämställs med myndigheter, t.ex. s.k. kommunala företag. För privat hälso- och sjukvård eller privat verksamheter enligt socialtjänstlagen eller LSS gäller i stället regler om tystnadsplikt (6 kap.12–14 §§patientsäkerhetslagen, 15 kap. 1 § socialtjänstlagen och 29 § LSS, se vidare avsnitt 19.1.6). Tystnadsplikt innebär att uppgifter inte obehörigen får lämnas ut utanför den verksamhet för vilken tystnadsplikten gäller. Av förarbetena till bestämmelserna om tystnadsplikt på hälso- och sjukvårdsområdet framgår att det vid tolkning av obehörighetsrekvisitet ter sig naturligt att söka viss ledning i de skaderekvisit som fanns i motsvarande bestämmelse i den dåvarande sekretesslagens, och att tystnadsplikten för offentliga funktionärer och tystnadsplikten för hälso- och sjukvårdspersonal i privat tjänst bör överensstämma.17
Som exempel på överlämnande av uppgifter som inte anses som obehörigt röjande kan nämnas bestämmelserna i 7 kap. 3 § fjärde stycket socialtjänstlagen och 23 c § fjärde stycket LSS om möjligheten för den nämnd som beslutat om en insats som genomförs i en enskild (privat) verksamhet att träffa avtal med den som bedriver verksamheten om att handlingar ska överlämnas till nämnden när gallringsskyldigheten inträder. Enligt förarbetena medför bestämmelserna att det, när det gäller utlämnande från enskild (privat) verksamhet, är fråga om tillåtet överlämnade av handlingar, dvs. det är inte fråga om ett obehörigt röjande.18
Utredningen föreslår ovan att det ska införas sekretessbrytande bestämmelser som möjliggör utlämnande av uppgifter från offentliga vård- och omsorgsgivare till andra vård- och omsorgsgivare för användning vid kvalitetsuppföljning. Möjligheten att bryta sekretessen i dessa fall bör överensstämma med reglerna om rätten att bryta tystnadsplikten för utlämnande av uppgifter från privata vård- och omsorgsgivare för kvalitetsuppföljning. De föreslagna sekretessbrytande reglerna bör således, på samma sätt som anges i avsnitt 19.1.6, medföra att obehörighetsrekvisiten i 6 kap.12–14 §§patientsäkerhetslagen, 15 kap. 1 § socialtjänstlagen och 29 § LSS ska tolkas på motsvarande sätt vid utlämnande av uppgifter från privata vård- eller omsorgsgivare. Med en sådan tolkning av behörighetsrekvisitet krävs det, enligt utredningens bedömning, inte någon särskild reglering för att bryta tystnadsplikten vid utlämnande från privata vård- och omsorgsgivare. Motsvarande bedömning gjordes i förarbetena till patientdatalagen avseende de privata vårdgivarnas möjligheter att lämna ut uppgifter till kvalitetsregister.19 Den föreslagna sekretessbrytande regeln bör alltså medföra att obehörighetsrekvisitet i 6 kap.12–14 §§patientsäkerhetslagen, 15 kap. 1 § socialtjänstlagen och 29 § LSS inte hindrar ett utlämnande från privata vård- eller omsorgsgivare till andra vård- eller omsorgsgivare för kvalitetsuppföljning enligt den föreslagna lagen.
Det bör här nämnas att det finns ett alternativt sätt att reglera genombrott i tystnadsplikten hos privata vårdgivare. Som anges ovan anses det inte som obehörigt röjande att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. I 6 kap. 15 § patientsäkerhetslagen anges i sex punkter vissa särskilda fall då
18Prop. 2006/07:129 s. 91 f. 19Prop. 2007/08:126 s. 197.
hälso- och sjukvårdspersonalen, utöver vad som annars följer av lag eller förordning, är skyldig att lämna ut uppgifter. Bestämmelsen gäller hälso- och sjukvårdspersonal inom både offentlig och privat hälso- och sjukvård. Exempel på sådana uppgifter är en uppgift om någon vistas på en sjukvårdsinrättning om uppgifterna i ett särskilt fall begärs av en domstol, en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Kronofogdemyndigheten eller Skatteverket (punkten 1) och en uppgift som behövs i verksamhet för personskydd för riksdagens ledamöter, statschefen och övriga medlemmar av kungahuset, statsråd, statssekreterare och kabinettssekreterare, om uppgifterna i ett särskilt fall begärs av Säkerhetspolisen (punkten 2). Fråga har uppkommit om det är lämpligt att, för att förtydliga privata vårdgivares möjlighet och skyldighet att lämna ut uppgifter för kvalitetsuppföljning, införa motsvarande uppgiftsskyldighet för uppgifter som ska användas för kvalitetsuppföljning enligt den föreslagna lagen.
I förarbetena till bestämmelsen (6 kap. 15 § 1, 3 och 4 motsvarar dåvarande 7 a § lagen [1980:11] om tillsyn över hälso- och sjukvårdspersonalen m.fl.) anförs att kritik riktats mot utformningen av sekretessreglerna på vårdområdet i sekretesslagen (1980:100), framför allt i fråga om möjligheterna att lämna uppgifter från sjukvårdsinrättningar till polisen.20 Det anförs vidare att man särskilt har reagerat mot att sekretessen i stor utsträckning hindrar att uppgifter lämnas till polisen då misstanke finns om allvarligare brottslighet samt att det har påpekats att möjligheterna att verkställa delgivningar på sjukvårdsinrättningar har försämrats. När det gäller sekretessen på socialtjänstens område har det särskilt framhållits att sekretesslagen i viss utsträckning hindrar ett effektivt samarbete mellan de olika socialtjänstmyndigheterna. Även samarbetet mellan socialtjänstmyndigheter och andra myndigheter, exempelvis skolan, polisen och sjukvårdsinrättningar påstås ha försvårats. I förarbetena sägs att en av socialtjänstlagens viktigaste utgångspunkter är att socialtjänstens insatser i individuella ärenden ska präglas av frivillighet och självbestämmande. Verksamheten ska bygga på respekt för människors självbestämmanderätt och integritet och socialnämndens insatser för den enskilde ska utformas och genomföras tillsammans med honom. Det hänvisas till motiven till lagen där det sägas att samråd med andra myndigheter i regel inte bör ske utan att den enskilde samtycker till det (prop. 1979/80:1 del A. s. 364 och 398).
20Prop. 1981/82:186 s. 13 ff.
Lagstiftningen har utformats så att den enskilde ska känna förtroende och respekt för socialtjänsten och så att han ska våga vända sig till denna. I förarbetena konstateras vidare att sekretesslagen innebär, jämfört med tidigare ordning, att uppgifter om enskilda endast i begränsad utsträckning kan lämnas från en socialtjänstmyndighet till en annan myndighet. Om samtycke saknas, är det princip bara harmlösa uppgifter som får lämnas ut. Den som tar ställning till sekretessfrågan kan i viss utsträckning beakta vad den mottagande myndigheten ska använda uppgifterna till. Om den enskilde kan förväntas godta den avsedda användningen, är detta ett tecken på att sekretess inte gäller för uppgifterna. I förarbetena anges att sekretesslagens restriktiva regler om uppgiftslämnande från en socialtjänstmyndighet till andra myndigheter speglar de värderingar som ligger bakom den då nya socialtjänstlagstiftningen. Om man skulle ändra reglerna och öppna vägen för ett ökat uppgiftslämnande, skulle, enligt förarbetena, sannolikt principerna bakom socialtjänstreformen äventyras. Visserligen skulle man kanske kortsiktigt kunna uppnå vissa fördelar genom att begränsa socialtjänstsekretessen. Vissa vårdinsatser skulle ibland kunna genomföras lättare och polisens möjligheter att ingripa mot bl.a. narkotikabrottsligheten skulle kanske på kort sikt förbättras. I det långa loppet skulle emellertid det försämrade integritetsskyddet leda till mindre förtroendefulla kontakter mellan den enskilde och socialtjänsten. En minskad benägenhet att ta kontakt med socialtjänsten skulle säkerligen bli följden, vilket skulle vara till nackdel för arbetet inom denna.
Mot denna bakgrund blev slutsatsen i förarbetena att man bör undvika att införa några mer generella begränsningar i sekretessen för att öka möjligheterna att lämna uppgifter från myndigheterna på socialtjänstens område till andra myndigheter. Sådana regler skulle innebära ett väsentligt avsteg från socialtjänstlagens principer. Vidare anges i förarbetena att de erfarenheter som har vunnits av sekretesslagens tillämpning inom hälso- och sjukvården inte ger stöd för att man bör genomföra några mera generella begränsningar i sekretessen där. I förarbetena hänvisas till propositionen om hälso- och sjukvårdslag. m. m. (prop. 1981/82:97), i vilken principen att god hälso- och sjukvård särskilt ska bygga på respekt för patientens självbestämmande och integritet slås fast. Vidare sägs att vården och
behandlingen så långt det är möjligt ska utformas och genomföras i samråd med patienten. 21
Sammanfattningsvis anges i förarbetena att ändringar av sekretessbestämmelser på vårdområdet bör begränsas till de speciella fall där de nya reglerna har visat sig leda till olägenheter.
Fråga är här om det, på motsvarande sätt som anges i 6 kap. 15 § patientsäkerhetslagen, bör införas en skyldighet för hälso- och sjukvårdspersonal att lämna ut uppgifter för kvalitetsuppföljning enligt den föreslagna lagen. Förarbetena till 6 kap. 15 § patientsäkerhetslagen ger uttryck för en försiktig hållning och att generella begränsningar i sekretessen bör undvikas på vård- och omsorgsområdena. De fall som anges punkt 1–6 i bestämmelsen avser de särskilda situationer där det efter hand framkommit att det krävs lättnader i sekretess och tystnadsplikt, framför allt för att underlätta den brottsbekämpande verksamheten. Vidare kan en alltför omfattande eller detaljerad reglering av uppgiftsskyldigheten leda till felaktiga motssatsslut, dvs. en föreställning om att det krävs en särskild reglering för att utlämnande av uppgifter från en privat vård- eller omsorgsgivare ska vara möjligt. Som nämns ovan gör utredningen bedömningen att sådan reglering inte krävs, utan att privata vård- och omsorgsgivare, trots reglerna om tystnadsplikt, kan lämna ut uppgifter för kvalitetsuppföljning med stöd av förarbetsuttalandena om att utlämnande från en privat vård- eller omsorgsgivare inte är att anse som ett obehörigt utlämnande om det sker i överensstämmelse med motsvarande regler i offentlighets- och sekretesslagen för offentliga vård- och omsorgsgivare. Utredningen anser alltså att det inte bör införas någon sådan uppgiftsskyldighet för vård- och omsorgsgivare för uppgifter som ska användas för kvalitetsuppföljning enligt den föreslagna lagen.
20. Ytterligare sekretessbrytande bestämmelser inom hälso- och sjukvård och socialtjänst
20.1. Inledning
Utredningen har i kapitel 19 analyserat behovet av ändringar i sekretesslagstiftningen utifrån utredningens förslag om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Dagens reglering av sekretess skiljer sig emellertid åt mellan myndigheter inom hälso- och sjukvården respektive socialtjänsten när det gäller hantering av uppgifter om hälsa eller personliga förhållanden. Utredningen har mot denna bakgrund fått i uppdrag att se över möjligheterna att införa sekretessbrytande bestämmelser för socialtjänsten i likhet med bestämmelserna om hälso- och sjukvårdssekretess som framgår av 25 kap. 11 § offentlighets- och sekretesslagen (2009:400) (OSL). Enligt bestämmelserna hindrar inte sekretessen enligt 25 kap. 1 § offentlighets- och sekretesslagen att uppgift lämnas från en myndighet som bedriver hälso- och sjukvårdsverksamhet i en kommun till en annan sådan myndighet i samma kommun (1) eller från en myndighet som bedriver hälso- och sjukvårdsverksamhet i en region till en annan sådan myndighet i samma region (2). Med myndighet avses också s.k. kommunala företag.
I utredningens uppdrag ingår även att undersöka om det är möjligt eller lämpligt att, med bibehållen integritet och säkerhet, tillåta ytterligare uppgiftslämnande mellan myndigheter inom hälso-och sjukvården och enskilda (privata) vårdgivare och i sådana fall föreslå nödvändiga författningsändringar. Eventuella författningsförslag, bör avgränsas till att röra den individinriktade vård- och omsorgsverksamheten.
En av de alternativa lösningar som utredningen föreslår kräver, enligt utredningens bedömning, ytterligare reglering av behandling av personuppgifter i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten (SoLPUL), bl.a. särskilda regler om s.k. inre sekretess för både manuell och elektronisk hantering av uppgifter, den enskildes inflytande över elektroniskt tillgängliggörande, tilldelning av behörighet och kontroll av elektronisk åtkomst och information till den registrerade (se vidare avsnitt 20.2.8). I avsnitt 16.13–16.17 och 17.5–17.11, som rör förslaget om en särskild lag om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning, föreslår utredningen att motsvarande regler om bl.a. inre sekretess och information förs in i den förslagna lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. För att förslagen som rör en reglering av sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning och förslagen om ytterligare sekretessbrytande bestämmelser inom socialtjänsten inte ska vara beroende av varandra för att kunna genomföras, har utredningen valt att utforma lagförslagen som fyra i förhållande till varandra självständiga alternativ. Kapitel 1, som innehåller utredningens författningsförslag, är därför uppdelat i fyra avsnitt. I detta kapitel berörs förslagen i avsnitt 1.2 (begränsad sekretess-brytande bestämmelse inom socialtjänsten), 1.3 (generell sekretessbrytande bestämmelse inom socialtjänsten) och 1.4 (sekretessbrytande bestämmelse för utlämnanden från offentlig till privat hälso- och sjukvård).
20.2. Sekretessbrytande bestämmelser för socialtjänsten
20.2.1. Bakgrund
Sekretess gäller inom socialtjänsten för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (26 kap. 1 § OSL). Med socialtjänst avses i offentlighets- och sekretesslagen verksamhet enligt lagstiftningen om socialtjänst, verksamhet enligt den särskilda lagstiftningen om vård av unga och av missbrukare utan samtycke och verksamhet som i annat fall enligt lag handhas av socialnämnd eller av Statens institutionsstyrelse. Till socialtjänst räknas också verksamhet hos annan myndighet som inne-
fattar omprövning av socialnämnds beslut eller särskild tillsyn över nämndens verksamhet och verksamhet hos kommunal invandrarbyrå. Med socialtjänst jämställs ärenden om bistånd åt asylsökande och andra utlänningar, ärenden om tillstånd till parkering för rörelsehindrade, ärenden hos patientnämnd om allmän omvårdnad och verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade (26 kap. 1 § OSL).
Även på socialtjänstens område finns vissa sekretessbrytande bestämmelser. Exempelvis hindrar sekretessen inte att uppgift om en enskild eller någon närstående till denne lämnas från en myndighet inom socialtjänsten till en annan sådan myndighet eller till en myndighet inom hälso- och sjukvården, om det behövs för att ge den enskilde nödvändig vård, behandling eller annat stöd och denne inte har fyllt arton år, fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel eller vårdas med stöd av lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård. Detsamma gäller uppgift om en gravid person eller någon närstående till denne, om uppgiften behöver lämnas för en nödvändig insats till skydd för det väntade barnet (26 kap. 9 § OSL).
För socialtjänsten finns det dock inte någon sekretessbrytande bestämmelse som på motsvarande sätt som 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen bryter sekretessen mellan en myndighet inom socialtjänsten i en kommun och en annan sådan myndighet i samma region eller kommun.
Skillnaderna mellan sekretessregleringarna och behovet av en mer likvärdig hantering av personuppgifter har tidigare lyfts fram i olika sammanhang, bl.a. av Socialtjänstdatautredningen och Utredningen
om rätt information i vård och omsorg.
Den senare utredningen konstaterar att införandet av den fria kommunala nämndorganisationen har inneburit att en del kommuner kommit att dela upp socialtjänsten på flera sektorer som organisatoriskt hör till olika nämnder. Om kommunfullmäktige utser flera nämnder att fullgöra uppgifter som hör till socialnämndens ansvarsområde uppstår, enligt 8 kap. 1 § offentlighets- och sekretesslagen, i princip sekretess mellan de nämnderna. Den fria kommunala nämndorganisationen har därför, tillsammans med offentlighets- och sekretessregleringen, medfört att nya sekretessgränser kan uppstå beroende på hur en kommun väljer att organisera sin verksamhet, även om de överväganden som ligger till grund för vald
organisationsform inte har någon relevans för sekretessfrågan (se vidare om Utredningen om rätt information i vård och omsorgs förslag i avsnitt 20.2.3).1
Val av en organisationsform kan således få till konsekvens att det uppstår sekretessgränser som inte är sakligt motiverade.
20.2.2. Sekretess mellan kommunala nämnder
Varje kommun svarar för socialtjänsten inom sitt område, och har det yttersta ansvaret för att enskilda får det stöd och den hjälp som de behöver (2 kap. 1 § socialtjänstlagen [2001:453], förkortad SoL). Socialtjänstens funktioner och vad som ingår i kommunens ansvar för socialtjänsten beskrivs närmare i avsnitt 8.4.
Kommunens arbetsuppgifter inom socialtjänsten fullgörs av den eller de nämnder som kommunfullmäktige bestämmer (2 kap. 4 § SoL). Som nämns i avsnitt 8.4. var socialnämnden tidigare en obligatorisk kommunal nämnd, men sedan år 1992 har kommunen frihet att bestämma om nämndorganisationen inom socialtjänsten. Enligt 6 kap. 2 § kommunallagen (2017:725) ska kommunfullmäktige, om inte något annat anges i lag eller annan författning, bestämma nämndernas verksamhetsområden och inbördes förhållanden. Fullmäktige får besluta att en nämnd ska ha hand om en eller flera verksamheter i hela kommunen. Bestämmelsen gör det möjligt att fördela uppgifterna inom ett visst specialreglerat område, som socialtjänsten, på flera nämnder. Det är exempelvis möjligt att inom socialtjänsten inrätta särskilda äldreomsorgsnämnder eller särskilda nämnder för personer med funktionsnedsättningar med ansvar för både sociala och medicinska insatser. Ett annat exempel är att inrätta särskilda barn- och ungdomsnämnder, med ansvar för både utbildningsfrågor, kultur- och fritidsfrågor och socialtjänst för barn och ungdom. Frågor som rör barn kan också delas upp på andra sätt mellan olika nämnder. Frågor som rör barnet och hör samman med att barnet har en funktionsnedsättning och behöver insatser enligt lagen (1993:387) om stöd och service till vissa funktionshindrade, LSS, kan hanteras av omsorgsnämnden, medan frågor som t.ex. rör orosanmälan avseende ett barn sorteras under socialnämnden. Det är också möjligt att låta en nämnd sköta enbart en avgränsad del av ett större
sakområde. Exempelvis låg omhändertagandet av ensamkommande barn tidigare vanligtvis under en barn- och ungdomsnämnd. Vissa kommuner har nu lyft över omhändertagandet av ensamkommande barn till en egen nämnd. På så sätt kan ansvaret för socialtjänstens verksamhet komma att spridas på flera olika nämnder inom samma kommun. Varje nämnd i en sådan socialtjänstorganisation är att anse som en egen myndighet i offentlighets- och sekretesslagens mening och sekretess gäller då som huvudregel mellan dessa olika nämnder inom samma kommun.
Av 6 kap. 2 § kommunallagen följer också att fullmäktige kan besluta att en nämnd ska ha hand om en eller flera verksamheter för en del av kommunen. Det innebär att kommundelsnämnder kan inrättas och att fullmäktige kan föreskriva att de lokala nämnderna ska ha förvaltningsuppgifter av skilda slag, t.ex. inom socialtjänst. Den lokala nämnden fungerar då som en självständig socialnämnd och som en egen myndighet i sekretesshänseende.
Vidare kan fullmäktige besluta att en nämnd ska tillhandahålla tjänster åt en annan nämnd. Syftet med bestämmelsen är att möjliggöra ett beställar-utförarsystem, där en nämnd är leverantör åt en annan nämnd. Även i sådana fall gäller sekretess mellan de olika nämnderna inom kommunen, även om de hanterar ärenden inom samma verksamhetsområde såsom socialtjänst.
Kommunen kan också låta vissa arbetsuppgifter inom socialtjänsten utföras av s.k. kommunala företag. Sådana företag betraktas som myndigheter i sekretesshänseende. Det gäller därmed sekretess mellan ett kommunalt företag och de olika nämnderna inom kommunen.
20.2.3. Sekretess mellan självständiga verksamhetsgrenar inom en myndighet
Att sekretess gäller även mellan självständiga verksamhetsgrenar inom en och samma myndighet framgår av 8 kap. 2 § offentlighets- och sekretesslagen. I bestämmelsen anges att vad som föreskrivs om sekretess mot andra myndigheter i 8 kap. 1 § offentlighets- och sekretesslagen och vad som föreskrivs i andra bestämmelser i lagen om uppgiftslämnande till andra myndigheter och överföring av sekretess mellan myndigheter, också gäller mellan olika verksamhetsgrenar inom en myndighet, när de är att betrakta som själv-
ständiga i förhållande till varandra. Om det finns en sekretessbrytande bestämmelse i offentlighets- och sekretesslagen som reglerar uppgiftslämnande mellan myndigheter, gäller den alltså även för lämnande av uppgifter mellan olika självständiga verksamhetsgrenar inom en myndighet. Den fråga som är relevant i detta sammanhang är när olika verksamhetsgrenar inom en myndighet, i nu aktuellt fall en kommunal nämnd, är att betrakta som självständiga i förhållande till varandra.
Frågan vad som avses med en självständig verksamhetsgren inom en myndighet har länge varit föremål för diskussion. Bestämmelsen i 8 kap. 2 § offentlighets- och sekretesslagen motsvarar 1 kap. 3 § andra stycket i den tidigare gällande sekretesslagen (1980:100). I den promemoria som föregick lagen uppställdes inget krav på att verksamhetsgrenarna skulle vara självständiga i förhållande till varandra. Flera remissinstanser efterlyste klargörande uttalanden om hur gränsdragningen mellan olika verksamheter och mellan en myndighets olika verksamhetsgrenar skulle göras. I förarbetena anges att starka skäl talar för att sekretessens räckvidd mellan myndigheterna och inom en myndighet regleras så långt detta är möjligt. Detta gäller särskilt sekretessen till skydd för enskild. Enligt förarbetena ligger det dock i sakens natur att en allmän regel som begränsar uppgiftslämnandet mellan myndigheterna och mellan olika verksamhetsgrenar inom en myndighet inte kan ges någon närmare konkretisering. Det ansågs tillräckligt att använda begreppen verksamhet respektive
verksamhetsgren för att ange det område utanför vilket en sekretess-
belagd uppgift inte får lämnas utan prövning enligt sekretesslagen. Vad som ska förstås med dessa begrepp får enligt förarbetena avgöras från fall till fall. Det anfördes också att i allmänhet torde indelningen i olika myndigheter och uppdelningen inom myndighet på skilda organisatoriska enheter lämna tillräcklig ledning.2
Konstitutionsutskottet ansåg att förslaget skulle kunna ge upphov till tolkningsproblem och föreslog därför att sekretess bara skulle gälla mellan olika verksamhetsgrenar inom en myndighet i de fall dessa är att betrakta som självständiga i förhållande till varandra.3Förebilden till detta rekvisit hämtades från dåvarande 2 kap. 8 §
2Prop. 1979/80:2 del A s. 121. 3 Bet. 1979/80: KU37 s. 12 och14.
(nuvarande 2 kap. 11 §) tryckfrihetsförordningen.4 När det gäller vad som ska beaktas vid bedömningen av när ett organ ska anses självständigt i förhållande till andra organ inom samma myndighetsorganisation hänvisade utskottet till förarbetena till bestämmelsen i tryckfrihetsförordningen. Där anges att vid bedömningen kan det vara av vikt att organet självständigt förvaltar viss egendom, har viss handlingsfrihet inom en angiven ekonomisk ram eller i övrigt kan vidta vissa faktiska åtgärder självständigt och på eget ansvar.5
Frågan om under vilka förutsättningar det uppkommer sekretessgränser mellan verksamheter inom samma myndighet tas upp i ett antal propositioner på olika verksamhetsområden.6 I förarbetena till offentlighets- och sekretesslagen sägs att det genom dessa förarbeten och sekretesslagens förarbeten har slagits fast att om olika delar av en myndighets verksamhet har att tillämpa olika sekretessbestämmelser får de anses utgöra olika verksamhetsgrenar i sekretesslagens mening. Först om olika delar av en myndighet utgör olika verksamhetsgrenar i sekretesslagens mening finns det skäl att även ta ställning till om de också är att betrakta som självständiga i förhållande till varandra.7
I förarbetena till offentlighets- och sekretesslagen sägs att utgångspunkten vid bedömningen fortfarande är densamma. Det innebär att endast om det finns olika delar av en myndighets verksamhet som sinsemellan har att tillämpa olika sekretessbestämmelser är det fråga om olika verksamhetsgrenar i offentlighets- och sekretesslagens mening, t.ex. den fiskala och den brottsbekämpande delen av Skatteverkets verksamhet. Om så är fallet, behövs det därutöver göras en bedömning av om de olika verksamhetsgrenarna också har organiserats på ett sådant sätt att de förhåller sig självständiga till varandra. Det är bara om båda dessa kriterier är uppfyllda som det uppstår en sekretessgräns inom en myndighet.8
Även frågan om olika verksamheters självständighet i förhållande till varandra i de kommunala nämnderna berörs i förarbetena till offentlighets- och sekretesslagen. Det sägs att bestämmelsen i 1 kap.
4 Bestämmelsen lyder: Har ett organ som ingår i eller är knutet till en myndighet lämnat över en handling till något annat organ inom samma myndighet, anses handlingen som inkommen eller upprättad därigenom endast om organen uppträder som självständiga i förhållande till varandra. 5Prop. 1975/76:160 s. 152. 6 Se t.ex. prop. 2003/04:152 s. 249 f, prop. 2005/06:200 s. 146 f. och prop. 2006/07:108 s. 46. 7Prop. 2008/09:150 s. 358. 8Prop. 2008/09:150 s. 356 ff.
3 § sekretesslagen (nuvarande 8 kap. 1och 2 §§ OSL) tillkom för att förhindra att sekretesskyddad information, som lämnats eller inhämtats i en viss verksamhet och för ett visst ändamål, skulle användas i en annan verksamhet, för vilken den inte varit avsedd. Härav har slutsatsen dragits att om verksamheter från olika sekretessområden inordnas under samma nämnd så är de olika sekretesskyddade verksamhetsområdena regelmässigt att anse som självständiga i förhållande till varandra ur sekretessynpunkt. Någon egentlig analys av om kravet på verksamhetsgrenarnas självständighet i förhållande till varandra är uppfyllt när verksamheterna handhas av samma kommunala nämnd har dock inte gjorts, vare sig när den fria nämndorganisationen infördes eller i senare lagstiftningsärenden. I kommuner har reglerna uppfattats så att sekretess gäller mellan olika verksamheter med skilda sekretessbestämmelser när de inordnas under en och samma nämnd. 9
I nämnda förarbeten hänvisas till ett avgörande från JO, där frågan var om verksamhet enligt LSS skulle anses utgöra en självständig verksamhetsgren inom den socialförvaltning som ansvarar för verksamheten.10 I avgörandet tar JO hänsyn till att man i lagstiftningsärendet i stället för att integrera verksamheten med socialtjänsten valde att behålla skiljelinjen mellan omsorgsområdet och socialtjänsten, även om man i förarbetena konstaterat att verksamhet enligt LSS står socialtjänsten nära. Också den omständigheten att lagstiftaren rent tekniskt valt att jämställa verksamhet enligt LSS med socialtjänst i stället för att uttryckligen ange att verksamheten ska handhas av socialnämnden eller på annat sätt göra verksamheten till en del av socialtjänsten i sekretesslagens mening talar i samma riktning. JO anför dock att det kan ifrågasättas om kravet på självständighet som lagen uppställer verkligen kan uppfyllas när den yttersta beslutanderätten tillkommer en för verksamhetsgrenarna gemensam nämnd. JO:s slutsats var att rättsläget var oklart.
Frågan om i vilka fall det finns en sekretessgräns mellan olika verksamheter inom en myndighet har, som ovan nämnts, berörts i ett antal olika propositioner på senare år. I förarbetena till den s.k. ädelreformen sägs att hälso- och sjukvården och socialtjänsten är olika verksamhetsgrenar i sekretesslagens mening. Den kommunala hälso- och sjukvården och socialtjänsten skulle dock inte, i just detta
9SOU 2003:99 s. 256. 10 JO 1995/96 s. 431.
fall, betraktas som självständiga i förhållande till varandra i sekretesslagens mening, eftersom det inte var fråga om verksamheter av skilda slag. Någon ändring av uppdelningen i självständiga verksamhetsgrenar i sekretesslagens mening mellan den kommunala socialtjänsten och övriga fall då hälso- och sjukvården bedrevs inom socialtjänsten avsågs dock inte.11
Ovanstående exempel belyser att det inte alltid står klart i vilka fall olika verksamheter inom en nämnd är att betrakta som självständiga i förhållande till varandra. Fråga kan t.ex. uppkomma vad som gäller när verksamheter inom socialtjänsten skiljer sig åt väsentligt. Oklarheter kan också uppkomma i de fall då hälso- och sjukvård och socialtjänst integreras och hanteras av samma nämnd.
Det har vid utredningens kontakter med företrädare för socialtjänsten framkommit att kommunerna vanligtvis utgår från att när olika verksamheter inom socialtjänsten faller under samma kommunala nämnd och tillämpar samma sekretessbestämmelse, 26 kap. 1 § offentlighets- och sekretesslagen, kan det inte vara fråga om en självständig verksamhetsgren på det sätt som avses i 8 kap. 2 § offentlighets- och sekretesslagen. Även om det rör sig om olika typer av socialtjänstverksamhet, anses det alltså inte utgöra självständiga verksamhetsgrenar så länge det rör sig om samma nämnd och de olika verksamhetsgrenarna har att tillämpa samma sekretessbestämmelse. Det tycks därför som att den nuvarande regleringen avseende självständiga verksamhetsgrenar inom en myndighet inte medför problem för kommunernas nämnder. Däremot har det framförts att reglerna för vad som ska anses utgöra en självständig verksamhetsgren inom en myndighet är otydliga och att det i sig kan leda till osäkerhet hur sekretessbestämmelser ska tillämpas inom en nämnd.
20.2.4. Motiven till den nuvarande sekretessbrytande bestämmelsen för hälso- och sjukvårdsmyndigheter inom samma region eller kommun
Bakgrund
Den sekretessbrytande bestämmelsen i 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen infördes ursprungligen i den dåvarande sekretesslagen (1980:100) samtidigt som patientdatalagen (2008:355) (PDL) trädde i kraft.
Patientdatalagen innebar en sammanhängande reglering av behandlingen av personuppgifter inom hälso- och sjukvården. I lagen, som gäller för alla vårdgivare oavsett huvudman, samlades bl.a. reglering om skyldighet att föra patientjournal, inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet, utlämnande av uppgifter och handlingar genom direktåtkomst eller annat elektroniskt utlämnande, sammanhållen journalföring samt nationella och regionala kvalitetsregister. Vissa bestämmelser fanns tidigare i annan lagstiftning, medan andra bestämmelser, exempelvis de som gäller sammanhållen journalföring, var helt nya. Lagförslaget motiverades bl.a. med att regelverket anpassades till möjligheten till utbyte av elektroniskt lagrad patientinformation, att det stärkte patienternas inflytande över vården samt att vårdgivarnas möjligheter till informationsutbyte, journalhantering och verksamhetsuppföljning förbättrades. Samtidigt konstaterades att lättare tillgänglig patientinformation och ett smidigare utbyte av patientuppgifter ställde ökade krav på hur informationen hanteras så att patientens integritet inte hotas. Utgångspunkten var därför att hanteringen av personuppgifter inom hälso- och sjukvården skulle underlättas samtidigt som patientsäkerheten och patientens egen möjlighet till medverkan skulle stärkas.12
En närmare beskrivning av patientdatalagen finns i kapitel 6. Här berörs endast de bestämmelser som är av betydelse för frågan om en sekretessbrytande bestämmelse motsvarande 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen bör införas för myndigheter på socialtjänstens område.
En bestämmelse som bryter sekretessen mellan myndigheter inom en region eller kommun
I samband med att patientdatalagen trädde i kraft infördes som nämnts även en bestämmelse i dåvarande sekretesslagen om brytande av hälso- och sjukvårdssekretessen mellan olika hälso- och sjukvårdsmyndigheter inom en region eller kommun. I motiven till bestämmelsen sägs att det tidigare i princip fanns en kommunal nämnd för varje verksamhetsområde. Införandet av den fria kommunala nämndorganisationen hade inneburit att en kommun eller en region fick möjlighet att indela t.ex. hälso- och sjukvården på flera sektorer som organisatoriskt hör till olika nämnder. Hälso- och sjukvården kan t.ex. sortera under olika distriktsnämnder. Likaså kan tandvård tillhöra en nämnd, psykiatri en annan, sjukhusvård en tredje osv. Vidare kan viss hälso- och sjukvård ha bolagiserats i kommunala företag. Eftersom huvudregeln även enligt dåvarande sekretesslagen (nuvarande 8 kap. 1 § OSL) var att det gäller sekretess mellan olika myndigheter, gällde sekretess mellan olika nämnders vårdinrättningar samt mellan dem och kommunala företags vårdinrättningar. De kunde alltså inte utbyta uppgifter utan en föregående sekretessprövning.13
När den fria kommunala nämndorganisationen infördes diskuterades det i lagstiftningsärendet vilka konsekvenser en friare nämndorganisation skulle få för sekretesslagstiftningens tillämpning. Man konstaterade att sekretessreglerna inte hindrade en sådan ordning, men att en översyn av sekretesslagen var påkallad.14
I förarbetena till den sekretessbrytande bestämmelsen sägs att samtliga verksamheter, som utgör hälso- och sjukvård eller annan medicinsk verksamhet, inom den offentliga sektorn har att tillämpa sekretessen enligt 7 kap. 1 c § sekretesslagen (nuvarande 25 kap. 1 § OSL). Härav följer att all hälso- och sjukvård som lyder under samma nämnd inom en region eller kommun utgör en och samma verksamhetsgren i sekretesslagens mening.15
I förarbetena anges vidare att det faktum att det inte gäller några sekretessgränser inom en hälso- och sjukvårdsmyndighet inte innebär att det är fritt fram för hälso- och sjukvårdspersonalen att utbyta uppgifter hur som helst. Detsamma gäller förstås även mellan olika myndigheter inom en region eller kommun. Även om ingen sekre-
13Prop. 2007/08:126 s. 164. 14Prop. 1990/91:117 s. 43 f. 15Prop. 2007/08:126 s. 162.
tess skulle gälla mellan hälso- och sjukvårdsmyndigheter i samma region eller kommun måste t.ex. en patients uttryckliga önskemål om att uppgifter om honom eller henne inte fritt ska lämnas till en annan myndighet inom regionen eller kommunen normalt respekteras på motsvarande sätt som gäller t.ex. mellan olika kliniker inom en myndighet. Vidare torde det räcka för flertalet befattningshavare som arbetar med t.ex. verksamhetsuppföljning att de får tillgång till uppgifter som endast indirekt kan härledas till enskilda patienter. Elektronisk åtkomst till kodnycklar, personnummer och andra uppgifter som pekar ut enskilda patienter borde på detta område kunna vara starkt begränsade till enstaka befattningshavare.16
Det kan tilläggas att det i 6 kap. 5 § offentlighets- och sekretesslagen finns en skyldighet för en myndighet att på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Hur den skyldigheten förhåller sig till uttalandena i förarbetena om respekten för den enskildes uttryckliga önskemål diskuterades inte i förarbetena.
Bestämmelser med syfte att skydda patientens integritet
I förarbetena till patientdatalagen sägs att förtroendet för integritetsskyddet i informationshanteringen har relevans inte bara när det gäller den yttre sekretessen gentemot utomstående och vid överföring av personuppgifter mellan vårdgivare. Även inom en sådan verksamhet måste det finnas ett integritetsskydd avseende hanteringen av uppgifter om enskilda, s.k. inre sekretess. Begreppet inre sekretess används i propositionen som ett begrepp som inrymmer ett flertal frågeställningar om hur känsliga uppgifter om enskildas hälsa och andra personliga förhållanden bör handhas inom en verksamhet för att motverka risker för obefogade intrång i den personliga integriteten.17 Patientdatautredningen föreslog en rad bestämmelser som hade till syfte att reglera hanteringen av känsliga personuppgifter inom en verksamhet för att motverka risker för obefogat intrång i den personliga integriteten.
16Prop. 2007/08:126 s. 166. 17Prop. 2007/08:126 s. 141.
I patientdatalagen infördes i detta syfte en bestämmelse om inre sekretess (nuvarande 4 kap. 1 § PDL) där det anges att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Bestämmelsen omfattar både manuellt och elektroniskt behandlade patientuppgifter, och även uppgifter om avlidna.
Avseende elektronisk patientjournalföring och övrig elektronisk patientdokumentation infördes i patientdatalagen en förtydligad bestämmelse om att en vårdgivare ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter (4 kap. 2 § PDL). Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården.
Vidare infördes i patientdatalagen en helt ny bestämmelse som innebär en skyldighet för vårdgivaren att dokumentera sådana uppgifter om patienter som förs automatiserat samt att systematiskt och fortlöpande kontrollera om obehörig åtkomst till uppgifter om patienter förekommer (4 kap. 3 § PDL).
Patienten gavs rätt att på begäran få information om vilken direktåtkomst och elektroniska åtkomst som förekommit till elektroniskt behandlade uppgifter om honom eller henne (8 kap. 5 § PDL). Patienten gavs också rätt att begära att vårddokumentation spärras från tillgänglighet genom elektronisk åtkomst för andra vårdenheter alternativt vårdprocesser (4 kap. 4 § PDL). Uppgift om att det finns spärrade uppgifter får dock vara tillgänglig för andra vårdenheter eller vårdprocesser. Spärren kan med patientens samtycke hävas helt eller delvis. Spärren kan också i vissa fall hävas om patientens samtycke inte kan inhämtas och om informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver. Vårdnadshavare har inte rätt att spärra sina barns uppgifter.
Justitieombudsmannen, JO, ställde sig tveksam till utredningens förslag om en sekretessbrytande bestämmelse som ska gälla mellan hälso- och sjukvårdsmyndigheter i en region eller kommun och en annan sådan myndighet i samma region eller kommun. Enligt JO innebar förslaget att sekretessområdet inom hälso- och sjukvården blir mycket stort. Inom en region kommer sekretessen inte att gälla mellan t.ex. psykiatrin, folktandvården, verksamhet som rör smittsamma sjukdomar, missbrukarvården eller den somatiska vården. JO
ifrågasatte mot denna bakgrund lämpligheten i förslaget och ansåg att konsekvenserna behövde belysas ytterligare.18
I propositionen betonades dock att bestämmelsen inte innebär att det är fritt fram för hälso- och sjukvårdspersonal som arbetar inom samma myndighet att utbyta sekretessbelagda uppgifter. Med hänvisning till tidigare uttalanden från JO sägs att det torde stå klart att en befattningshavare inte har någon obegränsad frihet att lämna uppgifter som omfattas av sekretess till sina arbetskamrater. Samtidigt kan sekretesslagen inte heller anses utgöra hinder mot att en handläggare rådfrågar andra befattningshavare om ett ärende, åtminstone inte om det framstår som objektivt försvarbart. Uppgifter måste fritt kunna lämnas till dem som på ett eller annat sätt deltar i beredandet och avgörandet av ett ärende.19
I propositionen pekar man därefter på att den enskildes integritet kan skyddas av andra typer av bestämmelser än sekretessbestämmelser. I sammanhanget nämns dåvarande 2 a § hälso- och sjukvårdslagen (1982:763) (nuvarande 5 kap. 1 § 3 hälso- och sjukvårdslagen [2017:30]), som anger att verksamheten ska bygga på respekt för patientens självbestämmande och integritet. Vidare lyfts de ovan nämnda förslagen på skyddsregler fram, bl.a. förslaget om att varje journalhandling ska hanteras och förvaras så att obehöriga inte får tillgång till den och att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgiften för sitt arbete inom hälso- och sjukvården. Det hänvisas också till de förslag som stärker skyddet för den enskildes integritet vid elektronisk behandling av personuppgifter; bestämmelser om behörighetstilldelning, skyldighet för vårdgivaren att systematiskt och fortlöpande kontrollera om obehörig åtkomst till uppgifter om patienter förekommer och en rätt för den enskilde patienten att på begäran få information om vilken direktåtkomst som förekommit till elektroniskt behandlade uppgifter om honom eller henne.20
Sammanfattningsvis kan alltså sägas att de sekretessbrytande bestämmelserna i 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen ska ses tillsammans med de integritetsstärkande regler som infördes samtidigt i och med patientdatalagen. I förarbetena till patient-
18Prop. 2007/08:126 s. 161. 19Prop. 2007/08:126 s. 163 och JO 1983/84 s. 262. 20 Prop. 2007/08 :126 s. 163 f.
datalagen lyfts dessa bestämmelser fram som ett sätt att skydda den enskildes integritet vid lättnader av sekretesskyddet.
20.2.5. Betänkandet Rätt information på rätt plats i rätt tid
Utredningen om rätt information i vård och omsorg hade som över-
gripande uppdrag att utreda och lämna förslag till en mer ändamålsenlig och sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. I uppdraget ingick bl.a. att undersöka lämpligheten av att införa sekretessbrytande bestämmelser i socialtjänsten motsvarande de som redan gäller på hälso- och sjukvården. Utredningens förslag beskrivs närmare i avsnitt 9.6. Här berörs endast de förslag som har relevans för förslaget om en bestämmelse som bryter sekretessen mellan myndigheter inom socialtjänsten i samma kommun.
Generellt om förslagen i betänkandet
När det gäller socialtjänsten identifierade Utredningen om rätt infor-
mation i vård och omsorg ett antal faktorer av betydelse för en ända-
målsenlig och sammanhållen informationshantering inom socialtjänsten, bl.a. behovet av att se över sekretessregleringens konsekvenser för kommunens möjligheter till en ändamålsenlig och sammanhållen informationshantering, behovet av en modernisering av regleringen av behandling av personuppgifter i SoLPUL och SoLPUF21), behovet av tydliga bestämmelser om inre sekretess och behovet av ett regelverk som möjliggör direktåtkomst mellan utförare när så behövs.22
Utredningen lämnade mot denna bakgrund i betänkandet Rätt
information på rätt plats i rätt tid (SOU 2014:23) förslag på en för-
ändrad reglering av behandling av personuppgifter och sekretess inom hälso- och sjukvård och socialtjänst. De förslag som är av störst betydelse i detta sammanhang är förslaget om en sekretessbrytande bestämmelse mellan socialtjänstmyndigheter inom samma kommun och förslaget om en ny lag om behandling av personuppgifter inom socialtjänsten, socialtjänstdatalagen. Den föreslagna socialtjänstdatalagen skulle ersätta SoLPUL och gälla vid behandling av person-
21 Förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten. 22 SOU 2014 :23 s. 593 f.
uppgifter inom socialtjänsten för kommunala myndigheter, enskilda (privata) verksamheter och Statens institutionsstyrelse. Den föreslagna lagen innehöll bestämmelser från nuvarande SoLPUL och SoLPUF, förtydliganden av bestämmelser i den då gällande personuppgiftslagen och helt nya bestämmelser.
Utredningen föreslog att socialtjänstdatalagen skulle innehålla ett kapitel med ett antal grundläggande bestämmelser om behandling av personuppgifter på socialtjänstens område. I lagen skulle det uttömmande anges för vilka ändamål personuppgifter får samlas in och i övrigt behandlas inom socialtjänsten samt vilka personuppgifter som får behandlas.23 Bland de grundläggande reglerna fanns också reglering av personuppgiftsansvar, vilken betydelse individens inställning till behandlingen av personuppgifter skulle ha och vilka sökbegrepp som skulle få användas.
Utredningen konstaterade att det på socialtjänstens område saknas uttryckliga bestämmelser om det som brukar kallas inre sekretess, med bl.a. krav på styrning av behörighet och kontroll av åtkomst till uppgifter. För att tydliggöra vikten av att uppgifter endast är tillgängliga när det behövs för dem som behöver det och i övrigt hanteras på ett säkert sätt ansåg utredningen att det behövdes grundläggande bestämmelser om detta. Utredningen föreslog därför ett särskilt kapitel med sådana bestämmelser, för att tydliggöra vilket ansvar som ligger dels på den som arbetar i socialtjänsten, dels på den som bedriver själva verksamheten. Utredningen om rätt information
i vård och omsorg menade att en uttrycklig reglering av den inre
sekretessen även var en förutsättning för utredningens förslag om exempelvis förändrade sekretessgränser mellan kommunala myndigheter inom socialtjänstens område. Med regler om inre sekretess, behörighetsstyrning och åtkomstkontroll skulle det tydliggöras att det aldrig kan vara fråga om ett okontrollerat flöde av uppgifter inom socialtjänsten. Detta sätt att reglera sekretess- och dataskyddet skulle då även komma att likna vad som redan gällde för hälso- och sjukvården.24
Utredningen föreslog mot denna bakgrund att det skulle införas en grundläggande bestämmelse om inre sekretess som skulle gälla oavsett om uppgifter hanteras manuellt eller elektroniskt. I socialtjänstdatalagen skulle det införas en bestämmelse som anger att den
23SOU 2014:23 s. 652. 24SOU 2014:23 s. 686 f.
som arbetar hos någon som bedriver verksamhet inom socialtjänsten får ta del av dokumenterade uppgifter om enskilda endast när han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten och uppgifterna ska användas för något av de ändamål som är tillåtna enligt socialtjänstdatalagen.25
Utredningen föreslog vidare att det i socialtjänstdatalagen skulle tas in bestämmelser om att den som bedriver verksamhet inom socialtjänsten ska se till att dokumenterade personuppgifter hanteras och förvaras så att inte obehöriga får tillgång till dem. Om internet eller andra jämförliga nät används för att överföra personuppgifter som behandlas enligt socialtjänstdatalagen, skulle den som bedriver verksamhet inom socialtjänsten se till att överföringen görs så att ingen obehörig kan ta del av uppgifterna.26
Utredningen konstaterade att det på socialtjänstens område saknas uttryckliga bestämmelser om krav på styrning av behörighet och kontroll av åtkomst till uppgifter. Enligt utredningens bedömning är det en brist, inte minst mot bakgrund av att socialtjänsten är en verksamhet med en omfattande hantering av integritetskänsliga personuppgifter. Utredningen föreslog därför att det i lagen skulle införas en bestämmelse om att den som bedriver verksamhet inom socialtjänsten ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till personuppgifter. Behörigheten ska anpassas och begränsas till vad som behövs för att den som arbetar i socialtjänsten ska kunna fullgöra sina arbetsuppgifter.27
Betänkandet innehåller också förslag på att den som bedriver verksamhet inom socialtjänsten ska se till att åtkomst till uppgifter om enskilda som förs helt eller delvis automatiserat dokumenteras och att systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna utförs.28 Vidare föreslogs bl.a. att den som bedriver verksamhet inom socialtjänst och som medger andra som bedriver sådan verksamhet direktåtkomst eller på annat sätt samarbetar vid behandling av personuppgifter, ska göra en risk- och sårbarhetsanalys och komma överens med de andra om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Detta ska göras innan samarbetet inleds. Av överenskom-
25SOU 2014:23 s. 689. 26SOU 2014:23 s. 691. 27SOU 2014:23 s. 698 f. 28SOU 2014:23 s. 701.
melsen ska även framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.29
Utredningen om rätt information inom vård och omsorg lämnade
särskilda förslag avseende utlämnande genom direktåtkomst. Utredningen föreslog att det, liksom i patientdatalagen, skulle finnas en bestämmelse om att utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning.30
Betänkandet innehåller ett förslag om att en kommun som bedriver socialtjänst genom flera myndigheter, eller sådana kommunala företag som avses i 2 kap. 3 § offentlighet- och sekretesslagen, får ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet eller bolag i samma kommun. Förslaget ska enligt utredningen ses tillsammans med förslaget om en sekretessbrytande bestämmelse för myndigheter inom socialtjänsten i samma kommun. För att förslaget i praktiken ska få avsedd effekt krävs att det kompletteras med en särskild bestämmelse som tillåter nämnderna och bolagen att ha direktåtkomst till varandras personuppgifter. En sådan bestämmelse är enligt utredningen i konsekvens med motiven till sekretessgenombrottet och innebär att socialtjänstdatalagen inte samtidigt med förslaget i sekretessdelen uppställer nya hinder för uppgiftsutbytet inom kommuner som valt eller som överväger att dela upp socialtjänstverksamheten på olika nämnder. Stora tillämpningsproblem skulle i så fall kunna uppstå i frågor om informationshanteringen. Utredningen anförde att motsvarande förutsättningar finns inom hälso- och sjukvårdens område.31
Utredningen betonade att det inte varit fråga om att tillåta någon okontrollerad spridning av uppgifter. Utredningen pekade på den föreslagna grundläggande bestämmelsen om inre sekretess samt utredningens andra förslag med syfte att stärka integritetsskyddet. Det anfördes att förslagen om sekretessbrytande regler och tillåten direktåtkomst skulle läsas i ljuset av förslagen som förtydligar det ansvar för en säker hantering av personuppgifter som den som bedriver verksamhet inom socialtjänsten har och bestämmelserna om inre sekretess, behörighetsstyrning, åtkomstkontroll m.m. Exempelvis
29SOU 2014:23 s. 708. 30SOU 2014:23 s. 720. 31SOU 2014:23 s. 728 f.
ska den som ansvarar för verksamheten i socialtjänsten genom behörighetsstyrning se till att behörig personal får tillgång till de uppgifter som behövs för att utföra arbete och samtidigt se till att begränsa behörigheten just efter detta behov och göra fortlöpande och systematiska kontroller av åtkomsten till uppgifter om enskilda. Vidare har den som bedriver verksamhet inom socialtjänsten alltid ett grundläggande ansvar för att se till att dokumenterade uppgifter hanteras och förvaras så att obehöriga inte får tillgång till dem. Utredningens sammantagna bedömning var att de integritetsskyddande bestämmelserna tillsammans med dessa nya möjligheter till informationsutbyte ger en bra balans mellan de olika intressen som behöver värnas.32
Förslaget om sekretessbrytande bestämmelse
I betänkandet konstaterades att utvecklingen inom många kommuner innebär att det inte längre bara finns en kommunal nämnd för varje verksamhetsområde. Införandet av den fria kommunala nämndorganisationen har inneburit att en del kommuner kommit att dela upp socialtjänsten på flera sektorer som organisatorisk hör till olika nämnder. Om kommunfullmäktige utser flera nämnder att fullgöra uppgifter som hör till socialnämndens ansvarsområde, uppstår dock enligt 8 kap. 1 § offentlighets- och sekretesslagen i princip sekretess mellan de nämnderna. Den fria kommunala nämndorganisationen har därför, tillsammans med offentlighets- och sekretessregleringen, medfört att nya sekretessgränser kan uppstå beroende på hur en kommun väljer att organisera sin verksamhet, även om överväganden som ligger till grund för vald organisationsform inte har någon relevans för sekretessfrågan. Val av en organisationsform kan således få till konsekvens att det uppstår sekretessgränser som inte är sakligt motiverade.33
Enligt Utredningen om rätt information i vård och omsorg har den fria kommunala nämndorganisationen medfört tillämpningsproblem inom kommuner där organisatorisk utveckling fått till följd att sekretessgränser uppstått i verksamheter som tidigare kunnat utgöra ett enda sekretessområde. Det innebär otillfredsställande hinder för verksamheter inom kommuner som sakligt sett kan höra samman
32SOU 2014:23 s. 730 f. 33SOU 2014:23 s. 599 f.
men som formellt lagts under olika nämnder utifrån helt andra bevekelsegrunder än de som bär upp att socialtjänstsekretess ska gälla även mellan myndigheter. För den enskilde kan det innebära en tidskrävande och i vissa fall oöverskådlig informationshantering.34
Som exempel på fall då problem kan uppstå beskriver utredningen att det är vanligt att en kommun organiserar sig på så sätt att en arbetsmarknadsnämnd hanterar insatser till personer som behöver ekonomiskt bistånd, medan socialnämnden beslutar om ekonomiskt bistånd till enskilda. I dessa fall är det viktigt att nämnderna kan utbyta information om en enskilds deltagande i sådana insatser som organiseras av andra nämnder. Insatser för den enskilde ska enligt socialtjänstlagen utformas och genomföras tillsammans med honom eller henne. Det innebär att socialtjänsten under en utredning inte ska eller bör inhämta uppgifter från andra enskilda eller myndigheter utan att den enskilde har lämnat sitt samtycke. Det bör, enligt utredningen, inte vara någon skillnad i hanteringen av information beroende på hur en kommun väljer att inrätta sin organisation.35
Utredningen om rätt information i vård och omsorg föreslog mot
denna bakgrund att ett sekretessbrytande undantag från socialtjänstsekretess skulle införas i offentlighets- och sekretesslagen. Undantaget skulle innebära att socialtjänstsekretess inte hindrar att uppgift lämnas från en myndighet inom socialtjänsten i en kommun till en annan sådan myndighet i samma kommun. Enligt utredningens bedömning gjorde förslaget det möjligt för en kommun att organisera och bedriva socialtjänstverksamhet genom olika myndigheter, exempelvis stadsdelsnämnder eller beställar- och utförarnämnder, utan att omotiverade sekretessgränser uppstod mellan myndigheterna. Förslaget undanröjde enligt utredningen i praktiken sekretesshinder mellan olika myndigheter på socialtjänstens område i samma kommun. Samtidigt betonade utredningen att enskildas inställning fortfarande skulle tillmätas betydelse, bl.a. till följd av den grundläggande bestämmelsen i 1 kap. 1 § socialtjänstlagen om att verksamheten ska bygga på respekt för människornas självbestämmande och integritet och motsvarande bestämmelse i 6 § LSS. I linje med detta skulle en enskilds uttryckliga önskemål om att uppgifter om honom eller henne inte fritt ska lämnas från en myndighet till en annan inom kommunen
34SOU 2014:23 s. 600. 35SOU 2014:23 s. 601.
normalt sett, enligt utredningen, respekteras även om den föreslagna sekretessbrytande bestämmelsen införs.36 Vidare skulle förslaget enligt utredningen läsas i ljuset av utredningens förslag om tydligare reglering av inre sekretess, med bl.a. krav på behörighetsstyrning, åtkomstkontroll m.m. De föreslagna kraven på behörighetsstyrning innebar enligt utredningen att den som arbetar inom socialtjänsten inte skulle ha möjlighet att bereda sig elektronisk åtkomst till sådana uppgifter om individer som inte motsvarar det behov som finns för att arbetet ska kunna utföras. Den faktiska tillgången till uppgifter skulle därmed så långt som möjligt anpassas och begränsas till vad som är påkallat med hänsyn till varje anställds, eller motsvarande, behov.37
Datainspektionen angav i sitt remissyttrande38 att Utredningen
om rätt information i vård och omsorgs förslag om en sekretessbry-
tande bestämmelse och förslaget om möjligheten för en myndighet eller ett kommunalt företag inom en kommun att ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet eller företag i samma kommun tillsammans innebär ett betydligt friare utbyte av personuppgifter. En sådan förändring i åtkomsten av ytterst integritetskänsliga personuppgifter kräver, enligt Datainspektionen, att lagstiftaren gör en grundlig utredning av dels behovet av en sådan behandling, dels de konsekvenser behandlingen kan komma att få för de enskilda registrerades personliga integritet. Enligt Datainspektionen hade utredningen endast anfört att kommunerna har stor frihet i fråga om nämndorganisation och att detta kan komma att inverka på sekretessgränserna mellan nämnder som samtliga utför socialtjänst. Datainspektionen anförde vidare att socialtjänst är ett mycket vitt begrepp, som innefattar allt från äldreomsorg och behandling av missbrukare till bistånd åt asylsökande och parkeringstillstånd för rörelsehindrade. En lättnad i sekretessen och införande av direktåtkomst mellan olika nämnder som utför verksamhet inom socialtjänsten skulle i praktiken innebära att den nämnd som utfärdar parkeringstillstånd för rörelsehindrade kan ha direktåtkomst till personuppgifter som hanteras inom den nämnd som utför vård och behandling av missbrukare. Varför dessa skilda delar av socialtjänsten, som utför verksamhet av mycket olika slag,
36SOU 2014:23 s. 604 ff. 37SOU 2014:23 s. 606. 38Remissammanställning över betänkandet Rätt information på rätt plats i rätt tid (SOU 2014:23) S2014/00112/FS.
ska ha direktåtkomst till personuppgifter av mycket känslig natur hos varandra berörs inte i betänkandet. De bestämmelser om inre sekretess som utredningen hänvisade till förtydligade enligt Datainspektionen endast det som redan gällde enligt den då gällande personuppgiftslagen och innebar därför i praktiken inte någon reell förstärkning av integritetsskyddet. I praktiken byts ett skydd genom en stark sekretess och därför ett utlämnande endast i varje enskilt fall, mot ett betydligt svagare integritetsskydd, ett skydd som är direkt beroende av varje anställds bedömning av vad den har rätt att ta del av och den personuppgiftsansvariges möjligheter till kontroll. Någon uttrycklig rätt för den enskilde att påverka ett utlämnande kom inte till uttryck i den föreslagna socialtjänstdatalagen, och Datainspektionen ställde sig därför frågande till om den i praktiken skulle komma att ha någon reell effekt på den enskildes möjligheter att påverka utlämnandet.39
Utredningen om rätt information i vård och omsorgs förslag har inte
genomförts i nu berörda delar. Även i detta sammanhang kan lyftas fram att utredningen ansåg att en uttrycklig reglering av den inre sekretessen var en förutsättning för förslaget om förändrade sekretessgränser mellan kommunala myndigheter inom socialtjänstens område. Behandlingen av personuppgifter mellan myndigheter inom socialtjänsten skulle kontrolleras genom reglerna om inre sekretess, behörighetsstyrning och åtkomstkontroll, på samma sätt som inom hälso- och sjukvården.
20.2.6. Behov av sekretessbrytande bestämmelser
Utredningens bedömning: Det finns ett tydligt behov av att
hantera och utbyta information mellan myndigheter inom socialtjänsten i en kommun.
Utredningen har i avsnitt 12.2.2 redogjort för det behov som finns hos kommunala nämnder av att hantera och utbyta information gällande dokumentation avseende insatser för äldre eller personer med funktionsnedsättningar. Ett sådant behov finns bl.a. då en kommun delat upp sin socialtjänstverksamhet på två eller flera
39Remissammanställning över betänkandet Rätt information på rätt plats i rätt tid (SOU 2014:23) S2014/00112/FS s. 226 f.
nämnder med tillhörande förvaltningar som t.ex. enligt en beställar- och utförarmodell, där det som tidigare var en socialnämnd splittrats och blivit en eller flera beställar- och utförarnämnder. Det kan även finnas behov när nämndstrukturen delats upp geografiskt, t.ex. i kommundels- eller stadsdelsnämnder. Det förekommer även att den organisatoriska uppdelningen är uppbyggd efter olika ämnesområden inom socialtjänsten, t.ex. äldreomsorg samt hälso- och sjukvård, stöd till personer med funktionsnedsättningar och individ- och familjeomsorg samt övrig socialtjänst.
Denna problematik löses till viss del av den föreslagna regleringen om sammanhållen vård- och omsorgsdokumentation. Den föreslagna regleringen omfattar dock endast insatser för äldre eller personer med funktionsnedsättningar och innebär i de flesta fall att den enskilde måste samtycka till att den mottagande myndigheten får tillgång till uppgifter hos den utlämnande myndigheten. Motsvarande behov kan emellertid finnas även inom socialtjänstens övriga delar.
Även på vissa områden inom socialtjänsten som inte avser insatser för äldre eller personer med funktionsnedsättningar kan det finnas behov av att utbyta uppgifter mellan olika myndigheter i samma kommun utan hinder av sekretess. I betänkandet SOU 2014:23Rätt
information på rätt plats i rätt tid angavs som exempel på detta att det
förekommer att en kommun organiserar sig på så sätt att en arbetsmarknadsnämnd hanterar insatser till personer som behöver ekonomiskt bistånd, medan socialnämnden beslutar om ekonomiskt bistånd till enskilda. I dessa fall är det viktigt att nämnderna kan utbyta information om en enskilds deltagande i sådana insatser som organiseras av andra nämnder.40
Utredningen har genom kontakter med företrädare för socialtjänsten fått fler exempel på situationer då möjlighet till utbyte av sådan information behövs för att socialtjänsten ska kunna ge den enskilde det stöd och den hjälp som han eller hon behöver.
Bland annat behöver handläggaren som ska utreda behovet av boendestödjare efter en ansökan om det, veta om sökanden har bistånd från någon annan nämnd för att kunna utreda behovet. Det förekommer ibland att en individ får biståndsinsatser i form av boendestödjare från två olika nämnder. Även när en person ansöker om personlig assistans behöver handläggande nämnd veta om personen har insats i form av hemtjänst beviljad från någon annan
nämnd för att kunna bedöma omfattningen av behovet av personlig assistans.
Utredningen har även fått som exempel att socialpsykiatri i vissa kommuner kan bedrivas under flera nämnder och då finns ett behov för de olika nämnderna att utbyta information om en individ för att kunna utforma gemensamma lösningar för individen. Det kan också finnas behov av informationsutbyte beträffande en endivid mellan två nämnder som gemensamt driver ett utredningsboende där individen bor, exempelvis en arbetsmarknadsnämnd och en funktionsstödsnämnd. Behov av att lämna information mellan nämnder beträffande en individ finns också när en nämnd beslutat att placera individen på ett utredningsboende som drivs av en annan nämnd.
Ytterligare ett exempel är när kommunen har uppgiftsskyldighet som bryter sekretessen i visst avseende gentemot myndigheter utanför kommunen, exempelvis Kriminalvården. Då finns behov för kommunen att samla in information från olika nämnder för att kunna fullgöra uppgiftsskyldigheten. I dag måste kommunen vidarebefordra begäran att få ut uppgifter med stöd av uppgiftsskyldigheten till samtliga berörda nämnder. Även vid misstanke om välfärdsfusk finns det ett behov av att kunna utbyta uppgifter, bl.a. finns ett stort behov av utökade möjligheter för kommuner att kunna kontrollera uppgifter i samband med utbetalning av ekonomiska ersättningar med stöd av LSS.
Ett annat exempel är kommuner där insatser enligt LSS beslutas av en nämnd och en annan nämnd i kommunen har hand om utredningar vid misstanke om att barn far illa. Om misstanke uppstår om att ett barn far illa, exempelvis på grund av att föräldrarna brister i omsorgen om barnet, ska ett ärende inledas hos den nämnd som har hand om utredningar vid misstanke om att barn far illa. Om detta barn har en funktionsnedsättning och får insatser enligt LSS från en annan nämnd, har inte handläggaren av LSS-ärendet möjlighet att få kännedom om vad som framkommer i ärendet gällande orosanmälan, trots att denna information kan vara av betydelse i LSS-ärendet för att ge barnet det stöd och den hjälp som barnet behöver.
Ett annat sätt som kommuner ibland organiserar sina nämnder när det gäller individinriktade insatser inom socialtjänsten är att stöd till barn ges av en nämnd och, när barnet sedan uppnår en viss ålder, vanligtvis 18 år, så är det en annan nämnd som får ansvar för att lämna stöd. Vid utredning av vilka insatser den numera vuxna per-
sonen ska få har handläggaren hos den senare nämnden ofta behov av dokumentation från den tidigare ansvariga nämnden för att kunna ge den enskilde det stöd och den hjälp som han eller hon behöver.
Det är vanligt att enskilda som har kontakt med socialtjänsten har det på grund av att man har sammansatta behov och behov av stöd i flera avseenden. Exempelvis kan en person som ansöker om försörjningsstöd även behöva ansöka om stöd från socialtjänsten på grund av missbruk. Detta är två olika insatser som i många fall handläggs hos två olika nämnder i en kommun. Det genomförs då en utredning vid varje nämnd om vilket bistånd den enskilde ska få. I många avseenden är det samma information som behövs i de båda utredningarna. Information om vilket stöd den enskilde har fått tidigare, vilken effekt detta stöd har gett, vilket nätverk som finns kring den enskilde och vilka svårigheter som den enskilde i övrigt har i sin livsföring är exempel på sådan information. Den handläggare som beslutar om försörjningsstöd behöver ha information om att det finns ett missbruk och hur behandlingen för detta ser ut för att kunna avgöra vilka möjligheter den enskilde har att kunna söka arbete, som i vissa fall ställs som krav för att en arbetslös person ska få ekonomiskt bistånd.
Möjlighet att utbyta sekretessbelagd information mellan kommunala nämnder kan även vara nödvändig för att en handläggare vid en nämnd ska kunna lämna den enskilde det praktiska stöd som den enskilde behöver vid kontakter i ärenden hos en annan nämnd. Om en handläggare som är ansvarig för en enskild person med funktionsnedsättning kan få information från en annan nämnd om ett ärende som den enskilde har hos den nämnden, kan handläggaren stötta den enskilde i detta ärende, exempelvis med att lämna in de uppgifter som behövs för en ansökan om ekonomiskt bistånd.
En annan aspekt av den bristande möjligheten att utbyta sekretessbelagd information mellan nämnder i en kommun som utredningen uppfattat, är att många enskilda som har kontakt med socialtjänsten befinner sig i en mycket utsatt situation och därför ibland inte förmår att upprepade gånger lämna samma information till handläggare vid olika nämnder. I dessa fall skulle visserligen kunna hävdas att den enskilde genom sitt samtycke helt eller delvis kan häva socialtjänstsekretessen enligt 26 kap. 1 § offentlighets- och sekretesslagen, och på så vis göra det möjligt för en myndighet inom socialtjänsten i en kommun att lämna ut uppgifter om honom eller
henne till en sådan myndighet i samma kommun. Som beskrivs i avsnitt 20.2.7 finns det dock vissa problem med sådant samtycke.
Utredningen har också uppfattat att det ofta hos den enskilde som har kontakt med socialtjänsten finns en förväntan att den information som lämnats till en handläggare inom socialtjänsten gällande ett ärende även når nästa person som den enskilde har kontakt med, oavsett vid vilken nämnd denna person arbetar. Det är också ofta svårt för den enskilde att uppfatta att han eller hon i vissa fall vid kontakt med olika personer i socialtjänsten inom samma kommun har kontakt med olika myndigheter. I många fall önskar och förväntar sig därför den enskilde att det finns ett utbyte av information mellan olika myndigheter inom kommunens socialtjänst så att en ny person inom socialtjänsten som den enskilde träffar redan vet vilket stöd den enskilde behöver.
Ett mer generellt argument som framförts av företrädare för socialtjänsten är att utvecklingen alltmer går mot att företrädare för olika delar av socialtjänsten samarbetar i team, i syfte att så bra som möjligt möta den enskildes behov. Detta gäller särskilt personer som har behov av stöd från flera olika verksamheter inom socialtjänsten. Från att tidigare ha varit specialister är tanken nu att handläggarna inom socialtjänsten i större utsträckning ska vara generalister, och kunna hantera frågor inom flera verksamheter inom socialtjänsten. Utgångspunkten är att det är en fördel för den enskilde att inte behöva träffa så många olika handläggare för att få den hjälp eller det stöd han eller hon behöver, utan att den enskildes behov ska kunna tillgodoses genom ett mer långtgående samarbete mellan olika handläggare från olika delar av socialtjänsten, i s.k. team. Det har framförts att sekretessgränser mellan olika kommunala nämnder hindrar sådant samarbete.
Mot bakgrund av det ovan anförda bedömer utredningen att det finns ett tydligt behov av att hantera och utbyta information mellan myndigheter inom socialtjänsten i en kommun.
20.2.7. Finns det någon tillämplig sekretessbrytande bestämmelse?
Innan utredningen föreslår en sekretessbrytande bestämmelse bör det undersökas om det redan finns någon sekretessbrytande bestämmelse som är tillämplig på nu aktuella fall.
Av 10 kap. 1 § offentlighets- och sekretesslagen följer att sekretess till skydd för en enskild inte hindrar att en uppgift lämnas till en annan enskild eller till en myndighet, om den enskilde samtycker till det. En enskild kan helt eller delvis häva sekretess som gäller till skydd för honom eller henne, om inte annat anges i offentlighets- och sekretesslagen (12 kap. 2 § OSL). Om en enskild samtycker till att en uppgift som är sekretessbelagd till skydd för honom eller henne lämnas till en annan enskild endast under förutsättning att myndigheten gör ett förbehåll som inskränker den enskilde mottagarens rätt att lämna uppgiften vidare eller utnyttja den, ska myndigheten göra ett sådant förbehåll när uppgiften lämnas ut. Något förbehåll kan inte göras när uppgift ska lämnas till en annan myndighet. Dessa bestämmelser gäller generellt, om inte något annat anges i offentlighets- och sekretesslagen. Något sådant undantag finns inte på socialtjänstens område.
Den enskilde kan alltså alltid genom sitt samtycke helt eller delvis häva socialtjänstsekretessen enligt 26 kap. 1 § offentlighets- och sekretesslagen, och på så vis göra det möjligt för en myndighet inom socialtjänsten i en kommun att lämna ut uppgifter om honom eller henne till en sådan myndighet i samma kommun. Företrädare för socialtjänsten har dock framfört att det inte alltid är möjligt eller lämpligt att stödja sig på den enskildes samtycke för ett sådant utlämnande. Ibland har den enskilde inte möjlighet att lämna sitt samtycke, t.ex. på grund av en kognitiv funktionsnedsättning eller demenssjukdom. Vidare uppfattas det i vissa fall som tveksamt att basera ett utlämnande på den enskildes samtycke. I de fall den enskilde intar en beroendeställning i förhållande till myndigheten kan det, enligt företrädare för socialtjänsten, ifrågasättas om den enskilde kan lämna ett giltigt samtycke enligt offentlighets- och sekretesslagen.
Enligt 10 kap. 2 § offentlighets- och sekretesslagen hindrar inte sekretess att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Vanligtvis är utlämnandet av en uppgift från en socialtjänstmyndighet i en kommun till en annan sådan myndighet i samma kommun inte nödvändigt för den utlämnande myndighetens verksamhet på det sätt som avses i bestämmelsen. Inte heller denna generellt tillämpliga sekretessbrytande bestämmelse kan därför tillämpas i nu aktuella fall.
I 10 kap.20–22 §§offentlighets- och sekretesslagen finns bestämmelser som bryter socialtjänstsekretessen enligt 26 kap. 1 §
offentlighets- och sekretesslagen. Dessa bestämmelser gäller dock bara i förhållande till Polismyndigheten eller en åklagarmyndighet, och är således inte aktuella för sådant utlämnande som det är fråga om här. Generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen gäller inte i fråga om sekretess enligt bl.a. 26 kap.1–6 §§offentlighets- och sekretesslagen.
I 26 kap. offentlighets- och sekretesslagen finns det i 8–10 §§ sekretessbrytande bestämmelser som bryter sekretessen på socialtjänstens område. Enligt 26 kap. 9 § offentlighets- och sekretesslagen hindrar inte sekretess enligt 26 kap. 1 § samma lag att uppgift om en enskild eller någon närstående till denne lämnas från en myndighet inom socialtjänsten till en annan sådan myndighet eller till en myndighet inom hälso- och sjukvården, om det behövs för att ge den enskilde nödvändig vård, behandling eller annat stöd och denne inte har fyllt arton år, fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel eller vårdas med stöd av lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård. Detsamma gäller uppgift om en gravid person eller någon närstående till denne, om uppgiften behöver lämnas för en nödvändig insats till skydd för det väntade barnet. Bestämmelsen gäller därför generellt mellan myndigheter på socialtjänstens område, och skulle därför kunna tillämpas vid utlämnande mellan socialtjänstmyndigheter inom en kommun. Tillämpningsområdet är dock begränsat till de fall som anges i bestämmelsen, och är således alltför begränsat i förhållande till vad som krävs i nu aktuellt fall. Inte heller någon av de andra sekretessbrytande bestämmelserna bryter socialtjänstsekretessen enligt 26 kap. 1 § offentlighets- och sekretesslagen på det generella sätt som är avsikten här. Sammanfattningsvis finns det inte någon sekretessbrytande regel som på motsvarande sätt som 25 kap. 11 § 1och 2 offentlighets- och sekretesslagen, bryter sekretessen mellan en socialtjänstmyndighet eller självständig verksamhetsgren inom en sådan myndighet inom en kommun och en annan sådan myndighet eller verksamhetsgren inom samma kommun.
20.2.8. Är det lämpligt med sekretessgenombrott?
Som anges i utredningens direktiv ska utredningen se över möjligheterna att införa sekretessbrytande bestämmelser för socialtjänsten i likhet med bestämmelserna om hälso- och sjukvårdssekretess i 25 kap. 11 § offentlighets- och sekretesslagen. Utredningen har uppfattat uppdraget så att det är punkt 1 och 2 i denna bestämmelse som avses dvs. möjligheten att införa en bestämmelse som bryter sekretessen mellan en myndighet inom socialtjänsten i en kommun och en annan sådan myndighet i samma kommun. Som alltid när en sekretessbrytande bestämmelse övervägs bör det ske en avvägning mellan myndigheternas behov av att utbyta uppgifter och intresset som sekretessbestämmelsen avser att skydda. Endast om behoven av att utbyta uppgifter väger tyngre än det som skyddas finns det skäl för sekretessgenombrott.
Enligt 26 kap. 1 § offentlighets- och sekretesslagen gäller sekretess inom socialtjänsten för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen gäller alltså till skydd för den enskilde och dennes personliga förhållanden med ett omvänt skaderekvisit, dvs. det finns en presumtion för att uppgifterna inte kan lämnas ut. Som sagts många gånger tidigare så kan uppgifter om enskilda inom socialtjänsten ofta vara av mycket känslig karaktär. Utöver uppgifter om fysisk och psykisk hälsa kan det t.ex. röra sig om uppgift om tidigare eller pågående missbruk, kriminalitet, våld i nära relationer eller andra övergrepp. Därutöver kan det i vissa fall röra sig om en så stor mängd uppgifter att de tillsammans ger en väldigt detaljerad bild av den enskilde och dennes liv, och därmed framstår som särskilt integritetskänsliga. Det är tydligt att det är motiverat att uppgifter om enskilda inom socialtjänsten omgärdas av ett starkt skydd. Samtidigt finns det, som framgår av avsnitt 20.2.6, ett klart behov av att utbyta uppgifter mellan olika myndigheter och självständiga verksamhetsgrenar på socialtjänstens område inom en kommun.
Likheter och skillnader mellan hälso- och sjukvårdsverksamhet och socialtjänst
Det kan finnas skäl att analysera skillnader och likheter mellan hälso- och sjukvård och socialtjänst samt vilken betydelse de kan ha vid utformningen av en motsvarande sekretessbrytande bestämmelse som 25 kap. 11 § offentlighets- och sekretesslagen på socialtjänstens område.
Det rör sig i båda fallen om verksamheter där enskilda kan vara i behov av vård eller insatser från många olika vårdgivare eller myndigheter eller s.k. kommunala företag som bedriver socialtjänstverksamhet samtidigt eller under olika perioder i livet. Detta innebär att det inom båda typerna av verksamhet kan finnas behov av att fortlöpande utbyta uppgifter om den enskilde mellan de olika myndigheterna, till nytta för den enskilde själv. Inom både hälso- och sjukvård och socialtjänst hanteras uppgifter om den enskilde som är av känslig karaktär och därför i behov av ett starkt skydd.
När det gäller skillnader mellan hälso- och sjukvård och socialtjänst har det i tidigare sammanhang gjorts gällande att de olika verksamheterna inom socialtjänsten skiljer sig åt i högre grad än inom hälso- och sjukvården. Den kommunala hälso- och sjukvården är mer enhetlig än den kommunala socialtjänsten. Det har framförts att det övergripande syftet med all hälso- och sjukvård är att medicinskt förebygga, utreda och behandla sjukdomar och skador41, men att socialtjänstens verksamhet, utöver att ge enskilda det stöd och den hjälp de behöver, också innefattar myndighetsutövning och verksamhet som sker utan den enskildes samtycke, exempelvis med stöd av lagstiftningen om vård av unga och av missbrukare. Datainspektionen framförde i sitt remissvar över Utredningen om rätt informa-
tion i vård och omsorgs förslag till en sekretessbrytande bestämmelse
att socialtjänst är ett mycket vitt begrepp, som innefattar allt från äldreomsorg och behandling av missbrukare till bistånd åt asylsökande och parkeringstillstånd för rörelsehindrade.42
Det förhållandet att det rör sig om vitt skilda verksamheter även inom hälso- och sjukvården togs upp som ett argument mot en sekretessbrytande bestämmelse inför införandet av nuvarande 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen. JO ställde sig
41 Jämför 2 kap. 1 § hälso- och sjukvårdslagen. 42Remissammanställning över betänkandet Rätt information på rätt plats i rätt tid
(SOU 2014:23), S2014/00112/FS s. 226.
tveksam till föreslaget att hälso- och sjukvårdssekretessen inte ska hindra att en uppgift lämnas från en myndighet inom hälso- och sjukvården till en annan sådan myndighet i samma kommun eller region, eftersom det innebär att sekretessområdet inom hälso- och sjukvården blir mycket stort. JO framförde att inom en region kommer sekretessen inte att gälla mellan t.ex. psykiatrin, folktandvården, verksamhet som rör smittsamma sjukdomar, missbrukarvården eller den somatiska vården och ifrågasatte mot bakgrund av detta lämpligheten i förslaget samt ansåg att konsekvenserna behövde belysas ytterligare.43
Utredningen vill med detta peka på att det inför införandet av 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen framfördes invändningar om att den sekretessbrytande bestämmelsen skulle innebära att sekretessområdet skulle bli mycket stort och möjliggöra utlämnade av uppgifter utan sekretessprövning mellan olika typer av verksamheter. Trots detta ansågs övervägande skäl tala för att införa en sekretessbrytande bestämmelse, under förutsättning att det samtidigt infördes andra bestämmelser till skydd för den enskildes integritet.
Det kan också ifrågasättas om de olika verksamheterna inom socialtjänsten skiljer sig mer från varandra än de olika verksamheterna inom hälso- och sjukvård. Med hälso- och sjukvård avses i 25 kap. 1 § offentlighets- och sekretesslagen inte bara den öppna och slutna sjukvård som regleras i hälso- och sjukvårdslagen. Hit hör också t.ex. tandvård och den förebyggande medicinska hälsovården, t.ex. den som bedrivs vid mödra- och barnavårdscentralerna och inom den psykiatriska barn- och ungdomsvården. Hälso- och sjukvård kan också utgöra inslag i annan förvaltning, t.ex. inom skolväsendet genom elevhälsans medicinska insatser, kriminalvården, tvångsvården av unga och missbrukare eller försvarsmakten. Bestämmelsen gäller även ”i annan medicinsk verksamhet”, dvs. verksamhet som inte primärt har vård- eller behandlingssyfte. Som exempel kan nämndas rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, abort och omskärelse. Paragrafen är vidare tillämplig också i ärenden som gäller myndighetsutövning mot enskilda, t.ex. ärenden enligt lagstiftningen om psykiatrisk tvångsvård eller smittskyddslagen (2004:168).44
43Prop. 2007/08:126 s. 161 f. 44 Eva Lenberg m.fl., Offentlighets- och sekretesslagen, kommentaren till 25 kap. 1 § offentlighets- och sekretesslagen, JUNO version 21.
Den omständigheten att även hälso- och sjukvården innefattar flera olika typer av verksamheter talar enligt utredningen för att socialtjänstens variation av verksamheter i sig inte utgör hinder mot att införa en sekretessbrytande bestämmelse motsvarande 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen inom socialtjänsten. Det avgörande är i stället enligt utredningens mening hur man kan begränsa och kontrollera de anställdas åtkomst till uppgifterna så att uppgifterna inte blir mer tillgängliga än nödvändigt för socialtjänstens verksamhet. För att förhindra en alltför stor tillgänglighet krävs enligt utredningens bedömning att det samtidigt införs regler som begränsar och kontrollerar den enskilda handläggarens tillgång till uppgifter. Utredningen återkommer till det i avsnitt 20.2.11.
Inför införandet av 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen togs som nämnts riskerna med ett stort sekretessområde upp i remissvaren som ett argument mot en sekretessbrytande bestämmelse. Detta bemöttes i propositionen med konstaterandet det inte finns någon sekretessgräns mellan hälso- och sjukvårdsverksamheter som bedrivs inom samma myndighet. En kommun eller en region kan organisera sin verksamhet så att all hälso- och sjukvård lyder under samma nämnd. I ett sådant fall gäller inte sekretess mellan de verksamheter som JO nämner. Det anfördes vidare att den sekretessbrytande bestämmelsen innebär att samma sekretessgränser ska gälla inom hälso- och sjukvården oavsett hur en kommun eller region väljer att organisera denna verksamhet. Med hänsyn till hur nämnderna var organiserade innan den fria kommunala nämndorganisationen infördes innebar förslaget från sekretessynpunkt i praktiken en återgång till den tidigare gällande ordningen.45
Vidare betonades att det faktum att det inte gäller några sekretessgränser inom en hälso- och sjukvårdsmyndighet eller mellan olika myndigheter inom en kommun eller landsting inte att det är fritt fram för hälso- och sjukvårdspersonalen att utbyta uppgifter hur som helst.46 Man pekade på de bestämmelser som då fanns till skydd för den enskilde, bl.a. rätten till självbestämmande och integritet i hälso- och sjukvårdslagen, samt att det samtidigt lades förslag på ytterligare bestämmelser till skydd för den enskildes integritet, bl.a. regler om inre sekretess.47
45Prop. 2007/08:126 s. 166. 46Prop. 2007/08:126 s. 166. 47Prop. 2007/08:126 s. 164.
Utredningen vill med detta belysa att det vid införandet av 25 kap. 11 § offentlighets- och sekretesslagen betonades att den sekretessbrytande bestämmelsen inte avsåg att ge stöd till ett omotiverat eller okontrollerat utbyte av uppgifter mellan personalen inom olika hälso- och sjukvårdsmyndigheter samt att förslaget skulle ses tillsammans med redan existerande och föreslagna bestämmelser till skydd för den enskildes integritet. Det ansågs då möjligt att, på ett område som hälso- och sjukvård som liksom socialtjänsten innefattar verksamheter av olika slag och som hanterar uppgifter om enskilda av mycket integritetskänslig karaktär, kompensera ett undantag från den starka hälso- och sjukvårdssekretessen genom olika integritetsstärkande åtgärder. Exempel på sådana åtgärder var regler som begränsar den enskilde tjänstemannens åtkomst till de uppgifter han eller hon behöver för att utföra sina arbetsuppgifter, kontroll av åtkomsten i efterhand samt andra skyddsregler.
En skillnad mellan hälso- och sjukvård och socialtjänst som har lyfts fram är sättet att dokumentera. Inom hälso- och sjukvård ska patientjournal föras för varje patient och får inte vara gemensam för flera patienter (3 kap. 1 § PDL). Inom socialtjänsten förekommer det att ett ärende gäller fler än en person, vanligtvis en familj, och att dokumentationen (personakten) då innehåller uppgifter om flera personer. Om en handläggare inom en myndighet i kommunen önskar ta del av uppgifter om en person som förekommer i ett sådant ärende hos en annan myndighet eller verksamhetsgren inom kommunen, finns det risk för att handläggaren även får del av uppgifter om de andra personerna. Avseende denna problematik har det från företrädare för socialtjänsten framförts att skillnaden i realiteten inte är så stor. Även i patientjournaler kan det förekomma uppgifter om andra personer än patienten, även integritetskänsliga sådana. I patientjournaler görs det t.ex. anteckningar om förekomsten av våld i nära relationer och missbruk. Vidare har det påtalats att problemen skulle kunna undvikas genom enhetliga riktlinjer för dokumentation inom socialtjänsten. Det har framförts att sättet att dokumentera inte ensamt utgör ett starkt skäl mot en sekretessbrytande bestämmelse motsvarande 25 kap. 11 § 1 och 2 på socialtjänstens område.
Ytterligare en skillnad mellan hälso- och sjukvård och socialtjänst som har framförts av företrädare för socialtjänsten är att uppgifter om den enskilde inom socialtjänsten i många fall kan uppfattas som mer känsliga än uppgifter om den enskilde inom hälso- och sjuk-
vården. Det har förklarats med att kontakt med socialtjänsten, t.ex. att man förekommer i ett ärende om ekonomiskt bistånd eller på grund av missbruk eller som förälder i ett ärende som gäller orosanmälan för ett barn, uppfattas som ett större socialt stigma än en kontakt med hälso- och sjukvården vanligtvis gör. Det är därför, har det framförts, många som uppfattar det som än mer riskabelt att uppgifter om den enskilde inom socialtjänsten sprids till ett större antal personer än att uppgifter om den enskilde som är relaterade till hälso- och sjukvård gör det.
En avvägning mellan behov och risker
Utredningen har i föregående avsnitt redogjort för behovet av att kunna utbyta uppgifter om enskilda mellan myndigheter och självständiga verksamhetsgrenar inom socialtjänsten i samma kommun. I förarbetena till 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen anges som motiv till bestämmelsen att undantaget från sekretessen gör det möjligt för en region att fritt välja sin organisation utan hänsyn till att sekretess i princip råder mellan myndigheterna. Som exempel anges att regeln medför ökade möjligheter till verksamhetsuppföljning inom regionen.48 I detta fall motiverades den sekretessbrytande bestämmelsen alltså i första hand med att den underlättar för verksamheten och utformningen av nämndorganisationen, och i förlängningen exempelvis verksamhetsuppföljning. Även de tidigare utredningar som har berört frågan om en sekretessbrytande bestämmelse mellan socialtjänstmyndigheter inom samma kommun har betonat betydelsen av en sekretessbrytande bestämmelse för kommunens organisation. Till exempel sägs i betänkandet
Rätt information på rätt plats i rätt tid att en sådan sekretessbrytande
bestämmelse gör det möjligt för en kommun att organisera och bedriva socialtjänstverksamhet genom olika myndigheter, exempelvis stadsdelsnämnder eller beställar- och utförarnämnder, utan att omotiverade sekretessgränser uppstår mellan myndigheterna. Därutöver motiverades förslaget med att det ger ökade möjligheter för kommunerna att organisera verksamheten och informationshanteringen med medborgaren i centrum och utifrån grundläggande värden som rättssäkerhet, god kvalitet och effektivitet. För den enskilde möjliggörs i
större utsträckning en informationshantering utifrån hans eller hennes behov av bistånd, stödinsatser, vård och behandling.49
När det gäller behovet av en sekretessbrytande bestämmelse mellan socialtjänstmyndigheter inom samma kommun kan det konstateras att de problem som beskrivs t.ex. i förarbetena till 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen och av Utredningen
om rätt information i vård och omsorg kvarstår. Huvudregeln om
sekretess mellan myndigheter och självständiga verksamhetsgrenar innebär alltjämt att det uppstår sekretessgränser mellan socialtjänstverksamheter under olika nämnder, endast till följd av hur kommunen väljer att bygga upp sin nämndorganisation. Som beskrivs ovan tycks regeln om sekretess mellan självständiga verksamhetsgrenar inom en och samma nämnd inte innebära några praktiska problem inom socialtjänstverksamheten, eftersom verksamheter under samma nämnd som tillämpar samma sekretessbestämmelse vanligtvis inte bedöms utgöra självständiga verksamhetsgrenar i förhållande till varandra. Som ovan anges så har det dock framförts att det är ett problem att begreppet självständiga verksamhetsgrenar uppfattas som oklart och att kommunerna därmed kan göra sinsemellan olika bedömningar av vad som avses med en självständig verksamhetsgren inom en nämnd. Det finns alltså skäl att förtydliga vad som gäller i fråga om självständiga verksamhetsgrenar inom samma myndighet. Det bör noteras att det framgår av 8 kap. 2 § offentlighets- och sekretesslagen att det som anges i offentlighets- och sekretesslagen om uppgiftslämnande till andra myndigheter också gäller uppgiftslämnande mellan självständiga verksamhetsgrenar inom en myndighet. Det innebär att en sekretessbrytande bestämmelse som gäller för en myndighet också ska tillämpas i förhållandet mellan olika självständiga verksamhetsgrenar inom en myndighet.
Problem med sekretessgränser mellan olika nämnder uppstår framför allt i större kommuner, där det ansetts finnas skäl att dela upp socialtjänstverksamheten under olika nämnder. I mindre kommuner är det ofta en och samma person eller ett fåtal personer inom samma verksamhet som handlägger alla frågor på socialtjänstens område, och då uppstår av naturliga skäl inte några sådana begränsande sekretessområden. Detta får till följd att det ofta är svårare för stora kommuner än för små kommuner att utbyta information över nämndgränser och därmed ge en mer ändamålsenlig omsorg till den
49SOU 2014:23 s. 604 f.
enskilde. I förlängningen kan det leda till skillnader i förutsättningarna att ge en god omsorg mellan olika kommuner och ojämlikhet mellan enskilda som beror på om man råkar bo i en stor eller en liten kommun.
Liksom Utredningen om rätt information inom vård och omsorg menar utredningen att det främsta skälet för en sekretessbrytande bestämmelse är de fördelar den innebär för den enskilde. Visserligen kan det antas att skälet till att motivera en sekretessbrytande bestämmelse med att det underlättar vid utformningen av nämndorganisationen är att det då i förlängningen innebär förbättringar för den enskilde. Vid utredningens kontakter med företrädare för socialtjänsten har det dock framförts att nyttan för den enskilde är det argument för en sekretessbrytande bestämmelse som bör sättas främst. Det har framförts att en sådan bestämmelse förbättrar möjligheterna att kunna ge samlad omsorg och stöd till individer med sammansatta behov. Det finns ett klart och tydligt behov av utbyte av uppgifter mellan olika nämnder och mellan olika verksamhetsgrenar inom många delar av socialtjänstens verksamhet. En sekretessbrytande bestämmelse skulle underlätta kommunikationen mellan olika delar av socialtjänsten inom samma kommun, vilket är till nytta för individen då dennes behov kan uppmärksammas och tillgodoses på ett bättre sätt. En bestämmelse som möjliggör utbyte av uppgifter utan en sekretessprövning ligger i linje med socialtjänstens målsättning att arbeta individbaserat och att olika delar av socialtjänsten samarbetar i team för att ge den enskilde bästa möjliga omsorg och stöd.
Liksom vid införandet av den sekretessbrytande bestämmelsen i 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen finns det skäl att här lyfta fram att det inte är fråga om något oreglerat och okontrollerat utbyte av uppgifter mellan socialtjänstmyndigheter inom samma kommun och att peka på de bestämmelser som i dag finns till skydd för den enskildes integritet inom socialtjänsten. Av 1 kap. 1 § tredje stycket socialtjänstlagen följer att verksamheten ska bygga på respekt för människornas självbestämmande och integritet. Även i de fall omsorgen eller insatserna lämnas utan den enskildes samtycke, exempelvis enligt tvångsvårdslagstiftning, ska insatserna bygga på respekt för den enskildes integritet och utformas och genomföras i samverkan med den enskilde när så är möjligt (1 § lagen
[1988:870] om vård av missbrukare i vissa fall och 1 § lagen [1990:52] med särskilda bestämmelser om vård av unga).
När det gäller risker med en sekretessbrytande bestämmelse är det av betydelse vilken sekretess som kommer att gälla för uppgiften hos den mottagande myndigheten. I detta fall kommer den starka socialtjänstsekretessen i 26 kap. 1 § offentlighets- och sekretesslagen att gälla även hos den myndighet eller självständiga verksamhetsgren som tar emot uppgifterna. Visserligen kan redan det faktum att uppgiften lämnas till en annan myndighet eller självständig verksamhetsgren innebära en risk ur integritetshänseende, då det kan antas att risken för otillbörligt röjande generellt sett är större ju fler som känner till en uppgift. Så länge sekretessregleringen upprätthålls på ett korrekt sätt av både den utlämnande och mottagande myndigheten, bör dock en sekretessbrytande bestämmelse inte medföra en större risk för att uppgifterna sprids utanför myndigheterna.
En annan fråga är risken för att anställda inom myndigheterna tar del av uppgifterna fast de inte har behov av det i sitt arbete, och att uppgifterna således sprids utanför den tillåtna kretsen. En sekretessbrytande bestämmelse enligt ovan nämnda förslag skulle innebära att uppgifter kan lämnas ut utan sekretessprövning mellan sinsemellan olika typer av verksamheter, exempelvis hemtjänstverksamhet, verksamhet med stöd av LSS, verksamhet om vård av unga och av missbrukare utan samtycke och ärenden om tillstånd till parkering för rörelsehindrade. Det finns en risk för att uppgifterna sprids till en större krets inom myndigheterna och att någon som inte har behov av uppgifterna tar del av dem, t.ex. av nyfikenhet. Det finns också en risk för att anställda på eget initiativ sprider uppgifterna till andra myndigheter utan att det är motiverat. Endast en generell sekretessbrytande bestämmelse som gäller för samtliga de verksamheter som faller under tillämpningsområdet för 26 kap. 1 § offentlighets- och sekretesslagen i samma kommun, utan kompletterande skyddsregler, skulle enligt utredningens bedömning medföra alltför stora eftergifter av skyddet för den enskildes integritet på ett område, socialtjänsten, där det förekommer uppgifter av mycket känslig karaktär.
Utredningen ser två möjliga sätt att begränsa riskerna med en sekretessbrytande bestämmelse som ska gälla för myndigheter inom socialtjänsten i en kommun. Det ena alternativet är att begränsa tillämpningsområdet för den sekretessbrytande bestämmelsen till
vissa specificerade verksamheter. Det förslaget berörs i följande avsnitt. Utredningen har begränsat förslaget till att omfatta två tydligt avskilda verksamhetsområden där det bedöms finnas ett klart behov av utbyte av uppgifter till nytta för den enskilde och det saknas inslag av myndighetsutövning eller tvång. Med en sådan begränsning av tillämpningsområdet bedömer utredningen att fördelarna med en sekretessbrytande bestämmelse är större än de nackdelar som en sekretessbrytande bestämmelse innebär. Det bör åter framhållas att stark sekretess enligt 26 kap. 1 § offentlighets- och sekretesslagen kommer att gälla för uppgifterna även hos den mottagande myndigheten samt att dataskyddsförordningens generella regler om skyddsåtgärder vid behandling av personuppgifter gäller. En sådan mer begränsad sekretessbrytande bestämmelse förutsätter dock, enligt utredningens mening, att förslaget om en lag om sammanhållen vård och omsorgsdokumentation och kvalitetsuppföljning genomförs, med den uppstramning av personuppgiftshanteringen som föreslås i avsnitt 16.14 och 16.15, eller att motsvarande bestämmelser som föreslås i dessa avsnitt införs, lämpligen i SoLPUL.
Det andra alternativet, som beskrivs närmare i avsnitt 20.2.10, är att införa en generell sekretessbrytande bestämmelse som gäller mellan samtliga myndigheter inom socialtjänsten i samma kommun. På samma sätt som när den sekretessbrytande bestämmelsen i 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen infördes på hälso- och sjukvårdsområdet, bör en sådan generell sekretessbrytande bestämmelse kombineras med en rad bestämmelser som hör samman med inre sekretess, dvs. bestämmelser som har till syfte att reglera hur uppgifter ska hanteras inom en myndighet för att motverka risker för obefogade intrång i den enskildes personliga integritet.
Utredningen föreslår enligt detta alternativ för det första att det i SoLPUL införs en bestämmelse som tydliggör lagens syfte, nämligen att personuppgifter ska utformas och i övrigt behandlas så att den registrerades integritet respekteras. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem. Personuppgifter som behandlas enligt SoLPUL hos en myndighet inom socialtjänsten ska inte få göras tillgängliga genom elektronisk åtkomst för en annan myndighet inom socialtjänsten, om den registrerade motsätter sig det. I sådana fall ska uppgiften genast spärras. Vårdnadshavare till ett barn har dock inte rätt att spärra barnets uppgifter.
Utredningen föreslår enligt detta alternativ också att den som bedriver verksamhet inom socialtjänsten ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat. Behörigheten ska anpassas och begränsas till vad som behövs för att befattningshavaren ska kunna fullgöra sina arbetsuppgifter inom socialtjänsten. Utredningen föreslår också ansvar för kontroll av elektronisk åtkomst (loggar). Den som bedriver verksamhet inom socialtjänsten ska se till att åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat dokumenteras och kan kontrollera samt göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter. Socialtjänsten ska åläggas skyldighet att på begäran av en registrerad lämna information om den elektroniska åtkomst till uppgifter om den registrerade som förekommit. Regeringen föreslås få meddela närmare föreskrifter om vilka som är personuppgiftsansvariga, begränsning av den tillåtna behandlingen av personuppgifter, sökbegrepp, direktåtkomst, samkörning av personuppgifter, tilldelning av behörighet för åtkomst till uppgifter som förs helt eller delvis automatiserat, dokumentation och kontroll av elektronisk åtkomst samt information som ska lämnas till den registrerade om den direktåtkomst och elektroniska åtkomst till uppgifter om den registrerade som förekommit.
När det gäller den inre sekretessen föreslår utredningen enligt detta alternativ vidare att det i SoLPUL slås fast att den som arbetar inom socialtjänsten får ta del av dokumenterade personuppgifter om registrerade endast om han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten.
Slutligen föreslår utredningen enligt detta alternativ att den sekretessbrytande bestämmelsen i offentlighets- och sekretesslagen görs beroende av att den enskilde inte har motsatt sig utlämnandet. Bestämmelsen bör formuleras så att socialtjänstsekretessen enligt 26 kap. 1 § offentlighets- och sekretesslagen inte hindrar att uppgift lämnas från en myndighet som bedriver socialtjänstverksamhet i en kommun till en annan sådan myndighet i samma kommun, med undantag för om den enskilde motsätter sig ett sådant utlämnande. Därigenom får den enskilde ett avgörande inflytande över om uppgifterna ska kunna spridas mellan olika socialtjänstmyndigheter inom kommunen med stöd av den sekretessbrytande bestämmelsen.
Både inför införandet av 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen och i remissförfarandet av betänkandet Rätt infor-
mation på rätt plats i rätt tid (SOU 2014:23) efterfrågades en analys
av konsekvenserna av förslaget för den enskilde.50. En sådan analys är naturligtvis svår att göra, annat än på en mycket generell nivå. Utredningen kan dock konstatera att de farhågor som lyfts inför en sekretessbrytande bestämmelse mellan olika socialtjänstmyndigheter inom samma kommun togs upp även under lagstiftningsarbetet inför införandet av 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen. Det har under utredningstiden inte framkommit att dessa farhågor har besannats inom hälso- och sjukvården, dvs. att regleringen har lett till ökat utbyte av uppgifter mellan olika typer av verksamhet inom hälso- och sjukvården som inte varit befogat och därmed medfört ett sämre skydd för den enskildes personliga integritet.
Vid avvägningen mellan myndigheternas behov av att utbyta uppgifter och det intresse som sekretessbestämmelsen i 26 kap. 1 § offentlighets- och sekretesslagen ska skydda finns skäl att se närmare på vad det egentligen är som ska skyddas. Som ovan framförts gäller bestämmelsen i 26 kap. 1 § offentlighets- och sekretesslagen till skydd för den enskilde. Uppgifter inom socialtjänsten är ofta av särskilt känslig karaktär. Det kan röra t.ex. röra sig om uppgifter om våld i nära relationer, missbruk och kriminalitet. Därmed följer också en risk för att den enskilde kan uppleva att hans eller hennes integritet kränks, om de som arbetar inom olika myndigheter inom kommunens socialtjänst kan ta del av uppgifter från andra myndigheter utan att den enskilde lämnat sitt samtycke och utan en sekretessprövning. Företrädare för socialtjänsten har dock framfört att många enskilda för det första tror och utgår från att det inte gäller sekretess mellan de olika myndigheterna eller verksamhetsgrenarna och att en uppgift som lämnas till en sådan myndighet eller verksamhetsgren också delas med övriga myndigheter eller verksamhetsgrenar inom kommunens socialtjänst. När den enskilde inser att så inte är fallet är det i många fall något som efterfrågas, eftersom det ofta underlättar för den enskilde själv. Det har framförts att det ofta kan vara till nytta för den enskilde om t.ex. en socialsekreterare i det inledande skedet vid kontakten med en person skulle kunna göra en sökning och få information om andra tidigare eller pågående ären-
50Prop. 2007/08:126 s. 161 och Remissammanställning över betänkandet Rätt information på
rätt plats i rätt tid (SOU 2014:23), S2014/00112/FS s. 226.
den, för att snabbt kunna skaffa sig en helhetsbild av den enskildes situation och behov. Det har framförts att detta bör kunna ske utan att först fråga om samtycke från den enskilde, exempelvis för att denne på grund av funktionsnedsättning inte känner till eller har förmåga att lämna sådan information. Ytterligare en aspekt som företrädare för socialtjänsten har fört fram är att den enskilde kan befinna sig i en utsatt situation, t.ex. om han eller hon har blivit utsatt för övergrepp. Att då behöva återupprepa samma information för handläggare vid olika nämnder kan i sig upplevas som integritetskränkande. Sammanfattningsvis kan alltså sägas att den enskilde oftast verkar vara mer positiv till att olika myndigheter eller verksamhetsgrenar inom socialtjänsten i en kommun kan lämna uppgifter om denne utan sekretessprövning än vad som vanligtvis framkommer. Samtidigt kan påpekas att det naturligtvis finns fall där situationen är den motsatta, dvs. där den enskilde inte har något intresse av att uppgifterna sprids mellan olika socialtjänstmyndigheter inom kommunen utan skulle ha direkt motsatt sig det om det hade funnits en sekretessbrytande bestämmelse. Utredningen anser det dock vara av betydelse att representanter för socialtjänsten har påtalat att de flesta insatser sker med den enskildes samtycke och att de flesta är positivt inställda till att uppgifter lämnas mellan myndigheter, eftersom det underlättar för den enskilde.
Sammanfattningsvis gör utredningen bedömningen att endast ett förslag på en bestämmelse som bryter sekretessen mellan socialtjänstmyndigheter inom samma kommun framstår som alltför riskabelt ur ett integritetsperspektiv. I likhet med de bedömningar som gjordes vid införandet av den sekretessbrytande bestämmelsen i 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen menar utredningen att förslaget om en sekretessbrytande bestämmelse inte bör genomföras utan att det samtidigt införs ytterligare skyddsregler som kan motverka riskerna med en sekretessbrytande bestämmelse. Utredningen föreslår en rad sådana åtgärder, som beskrivs närmare i avsnitt 20.2.11. Dessa bedöms stärka skyddet för den enskildes integritet på ett sådant sätt att det motverkar de risker som en lättnad i sekretessen innebär. Med hänsyn till att uppgifter som omfattas av socialtjänstsekretess enligt 26 kap. 1 § offentlighet- och sekretesslagen är av så känslig natur anser utredningen att dessa skyddsregler måste vara minst lika omfattande som de regler som infördes i patientdatalagen i samband med att den sekretessbrytande regeln
inom hälso- och sjukvården infördes. Utredningen har därför utgått från patientdatalagens regler vid avvägningen av vilka skyddsåtgärder som ska införas. Det bör tilläggas att dataskyddsförordningens generella regler om skyddsåtgärder vid behandling av personuppgifter naturligtvis gäller. De redan existerande och föreslagna integritetsstärkande bestämmelserna samt den omständigheten att en sekretessbrytande bestämmelse bedöms kunna vara till nytta för den enskilde, gör att utredningen bedömer att övervägande skäl talar för att det bör införas en sekretessbrytande bestämmelse som bryter sekretessen mellan en myndighet inom socialtjänsten och en annan sådan myndighet i samma kommun så länge den enskilde inte har motsatt sig det.
20.2.9. Utformningen av en begränsad sekretessbrytande bestämmelse
Utredningens förslag, alternativ A: I offentlighets- och sekre-
tesslagen införs en bestämmelse med innebörden att socialtjänstsekretessen enligt 26 kap. 1 § offentlighets- och sekretesslagen inte hindrar att uppgift lämnas från en myndighets verksamhet som avser
1. insatser enligt 4 kap. 1 § socialtjänstlagen (2001:453) som be-
skrivs i 3 kap. 6 § första stycket socialtjänstlagen och som lämnas till äldre och personer med funktionsnedsättningar,
2. insatser enligt 4 kap. 1 § socialtjänstlagen som beskrivs i 5 kap.
5 och 7 §§socialtjänstlagen,
3. insatser enligt 4 kap. 2 a § socialtjänstlagen och
4. insatser enligt lagen (1993:387) om stöd och service till vissa
funktionshindrade till en annan sådan verksamhet i samma kommun.
Det har flera gånger tidigare i denna framställning konstaterats att socialtjänsten innefattar många olika verksamhetsområden, som i vissa fall skiljer sig mycket från varandra. Som utredningen anför i föregående avsnitt skulle en generell sekretessbrytande bestämmelse som gäller för samtliga de verksamheter som faller under tillämp-
ningsområdet för 26 kap. 1 § offentlighets- och sekretesslagen i en kommun, utan kompletterande skyddsregler, medföra alltför stora eftergifter av skyddet för den enskildes integritet. Ett av de tydligaste argumenten är att tillämpningsområdet för en sådan bestämmelse skulle bli stort och omfatta verksamheter av mycket olika karaktär. Ett möjligt sätt att minska integritetsriskerna är att begränsa tillämpningsområdet till vissa klart avgränsade verksamhetsområden, helst där behoven är som störst. Utredningen har här identifierat två områden där det framstår som lämpligt att införa en sekretessbrytande bestämmelse, nämligen verksamheter som avser insatser för äldre och verksamheter som avser personer med funktionsnedsättningar.
Enligt utredningens direktiv är utredningens uppdrag avseende sammanhållen vård- och omsorgsdokumentation i fråga om socialtjänsten avgränsad till verksamheter som rör äldre personer och personer med funktionsnedsättningar. Det konstateras i direktiven att hanteringen av personuppgifter inom socialtjänsten spänner över många verksamhetsområden där känsliga personuppgifter registreras. Detta är särskilt tydligt när det gäller områden där det finns lagstiftning om tvång, t.ex. vård till vuxna personer med missbruksproblem eller verksamheter riktade till barn och unga. Sådana verksamheter är enligt utredningsdirektiven olämpliga att hantera i ett system med direktåtkomst, eftersom personen i de fall en utredning leder till en insats med tvång inte själv kan välja om informationen ska exponeras för andra delar av socialtjänsten eller hälso-och sjukvården. De två verksamheter som har valts bedöms vara så betydande räknat såväl till antal personer som får insatser som till antal aktörer som utför dem att ett utökat informationsutbyte är av stort värde för många patienter eller brukare. Vidare är det verksamheter utan tvång vilket gör att personen kan göra avvägda val om man vill vara med i en sammanhållen vård- och omsorgsdokumentation eller inte. Det kan konstateras att de argument som i utredningsdirektiven framförs för avgränsningen kan användas som utgångspunkt vid bedömning av avgränsningen av tillämpningsområdet för en sekretessbrytande bestämmelse. Verksamheter som rör insatser för äldre eller personer med funktionsnedsättningar är två verksamhetsområden där ett stort antal personer får olika typer av insatser av socialtjänsten, som utförs av ett stort antal olika aktörer. En sekretessbrytande bestämmelse på dessa områden skulle kunna leda till enklare och bättre informationsutbyte och därmed vara till nytta för
den enskilde genom bättre omsorg inom verksamheter som rör insatser för äldre eller personer med funktionsnedsättningar. Vidare kan det konstateras att det just inom verksamhet som rör insatser för äldre eller personer med funktionsnedsättningar kan finnas ett större behov av en sekretessbrytande bestämmelse, eftersom den enskilde, exempelvis på grund av demens eller kognitiv funktionsnedsättning, kan ha svårt att själv efterge sekretessen. Vidare rör det sig om verksamheter som bygger på frivillighet från den enskilde och inte innehåller inslag av tvång, vilket är relevant även i fråga om införandet av en sekretessbrytande bestämmelse. Utredningen identifierar därför myndigheters verksamheter som avser insatser för äldre eller personer med funktionsnedsättningar som lämpliga verksamhetsområden när det gäller avgränsningen av den sekretessbrytande bestämmelsen. Socialtjänstsekretessen bör alltså inte hindra att en uppgift lämnas från en myndighets verksamhet som avser insatser för äldre eller personer med funktionsnedsättningar till en annan sådan verksamhet i samma kommun.
Som utredningen konstaterar i avsnitt 16.1.2 finns ingen klar juridisk definition av begreppen äldre eller funktionsnedsättning. Det kan mot denna bakgrund konstateras att det inte är en enkel sak att definiera verksamhet som avser insatser för äldre eller personer med funktionsnedsättningar. Någon form av avgränsning måste ändå göras, för att klargöra den sekretessbrytande bestämmelsens tillämpningsområde.
Utredningen beskriver i avsnitt 16.1.2 de olika insatser för äldre som har sin grund i socialtjänstlagen och insatser för personer med funktionsnedsättningar som har sin grund i socialtjänstlagen och LSS. Utredningen anser att den typ av verksamhet med insatser för äldre eller personer med funktionsnedsättningar som där beskrivs utgör en lämplig avgränsning av tillämpningsområdet för den sekretessbrytande bestämmelsen. Tillämpningsområdet för den sekretessbrytande bestämmelsen bör därför begränsas till myndigheters verksamhet som avser insatser enligt 4 kap. 1 § socialtjänstlagen som beskrivs i 3 kap. 6 § första stycket socialtjänstlagen och som lämnas till äldre och personer med funktionsnedsättningar(hemtjänst, dagverksamhet och annan liknande social tjänst), insatser enligt 4 kap. 1 § socialtjänstlagen som beskrivs i 5 kap.5 och 7 §§socialtjänstlagen(särskilda boendeformer och stöd och hjälp i boendet), samt insatser enligt 4 kap. 2 a § socialtjänstlagen (hemtjänst) och insatser enligt LSS. På
så vis avgränsas tillämpningsområdet för den sekretessbrytande bestämmelsen till verksamheter som avser just äldre och personer med funktionsnedsättningar.
På samma sätt som anges i avsnitt 16.1.2 kan äldre och personer med funktionsnedsättningar ha andra individinriktade insatser inom socialtjänsten än de insatser som de får på grund av behov som uppstått till följd av hög ålder eller funktionsnedsättning Det kan exempelvis röra sig om uppgifter som är relaterade till andra insatser på grund av t.ex. missbruk eller behov av försörjningsstöd. Enbart de insatser som räknas upp i den föreslagna bestämmelsen (och som motsvarar definitionen av insatser för äldre eller personer med funk-
tionsnedsättningar enligt de föreslagna bestämmelserna om samman-
hållen vård- och omsorgsdokumentation) ska omfattas av sekretessgenombrottet. Det innebär att exempelvis uppgifter om insatser som lämnas på grund av att omsorgsmottagaren51 eller närstående till omsorgsmottagaren har ett missbruk, att omsorgsmottagaren är utsatt för våld i nära relation, är skuldsatt, har behov av försörjningsstöd eller förekommer i en utredning på kommunens familjerättsenhet på grund en vårdnadstvist, inte omfattas av den sekretessbrytande bestämmelsen. Inte heller uppgifter avseende insatser som bygger på tvångslagstiftning omfattas. Däremot kan alla uppgifter om insatser i form av hemtjänst, dagverksamhet eller annan liknande social tjänst för att underlätta för den enskilde att bo hemma och att ha kontakt med andra enligt 3 kap. 6 § första stycket socialtjänstlagen, som lämnas till äldre eller personer med funktionsnedsättningar, omfattas (jfr utredningens skrivningar om socialtjänst som inte omfattas av sammanhållen vård- och omsorgsdokumentation i avsnitt 16.1.4).
Den sekretessbrytande bestämmelsen bör bara gälla utlämnande av uppgifter till andra myndighetsverksamheter som avser insatser för äldre eller personer med funktionsnedsättningar i samma kommun. På så vis kan uppgiftslämnande ske utan hinder av socialtjänstsekretessen inom hela verksamheten med insatser för äldre eller personer med funktionsnedsättningar i kommunen, oberoende av nämndorganisationen.
51 Med omsorgsmottagare avses person som fått eller får insatser för äldre eller personer med funktionsnedsättningar eller som fått eller får behovet av sådana insatser bedömda, se avsnitt 16.1.6.
20.2.10. Utformningen av en generell sekretessbrytande bestämmelse
Utredningens förslag, alternativ B: I offentlighets- och sekre-
tesslagen införs en bestämmelse med innebörden att socialtjänstsekretessen enligt 26 kap. 1 § offentlighets- och sekretesslagen inte hindrar att uppgift lämnas från en myndighet i en kommun till en annan sådan myndighet i samma kommun. Detta gäller dock inte om den enskilde motsätter sig ett sådant utlämnande.
Som anges ovan ser utredningen två alternativa möjligheter att motverka de integritetsrisker som en sekretessbrytande bestämmelse mellan olika myndigheter inom socialtjänsten i samma kommun kan innebära. Utredningen föreslår i föregående avsnitt en sekretessbrytande bestämmelse som är begränsad till vissa avgränsade verksamhetsområden inom kommunen. Det andra alternativet, som beskrivs i detta avsnitt, är en sekretessbrytande bestämmelse som gäller för samtliga myndigheter inom socialtjänsten i samma kommun, men som kombineras med en möjlighet för den enskilde att motsätta sig utlämnande samt vissa skyddsbestämmelser i SoLPUL (se avsnitt 20.2.11). Utredningen föreslår alltså som ett andra alternativ att det i offentlighets- och sekretesslagen införs en bestämmelse med innebörden att socialtjänstsekretessen enligt 26 kap. 1 § offentlighets- och sekretesslagen inte hindrar att uppgift lämnas från en myndighet i en kommun till en annan sådan myndighet i samma kommun. Med hänsyn till bestämmelsen i 8 kap. 2 § offentlighets- och sekretesslagen kommer den sekretessbrytande bestämmelsen gälla även i de fall det föreligger sekretess mellan två självständiga verksamhetsgrenar inom t.ex. en kommunal nämnd.
Med myndighet avses i bestämmelsen även kommunala företag enligt 2 kap. 3 § offentlighets och sekretesslagen, dvs. bolag, föreningar och stiftelser där kommunen utövar ett rättsligt bestämmande inflytande.
Det framgår av bestämmelsens ordalydelse att det endast är socialtjänstsekretessen enligt 26 kap. 1 § offentlighets- och sekretesslagen som bryts. Det kan dock finnas skäl att här tydliggöra att undantaget från sekretessen inte gäller inom kommunal familjerådgivning enligt 26 kap. 3 § offentlighets- och sekretesslagen.
Bestämmelsen bör införas i 26 kap. offentlighets- och sekretesslagen, under rubriken ”Sekretessbrytande bestämmelser”.
Undantag om den enskilde motsätter sig ett utlämnande
Utredningen om rätt information i vård och omsorg föreslog i betän-
kandet Rätt information på rätt plats i rätt tid, som redovisas i avsnitt 20.2.5, att en sekretessbrytande bestämmelse skulle införas i offentlighets- och sekretesslagen, med innebörden att socialtjänstsekretess inte hindrar att uppgift lämnas från en myndighet inom socialtjänsten i en kommun till en annan sådan myndighet i samma kommun. Förslaget undanröjde enligt utredningen i praktiken sekretesshinder mellan olika myndigheter på socialtjänstens område i samma kommun. Samtidigt betonade utredningen att enskildas inställning fortfarande skulle tillmätas betydelse. Det följde bl.a. av den grundläggande bestämmelsen i 1 kap. 1 § socialtjänstlagen om att verksamheten ska bygga på respekt för människornas självbestämmande och integritet och motsvarande bestämmelse i 6 § LSS. I linje med detta skulle en enskilds uttryckliga önskemål om att uppgifter om honom eller henne inte fritt ska lämnas från en myndighet till en annan inom kommunen normalt sett, enligt utredningen, respekteras även om den föreslagna sekretessbrytande bestämmelsen införs. Vidare skulle förslaget enligt utredningen läsas i ljuset av utredningens förslag om tydligare reglering av inre sekretess, med bl.a. krav på behörighetsstyrning, åtkomstkontroll m.m.52
Datainspektionen angav i sitt remissyttrande att förslaget om en sekretessbrytande bestämmelse enligt ovan och utredningens förslag om möjligheten för en myndighet eller ett kommunalt företag inom en kommun att ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet eller företag i samma kommun tillsammans innebar ett betydligt friare utbyte av personuppgifter. Datainspektionen anförde vidare bl.a. att de bestämmelser om inre sekretess som utredningen hänvisade till endast förtydligade det som redan gällde enligt den då gällande personuppgiftslagen och därför inte innebar någon reell förstärkning av integritetsskyddet. Datainspektionen hänvisade till att det i betänkandet anges att bestämmelsen i 1 kap. 1 § socialtjänstlagen innebär att en enskilds uttryck-
52SOU 2014:23 s. 604 ff.
liga önskemål om att uppgifter om honom eller henne inte fritt ska lämnas från en myndighet till en annan inom kommunen normalt sett ska respekteras. Eftersom denna rätt för den enskilde att påverka ett utlämnande inte kom till uttryck i den föreslagna socialtjänstdatalagen genom en uttrycklig lagbestämmelse, ställde sig Datainspektionen frågande till om den i praktiken skulle komma att ha någon reell effekt på den enskildes möjligheter att påverka ett utlämnande.53 Även Socialstyrelsen lyfte utredningens uttalande om att den enskildes uttryckliga önskemål om att uppgifter om honom eller henne inte ska spridas normalt sett ska respekteras med hänvisning till 1 kap. 1 § socialtjänstlagen och 6 § LSS, och bedömde att det behövdes mer vägledning om hur detta skulle tillämpas.54
Utredningen föreslår att en sekretessbrytande bestämmelse som ska gälla samtliga myndigheter inom socialtjänsten i samma kommun kompletteras med ytterligare regler om inre sekretess, tilldelning av behörighet, kontroll av elektronisk åtkomst m.m. (se avsnitt 20.2.11). Som påpekas av Datainspektionen bygger dock skyddet i sådana fall på att den enskilde handläggaren gör en korrekt bedömning av vilka uppgifter som han eller hon är behörig att ta del av och att den personuppgiftsansvariga myndigheten uppfyller skyldigheter i fråga om säkerhet vid behandling av personuppgifter. Utredningen instämmer i att rätten för den enskilde att påverka ett utlämnande bör slås fast i en uttrycklig lagbestämmelse som innebär att den sekretessbrytande bestämmelsen inte gäller om den enskilde motsätter sig utlämnandet. Detta krävs för att ett tillräckligt starkt integritetsskydd ska uppnås. Bestämmelserna i socialtjänstlagen och LSS fråntar nämligen inte en socialtjänstmyndighet skyldigheten att enligt 6 kap. 5 § offentlighets- och sekretesslagen på begäran av en annan myndighet lämna ut uppgifter som inte är sekretessbelagda. Därför föreslås att den sekretessbrytande bestämmelsen inte ska gälla om den enskilde motsätter sig ett utlämnande. I sådana fall gäller normalt sekretess och utlämnandet får då inte ske.
Motsättandet kan avse utlämnande till alla andra socialtjänstmyndigheter i kommunen eller bara till vissa sådana myndigheter. Motsättandet kan vidare avse alla uppgifter eller begränsas till viss eller vissa typer av uppgifter.
53Remissammanställning över betänkandet Rätt information på rätt plats i rätt tid (SOU 2014:23) S2014/00112/FS s. 226 f. 54Remissammanställning över betänkandet Rätt information på rätt plats i rätt tid (SOU 2014:23) S2014/00112/FS s. 227.
Den föreslagna bestämmelsen innebär inte att den utlämnande myndigheten inför ett utlämnande måste inhämta ett uttryckligt samtycke från den enskilde. Att den enskilde har möjlighet att häva sekretess som gäller till skydd för honom eller henne (dvs. lämna samtycke till att uppgifterna lämnas ut) framgår redan av 10 kap. 1 § och 12 kap. 2 §offentlighets- och sekretesslagen. Bestämmelsen innebär i stället att den enskilde har rätt att motsätta sig ett utlämnande, och att det i så fall ska respekteras av myndigheten.
För att bestämmelsen ska få någon reell betydelse krävs det att den enskilde, vid den första kontakten med myndigheten, får information om den sekretessbrytande bestämmelsen och att den enskilde har rätt att motsätta sig ett utlämnande med stöd av bestämmelsen. Om den enskilde inte får klar och begriplig information om denna rätt, innebär bestämmelsen inte i realiteten någon möjlighet för den enskilde att påverka ett utlämnande.
Den föreslagna regeln bygger alltså på att den enskilde får information om möjligheten att motsätta sig ett utlämnande med stöd av den sekretessbrytande bestämmelsen. Därför föreslås i avsnitt 20.2.11 att den enskilde ska informeras om rätten att motsätta sig ett utlämnande.
Vid utredningens kontakter med företrädare för socialtjänsten har det framkommit att det är just i de fall, när den enskilde inte kan lämna ett giltigt samtycke, som det finns behov av en sekretessbrytande bestämmelse som gäller för myndigheter inom socialtjänsten inom samma kommun. Det är i de fall, där den enskilde inte har möjlighet att själv lämna den information som finns hos andra myndigheter som det kan vara till särskild nytta för den enskilde att socialtjänstsekretessen kan brytas utan den enskildes samtycke. Utredningen anser att det räcker att de som kan motsätta sig ett utlämnande får göra det och att dessa informeras om den rätten enligt vad som föreslås i avsnitt 20.2.11.
Enligt 6 kap. 5 § offentlighets- och sekretesslagen ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Det bör noteras att i de fall den enskilde väljer att med stöd av här aktuell bestämmelse motsätta sig ett utlämnande av en uppgift är uppgiften normalt föremål för socialtjänstsekretess. En myndighet är såldes i sådana fall inte skyldig att
lämna ut uppgiften till den myndighet som begär det med stöd av 6 kap. 5 § offentlighets- och sekretesslagen.
20.2.11. Ändringar i SoLPUL till följd av en generell sekretessbrytande bestämmelse
Inledning
Som beskrivs i avsnitt 20.2.10 anser utredningen att en generell sekretessbrytande bestämmelse som gäller för samtliga myndigheter inom socialtjänsten i samma kommun behöver kombineras med en möjlighet för den enskilde att motsätta sig utlämnande samt att det införs vissa skyddsbestämmelser i SoLPUL. I detta avsnitt redogörs för de nödvändiga skyddsbestämmelserna.
Utformning och hantering av personuppgifter regleras i SoLPUL
Utredningens förslag: I SoLPUL anges att vid all behandling av
personuppgifter inom socialtjänsten ska personuppgifter utformas och i övrigt behandlas så att den registrerades integritet respekteras.
I SoLPUL anges även att alla dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem.
Genom patientdatalagen infördes en bestämmelse om att personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras (1 kap. 2 § andra stycket PDL). Någon motsvarande bestämmelse finns inte i SoLPUL. Inom socialtjänsten finns dock bestämmelser som anger att dokumentation ska utformas med respekt för den enskildes integritet (se 11 kap. 6 § socialtjänstlagen och 21 b § LSS). Utredningen anser att denna reglering inte i tillräcklig utsträckning skyddar den registrerades personuppgifter. Dessutom reglerar SoLPUL behandling av personuppgifter i flera verksamheter än de som omfattas av socialtjänstlagen och LSS, se 2 § SoLPUL. Utredningen anser därför att en reglering som motsvarar den som finns i patientdatalagen bör införas
i tillämplig registerförfattning, dvs. SoLPUL. På så sätt klargörs att kravet på att den registrerades integritet ska respekteras gäller samtliga registrerade och att hänsyn också ska tas till andra personer, exempelvis anhöriga till den enskilde som dokumentationen rör. Det tydliggörs också att bestämmelsen avser all utformning och övrig behandling av personuppgifter inom all verksamhet som regleras av SoLPUL. SoLPUL är dock endast tillämpligt på behandling av personuppgifter inom socialtjänsten, om behandlingen är helt eller delvis automati-serad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt ett eller flera särskilda kriterier (1 § SoLPUL). För att bestämmelsen även ska gälla manuell hantering av personuppgifter utanför register behöver det anges i SoLPUL att denna bestämmelse ska tillämpas vid all behandling av personuppgifter inom socialtjänsten.
Genom patientdatalagen infördes också ett krav på att dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem (1 kap. 2 § tredje stycket PDL). Någon motsvarande bestämmelse finns inte i SoLPUL. Inom socialtjänsten finns dock bestämmelser som anger att handlingar som rör enskildas personliga förhållanden ska förvaras så att obehöriga inte får tillgång till dem (11 kap. 5 § andra stycket SoL och 21 a § andra stycket LSS). Utredningen anser att denna reglering inte i tillräcklig utsträckning skyddar den registrerades personuppgifter. Som angetts ovan reglerar SoLPUL även behandlingen av personuppgifter i flera verksamheter än de som omfattas av socialtjänstlagen och LSS, se 2 § SoLPUL. Utredningen anser därför att en reglering som motsvarar den som finns i patientdatalagen bör införas i SoLPUL. På så sätt klargörs att samtliga registrerade personuppgifter, inte bara de som finns i handlingar, ska hanteras så att obehöriga inte får tillgång till dem. Det klargörs också att detta omfattar alla dokumenterade personuppgifter, dvs. all slags information som direkt eller indirekt kan hänföras till en fysisk person, och inte bara de personuppgifter som rör personliga förhållanden. Motsvarande bestämmelse i patientdatalagen är införd under rubriken Lagens syfte. För att det ska vara tydligt att syftet med bestämmelsen i SoLPUL är detsamma som med bestämmelsen i patientdatalagen bör en ny rubrik med denna lydelse införas i SoLPUL och den nya bestämmelsen införas under denna rubrik.
Även denna bestämmelse bör gälla även manuell hantering av personuppgifter utanför register och detta behöver därför anges i SoLPUL. Det bör därför i ett nytt tredje stycke i 3 § SoLPUL anges att bestämmelsen ska tillämpas vid all behandling av personuppgifter inom socialtjänsten.
Inre sekretess för både manuellt och elektroniskt hanterade uppgifter
Utredningens förslag: I SoLPUL införs det bestämmelser som
tydliggör när den som arbetar hos någon som bedriver verksamhet inom socialtjänsten får ta del av dokumenterade uppgifter om enskilda. Det är tillåtet endast när han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten.
Genom patientdatalagen infördes regler om inre sekretess för både manuellt och elektroniskt hanterade uppgifter. Det anges i patientdatalagen att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården (4 kap. 1 § PDL). Utredningen anser att en sådan bestämmelse är väsentlig för det inre sekretessskyddet. I nuvarande lagstiftning om behandling av personuppgifter inom socialtjänsten saknas dock bestämmelser som uttryckligen reglerar när den som arbetar inom socialtjänsten får ta del av uppgifter om enskilda som finns inom den egna verksamheten.
Det finns ett antal bestämmelser i socialtjänstlagstiftningen som har direkt eller indirekt betydelse när det gäller hanteringen av dokumentation inom socialtjänsten. Av grundläggande betydelse är 1 kap. 1 § socialtjänstlagen och 6 § LSS som bl.a. slår fast att verksamheten ska bygga på respekt för människornas självbestämmanderätt och integritet. Enligt 11 kap. 5 § socialtjänstlagen och 21 a § LSS ska handlingar som rör enskildas personliga förhållanden förvaras så att obehöriga inte får tillgång till dem.55 Handlingar får enligt bestämmelserna inte vara fritt tillgängliga inom den egna verksamheten. Något förenklat kan bestämmelserna sägas innebära att den
55 Av 7 kap. 3 § socialtjänstlagen och 23 c § LSS framgår att dessa bestämmelser även är tillämpliga på enskild verksamhet
som inte har behov av handlingarna för att kunna utföra sitt arbete inte heller ska ha tillgång till dem. De är att betrakta som obehöriga i bestämmelsens mening. Dessa regler slår därmed fast en inre sekretess som kompletterar det integritetsskydd som följer av bestämmelser om sekretess i offentlighets- och sekretesslagen och om tystnadsplikt i socialtjänstlagen och LSS. I nuvarande lagstiftning om behandling av personuppgifter inom socialtjänsten saknas dock bestämmelser som riktar sig till den som arbetar inom socialtjänsten som uttryckligen reglerar när denne får ta del av uppgifter om enskilda som finns inom den egna verksamheten. Sådana bestämmelser är enligt utredningens mening nödvändiga för att motverka sådana otillbörliga integritetsintrång som en otillåten åtkomst till uppgifter ger upphov till. Det är också viktigt, med tanke på de straffbestämmelser som finns om s.k. dataintrång, att det är tydligt vad som är lagligt och vad som inte är det i fråga om åtkomst till personuppgifter. Utredningen föreslår därför att det införs en grundläggande bestämmelse om inre sekretess i SoLPUL som gäller oavsett om uppgifter hanteras manuellt eller elektroniskt. Bestämmelsen bör ange att den som arbetar hos någon som bedriver verksamhet inom socialtjänsten får ta del av dokumenterade uppgifter om en enskild endast om han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten.
Motsvarande bestämmelse i patientdatalagen är införd under rubriken Inre sekretess. För att det ska vara tydligt att syftet med bestämmelsen i SoLPUL är detsamma som med bestämmelsen i patientdatalagen bör en ny rubrik med denna lydelse införas i SoLPUL och den nya bestämmelsen införas under denna rubrik.
För att bestämmelsen även ska gälla manuell hantering av personuppgifter utanför register behöver det anges i SoLPUL att bestämmelsen ska tillämpas vid all behandling av personuppgifter inom socialtjänsten. Det bör därför i ett nytt tredje stycke i 3 § SoLPUL anges att bestämmelsen om inre sekretess ska tillämpas vid all behandling av personuppgifter inom socialtjänsten.
Den enskildes inflytande över elektroniskt tillgängliggörande
Utredningens förslag: Den registrerade ges rätt att begränsa
elektronisk åtkomst till personuppgifter som dokumenterats för att ge den enskilde stöd och omsorg hos en omsorgsenhet eller inom en omsorgsprocess så att de inte får göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan omsorgsenhet eller inom en annan omsorgsprocess inom socialtjänsten. Detta gäller dock inte om annat framgår av lag eller förordning. Vårdnadshavare ska inte ha rätt att på detta sätt spärra sina barns uppgifter. I takt med barnets stigande ålder och mognad får dock barnet självt spärra uppgifterna.
En spärr får hävas av en behörig befattningshavare inom socialtjänsten om den registrerade samtycker till det.
Den som är personuppgiftsansvarig ska lämna information till den registrerade om rätten att begära att uppgifter spärras och rätten enligt den föreslagna sekretessbrytande bestämmelsen att motsätta sig utlämnande av uppgifter.
Genom patientdatalagen infördes en möjlighet för patienten att begränsa elektronisk åtkomst till patientens personuppgifter som dokumenterats för vårdsyfte hos en vårdenhet eller inom en vårdprocess så att de inte får göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare (4 kap. 4 § PDL). Om patienten motsätter sig sådan elektronisk åtkomst, ska uppgiften genast spärras. Införandet av denna spärrmöjlighet i patientdatalagen motiverades av regeringen med att det inte kan uteslutas att patienter håller inne med känslig men viktig information av rädsla för att informationen sprids. Det kan heller inte uteslutas att enskilda yrkesutövare av hänsyn till patienten börjar föra anteckningar vid sidan av journalen, om det inte finns möjligheter att spärra uppgifterna för läsbarhet utanför en snävare krets av hälso- och sjukvårdspersonalen. Sådan parallell ”sidojournalföring” bör inte förekomma, eftersom det i förlängningen får negativa återverkningar på patientsäkerheten.56
Som framgår av avsnitt 20.2.8 anser utredningen att för att en sekretessbrytande regel som den föreslagna ska kunna införas krävs
att det som integritetsstärkande åtgärd inom socialtjänsten bör införas motsvarande bestämmelser i SoLPUL. Utredningen anser att samma skäl som redogörs för ovan gör sig gällande när det gäller elektronisk åtkomst till personuppgifter inom socialtjänsten. När bestämmelsen i patientdatalagen infördes ansåg regeringen att möjligheten att begära sådana spärrar var i linje med de grundläggande principerna som slogs fast i dåvarande 2 a § hälso- och sjukvårdslagen (1982:763)57 om att verksamheten ska bygga på respekt för patientens självbestämmande och integritet och så långt som möjligt utföras och genomföras i samråd med patienten.58 I socialtjänstlagen finns en bestämmelse med motsvarande innebörd, nämligen 1 kap. 1 § socialtjänstlagen, och 6 § LSS anger att socialtjänstens verksamheten ska bygga på respekt för människornas självbestämmanderätt och integritet. Att införa en motsvarande möjlighet att begränsa elektronisk åtkomst i SoLPUL får därför enligt utredningens mening på samma sätt vara i linje med de grundläggande principerna som slås fast i relevant lagstiftning.
Bestämmelsen bör ge den registrerade möjlighet att begränsa elektronisk åtkomst för syftet att lämna den enskilde stöd och omsorg. Med att lämna den enskilde stöd och omsorg avses att handlägga ärenden som rör enskilda och genomföra beslut om bistånd, stödinsatser, vård och behandling. Spärren gäller alltså endast för den som behöver uppgiften för stöd och omsorg. Det följer av att det i lagtexten talas om åtkomst för en person som arbetar i en annan omsorgsenhet eller inom en annan omsorgsprocess. Bestämmelsen ger därmed inte rätt att spärra åtkomst för andra syften, tex. uppföljning och kvalitetssäkring av den egna verksamheten. Denna inre spärr handlar därför inte om huruvida uppgifter om en enskild alls bör få utbytas mellan olika enheter eller olika verksamheter m.m. hos en och samma myndighet utan reglerar bara sättet för utbytet, elektronisk åtkomst. Några nya interna sekretessgränser föreslås inte och inte heller ges den registrerade genom förslaget en rätt att hindra socialtjänsten från att använda uppgifter om honom eller henne vid t.ex. uppföljning och kvalitetssäkring av den egna verksamheten.
I 4 kap. 4 § patientdatalagen används begreppen vårdenhet och
vårdprocess. Dessa begrepp är inte definierade i patientdatalagen.
I Socialstyrelsens termbank definieras emellertid vårdenhet som
57 Motsvaras av dagens 5 kap. 1 § hälso- och sjukvårdslagen (2017:30). 58Prop. 2007/08:126 s. 151.
”organisatorisk enhet som tillhandahåller hälso- och sjukvård”. När begreppet vårdprocess tillskapades angavs i förarbetena att begreppet i termbanken definierades som ”följd av aktiviteter eller åtgärder som utförs för en patient, avseende ett visst hälsoproblem, mellan inkommen vårdbegäran och avslag av vårdbegäran eller avslut av vårdåtagande”.59 Termbankens definitionen av vårdprocess har emellertid ändrats sedan patientdatalagens tillkomst. Vårdprocess definieras i dag i termbanken som ”process avseende hälso- och sjukvård som hanterar ett eller flera relaterade hälsoproblem eller hälsotillstånd i syfte att främja ett avsett resultat”.60 Som anmärkning i termbanken anges att en vårdprocess syftar till att möta det behov patienter har i kontakten med hälso- och sjukvården. Diabetes, depression och ryggsmärtor ges som exempel på hälsoproblem. Vidare anges att en vårdprocess kan omfatta ett eller flera relaterade hälsoproblem, som t.ex. diabetes och bensår. Hälsotillstånd kan även initiera en vårdprocess som t.ex. screeningverksamhet, mödravård och annan förebyggande hälso- och sjukvård som t.ex. vaccinationsprogram inom barnhälsovården. Det anges också att vårdgivaren ansvarar för att beskriva sina processer som en del av verksamhetens kvalitetsarbete.
I författningskommentaren till 4 kap. 4 § patientdatalagen anges att avgränsningen av en vårdprocess är funktionell och inte organisatorisk såsom beträffande vårdenhet. En vårdprocess kan inbegripa avgränsbara aktiviteter eller åtgärder hos olika vårdenheter som har ett funktionellt samband. Ofta utgör de privata vårdgivarna en enda enhet, med undantag för de som bedriver verksamhet på många mottagningar spridda över landet där mottagningarna bör kunna ses som olika enheter. Inom den allmänna hälso- och sjukvården är det naturligt att se varje vårdcentral som en enhet medan ett sjukhus däremot normalt inte är en enda enhet. Hur gränserna närmare ska dras inom en vårdgivares verksamhet bestäms, enligt regeringen, ytterst av varje vårdgivare själv med utgångspunkt i vad som föreskrivs 4 kap. 4 §. Det ska göras på ett praktiskt och rimligt sätt för vårdgivaren så att verksamheten inte tyngs med onödig administration.61
Utredningen anser, som ovan nämnts, att det bör införas en bestämmelse i SoLPUL som motsvarar 4 kap. 4 § patientdatalagen. Det ligger därför nära till hands att i den nya bestämmelsen i SoLPUL
59Prop. 2007/08:126 s 241. 60 Definitionen återfinns även i 2 kap. 1 § HSLF-FS 2016:40 Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården. 61Prop. 2007/08:126 s 241.
utgå från den terminologi som finns i patientdatalagen. Utredningen föreslår därför att de nya begreppen omsorgsenhet och omsorgsprocess tillskapas och används i bestämmelsen samt att de får en betydelse som motsvarar den betydelse som begreppen vårdenhet och vårdprocess har i patientdatalagen och i Socialstyrelsens termbank och föreskrifter.
Det är enligt utredningens uppfattning den personuppgiftsansvariga myndigheten som på förhand har att definiera vilka omsorgsenheter alternativt omsorgsprocesser som finns inom myndighetens individinriktade socialtjänstverksamhet och därmed vilka spärrar som kan tillhandahållas. Det krävs därmed inte att myndigheten ska kunna tillmötesgå varje enskilds individuella önskemål. Förslaget om den enskildes rätt att spärra information innebär alltså ingen inskränkning av myndighetens skyldigheter att utifrån bl.a. behovs- och riskanalyser begränsa den elektroniska tillgängligheten till elektroniska personuppgifter inom sin verksamhet. Den enskildes rätt till inre spärrar utgör bara ett komplement till myndighetens ansvar. Denna ordning överensstämmer med vad som gäller för patienters möjlighet att begränsa elektronisk åtkomst enligt patientdatalagen.62
Barns uppgifter får inte spärras av vårdnadshavaren
Inom hälso- och sjukvården gäller att vårdnadshavare till ett barn inte har rätt att spärra barnets uppgifter (4 kap. 4 § andra stycket PDL). Avsikten med bestämmelsen är att öka vårdpersonalens möjligheter att upptäcka barn som far illa och att bedöma om anmälan enligt 14 kap. 1 § socialtjänstlagen ska göras till socialnämnden för att barnet ska få erforderligt skydd. Detta skäl ansåg regeringen vid införandet av undantaget väga över den integritetskränkning som kan uppstå till följd av att vårdnadshavare inte kan spärra sitt barns uppgifter.63 Utredningen anser att motsvarande skäl gör sig gällande beträffande den inre spärren inom socialtjänsten och föreslår därför att ett motsvarande undantag ska införas i SoLPUL. Utredningen anser också, i likhet med vad regeringen anförde i förarbetena till patientdatalagen64, att barnet i takt med stigande ålder och utveckling självt får spärra uppgifterna. När det gäller bedömning av mog-
62Prop. 2007/08:126 s. 151 f. 63Prop. 2007/08:126 s. 242. 64Prop. 2007/08:126 s. 242.
nadsgrad bör i takt med den underåriges stigande ålder och mognad allt större hänsyn tas till barnets önskemål och vilja, jfr. 6 kap. 11 § föräldrabalken.
Hävning av spärr
Med den registrerades samtycke bör dessa s.k. inre spärrar få hävas av en behörig befattningshavare vid en annan omsorgsenhet eller omsorgsprocess som den enskilde har kontakt med. Den enskilde bör också kunna vända sig till den personuppgiftsansvariga myndigheten och begära en mer varaktig hävning. Denna möjlighet finns i dag inom hälso- och sjukvården och utredningen anser att motsvarande bestämmelser bör införas även inom socialtjänsten. Inom hälso- och sjukvården finns det även möjlighet för behörig befattningshavare att häva spärren om patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver (4 kap. 5 § 2 PDL). Spärren ska då, enligt förarbetena, kunna hävas av en annan vårdenhet alternativt annan vårdprocess, t.ex. akutmottagningen, om informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver och ett samtycke inte kan inhämtas, t.ex. därför att patienten är medvetslös, eller liknande och situationens allvar motiverar att spärren hävs.65 Utredningen har inte kunnat finna att nödsituationer med ett så akut behov av elektronisk åtkomst till information att den registrerades hävande av en spärr inte kan inväntas, förekommer inom socialtjänstens verksamhet i så stor utsträckning att det motiverar att en spärr av så integritetskänsliga uppgifter som behandlas inom socialtjänsten ska kunna hävas utan den registrerades samtycke.66 Utredningen anser därför att spärren endast ska kunna hävas om den registrerade samtycker till det.
65Prop. 2007/08:126 s. 152. 66 Se utredningens överväganden avsnitt 16.5.3 angående hävande av spärr inom sammanhållen vård och omsorgsdokumentation.
Uppgift om att det finns spärrade uppgifter
Inom hälso- och sjukvården får uppgift om att det finns spärrade uppgifter vara tillgänglig för andra vårdenheter eller vårdprocesser (4 kap. 4 § tredje stycket PDL.). Denna möjlighet bör enligt utredningens mening inte införas inom socialtjänsten. En möjlighet att se sådana spärrar är en bestämmelse som försvagar skyddet för den enskildes integritet. Den som har motsatt sig att uppgiften att man varit i kontakt med en viss omsorgsenhet eller varit aktuell i en viss omsorgsprocess får antas anse att detta är en mycket känslig personuppgift. Utredningen har kommit fram till att för att kunna införa den aktuella bestämmelsen som bryter sekretessen mellan socialtjänstmyndigheter inom samma kommun behöver det samtidigt införas ytterligare skyddsregler som kan motverka riskerna med en sekretessbrytande bestämmelse. Utredningen har härvid utgått från att dessa skyddsregler måste vara minst lika omfattande som de regler som infördes i patientdatalagen i samband med att den sekretessbrytande regeln inom hälso- och sjukvården infördes. De uppgifter som behandlas inom socialtjänsten är i många avseenden mer integritetskänsliga än de som behandlas inom hälso- och sjukvården och verksamheterna inom socialtjänsten är mer olikartade än verksamheterna inom hälso- och sjukvården (se avsnitt 20.2.8). Därför finns enligt utredningen inte anledning att ta med en bestämmelse som minskar skyddet för integriteten, vilket en bestämmelse om möjlighet att få uppgift om att det finns spärrade uppgifter hos en viss omsorgsenhet skulle göra.
Information till den registrerade
I patientdatalagen anges att den personuppgiftsansvarige ska lämna information till den registrerade om rätten att i vissa fall begära att uppgifter spärras (8 kap. 6 § 3 PDL). Utredningen anser att en motsvarande informationsskyldighet bör införas i SoLPUL, eftersom den registrerade behöver få denna information för att kunna ta till vara sina rättigheter i samband med behandlingen av personuppgifter. Informationsskyldigheten är även viktig för att skapa en nödvändig grund för allmänhetens förtroende för behandlingen.
Den registrerade bör vidare informeras om rätten enligt den föreslagna sekretessbrytande bestämmelsen att motsätta sig utlämnande av uppgifter. Annars skulle den rätten bli illusorisk.
Skyldigheten att informera gäller bara i förhållande till de registrerade som förmår att tillgodogöra sig information. Den som inte alls kan ta till sig information, t.ex. på grund av sjukdom eller skador, behöver därför inte informeras förrän denne eventuellt senare kan tillgodogöra sig information. Att någon inte förstår svenska eller har svårt att tillgodogöra sig information innebär inte att information kan underlåtas. Informationen måste då i stället anpassas till den registrerade så att denne kan tillgodogöra sig den.
Det föreslås ingen skyldighet att informera den registrerade om vilka nackdelar och risker det kan medföra för den registrerade att spärra åtkomst på detta sätt. Detta innebär dock inget hinder mot att så sker, tvärtom är det bra att den registrerade får sådan information så att den registrerade kan göra ett medvetet och upplyst val.
En ny rubrik för bestämmelsen
Motsvarande bestämmelse i patientdatalagen är införd under rubriken Patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte. För att det ska vara tydligt att syftet med bestämmelsen i SoLPUL är detsamma som med bestämmelsen i patientdatalagen bör en ny rubrik med liknande lydelse införas i SoLPUL och den nya bestämmelsen införas under denna rubrik. Eftersom den enskilde i SoLPUL benämns som den registrerade, bör rubriken lyda Den registrerades
möjlighet att begränsa elektronisk åtkomst.
Tilldelning av behörighet och kontroll av elektronisk åtkomst
Utredningens förslag: Den som bedriver verksamhet inom
socialtjänsten ska bestämma villkor för tilldelning av behörighet till personalen i den egna organisationen för åtkomst till elektronisk dokumentation av personuppgifter. Sådan behörighet ska begränsas till vad som behövs för att den enskilde medarbetaren ska kunna fullgöra sina arbetsuppgifter inom socialtjänsten.
Den som bedriver verksamhet inom socialtjänsten ska se till att åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras. Den som bedriver verksamhet inom socialtjänsten ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna.
Närmare bestämmelser meddelas av regeringen eller, efter bemyndigande, av Socialstyrelsen efter samråd med Integritetsskyddsmyndigheten.
Socialtjänstens verksamhet bygger på att enskilda har förtroende för att den information som de lämnar till socialtjänsten inte hanteras på ett felaktigt sätt. Om enskilda uppfattar att socialtjänsten inte hanterar tillgängligheten till dokumentation om den enskilde på ett sådant sätt så att den enskilde kan känna sig säker på att känslig information inte läses av obehöriga, finns det risk för att enskilda inte söker socialtjänstens hjälp när de har behov av det. Det är därför viktigt att förtydliga att den som bedriver verksamheten (den personuppgiftsansvarige) har ansvar för att den elektroniska åtkomsten till personuppgifter hos den personuppgiftsansvarige inte är mer omfattande än vad som krävs för att den anställde hos socialtjänsten ska kunna fullgöra sina arbetsuppgifter.
Genom patientdatalagen infördes en skyldighet för vårdgivare att bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården (4 kap. 2 § PDL). Det infördes även en skyldighet för vårdgivaren att se till att åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat dokumenteras och kan kon-
trolleras samt att göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter (4 kap. 3 § PDL).
Som framgår av avsnitt 20.2.8 anser utredningen att för att en sekretessbrytande regel som den föreslagna ska kunna införas krävs att det som integritetsstärkande åtgärd även inom socialtjänsten i övrigt bör införas bestämmelser med krav på tilldelning av behörighet för elektronisk åtkomst, loggning och kontroll av elektronisk åtkomst. Motsvarande bestämmelser bör därför införas i SoLPUL. Utredningen har i avsnitt 16.14 och 16.15 föreslagit att den del av socialtjänsten som väljer att ingå i sammanhållen vård och omsorgsdokumentation, de s.k. omsorgsgivarna, ska vara skyldiga att bestämma villkor för tilldelning av behörighet till personalen i den egna organisationen för åtkomst till personuppgifter som hålls tillgängliga för andra vård- och omsorgsgivare67 genom sammanhållen vård- och omsorgsdokumentation. Sådan behörighet ska begränsas till vad som behövs för att den enskilde medarbetaren ska kunna fullgöra sina arbetsuppgifter i fråga om insatser för äldre eller personer med funktionsnedsättningar. Omsorgsgivarna ska även ska se till att åtkomst till personuppgifter genom sammanhållen vård- och omsorgsdokumentation dokumenteras och kan kontrolleras samt göra systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna. De överväganden som utredningen gjort i avsnitt 16.14 och 16.15 beträffande dessa bestämmelser gör sig enligt utredningens mening även gällande för övriga socialtjänsten.
Motsvarande bestämmelser i patientdatalagen är införda under rubrikerna Tilldelning av behörighet för elektronisk åtkomst respektive Kontroll av elektronisk åtkomst. För att det ska vara tydligt att syftet med bestämmelserna i SoLPUL är detsamma som med bestämmelserna i patientdatalagen bör två nya rubriker med motsvarande lydelse införas i SoLPUL och de nya bestämmelserna införas under dessa rubriker. För att förtydliga innebörden av bestämmelsen om kontroll av elektronisk åtkomst bör den rubriken dock lyda
Ansvar för kontroll av elektronisk åtkomst (loggar).
Utredningen har i avsnitt 16.14 och 16.15 även ansett att det finns behov av att Socialstyrelsen utfärdar föreskrifter om behörighets-
67 Med omsorgsgivare avses myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar (offentlig omsorgsgivare) och juridisk person eller enskild näringsidkare som utför sådana insatser (privat omsorgsgivare) (se avsnitt 16.2).
styrning och åtkomstkontroll inom sammanhållen vård- och omsorgsdokumentation. Utredningen gör av samma skäl som anförs i de avsnitten bedömningen att sådant behov finns även beträffande socialtjänsten i övrigt. Eftersom regleringen i SoLPUL får anses utgöra ett åliggande för kommunerna, måste föreskrifter om detta meddelas av riksdagen genom lag (jfr avsnitt 16.13.2 och 8 kap. 2 § 3 regeringsformen). Det är därför nödvändigt med ett bemyndigande i lag för att Socialstyrelsen ska få meddela föreskrifter. Ett sådant bemyndigande bör därför införas i SoLPUL. I 11 § SoLPUL anges vilka föreskrifter regeringen eller den myndighet som regeringen bestämmer får meddela i anslutning till lagen. Bemyndigandet bör därför införas i denna bestämmelse.
Information till den registrerade om elektronisk åtkomst
Utredningens förslag: Den registrerade ges rätt att på begäran få
information om vilken elektronisk åtkomst som förekommit till elektroniskt behandlade uppgifter om honom eller henne (logglistor).
Närmare bestämmelser om detta meddelas av regeringen eller, efter bemyndigande, av Socialstyrelsen efter samråd med Integritetsskyddsmyndigheten.
Genom patientdatalagen infördes en rätt för patienten att på begäran få information om vilken elektronisk åtkomst som förekommit till elektroniskt behandlade uppgifter om honom eller henne, s.k. logglistor (8 kap. 5 § PDL). Som framgår av avsnitt 20.2.8 anser utredningen att för att en sekretessbrytande regel som den föreslagna ska kunna införas krävs att det som integritetsstärkande åtgärd även inom socialtjänsten i övrigt bör införas samma rätt att få del av sådan information. Motsvarande bestämmelser bör därför införas i SoLPUL. Utredningen har i avsnitt 16.17 föreslagit att inom sammanhållen vård och omsorgsdokumentation ska de registrerade ha liknande rätt att få information. De överväganden som utredningen gjort i avsnitt 16.17 beträffande en sådan bestämmelse gör sig enligt utredningens mening även gällande för övriga socialtjänsten.
Motsvarande bestämmelse i patientdatalagen är införd under rubriken Information. För att det ska vara tydligt att syftet med bestäm-
melsen i SoLPUL är detsamma som med bestämmelsen i patientdatalagen bör en ny rubrik med en liknande lydelse införas i SoLPUL och den nya bestämmelsen införas under denna rubrik. För att förtydliga innebörden av bestämmelsen bör den rubriken dock lyda
Information om elektronisk åtkomst.
Utredningen har i avsnitt 16.17 även ansett att det finns behov av att Socialstyrelsen utfärdar föreskrifter om den information som ska lämnas till den registrerade i detta avseende inom sammanhållen vård- och omsorgsdokumentation. Utredningen gör av samma skäl som anförs i det avsnittet bedömningen att sådant behov finns även beträffande information som ska lämnas inom socialtjänsten i övrigt. Eftersom den föreslagna regleringen i SoLPUL får anses utgöra ett åliggande för kommunerna, måste föreskrifter om detta meddelas av riksdagen genom lag (jfr. avsnitt 16.13.2 och 8 kap. 2 § 3 regeringsformen). Det är därför nödvändigt med ett bemyndigande i lag för att Socialstyrelsen ska få meddela föreskrifter. Ett sådant bemyndigande bör därför införas i SoLPUL. I 11 § SoLPUL anges vilka föreskrifter regeringen eller den myndighet som regeringen bestämmer får meddela i anslutning till lagen. Bemyndigandet bör därför införas i denna bestämmelse.
20.3. Uppgiftslämnande mellan hälso- och sjukvårdsmyndigheter och privata hälso- och sjukvårdsföretag68
Utredningens förslag: I offentlighets- och sekretesslagen införs
en bestämmelse med innebörden att hälso- och sjukvårdssekretessen enligt 25 kap. 1 § offentlighets- och sekretesslagen inte hindrar att uppgift lämnas från en myndighet som bedriver verksamhet som avses i 25 kap. 1 § offentlighets- och sekretesslagen till en enskild som bedriver sådan verksamhet och som myndigheten har anlitat. Detta ska gälla om uppgiften behövs i den individinriktade verksamhet som avses i nyss nämnt lagrum.
68 I avsnitt 20.3 avser utredningen med hälso- och sjukvårdsmyndighet en myndighet som bedriver sådan verksamhet som avses i 25 kap. 1 § offentlighets- och sekretesslagen. Med privat hälso- och sjukvårdsföretag avses här den som bedriver privat hälso- och sjukvårdsverksamhet som avses i 25 kap. 1 § offentlighets- och sekretesslagen. Anledningen till att utredningen inte använder begreppet ”privat vårdgivare” respektive ”offentlig vårdgivare” är att utredningen i andra kapitel i detta betänkande använder begreppet vårdgivare med en annan innebörd.
20.3.1. Bakgrund
Utredningen har fått i uppdrag att undersöka om det är möjligt eller lämpligt att, med bibehållen integritet och säkerhet, tillåta ytterligare uppgiftslämnande mellan hälso- och sjukvårdsmyndigheter och privata hälso- och sjukvårdsföretag och i sådana fall föreslå nödvändiga författningsändringar. I utredningens direktiv konstateras att sekretess enligt offentlighets- och sekretesslagen inte hindrar att uppgift lämnas till ett privat hälso- och sjukvårdsföretag, med begränsningen att det ska göras i enlighet med vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Det konstateras även att ordningen med sammanhållen journalföring gör att området för den s.k. inre sekretessen är större i en region med få privata hälso- och sjukvårdsföretag än i en region med många flera privata aktörer.
Direktiven hänvisar till Riksrevisionens rapport Rätt information
vid rätt tillfälle inom vård och omsorg (RiR 2011:19, avsnitt 3.1.2).
I rapporten sägs att patientdatalagens bestämmelser kring sekretess skiljer sig åt beroende på om informationsutbytet sker mellan olika vårdgivare eller inom en vårdgivare. I en region med få privata hälso- och sjukvårdsföretag är organisationsgränserna färre och det inre sekretessområdet kan då vara större än i en region med många privata aktörer. Rapporten anger att de inre sekretessreglerna är mer generösa och t.ex. inte kräver ett aktivt samtycke för att utbyta patientinformation. Som patientdatalagen är utformad är det därför enklare att få elektronisk tillgång till patientinformation i regioner med få privata utförare och därmed färre organisationsgränser. En annan fråga som rapporten tar upp har anknytning till upphandling av privata utförare. Det gäller hanteringen av patientjournaler i samband med att en ny utförare ska ta över en hälso- och sjukvårdsverksamhet, t.ex. vid byte av entreprenör. Enligt en intervju med Socialstyrelsen69 innebär bestämmelserna om sekretess (offentlighets- och sekretesslagstiftningen) och tystnadsplikt (6 kap.12–14 §§patientsäkerhetslagen [2010:659]) att patientuppgifter inte kan överföras mellan olika vårdgivare utan att ett samtycke lämnats av samtliga patienter. 70
Utredningen om rätt information i vård och omsorg lämnade i betänkandet Rätt information på rätt plats i rätt tid (SOU 2014:23)
69 Intervju med Socialstyrelsen 2011-03-16. 70 RiR 2011:19 s. 44.
ett stort antal förslag på en förändrad reglering av behandling av personuppgifter och sekretess inom hälso- och sjukvård och socialtjänst. Av betydelse i detta sammanhang är förslaget om bestämmelser som reglerar uppgiftslämnande vid verksamhetsövergångar inom hälso- och sjukvården. Utredningen föreslog att det skulle införas en sekretessbrytande bestämmelse för att upphäva sekretessen mellan huvudmannen och det privata hälso- och sjukvårdsföretaget vid verksamhetsövergångar när hälso- och sjukvård övergår från en hälso- och sjukvårdsmyndighet till ett privat hälso- och sjukvårdsföretag. Förslaget innebar att sekretess inte ska gälla om särskilda bestämmelser om överföring av personuppgifter vid verksamhetsövergångar följdes.71 Den utredningens förslag i denna del har dock inte lett till några lagändringar.
Utredningens uppdrag om att undersöka möjligheterna till ytterligare uppgiftslämnande finns i direktiven under rubriken ”Sekretess-
bestämmelser för viss personuppgiftshantering i socialtjänst och hälso- och sjukvård” (s. 17 f.) och det är bara förhållanden kring sekretess
som berörs under den rubriken. Utredningen uppfattar därför direktiven som att det är just ytterligare sekretessbrytande bestämmelser för uppgiftslämnande från hälso- och sjukvårdsmyndigheter till privata hälso- och sjukvårdsföretag som ska utredas. Bestämmelser som tillåter ytterligare uppgiftslämnande från privata hälso- och sjukvårdsföretag till hälso- och sjukvårdsmyndigheter eller mellan privata hälso- och sjukvårdsföretag avser inte sekretess, och ingår därför inte i utredningens uppdrag i denna del. Utredningen kan emellertid komma att återkomma till sådana frågeställningar vid redovisningen i slutbetänkandet av uppdraget att lyfta fram uppkomna frågeställningar för fortsatt utredning.
20.3.2. Sekretess och tystnadsplikt hos hälso- och sjukvårdsverksamheter
Uppgifter inom offentligt bedriven hälso- och sjukvård omfattas av offentlighets- och sekretesslagen. Inom den offentliga hälso- och sjukvården gäller som huvudregel sekretess för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon när-
stående till denne lider men (25 kap. 1 § OSL). Sekretess gäller med ett omvänt skaderekvisit, dvs. det finns en presumtion för att uppgifterna inte ska lämnas ut. Sekretess gäller som huvudregel både mot enskilda och mot andra myndigheter (8 kap. 1 § OSL). Vid ett omvänt skaderekvisit är således sekretess huvudregel. Enligt förarbetena till den tidigare sekretesslagen (1980:100) har den som ska tillämpa ett omvänt skaderekvisit i praktiken ett begränsat utrymme för sin bedömning.72 I praktiken omfattas offentliga hälso- och sjukvårdsmyndigheters uppgifter om patienters hälsa och personliga förhållande av ett mycket starkt sekretesskydd. Uppgifterna lämnas i regel inte ut. Undantag gäller vid samtycke från patienten och när det finns någon särskild bestämmelse som bryter sekretessen, en sekretessbrytande bestämmelse i offentlighets- och sekretesslagen eller en uppgiftsskyldighet (10 kap. 28 § OSL).
I förarbetena till den äldre sekretesslagstiftningen uttalades att det omvända skaderekvisitet medger att uppgift lämnas från en läkare till en annan eller från en sjukvårdsinrättning till en annan, om uppgiften behövs i rent vårdsyfte. Visst utrymme finns också att lämna uppgifter till annan vårdsektor i syfte att bistå en patient. Det var dock tveksamt om en uppgift kan lämnas från den allmänna sjukvården till en privatpraktiserande läkare eller en företagsläkare. Om patientens samtycke inte kan inhämtas, bör emellertid uppgiften ändå kunna lämnas ut till en privatpraktiserande läkare om uppgiften i trängande fall behövs för medicinsk behandling av den som uppgiften rör.73
Utredningen har tidigare redogjort för bestämmelserna om tystnadsplikt hos privata hälso- och sjukvårdsföretag, se bl.a. avsnitt 19.1.6. Här kan i korthet upprepas att bestämmelser om tystnadsplikt finns i patientsäkerhetslagen. För personal inom privat hälso- och sjukvård gäller tystnadsplikt enligt 6 kap.12–14 §§patientsäkerhetslagen. Där anges bl.a. att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda (privata) hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning.
I förarbetena till patientdatalagen konstateras att den enskilde ska åtnjuta samma skydd för sin personliga integritet vare sig han eller
72Prop. 1979/80:2 del A s. 82, SOU 2003:99 s. 132. 73Prop. 1979/80:2 del A s. 168.
hon får vård av en offentlig hälso- och sjukvårdsmyndighet eller ett privat hälso- och sjukvårdsföretag. Sådant uppgiftslämnande som inte skulle ha hindrats av sekretess om det privata hälso- och sjukvårdsföretaget hade varit en myndighet ska inte anses vara ett obehörigt röjande av uppgifterna.74 Obehörighetsrekvisitet ska alltså tolkas på motsvarande sätt som i offentlighets- och sekretesslagstiftningen. Det innebär att uppgifter om enskildas hälsa och personliga förhållande har ett motsvarande skydd hos hälso- och sjukvårdsföretag som hos en hälso- och sjukvårdsmyndighet.
Se kapitel 5 för en mer detaljerad genomgång av bestämmelserna om sekretess och tystnadsplikt.
20.3.3. Finns det någon tillämplig sekretessbrytande bestämmelse?
Utredningen har fått i uppdrag att utreda om man bör tillåta ytterligare uppgiftslämnande från hälso- och sjukvårdsmyndigheter till privata hälso- och sjukvårdsföretag. Ett led i detta är att först utreda vilka möjligheter dagens regelverk ger att lämna ut uppgifter som omfattas av hälso- och sjukvårdssekretess till privata hälso- och sjukvårdsföretag.
Utredningen har i tidigare avsnitt detaljerat gått igenom olika sekretessbrytande bestämmelser som kan tillämpas för att bryta hälso- och sjukvårdssekretessen. Utredningen kommer inte att återupprepa samtliga dessa här, utan hänvisar läsaren till dessa avsnitt (se kapitel 5 och avsnitt 19.1.3). I detta sammanhang berör utredningen det som är av särskilt intresse för att sekretessen hos hälso- och sjukvårdsmyndigheter ska kunna brytas till förmån för privata hälso- och sjukvårdsföretag.
Som utgångspunkt gäller att en person själv kan välja att efterge sekretess genom att lämna samtycke till att uppgifterna lämnas ut, t.ex. till ett privat hälso- och sjukvårdsföretag (10 kap. 1 § OSL). Denna bestämmelse kan i allmänhet tillämpas, men förutsätter att patienten lämnar ett aktivt samtycke. Det säger sig självt att utlämnanden med stöd av samtycken kan vara mindre lämpliga och leda till mycket administration när det gäller större utlämnanden som endast
sker till följd av organisatoriska förändringar t.ex. vid verksamhetsövergångar.
När det gäller övriga sekretessbrytande bestämmelser i 10 kap. offentlighets- och sekretesslagen bedömer utredningen att dessa inte är aktuella för att bryta hälso- och sjukvårdssekretessen till förmån för ett privat hälso- och sjukvårdsföretag. Det torde inte röra sig om ett sådant nödvändigt utlämnande som avses 10 kap. 2 § offentlighets- och sekretesslagen. I äldre förarbeten talar man om att sekretess inte får innebära att de offentliga funktionärerna hindras att fullgöra sina egna uppgifter. En läkare måste t.ex. kunna delge sjuksköterskor och annan medicinalpersonal även förtroliga uppgifter om en patient för att undersökning och behandling ska kunna genomföras. Också meddelanden till annan myndighet kan ingå som ett från verksamheten i övrigt oskiljaktigt moment. Många gånger måste det också ligga inom myndighetens verksamhet att se till att misstanke om brott blir utredd.75 Enbart den omständigheten att effektiviteten i myndighetens hantering av uppgifter blir sämre på grund av sekretess torde inte vara tillräckligt för att det ska röra sig om ett sådant nödvändigt utlämnande som avses med bestämmelsen i 10 kap. 2 § offentlighets- och sekretesslagen.
Generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen är inte tillämplig på uppgifter som omfattas av hälso- och sjukvårdssekretess. Någon generell uppgiftsskyldighet i förhållande till privata hälso- och sjukvårdsföretag finns inte (jämför 10 kap. 28 § OSL).
När det gäller en regions eller en kommuns hälso- och sjukvårdsverksamhet som drivs i egen regi finns särskilda bestämmelser som bryter sekretessen så att uppgifterna kan lämnas så länge det sker inom regionen eller kommunen. Hälso- och sjukvårdssekretessen enligt 25 kap. 1 § offentlighets- och sekretesslagen hindrar inte att uppgift kan lämnas från en myndighet som bedriver hälso- och sjukvårdsverksamhet i en kommun till en annan sådan myndighet i samma kommun eller från en myndighet som bedriver hälso- och sjukvårdsverksamhet i en region till en annan sådan myndighet i samma region (25 kap. 11 § 1 och 2 OSL). Bestämmelserna gäller enbart den hälsooch sjukvård som regionen eller kommunen själv bedriver genom dessa myndigheter och kan inte tillämpas på sådan hälso- och sjukvård som utförs av privata hälso- och sjukvårdsföretag. Det finns inte någon motsvarande sekretessbrytande bestämmelse för att lämna uppgifter
75Prop. 1979/80:2 del A s. 122 f.
från en myndighet som bedriver hälso- och sjukvårdsverksamhet till en privat verksamhet som bedriver hälso- och sjukvård. Mellan hälso- och sjukvårdsmyndigheter och privata hälso- och sjukvårdsföretag råder därför som huvudregel sekretess. Detta innebär något förenklat att det exempelvis råder sekretess mellan ett offentligt drivet sjukhus och en privat vårdcentral. Mellan ett offentligt sjukhus och en vårdcentral som regionen bedriver i egen regi, bryts däremot sekretessen. Här leder alltså dagens regelverk till att sekretessgränser uppstår beroende på hur regioner och kommuner väljer att organisera hälso- och sjukvårdsverksamheten.
Det finns dock vissa undantag som medför att uppgifter som omfattas av hälso- och sjukvårdssekretess enligt 25 kap. 1 § offentlighets- och sekretesslagen får lämnas till privata hälso- och sjukvårdsföretag. Ett sådant undantag är att sekretessbelagda uppgifter får lämnas till ett privat hälso- och sjukvårdsföretag, om det sker i enlighet med bestämmelserna om sammanhållen journalföring i patientdatalagen (25 kap. 11 § 3 OSL). Det privata hälso- och sjukvårdsföretaget får dock enligt bestämmelserna om sammanhållen journalföring ta del av uppgifter från en hälso- och sjukvårdsmyndighet bara om patienten samtycker till det och uppgifterna kan antas ha betydelse i en viss vårdsituation. Det måste också finnas en aktuell patientrelation. Det ska tilläggas att det är valfritt att vara ansluten till sammanhållen journalföring och att alla hälso- och sjukvårdsmyndigheter och privata hälso- och sjukvårdsföretag inte är anslutna till något system med sammanhållen journalföring.
Om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar hälso- och sjukvårdssekretessen inte att en uppgift om en person som behövs för att ge denne nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till ett privat hälso- och sjukvårdsföretag (25 kap. 13 § OSL). Det är en sekretessbrytande bestämmelse som kan tillämpas i undantagsfall vid ett brådskande vårdbehov där det är direkt påkallat att bistå en enskild och där det inte finns möjlighet att i tid inhämta ett samtycke.
Om det inte står klart att ett utlämnande kan ske utan att den enskilde lider men, och det saknas samtycke från patienten, finns det alltså i allmänhet inte någon tillämplig sekretessbrytande bestämmelse som gör det möjligt att lämna ut uppgifter från en myndighet
inom hälso- och sjukvården till ett privat hälso- och sjukvårdsföretag.
20.3.4. Behov av uppgiftslämnande mellan hälso- och sjukvårdsmyndigheter och privata hälso- och sjukvårdsföretag
76
För förståelsen av varför det kan finnas ett behov av att lämna ut uppgifter ska inledningsvis betonas att varje vårdgivare eller myndighet inom en vårdgivare är personuppgiftsansvarig för de patientuppgifter som behandlas i den egna verksamheten. Vårdgivaren ansvarar för att journaler upprättas och hanteras på ett ändamålsenligt och säkert sätt i sin verksamhet. I det ansvaret ligger också ett ansvar för gallring och arkivering. Varje vårdgivare måste föra sina egna journaler. En enskild vårdgivare får därför inte föra journal i en regions eller en kommuns journaler. Som beskrivits ovan finns det inte heller någon särskild bestämmelse, förutom reglerna om sammanhållen journalföring, som tillåter en enskild vårdgivare att ta del av journaluppgifter från en annan vårdgivare.
Det finns dock olika skäl till att uppgifter om patienter behöver lämnas ut från en hälso- och sjukvårdsmyndighet till ett privat hälso- och sjukvårdsföretag. Typiskt sett rör det sig om patienter som har fått hälso- och sjukvård hos en hälso- och sjukvårdsmyndighet, och ska få hälso- och sjukvård hos ett privat hälso- och sjukvårdsföretag som myndigheten har anlitat. Detta kan bero på att verksamheten övergår från offentligt till privat regi via en s.k. verksamhetsövergång. En offentlig sjukvårdshuvudman kan, som beskrivits i tidigare avsnitt, låta hälso- och sjukvårdsverksamhet utföras av privata hälso- och sjukvårdsföretag. Verksamhetsövergångar kan motiveras av kostnadsskäl, effektivitetsskäl, politiska önskemål eller andra orsaker men har i regel inget att göra med att man vill att det ska uppstå en sekretessgräns. Sekretessgränsen uppstår som en direkt följd av den organisatoriska förändringen. Vid organisatoriska förändringar inom en region eller kommun (nämndbyten) finns det som nämnts sekretessbrytande bestämmelse som gör att patientuppgifter kan föras mellan olika hälso-
76 Problemen som beskrivs när det gäller att överföra uppgifter om patienter vid verksamhetsövergångar bygger på den problembeskrivning som Utredningen om rätt information i vård och omsorg lämnat i sitt betänkande Rätt information på rätt plats i rätt tid, SOU 2014:23 s. 291 ff. Utredningen lämnade ett antal författningsförslag för att komma till rätta med dessa problem, men inget av förslagen har genomförts.
och sjukvårdsmyndigheter eller självständiga verksamhetsgrenar inom dessa.
Behov av att lämna ut patientuppgifter från en hälso- och sjukvårdsmyndighet till ett privat hälso- och sjukvårdsföretag kan också uppstå när en patient väljer att lista om sig från en hälso- och sjukvårdsmyndighet till ett privat hälso- och sjukvårdsföretag. I dessa fall torde dock samtycken ofta kunna användas, eftersom det då är patienten själv som aktivt tar kontakt med vården för att begära att listas om.
Det kan även finnas behov av att lämna ut patientuppgifter när en offentlig vårdgivare har anlitat enskilda aktörer som bedriver sådan privat hälso- och sjukvårdsverksamhet och annan medicinsk verksamhet som avses i 25 kap. 1 § offentlighets- och sekretesslagen för att utföra viss specifik vård och behandling. Det kan t.ex. röra sig om privata laboratorier som utför laboratorietester eller privata hälso- och sjukvårdsföretag som utför screening för att upptäcka sjukdomar. Dessa privata hälso- och sjukvårdsföretag kan då behöva ta del av vissa journalanteckningar och andra uppgifter som rör patienten.
För att ett privat hälso- och sjukvårdsföretag ska kunna överta patientansvaret på ett säkert sätt och kunna ge kontinuitet i vården behöver denne ha tillgång till hälsoinformation och andra uppgifter om patienten. Det kan exempelvis handla om läkemedelsordinationer, tidigare diagnoser och andra viktiga uppgifter som behövs efter en verksamhetsövergång. Det står enligt utredningens mening klart att det finns ett behov av att patientens journal, eller i vart fall aktuella delar av journalen, kan överföras till det privata hälso- och sjukvårdsföretaget. Detta krävs för att det privata hälso- och sjukvårdsföretaget ska kunna bedriva vård, skicka kallelser och i övrigt upprätthålla kontinuiteten och patientsäkerheten. Annars finns en uppenbar risk att viktig information inte kommer fram till det privata hälso- och sjukvårdsföretaget, vilket kan leda till patientsäkerhetsrisker, eller onödiga patientbesök för att få information eller samtycke från patienten.
Det finns dock ingen särskild bestämmelse som är avsedd att bryta sekretessen vid verksamhetsövergångar från en hälso- och sjukvårdsmyndighet till ett privat hälso- och sjukvårdsföretag. I praktiken är man hänvisad till att försöka hantera situationen genom att få sekretessbrytande samtycken från patienterna utifrån offentlighets- och sekretesslagen, om inte hälso- och sjukvårdsmyndigheten och det
privata hälso- och sjukvårdsföretaget är anslutna till samma system med sammanhållen journalföring. Finns det anslutning till samma system med sammanhållen journalföring får dock det privata hälso- och sjukvårdsföretaget som huvudregel ta del av hälso- och sjukvårdsmyndighetens dokumentation bara med patientens samtycke. För att det privata hälso- och sjukvårdsföretaget ska kunna fortsätta en inledd hälso- och sjukvårdsbehandling eller följa upp ett sjukdomstillstånd måste därför hälso- och sjukvårdsmyndigheten eftersöka samtliga berörda patienter och be om att få dessas samtycken till att lämna ut journalen från myndigheten till det privata hälso- och sjukvårdsföretag som ska ta över verksamheten. Eftersom man måste veta vad man samtycker till, torde detta inte kunna göras långt i förväg utan kräver att frågan om samtycke ställs inför en nära förestående verksamhetsövergång.
Enligt vad utredningen erfarit finns det olika sätt att försöka lösa problemet med sekretess och samtycken vid verksamhetsövergångar. En möjlighet är att man ber patienten fylla i en samtyckeblankett som ger hälso- och sjukvårdsmyndigheten möjlighet att lämna ut journalen i pappersformat till det privata hälso- och sjukvårdsföretaget.
Socialstyrelsen har i handboken till de tidigare gällande föreskrifterna SOSFS 2008:14 beskrivit ett praktiskt sätt att lösa frågan om överföring av t.ex. journalkopior från ett privat hälso- och sjukvårdsföretag till den som ska ta över ansvaret för patienterna enligt följande.
Informera patienterna om att vården övergår till en ny vårdgivare och att man avser att föra över journalkopior till den nya vårdgivaren och samtidigt erbjuda en möjlighet för patienterna att motsätta sig detta. När sedan den nya vårdgivaren avser att använda sig av journaluppgifter från den förra vårdgivaren kan ett aktivt samtycke inhämtas.
Denna lösning kan även användas när en offentlig sjukvårdshuvudman har anlitat ett privat hälso- och sjukvårdsföretag. Enligt Utred-
ningen om rätt information i vård och omsorg är denna lösning prag-
matisk, men inte helt tillfredsställande. Dels för att den kan strida mot en helt korrekt tillämpning av reglerna om tystnadsplikt i enskilda verksamheter, dels för att även denna lösning medför praktiska svårigheter. Förfarandet förutsätter att någon form av manuell menprövning görs vid själva utlämnandet samt att man lyckas få kontakt med patienten samt att denne väljer att fylla i blanketten. Eftersom rätt information vid rätt tillfälle är grundläggande för en
god och säker vård, vore det önskvärt med ett säkrare sätt att trygga informationsöverföringen i samband med verksamhetsövergångar.
Hanteringen av samtycken vid verksamhetsövergångar kräver som synes en hel del administration och praktisk hantering. Hur många patienter det rör påverkar givetvis hur pass administrativt betungande det är. Verksamheters storlek varierar men det handlar i allmänhet om ett stort antal, ofta tusentals, personer som t.ex. är listade vid en viss vårdcentral. Detta gör att den administrativa hanteringen av samtycken vid verksamhetövergångar ofta blir betungande. Ibland behöver en verksamhetsövergång ske snabbt och då kan problem uppstå om man inte hinner få tag på patienterna och få deras samtycken före verksamhetsövergången. Det är givetvis inte bra ur patientsäkerhetsperspektiv om journalen inte finns tillgänglig i rätt tid hos det privata hälso- och sjukvårdsföretaget.
En patient som går till samma vårdcentral och kanske till och med träffar samma yrkesutövare efter en verksamhetsövergång har nog svårt att förstå varför ett samtycke efterfrågas. Det kan vidare uppstå särskilda svårigheter att få patientens samtycke när det gäller barn och personer med funktionsnedsättningar. Motsvarande kan förväntas gälla för personer som av olika anledningar har svårt att ta till sig information och inte vill eller förmår att svara på korrespondens från myndigheter. När det gäller dessa personer, som kan ha särskilt svårt att ta egna kontakter med hälso- och sjukvården för att göra gällande sina egna vårdbehov, finns det enligt utredningens mening ett särskilt stort behov av att informationen kan överföras på ett smidigt sätt vid verksamhetsövergångar.
20.3.5. Är det lämpligt med sekretessgenombrott?
Utredningen har fått i uppdrag att undersöka om det är möjligt och lämpligt att med bibehållen integritet och säkerhet tillåta ytterligare uppgiftslämnande mellan hälso- och sjukvårdsmyndigheter och privata hälso- och sjukvårdsföretag. Om så är fallet, ska utredningen föreslå nödvändiga författningsändringar. Utredningen har konstaterat att det i dag inte finns någon särskild bestämmelse som bryter sekretessen i 25 kap. 1 § offentlighets- och sekretesslagen till förmån för ett privat hälso- och sjukvårdsföretag. Visserligen finns den generella möjligheten att använda samtycke, samt bestämmelser som
bryter sekretessen vid en akut situation, men det finns ingen bestämmelse som allmänt gäller för att bryta sekretessen vid sådana större utlämnanden som behöver ske vid t.ex. verksamhetsövergångar. För att avgöra om det är lämpligt att införa en sådan bestämmelse gör utredningen här nedan en avvägning mellan de behov och fördelar som uppnås genom en sekretessbrytande bestämmelse och de risker när det gäller integritet och säkerhet som skulle kunna uppstå.
En avvägning mellan behov och risker
Det finns enligt utredningens bedömning ett klart och motiverat behov av att överlämna hela eller delar av patientjournaler från en hälso- och sjukvårdsmyndighet till ett privat hälso- och sjukvårdsföretag när hälso- och sjukvårdsmyndigheten har anlitat ett privat hälso- och sjukvårdsföretag för att utföra hälso- och sjukvård. Detta krävs för att garantera en trygg och säker vård till patienten och kontinuiteten i vården.
Huvudregeln om sekretess mellan myndigheter och enskilda innebär dock att det uppstår sekretessgränser mellan den offentliga hälso- och sjukvården och privata hälso- och sjukvårdsföretag när offentlig verksamhet övergår i privat form. Sekretessgränserna uppstår även om de överväganden som ligger till grund för vald organisationsform inte har något att göra med sekretessfrågan. I förarbetena till 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen anges att undantaget från sekretessen mellan hälso- och sjukvårdsmyndigheter inom samma region eller kommun gör det möjligt för en region att fritt välja sin organisation utan hänsyn till att sekretess i princip råder mellan myndigheterna.77 Motsvarande argument om att fritt kunna välja organisationsform, utan hänsyn till problem med sekretesshanteringen, gör sig enligt utredningen gällande även i fråga om regioner och kommuner som väljer att bedriva hälso- och sjukvårdsverksamhet genom privata utförare.
När privata hälso- och sjukvårdsföretag är anslutna till system med sammanhållen journalföring kan sekretesskyddade uppgifter föras över organisationsgränserna under förutsättning att det sker enligt de villkor som gäller vid sammanhållen journalföring. Bestämmelserna om sammanhållen journalföring gör dock inte att det pri-
vata hälso- och sjukvårdsföretaget kan ta del av hälso- och sjukvårdsmyndighetens dokumentation för att t.ex. fortsätta en hälso- och sjukvårdsbehandling eller för att följa upp konstaterade sjukdomstillstånd eller patienter med konstaterad förhöjd risk för att bli sjuka. Som huvudregel krävs nämligen patientens samtycke för att det privata hälso- och sjukvårdsföretaget ska få ta del av dokumentation hos andra.
Konsekvensen av att varje vårdgivare ansvarar för sina journaler och bestämmelserna om sekretess är att det kan bli svårt att upprätthålla kontinuiteten i vården och i informationshanteringen i samband med att privata utförare tillkommer. För patienterna finns det en uppenbar risk för att aktuell och viktig information inte längre finns tillgänglig där den behövs. Detta är givetvis inte tillfredsställande ur ett patientsäkerhetsperspektiv. Även utifrån de grundläggande principerna i dataskyddsförordningen är det viktigt att korrekt och uppdaterad information finns tillgänglig när det behövs. Detta är ytterst ett led i den personuppgiftsansvariges ansvarsskyldighet (artikel 5 i dataskyddsförordningen).
Om det i stället rör sig om en verksamhetsövergång genom att man t.ex. bildat en ny verksamhet i offentlig regi, kan uppgifterna lämnas ut med stöd av bestämmelserna i 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen. Denna skillnad i den praktiska hanteringen, och med efterföljande risker för patientsäkerheten, framstår inte som motiverad och är en ren följd av organisationsformen.
Eftersom det i praktiken handlar om att motsvarande verksamhet ska bedrivas, med ett lika starkt skydd för personuppgifterna hos det privata hälso- och sjukvårdsföretaget, är det enligt utredningen rimligt och önskvärt att uppgifterna kan lämnas på motsvarande sätt som inom den hälso- och sjukvård som bedrivs i offentlig regi. Om den offentliga hälso- och sjukvården inte får föra över uppgifter om patienter till hälso- och sjukvårdsföretag, kan patienten hamna i ett sämre läge än om vården enbart bedrivits i offentlig regi. Det kan ytterst uppstå omotiverade skillnader i kvaliteten på hälso- och sjukvården beroende på om denna bedrivs i offentlig eller privat regi. Med fler och fler privata aktörer blir det allt viktigare att säkerställa ett effektivt utbyte av information över organisationsgränserna. Detta ligger också i linje med de politiska önskemålen om sömlöshet och kontinuitet vid vårdens övergångar.
Ett ytterligare starkt skäl för att införa en sekretessbrytande bestämmelse är enligt utredningen de fördelar detta skulle innebära för patienter och vårdgivare i form av minskad administration i samband med verksamhetsövergångar. Det kan även finnas andra situationer när en patients vård utförs av ett privat hälso- och sjukvårdsföretag och denne behöver ha tillgång till korrekta uppgifter, utan att kunna använda sammanhållen journalföring. Genom att införa en sekretessbrytande regel skulle man slippa den administrativa börda som samtyckeshanteringen innebär för såväl patienter som vårdgivare. För en patient kan det upplevas som märkligt att bli tillfrågad om man samtycker till att uppgifterna får övergå till ett privat hälso- och sjukvårdsföretag vid en verksamhetsövergång. För de flesta personer torde detta vara något man förväntar sig sker automatiskt. Att sökas upp och bli tillfrågad om samtycke kan i sig upplevas som störande och integritetskränkande.
När det gäller risker med att införa en sekretessbrytande bestämmelse är det av betydelse vilken sekretess och vilket skydd som kommer att gälla för uppgiften hos den som mottar uppgiften. Uppgifter om enskilds hälsa och andra personliga förhållanden skyddas emellertid hos privata vårdgivare med ett motsvarande starkt skydd som hos offentliga vårdgivare. Tystnadsplikt råder och obehörigt röjande av uppgifterna är straffsanktionerat. Utredningen har inga indikationer på att obehörigt röjande skulle vara mer vanligt förekommande hos privata hälso- och sjukvårdsföretag än hos offentliga. Den information som utredningen har fått från företrädare för offentliga och privata vårdgivare talar för att de privata hälso- och sjukvårdsföretagen skyddar uppgifterna på ett minst lika bra sätt som de offentliga hälso- och sjukvårdsmyndigheterna.
Man skulle kunna argumentera för att redan den omständigheten att uppgiften lämnas från en hälso- och sjukvårdsmyndighet till ett privat hälso- och sjukvårdsföretag i sig utgör en risk ur integritetshänseende, då det kan antas att risken för otillbörligt röjande generellt sett är större ju fler som känner till en uppgift. Utredningen menar dock att det får förutsättas att sekretessregleringen upprätthålls på ett korrekt sätt. Då bör en sekretessbrytande bestämmelse inte medföra en större risk för att uppgifterna sprids utanför ett privat hälso- och sjukvårdsföretag, än utanför den myndighet som ursprungligen hade uppgifterna.
Man kan fråga sig om den omständigheten sekretessen bryts till förmån för just privata hälso- och sjukvårdsföretag i sig kan innebära en ökad risk för att uppgifterna kommer att spridas på ett otillbörligt sätt inom det privata hälso- och sjukvårdsföretaget. Utredningen anser dock att så inte är fallet. Patientdatalagens bestämmelserna om s.k. inre sekretess är tillämpliga också för personal hos en privat vårdgivare. Det innebär att endast den vårdpersonal som deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården får ta del av uppgifterna (4 kap. 1 § PDL). Även de övriga dataskyddsbestämmelserna i patientdatalagen ska tillämpas av privata vårdgivare som tar emot uppgifterna. Enligt gällande regelverk är således privata hälso- och sjukvårdsföretag, på motsvarande sätt som hälso- och sjukvårdsmyndigheter, skyldiga att följa patientdatalagens bestämmelser om inre sekretess, behörighetstilldelning och att systematiskt och fortlöpande kontrollera om obehörig åtkomst till uppgifter om patienter förekommer. Därutöver gäller också dataskyddsförordningens generella regler om skyddsåtgärder vid behandling av personuppgifter, rätten till registerutdrag m.m. Dessa bestämmelser ger enligt utredningens bedömning ett gott integritetsskydd för känsliga uppgifter som lämnas ut till privata hälso- och sjukvårdsföretag med stöd av den föreslagna sekretessbrytande bestämmelsen. Såvitt utredningen känner till finns inget som tyder på att privata hälso- och sjukvårdsföretag i allmänhet skulle vara sämre på att följa patientdatalagens bestämmelser än hälso- och sjukvårdsmyndigheter. Den kritik mot bristande följsamhet till regelverket som riktats från Datainspektionen har inte särskilt pekat ut privata hälso- och sjukvårdsföretag.
En särskild faktor att ta hänsyn till i avvägningen är risken för att anställda hos det privata hälso- och sjukvårdsföretaget tar del av uppgifterna fast dessa inte har behov av det i sitt arbete, och att uppgifterna således sprids utanför den tillåtna kretsen. Detta ser utredningen dock inte som en särskilt stor risk. I förarbetena angavs att det faktum att det inte gäller några sekretessgränser inom en hälso- och sjukvårdsmyndighet eller mellan olika myndigheter inom en region eller kommun, innebär inte att det är fritt fram för hälso- och sjukvårdspersonalen att utbyta uppgifter hur som helst. Även om ingen sekretess gäller mellan hälso- och sjukvårdsmyndigheter i samma region eller kommun måste t.ex. en patients uttryckliga önskemål om att uppgifter om honom eller henne inte
fritt ska lämnas till en annan myndighet inom regionen eller kommunen normalt respekteras på motsvarande sätt som gäller t.ex. mellan olika kliniker inom en myndighet.78 Motsvarande hänsyn till en patients uttryckliga önskemål ska naturligtvis tas också när det handlar om att lämna uppgifter från en hälso- och sjukvårdsmyndighet till ett privat hälso- och sjukvårdsföretag.
Den sekretessbrytande bestämmelsen som nu föreslås syftar till ett smidigare uppgiftsutbyte utan den samtyckeshantering som i dag är ett nödvändigt mellanled före utlämnandet. De flesta uppgifterna hade, efter en administrativ hantering med samtycke och schabloniserad menprövning, sannolikt kunnat lämnas ut ändå så småningom. Därför blir det enligt utredningens bedömning sannolikt inte fråga om en särskilt mycket större spridning av uppgifterna än vad som annars hade varit fallet.
Liksom regeringen uttalade vid införandet av den sekretessbrytande bestämmelsen i 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen ska det vägas in att det inte kommer att vara fråga om något oreglerat och okontrollerat utlämnande av uppgifter från myndigheter inom den offentliga hälso- och sjukvården till privata hälso- och sjukvårdsföretag. Enligt utredningens förslag ska sekretessen enbart få brytas när det behövs i den individinriktade hälso- och sjukvården. Detta ger en garanti för att uppgifterna inte sprids okontrollerat utan bara när det finns ett reellt behov av uppgifterna i den individinriktade hälso- och sjukvården.
Privata hälso- och sjukvårdsföretag har alltså att följa ett detaljerat och starkt integritetsstärkande regelverk när de tar emot sekretessskyddade uppgifter om patienter från myndigheter som behövs i den individinriktade hälso- och sjukvården. Sammanfattningsvis bedömer utredningen att en sekretessbrytande regel som anger att hälso- och sjukvårdssekretessen får brytas till förmån även för privata hälso- och sjukvårdsföretag som hälso- och sjukvårdsmyndigheten har anlitat, inte utgör någon nämnvärd utökad risk ur integritetshänseende.
Som utredningen redogjort för ovan skyddas patientuppgifterna med tystnadsplikt och en rad integritetsstärkande åtgärder hos privata hälso- och sjukvårdsföretag. Utredningen ser därför inte att det finns behov av att införa några ytterligare skyddsregler för att motverka riskerna med en sekretessbrytande bestämmelse.
Däremot anser utredningen att det är en grundläggande förutsättning att uppgifterna behövs för att ge patienten hälso- och sjukvård, och att detta krav ska tas in i bestämmelsen. Det följer också av direktiven att om författningsförslag lämnas bör dessa avgränsas till att röra den individinriktade hälso- och sjukvårdsverksamheten. Uppgifterna får följaktligen inte lämnas ut till privata hälso- och sjukvårdsföretag för andra syften än att lämna individinriktad hälso- och sjukvård. Bestämmelsen ska alltså gälla under förutsättningar att uppgifterna behövs för att bedriva individinriktad hälso- och sjukvård. På så vis avgränsas området för vilka uppgifter som får lämnas ut, vilket minskar risken för onödig spridning av uppgifterna.
Utredningens samlade bedömning
Utredningen anser att övervägande skäl talar för att det bör införas en sekretessbrytande bestämmelse som bryter hälso- och sjukvårdssekretessen mellan en hälso- och sjukvårdsmyndighet och ett privat hälso- och sjukvårdsföretag som myndigheten har anlitat. Detta grundar utredningen på att en sekretessbrytande bestämmelse bedöms vara till stor nytta för både patienter och för verksamheter, genom att öka likvärdigheten oavsett hur en offentlig sjukvårdshuvudman valt att utforma organisationen inom sitt ansvarsområde, och samtidigt minska onödig administration. Ett starkt skäl som talar för att införa en sekretessbrytande bestämmelse är att då uppnås likvärdighet oberoende av organisationsform. I dag uppstår en skillnad mellan regioner och kommuner som bedriver den mesta hälso- och sjukvårdsverksamheten i egen regi, jämfört med de som har en hög andel privata hälso- och sjukvårdsföretag. Skillnaden kan ytterst gå ut över kvaliteten i hälso- och sjukvården. De överväganden som ligger till grund för en regions eller kommuns val av organisationsform har inte någon relevans för sekretessfrågan, utan beror på andra orsaker. Det framstår inte som motiverat att upprätthålla en sådan skillnad, som ytterst riskerar att gå ut över patientsäkerheten, och som enbart är en följd av valet av organisationsform. När det däremot gäller ett privat hälso- och sjukvårdsföretag som inte anlitats och finansierats av en offentlig sjukvårdshuvudman, anser utredningen dock inte att det finns behov av att bryta sekretessen.
Där gör sig inte argumenten om verksamhetsövergångar och likvärdighet vid kommunens val av organisationsform gällande.
En bestämmelse som tillåter utbyte av uppgifter utan en sekretessprövning ligger i linje med en övergripande politisk målsättning om att arbeta individbaserat, över organisationsgränser, för att ge patienten bästa möjliga hälso- och sjukvård. Det ligger också i linje med vad som uttalas i direktiven om behovet av en mer likvärdig personuppgiftshantering och att utjämna icke önskvärda skillnader i sekretessregleringar.
Utredningen har också beaktat att uppgifterna sannolikt inte kommer att få särskilt mycket större spridning än vad som i dag sker med samtycke från patienten, men med skillnaden att man slipper administration och fördröjningar. Dessutom finns redan existerande integritetsstärkande bestämmelser som skyddar personuppgifterna. Därtill ska uppgifterna bara få lämnas ut när det behövs för den individinriktade hälso- och sjukvården.
Utredningen anser alltså att det är både möjligt och lämpligt att med bibehållen integritet och säkerhet införa en bestämmelse som bryter sekretessen mellan en myndighet inom hälso- och sjukvården och ett privat hälso- och sjukvårdsföretag.
20.3.6. Utformningen av den sekretessbrytande bestämmelsen
Utredningen föreslår att det i offentlighets- och sekretesslagen införs en bestämmelse med innebörden att sekretessen enligt 25 kap. 1 § offentlighets- och sekretesslagen inte hindrar att uppgift lämnas från en myndighet som bedriver verksamhet som avses i det nämnda lagrummet till en enskild som bedriver sådan verksamhet och som myndigheten har anlitat, om uppgiften behövs i den individinriktade verksamhet som avses i nämnda lagrum.
Med myndighet avses i bestämmelsen även kommunala företag enligt 2 kap. 3 § offentlighets och sekretesslagen, dvs. bolag, föreningar och stiftelser där kommunen utövar ett rättsligt bestämmande inflytande.
Med verksamhet som avses i 25 kap. 1 § offentlighets- och sekretesslagen avses hälso- och sjukvårdsverksamhet enligt definitionen av hälso- och sjukvård i 2 kap. 1 § hälso- och sjukvårdslagen (2017:30). Begreppet hälso- och sjukvård omfattar dels åtgärder för att medi-
cinskt förebygga, utreda och behandla sjukdomar och skador, dels sjuktransporter samt att ta hand om avlidna. Med uttrycket hälso- och sjukvård förstås först och främst den öppna och slutna sjukvård som regleras i hälso- och sjukvårdslagen. Hit hör också den förebyggande medicinska hälsovården, t.ex. den som bedrivs vid mödra- och barnavårdscentralerna och inom den psykiatriska barn- och ungdomsvården. Även tandvården hör till hälso- och sjukvården.79
Sekretessen enligt 25 kap. 1 § offentlighets- och sekretesslagen gäller också i annan medicinsk verksamhet, exempelvis rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, omskärelse och åtgärder mot smittsamma sjukdomar. I förarbetena till den äldre sekretesslagstiftningen angavs att det inte är möjligt att uttömmande räkna upp vad som utgör annan medicinsk verksamhet.80 Privat laboratorieverksamhet som anlitats av en offentlig hälso- och sjukvårdsmyndighet för att utföra medicinsk analys och diagnostik bör enligt utredningens mening, om den inte bedöms utgöra hälso- och sjukvård, utgöra sådan annan medicinsk verksamhet som omfattas av 25 kap. 1 § andra meningen offentlighets- och sekretesslagen.
Det framgår av den föreslagna bestämmelsens ordalydelse att det endast är hälso- och sjukvårdssekretessen enligt 25 kap. 1 § offentlighets- och sekretesslagen som bryts. Det ska poängteras att den s.k. dataskyddssekretessen i 21 kap. 7 § offentlighets- och sekretesslagen gäller. Det innebär att sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen och nationell dataskyddsreglering.
Bestämmelsen bör införas under rubriken ”Sekretessbrytande bestämmelser” efter 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen.
Bestämmelsen bör till sin konstruktion motsvara 25 kap. 11 § 1 och 2 som gäller till förmån för andra myndigheter. Till skillnad från vad som föreslås i avsnitt 20.2.10 när det gäller sekretessbrytande regler mellan olika nämnder inom socialtjänsten, anser utredningen att det inte finns skäl att göra sekretessgenombrottet beroende av att patienten inte har motsatt sig utlämnandet.
79 Eva Lenberg m.fl., Offentlighets- och sekretesslagen lagkommentar till 25 kap. 1 § offentlighets- och sekretesslagen, JUNO version 21. 80Prop. 1979/80:2 del A s. 167.
Däremot anser utredningen att det är en grundläggande förutsättning att uppgifterna behövs för att ge patienten hälso- och sjukvård. Detta bör formuleras som att uppgiften får lämnas ut, om upp-
giften behövs för den individinriktade hälso- och sjukvården, dvs. den
verksamhet som avses i 25 kap. 1 § offentlighets- och sekretesslagen och som är individinriktad. Något sekretessgenombrott gäller således inte när uppgifter ska lämnas ut för att användas för andra ändamål. På så vis avgränsas området för vilka uppgifter som får lämnas ut, vilket minskar risken för onödig spridning av uppgifterna.
Vad som behövs i den individinriktade hälso- och sjukvården får ankomma på den utlämnande hälso- och sjukvårdsmyndigheten att avgöra i det enskilda fallet. Ledning bör kunna hämtas från ändamålsbestämmelserna i 4 kap. 1 § 1 och 2 patientdatalagen, nämligen att fullgöra de skyldigheter som anges i 3 kap. patientdatalagen och upprätta annan dokumentation som behövs i och för vården av patienter, respektive administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall. Ett typexempel när uppgifterna behövs i den individinriktade hälso- och sjukvården är vid verksamhetsövergångar eller vid andra fall då patientens vård överförs till ett privat hälso- och sjukvårdsföretag.
Huvudtanken med bestämmelsen är att sekretessregleringen för den regionala och kommunala hälso- och sjukvården inte bör vara beroende av hur regionen eller kommunen väljer att fullgöra sin skyldighet att tillhandahålla hälso- och sjukvård, i offentlig eller privat regi. Därför bör bestämmelsen bara ta sikte på privata hälso- och sjukvårdsföretag som bedriver hälso- och sjukvårdsverksamhet och som myndigheten har anlitat. Det kan t.ex. röra sig om att en region eller kommun har anlitat privata utförare inom vårdvalet med stöd av lagen (2008:962) om valfrihetssystem, genom upphandling enligt lagen (2016:1145) om offentlig upphandling eller genom att ge ersättning till privata läkare eller fysioterapeuter enligt lagen (1993:1651) om läkarvårdsersättning respektive lagen (1993:1652) om ersättning för fysioterapi.
Utredningen har övervägt att utforma bestämmelsen så att den avser enskilda som bedriver privat hälso- och sjukvårdsverksamhet i samma region eller kommun, på motsvarande sätt som i 25 kap. 11 § 1 och 2 i offentlighets- och sekretesslagen. Privata vårdcentraler och tandläkare torde i de allra flesta fall bedriva sin verksamhet i regio-
nen. Det kan emellertid tänkas förekomma privata utförare som inte är geografiskt lokaliserade i samma region eller kommun, som anlitats av myndigheten för att utföra delar av hälso- och sjukvården. Så kan t.ex. vara fallet när myndigheten har upphandlat laboratorietjänster av privata aktörer. För att täcka in också sådan verksamhet, har inte något krav på att den enskilde ska bedriva hälso- och sjukvårdsverksamhet i samma region eller kommun som den anlitande myndigheten tagits med.
Utredningen har övervägt att införa ett krav på att uppgifterna får lämnas ut bara om det finns en existerande patientrelation mellan myndigheten alternativt den enskilde och patienten, men anser att det kan bli alltför snävt och ställa till med gränsdragningsproblem om när en patientrelation har uppstått eller upphört. Om det rör sig om patientuppgifter som behövs av ett privat hälso- och sjukvårdsföretag som aldrig träffar patienten, utan endast utför exempelvis analys av röntgenprover eller screening, har en patientrelation sannolikt inte uppstått. Det privata hälso- och sjukvårdsföretaget kan ändå ha behov av vissa uppgifter om patienten, vilka bör kunna lämnas ut med stöd av den nu föreslagna bestämmelsen.
20.3.7. Den sekretessbrytande bestämmelsens påverkan på utlämnanden från privata hälso- och sjukvårdsföretag
Utredningen har ovan redogjort för att känsliga uppgifter om patienter ska ha ett lika starkt skydd hos privata hälso- och sjukvårdsföretag som hos hälso- och sjukvårdsmyndigheter. Tolkningen av vad som är ett obehörigt röjande ska göras på motsvarande sätt som enligt offentlighets- och sekretesslagen.
Utredningen föreslår nu en sekretessbrytande bestämmelse som innebär att hälso- och sjukvårdssekretessen inte hindrar att uppgifter lämnas från en hälso- och sjukvårdsmyndighet till ett privat hälso- och sjukvårdsföretag (”enskild” i lagtexten). Detta bör enligt utredningens mening innebära att det inte blir ett obehörigt röjande att lämna uppgifter från privata hälso- och sjukvårdsföretag till hälso- och sjukvårdsmyndigheter. Denna uppfattning har stöd av de ovan refererade förarbetsuttalandena. Med en sådan tolkning av behörighetsrekvisitet krävs det, enligt utredningens bedömning, inte någon särskild reglering för att bryta tystnadsplikten vid utlämnande från privata hälso- och sjukvårdsföretag till hälso- och sjukvårdsmyndig-
heter. Motsvarande bedömning gjordes i förarbetena till patientdatalagen avseende de privata vårdgivarnas möjligheter att lämna ut uppgifter vid införandet av sammanhållen journalföring respektive till kvalitetsregister.81
Den föreslagna sekretessbrytande regeln bör alltså medföra att obehörighetsrekvisitet i 6 kap.12–14 §§patientsäkerhetslagen inte hindrar ett utlämnande till hälso- och sjukvårdsmyndighet. Någon ändring i patientsäkerhetslagen krävs inte för att den som omfattas av tystnadsplikten ska kunna lämna uppgifter i samma utsträckning som motsvarande personalkategorier i den offentliga sektorn. Det bör därför vara tillåtet att lämna ut uppgifter från privata hälso- och sjukvårdsföretag till hälso- och sjukvårdsmyndigheter under motsvarande förutsättningar dvs. när uppgifterna behövs för den individinriktade hälso- och sjukvården.
Observera att utredningens förslag inte berör utlämnanden mellan privata hälso- och sjukvårdsföretag eller mellan hälso- och sjukvårdsmyndigheter. Där är rättsläget således oförändrat.
81Prop. 2007/08:126 s. 132 f och s. 197. Jämför även utredningens bedömning i avsnitt 19.4.6.
21. Ikraftträdande och övergångsbestämmelser
21.1. Ikraftträdande
Utredningens förslag: Lagändringarna ska träda i kraft den 1 juli
2022.
I princip samtliga lagförslag som utredningen lämnar utgör frivilliga möjligheter, som regioner, kommuner och företag kan välja att tillämpa efter att bestämmelserna har trätt i kraft. Några nya obligatoriska krav som kräver stora förberedelser inför ikraftträdandet föreslås inte.
Utredningens förslag bör ses som en helhet, även om alternativ föreslås på vissa punkter och olika delar av utredningens förslag kan genomföras fristående (se den inledande texten i kapitel 1), då det handlar om att presentera ett paket för sammanhållen information inom vård och omsorg. Utredningen föreslår därför ett samordnat ikraftträdande för samtliga förslag som genomförs.
Utredningen överlämnar detta betänkande i januari 2021. Lagförslagen syftar bland annat till att underlätta informationsutbytet mellan hälso- och sjukvård och social omsorg. Det framstår som angeläget att ändringarna kan träda i kraft relativt snart, bland annat för att skapa incitament för regioner, kommuner och företag att börja tilllämpa bestämmelserna. Det förefaller därför rimligt att lagändringarna som föreslås i detta betänkande, dvs. lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning samt de följdändringar som föreslås i annan lagstiftning, kan träda i kraft den 1 juli 2022.
21.2. Övergångsbestämmelser
Utredningens förslag: Övergångsbestämmelsen till patientdata-
lagen om nationella och regionala kvalitetsregister överförs till den nya lagen. Det innebär att inte heller den nya lagens bestämmelse om kvalitetsregister ska tillämpas för personuppgifter som behandlats i nationella och regionala kvalitetsregister före den 1 juli 2009.
Övergångsbestämmelsen till en ändring i patientdatalagen om förbud mot direktåtkomst till personuppgifter som behandlas av en annan vårdgivare i en utredning enligt lagen (2018:744) om försäkringsmedicinska utredningar överförs i sak till den nya lagen. Det innebär att bestämmelsen om förbud mot direktåtkomst inte ska tillämpas på försäkringsmedicinska utredningar som Försäkringskassan begärt före den 1 januari 2019.
I dag regleras behandlingen av personuppgifter i nationella och regionala kvalitetsregister i 7 kap. patientdatalagen. Utredningen föreslår att bestämmelserna i 7 kap. patientdatalagen förs över till den föreslagna lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Patientdatalagen trädde i kraft den 1 juli 2008, men bestämmelserna i den lagen om nationella och regionala kvalitetsregister började inte tillämpas förrän den 1 juli 2009 i fråga om nationella och regionala kvalitetsregister som börjat föras före det att patientdatalagen trädde i kraft. Innan dess reglerades kvalitetsregister av de allmänna bestämmelserna i den då gällande personuppgiftslagen (1998:204). I samband med att man införde en särreglering av kvalitetsregister i patientdatalagen infördes strängare krav på bland annat patientens rätt att motsätta sig behandling och skyldigheten att lämna information.
Till patientdatalagen infördes dessutom en övergångsbestämmelse som innebär att bestämmelserna om rätt att motsätta sig behandling av personuppgifter i kvalitetsregister och om information om sådan behandling inte skulle gälla beträffande sådana personuppgifter som hade behandlats före den 1 juli 2009. Det innebär att redan insamlade personuppgifter får finnas kvar i kvalitetsregist-
ren och att nämnda information endast behöver lämnas beträffande framtida behandling av personuppgifter i registren.1
För att detta ska gälla även fortsättningsvis för sådana register som påbörjats före den 1 juli 2009 bör en likalydande övergångsbestämmelse finnas till den nya lagen. Den har samma innebörd som motsvarande övergångsbestämmelse till patientdatalagen.
Enligt utredningens förslag i avsnitt 16.4.3 ska en bestämmelse motsvarande förbudet i 6 kap. 1 § andra stycket patientdatalagen mot direktåtkomst för vårdgivare till personuppgifter som behandlas av en annan vårdgivare i en utredning enligt lagen (2018:744) om försäkringsmedicinska utredningar tas med i lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Bestämmelsen i patientdatalagen infördes i samband med att lagen om försäkringsmedicinska utredningar trädde i kraft den 1 januari 2019. Då angavs i övergångsbestämmelserna till införandet i patientdatalagen att de nya bestämmelserna skulle tillämpas på försäkringsmedicinska utredningar som Försäkringskassan begär från och med ikraftträdandet. Skälet till detta var att försäkringsmedicinska utredningar vid tiden för ikraftträdandet utfördes enligt en överenskommelse mellan staten och Sveriges Kommuner och Landsting (nuvarande Sveriges Kommuner och Regioner) och att det därför, vid tidpunkten för ikraftträdande av de nya bestämmelserna, med största sannolikhet skulle finnas både pågående utredningar samt utredningar som begärts av Försäkringskassan men som ännu inte har påbörjats. Det var därför viktigt att klargöra från och med när de nya bestämmelserna skulle tillämpas, vilket enligt regeringen gällde avseende samtliga lagändringar som föreslogs med anledning av lagen om försäkringsmedicinska utredningar.2
Trots att viss tid förflutit sedan lagen om försäkringsmedicinska utredningar trädde i kraft anser utredningen att det inte kan uteslutas att det fortfarande kan finnas pågående utredningar som Försäkringskassan begärt före den 1 januari 2019 och att en motsvarande övergångsbestämmelse därför bör finnas även till den nya lagen.
Några övriga övergångsbestämmelser har inte ansetts nödvändiga.
22. Konsekvenser
22.1. Inledning
I detta kapitel redovisas utredningens bedömning av konsekvenserna av de förslag utredningen lämnar. Redovisningen görs enligt 14– 15 a §§kommittéförordningen (1998:1474). Det innebär att om förslagen i betänkandet påverkar kostnaderna eller intäkterna för staten, kommuner, regioner, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas i betänkandet. Även samhällsekonomiska konsekvenser i övrigt ska redovisas. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras. Vidare ska eventuella konsekvenser för den kommunala självstyrelsen, för brottsligheten och det brottsförebyggande arbetet, samt för sysselsättning och offentlig service i olika delar av landet redovisas. Detsamma gäller små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företag, för jämställdheten mellan kvinnor och män eller för möjligheten att nå de integrationspolitiska målen.
Eftersom betänkandet innehåller författningsförslag, ska förslagens kostnadsmässiga och andra konsekvenser anges på ett sätt som motsvarar de krav på innehållet i konsekvensutredningar som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning.
Enligt direktiven ska utredningen särskilt redovisa förslagens konsekvenser för den personliga integriteten.
Utredningen har lämnat två huvudförslag om att införa möjlighet till sammanhållen vård- och omsorgsdokumentation respektive kvalitetsuppföljning. Utredningen har också föreslagit vissa nya bestämmelser som bryter sekretessen inom hälso- och sjukvård och socialtjänst. Vidare har utredningen föreslagit vissa följdändringar i offentlighets- och sekretesslagen (2009:400) och i registerlagstiftningar.
Konsekvensanalysen utgår från de förändringar som förslagen medför i relation till vad som gäller enligt nuvarande reglering, dvs. enligt befintliga registerförfattningar, dataskyddsförordningen och övrig reglering.
22.2. Konsekvensredovisning enligt kommittéförordningen
Utredningens bedömning: Huvudförslagen om sammanhållen
vård- och omsorgsdokumentation respektive kvalitetsuppföljning är frivilliga att använda. Det är således upp till varje region, kommun och företag att välja om regelverken ska tillämpas eller inte. Förslagen förväntas därför inte i sig medföra några ekonomiska konsekvenser.
Inte heller i övrigt bedöms förslagen medföra några sådana konsekvenser som ska beskrivas enligt kommittéförordningen.
Förslagen om sammanhållen vård- och omsorgsdokumentation samt kvalitetsuppföljning är utformade som möjligheter som är frivilliga att tillämpa. De som berörs av förslagen är, förutom patienter och omsorgsmottagare, främst regioner, kommuner och företag som verkar inom vård och omsorg. Den som inte vill använda sammanhållen vård- och omsorgsdokumentation eller besluta om eller lämna uppgifter till en beslutad kvalitetsuppföljning behöver inte göra det. Förslagen kommer därför inte i sig att föra med sig några obligatoriska kostnader för regioner, kommuner eller företag. Det är upp till varje region, kommun och företag att inför en eventuell anslutning till regelverket göra en avvägning mellan å ena sidan kostnader och andra konsekvenser och å andra sidan vad som står att vinna. Det får antas att anslutning bara sker om det bedöms som förmånligt.
Om regioner eller kommuner väljer att använda sig av möjligheten till sammanhållen vård- och omsorgsdokumentation respektive kvalitetsuppföljning, kan detta föra med sig vissa krav på it-struktur och informationssäkerhet för sådana vård- och omsorgsföretag som upphandlas eller på andra sätt sluter avtal med det offentliga. Detta kan tänkas medföra vissa kostnader för företagen och därmed för regionerna eller kommunerna när det gäller it och digitala tjänster. Redan i dag ställer emellertid regioner och kommuner i regel höga
krav på it-infrastruktur och dataskydd i sina upphandlingar. Flera av de förslag som utredningen lämnar befäster därtill sådana principer om dataskydd och it-säkerhet som redan följer av dataskyddsförordningen eller nationell rätt och som regionerna, kommunerna och företagen redan är skyldiga att tillämpa. Utredningen bedömer därför att förslagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning inte i sig kommer att medföra några ökade kostnader för företagen.
Den föreslagna regleringen ställer inga precisa krav på vilka itsystem som ska användas. Varje region eller kommun kan således välja att utforma sitt eget it-system. Det kan innebära ökade kostnader för större företag på området med verksamhet hos flera regioner eller kommuner, som kan behöva använda och underhålla flera it-system parallellt. Mindre företag på området, som förmodligen ofta har verksamhet i bara en region eller kommun, kan antas bli berörda i minde omfattning och skulle därmed kunna få en viss konkurrensfördel i förhållande till större företag. Å andra sidan lär regioner och kommuner redan i dag ha skilda it-system som anlitade företag ska ansluta sig till.
I anslutning till förslaget om att införa en generell sekretessbrytande regel i socialtjänsten föreslår utredningen att det införs vissa obligatoriska bestämmelser om dataskydd i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Hit hör spärrmöjligheter för den enskilde, tilldelning av behörighet för elektronisk åtkomst, loggning och kontroll av elektronisk åtkomst (se avsnitt 20.2.11–20.2.15). Det som framgår av dessa dataskyddsbestämmelser följer emellertid enligt utredningens bedömning av dataskyddsförordningen och de grundläggande principer som slås fast i socialtjänstlagen (2001:453) och lagen (1993:387) om stöd och service till vissa funktionshindrade och som kommunerna redan har att tillämpa. Därför bedöms förslaget i sig inte heller i denna del leda till några nämnvärda kostnadsökningar för de kommuner och företag som redan följer gällande lagstiftning. Eventuella kostnadsökningar för att följa de föreslagna bestämmelserna för de kommuner och företag som inte i dag följer vad de är skyldiga att göra, är inte i sig en konsekvens av förslagen och har för övrigt heller inte kunnat beräknas eller ens uppskattas. Inte heller i övrigt kan förslagen i sig förväntas leda till några samhällsekonomiska kostnader.
Eftersom förslagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning är möjligheter som det är upp till
varje region och kommun att använda eller inte, är det vidare utredningens bedömning att förslagen inte får några negativa konsekvenser för den kommunala självstyrelsen. Den kommunala självstyrelsen har beaktats fullt ut vid utformningen av förslagen.
Författningsförslagen är könsneutralt utformade och förväntas inte få några konsekvenser för jämställdheten mellan kvinnor och män. Inte heller brottligheten, det brottsförebyggande arbetet, sysselsättningen eller möjligheten att nå de integrationspolitiska målen bedöms påverkas av förslagen.
22.3. Konsekvenser för den personliga integriteten
Utredningens bedömning: Utredningens förslag medför konse-
kvenser för den personliga integriteten. Dessa konsekvenser har beaktats och föreslagna integritetsstärkande åtgärder samt utredningens integritetsavvägningar har fylligt redovisats i respektive avsnitt.
Utredningen ska särskilt redovisa förslagens konsekvenser för den personliga integriteten. Eventuella inskränkningar i integritetsskyddet ska följas av analyser samt proportionerliga och tydliga avvägningar där alternativa metoder och mindre integritetskränkande alternativ ska övervägas eller där förslag på särskilda integritetsskyddande åtgärder lämnas.
Om utredningens förslag genomförs, kommer det att medföra ändringar i registerförfattningarna inom vård och omsorg som på olika sätt får konsekvenser för hur personuppgifter får behandlas inom dessa områden. Konsekvenserna för den personliga integriteten, förslag på integritetsstärkande åtgärder samt utredningens samlade integritetsavvägningar har på ett detaljerat sätt redovisats vid varje förslag i respektive avsnitt. Utredningen kommer därför inte här att upprepa dessa bedömningar utan hänvisar till de särskilda avsnitten med konsekvensanalyser som berör den personliga integriteten enligt följande. – Avsnitt 12.3.1–12.3.12 för sammanhållen omsorgsdokumenta-
tion i socialtjänsten om äldre och personer med funktionsnedsättningar.
– Avsnitt 13.3.1–13.3.5 för sammanhållen vård- och omsorgsdoku-
mentation mellan hälso- och sjukvården och socialtjänsten. – Avsnitt 14.6.1–14.6.7 för kvalitetsuppföljning. – Avsnitt 19.2.4 för sekretess för uppgift om personliga förhållan-
den inom socialtjänst vid sammanhållen vård- och omsorgsdokumentation. – Avsnitt 19.4.4 för bestämmelser som bryter sekretessen mellan
vård- och omsorgsgivare vid kvalitetsuppföljning över vård- och omsorgsgivargränser. – Avsnitt 20.2.8 för sekretessbrytande bestämmelse för social-
tjänsten. – Avsnitt 20.3.5 för bestämmelse som tillåter uppgiftslämnande
mellan hälso- och sjukvårdsmyndigheter och privata hälso- och sjukvårdsföretag.
23. Författningskommentar
23.1. Sammanhållen vård och omsorgsdokumentation och kvalitetsuppföljning
23.1.1. Förslaget till lag om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning
1 kap. Gemensamma bestämmelser
Definitioner
1 § I denna lag används följande uttryck med nedan angiven bety-
delse.
Uttryck Betydelse
EU:s dataskyddsförordning Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30) , tandvårdslagen (1985:125) , lagen ( 1991:1128 ) om psykiatrisk tvångsvård, lagen ( 1991:1129 ) om rättspsykiatrisk vård, smittskyddslagen
( 2004:168 ), lagen ( 1972:119 ) om fastställande av könstillhörighet i vissa fall, lagen ( 2006:351 ) om genetisk integritet m.m., lagen ( 2018:744 ) om försäkringsmedicinska utredningar, lagen ( 2019:1297 ) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen ( 1944:133 ) om kastrering.
Insatser för äldre eller personer med funktionsnedsättningar
Insatser
1. enligt 4 kap. 1 § socialtjänstlagen (2001:453) som beskrivs i 3 kap. 6 § första stycket socialtjänstlagen och som lämnas till äldre och personer med funktionsnedsättningar,
2. enligt 4 kap. 1 § socialtjänstlagen som beskrivs i 5 kap. 5 och 7 §§ socialtjänstlagen ,
3. enligt 4 kap. 2 a § socialtjänstlagen , och
4. enligt lagen ( 1993:387 ) om stöd och service till vissa funktionshindrade.
Kvalitetsuppföljning Uppföljning av kvaliteten på hälso- och sjukvård som en huvudman ansvarar för enligt hälso- och sjukvårdslagen (2017:30) och insatser för äldre eller personer med funktionsnedsättningar som en region eller kommun ansvarar för enligt socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade.
Omsorgsgivare Myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar (offentlig omsorgsgivare) och juridisk person eller enskild näringsidkare som utför sådana insatser (privat omsorgsgivare).
Omsorgsmottagare Person som fått eller får insatser för äldre eller personer med funktionsnedsättningar eller som fått eller får behovet av sådana insatser bedömda.
Patient Person som fått, får eller är registrerad för att få hälso- och sjukvård.
Sammanhållen vård- och omsorgsdokumentation
Ett elektroniskt system, som gör det möjligt för en vård- eller omsorgsgivare att ge eller få tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos andra vård- eller omsorgsgivare.
Vårdgivare Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
Vårdinstans Myndighet som har ansvar för eller bedriver hälso- och sjukvård (offentlig vårdinstans) och juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdinstans).
I 4 kap. 1 § finns en definition av kvalitetsregister.
Paragrafen innehåller i första stycket definitioner av vissa centrala begrepp i lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. I andra stycket finns en påminnelse om en definition som finns i en annan paragraf i lagen.
EU:s dataskyddsförordning
Det anges vilken förordning eller vilken rättsakt som avses i lagen med uttrycket EU:s dataskyddsförordning.
Hälso- och sjukvård
Hälso- och sjukvård är ett begrepp som förs in och definieras särskilt i lagen. Definitionen överensstämmer med den definition som finns i patientdatalagen. Övervägandena finns i avsnitt 16.1.8.
Insatser för äldre eller personer med funktionsnedsättningar
Insatser för äldre eller personer med funktionsnedsättningar är ett begrepp som förs in och definieras särskilt i lagen. Övervägandena finns i avsnitt 16.1.2 och 16.1.3.
Insatser för äldre eller personer med funktionsnedsättningar definieras som insatser enligt 4 kap. 1 § socialtjänstlagen (2001:453), förkortad SoL, som beskrivs i 5 kap.5 och 7 §§socialtjänstlagen samt insatser som beskrivs i 3 kap. 6 § socialtjänstlagen och som lämnas till äldre och personer med funktionsnedsättningar, insatser enligt 4 kap. 2 a § socialtjänstlagen och insatser enligt lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS. Avsikten med
definitionen är att den ska omfatta insatser i verksamheter som antingen bedömer behov av, eller lämnar, insatser till äldre och personer med funktionsnedsättningar som de får på grund av behov som uppstått till följd av hög ålder (dvs. är en äldre person) eller funktionsnedsättningar.
Samtliga insatser som ges med stöd av LSS ingår i definitionen. Även hemtjänst som beviljas till äldre utan föregående behovsprövning med stöd av 4 kap. 2 a § socialtjänstlagen ingår i definitionen.
I definitionen ingår även sådana insatser enligt 4 kap. 1 § socialtjänstlagen som beskrivs i 5 kap.5 och 7 §§socialtjänstlagen. Av ordalydelsen i dessa bestämmelser framgår att dessa insatser uteslutande riktar sig till äldre eller personer med funktionsnedsättningar. Som exempel på insatser för äldre kan nämnas hemtjänst och särskilda boendeformer för service och omvårdnad för äldre som behöver särskilt stöd. När det gäller insatser till personer med funktionsnedsättningar omfattar definitionen insatser i form av exempelvis hemtjänst, boendestöd och särskilt boende.
Även insatser enligt 4 kap. 1 § socialtjänstlagen som beskrivs i 3 kap. 6 § första stycket socialtjänstlagen ingår i definitionen men bara under förutsättning att insatsen lämnas till äldre eller personer med funktionsnedsättningar. Avsikten är att respektive region och kommun genom interna riktlinjer får avgöra när någon är äldre respektive har en funktionsnedsättning. I 3 kap. 6 § första stycket socialtjänstlagen anges att socialnämnden genom hemtjänst, dagverksamheter eller annan liknande social tjänst bör underlätta för den enskilde att bo hemma och att ha kontakt med andra. Alla insatser i form av hemtjänst, dagverksamheter eller annan liknande socialtjänst för att underlätta för den enskilde att bo hemma och att ha kontakt med andra, som lämnas till äldre och personer med funktionsnedsättningar omfattas av definitionen. Det gäller även om insatsen lämnas på grund av behov som inte uppstått till följd av hög ålder eller funktionsnedsättning, utan exempelvis behov som uppstått till följd av missbruk eller ett benbrott, om insatsen lämnas till någon som är äldre eller har funktionsnedsättningar. Denna punkt omfattar bl.a. dagverksamhet för personer med demenssjukdom på grund av hög ålder och dagverksamhet för personer med funktionsnedsättning.
För en uppräkning av vilka typer av insatser som ingår i hemtjänst, se avsnitt 8.5.5. Det ska här särskilt noteras att ledsagning eller andra
insatser som behövs för att bryta isolering samt avlösning av anhörigvårdare i hemmet ingår i hemtjänst även om vissa kommuner beslutar om detta som en särskild insats. Turbundna resor, dvs. resor till och från dagverksamhet och korttidstillsyn, ingår dock inte.
Insatser för äldre som tillhandahålls enligt lagen (2009:47) om vissa kommunala befogenheter, den s.k. befogenhetslagen, ingår dock inte heller i definitionen.
Kvalitetsuppföljning
Kvalitetsuppföljning är ett begrepp som förs in och definieras särskilt i lagen. Övervägandena finns i avsnitt 17.1.1.
Kvalitetsuppföljning definieras som uppföljning av kvaliteten på hälso- och sjukvård som en huvudman ansvarar för enligt hälso- och sjukvårdslagen och insatser för äldre eller personer med funktionsnedsättningar som en region eller kommun ansvarar för enligt socialtjänstlagen och LSS. Ett syfte med att använda det nya begreppet kvalitetsuppföljning med en egen definition är att tydligt särskilja kvalitetsuppföljning från andra, liknande begrepp som används i olika sammanhang för att beskriva uppföljning, kvalitetssäkring och verksamhetsuppföljning.
Kvalitetsuppföljning kan omfatta åtgärder som på olika sätt syftar till och är ägnade att förbättra eller utveckla vården och omsorgen inom en huvudmans ansvarsområde. Begreppet ska ges en vid tolkning. Tanken är inte att ge en uttömmande beskrivning om vilka åtgärder som kan ingå i kvalitetsuppföljning, utan det närmare innehållet i den aktuella kvalitetsuppföljningen får ankomma på fullmäktige att ange i beslutet om den.
Det kan t.ex. handla om att följa upp medicinsk och annan kvalitet i vård- och omsorgsinsatser. Det kan även handla om att följa upp insatsernas kostnadseffektivitet och produktivitet. Viss sådan behandling av personuppgifter som avses i 2 kap. 4 § första stycket 4 och 5 patientdatalagen (2008:355) (PDL) (dvs. behandling för att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten och administration, planering, uppföljning, utvärdering och tillsyn av verksamheten) kan ingå. Vissa sådana åtgärder som omfattas av 12 § 10 förordning (2001:637) om behandling av personuppgifter inom socialtjänsten (SoLPUF) (dvs. att behandla per-
sonuppgifter för tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten) kan också ingå i kvalitetsuppföljning. Utanför begreppet kvalitetsuppföljning faller sådant som tillsyn, administration och planering av verksamheten.
Kvalitetsuppföljning får omfatta insatser för all hälso- och sjukvård som en region eller kommun ansvarar för. När det gäller insatser enligt socialtjänstlagen och LSS avgränsas de insatser som omfattas. Lagen omfattar insatser för sådana omsorgsmottagare som en kommun eller region ansvarar för enligt socialtjänstlagen eller LSS. Med omsorgsmottagare avses en person som får insatser för äldre eller personer med funktionsnedsättningar eller som får behovet av sådana insatser bedömda. För en närmare beskrivning av vad som innefattas i insatserna hänvisas till kommentaren till begreppet omsorgsmottagare och begreppet insatser för äldre eller personer med funktionsnedsättningar.
Tanken är inte att kvalitetsuppföljning ska användas för att följa upp hur vården eller omsorgen fallit ut i individuella fall, utan kvalitetsuppföljning är något som avses genomföras på verksamhetsnivå och ta sikte på större skeden och processer, där uppgifter om många personer behöver användas för att följa upp skedena och processerna.
Personuppgifter som rör barn får ingå i kvalitetsuppföljningen, när det gäller hälso- och sjukvård och insatser för personer med funktionsnedsättningar, om barnet inte har motsatt sig det. Se överväganden i avsnitt 17.1.4 om barns möjligheter att medverka i kvalitetsuppföljning.
Lagen gäller för kvalitetsuppföljning av hälso- och sjukvård som en huvudman ansvarar för enligt hälso- och sjukvårdslagen (2017:30) respektive av socialtjänstens insatser för äldre eller personer med funktionsnedsättningar som en huvudman ansvarar för enligt socialtjänstlagen och LSS. En huvudman får följa upp sådan verksamhet som denne ansvarar för oberoende av vem som utför verksamheten eller var denna har sin geografiska hemvist. De andra vårdinstanserna och omsorgsgivarna som personuppgifterna samlas in från, kan alltså ha sin verksamhet inom eller utanför den beslutande regionen eller kommunen. Kvalitetsuppföljning får följaktligen avse sådan hälso- och sjukvård och omsorg som regionen eller kommunen ansvarar för, även när verksamheten utförs av någon annan. Så är exempelvis fallet när en region eller kommun anlitar en privat utförare med stöd av
lagen (2008:962) om valfrihetssystem. Ett annat exempel på när ansvaret kvarstår hos regionen är när en region med stöd av avtal betalar ersättning till privata läkare eller fysioterapeuter som etablerat sig i regionen enligt lagen (1993:1651) om läkarvårdsersättning och lagen (1993:1652) om ersättning för fysioterapi.
Generellt kan sägas att när det handlar om insatser som regionen eller kommunen betalar för, är det regionen eller kommunen som ansvarar. Därmed har fullmäktige möjlighet att besluta om kvalitetsuppföljning enligt 3 kap. 2 §. Utanför lagen faller uppföljning av privat hälso- och sjukvård och socialtjänst som inte har någon (offentlig) huvudman. Helt privatfinansierad vård- och omsorg omfattas därmed inte.
Även statliga myndigheter kan bedriva hälso- och sjukvård eller socialtjänst. Eftersom kvalitetsuppföljning bara får gälla den hälso- och sjukvård respektive socialtjänst som den beslutande regionen eller kommunen ansvarar för, utesluts dock kvalitetsuppföljning av sådan hälso- och sjukvård eller socialtjänst som statliga myndigheter ansvarar för.
Vid olika former av samverkan mellan vårdinstanser och omsorgsgivare gäller att en sjukvårdshuvudman eller en myndighet inom en region eller kommun alltid ytterst är ansvarig för sin respektive del. Det innebär att vid samverkan får fullmäktige besluta om kvalitetsuppföljning bara avseende den del av samarbetet som den aktuella regionen eller kommunen själv ansvarar för. De personuppgifter som behandlas vid kvalitetsuppföljningen får dock samlas in från någon annan, t.ex. från samverkanspartnern.
I avsnitt 17.1.5 görs en närmare genomgång och exemplifiering av vad som i olika sammanhang menas med insatser som en offentlig vårdinstans eller omsorgsgivare ansvarar för på så sätt att fullmäktige hos denne får besluta om kvalitetsuppföljning.
Omsorgsgivare
Omsorgsgivare är ett begrepp som förs in och definieras särskilt i lagen. Övervägandena finns i avsnitt 16.2.
Omsorgsgivare är benämningen på den myndighet (nämnd), juridiska person eller enskilda näringsidkare inom socialtjänsten som har möjlighet att ge och få tillgång till den sammanhållna vård- och
omsorgsdokumentationen. Omsorgsgivaren ska motsvara den som är personuppgiftsansvarig inom sammanhållen journalföring i patientdatalagen. Det är alltså inte en anställd hos en nämnd (myndighet) eller ett företag, eller en viss enhet inom en nämnd (myndighet) eller ett företag, som är omsorgsgivare i lagens mening. Med att ansvara för en insats avses att handlägga och besluta i ärenden om insatser och följa upp besluten om insatser. Detta kan göras av den eller de nämnder (myndigheter) som kommunfullmäktige bestämmer i respektive kommun (se 2 kap. 4 § SoL och 22 § LSS). Regioner och kommuner kan också besluta att dessa arbetsuppgifter ska ankomma på en gemensam nämnd (myndighet), se lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet och 9 kap. 21 § kommunallagen (2017:725). Med att utföra en insats avses att genomföra den insats som en nämnd (myndighet) beslutat om. Det kan göras av en kommunal nämnd (myndighet), eller genom en juridisk person eller en enskild näringsidkare, efter upphandling av en privat utförare eller inrättande av ett valfrihetssystem.
Det är bara den som ansvarar för eller utför insatser för äldre eller personer med funktionsnedsättningar enligt definitionen i paragrafen som är omsorgsgivare. Den definitionen förutsätter att det är fråga om insatser enligt viss lagstiftning. Ett företag som, vid sidan av den lagstiftningen, hjälper äldre eller personer med funktionsnedsättningar med olika sysslor i hemmet, t.ex. med RUT-avdrag, är inte omsorgsgivare i lagens mening. Inte heller den som utför insatser för äldre som tillhandahålls enligt lagen om vissa kommunala befogenheter, den s.k. befogenhetslagen, är omsorgsgivare i lagens mening.
Omsorgsmottagare
Omsorgsmottagare är ett nytt begrepp som förs in och definieras särskilt i lagen. Övervägandena finns i avsnitt 16.1.6.
Omsorgsmottagare definieras som person som fått eller får insatser för äldre eller personer med funktionsnedsättningar eller som får behovet av sådana insatser bedömda. Omsorgsmottagare är alltså benämningen på den person vars personuppgifter behandlas i systemet med sammanhållen vård- och omsorgsdokumentation på grund av omsorgsinsatser. Av definitionen framgår att det endast är personer som får omsorgsinsatser i form av insatser för äldre eller per-
soner med funktionsnedsättningar som omfattas. Se mer om definitionen insatser för äldre eller personer med funktionsnedsättningar ovan. Av definitionen framgår också att som omsorgsmottagare i lagens mening anses såväl den som får eller tidigare har fått en sådan insats som den som endast har ansökt om bistånd för en sådan insats och ännu inte fått den beviljad eller som redan fått avslag på en ansökan om en sådan insats. Det innebär att redan den som får eller har fått behovet av en sådan insats bedömt är omsorgsmottagare i lagens mening.
Patient
Patient är ett begrepp som förs in och definieras särskilt i lagen. Övervägandena finns i avsnitt 16.1.6.
Patient definieras som person som fått, får eller är registrerad för att få hälso- och sjukvård. Patient är alltså benämningen på en person vars personuppgifter behandlas i systemet med sammanhållen vård- och omsorgsdokumentation på grund av hälso- och sjukvård. Av definitionen framgår att som patient i lagens mening anses såväl den som får eller tidigare har fått sjukvård såväl som den som endast är listad, dvs. registrerad för att få hälso- och sjukvård, hos en vårdgivare, t.ex. den som valt en husläkare men ännu inte fått någon hälso- och sjukvård.
Även hälso- och sjukvård definieras i paragrafen (se ovan).
Sammanhållen vård- och omsorgsdokumentation
Sammanhållen vård- och omsorgsdokumentation är ett begrepp som förs in och definieras särskilt i lagen. Övervägandena finns i avsnitt 16.3.
Sammanhållen vård- och omsorgsdokumentation definieras som ett elektroniskt system, som gör det möjligt för en vård- eller omsorgsgivare att ge eller få tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos andra vård- eller omsorgsgivare. Definitionen inbegriper, till skillnad från vad som gäller för sammanhållen journalföring, även annat elektroniskt utlämnande än direktåtkomst.
Sammanhållen vård- och omsorgsdokumentation innebär att vård- och omsorgsgivare under de förutsättningar som redogörs för i lagens 2 kap. får möjlighet att ta del av varandras dokumentation och journalföring.
Vårdgivare
Vårdgivare är ett begrepp som förs in och definieras särskilt i lagen. Definitionen överensstämmer med den definition som finns i patientdatalagen. Övervägandena finns i avsnitt 16.1.8
Vårdinstans
Begreppet vårdinstans är ett nytt begrepp som förs in med en särskild definition i lagen. Det används bara i 3 kap. om kvalitetsuppföljning. Övervägandena finns i avsnitt 17.1.2.
Med vårdinstans avses myndighet som har ansvar för eller bedriver hälso- och sjukvård (offentlig vårdinstans) och juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdinstans). Begreppet vårdinstans införs i fråga om kvalitetsuppföljning för att särskilja det från begreppet vårdgivare som används i andra sammanhang i lagen, t.ex. vid sammanhållen vård- och omsorgsdokumentation (2 kap.) respektive vid kvalitetsregister (4 kap.). Begreppet vårdgivare som används vid sammanhållen vård- och omsorgsdokumentation är annorlunda konstruerat (se avsnitt 17.1.2). Med offentliga vårdgivare avses nämligen regionen eller kommunen som sådan. Med offentlig vårdinstans avses i stället respektive myndighet (nämnd) inom regionen eller kommunen. I regioner och kommuner är varje nämnd en egen myndighet. Med offentlig vårdinstans, dvs. myndighet som har ansvar för eller bedriver hälso- och sjukvård, avses alltså en nämnd inom en region eller en kommun. Det innebär att t.ex. en klinik, en vårdcentral eller en avdelning på ett sjukhus inte är en offentlig vårdinstans enligt definitionen.
Privata aktörer som bedriver hälso- och sjukvård är vårdinstanser. En förutsättning för att utpekas som en sådan vårdinstans som kan omfattas av ett beslut om kvalitetsuppföljning är dock att regionen eller kommunen har ansvar för den bedrivna hälso- och sjukvården.
En privat vårdinstans, som inte har något uppdrag eller någon finansiering från en offentlig vårdinstans, kan därmed inte omfattas av ett beslut om kvalitetsuppföljning. Se närmare om innebörden av ansvar i kommentaren till definitionen av kvalitetsuppföljning.
En vårdinstans är det organ som ska vara personuppgiftsansvarigt för behandlingen av personuppgifter enligt fullmäktiges beslut om kvalitetsuppföljning enligt 3 kap. 2 § och det organ från vilket personuppgifter får samlas in för kvalitetsuppföljningen.
Förhållandet till annan dataskyddsreglering
1 kap. 2 § Denna lag innehåller bestämmelser som kompletterar
EU:s dataskyddsförordning, patientdatalagen (2008:355) och lagen ( 2001:454 ) om behandling av personuppgifter inom socialtjänsten samt föreskrifter som har meddelats i anslutning till den lagen.
Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Personuppgifter får utan hinder av patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten och anknytande föreskrifter lämnas ut för att behandlas för sådan kvalitetsuppföljning som är tillåten enligt 3 kap. Vid utlämnande av personuppgifter för kvalitetsuppföljning enligt 3 kap. ska uppgifter om patientens eller omsorgsmottagarens identitet vara krypterade på ett sådant sätt att dennes identitet skyddas.
I paragrafen anges lagens förhållande till annan dataskyddsreglering. Övervägandena finns i avsnitt 15.5.
Första stycket upplyser om att lagen innehåller bestämmelser som
kompletterar dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig, men förutsätter eller tillåter i vissa avseenden nationella bestämmelser som kompletterar den, i form av preciseringar eller undantag. Nationell reglering krävs bl.a. vid behandling av känsliga personuppgifter som är nödvändig av hänsyn till ett viktigt allmänt intresse. Hänvisningen till dataskyddsförordningen i lagen är dynamisk, dvs. avser dataskyddsförordningen i dess vid varje tid-
punkt gällande lydelse. Att lagen kompletterar dataskyddsförordningen innebär bl.a. att det kan bli fråga om skadestånd enligt 7 kap. 1 § dataskyddslagen vid brott mot bestämmelserna i lagen.
Vidare framgår av första stycket att lagen kompletterar patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten (SoLPUL) samt föreskrifter som har meddelats i anslutning till den lagen. Förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten (SoLPUF) innehåller sådana föreskrifter.
Av andra stycket framgår lagens relation till den generella dataskyddslagen. Dataskyddslagen kompletterar dataskyddsförordningen på nationell generell nivå. Den lag som föreslås i detta betänkande har företräde framför dataskyddslagen. Om inte annat följer av lagen eller föreskrifter som har meddelats med stöd av lagen, gäller alltså dataskyddslagen.
Bestämmelserna i tredje stycket ger lagstöd för utlämnande av personuppgifter för kvalitetsuppföljning enligt 3 kap. och klargör att det får ske utan hinder av bestämmelserna i patientdatalagen och SolPUL med anknytande föreskrifter, dvs. SoLPUF. Se avsnitt 15.5.4 för närmare överväganden i denna del.
Vid utlämnandet ska uppgifter om patientens eller omsorgsmottagarens identitet vara krypterade på ett sådant sätt att dennes identitet skyddas. Bestämmelsen anknyter till lagens bestämmelse i 3 kap. 7 § om kryptering. Se närmare i kommentaren till den bestämmelsen.
Lagen innehåller inte några särskilda bestämmelser eller restriktioner om sättet för att lämna ut eller samla in personuppgifter för kvalitetsuppföljning, förutom att uppgifter om patientens eller omsorgsmottagarens identitet ska vara krypterade vid utlämnandet. Sådana restriktioner kan dock följa av andra bestämmelser. Exempelvis är utlämnande av personuppgifter genom direktåtkomst enligt patientdatalagen endast tillåten i den utsträckning som anges i lag eller förordning (5 kap. 4 § PDL).
2 kap. Sammanhållen vård- och omsorgsdokumentation
Tillämpningsområde
1 § Bestämmelserna i detta kapitel får tillämpas på vårdgivares be-
handling av personuppgifter enligt patientdatalagen (2008:355) .
Bestämmelserna i detta kapitel får också tillämpas på omsorgsgivares behandling av personuppgifter enligt lagen ( 2001:454 ) om behandling av personuppgifter inom socialtjänsten för dokumentation
1. enligt 11 kap. 5 § socialtjänstlagen (2001:453) avseende insatser för äldre eller personer med funktionsnedsättningar, eller
2. enligt 21 a § lagen ( 1993:387 ) om stöd och service till vissa funktionshindrade.
Andra stycket gäller dock bara om dokumentationen förs för varje omsorgsmottagare för sig.
Paragrafen anger det materiella tillämpningsområdet för bestämmelserna i 2 kap. Övervägandena finns i avsnitt 16.1.
Av första stycket framgår att bestämmelserna i 2 kap. om sammanhållen vård- och omsorgsdokumentation får tillämpas på vårdgivares behandling av personuppgifter enligt patientdatalagen. Eftersom bestämmelserna om sammanhållen journalföring i 6 kap. patientdatalagen upphävs, är det bestämmelserna om sammanhållen vård- och omsorgsdokumentation i 2 kap. som, i stället för bestämmelserna om sammanhållen journalföring, får tillämpas på vårdgivares behandling av personuppgifter för vårddokumentation. Av 2 kap. 1 § patientdatalagen framgår att det är bara viss behandling av personuppgifter inom hälso- och sjukvården som avses, nämligen sådan som är helt eller delvis automatiserad eller där uppgifterna ingår i, eller är avsedda att ingå i, en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Det är inte tanken att någon materiell ändring ska ske av gällande bestämmelser om sammanhållen journalföring i patientdatalagen utan att dessa bestämmelserna ska tillämpas som tidigare med samma materiella innehåll med två undantag. Det ena är att en ändring görs när det gäller formen för utlämnande, som ska kunna ske genom direktåtkomst eller annat elektroniskt utlämnande, se författningskommentaren till 2 kap. 2 § om detta. Den andra materiella ändringen rör möjligheten att ta del av barns personuppgifter, se författningskommentaren till 2 kap. 6 § om detta.
Av andra stycket framgår att bestämmelserna om sammanhållen vård- och omsorgsdokumentation i 2 kap. också får tillämpas på omsorgsgivares behandling av personuppgifter enligt SoLPUL för dokumentation avseende insatser för äldre eller personer med funktionsnedsättningar. Av 1 § SoLPUL framgår att den lagen tillämpas vid behandling av personuppgifter inom socialtjänsten bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt ett eller flera särskilda kriterier. Det är bara dokumentation enligt 11 kap. 5 § socialtjänstlagen, avseende insatser för äldre eller personer med funktionsnedsättningar
,
och 21 a § LSS som får ingå i samman-
hållen vård och omsorgsdokumentation. I 1 kap. 1 § finns en definition av insatser för äldre eller personer med funktionsnedsättningar.
För att avgränsningen av vilken dokumentation inom socialtjänsten som får ingå i sammanhållen vård- och omsorgsdokumentation enligt 2 kap. ska underlättas i den praktiska hanteringen, bör det av socialtjänstens beslut om bistånd tydligt framgå att insatsen är sådan som avses respektive beskrivs i de bestämmelser som framgår av definitionen av insatser för äldre eller personer med funktionsnedsättningar. På så sätt blir det tydligt att dokumentation om denna insats får ingå i systemet med sammanhållen vård- och omsorgsdokumentation.
Första och andra styckena innebär, tillsammans med de övriga bestämmelserna i 2 kap., att möjligheten för vårdgivare att ta del av uppgifter om patienter hos andra vårdgivare kvarstår i sak oförändrad, men utökas med möjligheten för vårdgivare att ta del av uppgifter hos omsorgsgivare om äldre och personer med funktionsnedsättningar. Bestämmelserna innebär också att omsorgsgivare får möjlighet att ta del av uppgifter dels hos vårdgivare, dels hos andra omsorgsgivare, gällande insatser för äldre och personer med funktionsnedsättningar.
Av första och andra styckena framgår även att det är frivilligt att inrätta eller ansluta sig till ett system med sammanhållen vård- och omsorgsdokumentation, eftersom det anges att bestämmelserna i 2 kap. får (men inte behöver) tillämpas, se avsnitt 16.3 och 16.4. Om någon vård- eller omsorgsgivare väljer att ansluta sig till ett system med sammanhållen vård- och omsorgsdokumentation, måste alla bestämmelser i 2 kap. följas; det är bara anslutningen som är frivillig.
Den föreslagna lagen hindrar givetvis inte att en privat vård- eller omsorgsgivare genom avtal förpliktar sig att använda sammanhållen vård- och omsorgsdokumentation.
Av tredje stycket framgår att bestämmelserna om sammanhållen vård- och omsorgsdokumentation i 2 kap. endast får tillämpas inom socialtjänsten om dokumentationen förs för varje omsorgsmottagare för sig. Detta innebär att den dokumentation som finns i den sammanhållna vård- och omsorgsdokumentationen om en omsorgsmottagare ska avse just den person, dvs. den omsorgsmottagare som fått eller får insatser för äldre eller personer med funktionsnedsättningar eller som fått eller får behovet av sådana insatser bedömda. Dokumentationen om omsorgsmottagaren kan dock innehålla personuppgifter om andra personer än omsorgsmottagaren, t.ex. uppgifter om make eller annan närstående. Om det är nödvändigt att dokumentera sådana uppgifter för att omsorgsgivaren ska kunna ansvara för eller utföra insatser för äldre eller personer med funktionsnedsättningar avseende omsorgsmottagaren eller administrera sådana insatser, får de personuppgifterna ingå i sammanhållen vård- och omsorgsdokumentation.
Direktåtkomst eller annat elektroniskt utlämnande av personuppgifter till en annan vård- eller omsorgsgivare
2 § En omsorgsgivare får, under de förutsättningar som anges i 3–5, 7
och 9 §§, ha tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas av andra omsorgsgivare eller av vårdgivare. En vårdgivare får, under de förutsättningar som anges i 3–6, 8 och 10 §§, ha tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas av andra vårdgivare eller av omsorgsgivare.
En vård- eller omsorgsgivare får dock inte ha tillgång, genom direktåtkomst, till personuppgifter som behandlas av en annan vårdgivare i en utredning enligt lagen ( 2018:744 ) om försäkringsmedicinska utredningar. I den lagen finns särskilda bestämmelser om direktåtkomst vid sådana utredningar. En omsorgsgivare får inte heller ha sådan tillgång genom annan elektronisk åtkomst än direktåtkomst. I 4 kap. 2 § andra stycket patientdatalagen (2008:355) finns särskilda bestämmelser om elektronisk åtkomst till personuppgifter som behandlas i sådana utredningar.
Tillgången enligt första stycket får bara avse personuppgifter som behandlas
1. för ändamål som anges i 2 kap. 4 § 1 och 2 patientdatalagen , eller
2. för att ansvara för eller utföra insatser för äldre eller personer med funktionsnedsättningar, administration av sådana insatser eller sådan dokumentation som avses i 1 § andra stycket.
Paragrafen, som delvis motsvarar första till andra stycket i 6 kap. 1 § patientdatalagen, ger vård- och omsorgsgivare möjlighet att i ett elektroniskt system få, och ge, elektronisk åtkomst till personuppgifter i vårddokumentation och personuppgifter om insatser för äldre eller personer med funktionsnedsättningar hos andra vård- och omsorgsgivare. Övervägandena finns i avsnitt 16.3 och 16.4.
I första stycket, som berörts i avsnitt 16.3 och 16.4, anges att tillgången till personuppgifter inom sammanhållen vård- och omsorgsdokumentation får ske genom direktåtkomst eller annat elektroniskt utlämnande. Första stycket motsvaras för vårdgivares del i huvudsak av 6 kap. 1 § första stycket patientdatalagen, se prop. 2007/08:126 s. 247 f. för författningskommentar till den bestämmelsen. Skillnaden är dock, utöver att vårdgivaren även får tillgång till omsorgsgivares dokumentation, att tillgång också får ske genom annat elektroniskt
utlämnande än direktåtkomst. Det kan vara fråga om elektronisk till-
gång som för användaren framstår som identisk med eller snarlik direktåtkomst, t.ex. en elektronisk fråga-svar-funktion. Funktionen får dock inte ge något svar (lämna ut personuppgifter) utan att det finns en fråga från mottagaren. Sammanhållen vård- och omsorgsdokumentation ger alltså mottagaren möjlighet att få tillgång till uppgifterna genom direktåtkomst eller annat elektroniskt utlämnande. Det ger dock inte en utlämnare av uppgifter möjlighet att sända uppgifter till en mottagare utan att mottagaren först har begärt dem. Det är därmed inte tillåtet att utlämnaren genom systemet med sammanhållen vård- och omsorgsdokumentation automatiskt underrättar mottagaren om att det tillkommit nya uppgifter om en patient eller omsorgsmottagare som denne tidigare har frågat om. Utlämnaren får alltså inte skicka en s.k. push-notis endast innehållande informationen att det tillkommit eller ändrats uppgifter om en patient eller omsorgsmottagare (även om push-notisen inte innehåller information om vad som tillkommit eller ändrats). Vill motta-
garen undersöka om det finns nya uppgifter, får denne skicka en fråga till utlämnaren eller själv använda sin direktåtkomst.
Med direktåtkomst avses sådan direktåtkomst som i dag är tillåten genom sammanhållen journalföring i 6 kap. 1 § första stycket patientdatalagen, se avsnitt 6.6.2 och prop. 2007/08:126 s. 73 f. Eftersom även annat elektroniskt utlämnande än direktåtkomst tillåts, lär dock den närmare innebörden av direktåtkomst inte ha någon betydelse för tillämpningen av paragrafen. Med elektroniskt utlämnande avses direktåtkomst och alla andra former av elektronisk åtkomst till uppgifter.
Tillgången till information sker vid direktåtkomst genom att en vård- eller omsorgsgivare gör de uppgifter om en patient eller omsorgsmottagare som vård- eller omsorgsgivaren registrerar om patienten eller omsorgsmottagaren elektroniskt tillgängliga för andra vård- och omsorgsgivare som deltar i systemet med sammanhållen vård- och omsorgsdokumentation. Ett syfte med den sammanhållna vård- och omsorgsdokumentation är att onödig dubbeldokumentation ska undvikas. Tanken är inte att vård- och omsorgsgivare ska hämta och hos sig spara uppgifter genom systemet med sammanhållen vård- och omsorgsdokumentation, utan att de genom systemet ska kunna ta del av uppgifterna när de behövs.
Det ska också betonas att sammanhållen vård- och omsorgsdokumentation inte innebär ett nytt sätt att dokumentera för omsorgsgivare (eller vårdgivare) utan dokumentation ska ske på samma sätt som tidigare i enlighet med de bestämmelser som finns i 3 kap. patientdatalagen, socialtjänstlagen och LSS. För att sammanhållen vård- och omsorgsdokumentation ska kunna användas behöver dock vård- och omsorgsgivarnas verksamhetssystem utvecklas så att sådan tillgång blir tekniskt möjlig. Liksom för sammanhållen journalföring styr dock varken denna paragraf eller någon annan paragraf i lagen över vilka slags tekniska lösningar eller vilken organisatorisk uppbyggnad som väljs för sammanhållen vård- och omsorgsdokumentation. Det är en fråga som vård- och omsorgsgivarna själva får bestämma över. Däremot måste naturligtvis systemen utformas och anpassas efter de särskilda krav som lagen uppställer för sammanhållen vård- och omsorgsdokumentation.
Den tillgång som vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation får till varandras dokumentation avser bara en möjlighet att läsa i dokumentationen, och inte att föra in uppgifter i varandras eller i en gemensam dokumentation. Precis som
i dag är det varje vård- och omsorgsgivare som ska föra och ansvara för sin dokumentation. Avsikten är att ansvaret för själva journalföringen och dokumentationen fortfarande i första hand ska vara knutet till den journalförings- och dokumentationspliktiga yrkesutövaren. Varje elektronisk journalhandling ska även i fortsättningen vara knuten till en viss vård- eller omsorgsgivare som ansvarar för handlingar som upprättas eller inkommer i den egna verksamheten. För socialtjänstens del innebär detta att varje elektronisk uppgift även fortsättningsvis ska vara knuten till en viss omsorgsgivare som ansvarar för handlingar som upprättas eller inkommer i den egna verksamheten.
Inom socialtjänsten gäller normalt sekretess enligt 26 kap. 1 § offentlighets- och sekretesslagen för de uppgifter som görs tillgängliga i den sammanhållna vård- och omsorgsdokumentationen. Inom den allmänna hälso- och sjukvården finns motsvarande sekretessbestämmelse i 25 kap. 1 § samma lag. I 26 kap. 9 c § offentlighets- och sekretesslagen (i avsnitt 1.1.4) finns emellertid ett undantag från socialtjänstsekretessen, som innebär att sekretessen inte hindrar att uppgift lämnas till en myndighet som bedriver verksamhet som avses i 26 kap. 1 § eller 25 kap. 1 § samma lag eller till en enskild omsorgs- eller vårdgivare enligt vad som föreskrivs om sammanhållen vård- och omsorgsdokumentation i 2 kap. lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Motsvarande bestämmelse finns i 25 kap. 11 § 3 offentlighets- och sekretesslagen för hälso- och sjukvårdssekretessen. Någon sekretessprövning behöver därför inte göras då uppgifter registreras i exempelvis en elektronisk journal eller elektronisk personakt och därmed görs tillgängliga för andra vård- och omsorgsgivare i systemet med sammanhållen vård- och omsorgsdokumentation.
För den privata hälso- och sjukvården gäller tystnadspliktsbestämmelsen i 6 kap. 12 § patientsäkerhetslagen (2010:659). För den privata socialtjänstverksamheten gäller tystnadspliktsbestämmelserna i 15 kap. 1 § socialtjänstlagen och 29 § LSS. Tystnadsplikten innebär ett förbud mot att obehörigen röja uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden. Vid tolkningen av detta obehörighetsrekvisit brukar ledning sökas i offentlighet- och sekretesslagens regler. Bestämmelserna om tystnadsplikt bör därför kunna tolkas på motsvarande sätt som 25 kap. 11 § 3 respektive 26 kap. 9 c § offentlighets- och sekretesslagen när det gäller tillgängliggörande av uppgifter i sammanhållen vård- och om-
sorgsdokumentation. Det innebär att även en privat vård- eller omsorgsgivare utan hinder av tystnadsplikt kan göra uppgifter tillgängliga i ett system med sammanhållen vård- och omsorgsdokumentation, om de i 2 kap. angivna förutsättningarna är uppfyllda.
Första stycket hänvisar även till de paragrafer som anger vilka förutsättningar som ska vara uppfyllda för att tillgång genom direktåtkomst eller annat elektroniskt utlämnande ska få ske för vård- respektive omsorgsgivare, se mer om detta under respektive författningskommentar.
Andra stycket, som har berörts i avsnitt 16.4.3, motsvarar i huvudsak
6 kap. 1 § andra stycket patientdatalagen, se prop. 2017/18:224 s. 140 för författningskommentaren till den bestämmelsen. Bestämmelsen innebär dock ett förbud inte bara för vårdgivare utan även för omsorgsgivare, att ha tillgång genom direktåtkomst eller annat elektroniskt utlämnande till personuppgifter som behandlas av en annan vårdgivare i en utredning enligt lagen om försäkringsmedicinska utredningar.
Enligt bestämmelsen får vård- och omsorgsgivare inte ha direktåtkomst till personuppgifter som behandlas av en annan vård- eller omsorgsgivare i en utredning enligt lagen om försäkringsmedicinska utredningar. Det innebär att det inte är tillåtet för personal inom socialtjänst och hälso- och sjukvård att genom sammanhållen vård- och omsorgsdokumentation ta del av personuppgifter som behandlas av en vårdgivare i samband med en försäkringsmedicinsk utredning. Stycket innehåller också en upplysning om att det i lagen om försäkringsmedicinska utredningar finns särskilda bestämmelser om direktåtkomst vid sådana utredningar. De särskilda bestämmelserna som åsyftas finns i 13 § lagen om försäkringsmedicinska utredningar. De fördelar som sammanhållen vård- och omsorgsdokumentation för med sig vid vård enligt hälso- och sjukvårdslagen saknas i stor utsträckning vid försäkringsmedicinska utredningar. Detsamma gäller i än högre utsträckning för omsorg enligt socialtjänstlagen och LSS.
Eftersom personuppgifter i försäkringsmedicinska utredningar inte får tillgängliggöras genom sammanhållen vård- och omsorgsdokumentation, är det inte heller möjligt att tillämpa de sekretessbrytande reglerna vid sammanhållen vård- och omsorgsdokumentation som finns i 25 kap. 11 § 3 respektive 26 kap. 9 c § offentlighets- och sekretesslagen.
Av tredje stycket, som berörts i avsnitt 16.4, framgår att det endast är personuppgifter som behandlas för vårddokumentation eller för
att ansvara för eller utföra insatser för äldre eller personer med funktionsnedsättningar eller administration eller dokumentation av sådana insatser som får omfattas av sammanhållen vård- och omsorgsdokumentation.
När det gäller behandling av personuppgifter för vårddokumentation, dvs. behandling av personuppgifter inom hälso- och sjukvården innebär detta att behandling av vårdgivares personuppgifter är tillåten om det behövs för patientjournalföring och annan dokumentation som behövs i och för vården av patienter. Även behandling av personuppgifter som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (se 2 kap. 4 § 1 och 2 PDL) omfattas. Det innebär att även sådan dokumentation som faller vid sidan av skyldigheten att föra journal, såsom personuppgifter som behandlas helt separat från den ordinära journalföringen, t.ex. vid medicinska serviceenheter, omfattas av ett ändamål som rör den individinriktade patientverksamheten alldeles oavsett dess formella status. Därför avses med dessa ändamål inte bara själva insamlingen och registreringen av personuppgifterna utan även senare användning av de registrerade uppgifterna i den omfattning som behövs i patientvården eller patientadministrationen. Begränsningen av ändamålet till vårddokumentation innebär att verksamhet som exempelvis avser detaljhandel med läkemedel inte omfattas av bestämmelserna om sammanhållen vård- och omsorgsdokumentation och uppgifter från sådan verksamhet får därmed inte ingå.
När det gäller behandling av personuppgifter inom socialtjänsten är det behandling av personuppgifter som behandlas för att ansvara för eller utföra insatser för äldre eller personer med funktionsnedsättningar eller administration eller dokumentation av sådana insatser som får omfattas av sammanhållen vård- och omsorgsdokumentation. För innebörden av begreppet insatser för äldre eller personer med funktionsnedsättningar, se författningskommentaren till 1 kap. 1 §. I avsnitt 12.2. och 13.2 ges exempel på när personuppgifter behandlas för att kunna ansvara för eller utföra en insats för äldre eller personer med funktionsnedsättningar. Dokumentation av sådana insatser får ingå i sammanhållen vård- och omsorgsdokumentation.
Avseende behandling av personuppgifter för dokumentation av insatser framgår det av Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2014:5) om dokumentation i verksamhet som bedrivs med
stöd av SoL, LVU, LVM och LSS vilka krav som ställs på dokumentationen. Det är endast dokumentation avseende insatser inom socialtjänsten som beskrivs i 3 kap. 6 § första stycket socialtjänstlagen som lämnas till äldre och personer med funktionsnedsättningar och insatser som beskrivs i 5 kap.5 och 7 §§socialtjänstlagen, samt insatser enligt 4 kap. 2 a § socialtjänstlagen och LSS som får ingå i den sammanhållna vård- och omsorgsdokumentationen. Dokumentation som görs avseende andra insatser än som beskrivs i nämnda lagrum för en omsorgsmottagare, som i och för sig är äldre eller har en funktionsnedsättning, får inte ingå i sammanhållen vård- och omsorgsdokumentation. Exempelvis får inte dokumentation avseende insatser som lämnas på grund av att omsorgsmottagaren eller närstående till omsorgsmottagaren har ett missbruk, att omsorgsmottagaren är utsatt för våld i nära relation, skuldsatt, har behov av försörjningsstöd eller förekommer i en utredning på kommunens familjerättsenhet på grund en vårdnadstvist, vara tillgänglig genom sammanhållen vård- och omsorgsdokumentation. Inte heller dokumentation avseende insatser som bygger på tvångslagstiftning får ingå i sammanhållen vård- och omsorgsdokumentation. Om det för att ansvara för eller utföra insatser för omsorgsmottagare som får insatser för äldre eller personer med funktionsnedsättningar (eller administration eller dokumentation av sådana insatser), är nödvändigt att nämna att omsorgsmottagaren även får viss annan insats, är detta dock fråga om en sådan uppgift som får ingå i sammanhållen vård- och omsorgsdokumentation.
Som exempel på behandling av personuppgifter för administration kan nämnas fakturering samt upprättande av bevakningslistor och bemanningsscheman.
Patient- och omsorgsmottagarinflytande vid sammanhållen vård- och omsorgsdokumentation
3 § Om en patient eller omsorgsmottagare motsätter sig det, får upp-
gifter om patienten eller omsorgsmottagaren inte göras tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation. I sådant fall ska uppgifterna genast spärras. Vårdnadshavaren till ett barn får dock inte spärra uppgifter om barnet. En patient eller omsorgsmottagare kan när som helst begära att den omsorgsgivare eller vårdgivare som har spärrat uppgifterna häver spärren. Vissa uppgifter om en patient får dock göras tillgängliga för andra vårdgivare enligt andra stycket.
Uppgift om att det finns spärrade uppgifter om en patient samt uppgift om vilken vårdgivare som har spärrat uppgifterna får göras tillgängliga för andra vårdgivare genom sammanhållen vård- och omsorgsdokumentation. En annan vårdgivare får ta del av uppgift om vilken vårdgivare som har spärrat uppgifterna endast under de förutsättningar som anges i 10 §.
Innan uppgifter om en patient eller en omsorgsmottagare görs tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation, ska patienten eller omsorgsmottagaren informeras om vad den sammanhållna vård- och omsorgsdokumentation innebär och om att patienten eller omsorgsmottagaren kan motsätta sig att uppgifter görs tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation. En patient ska också informeras om innebörden av andra stycket.
Paragrafen, som delvis motsvarar första till fjärde styckena i 6 kap. 2 § patientdatalagen, har berörts i avsnitt 16.5. Skillnaden i förhållande till regleringen i 6 kap. 2 § patientdatalagen är att den möjlighet som finns vid sammanhållen journalföring att spärra uppgifter från att ingå, och rätt till information om detta, ska vid sammanhållen vård- och omsorgsdokumentation gälla även omsorgsmottagare i förhållande till omsorgsgivare. Uppgift om att det finns spärrade uppgifter i systemet med sammanhållen vård- och omsorgsdokumentation och om vilken vårdgivare som har spärrat uppgifterna får dock göras tillgängliga men endast för andra deltagande vårdgivare och inte för deltagande omsorgsgivare. Omsorgsmottagare får samma rättigheter som patienter i dag har att motsätta sig
att uppgifter om omsorgsmottagren görs tillgängliga, med den skillnaden att omsorgsmottagare även kan motsätta sig att uppgiften om att det finns spärrade uppgifter i systemet görs tillgänglig för andra vård- och omsorgsgivare.
Av första stycket framgår att en patient eller omsorgsmottagare har möjlighet att motsätta sig att uppgifter om honom eller henne görs tillgängliga för andra vård- och omsorgsgivare i ett system med sammanhållen vård- och omsorgsdokumentation. Om patienten eller vårdnadsmottagaren motsätter sig sammanhållen vård- och omsorgsdokumentation, ska uppgifterna genast spärras. Motsättandet kan göras även efter det att uppgifterna har gjorts tillgängliga för andra vård- och omsorgsgivare i systemet med sammanhållen vård- och omsorgsdokumentation. Att uppgifter spärras innebär att vård- eller omsorgsgivaren ser till att uppgifterna inte (längre) görs tillgängliga för andra vård- eller omsorgsgivare i systemet med sammanhållen vård- och omsorgsdokumentation. Spärren hindrar inte att vård- eller omsorgsgivaren, när sekretess inte hindrar det, lämnar ut uppgifterna, elektroniskt eller på annat sätt, till andra vård- eller omsorgsgivare.
En patient eller omsorgsmottagare kan när som helst begära att den vård- eller omsorgsgivare som har spärrat uppgifterna häver spärren. Det är den vård- eller omsorgsgivare som lagt in spärren som ska häva den. Det fordras inte att patienten eller omsorgsmottagaren själv har kontakt med just den vård- eller omsorgsgivare som lagt in spärren när patienten eller omsorgsmottagaren vill häva spärren. Det kan exempelvis ske i samband med att patienten eller omsorgsmottagaren senare besöker en annan vård- eller omsorgsgivare. Om patienten eller omsorgsmottagaren då vill häva spärren, får den senare vård- eller omsorgsgivaren meddela den vård- eller omsorgsgivare som har spärrat uppgifterna att patienten eller omsorgsmottagaren vill ha spärren hävd. Patientens eller omsorgsmottagarens önskan att häva spärren bör dokumenteras på lämpligt sätt, exempelvis i patientens journal eller omsorgsmottagarens personakt.
En patient kan dock inte spärra själva uppgiften om att det finns spärrade uppgifter och vilken vårdgivare som har spärrat uppgifterna. Dessa uppgifter får göras tillgängliga, se andra stycket. Motsvarande uppgifter om omsorgsmottagare får inte göras tillgängliga.
Bestämmelsen kräver inte att patienten eller omsorgsmottagaren ska lämna ett uttryckligt och informerat samtycke till att uppgifter
om honom eller henne får göras tillgängliga för andra vårdgivare genom sammanhållen vård- och omsorgsdokumentation utan innebär endast att patienten eller omsorgsmottagaren har en möjlighet att motsätta sig detta. Bestämmelsen ger uttryck för vad man kan kalla för en opt out-modell eller, om man så vill, en ordning i vilket ett tyst samtycke gäller för att journaluppgifter och annan dokumentation görs tillgängliga för andra vård- och omsorgsgivare. Att patienten eller omsorgsmottagaren kan motsätta sig ett tillgängliggörande innebär inte att han eller hon har rätt att motsätta sig att uppgifter journalförs eller dokumenteras i det elektroniska system som vård- eller omsorgsgivaren använder. Det innebär bara att uppgifterna på den enskildes begäran inte längre är tillgängliga för andra vård- och omsorgsgivare genom systemet med sammanhållen vård- och omsorgsdokumentation. Inom hälso- och sjukvården kan en spärr på patientens begäran avse samtliga uppgifter utom dem som anges i andra stycket eller bara vissa uppgifter. Inom socialtjänstens verksamhet kan en spärr på omsorgsmottagarens begäran avse samtliga uppgifter eller bara vissa uppgifter. En spärr kan på patientens eller omsorgsmottagarens begäran begränsas till att avse tillgång för alla eller bara någon eller några vård- eller omsorgsgivare som deltar i systemet med sammanhållen vård- och omsorgsdokumentation, med det undantag som framgår av andra stycket.
I det fall det är fråga om vård- och omsorg som bedrivs offentligt omfattas journalhandlingar och annan dokumentation av 2 kap. tryckfrihetsförordningens bestämmelser om allmänna handlingar. I och med att de spärrade uppgifterna inte är tekniskt tillgängliga för övriga vård- och omsorgsgivare är de inte att anse som förvarade och inkomna hos de offentligt drivna vård- och omsorgsgivarna och därmed inte heller allmänna handlingar hos dessa, se vidare i sistnämnda fråga avsnitt 16.5.7.
Att uppgifterna är spärrade innebär att andra vård- och omsorgsgivare inte får ha någon åtkomst till uppgifterna varken genom direktåtkomst eller sådant annat elektroniskt utlämnande som avses i 2 kap. 2 §. Den spärrade informationen får inte kunna läsas av extern personal genom systemet med sammanhållen vård- och omsorgsdokumentation.
Enligt tredje meningen i första stycket har vårdnadshavare till ett barn inte rätt att spärra barnets uppgifter. Med barn avses den som är under 18 år. I takt med barnets stigande ålder och utveckling får
barnet själv spärra uppgifterna. Det föreslås inte några särskilda bestämmelser beträffande barnets mognadsgrad att själv få avgöra om uppgifter ska spärras. Barn och tonåringar bör hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården och socialtjänsten. I takt med den underåriges stigande ålder och utveckling ska allt större hänsyn tas till barnets önskemål och vilja, jfr 6 kap. 11 § föräldrabalken. Det barn som förstår vad det innebär bör självt få spärra sina uppgifter. Att det är en vårdnadshavare som föranlett barnet att vilja spärra, är inte i sig nog för att inte ta hänsyn till barnets vilja.
Av andra stycket framgår att det avseende patienter får ingå uppgift om att det finns spärrade uppgifter i ett system med sammanhållen vård- och omsorgsdokumentation. Syftet med detta är att kännedom om att det finns spärrade uppgifter kan initiera en önskvärd dialog mellan en patient och hälso- och sjukvårdspersonal i en enskild vårdsituation. Även uppgift om vilken vårdgivare som har spärrat uppgifterna får göras tillgänglig för andra vårdgivare som deltar i systemet med sammanhållen vård- och omsorgsdokumentation. De andra vårdgivarna får dock bara ta del av uppgift om vilken vårdgivare som har spärrat under de förutsättningar som anges i 2 kap. 10 §. Det är enbart andra vårdgivare, och inte omsorgsgivare, som får ta del av uppgifter om en spärr. Systemet med sammanhållen vård- och omsorgsdokumentation måste således vara konstruerat så att uppgifter om att det finns en spärr bara är tillgänglig för andra vårdgivare, och att uppgiften om vilken vårdgivare som spärrat bara är tillgänglig på begäran för andra vårdgivare.
I tredje stycket föreskrivs att innan uppgifterna om en patient eller omsorgsmottagare görs tillgängliga för andra vård- eller omsorgsgivare ska patienten eller omsorgsmottagaren informeras om vad sammanhållen vård- och omsorgsdokumentation innebär och om rätten att motsätta sig att uppgifter görs tillgängliga genom ett sådant system. En patient ska även informeras om att uppgift om att det finns spärrade uppgifter om patienten och uppgift om vilken vårdgivare som har spärrat uppgifterna, får göras tillgängliga för andra vårdgivare samt om under vilka förutsättningar ett sådant tillgängliggörande får ske. Att informationen ska lämnas på ett sådant tidigt stadium har att göra med respekten för patientens och omsorgsmottagaren självbestämmande och integritet och att vård och omsorg så långt som möjligt ska utformas och genomföras i samråd med den enskilde.
Hur informationen ska lämnas överlåts åt varje personuppgiftsansvarig att bestämma. Något krav på att informationen ska ges i viss form – muntlig eller skriftlig – finns inte. Det är dock viktigt att den personuppgiftsansvarige utarbetar rutiner för hur informationsskyldigheten ska fullgöras. Säkra rutiner ligger i den personuppgiftsansvariges eget intresse, eftersom denne – då det gäller information till en registrerad vid behandling av personuppgifter – anses ha bevisbördan för att obligatorisk information faktiskt har lämnats till patienten eller omsorgsmottagaren. När det gäller t.ex. patienter och omsorgsmottagare som inte talar svenska bör den personuppgiftsansvarige se till att informationen översätts eller att det finns skriftlig information på andra språk. Den som inte kan läsa kan få informationen uppläst för sig.
Ibland kan inte informationen lämnas på ett så tidigt stadium som föreskrivs i paragrafen. Inom hälso- och sjukvården är det vanligt att patientens hälsotillstånd omöjliggör att information lämnas om en behandling av personuppgifter innan uppgifter om patienten registreras. Patienten kan vara medvetslös eller alltför fysiskt eller psykiskt medtagen för att kunna ta till sig information av det slag som här avses. Även inom socialtjänstens verksamhet kan motsvarande situationer uppstå. Informationen ska i dessa fall lämnas när patienten eller omsorgsmottagaren kan tillgodogöra sig den. Innan dess får de registrerade uppgifterna inte göras tillgängliga för andra vård- eller omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation. I 2 kap. 5 § finns bestämmelser om när uppgifter om en patient eller omsorgsmottagare som inte endast tillfälligt saknar förmåga att ta ställning enligt paragrafen, får göras tillgängliga. Det är inte nödvändigt att information lämnas vid varje kontakttillfälle en vård- eller omsorgsgivare har med en patient eller omsorgsmottagare under förutsättning att inget tvivel råder om att patienten eller omsorgsmottagren är införstådd både med vad den sammanhållna vård- och omsorgsdokumentationen innebär och rätten att motsätta sig.
4 § Ospärrade uppgifter om patienten eller omsorgsmottagaren ska
göras tillgängliga för de vård- och omsorgsgivare som är anslutna till den sammanhållna vård- och omsorgsdokumentationen. Det ska vidare införas en uppgift i den sammanhållna vård- och omsorgsdokumentationen om att det finns ospärrade uppgifter om patienten eller omsorgs-
mottagaren. Andra vård- och omsorgsgivare ska kunna ta del av denna uppgift utan att ta del av uppgift om vilken vård- eller omsorgsgivare som har gjort uppgiften tillgänglig och övriga uppgifters innehåll.
Paragrafen reglerar tillgängliggörandet av ospärrade personuppgifter för de vård- och omsorgsgivare som är anslutna till den sammanhållna vård- och omsorgsdokumentationen. Paragrafen är avsedd att ha motsvarande innebörd som 6 kap. 2 § sista stycket patientdatalagen. Övervägandena finns i avsnitt 16.5.7.
Av första meningen framgår att ospärrade uppgifter om patienten eller omsorgsmottagaren ska göras tillgängliga för de vård- och omsorgsgivare som är anslutna till den sammanhållna vård- och omsorgsdokumentationen. Detta gäller bara för de enheter hos en vård- eller omsorgsgivare som omfattas av systemet med sammanhållen vård- och omsorgsdokumentation och för de kategorier av vård eller omsorgsmottagare som systemet omfattar.
Det ska vidare införas en uppgift i systemet om att det finns ospärrade uppgifter om patienten eller omsorgsmottagaren. Andra vård- och omsorgsgivare ska kunna ta del av denna uppgift utan att ta del av uppgift om vilken vård- eller omsorgsgivare som gjort uppgiften tillgänglig och övriga uppgifters innehåll. Bestämmelsen medför att en vård- eller omsorgsgivare – utan att ta del av känsliga uppgifter – kan se om det finns ospärrade uppgifter avseende en person i systemet eller inte. Syftet med bestämmelsen är att en vård- eller omsorgsgivande myndighet som är ansluten till ett system med sammanhållen vård- och omsorgsdokumentation ska kunna pröva om en begäran om att få ut en allmän handling avseende en viss person kan avslås redan på den grunden att det inte förvaras någon sådan handling hos myndigheten, utan att myndigheten ska behöva ta del av ospärrade uppgifter när förutsättningar för det saknas enligt lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Bestämmelsen kompletteras av en ny lydelse av bestämmelsen i 25 kap. 2 § offentlighets- och sekretesslagen och en ny bestämmelse i 26 kap. 1 a § samma lag, se avsnitt 19.3. Enligt dessa bestämmelser gäller absolut sekretess hos en vårdgivande myndighet respektive hos myndighet som bedriver socialtjänst för uppgift om enskilds personliga förhållanden, om dessa uppgifter har gjorts tillgängliga hos myndigheten av en annan sådan myndighet eller av en enskild vård- eller omsorgsgivare enligt vad som föreskrivs om sam-
manhållen vård- och omsorgsdokumentation och förutsättningarna för att myndigheten ska få behandla uppgiften inte är uppfyllda. Sekretessbestämmelsen blir tillämplig om en slagning i systemet med sammanhållen vård- och omsorgsdokumentation visar att det finns ospärrade uppgifter avseende den person som en begäran om att få ut allmänna handlingar avser, och vård- eller omsorgsgivaren saknar befogenhet enligt lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning att ta del av uppgifterna. Eftersom uppgifterna i ett sådant fall omfattas av absolut sekretess, behöver myndigheten inte ta del av uppgifterna för att kunna avgöra sekretessfrågan.
5 § En vård- eller omsorgsgivare får göra uppgifter om en patient eller
omsorgsmottagare, som inte endast tillfälligt saknar förmåga att ta ställning enligt 3 § första stycket, tillgängliga för de vård- och omsorgsgivare som är anslutna till den sammanhållna vård- och omsorgsdokumentationen, om
1. patientens eller omsorgsmottagarens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts, och
2. det inte finns anledning att anta att patienten eller omsorgsmottagaren skulle ha motsatt sig behandlingen av personuppgifterna.
Paragrafen, som delvis motsvarar 6 kap. 2 a § patientdatalagen, har berörts i avsnitt 16.5.6. Paragrafen innebär att den möjlighet som vårdgivare i dag har att göra personuppgifter avseende patienter som inte endast tillfälligt saknar förmåga att ta del av information om eller motsätta sig behandling av personuppgifter i sammanhållen journalföring, tillgängliga för andra vårdgivare genom sammanhållen journalföring även ska gälla i sammanhållen vård- och omsorgsdokumentation. Paragrafen utgör ett alternativ till tillgängliggörande av ospärrade uppgifter enligt 2 kap. 3 §. Personuppgifter som redan tillgängliggjorts enligt 2 kap. 3 § när patienten eller omsorgsmottagaren blir beslutsoförmögen berörs inte av paragrafen, som bara reglerar det (nya) tillgängliggörande av uppgifter som kan ske sedan patienten eller omsorgsmottagaren blivit beslutsoförmögen.
Det innebär att vård- och omsorgsgivare under vissa förutsättningar får göra uppgifter om en patient eller omsorgsmottagare som inte har förmåga att ta ställning till om han eller hon ska motsätta sig att personuppgifter om honom eller henne ska få göras tillgängliga
för de vård- och omsorgsgivare som är anslutna till den sammanhållna vård- och omsorgsdokumentationen. Detta gäller endast om patientens eller omsorgsmottagarens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts och det inte finns anledning att anta att patienten eller omsorgsmottagaren skulle ha motsatt sig behandlingen. Det är därmed flera villkor som måste vara uppfyllda för att en vård- eller omsorgsgivare, med stöd av denna paragraf, ska få göra uppgifter om en patient eller omsorgsmottagare tillgängliga för de vård- eller omsorgsgivare som är anslutna till systemet med sammanhållen vård- och omsorgsdokumentation. För det första ska patienten eller omsorgsmottagaren inte endast tillfälligt sakna förmåga att ta ställning. Detta betyder att patienten eller omsorgsmottagaren varaktigt inte har förmåga att ta ställning till om han eller hon ska motsätta sig att personuppgifter om honom eller henne ska få göras tillgängliga för andra vård- eller omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation, eller varaktigt inte har förmåga att ta del av information som ska lämnas enligt 2 kap. 3 §. Denna förmåga kan exempelvis påverkas av olika former av kognitiva störningar. Oförmåga kan uppstå av många skäl. Exempelvis behöver demens inte alltid medföra att personen har nedsatt förmåga i alla avseenden. I ett tidigt stadium kan personen ofta ta ställning till vård-, omsorgs- och behandlingsinsatser eller den informationshantering som föranleds inom hälso- och sjukvården och socialtjänsten. Förmågan att ta ställning till frågor om behandling av personuppgifter måste bedömas i det enskilda fallet. Om det kan förutses att förmågan kommer att återvinnas inom en kortare tid, är paragrafen inte tillämplig. Paragrafen är inte avsedd att gälla personer vars förmåga är nedsatt till följd av t.ex. medvetslöshet, påverkan av alkohol eller narkotika, chock eller av annat skäl är alltför fysiskt eller psykiskt medtagna. För sistnämnda fall kan situationen vara sådan att personen redan omfattas av möjligheterna till sammanhållen vård- och omsorgsdokumentation, om denne har fått information tidigare och då haft möjlighet att motsätta sig (se 2 kap. 3 § första och tredje stycket och 2 kap. 4 §).
Hälso- och sjukvården ska bedrivas så att den uppfyller kraven på en god vård. Detta innebär att den bl.a. särskilt ska bygga på respekt för patientens självbestämmande och integritet, se 5 kap. 1 § hälso- och sjukvårdslagen. Motsvarande krav finns även inom socialtjänsten enligt 1 kap. 1 § socialtjänstlagen och 6 § LSS. På grund av detta
finns som ytterligare villkor för att den föreslagna bestämmelsen ska få tillämpas att patientens eller omsorgsmottagarens inställning till sådan personuppgiftsbehandling så långt som möjligt klarlagts och det inte finns anledning att anta att han eller hon skulle ha motsatt sig personuppgiftsbehandlingen. Hur omfattande åtgärder vård- eller omsorgsgivaren behöver vidta för att klarlägga inställningen får avgöras av förhållandena i det enskilda fallet. Med att det inte finns anledning att anta menas att det inte ska finnas konkreta omständigheter som visar att patienten eller omsorgsmottagaren skulle motsätta sig personuppgiftsbehandlingen. En vård- eller omsorgsgivare kan t.ex. ha fått information av en närstående eller en vård- och omsorgsanställd om att patienten eller omsorgsmottagen skulle ha motsatt sig att dennes personuppgifter görs tillgängliga för andra vård- eller omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation. Sådan information får anses medföra att någon behandling av personuppgifter i form av tillgängliggörande i ett system med sammanhållen vård- och omsorgsdokumentation inte bör ske. Detsamma gäller om omständigheterna är sådana att patienten eller omsorgsmottagaren, när han eller hon hade förmåga att ta ställning, har gett uttryck för att han eller hon inte vill att vård- eller omsorgsgivare ska tillgängliggöra personuppgifterna för annan vård- eller omsorgsgivare. Detta bör gälla under förutsättning att det inte förflutit alltför lång tid har mellan viljeyttringen och oförmågan att ta ställning. Saknas kännedom eller går det inte att ta reda på vad patienten eller omsorgsmottagren har för inställning och finns det inte någon omständighet som visar att patienten eller omsorgsmottagaren skulle motsätta sig behandlingen av personuppgifterna, kan tillgängliggörande ske med stöd av denna paragraf. Närstående har ingen formell rätt att besluta i den enskildes ställe, utan behandlingen av personuppgifterna ska ytterst göras utifrån vad som är klarlagt om patientens eller omsorgsmottagarens inställning.
Det kan vara lämpligt att vård- eller omsorgsgivaren om möjligt informerar närstående om sammanhållen vård- och omsorgsdokumentation och försöker klargöra patientens eller omsorgsmottagarens inställning till sådan behandling av personuppgifter, dock under förutsättning att sekretess inte hindrar.
Vårdgivares tillgång till andras uppgifter genom sammanhållen vård- och omsorgsdokumentation
6 § För att en vårdgivare ska få behandla uppgifter som en annan
vårdgivare eller en omsorgsgivare gör tillgängliga genom sammanhållen vård- och omsorgsdokumentation enligt 4 § krävs att
1. uppgifterna rör en patient som det finns en aktuell patientrelation med,
2. uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården, eller för att bedöma behovet av eller utföra insatser enligt lagen ( 2019:1297 ) om koordineringsinsatser för sjukskrivna patienter, och
3. patienten samtycker till det. Vårdgivaren får även behandla sådana uppgifter om
1. uppgifterna rör en patient som det finns eller har funnits en patientrelation med,
2. uppgifterna kan antas ha betydelse för att utfärda ett sådant intyg som avses i 3 kap. 16 § patientdatalagen (2008:355) , och
3. patienten samtycker till det. Samtycke enligt första stycket 3 eller andra stycket 3 krävs dock inte, om patienten är ett barn som inte självt kan samtycka.
I paragrafen, som delvis motsvarar 6 kap. 3 § patientdatalagen, regleras när en vårdgivare, som är ansluten till ett system med sammanhållen vård- och omsorgsdokumentation, får behandla en annan vårdgivares eller omsorgsgivares uppgifter om en patient som inte är spärrade. Paragrafen innebär att den möjlighet som vårdgivare i dag har att genom sammanhållen journalföring behandla uppgifter som andra vårdgivare gjort tillgängliga, utökas till att även gälla uppgifter som omsorgsgivare gjort tillgängliga. Övervägandena finns i avsnitt 16.6.
Av första stycket framgår de tre villkor som ska vara uppfyllda för att en vårdgivare ska få behandla ospärrade uppgifter som annan vård- eller omsorgsgivare har registrerat.
Det första kravet, att det ska finnas en aktuell patientrelation för att vårdgivaren ska få behandla uppgifterna, ska inte uppfattas som någon regel om inre sekretess. Kravet är endast en allmän förutsättning för när en vårdgivare över huvud taget får använda sin tillgång till andra vård- eller omsorgsgivares uppgifter i systemet med
sammanhållen vård- och omsorgsdokumentation. Att en patientrelation finns med en person är normalt enkelt att konstatera. En patientrelation anses vanligen som avslutad då en intagen sjukhuspatient skrivs ut såsom färdigbehandlad och det inte finns några inplanerade återbesök, efterkontroller eller liknande. Detsamma bör gälla om patienten skrivs ut för fortsatt vård eller uppföljning hos öppen primärvård i annan vårdgivares regi. Mer tveksamt kan det vara huruvida en husläkare, och därmed den vårdgivare husläkaren hör till, ska anses ha en ständig aktuell patientrelation med alla de personer som tecknat sig hos läkaren. Så bör normalt inte bedömas vara fallet, men beträffande sådana patienter som regelbundet och relativt frekvent besöker eller har kontakt med sin husläkare kan en annan bedömning göras. Av kravet på att det ska finnas en aktuell patientrelation följer att det inte är tillåtet för en vårdgivare att i en behandlingssituation med en patient söka efter och behandla journaluppgifter eller annan dokumentation avseende en annan patient som vårdas hos en annan vårdgivare, t.ex. en nära släkting med samma sjukdomsdiagnos.
Det andra kravet för att en vårdgivare ska få behandla uppgifter som inte är spärrade, är att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården eller för att bedöma behovet av eller utföra insatser enligt lagen om koordineringsinsatser för sjukskrivna patienter. Definitionen av hälso- och sjukvård framgår av 1 kap. 1 §. Kravet innebär att en vårdgivare som deltar i ett system med sammanhållen omsorgsdokumentation inte – med undantag för vad som anges i andra stycket – får använda sin tillgång till andra vård- eller omsorgsgivares uppgifter för andra syften än vård och behandling. Med rekvisitet förebygga, utreda eller behandla sjukdomar och skador avses även åtgärder på grund av ett visst tillstånd som exempelvis infertilitet. Rekvisitet kan antas ha betydelse förutsätter att den som avser att bereda sig tillgång till ospärrade uppgifter gör ett aktivt ställningstagande till vilken betydelse uppgifterna kan ha. Det ska på goda grunder kunna antas att uppgifterna har någon betydelse. Samtidigt kan inte alltför stora krav ställas på en vårdgivare. För att ta ett exempel torde det normalt kunna antas sakna betydelse för den somatiska vården av en patient att ta del av vad som antecknats hos en psykiatrisk öppenvårdsmottagning i en annan region för flera år sedan.
För att en vårdgivare ska få behandla ospärrade uppgifter krävs dessutom att patienten samtycker till det. I den situationen räcker det således inte att patienten inte motsätter sig att vårdgivaren tar del av uppgifterna. Det fordras ett aktivt samtycke från patientens sida. Det ska vara ett sådant samtycke som uppfyller de krav som följer av dataskyddsförordningen, se mer om vad det innebär i kommentaren till 2 kap. 7 §. Många gånger kan det vara en praktisk ordning att patienten redan i samband med att uppgifter om honom eller henne görs tillgängliga genom sammanhållen vård- och omsorgsdokumentation tillfrågas om samtycke till att andra vård- eller omsorgsgivare senare får ta del av uppgifterna och att lämnade samtycken dokumenteras. Ett praktiskt exempel på då en patient kan lämna samtycke i förväg är då patienten befinner sig i en vårdprocess som inbegriper flera olika vårdgivare och där patienten skickas runt mellan dessa i ett remissförfarande. Ett samtycke till vårdgivarens tillgång måste finnas, men det behöver inte ha lämnats till just den vårdgivare som ska få tillgång.
Andra stycket reglerar vårdgivares möjlighet att behandla ospär-
rade uppgifter i sammanhållen vård- och omsorgsdokumentation för att utfärda intyg om en patients vård. Vårdgivaren har, om förutsättningarna i bestämmelsen är uppfyllda, alltså tillgång till andra vård- och omsorgsgivares uppgifter för att utfärda intyg om patientens vård oavsett om intygsutfärdaren har en aktuell patientrelation med patienten i fråga eller inte. I omsorgsgivares dokumentation kan exempelvis finnas uppgifter om uppföljning av ordinerade åtgärder som kan ha betydelse för att utfärdande av intyg om vård. Det krävs att uppgifterna kan antas ha betydelse för att utfärda ett intyg om vården och att patienten samtycker. För innebörden av samtycke, se lagkommentaren ovan till paragrafens första stycke. I 3 kap. 16 § patientdatalagen anges att den som enligt 3 § samma kapitel är skyldig att föra patientjournal på begäran av patienten ska utfärda intyg om vården.
I tredje stycket finns ett undantag från kravet på samtycke när patienten är ett barn som inte självt kan samtycka. När barnet ännu inte nått en sådan ålder och mognad att barnet självt kan samtycka, krävs inte något samtycke (från barnet eller vårdnadshavaren). När barnet nått sådan ålder och mognad krävs däremot samtycke. Detta är en förändring i förhållande till vad som gäller i dag för sammanhållen journalföring på så sätt att det bara är när barnet självt inte
kan samtycka som behandling av personuppgifter utan samtycke får ske. Tidigare uppställdes inte något krav på samtycke, vare sig av barnet självt eller dess vårdnadshavare. Se avsnitt 16.6.3.
Omsorgsgivares tillgång till andras uppgifter genom sammanhållen vård- och omsorgsdokumentation
7 § För att en omsorgsgivare ska få behandla uppgifter som en annan
omsorgsgivare eller en vårdgivare gör tillgängliga genom sammanhållen vård- och omsorgsdokumentation enligt 4 § krävs att
1. uppgifterna rör en omsorgsmottagare som får omsorgsgivarens insatser för äldre eller personer med funktionsnedsättningar eller är föremål för en utredning om att få sådana insatser från omsorgsgivaren,
2. uppgifterna kan antas ha betydelse för omsorgsgivarens insatser enligt 1, och
3. omsorgsmottagaren samtycker till det. Samtycke enligt första stycket 3 krävs dock inte, om behandlingen avser uppgifter som en annan omsorgsgivare gör tillgängliga och om omsorgsmottagaren är ett barn som inte självt kan samtycka.
Paragrafen reglerar när en omsorgsgivare, som är ansluten till ett system med sammanhållen vård- och omsorgsdokumentation, får behandla en annan omsorgsgivares eller vårdgivares uppgifter om en omsorgsmottagare som inte är spärrade. Paragrafen har inte någon motsvarighet inom sammanhållen journalföring. Övervägandena finns i avsnitt 16.7.
Av första stycket framgår de tre villkor som ska vara uppfyllda för att en omsorgsgivare ska få behandla ospärrade uppgifter som annan omsorgsgivare eller vårdgivare har registrerat.
Det första kravet, att de aktuella uppgifterna ska röra en omsorgsmottagare som får omsorgsgivarens insatser, ska inte uppfattas som någon regel om inre sekretess. Kravet anger endast en allmän förutsättning för när en omsorgsgivare över huvud taget får ha tillgång till andra vård- eller omsorgsgivares genom sammanhållen vård- och omsorgsdokumentation. Kravet innebär att relationen ska finnas med just den omsorgsmottagare som uppgifterna rör. Det är därför inte tillåtet att genom sammanhållen omsorgsdokumentation ta del av uppgifter om en omsorgsmottagare, t.ex. en familjemedlem, annat
än om uppgifterna förekommer i dokumentation om den aktuella omsorgsmottagaren.
Med omsorgsgivarens insatser avses de insatser som en omsorgsgivare ansvarar, eller har ansvarat, för eller utför eller har utfört. Om en offentlig vårdgivare ansvarar för en insats som utförs av en privat omsorgsgivare, kan således båda ha tillgång till varandras uppgifter om också övriga förutsättningar i paragrafen är uppfyllda.
Det andra kravet för att en omsorgsgivare ska få behandla uppgifter som inte är spärrade är att uppgifterna kan antas ha betydelse för omsorgsgivarens insatser för äldre eller personer med funktionsnedsättningar eller för en utredning om att få sådana insatser från omsorgsgivaren. Insatserna eller utredningen ska avse den omsorgsmottagare som uppgifterna rör. Kravet innebär att en omsorgsgivaregivare som deltar i ett system med sammanhållen omsorgsdokumentation inte får använda sin tillgång till vårdgivares eller andra omsorgsgivares uppgifter i systemet med andra syften än att utföra insatser för omsorgsmottagaren eller utreda dennes behov av insatser.
Kravet på att uppgifterna som omsorgsgivaren önskar ta del av ska antas vara av betydelse för omsorgsgivarens insatser för omsorgsmottagaren innebär att en faktisk prövning av uppgiftens eller uppgifternas betydelse för omvårdnaden av omsorgsmottagaren måste göras. Det krävs alltså att en handläggare, anställd eller annan person som utför en insats gör en konkret bedömning av om uppgifterna skulle kunna komma att göra någon skillnad för insatsen eller utredningen om insatsen. I avsnitt 12.2 och 13.2 ges exempel på när en omsorgsgivare har behov av en personuppgift för att ansvara för eller utföra en insats för äldre eller personer med funktionsnedsättningar. Kraven på bedömningen av om en uppgift kan antas ha betydelse för utförandet av omsorgsgivarens insatser eller handläggning, beslut i ärenden om sådana insatser samt uppföljning av beslut om sådana insatser får inte ställas för högt. Eftersom den som ska göra prövningen ännu inte har tagit del av uppgifterna, måste prövningen många gånger utgå från vad som typiskt sett kan anses gälla om inte omsorgsmottagaren själv kan lämna närmare upplysningar. Ett slentrianmässigt inhämtande av uppgifter från en annan vård- eller omsorgsgivares vård- eller omsorgsdokumentation eller inhämtande av uppgifter som kan vara bra att ha, är inte tillåtet. Det
är bara om uppgifterna kan antas ha betydelse för omsorgsgivarens insatser eller utredning som uppgifterna får inhämtas.
För att en omsorgsgivare ska få behandla ospärrade uppgifter krävs också att omsorgsmottagaren samtycker till det. Det ska vara ett sådant samtycke som uppfyller de krav som följer av dataskyddsförordningen (se vidare avsnitt 16.7.4 och 4.4.5), dvs. en frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (se artikel 4.11 i dataskyddsförordningen).
I andra stycket finns ett undantag från kravet i första stycket på samtycke när omsorgsmottagaren är ett barn som inte självt kan samtycka.
Det krävs inte samtycke av omsorgsmottagaren till behandling av andra omsorgsgivares uppgifter, om omsorgsmottagaren är ett barn som inte självt kan samtycka. Det innebär att innan ett barn har nått sådan ålder och mognad att barnet kan samtycka behöver inte samtycke inhämtas för att omsorgsgivaren ska få tillgång till andra omsorgsgivares uppgifter. När barnet har nått sådan ålder och mognad att barnet självt kan samtycka krävs enligt huvudregeln i första stycket samtycke för att omsorgsgivaren ska få sådan tillgång.
När det gäller omsorgsgivares tillgång till vårdgivares uppgifter har något undantag inte gjorts utan här krävs enligt huvudregeln i första stycket barnets samtycke. Det innebär att omsorgsgivare inte genom sammanhållen vård- och omsorgsdokumentation kan få tillgång till vårdgivares uppgifter om barn som ännu inte nått sådan ålder och mognad att de kan samtycka till behandlingen.
När patienten inte kan samtycka
8 § En vårdgivare får ta del av uppgift om vilka andra vård- och om-
sorgsgivare som har gjort uppgifter tillgängliga enligt 3–5 §§, om patienten inte endast tillfälligt saknar förmåga att lämna samtycke enligt 6 § första stycket 3.
Vårdgivaren får även behandla de uppgifter som avses i 3–5 §§, om
1. vårdgivaren bedömer att dessa kan antas ha betydelse för den vård som är nödvändig med hänsyn till patientens hälsotillstånd,
2. patientens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts, och
3. det inte finns anledning att anta att patienten skulle ha motsatt sig behandlingen av personuppgifterna.
Paragrafen, som har berörts i avsnitt 16.8, motsvarar i sak 6 kap. 3 a § patientdatalagen och är avsedd att ha motsvarande innebörd, se prop. 2013/14:202 s. 18 f. och 43 f. Bestämmelsen gäller dock rätt att ta del av uppgifter som gjorts tillgängliga genom sammanhållen vård- och omsorgsdokumentation i stället för genom sammanhållen journalföring. Detta innebär att bestämmelsen ger vårdgivare möjlighet att även ta del av uppgifter som omsorgsgivare gjort tillgängliga.
När omsorgsmottagaren inte kan samtycka
9 § En omsorgsgivare får ta del av uppgift om vilka andra omsorgsgivare som har gjort uppgifter tillgängliga enligt 3–5 §§, om omsorgsmottagaren inte endast tillfälligt saknar förmåga att lämna samtycke enligt 7 § första stycket 3.
Omsorgsgivaren får även behandla de uppgifter som avses i 3–5 §§ som andra omsorgsgivare gjort tillgängliga, om
1. omsorgsgivaren bedömer att dessa kan antas ha betydelse för de insatser för äldre eller personer med funktionsnedsättningar som är nödvändiga med hänsyn till omsorgsmottagarens behov, eller en utredning om sådana insatser,
2. omsorgsmottagarens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts, och
3. det inte finns anledning att anta att omsorgsmottagaren skulle ha motsatt sig behandlingen av personuppgifterna.
Paragrafen reglerar under vilka förutsättningar en omsorgsgivare får ta del av ospärrade personuppgifter om en omsorgsmottagare som inte endast tillfälligt saknar förmåga att samtycka som andra omsorgsgivare gjort tillgängliga i ett system med sammanhållen vård- och omsorgsdokumentation. Övervägandena finns i avsnitt 16.9.
Enligt första stycket får en omsorgsgivare ta del av uppgift om vilka andra omsorgsgivare som har gjort uppgifter tillgängliga enligt 2 kap. 3–5 §§, om omsorgsmottagaren inte endast tillfälligt saknar
förmåga att lämna samtycke enligt 2 kap. 7 § första stycket 3. Uppgifterna kan ha gjorts tillgängliga genom sammanhållen vård- och omsorgsdokumentation antingen enligt 2 kap. 3 och 4 §§ i de fall patienten hade förmåga att ta ställning till om dessa skulle få göras tillgängliga, eller enligt 2 kap. 5 § i de fall omsorgsmottagaren varaktigt inte hade sådan förmåga. Det ska noteras att ett normalt utvecklat barn inte är en sådan omsorgsmottagare som inte endast tillfälligt saknar förmåga att lämna samtycke.
En bedömning ska göras huruvida omsorgsmottagaren varaktigt saknar förmåga att lämna det samtycke som i normalfallet krävs för tillgång till uppgifter i sammanhållen vård- och omsorgsdokumentation. Det är den omsorgsgivare som behöver ta del av uppgifter hos en annan omsorgsgivare som ska göra denna bedömning. Bedömning av omsorgsmottagarens förmåga att samtycka har inte någon räckvidd utanför den konkreta situationen då bedömningen görs. Med hänsyn till hur omsorgsmottagarens hälsotillstånd och allmänna tillstånd utvecklas eller förändras kan omsorgsmottagarens förmåga variera över tid och även variera beroende på vilken fråga som omsorgsmottagaren behöver ta ställning till.
I andra stycket regleras under vilka förutsättningar omsorgsgivaren även får behandla personuppgifter som gjorts tillgängliga av en annan omsorgsgivare. En förutsättning som ska var uppfylld är att omsorgsmottagarens inställning till behandlingen av personuppgifter så långt som möjligt har klarlagts och det inte finns anledning att anta att omsorgsmottagaren skulle ha motsatt sig behandlingen. Denna bestämmelse tar särskilt sikte på de fall då omsorgsmottagaren tidigare haft förmåga att ta ställning till tillgängliggörande av personuppgifter i sammanhållen vård- och omsorgsdokumentation (2 kap. 3 §) eller till samtyckesfrågan, men när en annan omsorgsgivare behöver omsorgsmottagarens uppgifter saknar förmåga att lämna samtycke. Hur omfattande åtgärder omsorgsgivaren behöver vidta för att klarlägga inställningen får avgöras av förhållandena i det särskilda fallet. Den omsorgsgivare som önskar ta del av uppgifter i ett system med sammanhållen vård- och omsorgsdokumentation ska således försöka utreda omsorgsmottagarens inställning i frågan. Information från omsorgsmottagarens närstående eller andra personer som han eller hon har kontakt med kan då vara av betydelse, liksom information från den omsorgsgivare som gjort uppgifterna tillgängliga. Om omsorgsmottagaren på något sätt, t.ex. i ett tidigare
skede när han eller hon hade förmåga att samtycka, har gett uttryck för att han eller hon motsätter sig att andra omsorgsgivare tar del av uppgifterna ska detta vara vägledande, i synnerhet om omsorgsmottagaren tidigare vägrat att lämna samtycke till den aktuella omsorgsgivarens tillgång till uppgifterna. Finns det däremot inget som tyder på att omsorgsmottagaren skulle ha motsatt sig behandlingen, bör den kunna ske. Med att det inte finns anledning att anta menas att det inte ska finnas konkreta omständigheter som visar att omsorgsmottagaren skulle ha motsatt sig behandlingen.
Det är den omsorgsgivare som behöver ta del av uppgifter hos en annan omsorgsgivare för att kunna tillhandahålla vård som ska göra bedömningen av om omsorgsmottagaren har förmåga att ge sitt samtycke till personuppgiftsbehandlingen eller inte, respektive göra bedömningen om uppgifterna kan antas ha betydelse för insatserna. Det kan vara den eller de behöriga befattningshavarna hos omsorgsgivaren som ges denna åtkomst respektive får behandla uppgifterna. Vem eller vilka som är behöriga befattningshavare bestäms av omsorgsgivaren.
En annan förutsättning som ska vara uppfylld för att en omsorgsgivare ska få tillgång till andra omsorgsgivares uppgifter är att det är fråga om uppgifter som rör en omsorgsmottagare som får omsorgsgivarens insatser för äldre eller personer med funktionsnedsättningar eller är föremål för en utredning om att få sådana insatser från omsorgsgivaren och uppgifterna kan antas ha betydelse för dessa insatser. Se författningskommentaren till 2 kap. 7 § första stycket beträffande innebörden av detta.
En omsorgsgivare får inte utan en vuxen omsorgsmottagares samtycke bereda sig tillgång till vårdgivares uppgifter, se 2 kap. 7 och 11 §§.
Fara för patientens liv eller hälsa
10 § Om det finns spärrade uppgifter om en patient och det finns fara
för dennes liv eller det annars finns allvarlig risk för dennes hälsa, får vårdgivaren, om patienten inte kan häva spärren enligt 3 § första stycket, ta del av uppgift om vilken eller vilka vårdgivare som har spärrat uppgifterna. Om vårdgivaren med ledning av denna uppgift bedömer att de spärrade uppgifterna kan antas ha betydelse för den vård som
patienten oundgängligen behöver, får vårdgivaren begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren.
Om det finns ospärrade uppgifter om en patient och det finns fara för dennes liv eller det annars finns allvarlig risk för dennes hälsa, får vårdgivaren, om patientens samtycke inte kan inhämtas enligt 6 §, ta del av uppgift om vilken eller vilka vårdgivare som har gjort uppgifterna tillgängliga. Om vårdgivaren med ledning av denna uppgift bedömer att ospärrade uppgifter som en annan vårdgivare gjort tillgängliga kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren behandla de ospärrade uppgifterna.
Paragrafen överensstämmer i sak med 6 kap. 4 § patientdatalagen och är avsedd att ha samma innebörd, se prop. 2007/08:126 s. 253 f. för författningskommentaren till den bestämmelsen. Övervägandena finns i avsnitt 16.10.
Uttömmande reglering
11 § En vård- eller omsorgsgivare får inte behandla en annan vård-
eller omsorgsgivares uppgifter om en patient eller omsorgsmottagare genom sammanhållen vård- och omsorgsdokumentation under andra förutsättningar än dem som anges i 3–10 §§, även om patienten eller omsorgsmottagaren uttryckligen samtycker till det.
Paragrafen motsvarar delvis 6 kap. 5 § patientdatalagen. Övervägandena finns i avsnitt 16.11.
Det är enligt paragrafen inte tillåtet för vare sig vårdgivare eller omsorgsgivare att behandla uppgifter om en patient eller en omsorgsmottagare genom sammanhållen vård- och omsorgsdokumentation under andra förutsättningar än dem som anges i lagen, även om patienten eller omsorgsmottagarens uttryckligen samtycker till det. Paragrafen klargör att patienten eller omsorgsmottagaren inte kan utvidga en vård- eller omsorgsgivares möjligheter till tillgång utöver vad som följer av lagen.
Personuppgiftsansvar vid sammanhållen vård- och omsorgsdokumentation
12 § Vård- eller omsorgsgivaren är personuppgiftsansvarig för den
behandling av personuppgifter som vård- eller omsorgsgivaren utför vid sammanhållen vård- och omsorgsdokumentation. I en region och en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Personuppgiftsansvaret enligt första stycket omfattar även sådan behandling av personuppgifter som utförs när någon genom direktåtkomst eller annat elektroniskt utlämnande i ett enskilt fall bereds tillgång till personuppgifter hos en annan vård- eller omsorgsgivare.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen vård- och omsorgsdokumentation.
Paragrafen, som delvis motsvarar 2 kap. 6 § patientdatalagen, har berörts i avsnitt 16.12.
Enligt första stycket är en vård- eller omsorgsgivare ansvarig för den behandling av personuppgifter som vård- eller omsorgsgivaren utför vid sammanhållen vård- och omsorgsdokumentation. Regeln innebär bl.a. att den vård- eller omsorgsgivare som gör en personuppgift tillgänglig för andra genom att uppgiften dokumenteras utan att spärras har personuppgiftsansvaret för att det sker på ett lagligt sätt. I ansvaret ingår att se till att patienten eller omsorgsmottagaren får information om den sammanhållna vård- och omsorgsdokumentationen och möjligheten att motsätta sig tillgängliggörande. Personuppgiftsansvaret omfattar även den fortsatta lagringen och tillgängliggörandet.
Av definitionen av begreppet vårdgivare i 1 kap. 1 § framgår, när det gäller den hälso- och sjukvård som regionerna och kommunerna ansvarar för, att med vårdgivare avses den juridiska personen som sådan, dvs. regionen eller kommunen, inte den eller de myndigheter inom regionen eller kommunen som ansvarar för eller utför hälso- och sjukvård. Enligt första stycket är det emellertid inte regionen eller kommunen som är personuppgiftsansvarig. I stället är det den
myndighet, nämnd, som behandlar personuppgifterna som är personuppgiftsansvarig.
Definitionen av omsorgsgivare i 1 kap. 1 § innebär på den offentliga sidan att med omsorgsgivare avses den myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar. Även inom den offentliga socialtjänsten är således varje myndighet som behandlar personuppgifter personuppgiftsansvarig.
Definitionerna av vård- respektive omsorgsgivare i 1 kap. 1 § innebär på den privata sidan att varje juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård respektive utför insatser för äldre eller personer med funktionsnedsättningar är vård- respektive omsorgsgivare. Inom den privata vården och omsorgen är således varje juridisk person eller enskild näringsidkare som behandlar personuppgifter personuppgiftsansvarig.
Av andra stycket, som endast avser att utgöra ett förtydligande av personuppgiftsansvaret enligt första stycket, framgår att personuppgiftsansvaret omfattar sådana åtgärder som utförs när någon genom direktåtkomst eller annat elektroniskt utlämnande i ett enskilt fall bereds tillgång till personuppgifter hos en annan vård- eller omsorgsgivare. Det kan handla om att via direktåtkomst söka bland och läsa uppgifter i sådan vård- och omsorgsdokumentation som andra vård- och omsorgsgivare gjort tillgängliga. Den myndighet, juridiska person eller enskilda näringsidkare som använder sin direktåtkomst eller möjlighet till annat elektroniskt utlämnande och bereder sig tillgång till andra vård- och omsorgsgivares uppgifter för att söka efter och läsa eller annars behandla personuppgifter är alltså personuppgiftsansvarig för den behandling av personuppgifter som detta innebär.
I tredje stycket, som motsvaras av 6 kap. 6 § patientdatalagen, ges regeringen eller den myndighet som regeringen bestämmer möjlighet att vid behov närmare reglera personuppgiftsansvaret för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder.
Patientens och omsorgsmottagarens elektroniska tillgång till dokumentation
13 § En vård- eller omsorgsgivare får medge en patient eller omsorgs-
mottagare tillgång genom direktåtkomst eller annat elektroniskt utlämnande till sådana uppgifter om patienten eller omsorgsmottagaren själv
som får lämnas ut till honom eller henne och som en annan vård- eller omsorgsgivare får ha tillgång till enligt 3 §. Patienten eller omsorgsmottagaren får också medges tillgång genom direktåtkomst eller annat elektroniskt utlämnande till sådan dokumentation som avses i 15 § första stycket 1 .
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst eller annat elektroniskt utlämnande som avses i första stycket.
I 5 kap. 5 § patientdatalagen (2008:355) finns det ytterligare bestämmelser om patientens tillgång genom direktåtkomst eller annat elektroniskt utlämnande till uppgifter hos vårdgivare om patienten själv.
Paragrafen motsvarar delvis 5 kap. 5 § patientdatalagen. Övervägandena finns avsnitt 16.13.
Av första stycket framgår att en omsorgsmottagare eller patient får medges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till sådana uppgifter om sig själv som får lämnas ut till honom eller henne och som andra vård- och omsorgsgivare får ha tillgång till genom sammanhållen vård- och omsorgsdokumentation enligt 3 §, men inte enligt 5 § avseende uppgifter om varaktigt beslutsoförmögna. Paragrafen innebär inget åliggande för en vård- eller omsorgsgivare att tillhandahålla sådan åtkomst utan endast en möjlighet till detta. Paragrafen syftar till att vård- och omsorgsgivare ska kunna ge en patient respektive omsorgsmottagare tillgång till sin dokumentation. När det gäller innebörden av begreppet direktåtkomst och annat elektroniskt utlämnande hänvisas till kommentaren till 2 kap. 2 § och avsnitt 12.3.2 och 16.3.2.
Det får förutsättas att den som begär och medges tillgång till sin dokumentation också informeras om vart han eller hon kan vända sig för att få hjälp att tyda dessa. Tillgången behöver inte innebära en tillgång till samtliga uppgifter om patienten eller omsorgsmottagaren utan kan av vård- eller omsorgsgivaren begränsas till vissa uppgifter. Tillgången till personuppgifter får givetvis inte avse uppgifter för vilka sekretess gäller i förhållande till patienten eller omsorgsmottagaren, se t.ex. 25 kap. 6 §, 26 kap. 2 § och 26 kap. 5 §offentlighets- och sekretesslagen. Det framgår av att det i paragrafen före-
1 För den händelse utredningens lagförslag i avsnitt 1.4 genomförs samtidigt bör hänvisningen i stället avse 10 a § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.
skrivs att endast sådana uppgifter som får lämnas ut till patienten eller omsorgsmottagaren får omfattas av tillgången. Eftersom direktåtkomst innebär att det inte sker någon sekretessprövning varje gång någon tar del av uppgifter om sig själv, måste sekretessfrågan prövas i samband med att vård- eller omsorgsgivaren ger patienten eller omsorgsmottagaren direktåtkomst. Även när det gäller tillgång genom den form av annat elektroniskt utlämnande än direktåtkomst som avses i bestämmelsen kan det vara så att någon sekretessprövning inte sker varje gång någon tar del av uppgifter om sig själv, eftersom sådant elektroniskt utlämnande kan utgöras av en elektronisk fråga-svarfunktion som för användaren är identisk med eller snarlik direktåtkomst, se avsnitt 12.3.2 och 16.3.2. Även gällande sådan elektronisk tillgång måste därför sekretessfrågan prövas i samband med att vård- eller omsorgsgivaren ger patienten eller omsorgsmottagaren tillgång Sekretessfrågan kan naturligtvis någon gång behöva omprövas efter det att tillgång har medgetts. En sekretessprövning måste vidare göras varje gång som nya uppgifter görs tillgängliga för patienten eller omsorgsmottagaren. Patienten eller omsorgsmottagaren får under samma förutsättningar som gäller för tillgång genom direktåtkomst eller annat elektroniskt utlämnande till uppgifter om patienten eller omsorgsmottagaren själv, medges tillgång till logglistor som avser elektronisk åtkomst till uppgifter om patienten/omsorgsmottagaren.
I andra stycket upplyses om att regleringen gällande krav på vilka säkerhetsåtgärder som ska gälla vid tillgång genom direktåtkomst eller annat elektroniskt utlämnande inte är uttömmande i lagen utan kan bli kompletterad med föreskrifter på lägre nivå av regeringen, eller den myndighet som regeringen bestämmer. Åtkomst genom direktåtkomst eller annat elektroniskt utlämnande förutsätter att det finns tillräckligt säkra tekniska lösningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Det måste också finnas tekniska lösningar att spärra uppgifter som inte får lämnas ut till en patient eller omsorgsmottagare på grund av att sekretess gäller för dem i förhållande till patienten eller omsorgsmottagaren. Det är tänkt att det är Socialstyrelsen efter samråd med Integritetsskyddsmyndigheten som ska få meddela sådana föreskrifter.
Tredje stycket är endast en erinran om att det i patientdatalagen
finns ytterligare bestämmelser om patienters tillgång till uppgifter
hos vårdgivare om patienten själv som gäller oavsett om vårdgivaren deltar i sammanhållen vård- och omsorgsdokumentation eller inte.
Tilldelning av behörighet för intern elektronisk åtkomst och kontroll av elektronisk åtkomst
14 § Omsorgsgivaren ska bestämma villkor för tilldelning av behö-
righet till personalen i den egna organisationen för åtkomst till personuppgifter som hålls tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation. Sådan behörighet ska begränsas till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter i fråga om insatser för äldre eller personer med funktionsnedsättningar, administration av sådana insatser och dokumentation som avses i 1 § andra stycket.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet enligt första stycket.
I 4 kap. 2 § patientdatalagen (2008:355) finns det bestämmelser om vårdgivares behörighetstilldelning. Den bestämmelsen gäller även för vårdgivares behörighetstilldelning avseende åtkomst till sammanhållen vård- och omsorgsdokumentation.
Paragrafen motsvarar delvis 4 kap. 2 § patientdatalagen. Övervägandena finns i avsnitt 16.14.
Enligt första stycket ska en omsorgsgivare bestämma villkor för hur personalen i den egna organisationen ska tilldelas behörighet för åtkomst till personuppgifter som hålls tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation. Det ingår därför i varje omsorgsgivares ansvar att pröva sin personals behov av åtkomst till andra vård- och omsorgsgivares uppgifter i den sammanhållna vård- och omsorgsdokumentationen. Sådan behörighet ska begränsas till vad som behövs för att den enskilde medarbetaren ska kunna fullgöra sina arbetsuppgifter i fråga om insatser för äldre eller personer med funktionsnedsättningar. Utgångspunkten för tilldelning av behörighet för personalens elektroniska tillgång till uppgifter om omsorgsmottagare ska alltså begränsas till vad befattningshavaren behöver för att kunna utföra sina arbetsuppgifter inom socialtjänsten. Detta gäller för den del av befattningshavarens arbetsuppgifter som avser behandling av per-
sonuppgifter för att ansvara för eller utföra insatser för äldre eller personer med funktionsnedsättningar, samt administration eller dokumentation av sådana insatser. En omsorgsgivare måste först fastställa vilka behov som finns innan behörighetsrutinerna bestäms. Bestämmelsen innebär att en omsorgsgivare ska göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken närmare information olika personalkategorier och olika slags verksamheter behöver. Då villkoren för behörighetstilldelning bestäms måste också riskanalyser göras. Särskilt viktigt är detta då det gäller tillgängligheten till skyddade personuppgifter och uppgifter om kända personer. En generös behörighetstilldelning innebär ofta en obefogad spridning av personuppgifter. Det räcker således inte att i efterhand kontrollera åtkomstlistor för att konstatera eventuella intrång. Vid utformning av behörighetssystem måste de grundläggande principerna för behandling av personuppgifter i artikel 5 i dataskyddsförordningen beaktas. I stora, brett tillgängliga system ska normalt olika behörighetsnivåer för personalen finnas. Mer känsliga uppgifter får inte vara lika enkelt åtkomlig för personalen som mindre känslig information. Det ingår i varje omsorgsgivares ansvar att se till att alla anställda får full information om behörighetsreglerna. Behörighetstilldelningen bör åtföljas av tekniska begränsningar så att den som inte har behörighet att ha tillgång till vissa uppgifter inte heller har teknisk möjlighet att komma åt dessa. Behörigheter måste också följas upp och ändras efter hand som ändringar i befattningshavarens arbetsuppgifter ger anledning till det. En närmare reglering som tar sikte på behörighetstilldelning kan finnas i författningar av lägre valör än lag, se andra stycket.
I andra stycket upplyses om att regleringen gällande krav på tilldelning av behörighet för omsorgsgivare inte är uttömmande i lagen utan kan bli kompletterad med föreskrifter på lägre nivå av regeringen, eller den myndighet som regeringen bestämmer. Det är tänkt att det är Socialstyrelsen efter samråd med Integritetsskyddsmyndigheten som ska få meddela sådana föreskrifter.
I tredje stycket anges att bestämmelsen om vårdgivares behörighetstilldelning i 4 kap. 2 § i patientdatalagen ska gälla även för vårdgivares behörighetstilldelning avseende åtkomst till sammanhållen vård- och omsorgsdokumentation.
Alternativ lagtext 2
14 § I 4 kap. 2 § patientdatalagen (2008:355) finns det bestämmelser
om vårdgivares behörighetstilldelning som gäller även för vårdgivares behörighetstilldelning avseende åtkomst till sammanhållen vård- och omsorgsdokumentation. I 4 kap. 3 § patientdatalagen finns det bestämmelser om vårdgivares åtkomstkontroll som gäller även för vårdgivares åtkomstkontroll avseende åtkomst till sammanhållen vård- och omsorgsdokumentation.
I 9 § lagen ( 2001:454 ) om behandling av personuppgifter inom socialtjänsten finns det bestämmelser om omsorgsgivares behörighetstilldelning. Den bestämmelsen gäller även för omsorgsgivares behörighetstilldelning avseende åtkomst till sammanhållen vård- och omsorgsdokumentation, dock att behörigheten ska begränsas till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter i fråga om insatser för äldre eller personer med funktionsnedsättningar, administration av sådana insatser och dokumentation som avses i 1 § andra stycket. I 10 § lagen om behandling av personuppgifter inom socialtjänsten finns det bestämmelser om omsorgsgivares åtkomstkontroll som gäller även för omsorgsgivares åtkomstkontroll avseende åtkomst till sammanhållen vård- och omsorgsdokumentation.
Paragrafen motsvarar delvis 4 kap.2 och 3 §§patientdatalagen. Övervägandena finns i avsnitt 16.14.3 och 16.15.3.
I första stycket anges att bestämmelserna om vårdgivares behörighetstilldelning och om vårdgivares åtkomstkontroll i 4 kap. 2 och 3 §§ ska gälla även för vårdgivares behörighetstilldelning och åtkomstkontroll avseende åtkomst till sammanhållen vård- och omsorgsdokumentation.
Av andra stycket framgår att bestämmelserna om behörighetstilldelning och om åtkomstkontroll i 9 och 10 §§ i SoLPUL ska gälla även för omsorgsgivares behörighetstilldelning och åtkomstkontroll avseende åtkomst till sammanhållen vård- och omsorgsdokumentation.
15 § Omsorgsgivaren ska se till att åtkomst till personuppgifter som
hålls tillgängliga för andra omsorgs- och vårdgivare genom sammanhållen vård- och omsorgsdokumentation dokumenteras och kan kon-
2 Alternativ lagtext för den händelse utredningens lagförslag i avsnitt 1.3 genomförs samtidigt.
trolleras. Omsorgsgivaren ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om dokumentation och kontroll enligt första stycket.
I 4 kap. 3 § patientdatalagen (2008:355) finns det bestämmelser om vårdgivares åtkomstkontroll. Den bestämmelsen gäller även för vårdgivares åtkomstkontroll avseende åtkomst till sammanhållen vård- och omsorgsdokumentation.
Paragrafen motsvarar delvis 4 kap. 3 § patientdatalagen. Övervägandena finns i avsnitt 16.15
Av första stycket följer att en omsorgsgivare är skyldig att se till att den egna personalens och andra vård- och omsorgsgivares elektroniska åtkomst till personuppgifter genom sammanhållen vård- och omsorgsdokumentation dokumenteras och kan kontrolleras. Omsorgsgivaren är även skyldig att göra systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna. Åtkomstkontroller ska även göras för att säkerställa att användare inte använder sina behörigheter på fel sätt genom att läsa, ändra eller ta bort uppgifter som de inte ska behandla. Exempel på en felaktig åtkomst kan vara att någon öppnar en journal trots att han eller hon inte har med patienten att göra. För att vård- eller omsorgsgivaren ska kunna kontrollera att behörigheterna används på ett korrekt sätt måste åtkomsten till personuppgifter dokumenteras (loggas). Av loggarna ska framgå användarens identitet och vid vilken tidpunkt som åtgärderna vidtagits. Loggarna måste sparas en tid för att möjliggöra kontroll. Systematiska och återkommande stickprovskontroller av loggarna behöver göras och antalet stickprovskontroller ska vara proportionerliga i förhållande till antalet slagningar som görs i systemet. Det räcker alltså inte att bara göra uppföljningskontroller i särskilda fall då misstanke kan finnas om obehörigt intrång. Uppgiftskontroller ska göras systematiskt och fortlöpande oberoende av misstanke. Av 2 kap. 16 § framgår att en patient har rätt att på begäran få information om vilken elektronisk åtkomst som har förekommit till elektroniskt behandlade uppgifter om honom eller henne. Lagen anger inte närmare hur åtkomstkontrollerna ska ske. Sådana föreskrifter kan meddelas av regeringen eller på myndighetsnivå, se andra stycket.
I andra stycket upplyses om att regleringen gällande krav på kontroll av åtkomst till personuppgifter för omsorgsgivare inte är uttömmande i lagen utan kan bli kompletterad med föreskrifter på lägre nivå av regeringen, eller den myndighet som regeringen bestämmer. Det är tänkt att Socialstyrelsen efter samråd med Integritetsskyddsmyndigheten ska meddela sådana föreskrifter på samma sätt som Socialstyrelsen har meddelat föreskrifter som gäller för sammanhållen journalföring (se 4 kap. 9 § HSLF-FS 2016:40).
I tredje stycket anges att bestämmelsen om vårdgivares åtkomstkontroll i 4 kap. 3 § i patientdatalagen ska gälla även för vårdgivares åtkomstkontroll avseende åtkomst till sammanhållen vård- och omsorgsdokumentation.
Alternativ lagtext 3 :
15 § –
Paragrafen utgår, se kommentaren till 2 kap. 14 §.
Information om den elektroniska åtkomst som förekommit
16 § Omsorgsgivaren ska på begäran av en omsorgsmottagare lämna
information om den åtkomst som förekommit till de personuppgifter om omsorgsmottagaren som omsorgsgivaren håller tillgängliga för andra omsorgs- och vårdgivare genom sammanhållen vård- och omsorgsdokumentation.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om information enligt första stycket.
I 8 kap. 5 § ( 2008:355 ) patientdatalagen finns det bestämmelser om motsvarande skyldighet för vårdgivare.
Paragrafen motsvarar delvis 8 kap. 5 § patientdatalagen. Övervägandena finns i avsnitt 16.17.
Av första stycket framgår att en patient eller omsorgsmottagare har rätt att få information från omsorgsgivaren om vilken elektronisk åtkomst som förekommit till uppgifter om patienten eller omsorgsmottagaren i systemet med sammanhållen vård- och omsorgs-
3 Alternativ lagtext för den händelse utredningens lagförslag i avsnitt 1.3 genomförs samtidigt.
dokumentation (logglistor). Paragrafen är tillämplig inom både den allmänna och enskilda socialtjänsten. Skyldigheten att lämna information är mer långtgående än den skyldighet som den offentliga socialtjänsten har enligt tryckfrihetsförordningen att lämna ut allmänna handlingar och 6 kap. 4 § offentlighets- och sekretesslagen (2009:400) att lämna uppgifter ur allmänna handlingar. Avsikten är att informationen ska vara anpassad och klargörande för patienten eller omsorgsmottagaren i syfte att han eller hon enkelt ska kunna tillgodogöra sig den. Den information som lämnas måste alltså vara begriplig och vägledande för patienten eller omsorgsmottagaren när han eller hon själv ska bilda sig en uppfattning om huruvida åtkomsten varit befogad eller inte. Det bör t.ex. tydligt framgå när och från vilken enhet en slagning har skett. Varje omsorgsgivare bör kunna redovisa vilken åtkomst till den egna verksamhetens dokumentation som har förekommit från andra vård- och omsorgsgivare och från enheter inom den egna organisationen. Även dessa andra mottagande omsorgsgivare bör kunna redovisa när direktåtkomst eller annan elektronisk åtkomst har använts. Det finns dock inte något behov av att namnge omsorgspersonal eller att presentera andra uppgifter som indirekt kan hänföras till en fysisk person, dvs. det är tillräckligt att för detta ändamål ange från vilken avdelning, enhet eller motsvarande som tillgången härrör. Sådana uppgifter bör därför inte lämnas ut till omsorgsmottagaren. Det är omsorgsgivaren som avgör i vilken utsträckning sådana uppgifter ska göras tillgängliga för omsorgsmottagarna. Hur informationen närmare ska utformas framgår dock inte av lagen. Den frågan har överlämnats till regeringen eller den myndighet som regeringen bestämmer, se andra stycket. Någon rätt för omsorgsmottagaren att överklaga ett beslut med anledning av omsorgsmottagarens begäran om information finns inte.
I andra stycket upplyses om att regleringen gällande krav på information inte är uttömmande i lagen utan kan bli kompletterad med föreskrifter på lägre nivå av regeringen, eller den myndighet som regeringen bestämmer. Det är tänkt att det är Socialstyrelsen efter samråd med Integritetsskyddsmyndigheten som ska få meddela sådana föreskrifter.
Tredje stycket är endast en erinran om att det i 8 kap. 5 § patient-
datalagen finns bestämmelser om skyldighet för vårdgivare att lämna motsvarande information till patienter och omsorgsmottagare.
Alternativ lagtext 4 :
16 § I 8 kap. 5 § patientdatalagen (2008:355) finns det bestämmelser
om vårdgivares skyldighet att på begäran lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit som gäller även i fråga om åtkomst till sammanhållen vård- och omsorgsdokumentation.
I 10 a § lagen ( 2001:454 ) om behandling av personuppgifter inom socialtjänsten finns det bestämmelser om skyldighet för den som bedriver verksamhet inom socialtjänsten att på begäran lämna information om den elektroniska åtkomst till uppgifter om den registrerade som förekommit som gäller även i fråga om åtkomst till sammanhållen vård- och omsorgsdokumentation.
Paragrafen motsvaras inom sammanhållen journalföring av 8 kap. 5 § patientdatalagen. Övervägandena finns i avsnitt 16.17.3.
Bevarande och gallring
17 § När en handling är tillgänglig för flera vård- eller omsorgsgivare
genom sammanhållen vård- och omsorgsdokumentation gäller skyldigheten enligt 7 kap. 3 § socialtjänstlagen (2001:453) , 23 c § lagen ( 1993:387 ) om stöd och service till vissa funktionshindrade eller 3 kap. 17 § patientdatalagen (2008:355) att bevara den bara den vård- eller omsorgsgivare som ansvarar för den.
Om en handling är tillgänglig för en myndighet bara genom sammanhållen vård- och omsorgsdokumentation och myndigheten inte ansvarar för den, får myndigheten gallra handlingen från sitt arkiv.
Paragrafen motsvarar delvis 6 kap. 8 § patientdatalagen. Övervägandena finns i avsnitt 16.18.
Grundregeln om bevarande och gallring av patientjournaler finns i 3 kap. 17 § patientdatalagen. Där föreskrivs att en journalhandling ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. I vissa fall får föreskrivas om längre bevarandetid. Inom socialtjänsten gäller för enskild verksamhet att anteckningar och andra uppgifter i en personakt som tillhör sådan sammanställning av uppgifter som avses i SoLPUL ska bevaras och därefter gallras två år
4 Alternativ lagtext för den händelse utredningens lagförslag i avsnitt 1.3 genomförs samtidigt.
efter det att sista anteckningen gjordes i akten (7 kap. 3 § SoL). Det framgår av samma bestämmelse att uppgifter i en sammanställning som avses i SoLPUL ska gallras två år efter det att de förhållanden som uppgifterna avser har upphört. Bestämmelser med motsvarande innebörd finns även i 23 c § LSS. När det gäller allmän verksamhet finns ingen kortaste bevarandetid angiven utan det anges endast att anteckningar och andra uppgifter i en personakt hos socialnämnden ska gallras fem år efter det att sista anteckningen gjordes i akten (12 kap. 1 § SoL och 21 c § LSS). För journalhandlingar och dokumentation som utgör allmänna handlingar gäller därutöver bl.a. arkivlagen (1990:782).
Första stycket innebär att varje vård- och omsorgsgivare som
deltar i ett system med sammanhållen vård- och omsorgsdokumentation ansvarar för bevarandet av de ospärrade uppgifter som vård- eller omsorgsgivaren själv gör tillgängliga i systemet med sammanhållen vård- och omsorgsdokumentation. Sådant ansvar åvilar alltså inte en vård- eller omsorgsgivare som endast har en potentiell tillgång till dessa uppgifter. Det innebär i princip att det är endast en, inte flera, vård- eller omsorgsgivare som ansvarar för bevarandet och arkivbildningen av journalhandlingar och annan dokumentation. Detta gäller även om en vård- eller omsorgsgivare bereder sig tillgång till uppgifter hos en annan vård- eller omsorgsgivare, så länge inte uppgifterna ”tankas hem” och lagras av den förstnämnde vård- eller omsorgsgivaren. En tanke med den sammanhållna vård- och omsorgsdokumentationen är dock att en vård- eller omsorgsgivare inte ska behöva hämta och lagra en annan vård- eller omsorgsgivares journalhandlingar och annan dokumentation. Dubbeldokumentation bör undvikas. Ibland lär det dock vara nödvändigt att göra detta för att kunna tillgodose patientsäkerheten eller ge god omsorg. En sådan åtgärd, att ”tanka hem” och lagra uppgifterna, innebär att vård- eller omsorgsgivaren framställer en ny handling som denne ansvarar för, vilket dock inte regleras i lagen.
Bevarandet och hanteringen av den nya handlingen följer samma regler som gäller för övriga journalhandlingar och annan dokumentation som har sitt ursprung i den egna verksamheten. Inom socialtjänstens område kan sådan dubbeldokumentation även vara nödvändig vid ärendehandläggning enligt socialtjänstlagen och LSS för omsorgsgivare som ansvarar för, dvs. beslutar om, insatser. Detta gäller exempelvis då dokumentation som gjorts tillgänglig genom
sammanhållen vård- och omsorgsdokumentation används som underlag för biståndshandläggares beslut i ärenden om insatser. Detta beror på att det i annan lagstiftning finns krav på att en upptagning för automatiserad behandling som en myndighet använder sig av för handläggning av ett mål eller ärende ska tillföras handlingarna i målet eller ärendet i läsbar form (4 kap. 3 § offentlighets- och sekretesslagen). Det finns även krav på att en myndighet snarast ska dokumentera sådana uppgifter som myndigheten får på annat sätt än genom en handling och som kan ha betydelse för ett beslut i ett ärende i 27 § förvaltningslagen (2017:900). Bestämmelsen om att en sådan upptagning ska tillföras handlingarna i ärendet i läsbar form gäller dock inte när insatsen utförs, eftersom det då inte är fråga om ärendehandläggning utan ett faktiskt handlande.
Enligt andra stycket får en myndighet gallra journalhandlingar, dokumentation och andra handlingar som är tillgängliga för myndigheten endast genom sammanhållen vård- och omsorgsdokumentation. Denna gallringsregel behövs bl.a. för att inte någon av de myndigheter som deltar i en sammanhållen vård- och omsorgsdokumentation ska bli arkivansvarig för privata vård- eller omsorgsgivares journalhandlingar, dokumentation eller andra handlingar som myndigheten potentiellt sett har tillgång till, jfr 3 § första stycket arkivlagen.
3 kap. Kvalitetsuppföljning
Tillämpningsområde
1 § Bestämmelserna i detta kapitel gäller bara för sådan kvalitetsupp-
följning som innebär att personuppgifter samlas in från andra vårdinstanser eller omsorgsgivare. Dessa bestämmelser gäller i tillämpliga delar även uppgifter om avlidna personer.
Paragrafen anger kapitlets materiella tillämpningsområde. Övervägandena finns i avsnitt 17.1.
Bestämmelserna om kvalitetsuppföljning i 3 kap. gäller bara när
personuppgifter används. Definition av begreppet personuppgifter
finns i artikel 4 i dataskyddsförordningen. Av andra meningen följer att uppgifter om avlidna personer jämställs med personuppgifter vid tillämpningen av 3 kap. Det gäller dock bara tillämpliga delar av 3 kap. Bestämmelserna om patientens eller omsorgsmottagarens in-
ställning till behandlingen och om information till denne ska givetvis inte tillämpas när det gäller avlidna.
Bestämmelserna om kvalitetsuppföljning i 3 kap. gäller vidare bara när kvalitetsuppföljningen innebär att personuppgifter, eller uppgifter om avlidna personer, samlas in från andra vårdinstanser eller omsorgsgivare. Sådan kvalitetsuppföljning som bara omfattar vårdinstansens eller omsorgsgivarens egna personuppgifter, eller personuppgifter som inte samlas in från andra vårdinstanser eller omsorgsgivare, omfattas således inte av bestämmelserna i 3 kap.
Hur man i ett senare skede använder den information och kunskap som genererats vid kvalitetsuppföljning enligt 3 kap. regleras inte i 3 kap. om informationen inte längre innehåller personuppgifter eller uppgifter om avlidna personer. När kopplingen till personuppgifter tagits bort får informationen och kunskapen utan hinder av 3 kap. användas exempelvis i preventiv vård och i den individuella vården och omsorgen för att samköra data eller för att med hjälp av AI-tekniker ta fram beslutsstöd.
Begreppen vårdinstans, omsorgsgivare och kvalitetsuppföljning definieras i 1 kap. 1 §, se kommentaren till den paragrafen.
Beslut om kvalitetsuppföljning
2 § Behandling av personuppgifter för kvalitetsuppföljning får genom-
föras bara om fullmäktige i den ansvariga regionen eller kommunen har beslutat om det. Av beslutet ska framgå
1. för vilka särskilda och berättigade ändamål som personuppgifterna ska behandlas,
2. vilken vårdinstans eller omsorgsgivare som är personuppgiftsansvarig för behandlingen,
3. de kategorier av personer som behandlingen gäller,
4. de kategorier av personuppgifter som behandlingen gäller,
5. från vilka vårdinstanser och omsorgsgivare som personuppgifter kommer att samlas in, och
6. den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
Personuppgifterna ska gallras när perioden enligt första stycket 6 löpt ut.
Bestämmelser om hur beslutet överklagas finns i 13 kap. kommunallagen (2017:725) .
Paragrafen ställer krav på att fullmäktige ska fatta beslut med visst innehåll för att behandling av personuppgifter för kvalitetsuppföljning som avses i 3 kap. ska vara tillåten. Övervägandena finns i avsnitt 14.6.4 och 17.3.
Av första stycket följer att insamling av personuppgifter för kvalitetsuppföljning från andra vårdinstanser eller omsorgsgivare förutsätter ett beslut av fullmäktige i den region eller kommun som ansvarar för den vård eller de insatser för äldre eller personer med funktionsnedsättningar som ska följas upp. Av artikel 5.1 b i dataskyddsförordningen framgår att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Kravet enligt dataskyddsförordningen på att fastställa ändamål utökas således enligt paragrafen med ett krav på ett formellt beslut av fullmäktige hos den ansvariga regionen eller kommunen.
Fullmäktige får besluta om kvalitetsuppföljning av hela den verksamhet inom hälso- och sjukvård respektive socialtjänstens insatser för äldre och personer med funktionsnedsättningar som regionen eller kommunen ansvarar för, oavsett vem som utför verksamheten. Beslut om kvalitetsuppföljning bör avse hela eller åtminstone väsentliga delar av huvudmannens hälso- och sjukvårdsverksamhet respektive av kommunens verksamhet med insatser för äldre eller personer med funktionsnedsättningar.
Fullmäktige har stor frihet att avgöra vad kvalitetsuppföljningen ska handla om. Beslutet ska dock innehålla det som räknas upp i punkt 1–6. Det närmare innehållet och utformningen av beslutet ankommer på fullmäktige att besluta om. Tanken är inte att fullmäktige ska vara involverad i den faktiska behandlingen av personuppgifterna. Fullmäktiges beslut ger en ram för vad som får utföras. Själva verkställigheten av beslutet om kvalitetsuppföljning kommer att ske inom olika nämnder och hos olika tjänstemän, eller privata utförare.
Fullmäktige ska beskriva de särskilda och berättigade ändamålen för behandlingen i beslutet (punkt 1). Det ankommer följaktligen på fullmäktige att närmare precisera dessa särskilda ändamål. Det är inte tillräckligt att här ange ”kvalitetsuppföljning av regionens hälso- och sjukvård” eller liknande, utan ändamålen ska vara just särskilt an-
givna och ha en högre grad av precision. Tanken är att beslutet ska beskriva i mera detalj vad som ska följas upp och i vilket eller vilka avseenden. Jfr även artikel 5.1 b i dataskyddsförordningen.
Fullmäktige ska i beslutet peka ut den vårdinstans eller omsorgs-
givare (dvs. en myndighet/nämnd eller ett privat företag) som ska
vara personuppgiftsansvarig för behandlingen (punkt 2). Tanken är alltså inte att fullmäktige ska vara involverad i den faktiska behandlingen av personuppgifterna. Det är den utpekade personuppgiftsansvarige, eller ett av denne anlitat personuppgiftsbiträde, som får samla in personuppgifterna för kvalitetsuppföljningen. Bara en personuppgiftsansvarig får anges. Det är således inte tillåtet att besluta om ett gemensamt personuppgiftsansvar.
Med formuleringen ”kategorier av personer” som behandlingen gäller avses motsvarande som avses i dataskyddsförordningen (punkt 3). Motsvarande krav gäller enligt artikel 30.1 c i dataskyddsförordningen som beskriver att kategorierna av registrerade ska anges i den registerförteckning som ska föras av den personuppgiftsansvarige. Det handlar här om att kunna precisera de kategorier av fysiska personer som berörs av kvalitetsuppföljningen, t.ex. de som vårdats på visst sätt inom regionen eller kommunen. Någon större detaljnivå än vad dataskyddsförordningen kräver avses inte.
Beslutet ska också ange de kategorier av personuppgifter som behandlingen gäller (punkt 4). Även här avses motsvarande som avses i dataskyddsförordningen (jfr artikel 14.1 d, 15 respektive 30.1 c). Det kan t.ex. röra sig om uppgifter om ålder, hälsotillstånd, diagnos eller liknande.
I beslutet ska anges från vilka vårdinstanser och omsorgsgivare som personuppgifterna kommer att samlas in (punkt 5). Detta innebär dock inte att de utpekade får en uppgiftsskyldighet. Om personuppgifter faktiskt kan samlas in från en vårdinstans eller omsorgsgivare, är alltså beroende av dennes vilja och möjlighet att medverka. Personuppgifter får inte samlas in från någon annan vårdinstans eller omsorgsgivare än de som anges i beslutet. Den utpekade personuppgiftsansvarige får dock även använda personuppgifter från den egna verksamheten för kvalitetsuppföljningen.
Den lagringsperiod för personuppgifterna som anges i beslutet måste vara klart avgränsad, t.ex. i månader eller år från insamlingen eller till ett visst slutdatum. Om så inte kan ske, ska åtminstone kriterierna för att fastställa denna bevarandeperiod anges i beslutet
(punkt 6). Med det sistnämnda avses detsamma som enligt artikel 13.2 a och 14.2 a i dataskyddsförordningen. Lagen innehåller inte någon reglering om kortaste eller längsta tillåtna bevarandetid utan detta får ankomma på fullmäktige att besluta om. Fullmäktige har då att beakta dataskyddsförordningens princip om lagringsminimering (artikel 5.1 e i dataskyddsförordningen) och ska göra en bedömning av hur länge lagring av personuppgifterna behövs för den beslutade kvalitetsuppföljningen. Det viktiga är att perioden är väl avgränsad och proportionerlig utifrån det angivna ändamålet. Evig bevarandetid torde dock inte vara aktuellt, när det gäller kvalitetsuppföljning.
Tanken är inte att fullmäktige ska behöva fatta att nytt beslut om kvalitetsuppföljning varje år avseende t.ex. en årligen återkommande kvalitetsuppföljning som avser ett eller flera särskilda ändamål. Då kan det vara tillräckligt att i beslutet uppskatta lagringstiden till exempelvis tio år för de uppgifter som får samlas in vid årlig uppföljning under den kommande tioårsperioden.
Beslut om kvalitetsuppföljning enligt paragrafen får inte delegeras till nämnder eller, i nästa led, vidaredelegeras till tjänstemän (jfr 5 kap. 2 § kommunallagen [2017:725]).
Fullmäktige har möjlighet att besluta om att ändra ett tidigare beslut om kvalitetsuppföljning, exempelvis genom att föreskriva nya särskilda och berättigade ändamål för behandlingen eller att ändra den period under vilken uppgifterna kommer att lagras. Dessutom kan fullmäktige upphäva ett tidigare beslut, vilket för med sig att personuppgifterna inte längre får behandlas.
Av andra stycket framgår att personuppgifterna ska gallras när den lagringsperiod som fullmäktige bestämt har löpt ut. Detta är den enda särskilda gallringsbestämmelse som tagits in tas in i lagen. I övrigt gäller för myndigheter bestämmelserna i arkivlagen. Övervägandena om gallring finns i avsnitt 17.12.
Det ankommer på den myndighet som förvarar personuppgifterna, dvs. den personuppgiftsansvarige enligt fullmäktiges beslut, att verkställa den föreskrivna gallringen (se 6 § arkivlagen).
Det är personuppgifterna som ska gallras senast när den angivna perioden löper ut. Det innebär att alla uppgifter som kan användas för att identifiera de registrerade ska utplånas så att uppgifterna är fullt ut avidentifierade. Annars handlar det fortfarande om personuppgifter i dataskyddsförordningens mening.
Av tredje stycket framgår att bestämmelserna i kommunallagen om överklagande i form av laglighetsprövning ska tillämpas på beslut om kvalitetsuppföljning. Också övriga bestämmelser i kommunallagen gäller i tillämpliga fall, exempelvis bestämmelser om hur fullmäktiges beslut ska offentliggöras. Regioner och kommuner bör därutöver göra innehållet i beslutet om kvalitetsuppföljning känt på lämpligt sätt, genom att exempelvis publicera information om det på sin webbplats. Därutöver gäller krav på att lämna individuell information till de registrerade om behandlingen av personuppgifter samt om möjligheten att motsätta sig behandlingen, se 3 kap. 6 §.
Ändamål
3 § Personuppgifter får behandlas för kvalitetsuppföljning enligt detta
kapitel.
Personuppgifter som behandlas för kvalitetsuppföljning enligt detta kapitel får också behandlas för
1. den ansvariga regionens eller kommunens framställning av statistik, och
2. fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (2009:400) .
Personuppgifter som behandlas för kvalitetsuppföljning får inte behandlas för några andra ändamål än de som anges i första och andra stycket.
Paragrafen innehåller det primära ändamålet för behandling av personuppgifter för kvalitetsuppföljning (första stycket) samt de tillåtna sekundära ändamålen (andra stycket). Övervägandena finns i avsnitt 17.4.
Av första stycket följer att personuppgifter får behandlas för kvalitetsuppföljning som beslutats enligt 3 kap. Det är det s.k. primära övergripande ändamålet. Av beslutet om kvalitetsuppföljning enligt 3 kap. 2 § måste dock framgå de särskilda och berättigade ändamålen med behandlingen, vilket alltså inte får vara detsamma som endast det primära ändamålet ”kvalitetsuppföljning”.
Personuppgifterna får även behandlas för de sekundära ändamål som räknas upp i paragrafens andra stycke. Bestämmelserna om
sekundära ändamål kompletterar de särskilda primära ändamål som fullmäktige har beslutat om och kräver inget särskilt beslut utan gäller därutöver.
Det ena sekundära ändamålet är den ansvariga regionens eller kommunens framställning av statistik (punkt 1). Kvalitetsuppföljning innebär regelmässigt att statistiska metoder används, t.ex. för att göra jämförelser. För en beskrivning av skillnaden mellan kvalitetsuppföljning och statistik, se avsnitt 17.2.2. Det är bara den ansvariga regionens eller kommunens egen framställning av statistik som omfattas av det sekundära ändamålet. Personuppgifterna som behandlats för kvalitetsuppföljning får därmed inte lämnas ut till någon utanför regionen eller kommunen för framställning av statistik.
Det andra sekundära ändamålet är fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (punkt 2). Det kan t.ex. gälla skyldigheter som följer av offentlighetsprincipen i 2 kap. tryckfrihetsförordningen. I dessa fall har myndigheten som förvarar uppgifterna att göra en prövning av om uppgifterna omfattas av sekretess eller kan lämnas ut. Se närmare om sekretess för uppgifter som behandlas för kvalitetsuppföljning i avsnitt 19.4.
Uppräkningen av ändamål i paragrafen är enligt tredje stycket uttömmande. Patienten eller omsorgsmottagaren ska redan på förhand ha klart för sig för vilka ändamål personuppgifterna kan komma att användas, och att dessa inte senare kommer att användas för andra ändamål. Personuppgifter som behandlas för kvalitetsuppföljning, får inte behandlas för andra ändamål än de som anges i andra stycket. Någon möjlighet att enligt artikel 5.1 b i dataskyddsförordningen behandla personuppgifterna för ytterligare ändamål finns alltså inte vid behandling av personuppgifter för kvalitetsuppföljning enligt 3 kap.
En annan sak är att fullmäktige kan fatta ett nytt beslut om kvalitetsuppföljning som medför att de särskilda och berättigade ändamålen med kvalitetsuppföljningen ändras (jfr 3 kap. 2 § 1), om detta är förenligt med dataskyddsförordningen. Då krävs dock att de patienter och omsorgsmottagare som berörs på förhand informeras om det nya ändamålet enligt artikel 14.4 i dataskyddsförordningen.
När eller om personuppgifterna väl har anonymiserats och inte längre kan härledas till identifierbara fysiska personer, gäller inte längre bestämmelserna i den föreslagna lagen eller i övrigt bestäm-
melser om dataskydd. Anonymiserade uppgifter kan följaktligen användas och lämnas ut, exempelvis för statistik och forskning.
Patientens eller omsorgsmottagarens inställning till kvalitetsuppföljningen
4 § Personuppgifter får inte behandlas för kvalitetsuppföljning som
beslutats enligt denna lag, om patienten eller omsorgsmottagaren motsätter sig det.
Paragrafen fastslår att patienten eller omsorgsmottagaren har rätt att motsätta sig att dennes personuppgifter behandlas för kvalitetsuppföljning enligt lagen. Övervägandena finns i avsnitt 17.5.1.
Regleringen motsvarar det som kallas opt out och som gäller för bl.a. kvalitetsregister och för tillgängliggörande av personuppgifter i system med sammanhållen journalföring respektive sammanhållen vård- och omsorgsdokumentation. Tanken är att förfarandet ska motsvara tillämpningen av opt out i dessa andra regleringar.
Motsättandet kan ske skriftligen eller muntligen. Det uppställs inga formkrav för hur motsättandet kan lämnas.
Patienten eller omsorgsmottagaren kan motsätta sig all behandling för kvalitetsuppföljning enligt lagen. Då får ingen behandling av dennes personuppgifter ske för detta ändamål. Patienten eller omsorgsmottagaren kan även motsätta sig behandling av personuppgifter för en viss beslutad kvalitetsuppföljning, helt eller delvis. I sådana fall får dennes personuppgifter inte behandlas för just den kvalitetsuppföljningen. Däremot får behandling ske för andra beslutade kvalitetsuppföljningar. Med delvis menas t.ex. att motsättandet avser personuppgifter från en viss vårdinstans eller omsorgsgivare.
Om patientens eller omsorgsmottagarens personuppgifter redan har behandlats för kvalitetsuppföljning, måste den behandlingen upphöra så snart det är praktiskt möjligt efter att personen har motsatt sig behandlingen. Ett sådant generellt motsättande kan lämpligen antecknas i den individuella dokumentationen om patienten eller omsorgsmottagaren och i en region- eller kommungemensam lista över personer som motsatt sig kvalitetsuppföljning.
I de fall den vårdinstans eller omsorgsgivare som tar emot ett motsättande inte är personuppgiftsansvarig bör en underrättelse genast ske till den personuppgiftsansvarige. Den personuppgifts-
ansvarige bör därefter informera andra berörda vårdinstanser och omsorgsgivare om vilka som motsatt sig kvalitetsuppföljningen, så att deras personuppgifter inte lämnas ut.
En patient eller omsorgsmottagare som en gång motsatt sig kan helt eller delvis ta tillbaka sitt motsättande (i praktiken lämna ett samtycke), varefter personuppgifterna får behandlas för kvalitetsuppföljning enligt den föreslagna lagen. Återtagandet kan ske skriftligen eller muntligen.
5 § För en patient eller omsorgsmottagare som inte endast tillfälligt
saknar förmåga att ta ställning enligt 4 § får personuppgifter behandlas för kvalitetsuppföljning, om
1. hans eller hennes inställning till sådan behandling så långt som möjligt klarlagts, och
2 det inte finns anledning att anta att han eller hon skulle ha motsatt sig behandlingen.
Paragrafen reglerar under vilka förutsättningar uppgifter om patienter och omsorgsmottagare med varaktigt nedsatt beslutsförmåga får behandlas för kvalitetsuppföljning enligt lagen. Övervägandena finns i avsnitt 17.5.2.
På motsvarande sätt som i fråga om kvalitetsregister och sammanhållen journalföring ankommer det på den som har hand om patienten eller omsorgsmottagaren att bedöma om denne har förmåga att själv ta ställning till medverkan vid den aktuella kvalitetsuppföljningen. Personalen ska stötta patienten eller omsorgsmottagaren på ett sådant sätt att denne i så stor utsträckning som möjligt kan hävda sin självbestämmanderätt. Om patienten eller omsorgsmottagaren bedöms varaktigt inte själv kunna förstå vad saken gäller, gäller det att så långt möjligt ta reda på vad som är känt om dennes inställning till behandlingen av personuppgifter. Personalen kan då behöva ta hjälp av information från t.ex. anhöriga och andra närstående.
I vissa fall har patienter och omsorgsmottagare med varaktigt nedsatt beslutsförmåga en legal ställföreträdare i form av en god man eller förvaltare. Under förutsättningar att det ligger inom ramen för uppdraget, ankommer det då på den gode mannen eller förvaltaren att ta ställning till, och eventuellt motsätta sig, att patientens eller omsorgsmottagarens personuppgifter behandlas för kvalitetsuppföljning. En god man eller förvaltare vars uppdrag innefattar att sörja
för den enskildes person torde i regel vara behörig att ta ställning till om personuppgifterna får användas för kvalitetsuppföljning.
3 kap. innehåller inte några särskilda bestämmelser när det gäller
barn. Också personuppgifter som rör barn kan ingå i kvalitetsupp-
följning. Det är i regel barnets vårdnadshavare som kan motsätta sig att barnets personuppgifter behandlas för kvalitetsuppföljning. I likhet med vad som gäller i övrigt inom hälso- och sjukvården och socialtjänsten ska allt större hänsyn ska tas till barnets önskemål utifrån barnets ålder och mognad. Det barn som uppnått tillräcklig mognadsgrad och förstår vad saken gäller kan självt motsätta sig behandlingen.
För närmare beskrivning om vad som gäller för personer som har legala ställföreträdare samt vad som gäller för barn och deras vårdnadshavare, se övervägandena i avsnitt 17.5.2 respektive 17.5.3.
Information
6 § Innan personuppgifter behandlas för kvalitetsuppföljning ska den
som är personuppgiftsansvarig se till att patienten eller omsorgsmottagaren, utöver den information som ska lämnas enligt annan författning eller EU:s dataskyddsförordning, får information om rätten att när som helst motsätta sig behandlingen.
Om det inte är möjligt att lämna informationen innan behandlingen av personuppgifterna påbörjas, ska den lämnas så snart som möjligt därefter.
Bestämmelsen innebär en skyldighet för den personuppgiftsansvarige att lämna information om behandling av personuppgifter till patienten eller omsorgsmottagaren. Överväganden om detta finns i avsnitt 17.6.
För att patienter och omsorgsmottagare ska ha en faktisk möjlighet att motsätta sig behandling av personuppgifter för kvalitetsuppföljning enligt lagen, måste de få information om behandlingen. Artikel 12 i dataskyddsförordningen ställer krav på att klar och tydlig information ska ges till den registrerade. Informationen ska ges i en koncis, klar och tydlig, begriplig och lätt tillgänglig form med användning av ett klart och tydligt språk. Detta gäller i synnerhet för information som är riktad till barn. Informationen ska
tillhandahållas skriftligt eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Informationen får lämnas på lämpligt sätt. Det nu sagda gäller också information enligt paragrafen.
Förutom kraven som följer av dataskyddsförordningen, måste den personuppgiftsansvarige säkerställa att patienter och omsorgsmottagare får information om att de när som helst kan motsätta sig behandling av personuppgifter för kvalitetsuppföljning. Informationen behöver bara lämnas en gång till patienten eller omsorgsmottagaren. Det är således inte nödvändigt att informera patienten eller omsorgsmottagaren inför påbörjandet av varje beslutad kvalitetsuppföljning som ska omfatta dennes personuppgifter.
Det är viktigt att informationen, så långt det är möjligt, lämnas innan behandlingen påbörjas. Det kan dock finnas vissa situationer när det inte är möjligt, t.ex. för att en patient är medvetslös eller att en omsorgsmottagare är alltför fysiskt eller psykiskt medtagen för att kunna ta till sig information av detta slag.
Hur informationen ska lämnas bör, i likhet med vad som gäller
enligt patientdatalagen, överlåtas åt varje personuppgiftsansvarig att bestämma. Det förutsätts att personuppgiftsansvariga tar fram rutiner för att säkerställa att informationsskyldigheten kan fullgöras. Till exempel kan man tänka sig att den ordning med informationsblad och information på hemsidor och i väntrum, som i dag förekommer för t.ex. kvalitetsregister, kan vara ett lämpligt sätt att informera även om kvalitetsuppföljning. När det gäller patienter som inte förstår svenska bör den personuppgiftsansvarige se till att informationen översätts eller att det finns skriftlig information på andra språk. Den som inte kan läsa kan få informationen uppläst för sig.
Kryptering
7 § Vid behandling av personuppgifter för kvalitetsuppföljning ska
uppgifter om patientens eller omsorgsmottagarens identitet så långt det är möjligt vara krypterade på ett sådant sätt att dennes identitet skyddas.
Om det finns kompletterande uppgifter som gör identifiering möjlig, får bara så få personer som möjligt hos den personuppgiftsansvarige tilldelas behörighet att ta del av dem.
Paragrafen innehåller ett krav på att så långt det är möjligt använda kryptering som en säkerhetsåtgärd när personuppgifter behandlas för kvalitetsuppföljning enligt lagen. Övervägandena finns i avsnitt 17.7.
Uppgifter om patientens eller omsorgsmottagarens identitet, dvs. uppgifter om namn och personnummer, ska så långt det är möjligt inte vara tillgängliga i klartext i samband med kvalitetsuppföljning. Dessa uppgifter ska vara krypterade. Med kryptering i lagen avses ett nationellt begrepp för alla former av kryptering och pseudonymisering enligt definitionen i dataskyddsförordningen, t.ex. kodnyckelförfaranden och envägskryptering.
Envägskryptering innebär att personnumret, ofta tillsammans med en slumpmässigt vald teckensträng krypteras med hashfunktionen (en algoritm) till en teckensträng. Den teckensträngen kan sedan inte utan mycket stora ansträngningar avkrypteras till personnumret. Om de utlämnande vårdinstanserna och omsorgsgivarna, som har personnumren i klartext, krypterar personnumren med samma metod före utlämnandet, kan den personuppgiftsansvariga vårdinstansen eller omsorgsgivaren koppla uppgifter från flera håll till en patient eller omsorgsmottagare utan att känna till dennes personnummer.
Formuleringen ”så långt det är möjligt” syftar på situationer när annan kryptering än envägskryptering används, t.ex. tvåvägskryptering eller något kodnyckelförfarande. Då kan man temporärt behöva avkryptera uppgifterna för att sammanföra eller lägga till uppgifter för individer.
Även när identitetsuppgifterna är krypterade är det i regel fråga om behandling av personuppgifter.
När det finns kompletterande uppgifter som gör identifiering möjlig, en s.k. kodnyckel, lär det bara vara ett mycket begränsat antal personer som i arbetet behöver tillgång till de kompletterande uppgifterna. Endast så få personer som möjligt hos den personuppgiftsansvarige får tilldelas behörighet att ta del av kodnyckeln. Detta framgår av andra stycket.
Bestämmelsen i paragrafen gäller alla personuppgiftsansvariga som medverkar i kvalitetsuppföljning, dvs. inte bara den som utpekats som personuppgiftsansvarig i beslutet om kvalitetsuppföljning. Även när vårdinstanser och omsorgsgivare förbereder ett utlämnande för kvalitetsuppföljning ska således identitetsuppgifterna så långt det är möj-
ligt vara krypterade. Av 1 kap. 2 § tredje stycket framgår att identitetsuppgifterna ska vara krypterade vid utlämnandet för kvalitetsuppföljning. Bara så få personer som möjligt hos den utlämnande vårdinstansen eller omsorgsgivaren får tilldelas behörighet att ta del av en eventuell kodnyckel.
Bestämmelsen om sekretess för chiffer och kod i 18 kap. 9 § offentlighets- och sekretesslagen kan tillämpas på uppgifter som lämnar eller kan bidra till upplysning om själva kodnyckeln. Det innebär att sekretess gäller inom det allmänna för uppgifterna om kodnyckeln, om det kan antas att syftet med metoden motverkas om uppgiften röjs.
Tilldelning av behörighet för åtkomst
8 § Den personuppgiftsansvarige ska bestämma villkor för tilldelning
av behörighet för åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig. Sådan behörighet ska begränsas till så få personer som möjligt hos den personuppgiftsansvarige och till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet enligt första stycket.
I 4 kap. 2 § i patientdatalagen (2008:355) finns det bestämmelser om vårdgivares behörighetstilldelning. Den bestämmelsen gäller även för vårdgivares behörighetstilldelning avseende åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig.
Bestämmelsen ställer krav på tilldelning av behörighet för åtkomst till personuppgifter som behandlas för kvalitetsuppföljning enligt lagen. Övervägandena finns i avsnitt 17.8.
Bestämmelserna i 4 kap. 2 § patientdatalagen (tilldelning av behörighet för elektronisk åtkomst) och 4 kap. 3 § (kontroll av elektronisk åtkomst) riktar sig till vårdgivare. Eftersom kvalitetsuppföljning använder begreppet vårdinstans, som har en annan betydelse än vårdgivare, behövs denna särskilda bestämmelse som riktar sig till
den personuppgiftsansvarige när det gäller tilldelning av behörighet för elektronisk åtkomst och kontroll av sådan åtkomst.
Det torde endast vara ett mycket begränsat antal personer som i sitt arbete behöver tillgång till de kompletterande uppgifterna som gör identifiering möjlig. Paragrafen anger därför att så få personer
som möjligt hos den personuppgiftsansvarige får tilldelas behörighet
att ta del av de kompletterande uppgifterna när detta behövs i deras arbete.
Personer som inte arbetar hos den personuppgiftsansvarige, exempelvis inhyrda konsulter eller personer hos personuppgiftsbiträden, får inte tilldelas behörighet att ta del av sådana kompletterande uppgifter som för identifiering möjlig.
Alternativ lagtext5:
8 § I 4 kap. 2 § patientdatalagen (2008:355) finns det bestämmelser om vårdgivares behörighetstilldelning som gäller även för vårdinstansers behörighetstilldelning avseende åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig, dock att behörigheten ska begränsas till så få personer som möjligt hos den personuppgiftsansvarige. I 4 kap. 3 § patientdatalagen finns det bestämmelser om vårdgivares åtkomstkontroll som gäller även för vårdinstansers åtkomstkontroll avseende åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig.
I 9 § lagen ( 2001:454 ) om behandling av personuppgifter inom socialtjänsten finns det bestämmelser om omsorgsgivares behörighetstilldelning som gäller även för omsorgsgivares behörighetstilldelning avseende åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig, dock att behörigheten ska begränsas till så få personer som möjligt hos den personuppgiftsansvarige. I 10 § lagen om behandling av personuppgifter inom socialtjänsten finns det bestämmelser om omsorgsgivares åtkomstkontroll som gäller även för omsorgsgivares åtkomstkontroll avseende åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig.
Denna alternativa bestämmelse hänvisar till kraven på tilldelning av behörighet och kontroll av åtkomst avseende personuppgifter som
55 Alternativ lagtext för den händelse utredningens lagförslag i avsnitt 1.3 genomförs samtidigt.
behandlas för kvalitetsuppföljning enligt lagen. Övervägandena finns i avsnitt 17.8.1.
I första stycket anges att bestämmelserna om vårdgivares behörighetstilldelning och åtkomstkontroll i 4 kap.2 och 3 §§patientdatalagen ska gälla även för vårdinstansers behörighetstilldelning och åtkomstkontroll avseende åtkomst till personuppgifter som behandlas för kvalitetsuppföljning. Behörigheten ska här dock begränsas till så få personer som möjligt hos den personuppgiftsansvarige.
Av andra stycket framgår att bestämmelserna om behörighetstilldelning och om åtkomstkontroll i 9 och 10 §§ SoLPUL ska gälla även för omsorgsgivares behörighetstilldelning och åtkomstkontroll avseende åtkomst till personuppgifter som behandlas för kvalitetsuppföljning. Behörigheten ska här dock begränsas till så få personer
som möjligt hos den personuppgiftsansvarige.
Om den alternativa regleringen genomförs, kan bestämmelserna om behörighetstilldelning och kontroll av åtkomst regleras i samma paragraf. Det innebär att i sådana fall behövs inte en egen paragraf som reglerar kontroll av åtkomst.
Kontroll av åtkomst
9 § Den personuppgiftsansvarige ska se till att åtkomst till person-
uppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig dokumenteras och kan kontrolleras. Den personuppgiftsansvarige ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om dokumentation och kontroll enligt första stycket.
Paragrafen ställer krav på kontroll av åtkomst (s.k. loggkontroll). Övervägandena finns i avsnitt 17.8.
Den personuppgiftsansvarige ska se till att åtkomst till de kompletterande uppgifterna och de personuppgifter som inte är föremål för kryptering dokumenteras och kan kontrolleras. Detta bidrar till att upprätthålla dataskyddsförordningens principer om uppgiftsminimering, integritet och konfidentialitet (jfr artikel 5 i data-
skyddsförordningen). Det krävs att den personuppgiftsansvarige gör systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna.
Av dokumentationen (loggarna) ska framgå användarens identitet och vid vilken tidpunkt som åtgärderna vidtagits. Loggarna måste sparas en tid för att möjliggöra kontroll. Systematiska och återkommande stickprovskontroller av loggarna behöver göras och antalet stickprovskontroller ska vara proportionerliga i förhållande till antalet slagningar som görs i systemet.
Alternativ lagtext6:
9 § –
Paragrafen utgår, se avsnitt 18.1.1 och författningskommentaren till den alternativa lagtexten i 3 kap. 8 §.
Känsliga personuppgifter
10 § Personuppgifter om hälsa får behandlas för kvalitetsuppföljning
som beslutats enligt denna lag. Andra känsliga personuppgifter enligt artikel 9.1 i EU:s dataskyddsförordning får behandlas för kvalitetsuppföljning som beslutats enligt denna lag bara om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.
Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.
Paragrafen reglerar under vilka förutsättningar känsliga personuppgifter får behandlas för kvalitetsuppföljning enligt lagen. Övervägandena finns i avsnitt 17.9.
Med känsliga personuppgifter avses detsamma som med uttrycket särskilda kategorier av personuppgifter i artikel 9.1 i dataskyddsförordningen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk
6 Alternativ lagtext för den händelse utredningens lagförslag i avsnitt 1.3 genomförs samtidigt.
person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
En stor del av de personuppgifter som hämtas från andra vårdinstanser och omsorgsgivare för att behandlas för kvalitetsuppföljning utgör sannolikt personuppgifter om hälsa i dataskyddsförordningens mening. Därmed utgör de alltså känsliga personuppgifter. Paragrafen ger lagstöd för att behandla känsliga personuppgifter om hälsa för kvalitetsuppföljning.
I likhet med vad som gäller för kvalitetsregister, får behandling av andra känsliga personuppgifter för kvalitetsuppföljning endast ske om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.
Uppgifter om lagöverträdelser
11 § Uppgifter om lagöverträdelser som avses i artikel 10 i EU:s
dataskyddsförordning får behandlas för kvalitetsuppföljning som beslutats enligt denna lag bara om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.
Paragrafen anger under vilka förutsättningar uppgifter om lagöverträdelser får behandlas för kvalitetsuppföljning. Övervägandena finns i avsnitt 17.10.
Definitionen av vad som utgör uppgifter om lagöverträdelser är den som framgår av artikel 10 i dataskyddsförordningen. Där anges att behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av myndighet eller då behandling är tillåten enligt EU-rätten eller medlemsstaternas nationella rätt. Detta gäller där lämpliga säkerhetsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.
Det kan finnas situationer där man behöver behandla uppgifter om lagöverträdelser inom ramen för kvalitetsuppföljning. Det kan t.ex. handla om personer som vårdas enligt lagen (1991:1129) om rättspsykiatrisk vård. Även i socialtjänstens verksamheter får uppgifter om lagöverträdelser i vissa fall behandlas (7 § 3 SoLPUL).
I likhet med vad som gäller för kvalitetsregister får uppgifter om lagöverträdelser dock endast behandlas för kvalitetsuppföljning efter beslut i enskilda fall av regeringen eller myndighet som regeringen bestämmer.
4 kap. Nationella och regionala kvalitetsregister inom hälso- och sjukvården
4 kap. innehåller bestämmelserna i nuvarande 7 kap. patientdatalagen. Någon saklig ändring är inte avsedd, förutom att samordningsnummer förs in i 4 kap. 9 § andra stycket som en kategori av personuppgifter som får behandlas, se övervägandena i avsnitt 15.1.4. I prop. 2007/08:126 finns det författningskommentarer till bestämmelserna. Författningskommentarer till 4 kap. 3 § finns i prop. 2013/14:202.
1. Denna lag träder i kraft den 1 juli 2022.
2. Bestämmelserna i 4 kap. 2 och 3 §§ gäller inte för personuppgifter som behandlats i nationella och regionala kvalitetsregister före den 1 juli 2009.
3. Bestämmelsen i 2 kap. 2 § andra stycket ska inte tillämpas på försäkringsmedicinska utredningar som Försäkringskassan begärt före den 1 januari 2019.
Ikraftträdande- och övergångsbestämmelserna berörs i kapitel 21.
Första punkten anger att lagen ska träda i kraft den 1 juli 2022. Andra punkten reglerar personuppgifter som behandlats i natio-
nella och regionala kvalitetsregister före den 1 juli 2009. I dag regleras behandlingen av personuppgifter i nationella och regionala kvalitetsregister i 7 kap. patientdatalagen. Patientdatalagen trädde i kraft 2008. Innan dess reglerades kvalitetsregister av de allmänna bestämmelserna i den då gällande personuppgiftslagen (1998:204).
I samband med att man införde en särreglering av kvalitetsregister i patientdatalagen infördes strängare krav på bl.a. patientens rätt att motsätta sig behandling och skyldigheten att lämna information. Bestämmelserna om kvalitetsregister i 7 kap. patientdatalagen skulle inte börja tillämpas förrän den 1 juli 2009 i fråga om nationella och
regionala kvalitetsregister som börjat föras före patientdatalagens ikraftträdande. Man införde dessutom en övergångsbestämmelse som innebar att bestämmelserna om rätt att motsätta sig behandling av personuppgifter i kvalitetsregister och om information om sådan behandling inte skulle gälla beträffande sådana personuppgifter som hade behandlats före ikraftträdandet den 1 juli 2009. Det innebar att redan insamlade personuppgifter fick finnas kvar i kvalitetsregistren och att nämnda information endast behövde lämnas beträffande framtida behandling av personuppgifter i registren.7
I punkten 2 har en likalydande övergångsbestämmelse tagits med. Den har samma innebörd som motsvarande övergångsbestämmelse till patientdatalagen.
Tredje punkten anger att bestämmelsen i 2 kap. 2 § andra stycket
inte ska tillämpas på försäkringsmedicinska utredningar som Försäkringskassan begärt före den 1 januari 2019. Det motsvarar den nuvarande övergångsbestämmelsen till införandet i patientdatalagen av motsvarigheten till 2 kap. 2 § andra stycket.
23.1.2. Förslaget till lag om ändring i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten
4 § Denna lag innehåller bestämmelser som kompletterar EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I lagen ( 0000:000 ) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning finns ytterligare bestämmelser om behandling av personuppgifter inom socialtjänsten.
Paragrafen reglerar förhållandet mellan SoLPUL och annan personuppgiftslagstiftning. Övervägandena finns i avsnitt 15.5.4.
Tredje stycket är nytt och upplyser om att det finns ytterligare
bestämmelser om behandling av personuppgifter inom socialtjänsten i lagen (0000:000) om sammanhållen vård- och omsorgsdoku-
mentation och kvalitetsuppföljning. Bestämmelserna i den lagen gäller dock endast för en viss avgränsad del av den verksamhet inom socialtjänsten som faller inom SoLPUL:s tillämpningsområde (se vidare om lagens tillämpningsområde i författningskommentaren till 2 kap. 1 §). Det finns en även upplysning i 1 kap. 2 § lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning om att den lagen kompletterar SoLPUL.
23.1.3. Förslaget till lag om ändring i patientdatalagen (2008:355)
1 kap
3 § I denna lag används följande uttryck med nedan angiven betydelse.
Uttryck Betydelse
Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utred-
ningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.
Journalhandling Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt
hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.
Patientjournal En eller flera journalhandlingar som rör samma patient.
Vårdgivare Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
Paragrafen, som innehåller definitioner av vissa i patientdatalagen centrala uttryck, har ändrats genom att definitionen av begreppet
sammanhållen journalföring tagits bort. Övervägandena finns i av-
snitt 18.3
Bestämmelserna om sammanhållen journalföring (nuvarande 6 kap. PDL) flyttas från patientdatalagen och tas tillsammans med bestämmelser om sammanhållen omsorgsdokumentation in i lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Eftersom begreppet sammanhållen journalföring därför inte längre kommer att användas i patientdatalagen tas definitionen av begreppet bort från patientdatalagen.
4 § Denna lag innehåller bestämmelser som kompletterar EU:s dataskyddsförordning, vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad
samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Vid behandling av personuppgifter som avses i första stycket gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I lagen ( 0000:000 ) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning finns ytterligare bestämmelser om vårdgivares behandling av personuppgifter inom hälso- och sjukvården.
Paragrafen reglerar förhållandet mellan patientdatalagen och annan personuppgiftslagstiftning. Övervägandena finns i avsnitt 15.5.3.
Tredje stycket är nytt och upplyser om att det finns ytterligare
bestämmelser om vårdgivares och vårdinstansers behandling av personuppgifter inom hälso- och sjukvården i lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Det finns en även upplysning i 1 kap. 2 § lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning om att den lagen kompletterar patientdatalagen.
2 kap.
2 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte i de fall som anges i 4 kap. 4 § eller om något annat framgår av annan lag eller förordning.
Paragrafen innehåller bestämmelser om den enskildes inställning till personuppgiftsbehandling. Övervägandena finns i avsnitt 18.3 och 18.4.
Paragrafen har ändrats endast på så sätt att hänvisningen till 6 kap. och 7 kap. 2 § tagits bort. Skälet till detta är att 6 kap. och 7 kap. 2 § upphävs och bestämmelser med motsvarande innebörd införs i lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
3 § Behandling av personuppgifter som inte är tillåten enligt denna lag får ändå ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte om något annat framgår av annan lag eller förordning.
Regeringen får meddela föreskrifter om att en behandling av personuppgifter som inte är tillåten enligt denna lag inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen.
Paragrafen innehåller bestämmelser om den enskildes inställning till behandling av personuppgifter. Övervägandena finns i avsnitt 18.3.
Paragrafen har ändrats endast på så sätt att hänvisningen till 6 kap. 5 § tagits bort. Skälet till detta är att till 6 kap. 5 § upphävs och bestämmelser med motsvarande innebörd införs i lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
4 § Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för
1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,
2. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall,
3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,
4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,
5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller
6. att framställa statistik om hälso- och sjukvården. I 4 kap.5 och 6 §§ lagen (0000:000) om sammanhållen vård- och
omsorgsdokumentation och kvalitetsuppföljning finns särskilda bestäm-
melser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister.
Paragrafen reglerar ändamålen med behandling av personuppgifter. Övervägandena finns i avsnitt 18.4.
Andra stycket har ändrats endast på så sätt att upplysningen om
att det i 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ända-
målen med behandling av personuppgifter i nationella och regionala kvalitetsregister har ersatts med en hänvisning till 4 kap.5 och 6 §§ lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Skälet till detta är att 7 kap. 4 och 5 §§ har upphävts och ersatts av 4 kap. 5 och 6 §§ i den nya lagen.
6 § En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I en region och en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Personuppgiftsansvaret enligt första stycket omfattar även sådan behandling av personuppgifter som vårdgivaren, eller den myndighet i en region eller en kommun som är personuppgiftsansvarig, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till personuppgifter om en patient hos en annan vårdgivare eller annan myndighet i samma region eller kommun.
I lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning finns särskilda bestämmelser om
personuppgiftsansvar.
Paragrafen reglerar vårdgivares personuppgiftsansvar. Övervägandena finns i avsnitt 18.3 och 18.4.
Paragrafen har ändrats endast på så sätt att hänvisningen till 6 kap. och 7 kap. ersatts med en hänvisning till lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning, eftersom 6 kap. och 7 kap. har upphävts och bestämmelser med motsvarande innebörd införts i denna lag.
3 kap.
1 § Vid vård av patienter ska det föras patientjournal. En patientjournal ska föras för varje patient och får inte vara gemensam för flera patienter.
I 2 kap. lagen (0000:000) om sammanhållen vård- och omsorgs-
dokumentation och kvalitetsuppföljning finns bestämmelser om tillgång genom direktåtkomst eller annat elektroniskt utlämnande till andra
vårdgivares uppgifter om patienter genom sammanhållen vård- och
omsorgsdokumentation enligt 1 kap. 1 § samma lag.
Paragrafen reglerar hur journalföring ska gå till inom hälso- och sjukvården. Övervägandena finns i avsnitt 18.2.1. och 18.3
Paragrafens andra stycke har ändrats på så sätt att den i stället för att upplysa om att det i 6 kap. finns bestämmelser om direktåtkomst till andra vårdgivares uppgifter om patienter genom sammanhållen journalföring anger att sådan åtkomst numera benämns sammanhållen vård- och omsorgsdokumentation och återfinns i lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Bestämmelsen har även ändrats genom att den nu anger att sådan åtkomst kan ske även genom annat elektroniskt utlämnande än direktåtkomst. För innebörden av annat elektroniskt utlämnande, se kommentaren till 2 kap. 2 § lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning och avsnitt 16.3.2.
5 kap.
Direktåtkomst eller annat elektroniskt utlämnande
4 § Utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning.
Om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun.
Ytterligare bestämmelser om direktåtkomst och annat elektro-
niskt utlämnande finns i 5 § och i 2 kap. och 4 kap. 11 § lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Paragrafen reglerar när direktåtkomst är tillåtet inom hälso- och sjukvården. Övervägandena finns i avsnitt 18.3 och 18.4.
Tredje stycket har ändrats på så sätt att hänvisningen till 6 kap. och
7 kap. 9 § ersatts med en hänvisning till motsvarande bestämmelser i lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning eftersom 6 kap. och 7 kap. har upp-
hävts och bestämmelser med motsvarande innebörd införts i denna lag. Eftersom denna lag även innehåller bestämmelser om utlämnande genom annat elektronisk utlämnande än direktåtkomst, ändras stycket även så att detta framgår. För innebörden av annat elektroniskt utlämnande, se kommentaren till 2 kap. 2 § lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning och avsnitt 16.3.2.
5 § En vårdgivare får medge en enskild tillgång genom direktåtkomst eller annat elektroniskt utlämnande till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2.
Den enskilde får under samma förutsättningar medges tillgång genom direktåtkomst eller annat elektroniskt utlämnande till sådan dokumentation som avses i 4 kap. 3 § första stycket första meningen.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst eller annat elektroniskt utlämnande som avses i första stycket.
Paragrafen reglerar enskildas möjlighet till direktåtkomst till uppgifter om sig. Övervägandena finns i avsnitt 18.2.2.
Första stycket har ändrats så att det framgår att vårdgivare kan
medge en enskild tillgång även genom annat elektroniskt utlämnande än direktåtkomst. För innebörden av annat elektroniskt utlämnande, se kommentaren till 2 kap. 2 § lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning och avsnitt 16.3.2. Ändringen har gjorts för att det ska vara tydligt för vårdgivarna att de kan använda samma tekniska lösning för patienters tillgång till uppgifter om sig själva enligt 5 kap. 5 § patientdatalagen som för de nya bestämmelserna om sammanhållen vård- och omsorgsdokumentation. Av samma skäl har bemyndigandet för regeringen i andra stycket kompletterats så att det även omfattar föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan annat elektroniskt utlämnande än direktåtkomst som avses i första stycket.
8 kap.
6 § Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om
1. den uppgiftsskyldighet som kan följa av lag eller förordning,
2. de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,
3. rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,
4. rätten enligt 5 § att få information om den åtkomst som förekommit,
5. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag, och
6. vad som gäller i fråga om sökbegrepp, direktåtkomst, utlämnande av uppgifter på medium för automatiserad behandling och
annat elektroniskt utlämnande.
I 2 kap. 3 §, 3 kap. 6 § och 4 kap. 4 § lagen (0000:000) om sam-
manhållen vård- och omsorgsdokumentation och kvalitetsuppföljning
finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.
Paragrafen reglerar information som den personuppgiftsansvarige ska lämna till den registrerade. Övervägandena finns i avsnitt 18.2.3, 18.3, 18.4 och 18.5.
Sjätte punkten i första stycket har kompletterats så att den registre-
rade ska få information även om vad som gäller i fråga om annat elektroniskt utlämnande. För innebörden av annat elektroniskt utlämnande, se kommentaren till 2 kap. 2 § lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning och avsnitt 16.3.2.
Andra stycket har ändrats så att upplysningen om att det i
6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall har ersatts med en hänvisning till 2 kap. 3 § och 4 kap. 4 § lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. En hänvisning till 3 kap. 6 § samma lag har också lagts till, eftersom det i
denna bestämmelse finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall beträffande kvalitetsuppföljning.
Andra rättigheter
7 § I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 § och 4 kap. 4 §. Sådana föreskrifter finns även i 2 kap. 3 §, 3 kap.4 och 6 §§ och 4 kap.2 och 4 §§ lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Paragrafen anger var det finns bestämmelser om andra rättigheter för den enskilde. Övervägandena finns i avsnitt 18.3, 18.4 och 18.5.
Paragrafen har ändrats så att upplysningen om att det i 6 kap. 2 § och 7 kap. 2 och 3 §§ finns föreskrifter om andra rättigheter för den enskilde har ersatts med en hänvisning till 2 kap. 2 §, och 4 kap.2 och 3 §§ lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. En hänvisning till 3 kap. 4 och 6 §§ samma lag har också lagts till, eftersom det i denna bestämmelse beträffande kvalitetsuppföljning finns ytterligare bestämmelser andra rättigheter för den enskilde.
23.1.4. Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
25 kap.
Sammanhållen vård- och omsorgsdokumentation
2 § Sekretess gäller hos en myndighet som bedriver verksamhet som avses i 1 § för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig genom direktåtkomst av en annan vårdgivare eller en omsorgsgivare enligt 2 kap. lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning, om förutsättningar enligt 2 kap. 6, 8 eller 10 § samma lag för att myndigheten ska få behandla uppgiften inte är uppfyllda.
Om sådana förutsättningar som anges i första stycket är uppfyllda eller myndigheten har behandlat uppgiften enligt nämnda bestämmelser tidigare, gäller sekretess, om det inte står klart att
uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
Andra stycket gäller inte om annat följer av 7, 8 eller 10 § eller 26 kap. 6 §.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Paragrafen som reglerar sekretess hos hälso- och sjukvårdsmyndighet för uppgift om en enskilds personliga förhållanden har ändrats liksom rubriken närmast före paragrafen. Övervägandena finns i avsnitt 19.3.
Paragrafens första stycke har ändrats med anledning av införandet av den nya lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Ändringen innebär att sekretess gäller hos en myndighet som bedriver verksamhet som avses i 25 kap. 1 § för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig genom direktåtkomst av en annan vårdgivare eller en omsorgsgivare enligt 2 kap. lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning, om förutsättningar enligt 2 kap. 6, 8 eller 10 § samma lag för att myndigheten ska få behandla uppgiften inte är uppfyllda. Bestämmelserna om sammanhållen journalföring i 6 kap. patientdatalagen har förts in i lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning, se vidare kapitel 15. Sekretess gäller för uppgift som gjorts tillgänglig genom direktåtkomst av en annan vårdgivare eller en omsorgsgivare. Med direktåtkomst avses här en typ av elektroniskt utlämnande som innebär att den mottagande vårdgivaren har direkt tillgång till den utlämnande vård- eller omsorgsgivarens uppgifter och på egen hand kan genomföra sökningar efter uppgifter, men utan att kunna påverka innehållet i den utlämnande vård- eller omsorgsgivarems uppgiftssamlingar. Direktåtkomst innebär också att den utlämnande vård- eller omsorgsgivaren inte har någon kontroll över vilka uppgifter som den mottagande vårdgivaren vid ett visst söktillfälle tar del av. För att ett elektroniskt utlämnande ska anses utgöra direktåtkomst krävs det att mottagaren har teknisk tillgång till uppgiften på ett sådant sätt som krävs för att en upptagning ska anses förvarad hos mottagaren enligt 2 kap. 6 § första stycket tryckfrihetsförordningen.
Med vårdgivare avses i lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning en statlig myndighet,
region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare). Med annan vårdgivare i första stycket lär avses en annan region eller kommun än den som myndigheten som fått direktåtkomst tillhör.
Med omsorgsgivare avses detsamma som enligt lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning, dvs. myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar (offentlig omsorgsgivare) och juridisk person eller enskild näringsidkare som utför sådana insatser (privat omsorgsgivare). Se vidare om definitionen av omsorgsgivare i författningskommentaren till 1 kap. 1 § lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Den absoluta sekretessen gäller bara om förutsättningarna för att myndigheten ska få behandla uppgiften enligt 2 kap. 6, 8 eller 10 § lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning inte är uppfyllda, se författningskommentarerna till dessa paragrafer. Om de villkor för behandling av uppgifter som uppställs i de angivna paragraferna inte är uppfyllda, gäller alltså absolut sekretess för uppgifterna, vilket innebär att den myndighet som har fått en begäran om att lämna ut uppgifterna kan avslå den utan att behöva ta del av uppgifterna. Om en sökning i systemet med sammanhållen vård- och omsorgsdokumentation visar att det finns ospärrade uppgifter om den person som begäran avser, men den myndighet som fått begäran saknar befogenhet att ta del av uppgifterna enligt 2 kap. 6, 8 eller 10 § lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning, omfattas uppgifterna av absolut sekretess. Myndigheten behöver då inte ta del av uppgifterna för att pröva sekretessfrågan. Visar sökningen att det inte finns ospärrade uppgifter om personen kan begäran avslås med hänvisning till att begärda uppgifter inte förvaras hos myndigheten.
Är de förutsättningar som anges i 2 kap. 6, 8 eller 10 § lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning uppfyllda och har myndigheten därmed befogenhet att ta del av uppgiften, gäller i stället enligt andra stycket sekretess med ett omvänt skaderekvisit, dvs. sekretess gäller om det inte står klart att
uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
Övriga stycken är oförändrade.
11 § Sekretessen enligt 1 § hindrar inte att uppgift lämnas
1. från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun,
2. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i samma region,
3. till en myndighet som bedriver verksamhet som avses i 1 § eller
26 kap. 1 § eller till en enskild vård- eller omsorgsgivare enligt det som föreskrivs i 2 kap. lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning,
4. till ett nationellt eller regionalt kvalitetsregister enligt lagen om
sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning,
5. för kvalitetsuppföljning enligt 3 kap. lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning,
6. från en myndighet som bedriver verksamhet som avses i 1 §
inom en kommun eller en region till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs, eller
7. till en enskild enligt vad som föreskrivs i
– lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål,
– lagen (1991:1129) om rättspsykiatrisk vård, – smittskyddslagen (2004:168), – 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m., – lagen (2006:496) om blodsäkerhet, – lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler,
– lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller förordning som har meddelats med stöd av den lagen, eller
– 2 kap. lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.
Paragrafen som innehåller sekretessbrytande bestämmelser på hälso- och sjukvårdens område har ändrats till följd av införandet av lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Övervägandena finns i avsnitt 19.1.
Tredje punkten har ändrats så att hälso- och sjukvårdssekretessen
enligt 25 kap. 1 § inte hindrar att uppgift lämnas till en myndighet som bedriver verksamhet som avses i 25 kap. 1 § eller 26 kap. 1 § eller till en enskild vård- eller omsorgsgivare enligt det som föreskrivs i 2 kap. lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Bestämmelsen bryter alltså sekretess för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden hos myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet, exempelvis rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, omskärelse och åtgärder mot smittsamma sjukdomar. Bestämmelsen gäller också för företag där kommuner eller regioner har ett bestämmande inflytande (2 kap. 3 §).
Uppgiften kan med stöd av bestämmelsen lämnas till en vård- eller omsorgsgivare som är en myndighet, eller till en enskild vård- eller omsorgsgivare, bara det sker enligt vad som föreskrivs i 2 kap. lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Med vårdgivare avses i lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning en statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare). Med omsorgsgivare avses enligt samma lag myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar (offentlig omsorgsgivare) och juridisk person eller enskild näringsidkare som utför sådana insatser (privat omsorgsgivare). Se vidare om definitionen av vårdgivare respektive omsorgsgivare i författningskommentaren till 1 kap. 1 § lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Bestämmelsen gäller vid utlämnande till en offentlig eller privat vård- eller omsorgsgivare enligt det som föreskrivs i 2 kap. lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Enligt dessa föreskrifter är det tillåtet att göra ett utlämnande
genom direktåtkomst eller genom annat elektroniskt utlämnande. Den enskilde har rätt att motsätta sig att uppgifterna görs tillgängliga för andra vård- och omsorgsgivare och ska informeras om den rätten. Har den enskilde motsatt sig eller har denne inte informerats, sker utlämnandet inte enligt vad som föreskrivits.
Fjärde punkten har ändrats på så sätt att hälso- och sjukvårds-
sekretessen enligt 25 kap. 1 § inte hindrar att uppgift lämnas till ett nationellt eller regionalt kvalitetsregister enligt lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Bestämmelserna om nationella och regionala kvalitetsregister i 7 kap. patientdatalagen har lyfts över i sin helhet till lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Den sekretessbrytande bestämmelsen har därför ändrats på så sätt att hänvisning i stället sker till bestämmelserna om nationella och regionala kvalitetsregister i lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Enligt femte punkten, som är ny, hindrar hälso- och sjukvårdssekretessen enligt 25 kap. 1 § inte att uppgift lämnas för kvalitetsuppföljning enligt 3 kap. lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Med kvalitetsuppföljning avses enligt lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning uppföljning av kvaliteten på hälso- och sjukvård som en huvudman ansvarar för enligt hälso- och sjukvårdslagen och insatser för äldre eller personer med funktionsnedsättningar som en kommun eller en region ansvarar för enligt socialtjänstlagen och LSS. Se vidare om definitionen av kvalitetsuppföljning i författningskommentaren till 1 kap. 1 § lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Den sekretessbrytande bestämmelsen är tillämplig endast när de särskilda förutsättningarna för behandling av personuppgifter för kvalitetsuppföljning i 3 kap. lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning är uppfyllda. Behandling av personuppgifter för kvalitetsuppföljning får t.ex bara genomföras om fullmäktige i den ansvariga regionen eller kommunen har beslutat om det (se vidare i författningskommentaren till 3 kap. 2 § lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning). Är dessa villkor inte uppfyllda, gäller inte den
sekretessbrytande regeln, och en sedvanlig sekretessprövning ska utföras för att uppgift ska kunna lämnas ut.
Punkterna sex och sju har ändrats endast på så sätt att numreringen
har justerats.
26 kap.
Sammanhållen vård- och omsorgsdokumentation
1 a § Sekretess gäller hos en myndighet som bedriver verksamhet som
avses i 1 § för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig genom direktåtkomst av en annan omsorgsgivare eller en vårdgivare enligt 2 kap. lagen ( 0000:000 ) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning, om förutsättningar enligt 2 kap. 7 eller 9 § samma lag för att myndigheten ska få behandla uppgiften inte är uppfyllda.
Om sådana förutsättningar som anges i första stycket är uppfyllda eller myndigheten har behandlat uppgiften enligt nämnda bestämmelser tidigare, gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Detta gäller dock inte om annat följer av 5, 6 eller 7 §.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Paragrafen är ny och finns under en ny rubrik. Övervägandena finns i avsnitt 19.2.
Första stycket innebär att absolut sekretess gäller hos en myn-
dighet som bedriver verksamhet som avses i 26 kap. 1 § för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig genom direktåtkomst av en annan omsorgsgivare eller en vårdgivare enligt 2 kap. lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning, om förutsättningar enligt 2 kap. 7 eller 9 § samma lag för att myndigheten ska få behandla uppgiften inte är uppfyllda.
Sekretessen gäller hos en myndighet som bedriver verksamhet som avses i 26 kap. 1 §, dvs. verksamhet inom socialtjänst och därmed jämställd verksamhet. Med socialtjänst förstås här verksamhet enligt lagstiftningen om socialtjänst, verksamhet enligt den särskilda lagstiftningen om vård av unga och av missbrukare utan samtycke och verksamhet som i annat fall enligt lag handhas av socialnämnd
eller av Statens institutionsstyrelse. Till socialtjänst räknas också verksamhet hos annan myndighet som innefattar omprövning av socialnämnds beslut eller särskild tillsyn över nämndens verksamhet och verksamhet hos kommunal invandrarbyrå. Med socialtjänst jämställs ärenden om bistånd åt asylsökande och andra utlänningar, ärenden om tillstånd till parkering för rörelsehindrade, ärenden hos patientnämnd om allmän omvårdnad och verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade. Med myndighet jämställs s.k. kommunala företag (2 kap. 3 §).
I bestämmelsen anges inget skaderekvisit, vilket innebär att sekretessen är absolut. Är rekvisiten i bestämmelsen uppfyllda, ska uppgiften inte lämnas ut.
Bestämmelsen omfattar alla slags uppgifter som kan förknippas med en viss person, dvs. inte bara exempelvis uppgifter om familjeförhållanden, ekonomiska förhållanden eller hälsotillstånd utan även uppgift om exempelvis namn och adress.
Sekretess gäller för uppgift som gjorts tillgänglig genom direktåtkomst av en annan omsorgsgivare eller en vårdgivare. Med direktåtkomst avses i bestämmelsen en typ av elektroniskt utlämnande som innebär att den mottagande omsorgsgivaren har direkt tillgång till den utlämnande vård- eller omsorgsgivarens uppgifter och på egen hand kan genomföra sökningar efter uppgifter, dock utan att kunna påverka innehållet i den utlämnande vård- eller omsorgsgivarens uppgiftssamlingar. Direktåtkomst innebär också att den utlämnande vård- eller omsorgsgivaren inte har någon kontroll över vilka uppgifter som den mottagande omsorgsgivaren vid ett visst söktillfälle tar del av. För att ett elektroniskt utlämnande ska anses utgöra direktåtkomst krävs det att mottagaren har teknisk tillgång till uppgiften på ett sådant sätt som krävs för att en upptagning ska anses förvarad hos mottagaren enligt 2 kap. 6 § första stycket tryckfrihetsförordningen.
Med omsorgsgivare avses detsamma som enligt lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning, dvs. myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar (offentlig omsorgsgivare) och juridisk person eller enskild näringsidkare som utför sådana insatser (privat omsorgsgivare). Med vårdgivare avses också detsamma som enligt den nämnda lagen, dvs. statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myn-
digheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare). Se vidare om definitionen av vårdgivare respektive omsorgsgivare i kommentaren till 1 kap. 1 § lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Den absoluta sekretessen gäller endast om förutsättningarna för att myndigheten ska få behandla uppgiften enligt 2 kap. 7 eller 9 § lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning inte är uppfyllda. I 2 kap. 7 § i lagen uppställs vissa krav som ska vara uppfyllda för att en omsorgsgivare ska få tillgång till uppgifter som andra vård- eller omsorgsgivare gjort tillgängliga genom sammanhållen vård- och omsorgsdokumentation. Som huvudregel krävs att uppgifterna rör en omsorgsmottagare som får omsorgsgivarens insatser för äldre eller personer med funktionsnedsättningar eller är föremål för en utredning om att få sådana insatser från omsorgsgivaren, uppgifterna kan antas ha betydelse för omsorgsgivarens insatser och att omsorgsmottagaren samtycker till det. För omsorgsmottagare som är barn som inte själva kan samtycka gäller särskilda regler. I 2 kap. 9 § samma lag anges vilka villkor som ska vara uppfyllda för att en omsorgsgivare ska få behandla uppgifter som en annan omsorgsgivare gjort tillgängliga genom sammanhållen vård- och omsorgsdokumentation i de fall omsorgsmottagaren inte själv kan lämna samtycke. Om de villkor för behandling av uppgifter som uppställs i de angivna paragraferna inte är uppfyllda, gäller alltså absolut sekretess för uppgifterna.
En ospärrad uppgift som en offentlig eller privat vård- eller omsorgsgivare gjort tillgänglig genom sammanhållen vård- och omsorgsdokumentation anses som huvudregel som en förvarad och inkommen allmän handling hos varje annan offentlig vård- och omsorgsgivare som är ansluten till systemet, i de fall systemet bygger på direktåtkomst. Uppgifter i handlingar som görs tillgängliga genom sammanhållen vård- och omsorgsdokumentation blir därför vid tillgängliggörandet genom direktåtkomst inkomna allmänna handlingar hos alla offentliga omsorgsgivare (och även offentliga vårdgivare) som tekniskt kan bereda sig tillgång till uppgifterna. Bestämmelsen om absolut sekretess i dessa fall innebär emellertid att en omsorgsgivare, som inte uppfyller de villkor som anges i 2 kap. 7 eller 9 § lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsupp-
följning, inte behöver ta del av sådana uppgifter för att kunna avslå en begäran om att uppgifterna ska lämnas ut. Om en sökning i systemet med sammanhållen vård- och omsorgsdokumentation visar att det finns ospärrade uppgifter om den person som begäran om utlämnande avser, men den myndighet som fått begäran saknar befogenhet att ta del av uppgifterna enligt 2 kap. 7 eller 9 § lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning, omfattas uppgifterna av absolut sekretess och begäran ska därför avslås. Visar sökningen att det inte finns ospärrade uppgifter om personen kan begäran avslås med hänvisning till att begärda uppgifter inte förvaras hos myndigheten.
Om förutsättningarna som anges i 2 kap. 7 eller 9 § lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning är uppfyllda, eller myndigheten har behandlat uppgiften enligt nämnda bestämmelser tidigare, gäller enligt andra stycket sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretess gäller i sådana fall, på samma sätt som enligt 26 kap. 1 §, med ett omvänt skaderekvisit. Det innebär att det finns en presumtion för att sekretess gäller för uppgiften. Uppgifter om enskilda inom socialtjänsten är ofta av särskilt känslig karaktär, och redan uppgiften om att den enskilde förekommer i ett ärende hos socialtjänsten uppfattas av många som känslig. En utlämnandeprövning kommer således i de allra flesta fall att leda till att en sådan uppgift inte kan lämnas ut.
Av tredje stycket framgår att sekretessen enligt andra stycket inte gäller om annat följer av bestämmelserna om särskild anmälningssekretess i 26 kap. 5 och 6 §§, som båda innebär en svagare sekretess. Undantag från sekretess enligt andra stycket gäller också för vissa beslut som anges i 26 kap. 7 §. Bestämmelserna i 26 kap. 5, 6 eller 7 §§ ska alltså i förekommande fall tillämpas i stället för bestämmelsen i andra stycket.
I fjärde stycket anges den längsta tid, 70 år, som sekretessen kan gälla för uppgifter som finns i en allmän handling. Hur startpunkten för sekretesstiden beräknas framgår av 7 kap. 5 §.
9 c § Sekretessen enligt 1 § hindrar inte att uppgift lämnas till en
myndighet som bedriver verksamhet som avses i 1 § eller 25 kap. 1 § eller till en enskild omsorgs- eller vårdgivare enligt vad som föreskrivs om sammanhållen vård- och omsorgsdokumentation i 2 kap. lagen
( 0000:000 ) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Paragrafen, som är ny, innehåller en sekretessbrytande bestämmelse som i vissa fall bryter socialtjänstsekretessen för uppgift om en enskilds personliga förhållanden. Övervägandena finns i avsnitt 19.1.
Av bestämmelsen framgår att socialtjänstsekretessen enligt 26 kap. 1 § inte hindrar att uppgift lämnas till en vård- eller omsorgsgivare som är en myndighet eller till en enskild vård- eller omsorgsgivare enligt vad som föreskrivs i 2 kap. lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Med vård- respektive omsorgsgivare avses det som definieras i 1 kap. 1 § lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Med vårdgivare avses således statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare). Definitionen motsvarar den som finns i patientdatalagen. Omsorgsgivare definieras som myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar (offentlig omsorgsgivare) och juridisk person eller enskild näringsidkare som utför sådana insatser (privat omsorgsgivare). Se vidare om definitionen av vårdgivare respektive omsorgsgivare i författningskommentaren till 1 kap. 1 § lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Av bestämmelsen framgår att socialtjänstsekretessen enligt 26 kap. 1 § inte hindrar att uppgift lämnas till en offentlig eller privat vård- eller omsorgsgivare enligt vad som föreskrivs om sammanhållen vård- och omsorgsdokumentation i 2 kap. lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Den lagens tillämpningsområde är avgränsat till vårdgivares behandling av personuppgifter enligt patientdatalagen och omsorgsgivares behandling av personuppgifter enligt SoLPUL för dokumentation enligt 11 kap. 5 § socialtjänstlagen avseende insatser för äldre eller personer med funktionsnedsättningar enligt 1 kap. 1 § eller dokumentation enligt 21 a § LSS. Se vidare om lagens tillämpningsområde i författningskommentaren till 2 kap. 1 § lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Bestämmelsen gäller vid utlämnande till en offentlig eller privat vård- eller omsorgsgivare enligt det som föreskrivs i 2 kap. lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Enligt dessa föreskrifter är det tillåtet att göra ett utlämnande genom direktåtkomst eller genom annat elektroniskt utlämnande. Den enskilde har rätt att motsätta sig att uppgifterna görs tillgängliga för andra vård- och omsorgsgivare och ska informeras om den rätten. Har den enskilde motsatt sig eller har denne inte informerats, sker utlämnandet inte enligt vad som föreskrivits.
9 d § Sekretessen enligt 1 § hindrar inte att uppgift lämnas för kvali-
tetsuppföljning enligt 3 kap. lagen ( 0000:000 ) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Paragrafen, som är ny, innehåller en sekretessbrytande bestämmelse som i vissa fall bryter sekretessen inom socialtjänsten för uppgift om en enskilds personliga förhållanden. Övervägandena finns i avsnitt 19.4.
Enligt bestämmelsen hindrar inte socialtjänstsekretessen enligt 26 kap. 1 § att uppgift lämnas för kvalitetsuppföljning enligt 3 kap. lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Sekretessen bryts endast om uppgiften ska användas för kvalitetsuppföljning enligt den angivna lagen. Kvalitetsuppföljning definieras i 1 kap. 1 § i lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning som uppföljning av kvaliteten på hälso- och sjukvård som en huvudman ansvarar för enligt hälso- och sjukvårdslagen och insatser för äldre eller personer med funktionsnedsättningar som en kommun eller en region ansvarar för enligt socialtjänstlagen och LSS. Se vidare om definitionen av kvalitetsuppföljning i författningskommentaren till 1 kap. 1 § lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Den sekretessbrytande bestämmelsen är tillämplig endast när de särskilda villkoren för behandling av personuppgifter för kvalitetsuppföljning i 3 kap. lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning är uppfyllda. Behandling av personuppgifter för kvalitetsuppföljning får t.ex. bara genomföras om fullmäktige i den ansvariga regionen eller kommunen har beslutat om det (se författningskommentaren till 3 kap. 2 § lagen om
sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning). Är dessa villkor inte uppfyllda, gäller inte den sekretessbrytande regeln, och vid utlämnande av en uppgift om en enskilds personliga förhållanden ska en sedvanlig sekretessprövning med utgångspunkt i 26 kap. 1 § göras.
23.2. En begränsad sekretessbrytande bestämmelse inom socialtjänsten
23.2.1. Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
26 kap.
9 c § Sekretessen enligt 1 § hindrar inte att uppgift lämnas från en
myndighets verksamhet som avser insatser
1. enligt 4 kap. 1 § socialtjänstlagen (2001:453) som beskrivs i 3 kap. 6 § första stycket socialtjänstlagen och som lämnas till äldre och personer med funktionsnedsättningar,
2. enligt 4 kap. 1 § socialtjänstlagen som beskrivs i 5 kap. 5 och 7 §§ socialtjänstlagen ,
3. enligt 4 kap. 2 a § socialtjänstlagen (2001:453) , och
4. enligt lagen (1993:387) om stöd och service till vissa funktionshindrade till en annan sådan verksamhet i samma kommun.
Paragrafen är ny. Övervägandena finns i avsnitt 20.2.9.
Av paragrafen framgår att en uppgift får lämnas från en myndighets verksamhet som avser insatser för äldre och personer med funktionsnedsättning i en kommun till en annan sådan verksamhet i samma kommun utan att socialtjänstsekretessen enligt 26 kap. 1 § hindrar det.
Tillämpningsområdet för den sekretessbrytande bestämmelsen begränsas till myndigheters verksamhet som avser insatser enligt 4 kap. 1 § socialtjänstlagen som beskrivs i 3 kap. 6 § första stycket socialtjänstlagen och som lämnas till äldre och personer med funktionsnedsättningar(hemtjänst, dagverksamhet och annan liknande social tjänst), insatser enligt 4 kap. 1 § socialtjänstlagen som beskrivs i 5 kap.5 och 7 §§socialtjänstlagen (särskilda boendeformer och stöd och hjälp i boendet), samt insatser enligt 4 kap. 2 a § social-
tjänstlagen (hemtjänst) och insatser enligt LSS. Tillämpningsområdet sammanfaller därmed med tillämpningsområdet inom socialtjänsten för sammanhållen vård- och omsorgsdokumentation, se kapitel 16. Se även författningskommentaren till 1 kap. 1 § lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning om begreppet insatser för äldre och personer med funktionsnedsättningar.
Den sekretessbrytande bestämmelsen gäller endast för myndighetsverksamheter som avser insatser för just äldre och personer med funktionsnedsättningar. Den sekretessbrytande bestämmelsen gäller därför inte för uppgifter som är relaterade till andra individinriktade insatser än de som nämns i bestämmelsen. För uppgifter som är relaterade till insatser på grund av t.ex. missbruk eller behov av försörjningsstöd gäller därmed inte den sekretessbrytande bestämmelsen.
Paragrafen gäller bara lämnande av uppgifter till annan myndighets verksamhet i samma kommun.
Med myndighet avses i bestämmelsen även kommunala företag enligt 2 kap. 3 §, dvs. bolag, föreningar och stiftelser där kommunen utövar ett rättsligt bestämmande inflytande. Den sekretessbrytande bestämmelsen gäller även i de fall det föreligger sekretess mellan två självständiga verksamhetsgrenar inom t.ex. en kommunal nämnd (jfr bestämmelsen i 8 kap. 2 §).
23.3. En generell sekretessbrytande bestämmelse inom socialtjänsten
23.3.1. Förslaget till lag om ändring i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten
3 § Lagen tillämpas inte vid behandling av personuppgifter
1. hos domstolar,
2. för forsknings- och statistikändamål, eller
3. som avses i den ursprungliga lydelsen av artikel 2.2 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Bestämmelserna i 3 a § och 7 c § tillämpas vid all behandling av personuppgifter inom socialtjänsten.
I paragrafen anges tillämpningsområdet för lagen. Övervägandena finns i avsnitt 20.2.11.
Paragrafen har fått ett nytt andra stycke. Tillägget innebär att bestämmelsen om hur personuppgifter ska utformas, behandlas, hanteras och förvaras i 3 a § samt bestämmelsen om inre sekretess i 7 c § ska gälla vid all behandling av personuppgifter inom socialtjänsten, dvs. även vid manuell hantering av personuppgifter utanför register.
Lagens syfte
3 a § Personuppgifter ska utformas och i övrigt behandlas så att den
registrerades integritet respekteras.
Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem.
Paragrafen är ny och finns under en ny rubrik. Övervägandena finns i avsnitt 20.2.11.
I första stycket anges att personuppgifter ska utformas och i övrigt behandlas så att den registrerades integritet respekteras. Kravet på att den registrerades integritet ska respekteras gäller därmed samtliga registrerade, exempelvis även anhöriga till den enskilde som viss dokumentation avser. Bestämmelsen avser all utformning och övrig behandling av personuppgifter inom all verksamhet som regleras av SoLPUL.
I andra stycket finns en regel om att dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem. Bestämmelsen innebär en generell garanti för att registrerades integritet ska respekteras då personuppgifter om dem hanteras och förvaras. Med hantering och förvaring avses här alla slags åtgärder som vidtas beträffande personuppgifterna. Bestämmelsen är tillämplig på alla dokumenterade personuppgifter. Den gäller således alla personuppgifter om en registrerad person, inte bara de uppgifter som finns i handlingar. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk
person. Obehöriga personer kan vara både utomstående, t.ex. andra enskilda personer som får insatser från socialtjänsten och anhöriga som råkar vistas på ett särskilt boende, och befattningshavare inom socialtjänsten. När det gäller den sistnämnda kategorin utgör bestämmelsen en reglering av den inre sekretessen. En förutsättning för att en befattningshavare inom socialtjänsten ska få ta del av uppgifter om en enskild är att han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten, se 7 c § om inre sekretess. Först då är befattningshavaren behörig att få tillgång till uppgifterna.
Av 3 § andra stycket framgår att paragrafen gäller vid all behandling av personuppgifter inom socialtjänsten, vilket innebär att den även gäller vid manuell hantering av personuppgifter som sker utanför register.
Inre sekretess
7 c § Den som arbetar inom socialtjänsten får ta del av dokumen-
terade personuppgifter om registrerade endast om han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten.
Paragrafen är ny och finns under en ny rubrik. Övervägandena finns i avsnitt 20.2.11.
Paragrafen utgör en precisering av bestämmelsen i 3 a § andra stycket såvitt gäller den inre sekretessen. Den som arbetar inom socialtjänsten får enligt paragrafen ta del av dokumenterade uppgifter om en enskild endast om han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten. Bestämmelsen har generell räckvidd och omfattar all personal oavsett var den tjänstgör och oavsett för vilka syften uppgifterna behövs. Regleringen kompletteras genom bestämmelserna i 9 §, som föreskriver ett uttryckligt ansvar för den som bedriver verksamhet inom socialtjänsten att begränsa personalens elektroniska åtkomst till uppgifter som behövs för att befattningshavaren ska kunna fullgöra sina arbetsuppgifter inom socialtjänsten. Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling kan dömas för dataintrång enligt 4 kap. 9 c § brottsbalken. Straffbestämmelsen kan t.ex. bli tillämplig då någon använder sig av sin behörighet för att läsa uppgifter om en enskild utan att detta behövs för arbetet. Läsning i
utbildningssyfte för att eftersöka förebilder på lämpliga formuleringar har i rättspraxis bedömts i och för sig kunna utgöra dataintrång (RH 2002:36, det s.k. Blomman-fallet). Någon motsvarande straffbestämmelse om att olovligen bereda sig tillgång till en uppgift i pappersdokumentation finns inte. Däremot kan, beroende på omständigheterna, andra bestämmelser i brottsbalken bli tillämpliga för sådana manuellt förda journaler, se t.ex. 4 kap. 9 § brottsbalken om intrång i förvar.
Av 3 § andra stycket framgår att paragrafen gäller vid all behandling av personuppgifter inom socialtjänsten, vilket innebär att den även gäller manuell hantering av personuppgifter som sker utanför register.
Den registrerades möjlighet att begränsa elektronisk åtkomst
8 a § Personuppgifter som behandlas enligt denna lag och som doku-
menterats för att lämna den enskilde stöd och omsorg hos en omsorgsenhet eller inom en omsorgsprocess får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan omsorgsenhet eller inom en annan omsorgsprocess inom socialtjänsten, om den registrerade motsätter sig det. I sådana fall ska uppgifterna genast spärras. En spärr enligt första stycket får hävas av en behörig befattningshavare inom socialtjänsten om den registrerade samtycker till det. Vårdnadshavare till ett barn har inte rätt att spärra uppgifter om barnet.
Förbudet mot elektroniskt tillgängliggörande enligt första stycket gäller inte om annat framgår av lag eller förordning.
Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig lämna information till den registrerade om rätten enligt första stycket att begära att uppgifter spärras och rätten att enligt 26 kap. 9 c § offentlighets- och sekretesslagen motsätta sig ett utlämnande av uppgifter.
Paragrafen är ny och finns under en ny rubrik. Övervägandena finns i avsnitt 20.2.11.
I första stycket ges registrerade en rätt att begära att personuppgifter som behandlas enligt SoLPUL och som dokumenterats för att lämna den enskilde stöd och omsorg spärras för elektronisk åtkomst för andra omsorgsenheter, alternativt andra omsorgspro-
cesser, utanför den som dokumenterat uppgifterna. Den registrerade ges genom denna regel ett generellt inflytande över den elektroniska tillgängligheten till uppgifter om honom eller henne. Bestämmelsen begränsar den elektroniska tillgängligheten såväl inom som utanför den myndighet, juridiska person eller enskilda näringsidkare som har dokumenterat personuppgifterna. Denna möjlighet att spärra sina personuppgifter ska ses som ett utflöde av föreskrifterna i 1 kap. 1 § socialtjänstlagen och 6 § LSS om att socialtjänstens verksamhet ska bygga på respekt för människornas självbestämmanderätt och integritet. Det är en förtroendefråga att regleringen av behandlingen av personuppgifter står i samklang med dessa principer. Spärren gäller endast för den som behöver uppgiften för stöd och omsorg och arbetar vid en annan omsorgsenhet. Det följer av att det i paragrafen talas om en annan omsorgsenhet och omsorgsprocess. Uppgifterna kan däremot trots en spärr vara elektroniskt tillgängliga om den personuppgiftsansvarige eller någon annan behöver dem exempelvis för kvalitetssäkring av socialtjänstverksamheten eller för administration, planering etc. av verksamheten eller forskning. Däremot kan sekretess hindra ett sådant utlämnande.
Spärren kan avse alla dokumenterade uppgifter om personen eller bara vissa. Spärren kan vidare begränsas till att avses elektronisk åtkomst bara för vissa omsorgsenheter eller omsorgsprocesser.
Begreppen omsorgsenhet eller omsorgsprocess är inte definierade i SoLPUL och inte heller i Socialstyrelsens termbank. Med
omsorgsenhet avses en organisatorisk enhet som tillhandahåller
socialtjänst. Ett boende är ett exempel på en omsorgsenhet. En omsorgsenhet kan inte sträcka sig utanför den myndighet, juridiska person eller enskilda näringsidkare som bedriver socialtjänstverksamhet. I en kommun finns det flera olika omsorgsenheter även om alla bedrivs av socialnämnden.
Med omsorgsprocess avses en process inom socialtjänsten som hanterar ett eller flera relaterade behov av stöd hos en enskild i syfte att främja ett avsett resultat. En omsorgsprocess syftar till att möta det behov en enskild har i kontakten med socialtjänsten. Avgränsningen av en omsorgsprocess är således funktionell och inte organisatorisk såsom beträffande omsorgsenhet. En omsorgsprocess kan med andra ord inbegripa avgränsbara aktiviteter eller åtgärder hos olika omsorgsenheter som har ett funktionellt samband i fråga om insatser för den enskilda.
Det är den myndighet, juridiska person eller enskilda näringsidkare som bedriver socialtjänstverksamhet som genom organisationen av verksamheten i praktiken bestämmer vilka omsorgsenheter och omsorgsprocesser som finns. Det är självklart att gränserna – inom ramen för vad paragrafen föreskriver – ska dras på ett praktiskt och rimligt så att verksamheten inte tyngs med onödig administration. Även inom en omsorgsenhet eller omsorgsprocess gäller naturligtvis att endast den befattningshavare som behöver uppgifterna för sitt arbete ska anses behörig att ta del av uppgifter om en registrerad person.
En registrerad kan när som helst begära att uppgifterna spärras, alltså även efter det att uppgifterna har gjorts elektroniskt tillgängliga utanför omsorgsenheten eller omsorgsprocessen. Uppgifterna får då inte längre göras elektroniskt tillgängliga för andra omsorgsenheter eller omsorgsprocesser hos den myndighet, juridiska person eller enskilda näringsidkare som bedriver socialtjänstverksamhet eller utanför denna.
Att uppgifter spärras innebär att de inte får finnas tillgängliga för andra omsorgsenheter alternativt omsorgsprocesser genom elektronisk åtkomst. Med elektronisk åtkomst avses enligt paragrafen alla möjligheter att få elektronisk tillgång till personuppgifter som finns hos den omsorgsenhet som dokumenterat dem. Både direktåtkomst och åtkomst via automatiserade fråga-svar-tjänster eller andra funktioner som för mottagaren är jämförbara med direktåtkomst avses.
Paragrafen är inte tillämplig när spärrade uppgifter görs tillgängliga för annan omsorgsenhet eller omsorgsprocess genom översändande i ett enskilt fall av uppgifter med e-post. Mottagaren har då inte elektronisk åtkomst till uppgifterna hos den dokumenterande omsorgsenheten. I sådana fall kan alltid den som har den efterfrågade informationen göra en prövning huruvida informationen bör tillhandahållas den som vill ha informationen. Om en registrerad har klargjort att han eller hon inte vill att uppgifter om honom eller henne lämnas från en omsorgsenhet till en annan, torde något sådant uppgiftslämnande inte kunna förekomma annat än i nödliknande situationer. Att så är fallet får anses följa av bestämmelsen i 1 kap. 1 § socialtjänstlagen och 6 § LSS om respekten för den enskildes självbestämmande. Det kan noteras att gällande hälso- och sjukvård har JO framhållit i JO 1986/87 s. 198 att patientens uttryckliga önskemål i frågan om hans eller hennes journaler ska lämnas mellan
kliniker ska respekteras med hänvisning bl.a. till patientens självbestämmande.
En spärr kan hävas av en behörig befattningshavare inom socialtjänsten, om den registrerade själv samtycker till det. Befattningshavaren kan finnas vid den omsorgsenhet som dokumenterat uppgifterna eller vid någon annan myndighet, juridisk person eller enskild näringsidkare med verksamhet inom socialtjänsten. Här räcker det alltså inte med att den registrerade inte motsätter sig att behörig personal vid en annan omsorgsenhet eller omsorgsprocess tar del av uppgifterna. Det fordras ett samtycke från den registrerades sida. Det ska vara ett sådant samtycke som uppfyller de krav som följer av dataskyddsförordningen (se vidare kommentaren till 2 kap. 7 § lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning samt avsnitt 16.7.4 och 4.4.5), dvs. en frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (se artikel 4.11 i dataskyddsförordningen). Samtycket kan lämnas när som helst av den registrerade. Samtycket kan avses att spärren helt hävs eller att den hävs i förhållande till befattningshavaren vid det aktuella omsorgstillfället eller i förhållande till en viss omsorgsenhet eller omsorgsprocess. Vem som är behörig befattningshavare bestäms av den myndighet, juridiska person eller enskilda näringsidkare som bedriver socialtjänstverksamheten.
Vårdnadshavare till ett barn har inte rätt att spärra barnets uppgifter. Med barn avses den som är under 18 år. I takt med barnets stigande ålder och utveckling får barnet självt spärra uppgifterna. Barn bör hanteras på motsvarande sätt som i den övriga verksamheten inom socialtjänsten. I takt med barnets stigande ålder och utveckling ska allt större hänsyn tas till barnets önskemål och vilja, jfr. 6 kap. 11 § föräldrabalken.
Av andra stycket framgår att förbudet mot elektroniskt tillgängliggörande inte gäller om annat framgår av lag eller förordning. Det kan exempelvis finnas elektronisk uppgiftsskyldighet reglerad i lag eller förordning.
Av tredje stycket framgår att den som är personuppgiftsansvarig ska lämna information till den registrerade om rätten att begära att uppgifter spärras och rätten att enligt 26 kap. 9 c § offentlighets- och
sekretesslagen (se avsnitt 1.3.1) motsätta sig ett utlämnande av uppgifter mellan myndigheter som bedriver socialtjänst i samma kommun. Den registrerade ska vid den första kontakten med myndigheten få klar och begriplig information om dessa rättigheter. Skyldigheten att informera gäller bara i förhållande till de registrerade som förmår att tillgodogöra sig information. Den som inte alls kan ta till sig information, t.ex. på grund av sjukdom eller skador, behöver alltså inte informeras förrän denne eventuellt senare kan tillgodogöra sig information. Att någon inte förstår svenska eller har svårt att tillgodogöra sig information innebär inte att information kan underlåtas. Informationen måste då i stället anpassas till den registrerade så att denne kan tillgodogöra sig den. Det åvilar den personuppgiftsansvarige att skapa rutiner som garanterar att informationsskyldigheten fullgörs. Det föreskrivs ingen skyldighet att informera den registrerade om vilka nackdelar och risker det kan medföra för den registrerade att spärra. Detta innebär dock inget hinder mot att så sker, tvärtom är det bra om den registrerade får sådan information så att den registrerade kan göra ett medvetet och upplyst val.
Tilldelning av behörighet för elektronisk åtkomst
9 § Den som bedriver verksamhet inom socialtjänsten ska bestämma
villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat.
Sådan behörighet ska anpassas och begränsas till vad som behövs för att befattningshavaren ska kunna fullgöra sina arbetsuppgifter inom socialtjänsten.
Paragrafen är ny och finns under en ny rubrik. Övervägandena finns i avsnitt 20.2.11.
Enligt första stycket ska den som bedriver verksamhet inom socialtjänsten bestämma villkor för hur personalen i den egna organisationen ska tilldelas behörighet för elektronisk åtkomst till uppgifter om enskilda. I detta ansvar ingår att pröva sin personals behov av sådan åtkomst. Skyldigheten gäller åtkomst till elektroniska personuppgifter hos både den som dokumenterat uppgifterna och andra. Den som låter personalen få åtkomst till elektroniska personupp-
gifter hos andra ska således bestämma villkoren för tilldelning av också sådan behörighet.
Av andra stycket framgår att behörigheten ska begränsas till vad som behövs för att den enskilde medarbetaren ska kunna fullgöra sina arbetsuppgifter i inom socialtjänsten Utgångspunkten för tilldelning av behörighet för personalens elektroniska tillgång till uppgifter om enskilda ska alltså begränsas till vad befattningshavaren behöver för att kunna utföra sina arbetsuppgifter inom socialtjänsten. Se mer om vad detta innebär i författningskommentaren till 2 kap. 14 § första stycket lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Lagen anger inte hur behörighetstilldelning till personal inom socialtjänsten ska utformas. Sådana föreskrifter får meddelas av regeringen eller på myndighetsnivå, se 11 § 6.
Ansvar för kontroll av elektronisk åtkomst (loggar)
10 § Den som bedriver verksamhet inom socialtjänsten ska se till att åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras.
Den som bedriver verksamhet inom socialtjänsten ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter.
Paragrafen är ny och finns under en ny rubrik. Övervägandena finns i avsnitt 20.2.11.
Av första stycket följer att den som bedriver verksamhet inom socialtjänsten är skyldig att se till att all elektronisk åtkomst till personuppgifter kontrolleras. Det gäller både den egna personalens åtkomst och den åtkomst som bereds andra. Åtkomstkontroller ska även göras för att säkerställa att användare inte använder sina behörigheter på fel sätt genom att läsa, ändra eller ta bort uppgifter som de inte ska behandla. Exempel på en felaktig åtkomst kan vara att någon öppnar en omsorgsmottagares dokumentation trots att han eller hon inte har med omsorgsmottagaren att göra. För att omsorgsgivaren ska kunna kontrollera att behörigheterna används på ett korrekt sätt måste åtkomsten till personuppgifter dokumenteras (loggas). Av loggarna ska framgå användarens identitet och vid
vilken tidpunkt som åtgärderna vidtagits. Loggarna måste sparas en tid för att möjliggöra kontroll. Systematiska och återkommande stickprovskontroller av loggarna behöver göras och antalet stickprovskontroller ska vara proportionerliga i förhållande till antalet slagningar som görs i systemet.
Den som bedriver verksamheten är, enligt andra stycket, även skyldig att göra systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna. Det räcker alltså inte att bara göra uppföljningskontroller i särskilda fall då misstanke kan finnas om obehörigt intrång. Kontrollerna ska göras systematiskt och fortlöpande oberoende av misstanke. Lagen anger inte närmare hur åtkomstkontrollen ska utformas. Sådana föreskrifter får meddelas av regeringen eller på myndighetsnivå, se 11 § 7.
Information om elektronisk åtkomst
10 a § Den som bedriver verksamhet inom socialtjänsten ska på begäran av en registrerad lämna information om den elektroniska åtkomst till uppgifter om den registrerade som förekommit.
Paragrafen är ny och finns under en ny rubrik. Övervägandena finns i avsnitt 20.2.11.
Av paragrafen framgår att den registrerade har rätt att på begäran få information om vilken elektronisk åtkomst som förekommit till uppgifter om honom eller henne, s.k. logglistor. Se mer om vad detta innebär i författningskommentaren till 2 kap. 16 § första stycket lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.
Lagen anger inte exakt vad informationen ska innehålla och hur eller hur ofta den ska lämnas. Sådana föreskrifter kan meddelas av regeringen eller på myndighetsnivå, se 11 § 8.
11 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om
1. vilka som är personuppgiftsansvariga,
2. begränsning av den i 6 § tillåtna behandlingen av person-
uppgifter,
3. sökbegrepp,
4. direktåtkomst,
5. samkörning av personuppgifter,
6. tilldelning av behörighet för åtkomst till uppgifter som förs helt eller delvis automatiserat,
7. dokumentation och kontroll av elektronisk åtkomst, och
8. information som ska lämnas till den registrerade om den elektroniska åtkomst till uppgifter om den registrerade som förekommit.
Regeringen får även meddela föreskrifter om när personuppgifter får föras över till tredjeland.
I paragrafen anges vilka föreskrifter regeringen eller den myndighet som regeringen bestämmer får meddela i anslutning till lagen. Övervägandena finns i avsnitt 20.2.13, 20.2.14 och 20.2.15.
Paragrafen har ändrats redaktionellt på så sätt att de områden som regeringen får meddela föreskrifter om nu framgår av en numrerad lista. Det har också lagts till de områden som framgår av punkterna 6–8.
Av sjätte och sjunde punkterna i första stycket framgår att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om hur krav på behörighetstilldelning och dokumentation och kontroll av elektronisk åtkomst ska utformas.
Av åttonde punkten i första stycket framgår vidare att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om den information som ska lämnas till den registrerade om den elektroniska åtkomst till uppgifter om den registrerade som förekommit. Tanken är att dessa förskrifter ska ange mer exakt vad informationen till den registrerade ska innehålla, hur den ska lämnas och hur ofta den ska lämnas. Det är tänkt att det är Socialstyrelsen efter samråd med Integritetsskyddsmyndigheten som ska få meddela föreskrifter enligt sjätte, sjunde och åttonde punkten.
Ändringen i andra stycket är endast av språklig karaktär.
23.3.2. Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
26 kap
9 c § Sekretessen enligt 1 § hindrar inte att uppgift lämnas från en
myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun. Detta gäller dock inte om den enskilde motsätter sig ett sådant utlämnande.
Paragrafen är ny. Övervägandena finns i avsnitt 20.2.10.
Av paragrafen framgår att om en enskild inte motsätter sig det, kan en uppgift lämnas från en myndighet som bedriver socialtjänst i en kommun till en annan sådan myndighet i samma kommun utan att socialtjänstsekretessen enligt 26 kap. 1 § hindrar det. Med myndighet avses i bestämmelsen även kommunala företag enligt 2 kap. 3 §, dvs. bolag, föreningar och stiftelser där kommunen utövar ett rättsligt bestämmande inflytande. Den sekretessbrytande bestämmelsen gäller även i de fall det föreligger sekretess mellan två självständiga verksamhetsgrenar inom t.ex. en kommunal nämnd (jfr bestämmelsen i 8 kap. 2 §).
Det framgår av bestämmelsen att det endast är socialtjänstsekretessen enligt 26 kap. 1 § som bryts. Undantaget från sekretess gäller därmed inte inom kommunal familjerådgivning enligt 26 kap. 3 §.
Av andra meningen i paragrafen framgår att den sekretessbrytande bestämmelsen inte gäller om den enskilde motsätter sig ett utlämnande. I sådana fall gäller normalt sekretess enligt 26 kap. 1 § och utlämnandet får inte ske. Den enskilde kan motsätta sig utlämnande till alla andra socialtjänstmyndigheter i kommunen eller bara till vissa sådana myndigheter. Den enskilde kan vidare motsätta sig att alla uppgifter lämnas ut eller att enbart viss eller vissa typer av uppgifter lämnas ut. Möjligheten att motsätta sig utlämnande innebär inte att den utlämnande myndigheten inför ett utlämnande måste inhämta ett uttryckligt samtycke från den enskilde. Den enskilde har sedan tidigare möjlighet att häva sekretess som gäller till skydd för honom eller henne enligt 10 kap. 1 § och 12 kap. 1 §. Den aktuella bestämmelsen innebär i stället att den enskilde har rätt att motsätta sig ett utlämnande, och att det i så fall ska respekteras av myndigheten.
Utlämnande får alltså ske även i situationer när den enskilde inte kan lämna ett giltigt samtycke, eftersom det räcker att den enskilde inte motsätter sig ett utlämnande för att utlämnande ska få ske. Bestämmelsen kan därför tillämpas exempelvis då den enskilde inte har möjlighet att själv till en myndighet lämna den information som finns hos andra myndigheter.
En myndighet är inte skyldig att lämna ut uppgiften till en myndighet som begär det med stöd av 6 kap. 5 § offentlighets- och sekretesslagen om den enskilde har motsatt sig ett sådant utlämnande, eftersom det då normalt gäller sekretess enligt 26 kap. 1 §.
För att bestämmelsen ska få någon reell betydelse krävs det att den enskilde, vid den första kontakten med myndigheten, får information om den sekretessbrytande bestämmelsen och om att bestämmelsen innebär att den enskilde har rätt att motsätta sig ett utlämnande med stöd av bestämmelsen. Den enskilde ska därför informeras om rätten att motsätta sig ett utlämnande, se 8 a § SoLPUL.
23.4. Sekretessbrytande bestämmelse för utlämnanden från offentlig till privat hälso- och sjukvård
23.4.1. Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
25 kap.
Sekretessbrytande bestämmelser
11 § Sekretessen enligt 1 § hindrar inte att uppgift lämnas
1. från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun,
2. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i samma region,
3. från en myndighet som bedriver verksamhet som avses i 1 § till en enskild som bedriver sådan verksamhet och som myndigheten har anlitat, om uppgiften behövs i den individinriktade verksamhet som avses i 1 §,
4. till en myndighet som bedriver verksamhet som avses i 1 § eller
till en enskild vårdgivare enligt det som föreskrivs om sammanhållen journalföring i patientdatalagen (2008:355),
5. till ett nationellt eller regionalt kvalitetsregister enligt patient-
datalagen,
6. från en myndighet som bedriver verksamhet som avses i 1 §
inom en kommun eller en region till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs, eller
7. till en enskild enligt vad som föreskrivs i
– lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål,
– lagen (1991:1129) om rättspsykiatrisk vård, – smittskyddslagen (2004:168), – 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m., – lagen (2006:496) om blodsäkerhet, – lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler,
– lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller förordning som har meddelats med stöd av den lagen, eller
– 2 kap. lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.
Paragrafen innehåller sekretessbrytande bestämmelser på hälso- och sjukvårdens område. Övervägandena finns i avsnitt 20.3.
Tredje punkten har ändrats så att det förs in en ny bestämmelse
som anger att sekretessen enligt 25 kap. 1 § inte hindrar att uppgift lämnas från en myndighet som bedriver verksamhet som avses i 25 kap. 1 § till en enskild som bedriver sådan verksamhet och som myndigheten har anlitat, om uppgiften behövs i den individinriktade verksamhet som avses i det nämnda lagrummet.
Bestämmelsen bryter alltså sekretess för uppgift om en enskild persons hälsotillstånd eller andra personliga förhållanden hos myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet. Bestämmelsen gäller också för företag där kommuner eller regioner har ett bestämmande inflytande (2 kap. 3 §).
Bestämmelsen gäller för utlämnanden till sådana privata hälso- och sjukvårdsföretag (”enskilda”) som bedriver hälso- och sjukvårdsverksamhet och som myndigheten har anlitat. Det kan t.ex. handla om att en region eller kommun har anlitat privata utförare inom vårdvalet med stöd av lagen (2008:962) om valfrihetssystem, genom upphandling enligt lagen (2016:1145) om offentlig upphandling eller genom att ge ersättning till privata läkare eller fysioterapeuter enligt lagen (1993:1651) om läkarvårdsersättning respektive lagen (1993:1652) om ersättning för fysioterapi.
När det gäller en privat vårdcentral eller tandläkare, som patienten ska besöka, torde denna vanligen bedriva sin verksamhet i regionen eller kommunen. Det kan dock finnas privata utförare som har anlitats av myndigheten utan att vara geografiskt lokaliserade i samma region eller kommun. Så kan t.ex. vara fallet när myndigheten har upphandlat laboratorietjänster av privata aktörer. Den sekretessbrytande bestämmelsen är tillämplig även då, under förutsättning att myndigheten har anlitat hälso- och sjukvårdsföretaget för att utföra hälso- och sjukvård.
Med verksamhet som avses i 25 kap. 1 § avses hälso- och sjuk-
vårdsverksamhet enligt definitionen av hälso- och sjukvård i 2 kap. 1 §
hälso- och sjukvårdslagen (2017:30). Begreppet hälso- och sjukvård omfattar dels åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador, dels sjuktransporter samt att ta hand om avlidna. Med uttrycket hälso- och sjukvård förstås först och främst den öppna och slutna sjukvård som regleras i hälso- och sjukvårdslagen. Hit hör också den förebyggande medicinska hälsovården, t.ex. den som bedrivs vid mödra- och barnavårdscentralerna och inom den psykiatriska barn- och ungdomsvården. Även tandvården hör till hälso- och sjukvården.
Sekretessen enligt 25 kap. 1 § gäller också i annan medicinsk verk-
samhet. Med annan medicinsk verksamhet än hälso- och sjukvårds-
verksamhet avses exempelvis rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, omskärelse och åtgärder mot smittsamma sjukdomar. Privat laboratorieverksamhet som anlitats av en offentlig hälso- och sjukvårdsmyndighet för att utföra medicinsk analys och diagnostik kan, om den inte bedöms utgöra hälso- och sjukvård, utgöra sådan annan medicinsk verksamhet som omfattas av 25 kap. 1 §.
En förutsättning för att bestämmelsen ska vara tillämplig är att uppgiften behövs för att ge en patient hälso- och sjukvård. Något sekretessgenombrott gäller inte om uppgifter ska lämnas ut för att användas för andra ändamål än just individinriktad hälso- och sjukvård.
Vad som behövs i den individinriktade hälso- och sjukvården får ankomma på den utlämnande hälso- och sjukvårdsmyndigheten att avgöra i det enskilda fallet. Ledning kan emellertid hämtas från ändamålsbestämmelserna i 4 kap. 1 § 1 och 2 patientdatalagen, nämligen att fullgöra de skyldigheter i fråga om journal som anges i 3 kap. patientdatalagen och upprätta annan dokumentation som behövs i och för vården av patienter, respektive administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall. Ett typexempel på när uppgifterna kan behövas i den individinriktade hälso- och sjukvården är vid verksamhetsövergångar eller i andra situationer då patientens vård överförs till ett privat hälso- och sjukvårdsföretag.
Sekretessgenombrottet förutsätter inte att patienten har besökt det privata hälso- och sjukvårdsföretaget eller att en patientrelation har uppstått. Om det rör sig om ett privat hälso- och sjukvårdsföretag som aldrig träffar patienten, utan endast utför exempelvis analys av röntgenprover eller screening, kan det privata hälso- och sjukvårdsföretaget ha behov av uppgifter om patienten på så sätt att uppgifterna kan lämnas ut med stöd av bestämmelsen.
Bestämmelsen i tredje punkten bryter endast hälso- och sjukvårdssekretessen. Det kan finnas andra sekretessbestämmelser som hindrar ett utlämnande. En sådan är den s.k. dataskyddssekretessen i 21 kap. 7 §. Det innebär att sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen och nationell dataskyddsreglering.
Punkterna fyra till sju har ändrats endast på så sätt att numrer-
ingen har justerats.
Särskilt yttrande
Särskilt yttrande av experterna Pål Resare, Manólis Nymark och Maria Jacobsson
Vi välkomnar förslaget till en ny lag om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning och menar att regioner och kommuner i egenskap av huvudmän behöver kunna följa upp hälso- och vård samt omsorg med heltäckande och organisationsöverskridande data. Data från dessa uppföljningar är nödvändiga för en systematisk kvalitetsutveckling av offentligt finansierad vård och omsorg och för att dessa ska kunna erbjuda en sammanhållen god och nära vård.
Vi stöder dock inte förslaget att offentligt finansierade utförare ska kunna kan välja om de vill lämna ut uppgifter till huvudmännen för kvalitetsuppföljning. Vi menar att den nya lagen bör vara obligatorisk och att utförarna därmed ska ha en skyldighet att lämna ut efterfrågad data enligt ett sådant beslut som en fullmäktige i en kommun eller region fattar om kvalitetsuppföljning enligt förslaget.
Vi stöder inte heller utredningens förslag i avsnitt 17.5 att personuppgifter inte ska få behandlas för kvalitetsuppföljning om patient eller omsorgsmottagare motsätter sig det, s.k. opt-out. Vi anser att dessa kvalitetsuppföljningar bör få genomföras oberoende av patientens eller omsorgsmottagarens inställning till personuppgiftsbehandlingen. Regioner och kommuner ska således enligt vår mening få behandla personuppgifter utan samtycke och utan en rätt för den registrerade att motsätta sig.
Utredningen skriver i avsnitt 17.5.1 att eftersom patienter och omsorgsmottagare har rätt att motsätta sig själva vården och omsorgen, som är frivillig, eller specifika moment inom vården och omsorgen, vore det ologiskt om de inte också hade rätt att motsätta sig kvalitetsuppföljning.
Vi delar inte den uppfattningen utan anser att samhället måste av nödvändiga skäl kunna följa upp de insatser i form av hälso- och sjukvård samt social omsorg i offentligfinansierad verksamhet som en patient eller omsorgstagare valt att ta emot av aktörerna, t.ex. i en vårdkedja eller enligt en samordnad individuell vårdplan (SIP), oberoende av samtycke eller inte. Genom att underkasta sig vård eller omsorg har den enskilde passerat den ”tröskel” där det finns en möjlighet att motsätta sig behandling av dennes personuppgifter enligt patientdatalagen respektive lagen om behandling av personuppgifter inom socialtjänsten. Uppgifterna är i förvar hos en vårdgivare, socialnämnd eller privat utförare och får där enligt gällande rätt behandlas av dessa utan samtycke för olika sekundära ändamål, såsom uppföljning, utvärdering och kvalitetssäkring.
Vi anser också att huvudmännens totalansvar för hälso- och sjukvård respektive socialtjänst riskerar att undergrävas av förslaget om opt-out. Totalansvaret innebär för både regioner och kommuner ett övergripande ansvar för all producerad vård respektive omsorg inom respektive region och kommun samt följer av både hälso- och sjukvårdslagen och socialtjänstlagen (se bl.a. prop. 1998/99:4 s. 36 f.). Totalansvaret inkluderar privata utförares offentligt finansierad verksamhet. I totalansvaret ingår att bl.a. kunna långsiktigt planera verksamheten, följa upp privata utförares kvalitet och utveckla beslutsstöd för en godare och säkrare vård och omsorg. Att låta enskilda kunna motsätta sig kvalitetsuppföljning skulle allvarligt kunna undergräva huvudmännens totalansvar, t.ex. vid uppföljning av kvaliteten hos privata utförare eller kunskapsinhämtning om sällsynta diagnoser.
Av 10 kap. 8 § kommunallagen framgår vidare att när skötseln av en kommunal angelägenhet genom avtal har lämnats över till en privat utförare, ska kommunen eller regionen kontrollera och följa upp verksamheten. Kommunerna och regionerna är förpliktade att följa upp sina utförare, och vi menar att den nya lagen bör utformas så att kommunerna och regionerna på ett effektivt sätt ska kunna utföra sina uppgifter. Utredningens förslag innebär att huvudmännen behöver ändra de privata vårdgivarnas upphandlingsuppdrag för att inkludera även kvalitetsuppföljningar i enlighet med 10 kap. 9 § kommunallagen som innebär att om en kommun eller en region sluter avtal med en privat utförare, ska kommunen eller regionen genom avtalet tillförsäkra sig information som gör det möjligt att ge
allmänheten insyn i den verksamhet som lämnas över. Utredningens förslag att det skulle vara frivilligt för offentligt finansierade utförare att ingå i kvalitetsuppföljningar är en chimär eftersom huvudmännen är förpliktade enligt lag att se till att allmänheten ska ges möjlighet till insyn i sådan verksamhet som lämnas över.
Vidare motsätter vi oss en opt-out-lösning av det skälet att såvida regioner och kommuner hade avstått från att utkontraktera delar av sin verksamhet, skulle de ha full rätt att med stöd av tillämpliga registerförfattningar få behandla personuppgifter för ändamålen uppföljning, utvärdering och kvalitetssäkring utan samtycke, såvida behandlingen givetvis är nödvändig. Patientdatalagen utreddes och tillkom i en tid då hälso- och sjukvården till största delen fortfarande bedrevs av regionerna i egen regi och då en fullgod kvalitetsuppföljning kunde göras inom en vårdgivares hela verksamhet utan att patienten kunde motsätta sig denna. Motsvarande gäller enligt lagen om behandling av personuppgifter inom socialtjänsten. Det ska även i fortsättningen vara möjligt att göra kvalitetsuppföljningar i egen verksamhet eftersom patientdatalagen och lagen om personuppgifter i socialtjänsten inte ska ändras i denna del och därför är det inkonsekvent att nu aktuella kvalitetsuppföljningar inte ska kunna genomföras på motsvarande sätt över vårdgivare- och omsorgsgivargränser. Förslaget om en opt-out för invånare vid kvalitetsuppföljning framstår mot den bakgrunden som ologisk, och snarare undergräver än stärker huvudmännens särställning enlig lag.
Vidare finns redan i dag tillfällen när enskilda inte kan motsätta sig att deras patientuppgifter används utanför verksamheterna för helt andra syften än vård och omsorg, t.ex. av Försäkringskassan (jfr. 110 kap. 31 § socialförsäkringsbalken) när någon ansökt eller fått en förmån enligt socialförsäkringsbalken.
Enligt vår uppfattning kan en integritetssäker och tillfredsställande behandling av personuppgifterna uppnås dels genom förslaget att personuppgifterna ska vara krypterade vid kvalitetsuppföljningar, dels genom att de krav som redan ställs i artikel 9 i dataskyddsförordningen (GDPR) tillgodoses. Utredningens opt-out-förslag förutsätter utveckling och förvaltning av dyra tekniska lösningar som ska hålla reda på både enskilda som inte önskar delta i uppföljningarna samt varenda verksamhet som bedriver vård och omsorg på uppdrag av regioner och kommuner på en finmaskig nivå. Förslaget bedömer vi står inte i proportion till det eftersträvade syftet.
Utredningen har gått längre i sina förslag än de skyddsåtgärder som krävs enligt artikel 9.2 h i GDPR för hälso- och sjukvården samt den sociala omsorgens som fastställer en lagstadgad och straffsanktionerad tystnadsplikt för yrkesutövare och andra personer, t.ex. administrativ personal. Sådan tystnadsplikt finns i offentlighets- och sekretesslagen och patientsäkerhetslagen.
Utredningen bedömer att en konstruktion med opt-out är en väl avvägd åtgärd för att skydda patienternas och omsorgsmottagarnas personliga integritet som även stämmer överens med de grundläggande principerna i dataskyddsförordningen och hälso- och sjukvårdslagstiftningen om den enskildes rätt till integritet och självbestämmande. Vi anser emellertid att det inte framkommit något som ger vid handen att kvalitetsuppföljningar skulle innebära något påtagligt hot mot den personliga integriteten, eftersom patienternas och omsorgsmottagarnas personliga integritet skyddas redan genom befintliga sekretess- och tystnadspliktsbestämmelser hos mottagarna av personuppgifter för kvalitetsuppföljning.
Att göra jämförelser med bestämmelserna om opt-out vid sammanhållen journalföring anser vi är missvisande eftersom en region eller kommun enligt patientdatalagen är jämbördig med andra vårdgivare vid individnära vård och behandling, för vilket ändamål bestämmelserna om sammanhållen journalföring enbart får användas. Även parallellerna som utredningen drar till enskildas rätt att motsätta sig registrering i ett regionalt eller nationellt kvalitetsregister anser vi missvisande eftersom det är utpräglade register för professionens behov, oavsett om de arbetar hos en region eller en privat utförare, inte för huvudmännens behov av uppgifter och data om produktion eller kostnader för vård och omsorg.
Utredningen har föredömligt föreslagit en reform som låter regioner och kommuner för första gången överblicka och följa upp all verksamhet som de finansierar och därmed leva upp till det totalansvar som de har enligt lag. Förslaget om kvalitetsuppföljning är ett ”verktyg” för i huvudsak regioner och kommuner. Om lagstiftaren har gett regioner och kommuner detta övergripande ansvar för vård och omsorg, ser vi inga hinder för att lagstiftaren även ger dem uppdraget att ansvarsfullt behandla och bearbeta de uppgifter som de behöver för att fullgöra sitt samhällsuppdrag, inte minst när det gäller katastrofplanering och hälso- och sjukvård vid pandemier eller i krig. Det betyder att vi anser att det inte ska vara frivilligt för
offentligt finansierade utförare att fritt välja om de vill lämna ut uppgifter till huvudmännen för kvalitetsuppföljning. Det vore mer logiskt att införa en författningsenlig skyldighet att bidra till kvalitetsuppföljning i förslaget i stället för att låta varje kommun och region teckna avtal med varje vård- och omsorgsgivare för sig så som nu föreskrivs i kommunallagen.
Sammanfattningsvis anser vi att det föreligger nödvändiga skäl i form av betydande samhällsnytta i att kunna låta huvudmännen, dvs. regioner och kommuner, effektivt kunna genomföra fullständiga kvalitetsuppföljningar av offentligt finansierad verksamhet utan några begränsningar utom de som följer av gällande registerförfattningar, grundläggande dataskyddsprinciper och GDPR:s materiella regler.
Kommittédirektiv 2019:37
Översyn av vissa frågor som rör personuppgiftshantering i socialtjänst- och hälso- och sjukvårdsverksamhet
Beslut vid regeringssammanträde den 27 juni 2019
Sammanfattning
En särskild utredare ska utreda och lämna förslag som rör personuppgiftshantering inom och mellan socialtjänst och hälso- och sjukvård.
Utredaren ska bl.a. se över möjligheterna – att införa direktåtkomst inom och mellan vissa verksamheter i
socialtjänst och hälso- och sjukvård, – till en utvidgad informationsöverföring för kvalitetsutveckling
mellan bl.a. vårdgivare i hälso- och sjukvård och kommunala nämnder, – att införa sekretessbrytande bestämmelser för viss personupp-
giftshantering i socialtjänst och hälso- och sjukvård, och – att ge ombud åtkomst till patientjournal.
Uppdraget ska slutredovisas senast den 31 maj 2021. Ett delbetänkande som rör samtliga utredningsfrågor utom ombuds åtkomst till patientjournal och uppkomna frågeställningar för fortsatt utredning ska dock lämnas senast den 17 januari 2021.
Bakgrund
Strukturförändringar inom socialtjänsten och hälso- och sjukvården
Socialtjänsten och hälso- och sjukvården har under de senaste decennierna genomgått strukturförändringar av olika slag. Två tydliga sådana är ökningen av andelen olika aktörer som är verksamma inom sektorerna, och den demografiska förändringen med en ökande andel äldre i befolkningen.
Fler olika utförare av verksamheterna än tidigare
Kommuner och landsting har ansvar för verksamheterna inom socialtjänsten respektive hälso- och sjukvården. Med socialtjänst avses i dessa direktiv främst sådan verksamhet som regleras genom bestämmelser i socialtjänstlagen (2001:453), förkortad SoL, lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1988:870) om vård av missbrukare i vissa fall och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, samt personlig assistans som utförs med assistansersättning som regleras i 51 kap. socialförsäkringsbalken (2010:110). Socialtjänsten omfattar flera målgrupper, varav endast vissa är aktuella i det här direktivet. Med hälso- och sjukvård menas i dessa direktiv sådan verksamhet som definieras i 2 kap. 1 § hälso- och sjukvårdslagen (2017:30).
Kommuner och landsting ska organisera verksamheten när det gäller att driva socialtjänsten eller hälso- och sjukvården i egen regi eller att använda sig av privata utförare. Utvecklingen inom landstingen de senaste årtiondena visar att andelen verksamhet som utförs privat har ökat från 10 procent 2006 till 16 procent 2016 (räknat till kostnaderna för verksamheten). Det är dock stora regionala skillnader mellan landstingen. Drygt en fjärdedel av verksamheten i Stockholms läns landsting (SLL) köps in från privata vårdgivare jämfört med Jämtlands läns landsting där drygt 3 procent köps in externt. Skillnaden mellan landstingen när det gäller hur stor andel av verksamheten som lagts på privat vårdgivare återspeglar till viss del i vilken utsträckning som landstinget använder valfrihetssystem enligt lagen (2008:962) om valfrihetssystem (LOV). Utöver utvecklingen med fler privata vårdgivare hos landstingen så ökade antalet
digitala vårdgivare som erbjuder vårdtjänster via t.ex. videolänk, chatt, text- eller bildmeddelanden.
Även socialtjänsten utförs av fler olika aktörer än enbart kommunala myndigheter, bl.a. med stöd av lagen om valfrihetssystem. Ser man till insatser riktade till t.ex. äldre personer som beviljades hemtjänst under 2018 så tog 17 procent av dem emot insatser från en enskild verksamhet. För personer som är yngre än 65 år var andelen större, nästan 25 procent valde att få sina insatser utförda via enskild verksamhet. Andelen särskilda boenden som drevs via enskild verksamhet var 20 procent. Vad gäller t.ex. daglig verksamhet för personer med funktionsnedsättning så drevs nästan 10 procent som enskild verksamhet.
Utöver strukturförändringarna med ett ökat antal olika utförare får kommunernas möjlighet att välja hur man organiserar sina nämnder betydelse för hur verksamheten ser ut. Fullmäktige beslutar vilka nämnder som ska finnas inom kommunen och att varje nämnd ska ansvara för ett visst område. Eftersom kommunerna, med några få undantag, själva bestämmer vilka nämnder de vill ha inom kommunen ser organisationen olika ut i olika kommuner. Många kommuner har t.ex. fler än en kommunal nämnd för varje verksamhetsområde. Införandet av den fria kommunala nämndorganisationen genom 1991 års kommunallag innebar att en del kommuner kom att dela upp socialtjänsten på flera sektorer som organisatoriskt hör till olika nämnder. Det finns exempelvis en geografisk uppdelning på kommundelsnämnder, men det kan också finnas en uppdelning på olika kompetensområden eller utifrån ett beställar- och utförarperspektiv.
En förändrad demografisk situation med en ökande andel äldre
En annan förändring som redan har och kommer att få ännu större påverkan framöver inom såväl socialtjänst som hälso- och sjukvård är den demografiska utvecklingen med en ökande andel äldre i befolkningen. Andelen personer som är 80 år och äldre väntas öka kraftigt de närmaste åren. Denna grupp utgör i dag cirka 5 procent av befolkningen men beräknas utgöra cirka 9 procent av befolkningen år 2050. Äldre personer har ofta kroniska sjukdomar. Myndigheten för vård- och omsorgsanalys konstaterar i rapporten VIP i
vården (Rapport 2014:2) att 85 procent av personer över 65 år har minst en kronisk sjukdom.
Äldre personer som beviljats biståndsbedömda insatser med stöd av SoL har ofta omfattande behov av stöd och hjälp med både omsorg och hälso- och sjukvård. Drygt 70 procent av de som är 65 år och äldre och som tar emot vård från den kommunalt finansierade hälso- och sjukvården i ordinärt boende har också beviljats socialtjänstinsatser. En person kan också ta emot socialtjänstinsatser från flera olika utförare, t.ex. hemtjänst och dagverksamhet.
Socialstyrelsen har kartlagt hur den kommunala hälso- och sjukvården är organiserad (Kommunalt finansierad hälso- och sjukvård – förstudie, art nr. 2019-2-17). Kartläggningen visar att patienter inom denna typ av vård ofta är sköra och har komplexa hälsoproblem och svåra funktionsnedsättningar samt möter många olika vårdgivare och verksamheter. Socialstyrelsen konstaterar i kartläggningen att kontinuiteten i vården och omsorgen är mycket viktig för personers upplevelse av trygghet. De många kontakterna mellan olika vårdgivare eller utförare när en person går över från en verksamhet till en annan ställer krav på en väl fungerande samverkan för att inte innebära risker i form av t.ex. missförstånd eller avsaknad av information om nästa behandlingssteg. Frågor som rör samordning för gruppen äldre personer har också lyfts i slutbetänkandet Läs mig! Nationell kvalitetsplan för vård och omsorg för äldre personer (SOU 2017:21) från Utredningen om nationell kvalitetsplan för äldreomsorgen och slutbetänkandet Effektiv vård (SOU 2016:2) från utredningen En nationell samordnare för effektivare resursutnyttjande inom hälso- och sjukvården.
Digitaliseringsutvecklingen under senare år
Sverige har internationellt sett en hög digitaliseringsgrad. EU gör sedan 2014 årliga mätningar av medlemsstaternas utveckling inom digitaliseringsområdet som publiceras i ett s.k. DESI-index (the Digital Economy and Society Index) som bygger på undersökningar inom fem olika områden, bl.a. tillgången till fast bredband, medborgarnas digitala kommunikationer samt e-förvaltning och e-hälsa. Sverige har alltid placerat sig bland de tre länder som ligger högst på listan och låg 2018 på andra plats efter Danmark.
Digitaliseringen erbjuder stora möjligheter för socialtjänsten och hälso- och sjukvården. Modern informations- och kommunikationsteknologi kan underlätta för den enskilde att vara delaktig i sin egen vård och omsorg, stödja kontakten mellan den enskilde och verksamheterna samt tillhandahålla effektivare stödsystem för medarbetarna i verksamheterna.
Socialtjänsten har i likhet med andra områden påverkats av digitaliseringen. Socialstyrelsen följer sedan 2013 användningen av välfärdsteknik i kommunerna, och myndigheten konstaterar i kartläggningen för 2019 att allt fler kommuner inför olika typer av välfärdstekniklösningar (E-hälsa och välfärdsteknik i kommunerna 2019, art nr. 2019-5-10). Andelen kommuner som har e-tjänster för att ansöka om bistånd ökar. Inom äldreomsorgen har 27 procent av kommunerna sådana e-tjänster för bistånd och inom funktionshindersområdet var andelen 23 procent. Drygt 90 procent av alla trygghetslarm är digitala och uppkopplade framförallt via de mobila näten. Socialstyrelsen konstaterar vidare att många kommuner brister i att säkerställa ett fullgott skydd för enskildas känsliga personuppgifter.
Hälso- och sjukvårdsområdet har också integrerat digitala stöd i den dagliga verksamheten. De årliga undersökningar som landstingen gör av användningen av it i vården visar bl.a. att all journalföring inom slutenvården, primärvården och psykiatrin är digital sedan början på 2010-talet (eHälsa i landstingen – augusti 2013).
Digitaliseringen påverkar inte bara verksamheterna utan även patienter och brukare. Sveriges Kommuner och Landstings studier i fråga om invånarnas inställning till digital service i välfärden visar att tre fjärdedelar av invånarna är positivt inställda till att kommuner och landsting kommunicerar digitalt och erbjuder digital service (Invånarnas inställning till digital service i välfärden 2018). Myndigheten för vård- och omsorgsanalys har studerat befolkningens inställning till nyttjande och skydd av digitala uppgifter om vård och hälsa för olika ändamål (För säkerhets skull. Befolkningens inställning till nytta och risker med digitala hälsouppgifter, rapport 2017:10). Undersökningen visar på ett högt förtroende för vårdens hantering och skydd av patientinformation. Majoriteten önskade att uppgifterna skulle användas men med ett tillfredsställande integritetsskydd. I undersökningen framkom vidare att man önskade få information om vilka uppgifterna är, hur de används och av vem. De flesta ville att uppgifterna skulle användas för olika ändamål, men många ville
tillåta detta först efter det att man fått information om användningen samt erbjudits möjlighet att tacka nej eller efter det att man lämnat sitt medgivande.
Reglering av dataskydds- och sekretessfrågor
Internationell nivå – FN, Europarådet och EU
Förenta nationerna (FN) antog 1948 den allmänna förklaringen om de mänskliga rättigheterna. Förklaringen är inte formellt bindande för medlemsstaterna, men ses som ett uttryck för sedvanerättsliga regler. Skyddet för den personliga integriteten behandlas i artikel 12, som anger att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. I artikel 29 anges att en person endast får underkastas sådana inskränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter.
Den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, förkortad Europakonventionen, innehåller bestämmelser till skydd för den enskildes rätt till respekt för privat- och familjelivet (art. 8.1). Ytterligare en central konvention är Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, förkortad dataskyddskonventionen. I denna finns bestämmelser om automatisk databehandling av personuppgifter. I anslutning till Europakonventionen antog Europarådets ministerkommitté rekommendationer som gäller behandling av personuppgifter inom vissa områden. Rekommendationerna är inte direkt bindande. En av rekommendationerna, Recommendation No. R (97) 5 of the Committee of Ministers to Member States on the protection of medical data, antogs 1997 i syfte att förtydliga vad som gäller för personuppgifter om hälsa (hälsouppgifter) enligt artikel 6 i dataskyddskonventionen. Rekommendationen är tillämplig på insamling och automatiserad behandling av hälsouppgifter. Rekommendationen uppdaterades i mars 2019.
Av Europeiska unionens stadga om de grundläggande rättigheterna, förkortad EU-stadgan, följer att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer och att var och en har rätt till skydd av de personuppgifter som rör
honom eller henne och att dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund samt att var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem (artiklarna 7 och 8 i EUstadgan.)
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Förordningen började tillämpas den 25 maj 2018. Personuppgiftslagen (1998:204) upphävdes och ersattes av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, nedan benämnd dataskyddslagen, i samband med att dataskyddsförordningen började tillämpas. Flera anpassningar i olika registerförfattningar gjordes för att tydliggöra att dessa innehåller ytterligare kompletterande bestämmelser till dataskyddsförordningen och dataskyddslagen samt för att i övrigt anpassa den nationella lagstiftningen till dataskyddsförordningen.
Reglering som syftar till att säkerställa ett likvärdigt skydd av de grundläggande fri- och rättigheterna, i synnerhet rätten till integritet, när det gäller behandling av personuppgifter inom sektorn för elektronisk kommunikation finns även i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation).
Nationell reglering när det gäller hantering av uppgifter om hälsa eller personliga förhållanden
Frågan om myndigheters behandling av personuppgifter på automatiserad väg innefattar avvägningar mellan skyddet för den personliga integriteten och andra viktiga samhällsintressen. I regeringsformen, förkortad RF, anges bl.a. att det allmänna ska värna om den enskildes privatliv och familjeliv (1 kap. 2 § fjärde stycket). Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär
övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 §). Denna fri- och rättighet kan under vissa förutsättningar begränsas genom lag (2 kap. 20 och 21 §§).
I offentlighets- och sekretesslagen (2009:400), förkortad OSL, regleras sekretess i det allmännas verksamhet. Sekretess innebär ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt (3 kap. 1 § OSL). Sekretess innebär således en begränsning av både rätten att ta del av allmänna handlingar och yttrandefriheten.
Sekretess gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap. 1 § OSL). Det finns dock bestämmelser som bryter denna sekretess. Till exempel hindrar inte sekretessen att uppgifter lämnas mellan olika hälso- och sjukvårdsmyndigheter inom en kommun eller ett landsting och mellan allmänna och enskilda vårdgivare enligt det som föreskrivs om sammanhållen journalföring i patientdatalagen (25 kap. 11 § 3 OSL). Om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar sekretessen inte heller att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet inom socialtjänstens område (25 kap. 13 § OSL).
När det gäller skyddet för uppgifter som förekommer inom hälso- och sjukvård som bedrivs av enskilda näringsidkare får den som tillhör eller har tillhört sådan verksamhet inte obehörigen röja vad han eller hon i denna verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden (6 kap. 12 § patientsäkerhetslagen [2010:659]). Motsvarande tystnadsplikt gäller i enskilt bedriven verksamhet enligt SoL, för uppgift om enskildas personliga förhållanden (15 kap. 1 §).
Sekretess gäller inom socialtjänsten för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (26 kap. 1 § OSL). Det finns dock bestämmelser som bryter sekretessen. Till exempel hindrar sekretessen inte att uppgift om en en-
skild eller någon närstående till denne lämnas från en myndighet inom socialtjänsten till en annan sådan myndighet eller till en myndighet inom hälso- och sjukvården, om det behövs för att ge den enskilde nödvändig vård, behandling eller annat stöd och denne inte har fyllt arton år, fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel eller vårdas med stöd av lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård. Detsamma gäller uppgift om en gravid person eller någon närstående till denne, om uppgiften behöver lämnas för en nödvändig insats till skydd för det väntade barnet (26 kap. 9 § OSL).
Dataskydd i socialtjänst och hälso- och sjukvård
Behandlingen av personuppgifter inom socialtjänsten och hälso- och sjukvården regleras också av särskilda s.k. registerlagar, främst patientdatalagen (2008:355) och lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Utöver dessa lagar så innehåller också SoL, särskilda regler om bl.a. behandling av personuppgifter och gallring inom socialtjänstens verksamheter. Lagarna kompletteras av förordningar samt i vissa fall myndighetsföreskrifter. Det finns vidare annan lagstiftning där personuppgiftsbehandling för hälsouppgifter regleras, bl.a. lagen (2002:297) om biobanker i hälso- och sjukvården m.m., lagen (2018:1212) om nationell läkemedelslista samt lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.
Tidigare översyner och utredningar
Övergången till en i huvudsak digital hantering av personuppgifter inom såväl socialtjänsten som hälso- och sjukvården har pågått under lång tid. Det har också mot denna bakgrund gjorts översyner av regleringen av personuppgiftsbehandling. Några exempel är Socialdatautredningen vars slutbetänkande Behandling av personuppgifter inom socialtjänsten (SOU 1999:109) låg till grund för lagen om behandling av personuppgifter inom socialtjänsten som trädde i kraft 2001, Patientdatautredningen vars slutbetänkande Patientdatalag (SOU 2006:82) låg till grund för patientdatalagen som trädde i kraft 2008, Socialtjänstdatautredningen vars slutbetänkande Socialtjänsten
– Integritet-Effektivitet (SOU 2009:32) lämnades i mars 2009 men inte föranledde några lagstiftningsåtgärder och utredningen Rätt information i vård och omsorg. Den sistnämnda utredningens delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45) föranledde ändringar i bl.a. patientdatalagen. Det handlade bl.a. om att en vårdgivare under vissa omständigheter får göra uppgifter om en patient som inte endast tillfälligt saknar förmåga att ta ställning tillgängliga för de vårdgivare som är anslutna till systemet med sammanhållen journalföring respektive en vårdgivare får ta del av uppgift om vilken vårdgivare som har gjort uppgifter tillgängliga. Utredningens slutbetänkande – Rätt information på rätt plats i rätt tid (SOU 2014:23) – låg till grund för bl.a. ändringar i lagen (1996:1156) om receptregister.
Utöver dessa kommittéer finns exempel på utredningar som har gjorts internt inom Regeringskansliet kring frågor som rör personuppgiftsreglering inom hälso- och sjukvården, t.ex. departementspromemoriorna Nationell läkemedelslista (Ds 2016:44) och Ny lag om koordineringsinsatser inom hälso- och sjukvård (Ds 2018:5).
En översyn av vissa frågor som gäller personuppgiftshantering inom socialtjänst- och hälso- och sjukvårdsverksamhet
Sedan den övergripande regleringen av personuppgiftshanteringen inom socialtjänsten och hälso- och sjukvårdsområdet tillkom så har verksamheterna utvecklats på olika sätt. Det har tillkommit flera nya regleringar som påverkar hur personuppgifter får hanteras inom socialtjänsten och hälso- och sjukvården. Exempel som har nämnts är dataskyddsförordningen och dataskyddslagen. I samband med att dataskyddsförordningen skulle börja tillämpas gjorde regeringen en översyn av regleringen inom Socialdepartementets område, för att anpassa nationell rätt till dataskyddsförordningen. Detta ledde till ändringar i ett stort antal lagar. Propositionen Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning (prop. 2017/18:171) avgränsades till att hantera de anpassningar i författningar inom Socialdepartementets verksamhetsområde som vid det tillfället bedömdes behövas med anledning av dataskyddsförordningen (prop. 2017/18:171 s. 58). Ett annat exempel är lagen om nationell läkemedelslista som kommer att
ersätta lagen om receptregister och lagen (2005:258) om läkemedelsförteckning i juni 2020. Här kan vidare nämnas OSL som trädde i kraft 2009, som reglerar stora delar av sekretessen i socialtjänst och hälso- och sjukvård, och patientsäkerhetslagen, som reglerar sekretess i enskild verksamhet och som trädde i kraft 2010.
Datainspektionen har sedan patientdatalagen infördes genomfört flera långsiktiga tillsynssatsningar. Myndigheten påbörjade 2012 en första bred tillsyn av alla landsting och fem privata vårdgivare. Områden som analyserades var bl.a. möjligheter att spärra uppgifter. Datainspektionen har vidare genomfört kontroller av den kommunala hälso- och sjukvården. Exempelvis genomförde myndigheten sammanlagt 18 tillsynsinsatser som fokuserade på behörighetsstyrning och loggkontroller i kommuner under 2013. Utöver tematiska och långsiktiga tillsynsinsatser görs enskilda insatser initierade efter t.ex. klagomål från enskilda eller via uppgifter i medierna. Många av de tillsynsinsatser som gjorts under åren har tydliggjort gränserna för hur personuppgifter får hanteras i socialtjänsten och hälso- och sjukvården. I myndighetens tillsynsplan för 2019 och 2020 ligger även hälso- och sjukvården med som ett särskilt utpekat område för insatser under 2019.
Det finns vidare exempel på domstolsärenden där personuppgiftshantering inom hälso- och sjukvården har belysts. Landstinget i Uppsala gav tidigare patienter möjlighet att digitalt ”dela” sin journal med någon annan, ett s.k. ombud. Vid tillsyn av tjänsten förelade Datainspektionen landstinget att upphöra med att ge ombud direktåtkomst med motiveringen att sådan åtkomst enligt lag uttryckligen endast kan ges till den enskilde själv, dvs. inte till dennes ombud. Föreläggandet överklagades och målet avgjordes slutligt i Högsta förvaltningsdomstolen där domstolen konstaterade att Datainspektionen haft fog för att förelägga landstinget att upphöra med att ge ombud direktåtkomst till landstingets personuppgifter om enskilda (HFD 2017 ref. 67).
Riksdagen har vidare i ett tillkännagivande anfört att regeringen bör överväga om det finns anledning att göra en översyn av patientdatalagen och annan relevant lagstiftning. Det är enligt riksdagen angeläget att lagstiftningen på området är anpassad till de krav som dagens teknik ställer, samtidigt som den personliga integriteten beaktas (bet. 2018/19:SoU 8 punkt 58, rskr. 2018/19:233).
Regeringen kan konstatera att den lagstiftning som styr personuppgiftshantering inom och mellan socialtjänsten och hälso- och sjukvården fungerat väl i övergången från att hanterat personuppgifter på papper till ett i huvudsak digitalt arbetssätt. Regleringen ger ett avvägt skydd mellan intresset av att behandla personuppgifter och intresset av att skydda enskilda personers integritet. Dock bedöms det finnas behov av en översyn av vissa frågor på området. Bedömningen bygger på det som har anförts inledningsvis om förändringen på senare år i det sätt som socialtjänsten och hälso- och sjukvården organiserar sig på, den ökade användningen av digitala stöd för personuppgiftshantering samt klargöranden kring lagstiftningen utifrån bl.a. vad Datainspektionen uttryckt i sina tillsynsinsatser.
Utredningsuppdraget
Utgångspunkten för samtliga uppdrag är att de rör frågor kring personuppgiftshantering i socialtjänst och hälso- och sjukvård. I dessa fall handlar det i princip uteslutande om uppgifter som rör människors hälsa och livssituation vilket är information av integritetskänslig karaktär. Utredaren ska därför i samband med att förslag lämnas särskilt redogöra för hur hänsyn tagits till behovet av informationssäkerhet, rättssäkerhet samt skydd för den personliga integriteten. Frågorna som ska utredas behöver primärt analyseras utifrån dataskyddsförordningen men även utifrån befintlig reglering, bl.a. ska EU-stadgan, Europakonventionen, 2 kap. 6 § RF och dataskyddslagen beaktas. Eventuella inskränkningar i integritetsskyddet ska följas av analyser samt proportionerliga och tydliga avvägningar där alternativa metoder och mindre integritetskränkande alternativ ska övervägas eller där förslag på särskilda integritetsskyddande åtgärder lämnas.
För samtliga uppdrag gäller att utredaren ska lämna författningsförslag där så anses nödvändigt.
Möjlighet till direktåtkomst mellan vissa verksamheter
Ett sätt att lämna ut personuppgifter i elektronisk form är genom s.k. direktåtkomst. Begreppet direktåtkomst är inte definierat i lag. Med direktåtkomst menas vanligen att någon har direkt tillgång till någon annans databas eller register och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i databasen eller registret. Begreppet brukar också anses innefatta att den som är ansvarig för databasen eller registret inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Vid direktåtkomst anses de uppgifter som omfattas av åtkomsten utlämnade i och med att åtkomsten medges.
I princip anses allt elektroniskt utlämnande som inte görs genom direktåtkomst göras genom utlämnande på medium för automatiserad behandling. Som exempel kan nämnas att personuppgifter lämnas via upptagningar mellan myndigheter, e-post eller USBminne. Begreppet anses omfatta överlämnande av elektroniskt lagrade uppgifter via alla slags medium för lagring och överföring (Överskottsinformation vid direktåtkomst, SOU 2012:90 s. 198).
Det normala i dag är emellertid att ett informationsutbyte mellan myndigheter sker elektroniskt mellan it-system genom en frågasvar-funktion. Högsta förvaltningsdomstolen har i den s.k. Lefionlinedomen (HFD 2015 ref. 61) ansett att gränsdragningen mellan vad som är direktåtkomst och annat utlämnande på medium för automatiserad behandling beror på om den aktuella uppgiften kan anses förvarad hos den mottagande myndigheten enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen. Avgörande är således om uppgiften är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Högsta förvaltningsdomstolens dom kan tolkas så att den tekniska utformningen av en myndighets system för utlämnande av uppgifter kan bli avgörande för om utlämnandet ska anses som direktåtkomst eller som annat utlämnande på medium för automatiserad behandling I domen fann Högsta förvaltningsdomstolen att mottagande myndighets åtkomst till uppgifter hos den utlämnande myndigheten genom ett system som utformats med en fråga-svar-funktionalitet inte utgjorde direktåtkomst.
Direktåtkomst är enligt förarbetena till patientdatalagen (prop. 2007/08:126 s. 244) en form av elektroniskt utlämnande till en extern mottagare. Direktåtkomst sker när den som är ansvarig för informationen inte har kontroll över vilka uppgifter som en mottagare vid ett visst givet tillfälle tar del av. Inom hälso- och sjukvården finns i dag vissa möjligheter till direktåtkomst. Sammanhållen journalföring innebär att vårdgivare under vissa förutsättningar kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation (6 kap. patientdatalagen) Detta gäller såväl mellan offentliga vårdgivare som mellan offentliga och enskilda vårdgivare. Vårdgivaren får under vissa förutsättningar ge en patient direktåtkomst till hela eller delar av patientens patientjournal (5 kap. 5 § samma lag). För socialtjänsten saknas en reglering liknande den som finns för sammanhållen journalföring inom hälso- och sjukvården som tillåter att olika utförare har direktåtkomst till varandras dokumentation. Det råder sekretess mellan socialtjänst och hälso- och sjukvård och därför är det heller inte tillåtet med direktåtkomst mellan dessa verksamheter. Frågan om direktåtkomst mellan socialtjänst och hälso- och sjukvård har också belysts av Datainspektionen i ett tillsynsärende från 2011 om TioHundranämnden i Norrtälje där vissa personuppgifter tillgängliggjordes direkt mellan nämnden och en utförare (Datainspektionen, dnr 876-2010). Datainspektionen ansåg i det ärendet att det krävs författningsändringar både i regelverken som gäller för hälso- och sjukvården och socialtjänsten för att det ska vara tillåtet att tillämpa sammanhållen journalföring mellan hälso- och sjukvården och socialtjänsten.
Som beskrivits tidigare finns i dag flera olika vårdgivare och utförare i socialtjänsten och hälso- och sjukvården. En patient kan under en enskild vårdprocess möta många olika offentliga och privata vårdgivare. Patienter med kroniska eller långvariga sjukdomstillstånd kan också behöva hjälp av flera olika vårdgivare parallellt. Särskilt stort är detta behov för äldre och multisjuka personer. Behovet av att kunna utbyta information mellan vårdgivare eller utförare i syfte att ge en god och säker vård och omsorg, med bibehållen integritet och säkerhet, har således ökat under senare år. Utredaren ska därför se över möjligheterna att införa direktåtkomst, i likhet med den möjlighet som i dag ges genom sammanhållen
journalföring genom en s.k. sammanhållen vård- och omsorgsdokumentation mellan – verksamheter som avser äldre personer, t.ex. hemtjänst eller
dagverksamhet för personer med demenssjukdom, och personer med funktionsnedsättning som har insatser enligt SoL, t.ex. boendestöd och insatser enligt LSS, och – verksamheter som nämns ovan och hälso- och sjukvård.
Utgångspunkten för uppdraget ska vara den personuppgiftsbehandling som sker inom den individinriktade vård- och omsorgsverksamheten.
Om så är relevant ska utredaren se över möjligheterna att använda elektroniskt utlämnande som alternativ till direktåtkomst.
Frågeställningen berör såväl landstingens och kommunernas verksamheter inom nämnda områden som enskild vårdgivare inom hälso- och sjukvården eller enskild verksamhet inom socialtjänstens områden. Utredningsuppdraget innefattar även att lämna förslag till nödvändiga ändringar i lagstiftningen om sekretess och tystnadsplikt.
Uppdraget omfattar inte att utreda särskilda frågor som rör personer med nedsatt beslutsförmåga. Behövs särskild reglering om sådana personer på det område som omfattas av utredningsuppdraget bör den föreslagna regleringen utformas i enlighet med befintlig reglering, t.ex. 2 kap. 2 a § patientdatalagen och 25 kap. 13 § OSL.
Som framgår av första punktsatsen ovan görs en avgränsning av frågeställningen till att handla om verksamheter inom socialtjänsten som rör äldre personer och personer med funktionsnedsättningar. Hanteringen av personuppgifter inom socialtjänsten spänner över många verksamhetsområden där känsliga personuppgifter registreras. Detta är särskilt tydligt när det gäller områden där det finns lagstiftning om tvång, t.ex. vård till vuxna personer med missbruksproblem eller verksamheter riktade till barn och unga. Sådana verksamheter är olämpliga att hantera i ett system med direktåtkomst eftersom personen i de fall en utredning leder till en insats med tvång inte själv kan välja om informationen ska exponeras för andra delar av socialtjänsten eller hälso- och sjukvården. De två verksamheter som har valts bedöms vara dels så betydande räknat såväl till antal personer som får insatser som till antal aktörer som utför dem att ett
utökat informationsutbyte är av stort värde för många patienter eller brukare, dels verksamheter utan tvång vilket gör att personen kan göra avvägda val om ifall man vill vara med i en sammanhållen vård- och omsorgsdokumentation eller inte.
Utvecklings- och kvalitetssäkringsarbete inom och mellan hälso- och sjukvård och socialtjänst
I förarbetena till patientdatalagen diskuteras behovet av att kunna följa upp hur verksamheterna utvecklas. Det finns olika faktorer som kan behöva följas, t.ex. mätning av uppnådda behandlingsresultat och patienttillfredsställelse eller mätning av insatta resurser i form av kostnader för respektive insats eller annan uppföljning avseende kostnadseffektivitet, produktivitet m.m. Vidare framgår att uppföljning inte är något självändamål, dess syfte är att generera kunskap som i sin tur används för att på olika sätt förbättra eller förändra verksamheten i fråga (prop. 2007/08:126 s. 174). Att kvaliteten i verksamheten systematiskt och fortlöpande ska utvecklas och säkras inom socialtjänsten framgår bl.a. av 3 kap. 3 § SoL och 6 § LSS. Uppföljningen kan ske på olika nivåer i verksamheterna: kliniken, vårdinrättningen, nämnden, landstinget, kommunen, sjukvårdsregionen eller nationen.
Av förarbetena till patientdatalagen framgår även att det förutom regelverket för regionala och nationella kvalitetsregister inte finns några särskilda bestämmelser som syftar till att möjliggöra verksamhetsuppföljning över vårdgivargränser (prop. 2007/08:126 s. 175). Frågan om gemensamma verksamhetsuppföljningar för socialtjänst och hälso- och sjukvård har aktualiserats i ett tillsynsärende som rör Stockholms läns landsting och Österåkers kommun (Datainspektionen, dnr 643-2015). Ärendet handlar om att kommun och landsting har samkört och analyserat vissa personuppgifter inom ramen för ett projekt som rör ersättningsmodeller för vård och omsorg av äldre. I ärendet hänvisar Datainspektionen till förarbetena till patientdatalagen där det står följande: ”När det gäller frågan om att förbättra landstingens och kommunernas möjligheter att göra gemensamma uppföljningar av sådana insatser som involverar både hälso- och sjukvård och socialtjänst så utreds detta för närvarande av Socialtjänstdatautredningen (S 2007:92)”. Som framgått under rubri-
ken Tidigare översyner och utredningar ledde inte Socialtjänstdatautredningens betänkande till lagstiftningsåtgärder.
För socialtjänstens del följer det av OSL att sekretess gäller mellan myndigheter inom socialtjänsten. Kommunerna har frihet att organisera sina nämnder som de själva önskar efter lokala behov och förutsättningar. Varje nämnd i en sådan organisation är att anse som en egen myndighet i OSL:s mening och då gäller sekretess som huvudregel i förhållande till andra myndigheter och andra enskilda än brukaren.
Möjligheterna att följa upp verksamheter som har patienter eller brukare som behandlas av flera olika vårdgivare eller utförare varierar därför beroende på hur verksamheterna är organiserade inom en kommun eller ett landsting. I ett landsting med olika vårdgivare saknas i dag möjlighet till en mer sammanhållen verksamhetsuppföljning på samma sätt som i ett landsting med få vårdgivare. Via kvalitetsregistren, som förs för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet och möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå, kan viss uppföljning göras av hälso- och sjukvårdens kvalitet. Dessa register har varit värdefulla för vårdens utveckling och regleringen av dem bör kvarstå. Registren är dock oftast avgränsade till enskilda medicinska specialiteter eller sjukdomsgrupper och har byggts upp under lång tid samt avser som minst en hel region. En huvudman i form av ett landsting kan dock ha behov av mer mångfacetterad eller varierad information för kvalitetssäkringsarbete i den egna huvudmannens verksamhet, bedriven i egen regi eller av anlitade utförare, än vad som får finnas i ett kvalitetsregister. Detta behov kan dessutom variera över tid. Det kan t.ex. handla om analyser på en aggregerad eller övergripande nivå för vissa åldersgrupper eller geografiskt avgränsade delar av ett landsting. Beslut om sådan behandling av personuppgifter för kvalitetsutveckling, som bör avse hela eller åtminstone väsentliga delar av huvudmannens hälso- och sjukvårdsverksamhet, bedriven i egen regi eller av anlitade utförare, bör vara förbehållna det högsta politiska organet hos huvudmannen. Personuppgifter som på detta sätt behandlas för kvalitetsutveckling bör inte få spridas utanför landstinget.
Liknande situation gäller kommuner med olika nämndorganisationer. Då många äldre personer eller personer med funktionsnedsättning i dagsläget får insatser från olika utförare finns ett behov av
att skapa mer jämlika förutsättningar för kvalitetsutveckling av verksamheterna oberoende av organisationsform hos kommunen. Liksom för landstingen bör beslut om sådan behandling av personuppgifter för kvalitetsutveckling vara förbehållna det högsta politiska organet och besluten bör avse hela eller åtminstone väsentliga delar av kommunens verksamhet med omsorg om äldre personer och personer med funktionsnedsättning. Personuppgifter bör inte få spridas utanför kommunen.
Utredaren ska därför se över möjligheterna till en utvidgad informationsöverföring för kvalitetsutveckling mellan: – vårdgivare i hälso- och sjukvård, – vårdgivare i hälso- och sjukvård och kommunal nämnd eller utfö-
rare av kommunens arbetsuppgifter inom socialtjänst för äldre personer och personer med funktionsnedsättning, och – kommunala nämnder eller utförare av kommunens arbetsupp-
gifter inom socialtjänsten för äldre personer och personer med funktionsnedsättning.
Möjligheter till kvalitetsuppföljning för enskilda vårdgivare inom hälso- och sjukvården eller enskild verksamhet i förhållande till andra myndigheter och andra enskilda än brukaren inom socialtjänstens område ska ingå i analysen.
Utredningsuppdraget innefattar även att lämna förslag till nödvändiga författningsändringar, t.ex. kopplat till behandling av personuppgifter, sekretess och tystnadsplikt.
Sekretessbestämmelser för viss personuppgiftshantering i socialtjänst och hälso- och sjukvård
Som framgår under rubriken Nationell reglering när det gäller hantering av uppgifter om hälsa eller personliga förhållanden ovan så skiljer sig dagens reglering av sekretess mellan myndigheter åt mellan hälso- och sjukvård och socialtjänst. Inom hälso- och sjukvården hindrar inte sekretessen enligt OSL att uppgift lämnas till en enskild vårdgivare med begränsningen att det ska göras i enlighet med vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Ordningen med sammanhållen journalföring gör dock att
gränserna för den inre sekretessen är större i ett landsting med få enskilda vårdgivare än i ett landsting med fler enskilda vårdgivare. I vissa fall krävs då bl.a. inte ett aktivt samtycke för att utbyta patientinformation. Denna skillnad när det gäller förutsättningarna för att utbyta information i relation till vårdens organisering har lyfts av Riksrevisionen i rapporten Rätt information vid rätt tillfälle inom vård och omsorg (RiR 2011:19, avsnitt 3.1.2). För socialtjänstens del finns ingen motsvarande reglering i OSL.
Skillnaden mellan sekretessregleringarna och behovet av en mer likvärdig hantering av personuppgifter har lyfts i olika sammanhang, bl.a. av utredningen Socialtjänstdatautredningen och utredningen Rätt information i vård och omsorg.
Utredaren ska mot denna bakgrund: – se över möjligheterna att införa sekretessbrytande bestämmelser
för socialtjänsten i likhet med bestämmelserna om hälso- och sjukvårdssekretess som framgår av 25 kap. 11 § OSL, – analysera behovet av ändring i sekretesslagstiftningen utifrån
utredningsfrågan om en sammanhållen vård- och omsorgsdokumentation, se rubriken Möjlighet till direktåtkomst mellan vissa verksamheter ovan, samt – undersöka om det är möjligt eller lämpligt att, med bibehållen
integritet och säkerhet, tillåta ytterligare uppgiftslämnande mellan myndigheter inom hälso- och sjukvård och enskilda vårdgivare och i sådana fall föreslå nödvändiga författningsändringar.
Om utredaren lämnar författningsförslag bör dessa avgränsas till att röra den individinriktade vård- och omsorgsverksamheten.
Möjlighet att ge ombud åtkomst till patientjournal
Patientjournalen är i grunden ett arbetsinstrument och utgör ett stöd för vård och behandling av patienterna. Personal som inte har träffat patienten tidigare ska kunna använda patientjournalen för att bedöma vilka åtgärder som kan behöva vidtas för att kunna ge patienten en god och säker vård. Patientjournalen är också en informationskälla för patienten. Denne ska kunna få insyn, kunskap och ökad delaktighet i sin hälsa och vård. En patient har i dag möjlighet
till direktåtkomst till sådana uppgifter om sig själv som vårdgivaren får lämna ut (5 kap. 5 § patientdatalagen).
Den nationella tekniska lösningen för att ge patienter åtkomst till sin information tillhandahålls via Inera AB:s tjänst Journalen. Inera är ett bolag, som ägs av SKL Företag, kommuner och landsting och som har till uppgift att koordinera och utveckla gemensamma digitala lösningar för kommuner och landsting. Invånarna når tjänsten via 1177 Vårdguidens e-tjänster och i dagsläget är alla landsting anslutna, men det finns skillnader i hur många verksamheter inom respektive landsting som tillhandahåller tjänsten till sina patienter. Tjänsten har över två miljoner användare. I vissa landsting kunde patienter tidigare välja att dela sin journal med ett ombud. Patienten angav i sådant fall ombudets personnummer och valde om ombudet skulle ges tillgång till hela journalen eller delar av den. Efter en rättsprocess stängdes tjänsten ner. En mer utförlig beskrivning av ärendet har getts under rubriken En översyn av vissa frågor som gäller personuppgiftshantering inom socialtjänst- och hälso- och sjukvårdsverksamhet ovan.
Från och med 2020 kommer det att finnas möjlighet att ge ett ombud direktåtkomst till uppgifter i den nationella läkemedelslistan (5 kap. 6 § lagen om nationell läkemedelslista).
Många patienter har behov av att kunna utse en person som kan hjälpa dem med det praktiska kring deras vårdprocesser. Behovet kan komma sig av att patienten på grund av hög ålder eller fysiska hinder behöver hjälp med att hålla ordning på sina besök, diagnoser eller läkemedel. Utredaren ska därför se över möjligheterna att: – ge ett ombud åtkomst till patientjournalen.
Uppkomna frågeställningar för fortsatt utredning
I dessa direktiv hanteras ett antal avgränsade frågor som rör personuppgiftshanteringen inom och mellan socialtjänst och hälso- och sjukvård. Den digitala utvecklingen rör sig dock snabbt framåt och nya lösningar från andra sektorer kan införas i socialtjänsten och hälso- och sjukvården och skapa nya sätt att leverera eller effektivisera tjänster jämfört med i dag. Framsteg görs i dag också på många områden i hälso- och sjukvården, bl.a. inom life sciencesektorn. Utvecklingen inom detta område bygger till stor del på tillgång till
data som rätt använd, och med respekt för den personliga integriteten, bidrar till att utveckla framtidens vård och omsorg. Utöver den tekniska utvecklingen finns en parallell utveckling inom det rättsliga området. Domstolsbeslut på EU-nivå eller inom Sverige, tillsynsinsatser m.m. påverkar rättstillämpningen och därmed ramarna för hur personuppgifter får hanteras. Denna växelverkan mellan den tekniska utvecklingen och rättstillämpningen kommer sannolikt att fortsätta och det är mot den bakgrunden önskvärt att regeringen uppmärksammas på eventuella andra frågeställningar som har uppkommit under uppdragets genomförande och som kan behöva utredas vidare. Detta gäller även där så är lämpligt frågeställningar avseende användning av patientdata inom life science-området. Utredaren ska därför: – sammanställa och översiktligt beskriva eventuella ytterligare fråge-
ställningar som utredningen under arbetet med utredningsuppdraget uppmärksammat och som utredaren bedömer kräver vidare analys ur ett dataskydds- eller sekretessperspektiv.
Konsekvensbeskrivningar
Utredaren ska göra nödvändiga kostnadsberäkningar och andra konsekvensbeskrivningar i enlighet med kommittéförordningen (1998:1474). Som framgått under rubriken Utredningsuppdraget ska utredaren i samband med att förslag läggs särskilt redogöra för hur hänsyn tagits till behovet av informationssäkerhet, rättssäkerhet samt skydd för den personliga integriteten. Konsekvensanalysen avseende jämställdhet ska om så är påkallat omfatta konsekvenser för personer som är utsatta för våld eller hot om våld, t.ex. hedersrelaterat våld eller förtryck. Om förslagen påverkar den kommunala självstyrelsen, ska de konsekvenser och de särskilda avvägningar som föranlett förslagen särskilt redovisas (se 14 kap. 3 § RF).
Kontakter och redovisning av uppdraget
Utredaren ska samråda med berörda organisationer. Särskilt relevanta aktörer är företrädare för kommuner, landsting, Sveriges Kommuner och Landsting, privata eller enskilda verksamheter samt
patient- och personalorganisationer. Samråd ska ske med berörda myndigheter, t.ex. Datainspektionen, Socialstyrelsen, E-hälsomyndigheten och Myndigheten för samhällsskydd och beredskap. Utredaren ska vidare samråda med andra pågående utredningar som är relevanta, bl.a. Utredningen Sammanhållen kunskapsstyrning (S 2018:12), Utredningen om välfärdsteknik i äldreomsorgen (S 2018:11), Framtidens socialtjänst (S 2017:03) och Samordnad utveckling för god och nära vård (S 2017:01). Uppdraget ska slutredovisas senast den 31 maj 2021. Ett delbetänkande som rör samtliga utredningsfrågor utom ombuds åtkomst till patientjournal och uppkommande frågeställningar för fortsatt utredning ska dock lämnas senast den 17 januari 2021.
(Socialdepartementet)